Nota informativa: entrada en vigor del Reglamento Europeo de IA

Fue aprobado el pasado 21 de mayo después de un largo periodo de negociaciones entre las diferentes instituciones de la Unión Europea, tras el cual se da a luz a una norma pionera cuyo objetivo es regular la comercialización y el uso de sistemas de inteligencia artificial y que, como sucedió en su momento con el Reglamento (UE) 2016/679 de Protección de Datos Personales (en adelante, RGPD), aspira a convertirse en un marco normativo de referencia a nivel global.

Para conseguir estos objetivos, el Reglamento de Inteligencia Artificial impone una serie de obligaciones a todos los sujetos implicados, desde a los desarrolladores hasta a los usuarios, pasando por los proveedores, importadores, distribuidores o responsables del despliegue de sistemas de inteligencia artificial. Es decir, estarán sujetos a las disposiciones de este Reglamento también los usuarios – personas físicas o jurídicas- presentes o establecidos en la Unión Europea. Por supuesto, el Reglamento establece también un marco de protección garantista de los derechos de aquellas personas afectadas que estén ubicadas en la UE.

No obstante, cabe resaltar la existencia de excepciones a la aplicabilidad del Reglamento en determinados casos como, por ejemplo, el uso de sistemas de IA por personas físicas para una finalidad no profesional o el uso exclusivo para fines militares, de seguridad nacional o de desarrollo científico. Estas exclusiones a su ámbito de aplicación muestran la intención de la UE de no poner palos en la rueda del desarrollo de la IA, focalizándose en la regulación de aquellos usos y sistemas que puedan generar un riesgo en el mercado y en los individuos.

Al igual que el mencionado RGPD, el Reglamento de Inteligencia Artificial tiene un enfoque basado en el riesgo, es decir, se aborda la IA según los riesgos que entrañe para las personas y se gradúa la aplicación de su articulado en función del alcance y criticidad de dichos riesgos. Los sistemas de IA considerados de alto riesgo, deberán cumplir con una serie de obligaciones entre las que destacan: el establecimiento de un sistema de gestión de riesgos y para la adopción de medidas de control; la sujeción a prácticas de gobernanza y gestión de datos; la elaboración de documentación técnica; inclusión de vigilancia humana o; niveles adecuados de ciberseguridad. Por otro lado, el Reglamento incluye prácticas prohibidas por suponer un riesgo inaceptable, y que hasta ahora sonaban más a ciencia ficción o a futuros distópicos propios de series de televisión como Black Mirror o películas como Minority Report, como pueden ser la clasificación de personas mediante puntuación ciudadana, la predicción de potencial criminalidad, o el uso de técnicas subliminales, manipuladoras o engañosas que impidan a los individuos tomar decisiones informadas.

Para garantizar la aplicación de la norma en todos los Estados Miembros, se les obliga a constituir un órgano supervisor que, en el caso de España será la Agencia Española de Supervisión de Inteligencia Artificial, creada mediante el Real Decreto 729/2023 de 23 de agosto y que tiene atribuidas funciones de inspección, comprobación y de imposición de sanciones, las cuales podrán alcanzar los 35 millones de euros o el 7% del volumen de negocios anual a escala mundial.

A este respecto, el Reglamento no será aplicable hasta pasados dos años de su entrada en vigor, salvo algunas excepciones como son las disposiciones relativas a los sistemas de alto riesgo, que serán aplicables a partir del 2 de agosto de 2027.

Esto implica que las organizaciones que utilicen sistemas o modelos de IA, sea cual sea el sector al que pertenezcan, deberán cumplir con las obligaciones que les atribuya la norma. Por ejemplo, antes de la llegada de dichas fechas, las entidades del sector financiero que utilicen sistemas de IA que impliquen clasificación crediticia de personas, o las entidades del sector seguros que utilicen sistemas para evaluar riesgos y fijar precios, deberán adaptarse asegurándose de que los sistemas utilizados cumplen con los requisitos de gobernanza, transparencia, protección de derechos fundamentales y garantía de datos.

Desde el área de Consultoría de Forvis Mazars ayudamos a nuestros clientes, previo análisis del inventario de sistemas y modelos de IA que soporten sus procesos, a definir un marco de gobierno que les permita implementar las medidas necesarias para cumplir los requisitos establecidos en el Reglamento de Inteligencia Artificial para una correcta adecuación al mismo antes de su aplicabilidad directa.

Puede descargar la nota Informativa a continuación: