AI Act (Reglamento de Inteligencia Artificial)

El Reglamento de Inteligencia Artificial de la Unión Europea, conocido como AI Act, establece un marco legal para el desarrollo, comercialización y uso de sistemas de inteligencia artificial en el mercado europeo. Su contenido define obligaciones específicas para diferentes actores según el nivel de riesgo que presenten los sistemas de IA utilizados.

Qué es la AI Act o Reglamento de Inteligencia Artificial

La AI Act es una norma propuesta por la Comisión Europea de Protección de Datos (CEPD), en el contexto de su estrategia digital, con el fin de regular el uso de la inteligencia artificial en los Estados miembros de la Unión Europea. Su desarrollo se enmarca en la intención de establecer un enfoque común que garantice el uso seguro y conforme a los valores y derechos fundamentales reconocidos por la UE.

Fecha de entrada en vigor y aplicación

El texto fue aprobado por el Parlamento Europeo en marzo de 2024 y posteriormente validado por el Consejo de la Unión Europea en mayo de 2024.

La normativa entra en vigor 20 días después de su publicación en el Diario Oficial de la Unión Europea, prevista durante el primer semestre de 2025. Su aplicación será gradual:

• 6 meses después: entrada en vigor de las prohibiciones sobre sistemas de riesgo inaceptable.
• 12 meses después: aplicación de las obligaciones para sistemas de inteligencia artificial de propósito general.
• 24 meses después: aplicación completa del reglamento.

Dado que se trata de un reglamento europeo, no requiere transposición al derecho nacional. Sin embargo, los Estados miembros deberán designar autoridades competentes y adoptar medidas de implementación en sus jurisdicciones.

A quién afecta

La Ley de Inteligencia Artificial se aplica a:

• Proveedores y desarrolladores de sistemas de inteligencia artificial, tanto establecidos en la UE como fuera de ella, si sus sistemas se utilizan en el mercado europeo.
• Distribuidores, importadores e integradores de sistemas de IA en productos ya regulados por otras normativas (como equipos médicos o maquinaria).
• Usuarios profesionales, incluidos organismos públicos, que utilicen sistemas de IA en su actividad.
• Quedan excluidos los sistemas desarrollados o utilizados con fines exclusivamente militares o de seguridad nacional, entre otros casos específicos.

Objetivos de la Ley de Inteligencia Artificial

La AI Act persigue los siguientes fines:

• Establecer normas comunes sobre la IA en toda la UE.
• Garantizar un uso seguro y conforme a los derechos fundamentales de las personas.
• Fomentar la transparencia, la trazabilidad y la supervisión humana de los sistemas de IA.
• Impulsar un mercado interior armonizado, evitando fragmentación normativa.
• Facilitar la innovación, especialmente en el sector de las pequeñas y medianas empresas.

Puntos principales del reglamento

El Reglamento de Inteligencia Artificial se basa en una clasificación por niveles de riesgo, que determina el tipo de obligaciones aplicables:

Riesgo inaceptable

Sistemas prohibidos por contravenir derechos fundamentales. Ejemplos:

• Manipulación subliminal.
• Clasificación biométrica basada en categorías sensibles.
• Sistemas de puntuación social en contextos públicos.

Alto riesgo

Sistemas sujetos a requisitos estrictos, como evaluación de conformidad, documentación técnica, gobernanza de datos y supervisión humana. Incluye aplicaciones en:

• Infraestructuras críticas.
• Empleo y recursos humanos.
• Educación y formación.
• Servicios públicos y financieros.
• Aplicaciones policiales o judiciales.

Riesgo limitado

Se exige transparencia al usuario. Ejemplo: sistemas que interactúan con humanos (chatbots), generación de contenido sintético, o reconocimiento de emociones.

Riesgo mínimo

La mayoría de sistemas actuales de IA entran en esta categoría. No están sujetos a obligaciones específicas, pero pueden adherirse voluntariamente a códigos de buenas prácticas.

El DPO en el Reglamento de IA

El Reglamento de Inteligencia Artificial (AI Act) menciona el papel del Delegado de Protección de Datos de forma puntual, en relación con los sistemas de IA considerados de alto riesgo.

Aunque el AI Act no introduce nuevas funciones específicas para el DPO en términos generales, sí reconoce su papel dentro de las organizaciones sujetas al Reglamento General de Protección de Datos (RGPD), cuando se trata del uso de IA de alto riesgo que implique tratamiento de datos personales.

Concretamente, el AI Act establece:

Cuando una organización esté obligada a designar un DPO en virtud del RGPD, este podrá ser también responsable de aspectos relacionados con el cumplimiento del AI Act, en la medida en que el uso del sistema de IA implique tratamiento de datos personales.

En contextos donde la evaluación de impacto del sistema de IA incluya tratamiento de datos personales, el DPO debe participar de forma adecuada en dicho proceso, como lo exige el artículo 39 del RGPD.

Se reconoce que los DPO pueden desempeñar un papel de supervisión y asesoramiento sobre el cumplimiento de las obligaciones relativas a la protección de datos en los sistemas de IA, especialmente en lo relativo a:

• Evaluaciones de impacto en materia de protección de datos (DPIA).
• Salvaguardias para evitar sesgos algorítmicos.
• Garantía de que el sistema respete los principios de minimización de datos, transparencia y limitación de finalidad.

No confundir con la función del «oficial de cumplimiento de IA»

El AI Act también prevé que las empresas (especialmente las que desarrollen o implementen sistemas de alto riesgo) designen o asignen funciones específicas para asegurar el cumplimiento del reglamento. Esta figura no tiene por qué ser el DPO, pero en algunas organizaciones podría coincidir con él o colaborar estrechamente.