1. Consultas sobre el reglamento
  2. Legislar sobre los riesgos de la IA
  3. Empresas españolas que usan IA de alto riesgo
  4. Marca de agua
  5. Plazos de la entrada en vigor: “Aterrizaje suave”
  6. La Comisión Europea y la Agencia de IA concretarán más
  7. Cómo opera el reglamento con empresas no europeas
Inteligencia Artificial, foto de archivo

Comprar un producto en una tienda online y que la propia web te recomiende otros similares, interactuar con un robot disfrazado de técnico para pedir una cita online y recibir respuestas autogeneradas para contestar un mensaje. La Inteligencia Artificial (IA) está presente en prácticamente todos los sectores económicos y está muy interiorizada en la vida cotidiana.

La aprobación del primer reglamento europeo sobre Inteligencia Artificial, que prevé sanciones millonarias, ha generado una ola de consultas a despachos de abogados: bancos, compañías de seguros, empresas tecnológicas, farmacéuticas, hospitales, centros de investigación científica, agencias de viajesAlbert Agustinoy, socio coordinador del grupo de IP de Cuatrecasas, afirma que muchas empresas se han interesado por cómo aplicar la nueva normativa.

Consultas sobre el reglamento

El abogado de Cuatrecasas asegura que el elevado número de consultas es algo propio de la novedad pero que, en ningún caso, debe ser alarmante.

“Lo que pretende este reglamento es crear unos contrapesos que nos garanticen, como ciudadanos, que entrar en contacto con estas tecnologías no implique un automático descenso en el grado de protección que tenemos respecto a nuestros derechos y libertades”, explica el socio coordinador.

Desde Cuatrecasas, han elaborado una Guía Práctica para “bajar al suelo” las obligaciones que recoge el reglamento y que las empresas entiendan que estas no vendrán “de golpe y porrazo”, sino que más bien se trata de entender en qué categoría se encuentran sus sistemas de IA. A partir de ahí, les asesorarán en el caso de que se deban hacer comprobaciones, pero “sin volverse locos”.

“Los sistemas son plenamente equiparables a lo que ya se está aplicando en protección de datos, software, propiedad intelectual, ciberseguridad…”, tranquiliza el abogado.

Legislar sobre los riesgos de la IA

El legislador europeo ya sabe que la ciudadanía está abrazando este tipo de tecnologías desde hace años y ha redactado las disposiciones teniendo en cuenta los riesgos que conlleva para el usuario final.

Agustinoy apunta que en China, aunque se trate de un ejemplo extremo, hay un “social scoring” por IA que clasifica a su sociedad y les da diferentes derechos y obligaciones. Una tecnología de estas características estaría prohibida en territorio europeo.

El reglamento identifica modelos de IA como el mencionado que no se van a permitir. Además del “social scoring”, se encuentra el uso de técnicas subliminales para prevalerse de la condición de un usuario, la recogida masiva de datos de reconocimiento facial sin permiso o de perfilado personalizado… “Son actividades posibles hoy en día, pero se ha llegado a la conclusión que no se deberían llevar a cabo”, afirma el letrado.

Además de los riesgos inaceptables -la primera categoría- hay otros tres niveles que establece el reglamento: los riesgos altos que podrían suponer un perjuicio contra la salud, la seguridad o los derechos fundamentales; riesgos limitados que están sujetos a requisitos específicos como de transparencia; y los riesgos mínimos, que no conllevan obligaciones adicionales.

Más del 80 % de las disposiciones y obligaciones previstas se refieren a los sistemas que se consideran de riesgo alto, los cuáles pueden utilizarse, pero con prudencia, advierte Agustinoy.

Empresas españolas que usan IA de alto riesgo

En España hay empresas que ya están utilizando sistemas de IA de alto riesgo. En materia de recursos humanos, asegura el letrado, prácticamente todas las empresas deberán ajustar sus sistemas para cumplir con esta normativa, pues muchas automatizan procesos como las promociones o la selección de personal sin intervención humana.

Asimismo, el software de cribado en las salas de urgencia o el sistema de acceso a las universidades son otro ejemplo típico de alto riesgo.

El abogado también destaca la industria de la automoción y la química como poseedoras de IA de alto riesgo.

Marca de agua

Una de las claves más innovadoras del reglamento es el principio de transparencia, al que también se ven sujetas las IA de riesgo limitado. A partir de la entrada en vigor del reglamento, las empresas deberán notificar a los consumidores cuando estén hablando con una IA. En todo momento, la persona tendrá que saber cuando está interactuando con un humano y cuando lo haga con un sistema de IA.

Asimismo, los desarrolladores deberán incorporar marcas de agua en todos los contenidos generados por IA, ya sea texto, foto o video para que el consumidor sepa que se trata de algo artificial. Esta obligación extra surgió a raíz de la aparición de Chat GPT y otras herramientas similares con las que los usuarios podían crear material realístico.

Agustinoy afirma que esta tecnología ha potenciado las fake news, que no solamente se dan en formato texto, sino también por las redes sociales a través de imágenes falsas y de “deepfakes”.

Plazos de la entrada en vigor: “Aterrizaje suave”

Si bien el reglamento entrará en vigor el día 1 de agosto, ya prevé una serie de tramos para escalar el impacto que tendrá implementar las nuevas obligaciones. “Ocurrió lo mismo con la normativa de protección de datos. El legislador ya contempla un aterrizaje suave a los efectos de intentar minimizar potenciales infracciones derivadas de la imposibilidad de haberse adaptado a tiempo a la legislación”, sostiene Agustinoy.

De cara a las prácticas prohibidas, Europa da un plazo de seis meses, que se amplía a 12 para ciertas normas de gobernanza y a 36 para las disposiciones sobre los sistemas de alto riesgo.

La Comisión Europea y la Agencia de IA concretarán más

El nuevo reglamento es un paso adelante en la legislación de esta materia. Sin embargo, Agustinyo  recuerda que la Comisión Europea todavía deberá desarrollar directrices para aplicarlo, con sus respectivas interpretaciones de las normas que se establecen.

Asimismo, en el ámbito nacional, la Agencia Española de Supervisión de Inteligencia Artificial también sacará sus propias instrucciones aplicando la normativa española. Y no será solo esta entidad la que se pronuncie, sino también la Agencia Española de Protección de Datos en las materias que le incumba, por ejemplo, el tratamiento de datos. Incluso la Agencia Española de Medicamentos o la CNMV podrían terminar influyendo en las reglas.

Cómo opera el reglamento con empresas no europeas

Agustinoy ha señalado que el reglamento de IA, igual que en otros como de Protección de Datos, incluye un criterio para que las normas se apliquen en cualquier empresa extranjera que quiera operar dentro de la Unión Europea.

Ello involucra a los desarrolladores que están o comercializan sus productos en Europa, los importadores de tecnologías y los distribuidores que se dediquen a la comercialización de la herramienta. 

Sede de Cuatrecasas en Barcelona
Sede de Cuatrecasas en Barcelona

Fuente