Plaza Asamblea de Madrid, 1- 28018 MADRID
info@dpdparlamentos.es
mobile logo
Top
Entrada en vigor de los capítulos I y II del Reglamento de Inteligencia Artificial - Dpd Parlamentos
7022
post-template-default,single,single-post,postid-7022,single-format-standard,mkd-core-1.0.4,mec-theme-highrise,highrise-ver-1.6,,mkd-smooth-page-transitions,mkd-ajax,mkd-grid-1300,mkd-blog-installed,mkd-header-standard,mkd-sticky-header-on-scroll-down-up,mkd-default-mobile-header,mkd-sticky-up-mobile-header,mkd-dropdown-slide-from-bottom,mkd-full-width-wide-menu,mkd-fullscreen-search,mkd-search-fade,wpb-js-composer js-comp-ver-7.9,vc_responsive
 

Blog

Dpd Parlamentos / El rincón del Asociado  / Entrada en vigor de los capítulos I y II del Reglamento de Inteligencia Artificial

Entrada en vigor de los capítulos I y II del Reglamento de Inteligencia Artificial

Como sabemos, el Reglamento Europeo de Inteligencia Artificial (Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en  materia de inteligencia artificial y por el que se modifican diversos Reglamentos y Directivas) fue publicado, tras un intenso procedimiento en las instituciones europeas, el 12 de julio de 2024, y entró en vigor el día 1 de agosto. Sin embargo, en esta fecha aún no comenzaron a aplicarse ninguno de los requisitos de la norma, que prevé una aplicación progresiva y gradual.

Este Reglamento tiene, por lo tanto, un calendario de implantación, del que se han cumplido ya un par de hitos.

El primero se correspondió con la fecha del 2 de noviembre de 2024, fecha límite para que los Estados miembros identificaran e hicieran pública la lista de autoridades / organismos responsables de la protección de los derechos fundamentales, y lo notificaran a la Comisión y a los demás Estados miembros.

La siguiente fecha, el siguiente hito, del que voy a hacer un breve comentario, se corresponde con el pasado 2 de febrero, día en el que, por una parte, comienzan a aplicarse las prohibiciones sobre determinados sistemas de IA y, por otra, entran en vigor los requisitos sobre alfabetización en IA, cuestiones ambas que se contienen en los capítulos I y II del Reglamento.

¿QUÉ SUPONE LA ENTRADA EN VIGOR DE LOS CITADOS CAPÍTULOS?

Estos capítulos son de especial relevancia, sin duda. Veamos cuáles son las prohibiciones que ya son de aplicación, y a qué se refiere la formación o alfabetización que desde este momento es de obligado cumplimiento.

  • Prácticas prohibidas:

Estas son las prácticas de Inteligencia Artificial que quedan prohibidas, de forma resumida y sin ánimo de exhaustividad:

  • Manipulación cognitiva y conductual (artículo 5.1 a y b del Reglamento): Es decir, se prohíben aquellos sistemas de IA que se diseñen con el objetivo de manipular el comportamiento humano de forma subliminal, o que comporten la explotación de vulnerabilidades (menores de edad, personas con discapacidad, situación socioeconómica precaria), causando o pudiendo causar perjuicios graves.

No se nos escapa que una correcta definición de estas prácticas es extremadamente compleja. Por ejemplo, una influencia o persuasión en el comportamiento, sí son permitidas, pero no así una manipulación. ¿Cuándo nos encontramos en presencia de unas y otra? Es ciertamente complicado de determinar.

  • Puntuación social basada en IA “social scoring” (artículo 5.1 c del Reglamento): Queda prohibido utilizar por parte de los gobiernos o entidades privadas, sistemas que clasifiquen a personas en función de diversos criterios, como pueden ser su situación económica, credo, comportamiento… de manera que la utilización de estos sistemas condicionen su acceso o no a determinados servicios o beneficios.

También se trata de una prohibición discutida. El Reglamento aporta criterios para su aplicación: que se trate de un sistema de IA, que el sistema clasifique en función de las características personales señaladas, y que se produzca un trato perjudicial o desfavorable. A apuntar dos cuestiones importantes: se aplica a entidades públicas pero también a privadas, y la prohibición no se aplica a personas jurídicas, salvo que se evalúe a estas entidades en base a características puramente personales de sus miembros.

  • Sistemas que ofrezcan predicciones acerca del riesgo de que una persona física cometa un delito, basándose en la elaboración de perfiles o en la evaluación de rasgos y características de la personalidad (artículo 5.1 d del Reglamento).
  • Uso indiscriminado de reconocimiento facial y biometría en espacios públicos (artículo 5.1 e del Reglamento): Se prohíben los sistemas de identificación biométrica en tiempo real en espacios públicos, con ciertas excepciones, como la lucha contra el terrorismo, o la búsqueda de personas desaparecidas, y siempre bajo estrictas garantías judiciales. Las cuatro condiciones para que la prohibición sea aplicable son: Que se aplique un sistema de IA, que el propósito sea la creación o expansión de bases de datos de reconocimiento facial, que el método de recopilación consista en técnicas de scraping no selectivo (extracción masiva de datos sin enfoque individualizado), y las fuentes de las imágenes sean internet o grabaciones de videovigilancia.
  • Sistemas de IA que permitan inferir emociones en los ámbitos del trabajo y la educación, con la sola excepción de aquellos implementados por razones médicas o de seguridad (artículo 5.1 f del Reglamento).
  • Sistemas de IA que, por medio de categorización biométrica, clasifiquen individualmente a las personas den función de datos biométricos para inferir su raza, opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas, vida sexual u orientación sexual (5.1 g del Reglamento)

Como vemos rápidamente, estas prohibiciones, en su mayoría, pretenden preservar los derechos fundamentales de las personas, y, especialmente, el derecho a la protección de datos de carácter personal. Nuestra labor, como Delegados y Delegadas de Protección de Datos en nuestras respectivas instituciones, es fundamental a la hora de testear los sistemas de IA que se vayan a implantar.

  • Formación y alfabetización

Otra cuestión que entró en vigor el pasado día 2 de febrero, y de vital importancia, es la obligación de formar, ‘alfabetizar’, a proveedores, responsables de despliegue, y todas las personas afectadas por un sistema de Inteligencia Artificial. La idea es que los sistemas de IA sean desplegados de modo informado, y todos los sujetos afectados tomen conciencia de las oportunidades y también de los riesgos que plantea esta tecnología, así como los posibles perjuicios que pudiera causar.

El artículo 4 del Reglamento establece esta obligación. Pero hay que determinar qué significa esto en la práctica. El Reglamento lo define como la necesidad de garantizar que las personas que utilizan sistemas de IA comprendan los siguientes conceptos:

  • Capacidades de la IA: Es decir, qué pueden y no pueden hacer los sistemas de IA.
  • Conocimientos del sistema: Deben recibir información sobre cómo funcionan, los datos que utilizan y los procesos que siguen.
  • Comprensión del sistema: Deben  llegar a entender los riesgos y las oportunidades asociadas al uso de la IA, así como el potencial de causar perjuicios si no se usan de manera adecuada.

Esta obligación requiere que se diseñen programas de formación adaptados a las necesidades de cada perfil: desde un nivel técnico hasta la comprensión básica de los usuarios finales de la IA.

La norma exige que se tengan en cuenta los conocimientos técnicos, la experiencia, educación y formación, así como el contexto previsto de uso de los sistemas de IA y las personas o los colectivos de personas en que se van a utilizar dichos sistemas. Esto, por lo tanto, implica que las organizaciones deben:

  • Identificar las necesidades de formación: Determinar qué tipo de conocimiento necesitan sus empleados y colaboradores en función de sus roles y responsabilidades.
  • Desarrollar programas de formación: Diseñar e implementar planes de formación que cubran tanto los aspectos técnicos de la IA como las implicaciones éticas y legales.
  • Ex post, evaluar la eficacia de la formación: Medir el impacto de la formación y ajustarla según sea necesario.

Creo que, llegados a este punto, fácilmente entenderemos que nuestro papel, como Delegados y Delegadas de Protección de Datos de Parlamentos -aunque en un principio no tengamos encomendada la función de vigilancia de los sistemas de IA que se implanten en nuestras instituciones, y no esté tampoco dentro del elenco de funciones que tenemos asignadas la de la formación del personal de las cámaras-, nos lleva a concluir que:

  • Nuestra responsabilidad profesional nos lleva necesariamente a una vigilancia de estos sistemas tecnológicos, por cuanto su afectación al derecho a la protección de datos de carácter personal puede darse en no pocas ocasiones (de hecho, la mayor parte de las prohibiciones que el Reglamento considera tienen una base en la protección de datos de carácter personal).
  • Es imprescindible que, como asociación, promovamos una adecuada formación en materia de protección de datos y también en materia de inteligencia artificial, que tantos puntos de conexión tiene con nuestra actividad profesional. En este momento, nuestras instituciones tienen el deber de formar a todos las personas intervinientes en inteligencia artificial. Si unimos esto a la necesaria revisión de los conceptos de protección de datos que los operadores de las cámaras precisan, nos encontramos ante una situación en la que la formación o, como dice el Reglamento, la ‘alfabetización’ en esta materia, debe tener un lugar prioritario en los planes de formación de las administraciones públicas en general, y de las asambleas legislativas en particular.

 

Montserrat Auzmendi del Solar

14/02/2025