Reglamento Europeo de Inteligencia Artificial 2024/1689: claves y obligaciones para su aplicación

Aplicación del reglamento (UE) 2024/1689 sobre el uso de tecnología IA y su impacto en el tratamiento de datos de carácter personal

1. ¿Qué es un sistema de Inteligencia Artificial (IA)?

Entre las nuevas tecnologías que podemos encontrar en la actualidad, destacan los sistemas de Inteligencia Artificial (en adelante, IA).
La IA es un campo de la informática que se centra en la creación de sistemas capaces de realizar tareas que normalmente requieren inteligencia humana. Estas tareas incluyen el reconocimiento de voz, la toma de decisiones, la resolución de problemas, el aprendizaje, la percepción visual y el procesamiento del lenguaje natural, entre otras muchas.
Los sistemas de IA pueden adoptar múltiples formas de aprendizaje y trabajo con la información, como el aprendizaje supervisado, no supervisado, por refuerzo o redes neuronales. Todos ellos requieren de una gran cantidad de datos para aprender, adaptarse y realizar predicciones mediante algoritmos.
Los avances en este sistema, y los riesgos que entrañan, han derivado en la necesidad de una regulación al respecto, dando lugar al Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (en adelante, RIA), proporcionando un marco regulatorio que aborda el uso indebido y malicioso de sistemas de IA.

2. ¿Cuándo ha entrado en vigor el reglamento?

El citado Reglamento de Inteligencia Artificial ha entrado en vigor el 1 de agosto con el objetivo de garantizar la seguridad y los derechos fundamentales de los ciudadanos de la UE frente a los riesgos potenciales de la IA.
En este sentido, todas las empresas que desarrollen, provean, distribuyan, implementen o utilicen sistemas de IA deberán cumplir con la nueva regulación.
El nuevo marco regulador tiene una normativa con un enfoque basado en el riesgo, clasificando los sistemas de IA en cuatro niveles: riesgo inaceptable, alto riesgo, limitado y mínimo.

3. Sistema de IA de Riesgo Inaceptable

El Reglamento prohíbe ciertos usos de la IA considerados inaceptables debido a su potencial para causar daños significativos. Entre ellos cabe destacar el uso de sistemas de IA para:

• Inferir las emociones de una persona física en los lugares de trabajo y en los centros educativos, salvo por motivos médicos o de seguridad. Por ejemplo, un centro educativo que, haciendo uso de herramientas de IA, identifique y analice los sentimientos de sus alumnos durante las clases (felicidad, tristeza, miedo…) para que los profesores puedan adaptar sus métodos de enseñanza de manera efectiva.
  También, en el trabajo, las empresas pueden utilizar sistemas de IA para analizar el lenguaje empleado en las comunicaciones internas, como correos electrónicos y mensajes de chat, para identificar posibles problemas emocionales o de bienestar en los empleados.
• La categorización biométrica que clasifique individualmente a las personas físicas sobre la base de sus datos biométricos para deducir o inferir su raza, opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas, vida sexual u orientación sexual. Por ejemplo, utilizar herramientas de IA que, mediante el reconocimiento facial, clasifique a las personas parametrizando sus opiniones políticas, raza o preferencia sexual.
• La creación o ampliación de bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales de internet o CCTV. Por ejemplo, existen determinadas herramientas de IA, como Clearview AI, que, mediante sistemas de reconocimientos facial, buscan imágenes en redes sociales u otras fuentes públicas, creando así una base de datos con fotografías de millones de personas, facilitando con su uso la identificación de cualquier individuo.
• El uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho, salvo que uso sea estrictamente necesario para la prevención de una amenaza especifica o para la investigación o enjuiciamiento de delitos. Por ejemplo, un gimnasio que utiliza sistemas de reconocimiento facial, basados en IA, con la finalidad de permitir el acceso a las instalaciones.

Estas prohibiciones deberán aplicarse antes del 2 de febrero del 2025 desde la entrada en vigor del reglamento.

4. Sistemas de Inteligencia Artificial de Alto Riesgo

El Reglamento considera como sistemas de IA de alto riesgo, entre otros, a los que formen parte de alguno de los ámbitos siguientes:

• Biometría:
  –identificación biométrica remota, siempre que no sea en tiempo real y en espacios de acceso público, en cuyo caso estaría prohibido.
  -categorización biométrica que utilice atributos sensibles o características basadas en la inferencia de dichos atributos
  –reconocimiento de emociones, cuando no aplique la prohibición de entornos educativos y profesionales
• Educación (control de acceso, evaluación de resultados, seguimiento y la detección de comportamientos prohibidos durante los exámenes, etc…)
• Empleo y gestión de los trabajadores (contratación, selección de personal, cribado de cv, publicación de ofertas, etc…)

La implantación de un sistema de IA de alto riesgo conlleva una serie de obligaciones tales como: adoptar un sistema de gestión de riesgos, elaboración de una documentación técnica, prácticas de gobernanza y gestión de datos adecuada, nivel de transparencia suficiente, supervisión humana y aplicar medidas de ciberseguridad para prevenir y mitigar riesgos.
Para el cumplimiento de estas obligaciones, las empresas tendrán de plazo hasta 2 de agosto de 2026.

5. Sistemas de Inteligencia Artificial de Riesgo Limitado

El Reglamento considera como sistemas de IA de riesgo limitado aquellos que no entrañen un riesgo considerable, ya que no influyen sustancialmente en la toma de decisiones o no perjudican otros intereses jurídicos, como, por ejemplo, los chatbots o asistentes virtuales o también el contenido de imágenes generado con IA (deep fakes en audio o video).
Estos sistemas están sujetos a obligaciones específicas de transparencia, como la de informar de que se está interactuando con una IA o informar a los usuarios de que el contenido se ha generado mediante IA.

6. Sistemas de Inteligencia Artificial de Riesgo Mínimo

Se consideran sistemas de IA de riesgo mínimo o nulo aquellos sistemas que no presentan riesgos significativos para la salud, seguridad o cualquier otro derecho fundamental de las personas físicas, ya que requieren de una toma de decisión o valoración humana previa y no pretende sustituir o influir en ella sin una revisión adecuada por un ser humano, como, por ejemplo, los algoritmos de recomendación o los filtros de spam.

7. ¿Cómo afecta la Inteligencia Artificial en materia de Protección de Datos?

Expuesto lo anterior, si bien es cierto que no todas las herramientas de IA necesitan hacer uso de datos personales, en muchos otros supuestos la información utilizada está conectada directa o indirectamente con el tratamiento de datos de personas físicas, por lo que deberá aplicarse también el RGPD y la LOPDGDD.
La AEPD considera que para cumplir con los requisitos fundamentales de responsabilidad (“accountability”), transparencia y legalidad, en cualquier sistema de IA que maneje datos personales, el responsable del tratamiento deberá:

• Tener actualizado el Registro de Actividades del Tratamiento (RAT)
• Cumplir con el deber de informar al titular de los datos
• Aplicar las medidas técnicas y organizativas suficientes para garantizar la seguridad del tratamiento
• Realizar la debida gestión del riesgo y, en su caso, la correspondiente evaluación de impacto sobre los datos personales (EIPD)
• Elegir únicamente encargados de tratamiento que ofrezca garantías suficientes en esta materia y suscribir el correspondiente contrato
• Realizar acciones de sensibilización y concienciación en materia de protección de datos en relación con uso de estos sistemas

En GRUPO ISONOR, como expertos en cumplimiento normativo y digitalización, desde nuestra área de Protección de Datos (LOPDAT), quedamos a tu disposición para ofrecerte el asesoramiento adecuado para la correcta implantación de estos sistemas.
Para cualquier duda o consulta, estamos a tu disposición ¡Contáctanos!