ADRIANA MEDEM DEL MORAL
Mercantil
El pasado martes, 21 de mayo de 2024, el Consejo de la Unión Europea aprobó el Reglamento de Inteligencia Artificial (en adelante, “R.I.A.” o el “Reglamento”), convirtiéndose así, la Unión Europea, en la primera región mundial en confeccionar un marco jurídico uniforme para el desarrollo de la Inteligencia Artificial (en adelante, “I.A.”). Los objetivos del R.I.A. incluyen, entre otros, garantizar una mejor gobernanza y afianzar la seguridad y el respeto de los derechos fundamentales, así como, promover la inversión e innovación en I.A. dentro de la Unión Europea y facilitar el desarrollo de un mercado único para las aplicaciones de esta. En definitiva, lo que el R.I.A busca es allanar el camino hacia un uso ético, seguro y fiable de la I.A. Para ello cuenta con una serie de disposiciones, entre las cuales destacan las prohibiciones, los requisitos de transparencia, la evaluación de riesgos y las sanciones que se prevén.
Esta nueva normativa implica que los usuarios y proveedores de I.A. deberán adaptar sus usos y costumbres para alinearlos con los valores, principios y normas que se despliegan del Reglamento. Luego, cualquier empresa que se beneficie del uso de la I.A. deberá conocer cuales son los derechos y deberes enumerados en el R.I.A, a fin de cumplir con las obligaciones que se desprenden del mismo dentro del plazo estipulado.
Dado el enfoque adoptado por el acto legislativo, consistente en asociar unas normas más estrictas a un mayor riesgo, es crucial para la empresa saber bajo qué riesgo opera en todo momento, a fin de conocer las obligaciones que este conlleva. La clasificación establecida por el R.I.A. es la siguiente: riesgo mínimo o nulo, riesgo limitado, riesgo alto y riesgo inaceptable o prohibido.
En primer lugar, el riesgo mínimo o nulo suele ser el asociado a la mayoría de los sistemas de I.A. Esta categoría está dotada de la mayor libertad y prácticamente carece de obligaciones legales, ya que la posibilidad de que los sistemas que pertenecen a la misma dañen los derechos de los ciudadanos es mínima, si no inexistente. No obstante, se recomienda, aun así, que las empresas que lleven a cabo actividades que recaigan en esta categoría suscriban códigos de conducta, adicionales a los existentes, sobre los sistemas de I.A.
En segundo lugar, los sistemas con calidad de riesgo limitado deberán cumplir con leves obligaciones de transparencia. Esto implica que los clientes deberán ser informados cuando una empresa esté utilizando I.A. en sus actividades.
En tercer lugar, si una actividad recae bajo la categoría de alto riesgo, estará autorizada siempre y cuando cumpla con las obligaciones y requisitos para acceder al mercado de la Unión Europea. Ejemplos de dichos requisitos incluyen sistemas de mitigación de riesgos, conjuntos de datos de alta calidad o aseguramiento de un alto grado de ciberseguridad.
En cuarto y último lugar, aquellos sistemas considerados una evidente amenaza a los derechos fundamentales de los ciudadanos quedan prohibidos por ser considerados sistemas de riesgo inadmisible.
En caso de incumplimiento, la empresa infractora podría verse afectada por multas de hasta 35 millones de euros o del 7% del volumen de los negocios anual mundial. Las multas que establece el Reglamento se ajustan en función del deber infringido. Las pymes y empresas emergentes no escapan de estas multas en caso de violación de la ley, sin embargo, las sanciones aplicadas a estas son administrativas y proporcionales.
En definitiva, se recomienda que las empresas empiecen a crear un ámbito de comprensión y gestión de los riesgos aparejados a la I.A. antes de que venzan los plazos establecidos en el Reglamento para adaptarse al mismo. En general, todas las disposiciones deben de cumplirse antes de los 2 años desde la publicación en el Boletín Oficial de la Unión Europea (en adelante, “B.O.U.E.”) del Reglamento. Sin embargo, hay ciertas obligaciones cuyo plazo es menor y por lo tanto su cumplimiento más urgente. El cambio más inminente que deben de llevar a cabo las empresas es la erradicación de todos los sistemas que se consideren riesgos prohibidos. La urgencia en este sentido se debe a que la prohibición será exigible a partir de la fecha en la que transcurran 6 meses desde la publicación en el B.O.U.E. del R.I.A.
Cabe recalcar que no se recomienda el estudio del Reglamento meramente para evitar posibles sanciones o multas por el incumplimiento de disposiciones incluidas en este, sino también para poder aprovechar las oportunidades sociales y económicas que trae consigo. Ante nada, dado el ímpetu de los legisladores en crear un ambiente de confianza, transparencia y rendición de cuentas en todo cuanto engloba a la I.A, presumiblemente, aquellas empresas que se rijan por la ley estarían creando un ambiente de seguridad, llamativo y preferible a ojos del cliente. Asimismo, siendo la regulación de la I.A. un acto pionero a nivel mundial es razonable anticipar que podría llegar a constituir la base para un futuro sistema de regulación global, lo que beneficiaria a aquellas empresas ya familiarizadas con el mismo.
Finalmente, no está de menos mencionar que al aprobarse el presente Reglamento, se está incorporando al acervo del derecho de la Unión Europea, luego debe de entenderse en conjunto con este, es decir, como un instrumento que lo complementa, y no como sustitución de reglamentos o leyes anteriores similares. Luego, legislación como el Reglamento general de protección de datos o la Ley de Resiliencia de las Operaciones Digitales, debe de ser tenida en cuenta a la hora de interpretar y aplicar el Reglamento de Inteligencia Artificial.
En conclusión, el Reglamento emitido por la Unión Europea respecto de la Inteligencia Artificial es un movimiento pionero en el mundo y sus efectos deben de ser tenidos en cuenta en el ámbito empresarial a fin de cumplir con la legislación vigente, evitar sanciones y aprovechar las oportunidades que deriven de esta.