Reglamento IA

Última actualització: 09/12/2024

El Reglamento europeu de IA de la UE és la primera llei integral en matèria d'intel·ligència artificial del món. El seu objectiu és mitigar l'impacte negatiu significatiu de la IA en la salut, la seguretat i els drets fonamentals. Amb este reglament, com ja va ocórrer amb el Reglament de Protecció de Datos, la Unió Europea es posiciona com a líder mundial en drets digitals, però ara en un nou àmbit: la intel·ligència artificial

El Reglament introduïx un marc uniforme en tots els països de la UE, basat en una definició prospectiva de la intel·ligència artificial i un enfocament basat en el risc, regulant els usos de la tecnologia, però no la tecnologia en si.

Este marc normatiu s'aplicarà als agents tant públics com privats, de dins i fora de la UE, en la mesura en què el sistema d'intel·ligència artificial s'introduïsca en el mercat de la Unió o el seu ús afecte de persones establides en ella.

No entren dins de l'àmbit d'aplicació d'este Reglament els sistemes d'intel·ligència artificial dissenyats exclusivament amb finalitats militars, de defensa o de seguretat nacional, així com les activitats de recerca, desenvolupament i de prototips que tinguen lloc abans de la comercialització d'un sistema d'intel·ligència artificial.

El Reglament de IA establix:

  • Normas harmonitzades per a la introducció en el mercat, la posada en servei i la utilització de sistemes d'intel·ligència artificial a la UE
  • Prohibiciones de determinadas prácticas de IA en el entorno de la Unión.
  • Requisitos específics per als sistemes de IA d'alt risc i obligacions per als operadors d'aquests sistemes.
  • Normas armonizadas de transparencia aplicables a determinados sistemas de IA de riesgo limitado.
  • Normas harmonitzades per a la introducció en el mercat de models de IA d'ús general, bé siguen de risc sistèmic o no.
  • Normas sobre el seguiment del mercat, la vigilància de mercat, la governança i una sèrie de garanties de compliment.
  • Per primera vegada, un reglament europeu també introduïx mesures de suport a la innovació, prestant especial atenció a les pimes, incloses les empreses emergents o startups.

Será aplicable a:

  • Los proveïdors que introduïsquen en el mercat o posen en servei sistemes de IA o models de IA d'ús general a la UE, amb independència de si estan o no establits a la UE o en un tercer estat.
  • Los responsables del desplegament de sistemes de IA que estiguen establits o situats a la UE o quan els resultats d'eixida generats pel sistema de IA s'utilitzen en la Unió.
  • Los importadors i distribuïdors de sistemes de IA.
  • Els fabricants de productes que introduïsquen en el mercat o posen en servei un sistema de IA juntament amb el seu producte i amb el seu propi nom o marca.
  • Els representants autoritzats dels proveïdors que no estiguen establits en la Unió.
  • Las persones afectadas que estiguen situades en la Unió.

El Reglament establix uns nivells de risc en funció de l'ús de la IA i, sobre les categories detectades, establix una sèrie d'obligacions.

El reglament prohibeix alguns usos dels sistemes de IA perquè suposen un risc inacceptable per a la Unió. Es tracta d'un conjunt molt limitat d'usos especialment nocius que s'oposen als valors de la UE perquè vulneren els drets fonamentals i afecten greument de la seguretat o a la salut de les persones. Estos usos són:

  • Despliegue de tècniques subliminals, manipuladores o enganyoses per a distorsionar el comportament i perjudicar la presa de decisions amb coneixement de causa, causant un mal significatiu.
  • Explotar les vulnerabilitats relacionades amb l'edat, la discapacitat o les circumstàncies socioeconòmiques per a distorsionar el comportament, causant danys significatius.
  • Sistemas de categorització biomètrica que inferisquen atributs sensibles (raça, opinions polítiques, afiliació sindical, creences religioses o filosòfiques, vida sexual o orientació sexual), excepte l'etiquetatge o filtrat de conjunts de dades biomètriques adquirides legalment o quan les forces de seguretat categoritzen dades biomètriques.
  • Puntuació social, és a dir, avaluar o classificar a individus o grups basant-se en comportaments socials o trets personals, causant un tracte perjudicial o desfavorable a eixes persones.
  • Evaluar el risc que un individu cometa delictes penales basant-se únicament en perfils o trets de personalitat, excepte quan s'utilitze per a augmentar les avaluacions humanes basades en fets objectius i verificables directament relacionats amb l'activitat delictiva.
  • Compilació de bases de dades de reconeixement facial mitjançant el raspat no selectiu d'imatges facials d'Internet o d'enregistraments de CCTV.
  • Inferir emocions en llocs de treball o centres educatius, salve per raons mèdiques o de seguretat.
  • Identificació biomètrica remota "en temps real" en espais públics per a les forces de seguretat excepte en:
    • cerca de persones desaparegudes, víctimes de segrestos i persones víctimes del tràfic d'éssers humans o l'explotació sexual;
    • previndre una amenaça substancial i imminent per a la vida, o un atac terrorista previsible; o
    • identificar a sospitosos de delictes greus (per exemple, assassinat, violació, robatori a mà armada, tràfic d'estupefaents i armes il·legals, delinqüència organitzada i delictes contra el medi ambient, etc.).

La Comissió publicarà directrius sobre les prohibicions abans de la seua entrada en vigor el 2 de febrer de 2025.

La major part del Reglament està enfocat a regular els sistemes de IA d'alt risc, també coneguts per com HRAIS (High Risk AI Systems), que poden suposar un perjudici per a la salut, la seguretat o els drets fonamentals de les persones, continguts en la Carta dels Drets Fonamentals de la UE. Es divideixen en dues categories:

  1. Els components de seguretat dels productes contemplats en la legislació sectorial de la Unió quan estiguen subjectes a una avaluació de la conformitat per tercers conformement a eixa legislació sectorial, recollits en l'annex I del Reglament de IA.
  2. Els sistemes de IA pertanyents a huit àmbits específics, recollits en l'annex III del Reglament de IA, que són:
    • Biometría no prohibida: Sistemes d'identificació biomètrica a distància, exclosa la verificació biomètrica que confirma que una persona és diu ser. Sistemes de categorització biomètrica que infereixen atributs o característiques sensibles o protegits. Sistemes de reconeixement d'emocions.
    • Infraestructures crítiques: Components de seguretat en la gestió i explotació d'infraestructures digitals crítiques, trànsit rodat i subministrament d'aigua, gas, calefacció i electricitat.
    • Educació i formació professional: Sistemes de IA que determinen l'accés , l'admissió o l'assignació a institucions educatives i de formació a professionals a tots els nivells. Avaluació dels resultats de l'aprenentatge, inclosos els utilitzats per a dirigir el procés d'aprenentatge de l'alumne. Evaluar el nivell d'educació adequat per a un individu. Supervisió i detecció de comportaments prohibits dels alumnes durant els exàmens.
    • Ocupació, gestió de treballadors i accés a l'autoocupació: Sistemes de IA utilitzats per al reclutament o la selecció, en particular anuncis d'ocupació específics, anàlisi i filtrat de sol·licituds, i avaluació de candidats. Promoció i rescissió de contractes, assignació de tasques en funció de trets de personalitat o característiques i comportament, i seguiment i avaluació del rendiment .
    • Acceso i gaudi de serveis públics i privats essencials: Sistemes de IA utilitzats per les autoritats públiques per a avaluar el dret a prestacions i serveis, inclosa la seua assignació, reducció, revocació o recuperació. Avaluació de la solvència, excepte per a detectar fraus financers. Avaluació i classificació de trucades d'emergència, inclosa la priorització d'enviaments de la policia, els bombers, l'assistència mèdica i els serveis de triatge de pacients urgents. Avaluació de riscos i tarifació d'assegurances de salut i de vida.
    • Aplicació de la llei: Sistemes de IA utilitzats per a avaluar el risc d'una persona de convertir-se en víctima d'un delicte. Polígrafos. Avaluació de la fiabilitat de les proves durant recerques o processos penals. Avaluació del risc de delinqüència o reincidència d'una persona no basada únicament en l'elaboració de perfils o en l'avaluació de trets de personalitat o comportaments delictius anteriors. Elaboració de perfils durant deteccions, recerques o enjudiciaments penals.
    • Gestió de la migració, l'asil i el control fronterer: Polígrafos. Avaluacions de migració irregular o riscos sanitaris. Examen de sol·licituds d'asil, visats i permisos de residència, i reclamacions relacionades amb l'admissibilitat. Detección, reconeixement o identificació de persones, excepte verificació de documents de viatge.
    • Activitat jurisdiccional i processos democràtics: Sistemes de IA utilitzats en la recerca i interpretació de fets i en l'aplicació de la llei a fets concrets o utilitzats en la resolució alternativa de conflictes. Influència en els resultats d'eleccions i referèndums o en el comportament electoral, exclosos els productes que no interactuen directament amb les persones, com les eines utilitzades per a organitzar, optimitzar i estructurar campanyes polítiques.

    3. Els sistemes d'alt risc han de complir determinats requisits i s'imposen obligacions específiques tant als proveïdors com als responsables de desplegament dels sistemes.

Per a determinats sistemes d'intel·ligència artificial, com quan existisca risc clar de manipulació, per exemple, mitjançant l'ús de robots conversacionals) o ultrafalsificación, el Reglament de IA establix obligacions específiques de transparència perquè els usuaris siguen conscients que estan interactuant amb una màquina.

La majoria dels altres sistemes d'intel·ligència artificial poden programar-se i utilitzar-se conformement a la legislació vigent, sense obligacions jurídiques addicionals. De manera voluntària, els proveïdors d'estos sistemes poden optar per aplicar els requisits d'una intel·ligència artificial voluntàriament i adherir-se a codis de conducta facultatius. Ejemplos d'ells són aplicacions de IA en videojocs, o filtres de spam per al correu electrònic.

El Reglament imposa una sèrie d'obligacions que els sistemes de IA d'alt risc han de complir:

Sistema de Gestió de Riscos

El proveïdor d'un sistema de IA d'alt risc haurà d'establir, aplicar, documentar i mantindre un sistema de gestió de riscos. S'identificaran i valoraran amenaces, s'adoptaran mesures de mitigació, i es monitoraran els seus efectes, en un cicle de millora contínua que es prolongarà durant tot el cicle de vida del sistema.

Dades i Governança de Dades
datosygobernanza

Els sistemes de IA d'alt risc que utilitzen tècniques d'entrenament de models amb dades es desenvoluparan a partir de conjunts de dades d'entrenament, validació i prova que se sotmetran a pràctiques adequades de governança i gestió de dades. Entre estes pràctiques destaquen:

  • Elegir un disseny adequat.
  • Adoptar els processos adequats de recopilació de dades.
  • Operacions de tractament de dades oportunes, com a anotació, etiquetatge, depuració, enriquiment i agregació.
  • Anàlisi i depuració dels possibles biaixos.
  • Avaluació prèvia de disponibilitat, quantitat i adequació dels datasets necessaris.

Documentació tècnica

Els proveïdors han de subministrar als usuaris i a les autoritats documentació tècnica del sistema de IA. La documentació demostrarà que es complixen els requisits del Reglament que estem comentant, i explicarà com comprovar-lo. L'AIA descriu la informació mínima que haurà de proveir un sistema de IA.

Registros

Els sistemes generaran permanentment registres, o logs, que han de garantir un nivell de traçabilitat del seu funcionament adequat per a la seua finalitat prevista.

A més, durant tota la vida del sistema, es recolliran i analitzaran evidències per a assegurar que el sistema funciona normalment i complix les disposicions del Reglament, a través d'un procés continu de monitoratge post-comercialització.

Transparència i comunicació d'informació als usuaris

Els sistemes han de dissenyar-se d'una forma que es garantisca als usuaris un funcionament prou transparent, és a dir, que els permeta comprendre-ho i utilitzar-lo adequadament. Amb el sistema, el proveïdor haurà de proporcionar instruccions d'ús amb informació concisa, completa, correcta i clara que siga pertinent, accessible i comprensible per als usuaris.

Vigilància humana

Els sistemes es dissenyaran i desenvoluparan de manera que el seu ús puga ser supervisat per persones físiques. Esta vigilància ha de previndre o minimitzar els riscos per a la salut, la seguretat o els drets fonamentals que poden sorgir tant si l'HRAIS s'utilitza conforme a la seua finalitat prevista com si se li dóna un ús indegut raonablement previsible, en particular quan aquests riscos persisteixen malgrat aplicar els altres requisits.

Precisió, Solidez i Ciberseguretat

Els sistemes de IA d'alt risc es dissenyaran, desenvoluparan i mantindran de manera que aconseguisquen, segons la seua finalitat prevista, un nivell adequat de precisió dels resultats. Las instruccions d'ús que els acompanyaran indicaran els nivells de precisió i els paràmetres de precisió pertinents.

Els sistemes hauran d'oferir un grau adequat de resiliència davant les limitacions en els sistemes o en l'entorn en el qual estos funcionen (p. ex., errors, fallades, incoherències o situacions inesperades.

Els sistemes han de dissenyar-se de manera que siguen resistents als intents de tercers d'aprofitar les vulnerabilitats del sistema, en particular de les vulnerabilitats específiques dels sistemes de IA, com poden ser la corrupció intencionada de les dades d'entrenament per a manipular les eixides que produïxen.

Previo a la comercialització d'un sistema d'intel·ligència artificial d'alt risc en el mercat de la UE, els proveïdors hauran de sotmetre'l a una avaluació de conformitat o de manera alternativa a una autoavaluació. Això els permetrà demostrar que el seu sistema complix amb els requisits obligats d'una intel·ligència artificial de confiança. Addicionalment també han de complir amb les següents obligacions:

  • Comptar amb un sistema de gestió de qualitat
  • Mantener la documentació del sistema
  • Custodiar els registres d'activitat
  • Col·laborar amb les autoritats demostrant compliment, i notificant incompliments i riscos detectats.

Las obligacions dels usuaris (responsables del desplegament segons la nomenclatura del Reglament) són: supervisió humana, monitorar els sistemes, guardar registres i col·laborar amb les autoritats.

Les obligacions d'Importadores i distribuïdors són: conservar la documentació tècnica, assegurar que els productes han superat l'avaluació de conformitat, i col·laborar amb les autoritats.

calendario que representa la entrada en vigor del Reglamento

El 2 de agosto del 2024 entró en vigor el Reglamento europeo de IA, 20 días después de su publicación en el Diario Oficial de la Unión Europea. El Reglamento será de aplicación dos años después de su entrada en vigor, es decir, el 2 de agosto de 2026, con excepción de las disposiciones específicas siguientes:

  • Serán aplicable a partir del 2 de febrer de 2025 les disposicions generals (capítol I del Reglament) i les pràctiques de IA prohibides (capítol II del Reglament).
  • Serán aplicables a partir del 2 d'agost del 2025:
    • Organismos notificats (capítol III, secció 4 del Reglament)
    • Modelos GPAI (capítol V del Reglament)
    • Governança (capítol VII del Reglament)
    • Confidencialitat (article 78 del Reglament)
    • Sancions (articles 99 i 100 del Reglament)
  • El 2 d'agost del 2027 comencen a aplicar-se les obligacions per als sistemes de IA d'alt risc integrats en productes regulats per la legislació harmonitzada de la Unió (article 6.1 del Reglament).