Resumen del Reglamento de Inteligencia Artificial / AI Act para pequeños negocios

JD Services
Josemi 15 julio 2024
Compartir:

Nota importante: Cada negocio es siempre el único responsable del cumplimiento de cualquier normativa que le sea aplicable. Este resumen es inexacto, está sobre-simplificado y tiene un fin meramente divulgativo y comercial. Está orientado a pequeños negocios que solo son responsables del despliegue, y no despliegan sistemas de IA de alto riesgo; omitiendo completamente consideraciones para otros supuestos. Podría, además, no estar actualizado.

Este resumen no supone asesoramiento legal ni reemplaza a una formación/certificación/auditoría. Consulte con su abogado antes de implementar cualquier medida. JD Services no presta servicios legales de ningún tipo. Le recomendamos recibir formación especializada al respecto. No proporcionamos ninguna garantía ni asumimos ninguna responsabilidad al respecto.

Este resumen es propiedad intelectual de JD Services y todos sus derechos quedan reservados.

Información general

¿Qué es el Reglamento de Inteligencia Artificial?

La Artificial Intelligence Act (en español, Reglamento de Inteligencia Artificial) es la nueva regulación europea sobre Inteligencia Artificial.

Establece reglas harmonizadas (requisitos, reglas y prohibiciones) respecto al uso de sistemas de IA en la Unión Europea. Al ser un reglamento y no una directiva, tiene aplicación directa, sin necesidad de ser transpuesta a la legislación nacional.

Es una de las primeras normativas sobre IA del mundo.

¿A quién aplica la AI Act?

La AI Act se aplica a negocios de cualquier tamaño que operen sistemas de IA y tengan sede en la UE o presten servicio a la UE, mediante el uso de dichos sistemas.

No se aplica al uso exclusivamente personal (no profesional) de sistemas de IA.

¿Cuándo entra en vigor y se aplica?

El Reglamento entra en vigor el 2 de agosto de 2024.

Generalmente, las obligaciones serán aplicables a partir de las siguientes fechas:

  • Obligaciones generales: 2 de febrero de 2025.
  • Obligaciones relativas a modelos de IA de uso general, y gobernanza: 2 de agosto de 2025
  • Otras obligaciones: 2 de agosto de 2026
  • Obligaciones relativas a sistemas de IA de alto riesgo que sean componentes de seguridad: 2 de agosto de 2027

Definición de términos

A fin de entender correctamente la regulación, debemos tener siempre presente qué se entiende por ciertos términos:

  • Datos de entrada: Datos proporcionados a un sistema de IA u obtenidos directamente por él, a partir de los cuales produce un resultado de salida.
  • Sistema de IA: Sistema informático con cierto nivel de autonomía y que puede mostrar capacidad de adaptación tras el despliegue, y que, infiere de los datos de entrada que recibe la manera de generar resultados de salida, como predicciones, contenidos, recomendaciones o decisiones.
  • Modelo de IA de uso general: Modelo de IA que presenta un grado considerable de generalidad y es capaz de realizar de manera competente una gran variedad de tareas distintas, y que puede integrarse en diversos sistemas o aplicaciones posteriores.
  • Sistema de IA de uso general: Sistema de IA basado en un modelo de IA de uso general y que puede servir para diversos fines, tanto para su uso directo como para su integración en otros sistemas de IA.
  • Evaluación de la conformidad: Proceso por el que se demuestra si se han cumplido los requisitos establecidos en relación con un sistema de IA de alto riesgo.
  • Instrucciones de uso: Información facilitada por el proveedor para informar al responsable del despliegue, en particular, de la finalidad prevista y de la correcta utilización de un sistema de IA.
  • Finalidad prevista: Uso para el que un proveedor concibe un sistema de IA, según la información facilitada por el proveedor en las instrucciones de uso, los materiales y las declaraciones de promoción y venta, y la documentación técnica.
  • Modificación sustancial: Cambio en un sistema de IA tras su introducción en el mercado o puesta en servicio que no haya sido previsto o proyectado en la evaluación de la conformidad inicial realizada por el proveedor y a consecuencia del cual se vea afectado el cumplimiento de los requisitos aplicables, o que dé lugar a una modificación de la finalidad prevista.
  • Introducción en el mercado: La primera comercialización en el mercado de la UE de un sistema de IA o de un modelo de IA de uso general.
  • Comercialización: Suministro de un sistema de IA o de un modelo de IA de uso general, para su distribución o utilización, previo pago o gratuitamente.
  • Puesta en servicio: Suministro de un sistema de IA para su primer uso directamente al responsable del despliegue o para uso propio para su finalidad prevista.
  • Riesgo: Combinación de la probabilidad de que se produzca un perjuicio y la gravedad de dicho perjuicio.
  • Ultrasuplantación (deep fake): Contenido de imagen, audio o vídeo generado o manipulado por una IA que se asemeja a personas, objetos, lugares, entidades o sucesos reales y que puede inducir a una persona a pensar erróneamente que son auténticos o verídicos.
  • Componente de seguridad: Componente de un producto o un sistema de IA que cumple una función de seguridad para dicho producto o sistema, o cuyo fallo o defecto pone en peligro la salud y la seguridad de personas o bienes.
  • Espacio de acceso público: Cualquier lugar físico, al que pueda acceder un número indeterminado de personas físicas.
  • Alfabetización en materia de IA (AI literacy): Capacidades, conocimientos y comprensión que permiten a los proveedores, responsables del despliegue y demás personas afectadas, teniendo en cuenta la AI Act, llevar a cabo un despliegue informado de los sistemas de IA y tomar conciencia de las oportunidades y los riesgos que plantea la IA, así como de los perjuicios que puede causar.
  • Infraestructura crítica: Elemento, instalación, equipo, red o sistema, o parte de un elemento, instalación, equipo, red o sistema, que es necesario para la prestación de un servicio esencial (servicio crucial para el mantenimiento de funciones sociales vitales, las actividades económicas, la salud pública y la seguridad, o el medio ambiente).
  • Datos biométricos: Definición equivalente a la del RGPD.
  • Categorías especiales de datos personales: Definición equivalente a la del RGPD.
  • Elaboración de perfiles Definición equivalente a la del RGPD.

Definición de roles (tipos de operadores)

Un negocio puede tener rol como uno o más tipos de operador:

  • Operador: Proveedor, fabricante del producto, responsable del despliegue, representante autorizado, importador o distribuidor.
  • Responsable del despliegue (deployer): Negocio que utiliza un sistema de IA bajo su propia autoridad.
  • Proveedor (provider): Negocio que desarrolla (o lo desarrollan para él) un sistema de IA o un modelo de IA de uso general y lo comercializa o pone en servicio con su propio nombre o marca.
  • Proveedor posterior (downstream provider): Proveedor de un sistema de IA (incluyendo sistemas de IA de uso general) que integra un modelo de IA, con independencia de que el modelo de IA lo proporcione él mismo y esté integrado verticalmente o lo proporcione otra entidad en virtud de relaciones contractuales.
  • Importador: Persona o entidad en la UE que introduce en el mercado un sistema de IA que lleva el nombre o la marca de una persona o entidad establecida fuera de la UE.
  • Distribuidor: Persona o entidad (que forma parte de la cadena de suministro) que comercializa un sistema de IA en el mercado de la UE, y no es su proveedor ni su importador.
  • Representante autorizado: Persona o entidad en la UE que ha acordado representar a un proveedor.

Obligaciones generales

Alfabetización

Los responsables del despliegue deben adoptar medidas para garantizar que su personal (y demás personas que se encarguen en su nombre del funcionamiento y la utilización de sistemas de IA) tengan un nivel suficiente de alfabetización en materia de IA.

Prácticas prohibidas

Queda prohibido el despliegue de sistemas de IA que:

  • se sirvan de técnicas subliminales
  • exploten vulnerabilidades de una persona o colectivo
  • evalúen o clasifiquen a personas o colectivos de forma que la puntuación ciudadana (social score) provoque un trato perjudicial desproporcionado o en contextos diferentes al origen de los datos originales
  • realicen evaluaciones de riesgos de personas para valorar el riesgo de que comenta un delito en base a su personalidad o la elaboración de perfiles
  • creen bases de datos de reconocimiento facial mediante la extracción masiva de imágenes de Internet o cámaras de vigilancia
  • infiera las emociones de una persona en los lugares de trabajo y en los centros educativos
  • categoricen biométricamente a las personas para deducir categorías especiales de datos personales
  • identifiquen en tiempo real a las personas en espacios de acceso público (salvo determinadas excepciones)

Transparencia

Los responsables del despliegue deberán asegurarse de:

  • Para sistemas de reconocimiento de emociones o categorización biométrica: informar del funcionamiento del sistema a las personas expuestas
  • Para sistemas de IA que generen o manipulen contenidos que constituyan una ultrasuplantación (deep fake): hacer público que estos contenidos han sido generados o manipulados de manera artificial
  • Para sistemas de IA que generen o manipulen textos publicados con el fin de informar sobre asuntos de interés público: Divulgar que el texto se ha generado o manipulado de manera artificial

Sistemas de IA de alto riesgo

Clasificación

Se establecen unos criterios complejos para determinar cuando un sistema de IA es de alto riesgo. Entre otros, se incluyen generalmente los siguientes usos:

  • Componentes de seguridad
  • Biometría
  • Infraestructuras críticas
  • Educación
  • Empleo y recursos humanos
  • Servicios esenciales

La Comisión Europea publicará (antes del 2 de febrero de 2026) directrices prácticas y ejemplos de clasificación.

Requisitos y obligaciones adicionales

Los sistemas de IA de alto riesgo estarán sujetos a múltiples y onerosas obligaciones adicionales, con responsabilidades repartidas entre sus operadores, incluyendo:

  • Sistemas de gestión de riesgos y de gestión de la calidad
  • Datos y gobernanza de datos
  • Documentación técnica
  • Conservación de registros y documentación
  • Transparencia y comunicación de información
  • Supervisión humana
  • Precisión, solidez y ciberseguridad
  • Evaluación de impacto

Consecuencias de incumplimiento de la AI Act

En caso de incumplir el reglamento, las autoridades podrán imponer sanciones.

Las sanciones para pequeños negocios tendrán un importe máximo limitado a:

  • Infracciones leves: hasta el 1% de la facturación anual
  • Infracciones graves: hasta el 3% de la facturación anual
  • Infracciones muy graves: hasta el 7% de la facturación anual

Recursos útiles

¿Quiere contratar nuestros servicios? Solicitar información


Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ingrese su nombre.
Ingrese su correo electrónico
Ingrese su comentario