El pasado Agosto hizo un año de la entrada en vigor del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, en adelante RIA, por el que se establecen normas armonizadas en materia de inteligencia artificial, conocido por el primer marco normativo en esta materia a nivel mundial el cual se caracteriza por su aplicación por fases, a los 6 meses, 1 año, 2 años y 3 años.
- Calendario de aplicación, según el artículo 113 del RIA:
- Nuevas obligaciones en Agosto 2025:
- Los Estados miembros deben identificar y publicar una lista de autoridades y organismos encargados de esta materia, esta lista se actualiza en función de la comunicación de los Estados y el proceso de revisión de la Comisión Europea.
España de momento ha notificado 22 organismos, entre los que se encuentran la Agencia Española de Protección de Datos, la Comisión Nacional de los Mercados y la Competencia, el Defensor del Pueblo, el Consejo general del poder judicial o la junta electoral central.
- Los proveedores de modelos de IA de Propósito general deberán:
Mantener actualizada la documentación técnica, proporcionar información y documentación a los proveedores intermedios que integren modelos en sus propios sistemas de IA, establecer una política para respetar la legislación de la UE en materia de derechos de autor y publicar un resumen detallado del contenido utilizado para el entrenamiento.
- Se establecerá una Oficina de Inteligencia Artificial y Comité Europeo de Inteligencia Artificial para supervisar la aplicación de la legislación y cada Estado miembro designará una autoridad nacional con competencia para hacer cumplir la legislación a nivel nacional.
El Estado Español, ha creado la Agencia Española de Supervisión de Inteligencia Artificial, en adelante AESIA, como el organismo público encargado de garantizar el uso ético y seguro de la inteligencia artificial. Su principal misión es asegurara que tanto entidades públicas como privadas cumplen con la normativa vigente, protegiendo la privacidad, igualdad de trato y derechos fundamentales.
- Respecto a la confidencialidad, se sigue el esquema que ya venía estableciendo otras normativas, dicta que las autoridades encargadas de aplicar el RIA deben proteger la información sensible sobre sistemas de IA, recopilando solo lo necesario y asegurándola adecuadamente. En los casos de sistemas de IA de alto riesgo usados por autoridades, deben compartirlos solo por obligación legal. Este hecho, no impide cooperar, emitir alertas o cumplir procesos judiciales y se puede compartir información con otros países si se garantizan acuerdos de protección.
- La AESIA, podrá imponer sanciones económicas a empresas que incumplen el RIA, con sanciones que pueden alcanzar los 35M de euros o el 7% de volumen anual. El procedimiento puede comenzar por denuncia o de oficio. La Agencia Española de protección de datos, también ha advertido que podrá sancionar a quienes realicen prácticas prohibidas según el RIA siempre que usen datos personales.
- Deberes de las empresas:
- Clasificar el sistema para determinar si está prohibido, de alto riesgo, riesgo limitado o aceptable. En el caso, de que se incurra dentro de las prácticas prohibidas, retirarlo y eliminar su uso. Esta obligación puede ser sancionada.
- Las empresas que encarguen desarrollo o adquieran sistemas de IA, deben regular la relación de la manera correcta con un acuerdo contractual adecuado, que incluya todos los requisitos establecidos en la normativas, un buen marco contractual, siempre es signo de cumplimiento proactivo que evita sanciones posteriormente.
- Formación en Inteligencia Artificial, este es un requisito exigido desde febrero de este año, tanto para que los empleados conozco los requisitos de la normativa dando a conocer los riesgos que supone, como para aumentar las capacidades de negocio de las empresas, aumentando su competitividad en el mercado, como por ejemplo en el uso de Prompts en Sistemas de Inteligencia Artificial Generativa, como ChatGPT, Copilot, Gemini, etc.
- Políticas de uso ético y responsable de Inteligencia artificial, estableciendo buenas prácticas de una empresa para que la inteligencia artificial se use de manera, justa y transparente. Su principal objetivo es evitar daños a las personas, proteger derechos fundamentales como la privacidad y la no discriminación y asegurar que la IA se use de forma confiable y respetuosa con la sociedad.