La inteligencia artificial (IA) lleva más de tres décadas transformando sectores clave, desde la industria y las telecomunicaciones hasta la medicina y la educación. Sin embargo, el auge de la IA generativa y su reciente democratización han supuesto una revolución, planteando no solo nuevas oportunidades, sino también desafíos inéditos en términos de regulación y cumplimiento normativo. Gracias a la publicación del Reglamento IA de la Unión Europea (Reglamento 2024/1689 de 13 de junio de 2024) el pasado 12 de julio en el Diario Oficial de la UE, contamos con normas armonizadas para garantizar un uso ético y seguro de los sistemas de inteligencia artificial. Este marco regulatorio afecta tanto a desarrolladores y comercializadores de IA como a cualquier empresa que utilice estas tecnologías: de ahí que sea crucial entender los puntos clave de esta normativa y cómo pueden impactar en los negocios, para poder tomar las decisiones adecuadas desde este mismo momento.
El Reglamento IA tiene como objetivo establecer un estándar legal común para asegurar un uso ético y seguro de los sistemas de inteligencia artificial (con especial énfasis en aquellos que presenten un riesgo para la salud, la seguridad o los derechos fundamentales) desde su desarrollo, comercialización y utilización. De hecho, el legislador busca un enfoque equilibrado que garantice que la tecnología se utilice de manera responsable sin eliminar su potencial beneficio, en una industria en auge donde Europa no puede permitirse quedar por detrás de otras potencias.
El RIA es una norma compleja, llena de excepciones y salvedades, por lo que abordarla con detalle en un post es imposible. De todas formas, a modo de resumen, (la norma tiene 180 considerandos, 113 artículos, 13 anexos y 419 páginas) quiero destacar varios aspectos clave a tener en cuenta:
En primer lugar, se trata de una norma de producto, es decir, sus obligaciones principales recaen en los «sistemas basados en máquinas» de IA, con el fin de preservar derechos de las personas, la democracia, el Estado de Derecho y la protección del medio ambiente, mediante obligaciones a fabricantes, distribuidores y usuarios. Para favorecer esta protección, se ha establecido un ámbito de aplicación tremendamente amplio, pues se aplicará también a sistemas IA creados o desplegados fuera de la UE cuando se introduzcan en nuestro mercado único europeo, o cuando cuando los resultados de salida generados por el sistema de IA se utilicen en Europa.
En segundo lugar, se prohíben directamente determinados sistemas de IA por considerarlos contrarios a los valores democráticos de la UE (aunque con algunas excepciones). Esto incluye el empleo de técnicas subliminales para alterar el comportamiento de una persona de manera perjudicial, el tratar de aprovechar vulnerabilidades de grupos específicos o el uso por autoridades públicas para evaluar o clasificar la fiabilidad de personas según su conducta social, con posibles consecuencias negativas. El uso de estos sistemas puede conllevar multas de hasta 30 millones de euros o, en el caso de empresas, de hasta el 6% de su volumen de negocio total anual mundial del ejercicio financiero anterior. ¡Y las multas del RGPD nos parecían altas!
Además, el Reglamento IA especifica una serie de sistemas de alto riesgo sobre los que recaen obligaciones específicas. Podríamos englobarlos en dos categorías: los sistemas consistentes en componentes de seguridad de productos, o que son productos en sí mismos, como los integrados en máquinas, juguetes, ascensores, equipos radioeléctricos, equipos de embarcaciones de recreo, productos sanitarios, automoción o aviación, entre otros; y los que se consideran de alto riesgo por su finalidad, como los que se utilizan para la identificación biométrica y la categorización de personas físicas, la determinación del acceso o la asignación de personas a centros de educación o formación, la evaluación de acceso, la gestión, evaluación, contratación o despido del personal, así como aquellos relacionados con infraestructuras críticas, la aplicación de leyes, la administración de justicia o el acceso a servicios públicos esenciales, entre otros. Para todos quienes están desarrollando o utilizando estos sistemas, la norma prevé una amplia batería de obligaciones.
También se establecen normas para el resto de los sistemas de IA, tanto comunes como aquellos que puedan implicar un riesgo sistémico, basadas en obligaciones de transparencia, evaluación de riesgos y protección de ciberseguridad, así como un continuo recordatorio del cumplimiento del Reglamento General de Protección de Datos cuando se emplee información personal en dichos modelos o sistemas, o tengan incidencia en su entrenamiento o uso posterior.
Destaca también que la norma establece mecanismos de control, vigilancia y supervisión del mercado, así como obligaciones de colaboración con las autoridades de control. Este punto va a resultar complejo en la práctica, pues en España habrá varios organismos con competencias en la materia, dependiendo del tipo de sistema IA que se use y su finalidad. De forma general, la supervisión corresponderá a la AESIA, con sede en A Coruña; pero en función del sistema IA, su composición, finalidad y uso, podrán entrar en juego otras agencias y reguladores, como la AEPD en lo concerniente a datos personales, la Agencia Española de Medicamentos y Productos Sanitarios o en la Agencia Estatal de Seguridad Aérea, por ejemplo.
A modo de conclusión, me gustaría destacar dos ideas. En primer lugar, el Reglamento IA exige un enfoque integral que permita evaluar el grado de implicación de la inteligencia artificial en las organizaciones. Para ello, será imprescindible establecer modelos de gobernanza de IA a nivel interno que integren aspectos técnicos, procesos y organización. Esto implica no solo inventariar todos los sistemas que se empleen (incluidos aquellos integrados en aplicaciones de terceros), sino también analizar su interacción con normativas clave como la de protección de datos, la propiedad intelectual o la reciente Directiva (UE) 2024/2853, sobre responsabilidad por daños causados por productos defectuosos. Solo mediante un modelo de gobernanza interna adecuado, las organizaciones podrán identificar, gestionar y mitigar los riesgos asociados a estos sistemas, sentando así una base sólida para un uso responsable y estratégico de la inteligencia artificial.
La segunda, y quizás la más importante, es aprender de la experiencia de la entrada en vigor del Reglamento General de Protección de Datos en 2016 y su plena aplicación en 2018 y es que este nuevo Reglamento IA será de plena aplicación a los dos años, el 2 de agosto de 2026. Y dos años pasan muy rápido.
En este sentido, resulta imprescindible participar en espacios donde se debate y analiza esta norma en profundidad, como a través de los foros y eventos de la Asociación Profesional de Profesionales de la Privacidad (APEP), o en actualizarse con programas formativos como el curso que estamos impartiendo junto a Aranzadi La Ley. Reforzar el entendimiento técnico y estratégico será esencial para que empresas y profesionales logren convertir esta regulación en un aliado para la innovación y la confianza. Y como sucedió con el RGPD, los próximos años marcarán el ritmo de la transformación digital en Europa. Permítanme cerrar este post como terminé uno escrito el 29 de junio de 2017, sobre la inminente aplicación del RGPD: tempus fugit!
¿Te ha resultado interesante?
Acompañamos a empresas que implementan soluciones de inteligencia artificial en la identificación y gestión de riesgos, obligaciones y decisiones de gobernanza exigidas por la normativa europea.
Deja un comentario