La Comisión Europea acaba de publicar su propuesta de Reglamento por el que se establecen normas armonizadas sobre Inteligencia Artificial (IA) donde intenta conciliar su intención de promover el uso de la inteligencia artificial y, al mismo tiempo, establecer ciertos límites y reglas a su uso de cara a mitigar ciertos riesgos. El objetivo de la Comisión Europea es encontrar el punto de equilibrio que, sin frenar la innovación, sea capaz de crear un entorno de confianza de organizaciones y ciudadanos en la cada vez más presente IA.
Aunque el borrador del reglamento no menciona específicamente los derechos de propiedad intelectual, si tenemos en cuenta algunas aplicaciones de IA que están comenzando a implementarse en relación con los derechos de propiedad industrial e intelectual (por ejemplo, sistemas de filtrado para detectar infracciones de derechos de autor, sistemas de recomendación basados en la conducta de los usuarios, detección de falsificaciones, predicción de tendencias, creación automatizada de contenidos, detección de cumplimiento de los requisitos de protección para las distintas modalidades de protección, etc.), resulta del todo necesario entender el acercamiento del legislador de la UE a estos nuevos desarrollos tecnológicos.
La propuesta de la Comisión Europea comienza estableciendo cuatro niveles de riesgo en el uso de la IA que incluyen: (i) sistemas de IA prohibidos, (ii) sistemas de IA de alto riesgo, (iii) sistemas de IA de bajo riesgo; y (iv) sistemas de riesgo mínimo, que quedarían fuera del ámbito de aplicación del reglamento, dejando que sean los agentes interesados los que decidan utilizar estándares más o menos elevados mediante la autorregulación. Veámoslo.
Clasificación según riesgo
- Sistemas de riesgo inadmisible
Los sistemas de IA prohibidos (riesgo inadmisible) son los que implican un elevado riesgo para la seguridad, la vida y los derechos fundamentales de los ciudadanos de la Unión Europea. Entre los riesgos expresamente recogidos en la propuesta tenemos los siguientes:
- Sistemas de calificación social por parte del Gobierno;
- Explotación de los puntos débiles de los menores;
- Uso de técnicas subliminales; o
- Determinados sistemas de identificación biométrica remota en directo en espacios públicos con fines policiales (salvo excepciones, que serán en todo caso de alto riesgo).
- Sistemas de riesgo alto
Los sistemas de IA de alto riesgo conllevan daños potenciales y también pueden tener un impacto negativo en los derechos fundamentales de los ciudadanos de la Unión. La lista, que se pretende en constante revisión (a prueba de futuro), incluye los siguientes usos:
- Componentes de seguridad de los productos contemplados en la legislación sectorial de la Unión, que siempre serán de alto riesgo cuando estén sujetos a una evaluación de conformidad por terceros;
- En el caso de los sistemas de identificación biométrica permitidos, serán considerados siempre de alto riesgo, por lo que se sujetarán a evaluaciones de conformidad ex ante y por terceros, incluyendo los requisitos de supervisión humana desde su diseño.
- El Anexo II de la Propuesta incluye, entre otros, los siguientes ejemplos:
- Sistemas de IA destinados a ser utilizados para despachar o establecer la prioridad en el despacho de servicios de primera respuesta de emergencia, incluidos los bomberos y la ayuda médica;
- Sistemas de IA destinados a ser utilizados para determinar el acceso o la asignación de personas a instituciones educativas y de formación profesional, así como para evaluar a los estudiantes en las instituciones educativas y de formación profesional y a los participantes en las pruebas comúnmente requeridas para la admisión en las instituciones educativas;
- Sistemas de IA destinados a la contratación -por ejemplo, para anunciar las vacantes, seleccionar o filtrar las solicitudes, evaluar a los candidatos en el curso de las entrevistas o pruebas-, así como para tomar decisiones sobre la promoción y la terminación de las relaciones contractuales relacionadas con el trabajo, para la asignación de tareas y para el seguimiento y la evaluación del rendimiento y el comportamiento en el trabajo;
- Sistemas de IA destinados a ser utilizados para evaluar la solvencia de las personas;
- Sistemas de IA destinados a ser utilizados por las autoridades públicas o en nombre de ellas para evaluar el derecho a prestaciones y servicios de asistencia pública, así como para conceder, revocar o reclamar dichas prestaciones y servicios;
- Sistemas de IA destinados a ser utilizados para realizar evaluaciones de riesgo individuales, u otras predicciones destinadas a ser utilizadas como prueba, o para determinar la fiabilidad de la información proporcionada por una persona con vistas a prevenir, investigar, detectar o perseguir un delito o adoptar medidas que afecten a la libertad personal de un individuo;
- Sistemas de IA destinados a ser utilizados para predecir la ocurrencia de delitos o eventos de malestar social con el fin de asignar los recursos dedicados al patrullaje y la vigilancia del territorio;
- Sistemas de IA destinados a ser utilizados para la tramitación y el examen de las solicitudes de asilo y de visado y de las reclamaciones correspondientes, así como para determinar la elegibilidad de las personas para entrar en el territorio de la UE;
- Sistemas de IA destinados a ser utilizados para asistir a los jueces en los tribunales, excepto para tareas auxiliares.
En estos casos, se permite su uso, pero siempre previa sumisión a una evaluación de conformidad de cara a acreditar que el sistema cumple con los requisitos exigibles a una IA confiable, que es el objetivo de la UE. Entre los puntos que deberán tenerse en cuenta en esta evaluación, podemos citar los siguientes: calidad de los conjuntos de datos (input); documentación técnica y llevanza de registro; transparencia y divulgación de información a los usuarios; supervisión humana; solidez; precisión; y ciberseguridad. El objetivo no es otro que, en caso de infracción, permitir que las autoridades nacionales sean capaces de acceder a la información necesaria para investigar si el uso de la IA fue o no conforme con la legislación nacional que resulte de aplicación.
- Sistemas de riesgo limitado
Son aquellos a los que, por entrañar un riesgo limitado, solo se les imponen obligaciones relativas a la transparencia en su uso. El ejemplo paradigmático es el de los sistemas conversacionales (i.e. chatbots).
- Sistemas de riesgo mínimo
Es la categoría de arrastre, para todos aquellos sistemas no susceptibles de clasificación en ninguna de las categorías anteriores. Como indica la propia Comisión Europea en su propuesta, la inmensa mayoría de sistemas utilizados en la actualidad encajan en esta categoría. En este caso, y dado el mínimo riesgo que implica su uso, la Comisión se da por satisfecha con el uso de la autorregulación, por ejemplo, mediante la adhesión a códigos de conducta voluntarios.
Los garantes del cumplimiento
La propuesta de reglamento prevé que sean los Estados miembros los encargados de velar por el cumplimiento del reglamento, para lo que deberán designar a una o varias autoridades competentes que supervisen su correcta aplicación y ejecución. Se prevé, además, que cada Estado cuente con una autoridad nacional de supervisión que, a su vez, esté presente en el Comité Europeo de Inteligencia Artificial.
Sanciones previstas
En el caso de comercialización y/o uso de sistemas de IA que no cumplan con los requisitos del reglamento, los Estados miembros deberán imponer sanciones que sean efectivas, proporcionadas y disuasorias. A estos efectos, el reglamento ha optado por la fijación de umbrales que las autoridades nacionales deberán tener en cuenta en sus procedimientos sancionadores:
- Incumplimiento relativo a prácticas prohibidas: hasta 30 millones de euros o el 6% del volumen de negocio anual total a escala mundial del ejercicio financiero anterior;
- Incumplimiento de cualquier otro requisito u obligación del Reglamento: hasta 20 millones de euros o el 4% del volumen de negocio anual total a escala mundial del ejercicio financiero anterior;
- Suministro de información incorrecta, incompleta o engañosa a los organismos notificados y/o autoridades nacionales: hasta 10 millones de euros o el 2% del volumen de negocio anual total a escala mundial del ejercicio financiero anterior;
Próximos pasos
El Parlamento Europeo y el Consejo ahora revisarán y debatirán la propuesta, con la oportunidad de sugerir enmiendas. Este puede ser un proceso largo, por lo que aún no hay un cronograma previsto para la aprobación y publicación del borrador.
Rita Gomes
Departamento de Propiedad Intelectual e Industrial de Garrigues