El proyecto de Reglamento de Inteligencia Artificial de la UE tiene sanciones más altas que el RGPD y también puede resultar aplicable a tu organización por más que no esté en UE

La semana pasada la Comisión de la Unión Europea ha presentado al Parlamento Europeo un proyecto de Reglamento para regular el uso de la inteligencia artificial (en adelante “IA”), que muchos consideran puede llegar a tener una trascendencia similar al que supo tener el Reglamento General de Protección de datos (RGPD). Por cierto, si la trascendencia estuviese dada por el valor de las sanciones aplicables frente a su incumplimiento corresponde prestarle atención atento que las sanciones máximas son superiores a las previstas en el RGPD, al alcanzar Euros 30 millones o el 6% de la facturación anual global, lo que resulte mayor.

De la misma forma que el RGPD obliga a las compañías a expandir significativamente el compliance en materia de protección de datos, el Proyecto de Reglamento de IA está diseñado para alentar a las compañías a tratar a la IA como un riesgo a que atraviesa a la organización requiriendo la atención de su dirección tanto en el desarrollo, despliegue y vigilancia de sus sistemas de IA.    

El Proyecto de Reglamento está basado en una clasificación del riesgo de las actividades con IA involucrada. En virtud de dicho criterio el Reglamento estableció actividades prohibidas, actividades consideradas como de alto riesgo, de riesgo limitado y de mínimo riesgo. Entre las actividades prohibidas se encuentran los sistemas de puntuación social para autoridades públicas, identificación biométrica en tiempo real con fines policiales y en espacios públicos, actividades que exploten vulnerabilidades de grupos o que involucren actividades subliminal o manipulación de personalidad que puedan generar daño físico o sicológico. En tanto que las de alto riesgo comprenden una gran cantidad de actividades que son alcanzadas por la legislación de la seguridad de productos del Anexo II y aquellas enumeradas en el Anexo III, pasibles de ser modificadas por la Comisión, entre las que se encuentran a mero título enunciativo las siguientes: las utilizadas en la administración y operación de infraestructura crítica, para determinar acceso a la educación, en reclutamiento o selección de personal, en la ejecución de la ley penal, en utilización de las autoridades públicas de deep fakes, etc.  Entre las de riesgo limitado se encuentran los chat boxs que interactúan con personas así como los deep fakes utilizados para fines distintos a los considerados como de alto riesgo. Dentro de las consideradas como de bajo riesgo se encuentran los sistemas utilizados para filtro de spams o en sistemas automatizados de publicidad y no pone ninguna obligación relevante.

Los sistemas de IA de alto riesgo están sujetos a escrutinio tanto antes de su comercialización o puesta en servicio a través de una evaluación de conformidad realizada por un tercero o por el mismo proveedor, así como durante todo su ciclo de vida, incluso a través de un sistema de gestión de riesgos obligatorio, requisitos estrictos de gobernanza de datos, documentación técnica y requisitos de mantenimiento de registros, y seguimiento posterior a la comercialización y notificación de los requisitos de incidentes. Las referidas obligaciones resultan exigibles según el caso al proveedor, importador, distribuidor o usuario del sistema de IA.

Por su parte los sistemas de IA de riesgo limitado y que interactúan con personas naturales solo deben cumplir con la obligación de informar a los individuos respecto a que están interactuando con un sistema de IA.

El Proyecto de Reglamento propicia la autoregulación a través de la implementación de códigos de conductas para las actividades de bajo riesgo así como el establecimiento de marcos de sandbox que propicien la innovación para las empresas de pequeño tamaño.

Sin duda que en adelante se inicia un largo proceso para la consideración del proyecto por parte del Parlamento Europeo y el Consejo para mayor análisis y debate pero frente al marcado efecto extraterritorial de esta propuesta normativa resulta crucial para todos aquellos proveedores de sistema de IA de la región que deseasen colocar un sistema de IA en la UE o mismo por los productos o resultados generados por sistemas de IA ubicados en la región pero utilizados en Europa, ir siguiendo de cerca la evolución que pudiese llegar a tener esta norma que algunos vaticinan que va a tener más impacto que el RGPD. Desde Crearis Latam estaremos atentos.    

Comentarios
* No se publicará la dirección de correo electrónico en el sitio web.