por Concepción Campos.
2 de febrero de 2025. Esta fecha debe estar marcada en el calendario de todos los usuarios, responsables de despliegue e interesados en general en la Inteligencia Artificial. Aunque Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) no 300/2008, (UE) no 167/2013, (UE) no 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (RIA), entraba en vigor, el 2 de agosto de 2024, en su artículo 113 (anticipado por el Considerando 179) fijaba una entrada en vigor escalonada. La razón estriba en el complejo marco normativo articulado por el Reglamento y la necesidad de dar al complejo marco afectado por sus previsiones, la oportunidad de adaptarse a las nuevas exigencias, garantizando una mayor seguridad jurídica.
Entrada escalonada que, si bien aún tiene recorrido hasta su definitiva entrada en vigor en 2026, anticipa algunas obligaciones en atención a la protección de los derechos y valores de la Unión que debe presidir el despliegue de la norma reglamentaria. Así lo recoge el propio Cdo. 179 cuando fija el 2 de febrero de 2025 como dead line para la entrada en vigor de las prohibiciones y disposiciones generales. La razón: el riesgo inaceptable que conllevan determinadas formas de uso de la IA, que se encuentran recogidas en el art. 5 RIA. En el marco de estas obligaciones, adquiere una sustancial importancia la obligada alfabetización, un deber recogido en el art. 4 del RIA, que se presenta como un eje estratégico en el correcto despliegue de la IA, tanto en el sector público como privado.
De ahí la importancia de esta fecha, pues no olvidemos que la protección efectiva de los derechos y libertades de todas las personas de la Unión, hacen que el RIA resulte de aplicación a todos, sí a todos, los proveedores de sistemas de IA, al margen de si están establecidos en la Unión o en un tercer país, y a los responsables del despliegue de sistemas de IA establecidos en la Unión. Es decir, que a partir del 2 de febrero del año 2025 estas previsiones resultan de aplicación con independencia de la localización de los operadores.
Todo ello sin olvidar el relevante régimen sancionador previsto en el RIA, y que se activará también a lo largo del año 2025, en concreto, el 2 de agosto y que supondrá un importante incentivo al cumplimiento.
Toca ahora, por tanto, analizar, a modo de recordatorio, el escenario que se dibuja para todos, operadores, responsables de despliegue y usuarios de sistemas de IA, a partir del 2 de febrero de 2025. Por una parte, el deber de alfabetización, su contenido, impacto y deberes asociados, así como por otra, las prácticas de IA prohibidas, y las actuaciones que, en consecuencia, deben realizarse para asegurar el respeto a dicha prohibición.
La alfabetización se configura, en mi opinión, como un derecho-deber, en función de la posición que ocupan cada una de las personas y entidades en la utilización de los sistemas de IA, tal y como expondremos a continuación. Pero, con carácter previo, debemos aclarar
A esta pregunta da respuesta el propio RIA en el art. 3, relativo a las definiciones, ofreciendo el siguiente concepto
«Alfabetización en materia de IA»: las capacidades, los conocimientos y la comprensión que permiten a los proveedores, responsables del despliegue y demás personas afectadas, teniendo en cuenta sus respectivos derechos y obligaciones en el contexto del presente Reglamento, llevar a cabo un despliegue informado de los sistemas de IA y tomar conciencia de las oportunidades y los riesgos que plantea la IA, así como de los perjuicios que puede causar.
Como vemos, el precepto reglamentario realiza una aproximación completa: capacidades, conocimientos y comprensión, y, es esta última noción, la de comprensión, aquélla en la que creo que debemos poner el acento, pues más allá del conocimiento y la capacidad, es preciso establecer la debida comprensión del modelo, de sus oportunidades y riesgos. De hecho, la propia norma así lo enfatiza al señalar la necesidad de «tomar conciencia de las oportunidades y los riesgos que plantea la IA, así como de los perjuicios que puede causar», pues la falta de esa conciencia puede producir graves daños a los derechos de las personas y al deber de protección de los mismos que constituye el eje regulatorio.
En este sentido, sería conveniente el despliegue de un marco básico de competencias en la materia, al menos, para aquéllos que vayan a tener mayor responsabilidad en el despliegue, que, también podrían incardinarse en un marco general de competencias digitales. Así lo ha hecho, por ejemplo, el INAP, cuando recoge en el Marco de Competencias Digitales de las empleadas y los empleados públicos, la inclusión de las competencias relacionadas con la IA, que recogemos a continuación a modo de ejemplo. El Marco establece que la IA puede impactar en aspectos tan relevantes como:
Entrando ya en las prescripciones reglamentarias, el art. 4 RIA (1), impone tanto a proveedores como a responsables de despliegue, la obligación de adoptar medidas para garantizar que, en la mayor medida posible, su personal y demás personas que se encarguen en su nombre del funcionamiento y la utilización de sistemas de IA tengan un nivel suficiente de alfabetización en materia de IA, teniendo en cuenta sus conocimientos técnicos, su experiencia, su educación y su formación, así como el contexto previsto de uso de los sistemas de IA y las personas o los colectivos de personas en que se van a utilizar dichos sistemas.
Como vemos, por una parte, están los sujetos que tienen un deber activo, el de proporcionar dicha alfabetización, que compete tanto a proveedores como responsables de despliegue, entendiendo por proveedores: «una persona física o jurídica, autoridad pública, órgano u organismo que desarrolle un sistema de IA o un modelo de IA de uso general o para el que se desarrolle un sistema de IA o un modelo de IA de uso general y lo introduzca en el mercado o ponga en servicio el sistema de IA con su propio nombre o marca, previo pago o gratuitamente» y, por responsable de despliegue, «una persona física o jurídica, o autoridad pública, órgano u organismo que utilice un sistema de IA bajo su propia autoridad, salvo cuando su uso se enmarque en una actividad personal de carácter no profesional».
Y, por otra parte, aquéllos que tienen un derecho activo, a ser sujetos de dicha alfabetización, es decir, al personal de las personas físicas o jurídicas señaladas y demás personas que se encarguen en su nombre del funcionamiento, sea cual sea la fórmula de colaboración. Es decir, se configura de una forma amplia, porque sólo de ese modo se puede garantizar un despliegue ético y responsable de la IA, y evitar que la brecha digital siga haciéndose más profunda.
En consecuencia, todos los sujetos obligados deberán contar ya con los correspondientes planes o programas de formación o capacitación que aseguren la dotación de ese conocimiento, de ese nivel suficiente de alfabetización. Pero no cualquier programa, sino que éste deberá estar personalizado y adaptado de forma detallada a sus destinatarios, pues la norma exige que se tenga en cuenta tanto los conocimientos técnicos, como la experiencia, educación y formación, así como el contexto previsto de uso de los sistemas de IA.
Todo ello sin olvidar a las personas o los colectivos de personas en que se van a utilizar dichos sistemas, de especial impacto en el caso de personas afectadas por las diferentes brechas, como pueden ser personas mayores, personas con discapacidad, colectivos vulnerables o personas que residan en zonas rurales, que pueden tener un mayor riesgo de brecha digital.
Aunque la tecnología lo permita, no será posible. No en Europa. Esa es la principal conclusión que debemos extraer de la activación, dentro del paquete normativo del RIA que adquiere aplicación efectiva el 2 de febrero de 2025, de las previsiones del art. 5, que recoge los sistemas prohibidos en atención a sus características.
Porque el uso de la IA abre magníficas oportunidades y presenta potenciales usos beneficiosos, pero también abre el escenario a la aparición de considerables riesgos para la protección de los derechos de las personas, pues su uso indebido puede conducir a una realidad distópica de manipulación, explotación y control social, al más puro estilo orwelliano. Por eso resulta necesario prohibir determinadas prácticas que no son aceptables por contravenir claramente los valores de la Unión, para garantizar los derechos fundamentales, el respeto de la dignidad humana, la libertad, la igualdad, la democracia, pero también, el derecho a la no discriminación, a la protección de datos y a la intimidad y los derechos del niño.
Se trata de prácticas, que por su elevado riesgo no ofrecen la posibilidad de realizar una gestión de riesgos que permita su mitigación, como sucede con los sistemas de alto riesgo contemplados en el art. 6. De este modo el art. 5 identifica una serie de prácticas respecto a las que prohíbe, tanto la introducción en el mercado, como la puesta en servicio y la utilización de los sistemas de IA.
¿Qué debemos entender por introducción en el mercado o por puesta en servicio?
Nuevamente es el propio Reglamento ofrece la definición:
Entrando ya en las prácticas que se ven afectadas por esta prohibición, será la introducción en el mercado, la puesta en servicio o la utilización de un sistema de IA que (2):
a) Que se sirva de técnicas subliminales que trasciendan la conciencia de una persona o de técnicas deliberadamente manipuladoras o engañosas con el objetivo o el efecto de alterar de manera sustancial el comportamiento de una persona o un colectivo de personas, mermando de manera apreciable su capacidad para tomar una decisión informada y haciendo que tomen una decisión que de otro modo no habrían tomado, de un modo que provoque, o sea razonablemente probable que provoque, perjuicios considerables a esa persona, a otra persona o a un colectivo de personas;
b) Que explote alguna de las vulnerabilidades de una persona física o un determinado colectivo de personas derivadas de su edad o discapacidad, o de una situación social o económica específica, con la finalidad o el efecto de alterar de manera sustancial el comportamiento de dicha persona o de una persona que pertenezca a dicho colectivo de un modo que provoque, o sea razonablemente probable que provoque, perjuicios considerables a esa persona o a otra;
c) Para evaluar o clasificar a personas físicas o a colectivos de personas durante un período determinado de tiempo atendiendo a su comportamiento social o a características personales o de su personalidad conocidas, inferidas o predichas, de forma que la puntuación ciudadana resultante provoque una o varias de las situaciones siguientes:
i) un trato perjudicial o desfavorable hacia determinadas personas físicas o colectivos de personas en contextos sociales que no guarden relación con los contextos donde se generaron o recabaron los datos originalmente,
ii) un trato perjudicial o desfavorable hacia determinadas personas físicas o colectivos de personas que sea injustificado o desproporcionado con respecto a su comportamiento social o la gravedad de este
d) la introducción en el mercado, la puesta en servicio para este fin específico o el uso de un sistema de IA para realizar evaluaciones de riesgos de personas físicas con el fin de valorar o predecir el riesgo de que una persona física cometa un delito basándose únicamente en la elaboración del perfil de una persona física o en la evaluación de los rasgos y características de su personalidad; esta prohibición no se aplicará a los sistemas de IA utilizados para apoyar la valoración humana de la implicación de una persona en una actividad delictiva que ya se base en hechos objetivos y verificables directamente relacionados con una actividad delictiva;
e) la introducción en el mercado, la puesta en servicio para este fin específico o el uso de un sistema de IA para realizar evaluaciones de riesgos de personas físicas con el fin de valorar o predecir el riesgo de que una persona física cometa un delito basándose únicamente en la elaboración del perfil de una persona física o en la evaluación de los rasgos y características de su personalidad; esta prohibición no se aplicará a los sistemas de IA utilizados para apoyar la valoración humana de la implicación de una persona en una actividad delictiva que ya se base en hechos objetivos y verificables directamente relacionados con una actividad delictiva
f) para realizar evaluaciones de riesgos de personas físicas con el fin de valorar o predecir el riesgo de que una persona física cometa un delito basándose únicamente en la elaboración del perfil de una persona física o en la evaluación de los rasgos y características de su personalidad; esta prohibición no se aplicará a los sistemas de IA utilizados para apoyar la valoración humana de la implicación de una persona en una actividad delictiva que ya se base en hechos objetivos y verificables directamente relacionados con una actividad delictiva;
g) que creen o amplíen bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales de internet o de circuitos cerrados de televisión;
h) para inferir las emociones de una persona física en los lugares de trabajo y en los centros educativos, excepto cuando el sistema de IA esté destinado a ser instalado o introducido en el mercado por motivos médicos o de seguridad
En este punto debemos recordar que el RIA contempla en su art. 96 la elaboración por la Comisión sobre la aplicación práctica de la norma reglamentaria, y en concreto, sobre las prácticas prohibidas contempladas en el art. 5.
¿Qué deben de hacer las entidades del sector público o privado ante estas prohibiciones? No cabe duda de que, en el momento actual, prácticamente todas las organizaciones y también numerosas personas físicas están utilizando diferentes sistemas de IA, lo que requerirá tener en cuenta la activación de estas prohibiciones y, en consecuencia, proceder a realizar una revisión de los mismos, para identificar y eliminar los sistemas de IA que entren dentro de alguna de las categorías prohibidas, garantizando así el debido cumplimiento del RIA.
Y por si la activación del deber de cumplimiento normativo no fuera suficiente, no olvidemos la próxima vigencia del régimen sancionador, como vemos a continuación.
Como hemos visto, la aplicación escalonada de las prescripciones del RIA contempla diferentes etapas para el año 2025, destacando a los efectos de la activación que se produce el 2 de febrero, la aplicación a partir del 2 de agosto de 2025 del régimen sancionador, ante los posibles incumplimientos de las prescripciones reglamentarias.
Tal y como establece el art. 99 de RIA los Estados miembros están obligados a establecer el régimen de sanciones y otras medidas de ejecución, como advertencias o medidas no pecuniarias, aplicable a las infracciones del RIA que cometan los operadores. Sanciones que, en el ámbito pecuniario, podrán ser multas de hasta 35 millones de euros o el 7% de los ingresos anuales globales de la empresa en el ejercicio fiscal anterior, aplicándose la cantidad que resulte más elevada. Además, adoptarán todas las medidas necesarias para garantizar que se aplican de forma adecuada y efectiva y teniendo así en cuenta las directrices emitidas por la Comisión, como hemos visto.
De hecho, los Estados miembros quedan obligados a poner en conocimiento de la Comisión Europea las normas referentes a este aspecto, incluidas las multas administrativas, y asegurarse de que para la fecha de aplicación efectiva del Reglamento aquellas se apliquen de manera adecuada y efectiva.
En este sentido, debemos recordar que en España la Agencia Española de Supervisión de Inteligencia Artificial (AESIA), tiene atribuida la competencia para la supervisión de los sistemas de IA, a efectos de garantizar el cumplimiento de la normativa, tanto nacional como europea, sobre la IA que lleve aparejada el uso de esta tecnología, cuya competencia sea asumida por la Agencia. En particular, le corresponderá la supervisión y, en su caso, sanción de acuerdo con lo estipulado en la normativa europea en lo que respecta a la supervisión de sistemas de IA, tal y como establece el Real Decreto 729/2023, de 22 de agosto, por el que se aprueba el Estatuto de la Agencia Española de Supervisión de Inteligencia Artificial
El escenario que se dibuja para el año 2025 para los operadores que, de un modo u otro, se encuentran afectados por la utilización de sistemas de IA, requiere la adopción de un enfoque proactivo que asegure el cumplimiento normativo y evite la imposición de las sanciones correspondientes.
Para ello, será necesario dotarse de una política de IA, en la que se ponga en negro sobre blanco el conjunto de acciones diseñadas para asegurar el debido cumplimiento del RIA, asegurando un despliegue ético y responsable. Una política en la que se contemplen, entre otros contenidos, el programa de alfabetización que permita a los empleados y colaboradores de las distintas entidades, los riesgos que se enfrentan en el uso de la IA, pero también el potencial que presenta y cómo aprovecharlo para una mayor competitividad y eficacia.
Política de IA que también debe asegurar el desarrollo de las medidas para evaluar constantemente la posible utilización de sistemas de IA prohibidos, más allá de la necesaria evaluación que exige la activación del art. 5, y que pueda acreditarse en relación con los sistemas utilizados. Obligaciones que afectan tanto al sector público como al privado, pero que resultan de especial relevancia para el público en atención a su posición garante de los derechos y libertades de las personas que puedan verse afectados por los incumplimientos normativos.
Porque en estos momentos, uno de los mayores riesgos que presenta el uso de la IA, es la ausencia de directrices claras y concretas sobre dicho uso en las organizaciones, que, ante el vacío existentes sobre qué puede usarse, quién puede usarla, y cómo y en qué circunstancias, está facilitando un uso anárquico y sin control, que multiplica los riesgos.
De ahí que, entre las tareas y deberes básicos para este año 2025 en el uso de la IA se encuentre la elaboración, despliegue y comunicación de las políticas de uso de la IA, en la que se establezcan los sistemas permitidos, los prohibidos, los permitidos con autorización. Pero también el correspondiente organigrama de gestión, ¿quién se ocupará? ¿tenemos un Chief Artificial Intelligence Officer? ¿serán los responsables de Compliance? ¿y en las organizaciones públicas? Múltiples preguntas que ofrecen respuestas diferentes en función del tipo y tamaño de la organización y de su ámbito material de actuación, y que interpelan al conjunto de actores afectados para asegurar una IA ética y responsable, respetuosa con los valores de la Unión, los derechos de las personas y un enfoque centrado en las personas.
17 de Febrero
14 de Febrero
12 de Febrero
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)
QUIÉNES SOMOS
La Asociación
Junta Directiva
Sedes
Noticias
Artículos de Interés
Canal Ético
ACERCA DEL COMPLIANCE
Qué es
Compliance Officer
Marco Normativo Internacional
Cual es tu nivel de Compliance
FORMACIÓN
Eventos
Cursos Acreditados
Agenda Formativa
Cómo acreditar un curso
CERTIFICACIÓN
Certificación Profesional WCA
Certificación Sistemas de Compliance
SOCIOS
Ventajas de Asociarse
Entidades Asociadas
Profesionales Asociados
Solicitud de Adhesión
LEGAL
Aviso Legal
Política de Privacidad
Política de Cookies
Propiedad Intelectual
Condiciones de Contratación
.jpg)
