El miércoles pasado la Comisión
Europea presentó un conjunto de medidas en el ámbito de la inteligencia
artificial. Desde la perspectiva regulatoria, destaca su Propuesta de
Reglamento en la materia: Proposal for a Regulation laying downharmonised rules on artificial intelligence (Artificial Intelligence Act) andamending certain Union legislative acts (todavía no disponible en
español). Esta breve reseña de la prolija Propuesta, junto a una síntesis de sus
fundamentos y contenido tal como han sido presentados por la propia Comisión,
pretende aportar una primera reflexión acerca del ámbito de aplicación del
nuevo instrumento, su interacción con otras disposiciones del Derecho de la
Unión, los peculiares mecanismos previstos para su aplicación y ejecución, así
como ciertas cuestiones en la materia que quedan al margen de la
Propuesta.
I. Fundamentos
El marco normativo propuesto,
según la Comisión, pretende tanto garantizar la tutela de los derechos
fundamentales de las personas situadas en la Unión frente a las amenazas y
riesgos ligados al desarrollo de herramientas de inteligencia artificial (IA),
como reforzar la innovación en el seno de la UE en materia de IA. Se presenta
además por la Comisión como “el primer marco jurídico sobre la IA de la
historia” y como una de las medidas “destinada a convertir a Europa en el
centro mundial de una IA digna de confianza”. En gran medida la Propuesta se
construye sobre el modelo de la legislación preexistente relativa a la
seguridad de los productos. Es cierto que a partir del conocido “efecto
Bruselas” la normativa proyectada y los estándares que contempla cabe prever
que tengan una significativa influencia y repercusión en otras zonas del mundo,
en la línea paradigmática del Reglamento 2016/679 general de protección de
datos (RGPD). Cuestión distinta –y menos estudiada- es si ese liderazgo normativo
y en el establecimiento de estándares internacionales no impedirá tampoco en
esta ocasión -tal vez por los costes inherentes a algunas de sus exigencias y
las carencias en su aplicación efectiva a operadores de terceros Estados- que
el liderazgo empresarial en el desarrollo
y explotación de estas
herramientas y en la prestación de los servicios relacionados se localice, por
el contrario, en otras regiones del mundo.
La Propuesta de Reglamento
contempla el establecimiento de un marco regulatorio horizontal –no limitado a
sectores concretos-, basado en dar una respuesta proporcional al riesgo
generado por los sistemas de IA, de modo que se limita a regular aquellos que
generan elevados riesgos, sin establecer normas vinculantes para el resto,
respecto de los que trata de favorecer las adopción de códigos de conducta. El
enfoque horizontal determina que este instrumento esté llamado a proyectarse
sobre el conjunto de sectores en los que se utilicen los sistemas de
inteligencia artificial, desplazando o condicionando la incipiente normativa
sectorial, por ejemplo, en el ámbito de las relaciones laborales.
El enfoque horizontal de la
Propuesta se refuerza con una definición amplia de sistema de IA con el
propósito de asegurar la neutralidad tecnológica y la adaptación del marco
normativo a la continua evolución en este ámbito. De hecho, la Propuesta se
basa en un concepto de sistema de IA dinámico, pues abarca cualquier programa
de ordenador desarrollado con una o más de las técnicas y enfoques enumerados
en su Anexo I y que respecto de un conjunto dado de “human-defined objectives” genera
resultados como contenido, predicciones, recomendaciones o decisiones que
influyen en los entornos con los que interactúa (art. 3.1). Reflejo del
carácter abierto y dinámico de la definición de sistemas de IA es que se atribuye
a la Comisión la posibilidad de modificar la relación de técnicas y enfoques
enumerados en el Anexo I (“machine learning approaches”, “Logic- and
knowledge-based approaches”, “Statistical approaches”…) mediante la adopción de
actos delegados que actualicen esa lista en atención a la evolución de la
tecnología y del mercado (art. 4).
II. Contenido
El
contenido y objeto de la Propuesta de Reglamento aparecen sintetizados en su
artículo 1. En concreto, el nuevo instrumento establece reglas armonizadas relativas
a la introducción en el mercado, la puesta en servicio y el uso de sistemas de
IA en la Unión Europea; la prohibición de un reducido conjunto de usos de la IA
que se considera que generan riesgos inadmisibles; requisitos específicos para
los sistemas de IA de alto riesgo así como obligaciones a los proveedores de
tales sistemas; obligaciones específicas de transparencia respecto de ciertos
sistemas de IA que generan un riesgo limitado; y normas para garantizar su
cumplimiento.
La
estructura de la Propuesta de Reglamento está condicionada por la clasificación
de riesgos en que se funda: inadmisible; alto; limitado y mínimo. El Título II
(art. 5) está dedicado a la prohibición de sistemas de IA que se considera que
generan riesgos inadmisibles por contravenir los valores de la Unión, en
particular al facilitar la vulneración de derechos fundamentales. Comprende,
entre otros, el empleo de técnicas subliminales que pueden conducir a la
manipulación de personas generando el riesgo de causar daños físicos o
psicológicos a la persona en cuestión o terceros; los sistemas que pretenden
aprovecharse de la especial vulnerabilidad de determinados grupos de personas;
ciertos sistemas de puntuación social por parte de autoridades públicas; y
determinaos sistemas de identificación biométrica remota en directo en espacios
públicos con fines policiales. La prohibición va referida a la introducción en
el mercado, la puesta en servicio y el uso de los sistemas de IA en cuestión en
el conjunto de la Unión.
Los
sistemas de riesgo alto son objeto de regulación en el Título III de la
Propuesta, que constituye su componente principal, pues abarca los
artículos 6 a 51 y sus correspondientes
anexos. La calificación como de alto riesgo se lleva a cabo en función de su
potencial lesivo en la seguridad de las personas o respecto de sus derechos
fundamentales, teniendo en cuenta no solo la función que el sistema de IA
desempeña sino también las finalidades concretas para las que se contempla su
uso. De este modo, los sistemas de IA destinados a ser utilizados en la gestión
de infraestructuras críticas, como el tráfico por carretera, el suministro de
agua o electricidad son clasificados como de alto riesgo; al igual que los utilizados
en el ámbito educativo para la calificación de las personas en la medida en que
pueden afectar a su desarrollo académico y profesional; así como los empleados
en el ámbito de las relaciones laborales, tanto para tomar decisiones acerca de
la contratación de trabajadores como para decidir sobre su promoción; los
utilizados en relación con el acceso o disfrute por las personas de ciertos
beneficios o servicios públicos o privados esenciales, como la evaluación en
relación con el ofrecimiento de servicios de crédito o prestaciones sociales; los
empleados para la gestión de las migraciones, asilo y control de fronteras; y
los utilizados en la administración de justicia para asistir a las autoridades
judiciales en la investigación e interpretación de hechos y de normas y en la
aplicación de éstas a hechos concretos. También los sistemas de identificación
biométrica remota no prohibidos se consideran de riesgo alto y están sometidos
a requisitos estrictos.
Esta categoría
de riesgo alto está integrada por dos grupos de sistemas de IA: los componentes
de seguridad de los productos que conforme a la legislación sectorial de la UE enumerada
en el Anexo II de la Propuesta están sometidos a una evaluación de conformidad
por terceros –maquinaria, juguetes, equipos de protección, dispositivos médicos…-;
y los sistemas enumerados en el Anexo III de la Propuesta, que puede ser
modificado por la Comisión mediante la adopción de actos delegados.
Los sistemas
de alto riesgo están permitidos en la Unión, pero sometidos al cumplimiento de
ciertos requisitos y una evaluación de conformidad con carácter previo a su
introducción en el mercado, puesta en servicio y uso. Los requisitos exigidos
van referidos al establecimiento de un sistema de gestión de riesgos (art. 9);
la calidad de los conjuntos de datos empleados (art. 10); la documentación y
registro (arts. 11 y 12); la transparencia y la divulgación de información a
los usuarios (art. 13); la supervisión humana (art. 14); y la solidez, la
precisión y ciberseguridad (art. 15). Se considera que tales obligaciones se
corresponden en lo esencial con el estándar resultante de las recomendaciones
en la materia y aplicado ya por muchos prestadores diligentes. Estrechamente
ligadas al cumplimiento de los requisitos reseñados, se encuentran las obligaciones
de carácter horizontal que la Propuesta impone a los proveedores de esta
categoría de sistemas (y sus representantes autorizados en situaciones en que
el proveedor está establecido en un Estado tercero), los fabricantes de productos
comprendidos en la relación del Anexo II. A, los importadores y los
distribuidores (arts. 16 a 28). También se imponen obligaciones específicas a
los usuarios de sistemas de IA de alto riesgo (art. 29), con algunas
especificidades respecto a las entidades de crédito y el cumplimiento de la
normativa sobre protección de datos personales. En todo caso, debe destacarse
que, conforme al artículo 3.4 de la Propuesta quien utilizan un sistema de IA
en el marco de una actividad personal y no profesional no tiene la
consideración de usuario a los efectos del Reglamento, de modo que éste no le resulta
de aplicación en tales casos. Por su parte, los artículos 30 a 39 se dedican
básicamente a establecer el marco relativo a la participación de los organismos
implicados en los procedimientos de evaluación de conformidad. Por último, los
artículos 40 a 51 detallan los procedimientos de evaluación de conformidad de
los sistemas de IA que deben seguirse.
La tercera
categoría de sistemas de IA, los de riesgo limitado, están regulados en el
Título IV de la Propuesta (art. 52), y comprende básicamente ciertos sistemas
que interactúan con personas, se emplean para detectar emociones o realizar
asociaciones mediante categorías basadas en datos biométricos (como es característico
de los robots conversacionales), o que son susceptibles de generar o manipular
contenido, como en el caso de los llamados “deep fakes”, si bien en este caso
se prevé que la libertad de expresión puede justificar que el régimen previsto
no resulte de aplicación. Con respecto a estos sistemas de riesgo limitado,
básicamente la Propuesta impone ciertos requisitos de transparencia a los
proveedores de sistemas de IA y a sus usuarios acerca de la utilización de
sistemas de IA para evitar manipulaciones.
Los sistemas
de IA que no se hallan comprendidos en ninguna de las tres categorías
anteriores, se consideran de riesgo mínimo o nulo, que son la mayoría, de modo
que no son objeto de regulación por la Propuesta.
La Propuesta
incorpora en su Título V ciertas medidas destinadas a fomentar la innovación,
entre las que se contempla el establecimiento por los Estados miembros de espacios
controlados para el desarrollo, prueba y aceptación de sistemas de IA
innovadores (en concreto, los artículos 53 a 55 se ocupan de los “IA regulatory
sandboxes”, facilitando la implantación en este ámbito de esa figura
previamente utilizada en el ámbito de la innovación en los mercados financieros).
Los Títulos VI, VII y VIII se encuentran dedicados a los mecanismos de
gobernanza y de aplicación del Reglamento. Respecto de la gobernanza tiene
especial relevancia la creación del European Artificial Intelligence Board o
Comité Europeo de Inteligencia Artificial, compuesto por representantes de los
Estados miembros, de la Comisión y el Supervisor Europeo de Protección de
Daros. El Comité será una pieza clave para la coordinación de las autoridades
nacionales de control. Ciertamente, se prevé la designación por todos los
Estados miembros de autoridades de control para supervisar la aplicación del
Reglamento. Para facilitar la actividad de control por parte de la Comisión y
de las autoridades nacionales el Título VII contempla la creación de una base
de datos específica en relación con sistemas independientes (no integrados en
productos) de IA de alto riesgo, que gestionará la Comisión con la información
facilitada por los prestadores de esos sistemas a los que se exige registrarlos
antes de introducirlos en el mercado o ponerlos en servicio. El Título VIII
regula las obligaciones de control e información de los proveedores de sistemas
de IA tras su comercialización, en particular con respecto a incidentes y
fallos de funcionamiento, así como el control de las autoridades, con una
remisión a las competencias atribuidas por el Reglamento 2019/1020 relativo a
la vigilancia del mercado y la conformidad de los productos.
Con
respecto a los sistemas de IA cuyo riesgo está por debajo del nivel alto
reviste importancia el Título IX, que establece un marco para la adopción de
códigos de conducta con la idea de que esta vía voluntaria pueda facilitar la
asunción por lo prestadores de sistemas de IA de ese tipo de compromisos de
cumplir con requisitos que el Título III de la Propuesta de Reglamento prevé
para los sistemas de IA de riesgo alto.
III. Ámbito de aplicación
El
artículo 2 de la Propuesta regula en su primer apartado el ámbito de aplicación
territorial. En concreto, contempla la aplicación del Reglamento a: a) los
prestadores que introducen en el mercado o ponen en servicio sistemas de AI en
la Unión, con independencia de si están establecidos en la Unión o en un tercer
país; b) los usuarios de sistemas de IA situados en la Unión; c) los
prestadores y usuarios de sistemas de IA que están situados en un tercer país
cuando el resultado producido por el sistema se utiliza en la Unión.
De
esas tres situaciones la tercera parece reclamar especial atención. Su
justificación, según el considerando 11, se encontraría en las peculiares
dificultades inherentes a las situaciones en las que desde terceros Estados se
prestan servicios digitales basados en sistemas de IA. El considerando 11
destaca que en tales situaciones está justificado que el Reglamento pueda
resultar de aplicación respecto de sistemas de IA que no son introducidos en el
mercado, puestos en servicio ni siquiera utilizados en la Unión. Para hacer
frente a esas situaciones se introduce el criterio de que el Reglamento será
siempre de aplicación cuando el resultado producido se utiliza en la Unión. Se
trata de un enfoque razonable pero cuya concreción no está exenta de
dificultades.
Hacer depender
la aplicación del Reglamento en su conjunto de que el usuario decida emplear el
resultado producido en la Unión parece apropiado en relación con la posición –y
obligaciones- del usuario, pero puede resultar cuestionable con respecto a la
posición del proveedor del sistema de IA, cuando esa circunstancia le resulta no
solo desconocida sino imprevisible. El criterio de que el proveedor (en línea)
de un sistema de IA controla dónde va a ser utilizado por el usuario del mismo
el resultado producido por el sistema no parece corresponderse con la realidad.
Lo anterior no
impide constatar que cuando quepa apreciar que el prestador en cuestión ofrece
sus servicios para ser utilizados en la Unión (en la línea de lo previsto en el
art. 3.2.a RGPD) ciertamente el sometimiento al Reglamento en su conjunto
estará plenamente justificado. Si ese es el caso, en realidad cabría entender
que cuando el sistema de IA se ofrece digitalmente para su empleo en la Unión
se trata de situaciones en las que la posición del prestador de servicio
debería ser equiparada a la de quienes introducen en el mercado o ponen en
servicio tales sistemas en la Unión.
Por el
contrario, las situaciones en las que el prestador de servicios digitales que
hace posible la utilización del sistema de IA no ofrece esos servicios en la UE
pese a lo cual usuarios –cabe entender que de manera aislada- utilizan esos
servicios y los resultados generados por su sistema de AI en la UE, parece que
deberían recibir una respuesta parcialmente diferente. Al margen del
sometimiento al Reglamento del usuario que emplea los resultados en la Unión,
puede resultar excesivo considerar que el Reglamento en su conjunto es de
aplicación al proveedor del sistema de IA cuando el uso de sus resultados en la
Unión fuera imprevisible para él. Lo anterior no impide apreciar que respecto
de ese prestador podría estar justificado que se adoptaran medidas, por ejemplo
para bloquear el acceso desde la Unión a sus servicios. Medidas de este tipo
respecto de prestadores establecidos en Estados terceros resultan especialmente
apropiadas para la eficaz protección en la Unión de los derechos que la nueva
legislación trata de salvaguardar.
IV. Interacción con otros instrumentos
Al
valorar el contenido de la Propuesta y su impacto sobre el régimen jurídico de
la inteligencia artificial es esencial tener en cuenta que responde al enfoque
adelantado por la Comisión en su Libro Blanco sobre esta materia, en el sentido
de que, sin perjuicio de lo dispuesto en el nuevo instrumento, con respecto a
la inteligencia artificial resulta aplicable el acervo comunitario relevante,
muy especialmente el RGPD, y el resto de las disposiciones aplicables de
nuestro ordenamiento. A modo de ejemplo, la caracterización de sistemas de IA
que hacen posible generar “deep fakes” como de riesgo limitado y la eventual
aplicación de las normas relevantes de la Propuesta sobre transparencia no
excluyen la eventual aplicación a esas actividades de otras normas de nuestro
ordenamiento, como por ejemplo, cuando proceda, las de la LO 1/1982 de
protección civil del derecho al honor, a la intimidad personal y familiar y a
la propia imagen.
En particular,
un conjunto de normas muy relevantes del ordenamiento de la Unión actualmente
en vigor resultan típicamente de aplicación en relación con el desarrollo de
herramientas de inteligencia artificial, como es el caso de la normativa
reguladora de ciertos derechos fundamentales, especialmente a la protección de
datos personales y a la no discriminación, la legislación sobre protección de
los consumidores, los instrumentos sobre seguridad de productos y servicios, la
legislación de la Unión en materia de responsabilidad por productos, así como
la normativa sectorial en ámbitos como la salud o el transporte. Además,
resulta razonable que la regulación del empleo de herramientas de inteligencia
artificial incorporadas en productos debe tener lugar básicamente en el marco
de la normativa preexistente sobre seguridad de los productos, lo que tiene
reflejo en el artículo 2.2 de la Propuesta de Reglamento. Además, cabe recordar
que la estrategia digital de la UE se funda en el criterio de que para evitar
discriminaciones las actividades en línea no se encuentran en principio al
margen del sometimiento a las normas que se aplican al entorno “offline”, lo
que tiene especial trascendencia en relación con ciertos sectores que no son
objeto de la Propuesta de Reglamento pero sí se proyectan sobre la utilización
de herramientas de inteligencia artificial, como sucede con la legislación
sobre prácticas restrictivas de la competencia o propiedad industrial e
intelectual.
Por
consiguiente, la Propuesta de Reglamento se funda en el criterio de limitar la
intervención a los supuestos en los que estas nuevas tecnologías suscitan
riesgos no resueltos de manera adecuada por el acervo actualmente existente. A
modo de ejemplo, con respecto a la prohibición en el artículo 5 de la Propuesta
de ciertas técnicas subliminales que pueden conducir a la manipulación de
personas generando el riesgo de causar daños físicos o psicológicos a la
persona en cuestión o terceros, resulta ilustrativo que en la explicación de
esa disposición de la Propuesta se señale expresamente que otras prácticas de
manipulación que pueden verse facilitadas por sistemas de IA pueden quedar
cubiertas por las normas vigentes en materia de protección de datos personales,
protección de consumidores o servicios digitales. Ciertamente, normas como el
artículo 22 RGPD o algunas de las contenidas en la Directiva (UE) 2019/2161
relativa a la mejora de la aplicación y la modernización de las normas de
protección de los consumidores de la Unión serán relevantes a esos efectos. Esa
interacción también será intensa con algunos de los otros instrumentos
actualmente en fase de elaboración, como las Propuestas de Reglamentos
relativas a la Ley de Servicios Digitales y a la Ley de Mercados Digitales. Por
su parte, el artículo 2.5 de la nueva Propuesta establece que el nuevo
Reglamento no afecta a la aplicación de las reglas sobre limitación de
responsabilidad de los prestadores de servicios de la sociedad de la
información intermediarios, de modo que en el futuro habrá de estarse a lo
dispuesto en la Ley de Servicios Digitales cuando reemplace a la Directiva
2000/31 sobre el comercio electrónico.
V. Cumplimiento y ejecución
La
Propuesta de Reglamento contempla la introducción de un nuevo entramado
jurídico público tendente a asegurar el cumplimiento y la efectividad de la nueva
normativa, que incluye la creación de un Comité Europeo de Inteligencia
Artificial y la designación de autoridades nacionales de supervisión, a las que
se atribuyen, entre otras funciones de vigilancia del mercado. Aunque algunos
elementos presentan similitudes con el entramado establecido en el RGPD, como
el establecimiento de un Comité Europeo o la obligación de notificación de
incidentes graves o disfunciones que supongan una violación del Derecho de la
UE (art. 62), se trata de un modelo mucho menos elaborado, en gran medida como
consecuencia de la remisión que lleva a cabo al régimen del Reglamento (UE)
2019/1020 relativo a la vigilancia del mercado y la conformidad de los
productos. Además, en ámbitos concretos, en particular cuando el empleo de los
sistemas de IA tiene lugar por instituciones financieras, la supervisión no se
atribuye a la autoridad nacional en materia de IA sino a la autoridad de
supervisión en el ámbito financiero (art. 63.4).
La imposición de sanciones
administrativas y la cuantía de las mismas son objeto de regulación en el
artículo 71. Ahora bien, en la Propuesta de Reglamento presenta singular
interés la eventual adopción de medidas para la retirada de productos
infractores del mercado y la prohibición o restricción de la puesta a
disposición de un sistema de IA (especialmente, arts. 65 a 67).
VI. Otras cuestiones
A diferencia
del RGPD, la Propuesta de Reglamento no incluye disposición alguna sobre el
derecho a indemnización en situaciones en las que el sistema de IA infrinja lo
previsto en el Reglamento. Sin perjuicio de que las disposiciones al respecto
del RGPD serán relevantes también en relación con el uso de sistemas de IA
cuando se produzca una infracción del RGPD, la ausencia de cualquier previsión
al respecto en la nueva Propuesta de Reglamento se corresponde con la opción de
la Comisión de dejar al margen de esta iniciativa las cuestiones en el ámbito
de la responsabilidad civil relevantes en relación con los sistemas de IA.
Ello
pese a que la Comisión ha puesto de relieve en reiteradas ocasiones que ciertas
características de la IA pueden menoscabar la eficacia de la normativa actual
en materia de responsabilidad civil. En concreto, la eficacia tanto de la
Directiva sobre responsabilidad por los daños causados por productos
defectuosos –por ejemplo, con respecto a la delimitación del concepto de
“producto” respecto de ciertos sistemas de IA-, como las de los regímenes
nacionales complementarios no armonizados, en cuestiones como la determinación
de la relación causal entre una conducta humana y los daños sufridos o la
relevancia e interpretación del concepto de culpa en este entorno (Comisión
Europea, “Informe sobre las repercusiones en materia de seguridad y
responsabilidad civil de la inteligencia artificial, el internet de las cosas y
la robótica”, COM(2020) 64 final, pp. 14-17). En todo caso, la presentación de
la Propuesta de Reglamento ha ido unida al anuncio de la intención de la
Comisión de revisar la Directiva sobre responsabilidad por los daños causados
por productos defectuosos para adaptarla a las exigencias de las nuevas
tecnologías, incluida la IA (Comisión Europea, “Fostering a European approach
to Artificial Intelligence” COM(2021) 205 final, p. 2).
