El pasado día
1 entró en vigor el Reglamento (UE) 2024/1689 de Inteligencia Artificial (RIA). Con carácter general sólo será aplicable a partir del 2 de agosto
de 2026, si bien se prevé la aplicación escalonada de partes significativas de
su contenido (art. 113). En particular, sus normas sobre prácticas de
inteligencia artificial (IA) prohibidas se aplicarán a partir del próximo 2 de
febrero. Además, una de las novedades más significativas del texto final del
Reglamento frente a la Propuesta inicial de la Comisión (que reseñé en su
momento aquí), como es su marco relativo a los modelos de IA de uso
general, introducido en la tramitación legislativa al hilo de la creciente
trascendencia social del empleo de tales modelos -por ejemplo, en relación con
el uso de ChapGPT o Gemini-, será de aplicación a partir del próximo 2 de
agosto.
Dedicaré
cuatro entradas al nuevo instrumento. En esta primera trataré de sintetizar
sus fundamentos, incluidos algunos de sus conceptos básicos, y hacer referencia
a su encuadramiento sistemático en el conjunto del ordenamiento de la Unión como elemento condicionante de su significado y alcance. En la segunda (aquí),
trataré de ofrecer una breve panorámica de su prolijo contenido, con referencia
a las prohibiciones que establece, el entramado de obligaciones que impone y el
marco de supervisión previsto. La tercera y la cuarta estarán dedicadas a
cuestiones puntuales. En concreto, en la tercera (aquí) me detendré en
el ámbito de aplicación territorial del nuevo instrumento. Por último, en la
cuarta (aquí), también poniendo el acento en las implicaciones
internacionales del RIA, me referiré a su interacción con la normativa sobre
propiedad intelectual.
I. Objetivos
Los objetivos a los que responde la adopción del
RIA y los motivos que lo fundamentan aparecen sintetizados en su artículo 1.1. Básicamente,
son tres. En primer lugar, pretende garantizar la tutela de los derechos
fundamentales de las personas situadas en la Unión mediante la adopción de
medidas para hacer frente a las amenazas y riesgos que suscitan los sistemas de
IA, promoviendo una IA “centrada en el ser humano y fiable” (cdo. 1). Este
primer objetivo condiciona el enfoque en el que se basa el RIA. Pretende
establecer un conjunto proporcionado de normas en función de la intensidad y el
alcance de los riesgos que generan los diversos sistemas de IA, lo que
condiciona su estructura (cdo. 26). Además, también condiciona la
identificación de siete principios como directrices genéricas a tener en cuenta
en el diseño de una IA coherente, fiable y centrada en el ser humano, respetuosa
con los derechos fundamentales y con los valores de la UE: acción y supervisión
humanas; solidez técnica y seguridad; gestión de la privacidad y de los datos;
transparencia; diversidad, no discriminación y equidad; bienestar social y
ambiental, y rendición de cuentas (cdo. 27 RIA).
Vinculado con
ese primer objetivo se encuentra el de asegurar el funcionamiento del mercado
interior frente a la fragmentación inherente al eventual desarrollo de
legislaciones nacionales diversas en los Estados miembros para dar respuesta precisamente
a los riesgos y amenazas de ciertos sistemas y modelos de IA. Evitar esa
fragmentación justifica la adopción de un marco armonizado que asegure a nivel
de la Unión la libre circulación de mercancías y servicios basados en la IA.
Esos dos
primeros objetivos, relativos, de una parte, a la protección de derechos
fundamentales de las personas afectadas que se encuentran ubicadas en la Unión
y, de otra, a la regulación del mercado interior en relación con la actividad de
los operadores que desarrollan, importan o utilizan sistemas de IA en la Unión,
condicionan decisivamente la dimensión internacional y el ámbito territorial
del RIA, a los que se hará referencia más adelante. Básicamente, implican que
debe concebirse como un instrumento de orden público y de aplicación necesaria en
la medida en que las prácticas, sistemas y modelos de IA o los productos y
servicios conexos objeto de regulación afecten (significativamente) a las
personas que se encuentran en la Unión o a los intercambios en el mercado
interior. Estos dos objetivos también condicionan las bases jurídicas en las
que se funda el RIA. Junto al artículo 114 TFUE, como componente esencial, en
tanto que base para la la adopción de medidas de aproximación de las
legislaciones destinadas a garantizar el funcionamiento del mercado interior
conforme al artículo 26 TFUE, se incluye el artículo 16 TFUE en relación con el
derecho a la protección de datos personales. Esta segunda base no debe impedir
apreciar que en esa materia el RIA se limita a incorporar disposiciones
puntuales que complementan al Reglamento 2016/679 General de Protección de
Datos (RGPD), cuya aplicación y significado como instrumento central en la
materia confirma el nuevo instrumento.
Como tercer objetivo
el RIA pretende reforzar la innovación en el seno de la UE en materia de IA. Este
propósito de reforzar la innovación se vincula con la necesidad de valorar de
cara al futuro si lo que constituye un instrumento de regulación de la IA
pionero a nivel comparado, con un elaborado régimen de restricciones y
garantías, no sólo se convierte en un marco normativo que, a partir del conocido
“efecto Bruselas”, resulta un referente para los legisladores de otras regiones
del mundo y condiciona de hecho la actividad más allá de la UE de los actores
implicados, en la línea del RGPD, sino que además contribuye realmente a la
innovación en el seno de la UE en comparación con otras regiones. Se trata de
algo particularmente relevante en este caso, habida cuenta de las potenciales
ventajas competitivas inherentes a la utilización de la IA. Hasta la fecha, en
otros ámbitos, el liderazgo normativo y en el establecimiento de estándares de
relevancia internacional por parte de la Unión no ha ido unido –tal vez por los
costes inherentes a algunas de sus exigencias y muy especialmente por las
carencias en su aplicación efectiva a operadores de terceros Estados- al
liderazgo empresarial europeo en el desarrollo y explotación de los servicios en
cuestión, incluso dentro de la propia Unión.
II. Perspectiva sistemática: marco
horizontal, complementario y limitado
El
RIA establece un marco regulatorio horizontal, es decir, no limitado a sectores
concretos. El enfoque horizontal determina que este instrumento esté llamado a
proyectarse sobre el conjunto de sectores en los que se utilicen los sistemas
de IA, desplazando o condicionando la normativa sectorial sobre el particular.
Su carácter horizontal se vincula también con la finalidad de proporcionar el
marco general en materia de IA, que condiciona y sobre el que se construye el
ulterior acervo de la Unión en esta materia, como ilustra, por ejemplo, la
futura Directiva sobre responsabilidad en materia de IA -COM(2022) 496 final-, elaborada
sobre las categorías definidas en el RIA y sobre la clasificación de los
sistemas de IA del RIA.
No
obstante, al valorar el contenido del RIA y su repercusión sobre el régimen
jurídico de la IA es esencial tener en cuenta que se trata de un instrumento
que responde en buena medida al enfoque adelantado ya por la Comisión en su
Libro Blanco sobre IA (COM(2020) 65 final). En principio, el nuevo instrumento
se funda en el criterio de limitar la intervención legislativa a los supuestos
en los que estas nuevas tecnologías suscitan riesgos no resueltos de manera
adecuada por el acervo existente. En este sentido, el artículo 1.2 RIA ofrece
la síntesis de su objeto. En concreto, el nuevo instrumento establece normas
armonizadas relativas a la introducción en el mercado, la puesta en servicio y la
utilización de sistemas de IA en la UE; prohibiciones de un reducido conjunto
de prácticas de IA que se considera que generan riesgos inadmisibles;
requisitos específicos para los sistemas de IA de alto riesgo así como
obligaciones para los operadores de dichos sistemas; normas de transparencia
respecto de ciertos sistemas de IA que generan un riesgo limitado; normas sobre
la introducción en el mercado de modelos de IA de uso general; normas sobre
supervisión y cumplimiento; y medidas en apoyo de la innovación.
Sin perjuicio
de lo dispuesto en el nuevo instrumento, su contenido no menoscaba que con
respecto a los modelos y sistemas de IA y los productos y servicios conexos
resulta de aplicación el acervo comunitario relevante, muy especialmente el
RGPD, y el resto de las disposiciones aplicables de nuestro ordenamiento (cdo.
9 RIA). El carácter de marco general de regulación de la IA del nuevo
instrumento no debe impedir apreciar que un conjunto muy significativo de
normas del ordenamiento de la Unión y de las legislaciones de los Estados
miembros resulta típicamente de aplicación en relación con el desarrollo y
utilización de sistemas y modelos de IA y productos y servicios conexos. A modo
de ejemplo, tal es el caso de la normativa reguladora de ciertos derechos
fundamentales, no solo el de protección de datos personales, sino también, por
ejemplo, a la no discriminación. Igualmente sucede con la legislación sobre
protección de los consumidores y de los trabajadores, los instrumentos sobre
seguridad de productos y servicios, la legislación en materia de
responsabilidad por productos (en fase, precisamente, de adaptación también a
los retos del entorno digital), los instrumentos sobre servicios de la sociedad
de la información y servicios y mercados digitales, así como la normativa
sectorial en ámbitos como la salud o el transporte.
Además, desde
una perspectiva más general, cabe recordar que la estrategia digital de la UE
se funda en el criterio de que para evitar discriminaciones las actividades en
línea no se encuentran en principio al margen del sometimiento a las normas que
se aplican al entorno “offline”. Lo anterior tiene especial trascendencia en
relación con ciertos sectores que no son en principio objeto del RIA pero sí se
proyectan sobre la utilización de sistemas y modelos de IA, como sucede con la
legislación sobre prácticas restrictivas de la competencia o propiedad
industrial e intelectual.
A modo de
ejemplo, la caracterización en el RIA de sistemas de IA que hacen posible
generar “deep fakes” (“ultrasuplantaciones” en la terminología del RIA) como de
riesgo limitado -cuando no se trate de sistemas de IA que encajen entre los
clasificados como de alto riesgo- y la consiguiente aplicación de las normas
relevantes de su Capítulo IV (art. 50 RIA) sobre transparencia, no excluyen la
eventual aplicación a esas actividades de otras normas de nuestro ordenamiento.
Será el caso, cuando proceda, de la LO 1/1982 de protección civil del derecho
al honor, a la intimidad personal y familiar y a la propia imagen, de la
legislación sobre propiedad intelectual o, incluso, de las normas penales que
puedan resultar aplicables.
Ese criterio
sobre la interacción entre el RIA y otros instrumentos del Derecho de la Unión
y de las legislaciones de los Estados miembros tiene reflejo en su artículo 2. Se destaca expresamente que el RIA no afecta al RGPD y la Directiva
2002/58 sobre la privacidad y las comunicaciones electrónicas, que resultan
plenamente aplicables (art. 2.7 RIA). El término “dato personal” se define en el
art. 3.50 RIA por remisión al art. 4.1 RGPD. El criterio general de no
afectación del RIA al RGPD resulta particularmente relevante en relación con el
derecho de todo interesado, conforme a lo dispuesto en el artículo 22 RGPD, a
no ser objeto de una decisión basada únicamente en el tratamiento automatizado,
incluida la elaboración de perfiles -término que en el art. 3.52 RIA se define
por remisión al artículo 4.4 RGPD-, que produzca efectos jurídicos en él o le
afecte significativamente de modo similar, así como en relación con el eventual
derecho a indemnización del interesado en caso de infracción de la prohibición
del art. 22 RGPD, conforme al artículo 82 RGPD. Además, ese criterio resulta
determinante de la eventual aplicación del elaborado régimen de supervisión en
materia de protección de datos personales que establece el RGPD cuando proceda,
incluidas las funciones de las autoridades de control independientes. En este
sentido, el RIA aclara que los proveedores y los responsables del despliegue de
sistemas de IA, en la medida en que sean responsables o encargados del
tratamiento de datos personales en relación con el diseño, el desarrollo o el
uso de sistemas de IA deben cumplir con todas las obligaciones derivadas del
Derecho de la Unión o nacional en materia de protección de datos personales
(cdo. 10 RIA). Además, como subraya su considerando 63, el RIA no constituye un
fundamento jurídico para el tratamiento de datos personales, incluidas las “categorías
especiales de datos personales” -expresión que el art. 3.37 RIA define por
remisión al art. 9 RGPD-, salvo si dispone específicamente otra cosa.
También aclara
el RIA que debe entenderse sin perjuicio de las normas establecidas por otros instrumentos
de la Unión relativos a la protección de los consumidores y a la seguridad de
los productos. De hecho, con respecto a este último ámbito, lo cierto es que el
RIA está construido en gran medida sobre el modelo de la legislación
preexistente relativa a la seguridad de los productos, lo que condiciona, por
ejemplo, su marco de aplicación. Resulta razonable que la regulación del empleo
de herramientas de IA incorporadas en productos tenga lugar básicamente en el
marco de la normativa sobre seguridad de los productos. En relación con la
protección de los consumidores cabe reseñar, a modo de ejemplo, que la
prohibición en el artículo 5.1 RIA de ciertas prácticas de IA especialmente
lesivas que se sirvan de técnicas deliberadamente manipuladoras o engañosas, se
configura como complementaria de la prohibición en la Directiva 2005/29/CE de
las prácticas comerciales desleales que causan perjuicios económicos o
financieros a los consumidores, con independencia de que hayan sido
establecidas mediante sistemas de IA o de otra manera (cdo. 29 y art. 5.8 RIA).
El artículo 2
del RIA hace también referencia expresa a su no afectación a la aplicación de
las disposiciones sobre responsabilidad de los prestadores de servicios
intermediarios del Capítulo II del RSD (art. 2.6 RIA). Más allá de esa no
afectación del RSD, el carácter complementario del RIA con respecto al RSD
tiene su reflejo en lo que respecta a las obligaciones de tales prestadores que
integren sistemas o modelos de IA en sus servicios, como puede ser el caso con
herramientas de recomendación o de moderación de contenidos. El RIA se basa en
la presunción de que cuando quienes integran esos sistemas o modelos de IA son
operadores designados como plataformas en línea de muy gran tamaño o motores de
búsqueda en línea de muy gran tamaño, sometidos, por lo tanto, al elaborado régimen
de obligaciones de diligencia debida previsto en la Sección 5 del Capítulo III
RSD, debe presumirse que se han cumplido las obligaciones correspondientes del RIA
a menos que surjan riesgos sistémicos significativos no cubiertos por el RSD.
Además, el RIA constata que los sistemas de IA pueden en la práctica prestarse
como servicios intermediarios en el sentido del RSD (o en el marco de tales
servicios), lo que no debe en principio afectar a la exigencia de cumplir con
las obligaciones previstas en el RSD, que debe interpretarse de manera
tecnológicamente neutra (cdos. 118 y 119 RIA).
En lo relativo
a su interacción con la legislación sobre protección de los trabajadores, la
aplicación al ámbito laboral del RIA no impide que la Unión o los Estados
miembros puedan mantener o introducir disposiciones más favorables a los
trabajadores en relación con la protección de sus derechos respecto al uso de
sistemas de IA por los empleadores (art. 2.11 RIA). También aclara el RIA que
no debe afectar a las normas nacionales en materia de protección de menores (de
dieciocho años), en la medida en que no son específicas a los sistemas de IA y
persiguen otros objetivos legítimos de interés público (cdo. 9 RIA). Se trata
de ámbitos en los que se aprecia el desarrollo de iniciativas legislativas
específicas en distintos Estados miembros.
Una limitación
significativa con respecto al alcance práctico del RIA es que no se aplica a
las personas físicas que utilizan sistemas de IA en el ejercicio de una
actividad puramente personal de carácter no profesional (arts. 2.10 y 3.4 RIA),
en la línea de lo previsto con respecto al ámbito de aplicación material en
otros instrumentos como el RGPD, cuyo artículo 2.2.c) precisa que no se aplica
al tratamiento de datos personales efectuado por una persona física en el
ejercicio de actividades exclusivamente personales o domésticas. Además, para
contribuir a fomentar la innovación, el RIA tampoco es de aplicación a los
sistemas o modelos de IA desarrollados y puestos en servicio “específicamente
con la investigación y el desarrollo científicos como única finalidad” (art.
2.6 RIA), ni a las actividades de investigación, prueba o desarrollo relativas
a sistemas modelos de IA antes de su introducción en el mercado o puesta en
servicio (art. 2.8 RIA).
Otras
exclusiones relevantes del ámbito de aplicación material del RIA en su artículo
2 van referidas a que este marco general no es aplicable a los sistemas de IA
en la medida en que se introduzcan en el mercado, se pongan en servicio o se
utilicen exclusivamente con fines militares, de defensa o de seguridad nacional.
Además, tampoco afecta a las competencias de los Estados miembros en materia de
seguridad nacional, independientemente del tipo de entidad a la que los Estados
miembros hayan encomendado el desempeño de tareas en relación con dichas
competencias.
III. Algunos conceptos básicos
El término fundamental alrededor del cual se
construye el RIA es el de “sistema de IA”, cuya definición ha experimentado una
notable evolución desde el texto de la Propuesta inicial de la Comisión. Finalmente,
“sistema de IA” se define como: “un sistema basado en una máquina que está
diseñado para funcionar con distintos niveles de autonomía y que puede mostrar
capacidad de adaptación tras el despliegue, y que, para objetivos explícitos o
implícitos, infiere de la información de entrada que recibe la manera de
generar resultados de salida, como predicciones, contenidos, recomendaciones o
decisiones, que pueden influir en entornos físicos o virtuales” (art. 3.1 RIA).
El
considerando 12 del RIA proporciona precisiones relevantes para conocer las
implicaciones del contenido de esa definición. Destaca que el término sistema
de IA debe diferenciarse de los meros sistemas de software o los planteamientos
de programación tradicionales, y que no incluye los sistemas basados en las
normas definidas únicamente por personas físicas para ejecutar automáticamente
operaciones. Esta precisión se vincula con la evolución de esta definición
durante la tramitación del RIA, al considerarse que la definición de sistema de
IA contenida inicialmente en el artículo 3.1 de la Propuesta de la Comisión
podía resultar demasiado amplia y englobar un volumen excesivo sistemas de
software. En concreto, en la propuesta inicial “sistema de IA” se definía en
términos en parte más amplios y por remisión, como “el software que se
desarrolla empleando una o varias de las técnicas y estrategias que figuran en
el anexo I y que puede, para un conjunto determinado de objetivos definidos por
seres humanos, generar información de salida como contenidos, predicciones,
recomendaciones o decisiones que influyan en los entornos con los que
interactúa.” También aclara el considerando 12 RIA que la expresión “basado en
una máquina” se refiere al hecho de que los sistemas de IA se ejecutan en
máquinas. Como característica principal de los sistemas de IA, destaca su
capacidad de inferencia, que se traduce en que sus resultados de salida
incluyen predicciones, contenidos, recomendaciones o decisiones y que tienen
capacidad para deducir modelos o algoritmos a partir de información de entrada,
de modo que permiten el aprendizaje automático, el razonamiento o la
modelización.
Al
hilo de la inclusión en el RIA durante la tramitación de su procedimiento
legislativo de normas relativas a los “modelos de IA de uso general”, cobra
gran importancia la definición de ese concepto y su delimitación con el de
sistema de IA, a los efectos de concretar el alcance del Capítulo V del RIA. Esta
evolución del objeto del Reglamento se vincula con la creciente relevancia de
tales modelos, por ejemplo, en relación con la utilización de ChapGPT o Gemini.
En concreto, “modelo de IA de uso general” se define como “un modelo de IA,
también uno entrenado con un gran volumen de datos utilizando autosupervisión a
gran escala, que presenta un grado considerable de generalidad y es capaz de
realizar de manera competente una gran variedad de tareas distintas,
independientemente de la manera en que el modelo se introduzca en el mercado, y
que puede integrarse en diversos sistemas o aplicaciones posteriores” (art.
3.63 RIA). En la línea de lo ya previsto en relación con el ámbito material de
aplicación del RIA (art. 2.8), la definición incluye la precisión de que se
excluyen los modelos de IA que se utilizan para actividades de investigación,
desarrollo o creación de prototipos antes de su introducción en el mercado.
El
considerando 97 del RIA aporta precisiones adicionales acerca del concepto de “modelo
de IA de uso general” y su delimitación con el de “sistema de IA”. Destaca que
los modelos de IA son componentes esenciales de los sistemas de IA en los que
suelen estar integrados, pero no constituyen por sí mismos sistemas de IA. La
existencia de un sistema de IA requiere que se añadan al modelo componentes
adicionales, como una interfaz de usuario. Con respecto a la introducción de
tales modelos de IA en el mercado, pone de relieve que puede tener lugar
mediante diversas vías, como a través de bibliotecas, interfaces de
programación de aplicaciones, descarga directa o como copia física.
En
relación con el ámbito de aplicación y el marco de prohibiciones y obligaciones
que el RIA establece, resultan también de especial importancia los conceptos de
los principales destinatarios de las mismas. En concreto, se trata de los
conceptos de “proveedor”, “responsable del despliegue”, “importador”,
“distribuidor”, “representante autorizado”. El concepto de “operador” engloba
todos los anteriores además del de fabricante del producto (art. 3.8 RIA).
“Proveedor” es básicamente
cualquier persona, autoridad u organismo que desarrolla o para el que se
desarrolla un sistema de IA o un modelo de IA de uso general y procede a su
primera comercialización en el mercado de la Unión o a suministrar el sistema
de IA para su primer uso directamente al responsable del despliegue o para uso
propio en la Unión, con su propio nombre o marca, previo pago o gratuitamente
(art. 3, apdos. 3, 10 y 11 RIA). “Responsable del despliegue” se define como la
persona, autoridad, u organismo que utiliza un sistema de IA bajo su propia
autoridad (art. 3.4 RIA). “Importador” es la persona ubicada o establecida en
la Unión que introduce en el mercado un sistema de IA que lleve el nombre o la
marca de una persona establecida en un tercer país (art. 3.6 RIA).
“Distribuidor” es la persona que forma parte de la cadena de suministro,
distinta del proveedor o el importador, que comercializa un sistema de IA en el
mercado de la Unión (art. 3.7 RIA).
En relación
con la aplicación efectiva del Reglamento a proveedores no establecidos o
ubicados en un Estado miembro, resulta clave la figura del “representante
autorizado”, que se define como una persona ubicada o establecida en la Unión
que haya recibido y aceptado el mandato por escrito de un proveedor de un
sistema de IA o de un modelo de IA de uso general para cumplir las obligaciones
y llevar a cabo los procedimientos establecidos en el RIA en representación de
dicho proveedor. El artículo 22 RIA, impone a los proveedores establecidos en
terceros países la obligación de nombra a un representante autorizado que esté
establecido en la Unión, antes de comercializar sus sistemas de IA de alto
riesgo en el mercado de la Unión. Una obligación similar impone el artículo 54
RIA a los proveedores de un modelo de uso general establecidos en terceros
países antes de introducirlo en el mercado.