El artículo 2.1 RIA establece su
ámbito territorial (y personal) de aplicación. Reproduciendo sustancialmente el
contenido de ese apartado, cabe partir de que se contempla la aplicación del
Reglamento a: a) los proveedores que introducen en el mercado o ponen en
servicio sistemas de IA o modelos de IA de uso general en la Unión, con
independencia de si están “establecidos o ubicados” en la Unión o en un tercer país; b) los
responsables del despliegue de sistemas de IA que estén establecidos o ubicados
en la Unión; c) los proveedores y responsables del despliegue de sistemas de IA
que estén establecidos o ubicados en un tercer país, “cuando los resultados de
salida generados por el sistema de IA se utilicen en la Unión”; d) los
importadores y distribuidores de sistemas de IA en la UE; e) los fabricantes de
productos que introduzcan en el mercado o pongan en servicio un sistema de IA
junto con su producto y con su propio nombre o marca en la Unión; f) los
representantes autorizados de los proveedores que no estén establecidos en la
Unión; y g) las personas afectadas que estén ubicadas en la Unión.
Empezando por
el final, la referencia del inciso final g) a las personas afectadas que estén
ubicadas en la Unión resulta atípica, en la medida en que no es lo habitual que
al delimitar el ámbito territorial de aplicación en la relación de los
obligados a su cumplimiento se incluya la mención en esos términos de las
personas cuyos derechos e intereses trata de protegerse (resulta ilustrativo al
respecto el artículo 3 RGPD, el artículo 2.1 Reglamento 2022/2065 de Servicios Digitales o el artículo 1.2 del Reglamento
(UE) 2022/1925 de Mercados Digitales). No obstante, refuerza el criterio de
que, pese a que su ámbito de aplicación territorial engloba ciertas actividades
de operadores establecidos o ubicados en un tercer país, incluso en ocasiones
cuando se desarrollan fuera de la UE, su aplicación solo se justifica en
situaciones que producen efectos significativos en la UE, precisamente al estar
las personas afectadas por tales actividades ubicadas en la Unión.
Precisamente,
desde la perspectiva del cuestionamiento de la pretendida aplicación
extraterritorial y potencialmente excesiva de algunas de estas normas de la
Unión, cabe constatar que los incisos a) y d) del art. 2.1 RIA, van referidos a
situaciones en las que no resulta cuestionable que la aplicación del RIA obedece a una conexión significativa
con la UE. Así resulta con claridad de la complementados con el significado atribuido
en el artículo 3 RIA a los conceptos de “distribuidor” (quien no siendo el proveedor
ni el importados comercializa “en el mercado de la Unión”-art. 3.7-), “introducción
en el mercado” (en concreto, “en el mercado de la Unión” -art. 3.9-), “comercialización”
(suministro para “su distribución o utilización en el mercado de la Unión” -art.
3.10-), “puesta en servicio” (“en la Unión” -art. 3.11).
La aplicación en todo caso y sin matizaciones a “los responsables del
despliegue de sistemas de IA que estén establecidos o ubicados en la Unión”,
prevista en el inciso b) (cdo. 21) puede generar algunas dudas, incluso desde
la perspectiva de la competitividad de la UE (el término “responsable del
despliegue” se define en el art. 3.4 RIA sin referencia específica a la
utilización del sistema en el territorio de la UE). El empleo en el artículo
2.1 RIA de la expresión “establecidos o ubicados” en la Unión puede facilitar la apreciación de que concurre esta circunstancia respecto de la
Unión en operadores, sistemas y modelos de IA estrechamente vinculados también
con terceros países. Apreciar la existencia de un establecimiento en la UE
implica en principio constatar tan solo el ejercicio de manera efectiva y real
de una actividad a través de modalidades estables en la UE, sin que la forma
jurídica de tales modalidades sea relevante. Ese resultado podría alcanzarse
mediante la aplicación analógica de lo previsto en el considerando 22 del RGPD, basado en la jurisprudencia del Tribunal de Justicia al respecto. La
referencia en el artículo 2.1 RIA a “establecidos o ubicados” en la Unión parece avalar una interpretación flexible, que tal vez en relación con el
inciso c) deba adaptarse en situaciones en las que el despliegue en cuestión
tiene lugar únicamente en terceros países.
Mención
específica merece el inciso c) del artículo 2.1, referido a los proveedores y
responsables del despliegue de sistemas de IA que estén establecidos o ubicados
en un tercer país, “cuando los resultados de salida
generados por el sistema de IA se utilicen en la Unión”. Cabe considerar
que ciertamente hay circunstancias en las que la aplicación del RIA con base en
que los resultados de salida generados por el sistema de IA se utilicen en la
Unión está plenamente justificada, pues precisamente esa utilización resulta
determinante de que la actividad -incluso desarrollada en un tercer país por
alguien ubicado allí- tenga un efecto significativo en la UE. El considerando 22
del RIA destaca que en tales situaciones está justificado que el Reglamento
pueda resultar de aplicación respecto de sistemas de IA que no son introducidos
en el mercado, puestos en servicio ni siquiera utilizados en la Unión. Como ejemplo
menciona situaciones en las que un operador establecido en la Unión contrata con
un operador establecido en un tercer país que le preste servicios en relación
con una actividad que llevará a cabo un sistema de IA que se consideraría de
alto riesgo para posteriormente utilizar los resultados de salida en la Unión. Para
hacer frente a esas situaciones se introduce el criterio de que el Reglamento
será siempre de aplicación cuando el resultado producido se utiliza en la
Unión. Se trata de un enfoque razonable pero cuya concreción no está exenta de
dificultades.
Hacer depender
la aplicación del Reglamento en su conjunto de que el usuario decida emplear el
resultado producido en la Unión parece apropiado en relación con la posición –y
obligaciones- del usuario, pero puede resultar cuestionable con respecto a la
posición del proveedor del sistema de IA, cuando esa circunstancia le resulta
no solo desconocida sino imprevisible. En este sentido, merece una opinión
favorable, pues puede mitigar ese riesgo, el que en la versión final del
RIA la referencia en el considerando 11 de la Propuesta a la aplicación
del Reglamento en esos puestos “en la medida en que la información de salida
generada por dichos sistemas se utilice en la Unión” se ha sustituido en el
nuevo considerando 22 por la afirmación “en la medida en que los resultados de
salida generados por dichos sistemas estén destinados a utilizarse en la Unión”.
Pese a su escasa precisión y a que el texto de la norma -art. 2.1.c)- no se ha
modificado en el mismo sentido, la nueva redacción dada a ese considerando
avala una interpretación restrictiva del artículo 2.1.c RIA sobre ese
particular, para hacer frente al riesgo señalado.
El criterio de
que el proveedor (en línea) de un sistema de IA controla en todo caso dónde va
a ser utilizado por el usuario del mismo el resultado producido por el sistema
no parece corresponderse con la realidad. Cuando quepa apreciar que el proveedor o el responsable del despliegue en
cuestión ofrece los servicios relacionados con el sistema de IA en cuestión
para ser utilizados en la Unión ciertamente el sometimiento al RIA en su
conjunto estará plenamente justificado (en la línea de lo previsto en el art.
3.2.a RGPD). Si ese es el caso, en realidad cabría entender que cuando se
ofrecen servicios o resultados de actividades que implican el empleo del
sistema de IA para su empleo en la Unión se trata de situaciones en las que la
posición del operador debería ser equiparada a la de quienes introducen en el
mercado o ponen en servicio tales sistemas en la Unión. Por el contrario, las
situaciones en las que el operador que hace posible la utilización del sistema
de IA no ofrece esos servicios en la UE, pese a lo cual operadores –cabe
entender únicamente de manera aislada- utilizan esos servicios y los resultados
generados por su sistema de IA en la UE, parece que deberían recibir una
respuesta parcialmente diferente. Al margen del sometimiento al Derecho de la
UE del operador que emplea los resultados en la Unión, puede resultar excesivo
considerar que el Reglamento en su conjunto es de aplicación al proveedor del
sistema de IA cuando el uso de sus resultados en la Unión fuera imprevisible
para él. Lo anterior no impide apreciar que respecto de ese operador podría
estar justificado que se adoptaran medidas, por ejemplo, para bloquear el
acceso desde la Unión a sus servicios, con base en las normas de la Unión y nacionales
que puedan resultar aplicables, incluidas en su caso el Reglamento de Servicios
Digitales (también su art. 9.2.b sobre la necesidad de limitar territorialmente
de manera estricta el alcance de este tipo de medidas) y las relativas a servicios
de la sociedad de la información. Medidas de este tipo respecto de operadores
establecidos en Estados terceros pueden resultan especialmente apropiadas en el
entorno digital para la eficaz protección en la Unión de los derechos que el
RIA trata de salvaguardar.
