El pasado 1 de agosto entró en vigor el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo de 13 de junio de 2024 por el que se establecen normas armonizadas en materia de inteligencia artificial (“Reglamento IA”).En este artículo vamos a analizar los retos para la aplicación del Reglamento IA.

Este Reglamento se caracteriza por regular los riesgos asociados al uso de sistemas o modelos de IA, prohibiendo determinados usos y regulando detalladamente otros. Por ello, a la hora de aplicar el Reglamento de IA, las empresas se enfrentan al reto de analizar y clasificar los sistemas de IA que usan. A la hora de realizar este análisis, deberán formularse, al menos, las siguientes preguntas:

  1. ¿Es un sistema de IA?

Sin lugar a dudas, esta pregunta es la clave para analizar la aplicabilidad del Reglamento IA a una organización. Para ello, se deberá recurrir a la definición de Sistema de IA contenida en el artículo 3.1. del Reglamento IA:

“Sistema de IA: un sistema basado en una máquina que está diseñado para funcionar con distintos niveles de autonomía y que puede mostrar capacidad de adaptación tras el despliegue, y que, para objetivos explícitos o implícitos, infiere de la información de entrada que recibe la manera de generar resultados de salida, como predicciones, contenidos, recomendaciones o decisiones, que pueden influir en entornos físicos o virtuales

Como se observa en la definición ofrecida por el Reglamento IA, algunos de los elementos que contiene la definición son requisito esencial (nivel de autonomía e inferencia de información) mientras que otros pueden darse o no (capacidad de adaptación, influencia en entorno físicos o virtuales).

  1. ¿El uso del sistema de IA consistirá en una práctica considerada prohibida?

Una vez que tenemos claro que el sistema reúne todos los requisitos para ser considerado un sistema de IA, deberemos analizar para qué finalidad se va utilizar. Para ello es necesario verificar si el uso del sistema de IA se encuentra en alguna de las prácticas prohibidas establecidas en el artículo 5 del Reglamento IA como, por ejemplo, reconocimiento de emociones en lugares de trabajo.

Si los usos que se pretenden dar al Sistema de IA se encuentran en este tipo de prácticas, deberá cesarse en su uso con carácter inmediato.

  1. ¿El sistema de IA puede ser clasificado como de alto riesgo?

Descartado, en su caso, que estemos ante una práctica prohibida, deberemos analizar si el sistema de IA puede ser clasificado como sistema de alto riesgo según el artículo 6 del Reglamento de IA. Esto es:

  • si el sistema de IA es un componente de seguridad de uno de los productos listados en el Anexo I del Reglamento IA que, además, deban someterse a una evaluación de conformidad de terceros según las normas europeas que figuran en dicho Anexo I, o bien
  • si el uso previsto del sistema de IA se engloba en alguno de los supuestos identificados en el Anexo III del Reglamento IA (algunos sistemas de biometría, uso para procesos de selección o contratación…) que planteen un riesgo importante de causar un perjuicio para la salud, la seguridad o los derechos fundamentales o pueda influir sustancialmente en la toma de decisiones.

Si tras este análisis se puede concluir que el Sistema de IA no se encuentra en los supuestos (i) y (ii) no estamos ante un sistema de IA de alto riesgo, por lo que la mayor parte de las obligaciones del Reglamento no nos resultarán de aplicación.

Una vez superados los análisis anteriores, deberá verificarse si el Sistema de IA puede tener la consideración de un sistema de IA sometido a ciertas obligaciones de transparencia (por ejemplo un chatbot).

Los análisis indicados sobre estas líneas son fundamentales ya que, en función del tipo de uso del sistema de IA, las obligaciones para los diferentes operadores serán muy elevadas (sistemas de IA de alto riesgo) o se verán prácticamente reducidas a obligaciones de transparencia.

Alejandro Padín Vidal. Socio en Garrigues, responsable del área de privacidad y ciberseguridad, Katiana Otero Saavedra. Asociada Principal en Garrigues, área de privacidad y ciberseguridad, miembros del Grupo Regulación Autelsi.