El 6 de diciembre de 2022, el Reglamento sobre inteligencia artificial de la Unión Europea (UE) («Ley AI») avanzó un paso para convertirse en ley cuando el Consejo de la UE (el Consejo) adoptó sus enmiendas al proyecto de ley («Enfoque general del Consejo ”). El Parlamento Europeo (Parlamento) debe ahora finalizar su posición común antes de que puedan comenzar las negociaciones interinstitucionales.
El Enfoque General del Consejo concluye meses de negociaciones internas del Consejo y, en términos generales, ofrece un enfoque más favorable a las empresas para la regulación de la inteligencia artificial (IA) que la propuesta de la Comisión Europea (CE). La definición de un sistema de IA y el alcance de la Ley de IA se reducen ligeramente, y se agrega una capa complementaria a la clasificación de IA de alto riesgo para que los sistemas que de otro modo serían de alto riesgo pero que solo se usan como accesorios para la toma de decisiones relevante , están excluidos. Las obligaciones de los proveedores de sistemas de IA de alto riesgo siguen siendo similares, pero algunos requisitos se vuelven técnicamente más factibles y menos onerosos. La lista de sistemas prohibidos se amplía y reduce en diferentes áreas, y las sanciones se ajustan a favor de las pequeñas y medianas empresas (PYME).1
Antecedentes
La IA y su regulación son una prioridad máxima para la UE. Tras la publicación de las Directrices de ética para una IA confiable en 2019, la CE inició un enfoque legal de tres frentes para regular la IA. Junto con la Ley AI, las normas de responsabilidad civil nuevas y revisadas,2y legislación sectorial revisada, como el Reglamento General de Seguridad de los Productos,3buscar ofrecer un marco legislativo para apoyar la IA confiable en la UE. La Ley de AI también operará junto con otras regulaciones existentes y propuestas relacionadas con datos, incluido el Reglamento General de Protección de Datos,4la Ley de Servicios Digitales,5la Ley de Datos propuesta,6y la Ley de Resiliencia Cibernética propuesta.7
Propuesta de la Comisión
La CE publicó una propuesta para la Ley de IA (la Propuesta) en abril de 2021. La Propuesta adopta un enfoque intersectorial y basado en el riesgo que se aplica a todos los proveedores y usuarios de sistemas de IA que se encuentran en el mercado de la UE, independientemente de dónde se encuentren. están establecidos. Se prohibirán las aplicaciones de IA que se perciban como las más dañinas, mientras que una lista definida de sistemas de IA de «alto riesgo» deberá cumplir con requisitos estrictos. La mayoría de las obligaciones de la Propuesta recaen sobre los proveedores de sistemas de IA de alto riesgo. Los requisitos de transparencia se aplicarán a los sistemas de IA con riesgos limitados, mientras que aquellos que sean de riesgo bajo o mínimo no estarán sujetos a ninguna obligación. Los reguladores nacionales se encargarán de la aplicación, que será supervisada por una «Junta de IA de la UE» recientemente establecida. Las empresas podrían enfrentar multas de hasta 30 millones de euros o el seis por ciento de la facturación anual total en todo el mundo, lo que sea mayor.
Para obtener un resumen de la propuesta de la CE, consulte nuestra hoja informativa visual sobre el proyecto de ley de IA de la UE.
Cambios clave realizados por el Consejo
- El alcance es limitado.8Los sistemas de IA desarrollados exclusivamente para investigación y desarrollo, y para fines de defensa y seguridad nacional están excluidos del alcance. Los sistemas de IA que se utilizan para actividades puramente personales y no profesionales solo estarán sujetos a algunos requisitos de transparencia.
- Nueva definición de “Sistema de IA.”9El Consejo ofrece una definición nueva, un poco más estrecha, de los sistemas de IA, que requiere que el sistema opere con «elementos de autonomía» que infiere cómo lograr un conjunto determinado de objetivos utilizando «aprendizaje automático y/o enfoques basados en la lógica y el conocimiento». La CE puede adoptar una regulación adicional para especificar los elementos técnicos de los «enfoques basados en la lógica y el conocimiento».10
- Algunas prácticas de IA prohibidas se reducen, mientras que otras se amplían.11Los sistemas de inteligencia artificial que implementan «técnicas subliminales» manipuladoras dañinas o explotan las vulnerabilidades de una lista definida de grupos particulares continúan prohibidos. El Consejo agrega grupos sociales y económicos específicos a la lista de grupos vulnerables y amplía la prohibición de puntuación social para cubrir el uso por parte de organizaciones del sector privado. El Consejo también amplía las excepciones a la prohibición de los sistemas de reconocimiento facial en tiempo real por parte de las fuerzas del orden público en espacios de acceso público.
- Exclusión de la clasificación de alto riesgo para sistemas de IA puramente accesorios.12Los sistemas de IA que de otro modo serían de alto riesgo pero que son puramente accesorios para decisiones o acciones relevantes serán excluidos de la clasificación de alto riesgo. En el plazo de un año a partir de la entrada en vigor de la Ley de IA, la CE aclarará las circunstancias en las que los sistemas de IA son puramente accesorios.
- Lista modificada de categorías de IA de alto riesgo.13Los sistemas de IA se clasificarán como de alto riesgo si se relacionan con productos que ya requieren una evaluación de conformidad de terceros según la legislación de salud y seguridad de la UE (por ejemplo, dispositivos médicos, equipos de radio y automóviles) o se utilizan para un propósito definido en el Actuar. El Consejo se basa en los propósitos propuestos por la CE, como la identificación biométrica remota, el reclutamiento, la evaluación de la solvencia y agrega sistemas de IA utilizados en infraestructura digital crítica, o que evalúan riesgos y precios en relación con seguros de vida y salud. Mientras tanto, la detección de falsificaciones profundas por parte de las fuerzas del orden, el análisis de delitos y la autenticación de documentos de viaje se han eliminado de la lista de IA de alto riesgo.
- Ajustes a las obligaciones de transparencia y rendición de cuentas asociadas con la IA de alto riesgo. El Consejo afina las disposiciones de mantenimiento de registros,14detalles de la información que se ofrecerá a los usuarios de IA de alto riesgo,15y añade cierta flexibilidad a las PYME para demostrar la documentación técnica.dieciséisLos requisitos para los sistemas de gestión de riesgos se ajustan para que las empresas deban identificar los riesgos para la salud, la seguridad y los derechos fundamentales de las personas que es más probable que surjan cuando el sistema de IA se utiliza para el fin previsto.17Quedan excluidos los riesgos que pudieran derivarse del “mal uso razonablemente previsible” del sistema de IA. Los sistemas de IA de alto riesgo que también están sujetos a obligaciones de gestión de calidad en virtud de otras leyes de la UE pueden utilizar partes de sus programas de cumplimiento actuales para cumplir con los requisitos de la Ley de IA.18
- Ajustes a los requisitos de datos de entrenamiento y detección de sesgos. Los proveedores de IA de alto riesgo deberán garantizar «en la mayor medida posible» que los datos de capacitación de sus sistemas sean completos, relevantes, representativos y sin errores.19El Consejo también limita los sesgos que deben examinarse a aquellos que probablemente afecten la salud y la seguridad de las personas o conduzcan a la discriminación.20Los proveedores de IA de alto riesgo deben eliminar o reducir en la medida de lo posible el riesgo de que la salida sesgada influya en los bucles de retroalimentación.21
- Nuevo umbral de multas para pequeñas y medianas empresas y alcance ampliado del Consejo de IA de la UE. El Consejo mantiene el umbral máximo de multa, en el mayor de 30 millones de euros o el seis por ciento de la facturación anual mundial, para empresas con más de 250 empleados y una facturación de 50 millones de euros o más.22Las circunstancias en las que se pueden imponer multas máximas se limitan a los casos de incumplimiento con respecto a los sistemas de IA prohibidos.23Se crea un umbral separado, de hasta el tres por ciento de la facturación mundial anual, para las PYME.24Estas multas serán impuestas por los reguladores nacionales, con una nueva Junta de AI de la UE que garantizará la coherencia y la coordinación en la aplicación. Las actividades y poderes de la nueva Junta de AI de la UE se escalan para incluir la creación de grupos de expertos en campos relevantes y asesorar a la CE sobre aspectos internacionales de la regulación de AI.25
Próximo paso
El Parlamento debe ahora finalizar sus enmiendas a la Propuesta antes de que pueda comenzar la siguiente fase del proceso legislativo, las negociaciones interinstitucionales (los llamados “trílogos”). Actualmente, los miembros del Parlamento debaten más de 3.000 enmiendas. Se espera que voten sobre las enmiendas en la primera mitad de 2023, y los diálogos tripartitos podrían comenzar poco después. Es posible que la ley entre en vigor a finales de 2023, antes de las próximas elecciones parlamentarias de 2024. Una vez que el texto se convierta en ley, es probable que las empresas tengan de dos a tres años para cumplir.26
Mientras tanto, los avances en la tecnología de IA están en los titulares. En particular, recientemente se publicaron el chatbot ChatGPT de Open AI y el generador de arte Dall.e 227y ya han atraído a millones de usuarios curiosos. A medida que el potencial y los desafíos asociados con la IA pasen a primer plano del discurso público, será interesante ver cómo los desarrollos recientes dan forma a las negociaciones en el Parlamento y los diálogos tripartitos.
Publicaremos actualizaciones sobre el progreso legislativo de la Ley de AI a medida que ocurran.
Para obtener más información sobre la Ley de IA de la UE y otros asuntos relacionados con la IA y el aprendizaje automático, comuníquese con Cédric Burton, Laura De Boel, Maneesha Mithal o cualquier otro abogado de la práctica de privacidad y ciberseguridad de Wilson Sonsini o de la práctica de IA y aprendizaje automático.
laura de boel, Maneesha Mithal, rossana fol, y Hattie Watson contribuyeron a la preparación de esta alerta para clientes.