Reglamento IA

Última actualización: 09/12/2024

El Reglamento europeo de IA da UE é a primeira lei integral en materia de intelixencia artificial do mundo. O seu obxectivo é mitigar o impacto negativo significativo da IA na saúde, a seguridade e os dereitos fundamentais. Con este regulamento, como xa ocorreu co Regulamento de Protección de Datos, a Unión Europea sitúase como líder mundial en dereitos dixitais, pero agora nun novo ámbito: a intelixencia artificial

El Regulamento introduce un marco uniforme en todos os países da UE, baseado nunha definición prospectiva da intelixencia artificial e un enfoque baseado no risco, regulando os usos da tecnoloxía, pero non a tecnoloxía en si.

Este marco normativo aplicarase aos axentes tanto públicos como privados, de dentro e fóra da UE, na medida en que o sistema de intelixencia artificial introdúzase no mercado da Unión ou o seu uso afecte a persoas establecidas nela.

No entran dentro do ámbito de aplicación deste Regulamento os sistemas de intelixencia artificial deseñados exclusivamente con fins militares, de defensa ou de seguridade nacional, así como as actividades de investigación, desenvolvemento e de prototipos que teñan lugar antes da comercialización dun sistema de intelixencia artificial.

El Regulamento de IA establece:

  • Normas harmonizadas para a introdución no mercado, a posta en servizo e a utilización de sistemas de intelixencia artificial na UE
  • Prohibiciones de determinadas prácticas de IA en el entorno de la Unión.
  • Requisitos específicos para os sistemas de IA de alto risco e obrigas para os operadores dos estes sistemas.
  • Normas armonizadas de transparencia aplicables a determinados sistemas de IA de riesgo limitado.
  • Normas harmonizadas para a introdución no mercado de modelos de IA de uso xeral, ben sexan de risco sistémico ou non.
  • Normas sobre o seguimento do mercado, a vixilancia de mercado, a gobernación e unha serie de garantías de cumprimento.
  • Por primeira vez, un regulamento europeo tamén introduce medidas de apoio á innovación, prestando especial atención ás pemes, incluídas as empresas emerxentes ou startups.

Será aplicable a:

  • Los provedores que introduzan no mercado ou poñan en servizo sistemas de IA ou modelos de IA de uso xeral na UE, con independencia de se están ou non establecidos na UE ou nun terceiro estado.
  • Los responsables do despregamento de sistemas de IA que estean establecidos ou situados na UE ou cando os resultados de saída xerados polo sistema de IA utilícense na Unión.
  • Los importadores e distribuidores de sistemas de IA.
  • Os fabricantes de produtos que introduzan no mercado ou poñan en servizo un sistema de IA xunto con o seu produto e co seu propio nome ou marca.
  • Os representantes autorizados dos provedores que non estean establecidos na Unión.
  • Las persoas afectadas que estean situadas na Unión.

O Regulamento establece uns niveis de risco en función do uso da IA e, sobre as categorías detectadas, establece unha serie de obrigas.

O regulamento prohibe algúns usos dos sistemas de IA porque supoñen un risco inaceptable para a Unión. Trátase dun conxunto moi limitado de usos especialmente nocivos que se opoñen aos valores da UE porque vulneran os dereitos fundamentais e afectan gravemente á seguridade ou á saúde das persoas. Estes usos son:

  • Despliegue de técnicas subliminares, manipuladoras ou enganosas para distorsionar o comportamento e prexudicar a toma de decisións con coñecemento de causa, causando un dano significativo.
  • Explotar as vulnerabilidades relacionadas coa idade, a discapacidade ou as circunstancias socioeconómicas para distorsionar o comportamento, causando danos significativos.
  • Sistemas de categorización biométrica que infiran atributos sensibles (raza, opinións políticas, afiliación sindical, crenzas relixiosas ou filosóficas, vida sexual ou orientación sexual), excepto a etiquetaxe ou filtrado de conxuntos de datos biométricos adquiridos legalmente ou cando as forzas de seguridade categoricen datos biométricos.
  • Puntuación social, é dicir, avaliar ou clasificar a individuos ou grupos baseándose en comportamentos sociais ou trazos persoais, causando un trato prexudicial ou desfavorable a esas persoas.
  • Evaluar o risco de que un individuo cometa delitos penales baseándose unicamente en perfís ou trazos de personalidade, excepto cando se utilice para aumentar as avaliacións humanas baseadas en feitos obxectivos e verificábels directamente relacionados coa actividade delituosa.
  • Compilación de bases de datos de recoñecemento facial mediante o nivelpado non selectivo de imaxes faciais de Internet ou de gravacións de CCTV.
  • Inferir emocións en lugares de traballo ou centros educativos, salvo por razóns médicas ou de seguridade.
  • Identificación biométrica remota "en tempo real" en espazos públicos para as forzas de seguridade excepto en:
    • procura de persoas desaparecidas, vítimas de secuestros e persoas vítimas de trátaa de seres humanos ou a explotación sexual;
    • previr unha ameaza substancial e inminente para a vida, ou un ataque terrorista previsible; ou
    • identificar a sospeitosos de delitos graves (por exemplo, asasinato, violación, roubo a man armada, tráfico de estupefacientes e armas ilegais, delincuencia organizada e delitos contra o medio ambiente, etc.).

La Comisión publicará directrices sobre as prohibicións antes da súa entrada en vigor o 2 de febreiro de 2025.

La maior parte do Regulamento está enfocado a regular os sistemas de IA de alto risco, tamén coñecidos por como HRAIS (High Risk AI Systems), que poden supor un prexuízo para a saúde, a seguridade ou os dereitos fundamentais das persoas, contidos na Carta dos Dereitos Fundamentais da UE. Divídense en dúas categorías:

  1. Os compoñentes de seguridade dos produtos contemplados na lexislación sectorial da Unión cando estean suxeitos a unha avaliación da conformidade por terceiros con arranxo a esa lexislación sectorial, recollidos no anexo I do Regulamento de IA.
  2. Los sistemas de IA pertenecientes a ocho ámbitos específicos, recogidos en el anexo III del Reglamento de IA, que son:
    • Biometría no prohibida: Sistemas de identificación biométrica a distancia, excluida la verificación biométrica que confirma que una persona es dice ser. Sistemas de categorización biométrica que infieren atributos o características sensibles o protegidos. Sistemas de reconocimiento de emociones.
    • Infraestruturas críticas: Compoñentes de seguridade na xestión e explotación de infraestruturas dixitais críticas, tráfico rodado e subministración de auga, gas, calefacción e electricidade.
    • Educación e formación profesional: Sistemas de IA que determinan o acceso, a admisión ou a asignación a institucións educativas e de formación a profesionais a todos os niveis. Avaliación dos resultados da aprendizaxe, incluídos os utilizados para dirixir o proceso de aprendizaxe do alumno. Evaluar o nivel de educación adecuado para un individuo. Supervisión e detección de comportamentos prohibidos dos alumnos durante os exames.
    • Emprego, xestión de traballadores e acceso ao autoemprego: Sistemas de IA utilizados para o recrutamento ou a selección, en particular anuncios de emprego específicos, análise e filtrado de solicitudes, e avaliación de candidatos. Promoción e rescisión de contratos, asignación de tarefas en función de trazos de personalidade ou características e comportamento, e seguimento e avaliación do rendemento.
    • Acceso e goce de servizos públicos e privados esenciais: Sistemas de IA utilizados polas autoridades públicas para avaliar o dereito a prestacións e servizos, incluída a súa asignación, redución, revogación ou recuperación. Avaliación da solvencia, excepto para detectar fraudes financeiras. Avaliación e clasificación de chamadas de emerxencia, incluída a priorización de envíos da policía, os bombeiros, a asistencia médica e os servizos de triaje de pacientes urxentes. Avaliación de riscos e tarificación de seguros de saúde e de vida.
    • Aplicación da lei: Sistemas de IA utilizados para avaliar o risco dunha persoa de converterse en vítima dun delito. Polígrafos. Avaliación da fiabilidade das probas durante investigacións ou procesos penais. Avaliación do risco de delincuencia ou reincidencia dunha persoa non baseada unicamente na elaboración de perfís ou na avaliación de trazos de personalidade ou comportamentos delituosos anteriores. Elaboración de perfís durante deteccións, investigacións ou axuizamentos penais.
    • Xestión da migración, o asilo e o control fronteirizo: Polígrafos. Avaliacións de migración irregular ou riscos sanitarios. Exame de solicitudes de asilo, visados e permisos de residencia, e reclamacións relacionadas coa admisibilidad. Detección, recoñecemento ou identificación de persoas, excepto verificación de documentos de viaxe.
    • Actividade xurisdicional e procesos democráticos: Sistemas de IA utilizados na investigación e interpretación de feitos e na aplicación da lei a feitos concretos ou utilizados na resolución alternativa de conflitos. Influencia nos resultados de eleccións e referendos ou no comportamento electoral, excluídos os produtos que non interactúan directamente coas persoas, como as ferramentas utilizadas para organizar, optimizar e estruturar campañas políticas.

    3. Os sistemas de alto risco han de cumprir determinados requisitos e imponse obrigas específicas tanto aos provedores como aos responsables de despregamento dos sistemas.

Para determinados sistemas de intelixencia artificial, como cando exista risco claro de manipulación, por exemplo, mediante o uso de robots conversacionales) ou ultrafalsificación, o Regulamento de IA establece obrigas específicas de transparencia para que os usuarios sexan conscientes de que están a interactuar cunha máquina.

A maioría dos demais sistemas de intelixencia artificial poden programarse e utilizarse con arranxo á lexislación vixente, sen obrigas xurídicas adicionais. De forma voluntaria, os provedores destes sistemas poden optar por aplicar os requisitos dunha intelixencia artificial voluntariamente e adherirse a códigos de conduta facultativos. Ejemplos deles son aplicacións de IA en videoxogos, ou filtros de spam para o correo electrónico.

O Regulamento impón unha serie de obrigas que os sistemas de IA de alto risco deben cumprir:

Sistema de Xestión de Riscos

O provedor dun sistema de IA de alto risco deberá establecer, aplicar, documentar e manter un sistema de xestión de riscos. Identificaranse e valorarán ameazas, adoptaranse medidas de mitigación, e monitoraranse os seus efectos, nun ciclo de mellora continua que se prolongará durante todo o ciclo de vida do sistema.

Datos e Gobernación de Datos
datosygobernanza

Os sistemas de IA de alto risco que utilizan técnicas de adestramento de modelos con datos desenvolveranse a partir de conxuntos de datos de adestramento, validación e proba que se someterán a prácticas adecuadas de gobernación e xestión de datos. Entre estas prácticas destacan:

  • Elegir un deseño adecuado.
  • Adoptar os procesos adecuados de recompilación de datos.
  • Operacións de tratamento de datos oportunas, como anotación, etiquetaxe, depuración, enriquecemento e agregación.
  • Análise e depuración dos posibles rumbos.
  • Avaliación previa de dispoñibilidade, cantidade e adecuación dos datasets necesarios.

Documentación técnica

Os provedores deben fornecer aos usuarios e ás autoridades documentación técnica do sistema de IA. A documentación demostrará que se cumpren os requisitos do Regulamento que estamos a comentar, e explicará como comprobalo. O AIA describe a información mínima que deberá prover un sistema de IA.

Registros

Os sistemas xerarán permanentemente rexistros, ou logs, que teñen que garantir un nivel de rastrexabilidade do seu funcionamento adecuado para a súa finalidade prevista.

Ademais, durante toda a vida do sistema, recolleranse e analizarán evidencias para asegurar que o sistema funciona normalmente e cumpre as disposicións do Regulamento, a través dun proceso continuo de monitorización post-comercialización.

Transparencia e comunicación de información aos usuarios

Os sistemas deben deseñarse dunha forma que se garanta aos usuarios un funcionamento suficientemente transparente, é dicir, que lles permita comprender e utilizalo adecuadamente. Co sistema, o provedor terá que proporcionar instrucións de uso con información concisa, completa, correcta e clara que sexa pertinente, accesible e comprensible para os usuarios.

Vixilancia humana

Os sistemas deseñaranse e desenvolverán de forma que o seu uso poida ser supervisado por persoas físicas. Esta vixilancia debe previr ou minimizar os riscos para a saúde, a seguridade ou os dereitos fundamentais que poden xurdir tanto se o HRAIS utilízase conforme a súa finalidade prevista como se se lle dá un uso indebido razoablemente previsible, en particular cando estes riscos persisten a pesar de aplicar os demais requisitos.

Precisión, Solidez e Ciberseguridade

Os sistemas de IA de alto risco deseñaranse, desenvolverán e manterán de forma que alcancen, segundo a súa finalidade prevista, un nivel adecuado de precisión dos resultados. Las instrucións de uso que os acompañarán indicarán os niveis de precisión e os parámetros de precisión pertinentes.

Os sistemas deberán ofrecer un grao adecuado de resiliencia ante as limitacións nos sistemas ou na contorna no que estes funcionan (p. ex., erros, fallos, incoherencias ou situacións inesperadas.

Os sistemas han de deseñarse de forma que sexan resistentes aos intentos de terceiros de aproveitar as vulnerabilidades do sistema, en particular das vulnerabilidades específicas dos sistemas de IA, como poden ser a corrupción intencionada dos datos de adestramento para manipular as saídas que producen.

Previo á comercialización dun sistema de intelixencia artificial de alto risco no mercado da UE, os provedores deberán sometelo a unha avaliación de conformidade ou de maneira alternativa a unha autoevaluación. Isto permitiralles demostrar que o seu sistema cumpre cos requisitos obrigados dunha intelixencia artificial de confianza. Adicionalmente tamén deben de cumprir coas seguintes obrigas:

  • Contar cun sistema de xestión de calidade
  • Mantener a documentación do sistema
  • Custodiar os rexistros de actividade
  • Colaborar coas autoridades demostrando cumprimento, e notificando incumprimentos e riscos detectados.

Las obrigas dos usuarios (responsables do despregamento segundo a nomenclatura do Regulamento) son: supervisión humana, monitorar os sistemas, gardar rexistros e colaborar coas autoridades.

As obrigas de Importadores e distribuidores son: conservar a documentación técnica, asegurar que os produtos superaron a avaliación de conformidade, e colaborar coas autoridades.

calendario que representa la entrada en vigor del Reglamento

O 2 de agosto do 2024 entrou en vigor o Regulamento europeo de IA, 20 días despois da súa publicación no Diario Oficial da Unión Europea. O Regulamento será de aplicación dous anos despois da súa entrada en vigor, é dicir, o 2 de agosto de 2026, con excepción das disposicións específicas seguintes:

  • Serán aplicable a partir do 2 de febreiro de 2025 as disposicións xerais (capítulo I do Regulamento) e as prácticas de IA prohibidas (capítulo II do Regulamento).
  • Serán aplicables a partir do 2 de agosto do 2025:
    • Organismos notificados (capítulo III, sección 4 do Regulamento)
    • Modelos GPAI (capítulo V do Regulamento)
    • Gobernación (capítulo VII do Regulamento)
    • Confidencialidade (artigo 78 do Regulamento)
    • Sancións (artigos 99 e 100 do Regulamento)
  • O 2 de agosto do 2027 comezan a aplicarse as obrigas para os sistemas de IA de alto risco integrados en produtos regulados pola lexislación harmonizada da Unión (artigo 6.1 do Regulamento).