El Diario Oficial de la Unión Europea ha publicado el Reglamento (UE) 2024/1689, que establece normas armonizadas en materia de inteligencia artificial. Esta nueva normativa, que entrará en vigor el 2 de agosto de 2026, busca regular el uso de la inteligencia artificial debido a sus implicaciones en diversas áreas de la sociedad.
No debemos olvidar que la IA representa un riesgo significativo en términos de protección de datos. Al fin y al cabo, las IA “aprenden”, pero la gran pregunta es si aprenden respetando protección de datos o no. No es lo mismo que una IA utilice los datos de todos los usuarios para “saber cosas”, que no los utilice. Si no los utiliza, la IA será menos efectiva, pero será más respetuosa con la normativa europea.
Por ello, y debido a cómo esta tecnología está transformando rápidamente distintos sectores, la Unión Europea ha considerado crucial establecer un marco regulatorio claro que promueva tecnologías sostenibles y garantice el cumplimiento de obligaciones específicas, con el fin de proteger a ciudadanos europeos frente a posibles riesgos asociados con su uso. En GRA Consultores hemos elaborado este artículo en el que te contamos las claves de su aplicación.
Entrada en vigor
Es cierto que la normativa no se aplicará hasta el 2 de agosto de 2026, pero determinadas prácticas de la IA estarán ya prohibidas desde febrero de 2025:
- Las prohibiciones de determinadas prácticas relacionadas con la IA serán ya aplicables a partir del 2 de febrero de 2025.
- Las previsiones relativas a los organismos notificados, a los sistemas de IA generales pero que implican riesgos sistémicos, al sistema de gobernanza de la IA en Europa y buena parte del arsenal sancionador serán aplicables a partir del 2 de agosto de 2025 (con lo que la base organizativa estará ya lista para cuando sea exigible el conjunto más sustancial de obligaciones).
- Será aplicable a partir del 2 de agosto de 2027 la regulación de ciertos sistemas de IA de alto riesgo (los que sean componentes de seguridad de ciertos productos o constituyan en sí mismos dichos productos caracterizados por requerirse una evaluación de seguridad para su comercialización o puesta en servicio -por ejemplo, máquinas, juguetes, ascensores o productos sanitarios-).
Ámbito de aplicación
En cuanto al ámbito de aplicación, el reglamento parte de una amplia definición de lo que se ha de entender por IA y deja fuera de su ámbito de aplicación sólo algunas manifestaciones concretas de estos sistemas.
Queda fuera la aplicación de la IA para fines militares y aquellos sistemas que vayan a tener como finalidad el desarrollo científico. Por consiguiente, se trata de regular los sistemas de IA para fines comerciales y de servicios, pero queda fuera la investigación científica, militar, seguridad nacional, etcétera.
Mecanismos de control
Como mecanismos de control, hay tres niveles de riesgo definidos por el reglamento. Por un lado, tenemos el ‘riesgo inadmisible’, que es lo que quedará prohibido y que va contra la UE y su normativa. Dentro de este tenemos la puntuación social, las técnicas subliminales, el aprovechar la vulnerabilidad de las personas, categorizarlas biométricamente o reconocer emociones, sobre todo si no es en ámbito privado.
Por otro lado, encontramos el ‘alto riesgo’ que, pese a ser muy extenso y de materia muy abstracta, incluiría todos los sistemas con IA que se utilicen como componente de seguridad de un producto. Ejemplo de ello serían juguetes, ascensores, vehículos de motor, etc.; y también los sistemas de seguros de vida y salud, clasificación crediticia de las personas, promoción, despido de personal, etc.
Por último, se hace mención al ‘riesgo bajo’, que son los límites donde la IA puede desarrollarse tranquilamente, pero por supuesto con arreglo a la normativa vigente, y sometido a régimen de obligaciones de información. Podrán adherirse a códigos de conducta de la UE.
Conviene tener en cuenta que los sistemas generales de IA, como Chat GPT o Gemini, entrañan riesgos sistémicos, pueden causar accidentes graves, ser utilizados indebidamente, ser utilizados para ciberataques, etc.
Estructura administrativa de control y régimen sancionador
El reglamento diseña una estructura administrativa de control y régimen sancionador. De hecho, en España ya tenemos la Agencia Española de Supervisión de Inteligencia Artificial (Real Decreto 729/2023, de 22 de agosto), que debe inspeccionar, comprobar y sancionar en caso de mal uso.
A nivel europeo, la Oficina Europea de Inteligencia Artificial será el organismo de control al que corresponden importantes funciones.
En cuanto al régimen sancionador, las multas por infracciones del Reglamento de Inteligencia Artificial se han fijado como un porcentaje del volumen de negocios anual global de la empresa infractora en el ejercicio financiero anterior o un importe predeterminado, si este fuera superior.
Estas pueden llegar hasta los 35 millones de euros o el 7% del volumen de negocios anual total a escala mundial del infractor durante el ejercicio financiero anterior, si este importe fuera superior.
Si necesitas más detalles o asesoramiento para tu empresa, no dudes en contactar con GRA Consultores.