Preguntas y respuestas sobre la IA en el ámbito de la UE

Introducción

Para escribir esta entrada me he basado en un artículo muy interesante publicado por la comisión europea y que puedes consultar íntegramente aquí.

Creo que es importante ayudar a todos a ir explicando dudas, temores, conceptos, etc. que una tecnología como la inteligencia artificial (IA) puede sembrar en cada uno de nosotros.

Preguntas y respuestas

¿Por qué esta ley?

Como en otras ocasiones donde aparece una nueva tecnología, esta puede generar desconfianza en los consumidores y esta falta de confianza muy fácilmente puede generar inseguridad jurídica a las empresas. La ley aprobada por la UE intenta dar respuesta a estos dos problemas de forma que las personas confien en ella y las empresas no encuentren una barrera a la hora de usar/implementar/construir esta tecnología. Como siempre habrá empresas que lo haga bien y otras no tan bien. Para eso estamos los consumidores para tener la libertad de elegir y en caso necesario usar los canales de denuncia que cada país, cuando se haga la transposición de la norma implanten.

¿A quién aplica esta ley?

Como en todas las normas que se aprueban en la UE a todas las empresas cuyo mercado sea la UE, independientemente del país donde tenga su sede la empresa propietaria. Hay tres casos especiales:

Las empresas que crean modelos Open Source a no ser que sean de uso masivo.
Los modelos generados en el ámbito de la experimentación y prototipado.
Aquellos que se creen con una finalidad militar, de defensa o de la seguridad nacional.

¿A quién aplica el riesgo de transparencia?

El riesgo de transparencia obliga a informar, independientemente de la clasificación de la IA (alto o mínimo), a los usuarios de estar interactuando con una máquina y no con un humano. Nos parece que este punto es fundamental, y nosotros siempre hemos defendido esta postura. Nuestros bots tienen un grado de acierto muy alto, pero siempre podemos cometer errores y al final el consumidor de estos debe tener claro este punto.

¿Cómo puedo saber si una IA es de alto riesgo?

La ley, en su desarrollo, especifica las finalidades que determinan si una IA es de alto riesgo. Estas finalidades están descritas en el anexo III de la norma que puedes consultar en este enlace. Te dejo aquí una relación general de finalidades:

Identificación biométrica y categorización de personas físicas.
Gestión y funcionamiento de infraestructuras esenciales.
Educación y formación profesional.
Empleo, gestión de los trabajadores y acceso al autoempleo.
Acceso y disfrute de servicios públicos y privados esenciales y sus beneficios.
Asuntos relacionados con la aplicación de la ley.
Gestión de la migración, el asilo y el control fronterizo.
Administración de justicia y procesos democráticos.

Algunos ejemplos de estas finalidades son:

Determinadas infraestructuras críticas, por ejemplo, en los ámbitos del tráfico por carretera y el suministro de agua, gas, calefacción y electricidad;
la educación y la formación profesional, por ejemplo, para para evaluar los resultados de la enseñanza, dirigir el proceso de aprendizaje y controlar que no se hagan trampas;
el empleo, la gestión del personal laboral y el acceso al trabajo por cuenta propia, por ejemplo, para publicar anuncios de empleo específicos, analizar y filtrar las solicitudes de empleo y evaluar a los candidatos;
el acceso a servicios y prestaciones públicos y privados esenciales (por ejemplo, asistencia sanitaria), la evaluación de la solvencia de las personas físicas, y la evaluación de riesgos y la fijación de precios en relación con los seguros de vida y de enfermedad;
determinados sistemas utilizados en los ámbitos de la policía, el control de fronteras, la administración de justicia y los procesos democráticos;
la evaluación y clasificación de las llamadas de emergencia;
los sistemas de identificación biométrica, categorización y reconocimiento de emociones (fuera de las categorías prohibidas);
no se incluyen los sistemas de recomendación de las plataformas en línea de muy gran tamaño, porque ya se contemplan en otra legislación (Ley de Mercados Digitales o Ley de Servicios Digitales).

¿Cuales son las obligaciones de los proveedores que construyan IA de alto riesgo?

Las obligaciones básicamente son cuatro:

Someter la IA a una evaluación de conformidad. El objetivo de esta evaluación es demostrar que la IA es confiable, por ejemplo, calidad de los datos, documentación y trazabilidad, transparencia, supervisión humana, exactitud, ciberseguridad y solidez. Esta evaluación debe repetirse si el sistema o su finalidad se modifican sustancialmente.
Si la finalidad de la IA tiene relación con componentes de seguridad de productos contemplados en la legislación sectorial de la Unión siempre se considerarán de alto riesgo y están sujetos a una evaluación de la conformidad por terceros con arreglo a dicha legislación sectorial. Asimismo, en el caso de los sistemas biométricos, siempre hará falta una evaluación de la conformidad por terceros.
Los proveedores que construyan este tipo de IA deberán aplicar sistemas de gestión de la calidad y los riesgos para garantizar que se construyen acorde a los nuevos requisitos y reducir al mínimo los riesgos para los usuarios y las personas afectadas. Estas obligaciones sobreviven una vez el producto se haya puesto en producción.
Las IA de alto riesgo deben registrarse en una base de datos que creará la UE.

¿Cuáles son las sanciones por las infracciones?

Las infracciones quedarán determinadas en las transposiciones de la ley que haga cada país, pero la UE fija unos umbrales:

Hasta 35 millones de euros o el 7 % del volumen de ingresos total anual, no sólo en la UE, del ejercicio financiero anterior, si este importe fuera superior, por las infracciones por incumplimiento o prácticas prohibidas en relación con los requisitos sobre los datos.
Hasta 15 millones de euros o el 3 % del volumen de ingresos total anual, no sólo en la UE, del ejercicio financiero anterior por el incumplimiento de cualquier otro requisito u obligación del Reglamento, incluidas las infracciones de las normas sobre los modelos de inteligencia artificial de uso general.
Hasta 7,5 millones de euros o el 1,5 % del volumen de ingresos total anual, no sólo en la UE, del ejercicio anterior por el suministro de información incorrecta, incompleta o engañosa a los organismos notificados y a las autoridades nacionales competentes en respuesta a una solicitud.
En cada categoría de infracción, el umbral sería el menor de los dos importes para las pymes y el más elevado para las demás empresas.

¿Qué pueden hacer las personas afectadas por la vulneración de una norma?

La UE determina que cada país debe disponer de los mecanismos necesarios para la tramitación de las denuncias realizadas por los usuarios. Habrá que esperar a la transposición de la ley para ver cual es mecanismo implantado en cada país.

¿Cómo funcionan los códigos de conducta voluntarios?

Como se ha comentado anteriormente las IA de alto riesgo tienen ciertas obligaciones, pero la UE anima a que las que son de riesgo mínimo se adhieran a un código de buenas practicas, avalado por alguna asociación representativa. Nos parece fundamental esto, ya que nos tocará vivir la explosión de las IA y tenemos la obligación ética y moral de garantizar a los consumidores que las IA que construimos son confiables.

Conclusión

Como en casi todos los ámbitos de la vida las cosas se pueden hacer bien o mal. La UE nos da un marco de referencia donde los consumidores puedan ver como se garantizan sus derechos y donde las empresas tengamos un marco normativo claro que aplicar.

Como siempre habrá empresas que se tomen en serio esto y otras no tanto, pero como siempre el tipo pone a cada uno en si sitio.

Si necesitas aclaraciones no dudes en ponerte en contacto con nosotros mediante el formulario de la web o mándanos un WhatsApp.