DICTAMEN DEL BANCO CENTRAL EUROPEO ACERCA DE UNA PROPUESTA DE REGLAMENTO POR EL QUE SE ESTABLECEN NORMAS ARMONIZADAS EN MATERIA DE INTELIGENCIA ARTIFICIAL

 Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Université de Montpellier I Francia.

cferreyros@hotmail.com 

Resumen

El Banco Central Central Europeo, BCE, acoge con satisfacción el objetivo del reglamento propuesto de mejorar el funcionamiento del mercado interior estableciendo un régimen legal uniforme para el desarrollo, la comercialización y el uso de una inteligencia artificial (IA) fiable de conformidad con los valores de la Unión. El BCE reconoce la importancia de establecer requisitos uniformes específicos de los sistemas de IA para garantizar un nivel de protección alto y coherente de fines prioritarios de interés público como son la salud, la seguridad y los derechos fundamentales.

También reconoce la importancia creciente de la innovación que la IA puede facilitar en el sector bancario. Teniendo en cuenta el carácter transfronterizo inherente y las oportunidades de innovación en IA en la actividad bancaria, el BCE, como autoridad supervisora prudencial al nivel de la Unión, apoya decididamente la necesidad de asegurar que el reglamento propuesto se aplique de forma uniforme por las entidades de crédito en cuanto se refiera a riesgos y requisitos prudenciales. Igualmente, y dada la importancia creciente de la IA, se invita al legislador de la Unión a considerar en el futuro la posibilidad de crear una autoridad de IA al nivel de la Unión que sea responsable de la aplicación uniforme del reglamento propuesto en el conjunto del mercado único con respecto a materias específicas que atañan a la salud, la seguridad y los derechos fundamentales.

Ni la Autoridad Nacional de Protección de Datos Personales del Perú ni el Banco Central de Reserva  tienen - a mi conocimiento - una propuesta de Reglamento por el que se establecen normas armonizadas en materia de Inteligencia Artificial .

Si desea mayor información sobre las propuestas de este Reglamento y sus probables implicancias en el ámbito empresarial e institucional, consúltenos al correo electrónico:  cferreyros@ferreyros-ferreyros.com  del Estudio Jurídico Ferreyros-Ferreyros.com

___________________________________________________________

DICTAMEN DEL BANCO CENTRAL EUROPEO

de 29 de diciembre de 2021

acerca de una propuesta de reglamento por el que se establecen normas armonizadas en materia de inteligencia artificial

(CON/2021/40)

(2022/C 115/05)

Introducción y fundamento jurídico

El 3 de noviembre de 2021 el Banco Central Europeo (BCE) recibió del Consejo de la Unión Europea una solicitud de dictamen acerca de una propuesta (¹) de reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial (Ley de Inteligencia Artificial) y se modifican determinados actos legislativos de la Unión (en lo sucesivo, el «reglamento propuesto»).

La competencia consultiva del BCE se basa en el artículo 127, apartado 4, y en el artículo 282, apartado 5, del Tratado de Funcionamiento de la Unión Europea, pues el reglamento propuesto contiene disposiciones que afectan a las competencias del BCE, en particular a sus funciones relacionadas con la supervisión prudencial de las entidades de crédito, conforme al artículo 127, apartado 6, del Tratado. De conformidad con la primera frase del artículo 17.5 del Reglamento interno del Banco Central Europeo, el presente dictamen ha sido adoptado por el Consejo de Gobierno.

1.   Observaciones generales

      1.1.            El BCE acoge con satisfacción el objetivo del reglamento propuesto de mejorar el funcionamiento del mercado interior estableciendo un régimen legal uniforme para el desarrollo, la comercialización y el uso de una inteligencia artificial (IA) fiable de conformidad con los valores de la Unión. El BCE reconoce la importancia de establecer requisitos uniformes específicos de los sistemas de IA para garantizar un nivel de protección alto y coherente de fines prioritarios de interés público como son la salud, la seguridad y los derechos fundamentales.

 

      1.2.            El BCE también reconoce la importancia creciente de la innovación que la IA puede facilitar en el sector bancario. Teniendo en cuenta el carácter transfronterizo inherente y las oportunidades de innovación en IA en la actividad bancaria, el BCE, como autoridad supervisora prudencial al nivel de la Unión, apoya decididamente la necesidad de asegurar que el reglamento propuesto se aplique de forma uniforme por las entidades de crédito en cuanto se refiera a riesgos y requisitos prudenciales. Igualmente, y dada la importancia creciente de la IA, se invita al legislador de la Unión a considerar en el futuro la posibilidad de crear una autoridad de IA al nivel de la Unión que sea responsable de la aplicación uniforme del reglamento propuesto en el conjunto del mercado único con respecto a materias específicas que atañan a la salud, la seguridad y los derechos fundamentales.

 

      1.3.            Respecto de los sistemas de IA de alto riesgo que las entidades de crédito proporcionan o utilizan, el BCE entiende que el reglamento propuesto integra determinadas obligaciones en los procedimientos que se establecen en la Directiva 2013/36/UE del Parlamento Europeo y del Consejo (²) (en adelante, la «CRD»). En particular, el reglamento propuesto busca aumentar la coherencia con la CRD integrando algunas de las obligaciones de gobierno y gestión de riesgos de proveedores y usuarios en el sistema de gobierno interno de las entidades de crédito (³). Debido a la novedad y la complejidad de la IA, y a los elevados requisitos del reglamento propuesto, serán necesarias otras orientaciones para clarificar las expectativas de supervisión con respecto a las obligaciones relativas al gobierno interno.

 

      1.4.            El BCE acoge con satisfacción que el reglamento propuesto pretenda evitar solapamientos con el marco legislativo vigente haciendo que algunas de sus disposiciones queden subsumidas en las disposiciones correspondientes de la CRD (⁴). Sobre este punto, el BCE celebra que la obligación de los proveedores de sistemas de IA de alto riesgo que sean entidades de crédito, de instaurar un sistema de gestión de la calidad, y la obligación de los usuarios de sistemas de IA de alto riesgo que sean entidades de crédito, de vigilar el funcionamiento del sistema, se consideren cumplidas cuando dichos proveedores y usuarios cumplan las normas relativas a los sistemas, procedimientos y mecanismos de gobernanza interna establecidas en las disposiciones pertinentes de la CRD (⁵).

 

      1.5.            El BCE hace hincapié en que el reglamento propuesto debe entenderse sin perjuicio de las obligaciones prudenciales más específicas o estrictas de las entidades de crédito establecidas en la regulación sectorial y completadas por las directrices de supervisión correspondientes. Por ejemplo, las obligaciones de gobierno interno de los usuarios de sistemas de IA que son entidades de crédito, de conformidad con la CRD (⁶), incluyen el control efectivo de la externalización, incluidas la identificación, evaluación y mitigación de todos los riesgos asociados, según informan de modo más amplio las Directrices sobre externalización de la ABE (⁷). Mientras que el reglamento propuesto asigna obligaciones diferentes a proveedores y usuarios de sistemas de IA de alto riesgo, las Directrices sobre externalización de la ABE no establecen tal distinción en el contexto de la externalización entre terceros proveedores de soluciones tecnológicas y entidades de crédito. En este sentido, la externalización no rebaja la obligación que las entidades de crédito tienen de cumplir con los requisitos regulatorios, y el supervisor prudencial mantiene su competencia de supervisión de los riesgos prudenciales planteados por las funciones externalizadas. En este contexto, el BCE celebraría que se aclarara la cuestión relativa a los requisitos aplicables y las autoridades competentes en lo que respecta a la externalización por parte de los usuarios de sistemas de IA de alto riesgo que son entidades de crédito.

 

      1.6.            Debería aclararse el papel que corresponde al BCE según el reglamento propuesto, en particular en relación con los aspectos siguientes: 1) las competencias de supervisión prudencial del BCE en general y, en particular, en relación con la vigilancia de los mercados y la evaluación de la conformidad, y 2) la aplicación del reglamento propuesto al desempeño de las competencias que corresponden al BCE según el Tratado.

 

      1.7.            El BCE continuará aplicando un enfoque tecnológicamente neutro en la supervisión prudencial de las entidades de crédito. Le corresponde velar por la seguridad y la solidez de las entidades de crédito, manteniendo una supervisión prudencial rigurosa con independencia de cuál sea la solución tecnológica en particular que se aplique. El BCE busca mantener la igualdad de trato en la supervisión de las entidades de crédito, conforme al principio rector de aplicar la misma supervisión a la misma actividad y los mismos riesgos (⁸).

2.   El papel del BCE según el reglamento propuesto

2.1.   Aclaración de las competencias de supervisión prudencial del BCE en relación con la vigilancia de los mercados

         2.1.1.      El reglamento propuesto prevé que el Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo (⁹) se aplique a los sistemas de IA cubiertos por el reglamento propuesto (¹⁰), y que toda referencia a un producto con arreglo al Reglamento UE 2019/1020 incluya todos los sistemas de IA que estén comprendidos en el ámbito de aplicación del reglamento propuesto (¹¹). En este sentido, el BCE observa que el objetivo del Reglamento (UE) 2019/2020 es mejorar el funcionamiento del mercado interior reforzando la vigilancia de los mercados en lo que se refiere a los productos cubiertos por la legislación de armonización de la Unión, a fin de asegurar que solo lleguen al mercado de la Unión los productos que sean conformes y cumplan requisitos que proporcionen un alto nivel de protección de intereses públicos como la salud y la seguridad en general, la salud y la seguridad en el ámbito laboral, la protección de los consumidores, la protección medioambiental, la seguridad pública y el resto de intereses públicos protegidos por dicha legislación de armonización de la Unión (¹²).

 

         2.1.2.      El reglamento propuesto define la autoridad de vigilancia del mercado como la autoridad nacional que lleva a cabo las actividades y adopta las medidas previstas en el Reglamento (UE) 2019/1020 (¹³). A su vez, el Reglamento (UE) 2019/1020 define la autoridad de vigilancia del mercado como la autoridad designada por un Estado miembro, de conformidad con el Reglamento (UE) 2019/1020, responsable de efectuar la vigilancia del mercado en el territorio de dicho Estado miembro (¹⁴). Además, el considerando 9 del Reglamento (UE) 2019/1020 aclara que la responsabilidad de aplicar la legislación de armonización de la Unión debe corresponder a los Estados miembros, cuyas autoridades de vigilancia estarán obligadas a velar por que se cumpla plenamente la legislación (¹⁵). Por cuanto se ha dicho, el BCE entiende que, en el marco del reglamento propuesto, el BCE no es en modo alguno una autoridad de vigilancia del mercado.

 

         2.1.3.      Sin embargo, en el caso de los sistemas de IA introducidos en el mercado, puestos en servicio o utilizados por entidades financieras reguladas por la legislación de la Unión sobre servicios financieros, el reglamento propuesto prevé además que la autoridad de vigilancia del mercado a efectos del reglamento propuesto sea la autoridad pertinente responsable de la supervisión financiera de dichas entidades con arreglo a la mencionada legislación (¹⁶). Por otra parte, el considerando 80 del reglamento propuesto aclara que la legislación de la Unión relativa a los servicios financieros contiene normas y requisitos en materia de gobernanza interna y gestión de riesgos que las entidades financieras reguladas deben cumplir durante la prestación de dichos servicios, y también cuando utilicen sistemas de IA. Aclara, además, que para garantizar la aplicación y ejecución coherentes de las obligaciones previstas en el reglamento propuesto, así como de las normas y los requisitos oportunos de la legislación de la Unión relativa a los servicios financieros, se ha de designar a las autoridades encargadas de supervisar y ejecutar dicha legislación y, en particular, cuando proceda, al BCE, como las autoridades competentes encargadas de supervisar la aplicación del reglamento propuesto, también de cara a las actividades de vigilancia del mercado, en relación con los sistemas de IA proporcionados o usados por entidades financieras reguladas y supervisadas. En el mismo sentido, también se hace referencia a la necesidad de aumentar la coherencia entre el reglamento propuesto y las normas aplicables a las entidades de crédito reguladas por la CRD.

 

         2.1.4.      Conforme al artículo 127, apartado 6, del Tratado, el Consejo, por unanimidad, podrá encomendar al BCE tareas específicas respecto de políticas relacionadas con la supervisión prudencial de las entidades de crédito y otras entidades financieras, con excepción de las empresas de seguros. Sobre dicha base, el Reglamento (UE) n.^o 1024/2013 del Consejo (¹⁷) (en lo sucesivo, el «Reglamento del MUS») encomienda al BCE tareas específicas respecto de políticas relacionadas con la supervisión prudencial de las entidades de crédito, con objeto de contribuir a la seguridad y la solidez de estas entidades y a la estabilidad del sistema financiero dentro de la Unión y en cada uno de los Estados miembros, teniendo plenamente en cuenta y ejerciendo el deber de diligencia en relación con la unidad y la integridad del mercado interior, partiendo de la base de la igualdad de trato para las entidades de crédito con miras a evitar el arbitraje regulatorio (¹⁸). En este sentido, el BCE tendrá competencias exclusivas, con fines de función prudencial, para velar por el cumplimiento de todos los actos pertinentes de la Unión que imponen a las entidades de crédito requisitos de implantación, entre otras cosas, de procesos de gestión de riesgos y mecanismos internos de control sólidos (¹⁹). La función supervisora del BCE a este respecto se limita a asegurar que las entidades de crédito apliquen políticas y procesos para evaluar y gestionar su exposición al riesgo prudencial, incluidos los riesgos relacionados con diversos aspectos de sus modelos de negocio, gobernanza y riesgo operativo, derivada del uso de soluciones tecnológicas, para velar por la seguridad y la solidez de las entidades de crédito y la estabilidad del sistema financiero (²⁰).

 

         2.1.5.      La vigilancia del mercado no tiene por objeto velar por la seguridad y la solidez de las entidades de crédito. Se centra en proteger los intereses de los particulares que podrían verse afectados por sistemas de IA abusivos, asegurándose de que dichos sistemas cumplan los requisitos necesarios para garantizar un nivel elevado de protección de la salud y la seguridad de las personas y otros intereses públicos. Así pues, el BCE entiende que el legislador de la Unión no pretende que, en el marco del reglamento propuesto, el BCE actúe como una autoridad de vigilancia del mercado en relación con las entidades de crédito bajo su supervisión. Esta conclusión es coherente con los considerandos del Reglamento del MUS, los cuales aclaran que las autoridades nacionales son competentes para garantizar un nivel elevado de protección del consumidor (²¹).

 

         2.1.6.      Partiendo de esta base, el BCE sugiere que, en aras de mantener la coherencia con las competencias de supervisión prudencial según el artículo 127, apartado 6, del Tratado, y el Reglamento del MUS, el texto del reglamento propuesto aclare inequívocamente que no se designa al BCE como autoridad de vigilancia del mercado ni se le encomiendan funciones de vigilancia del mercado.

 

         2.1.7.      Aunque no se confieran funciones de vigilancia del mercado al BCE, puede suceder que algunos Estados miembros consideren designar a las autoridades nacionales competentes involucradas en la supervisión de las entidades de crédito como responsables de la vigilancia del mercado en el marco del reglamento propuesto, en la medida que su mandato se lo permita y, como mínimo, en tanto que las funciones de vigilancia del mercado sean aplicables a situaciones de puesta en servicio de un sistema de IA para uso propio. La designación de las autoridades nacionales competentes actualmente involucradas en la supervisión de las entidades de crédito como responsables de la vigilancia del mercado puede considerarse una medida que preserva la coherencia y rentabilidad de los resultados de la supervisión, al mismo tiempo que aprovecha la experiencia adquirida por dichas autoridades al utilizar sus competencias de investigación y supervisión en relación con las entidades de crédito.

 

         2.1.8.      Finalmente, el BCE observa que las disposiciones relativas a la vigilancia del mercado del reglamento propuesto no abordan del modo adecuado las situaciones de puesta en servicio de un sistema de IA para uso propio. Por ejemplo, la competencia que las autoridades de vigilancia del mercado tienen, según el reglamento propuesto, de recuperar o retirar un sistema de IA podría no resultar efectivamente en la supresión de dicho sistema en situaciones de uso propio (²²). Así pues, se invita al legislador de la Unión a aclarar qué medidas restrictivas y facultades pertinentes de las autoridades competentes deben aplicarse a las situaciones de uso propio.

2.2.   Aclaración de las competencias de supervisión prudencial del BCE en el ámbito de la evaluación de la conformidad

         2.2.1.      El reglamento propuesto prevé que (²³), en relación con los sistemas de IA de alto riesgo destinados a utilizarse para evaluar la solvencia de personas físicas o establecer su calificación crediticia (²⁴), y que se introducen en el mercado o ponen en servicio por entidades de crédito, debe practicarse una evaluación de la conformidad como parte del proceso de revisión y evaluación supervisora (PRES) (²⁵). En el reglamento propuesto se define (²⁶) la evaluación de la conformidad como el proceso por el que se verifica si se cumplen los requisitos obligatorios establecidos en el reglamento propuesto (²⁷) en relación con los sistemas de IA de alto riesgo.

 

         2.2.2.      Como se ha señalado con anterioridad, el Consejo, en el marco del artículo 127, apartado 6, del Tratado, atribuye al BCE funciones específicas en lo que respecta a las medidas relativas a la supervisión prudencial de las entidades de crédito, con objeto de contribuir a la seguridad y la solidez de estas entidades y a la estabilidad del sistema financiero dentro de la Unión y en cada uno de los Estados miembros (²⁸). Para evitar exceder las funciones que el Tratado le ha conferido, el BCE insiste en que podría encontrarse en disposición de supervisar la aplicación de los requisitos correspondientes en el contexto del PRES sin dejar de centrarse en los riesgos prudenciales a los que las entidades de crédito pueden estar expuestas. En el mismo sentido, se invita al legislador de la Unión a considerar en qué medida diversos elementos de la evaluación de la conformidad podrían no ser de naturaleza prudencial al relacionarse principalmente con la evaluación técnica de los sistemas de IA para proteger la salud y la seguridad de las personas y velar por el respeto de los derechos fundamentales minimizando el riesgo de procesos asistidos por IA que sean erróneos o sesgados. En particular, las disposiciones pertinentes del reglamento propuesto requieren que los sistemas de IA de alto riesgo se diseñen, o se diseñen y creen: 1) a partir de conjuntos de datos de entrenamiento, validación y prueba que cumplan ciertos criterios de calidad cuando utilicen técnicas que impliquen el entrenamiento de modelos con datos; 2) con capacidades que permitan registrar automáticamente eventos («archivos de registro») para asegurar un nivel de trazabilidad del funcionamiento del sistema durante su ciclo de vida que resulte apropiado para la finalidad prevista del sistema; 3) de un modo que asegure que sean vigilados de manera efectiva por personas físicas, lo que incluye dotarlos de una herramienta de interfaz humano-máquina adecuada, para evitar o minimizar los riesgos para la salud, la seguridad o los derechos fundamentales que puedan surgir cuando se utiliza un sistema de IA de alto riesgo, y 4) para lograr un nivel adecuado de precisión, solidez y ciberseguridad (²⁹). Tal como se aclara en los considerandos del reglamento propuesto, dichos requisitos relativos a la calidad de los conjuntos de datos utilizados, la documentación técnica y el registro, la transparencia y la comunicación de información a los usuarios, la vigilancia humana, la solidez, la precisión y la ciberseguridad son necesarios para mitigar de un modo eficaz los riesgos para la salud, la seguridad y los derechos fundamentales (³⁰).

 

         2.2.3.      En este contexto, se invita al legislador de la Unión a reflexionar más acerca de la necesidad de designar a las autoridades competentes pertinentes como responsables de la supervisión de la evaluación de la conformidad llevada a cabo por las entidades de crédito cuando esta concierna a asuntos propios de la salud, la seguridad y los derechos fundamentales; y se le invita también a considerar la necesidad de velar por la aplicación uniforme del reglamento propuesto en el conjunto del mercado único, estableciendo en el futuro una autoridad de IA al nivel de la Unión.

 

         2.2.4.      Además, a ciertos requisitos relativos a los sistemas de IA de alto riesgo les falta claridad o no son lo suficientemente específicos para facilitar un conocimiento que baste para informar las expectativas de supervisión. Por ejemplo, debe aclararse el requisito de que los conjuntos de datos de entrenamiento, validación y prueba deben ser pertinentes y representativos, carecer de errores y ser completos (³¹). Dado el gran alcance del mandato conferido a las organizaciones europeas de normalización (³²) y, por consiguiente, el riesgo potencial de debilitar las normas previstas por el reglamento propuesto, los requisitos correspondientes a los sistemas de IA de alto riesgo establecidos en el reglamento propuesto deben ser suficientemente específicos.

 

         2.2.5.      Finalmente, el BCE entiende que la evaluación de la conformidad de los sistemas de IA proporcionados por las entidades de crédito y destinados a utilizarse para evaluar la solvencia de las personas físicas o establecer su calificación crediticia forma parte de un control interno previo que lleva a cabo la propia entidad de crédito (³³). A este respecto, el reglamento propuesto (³⁴) debe modificarse para reflejar la naturaleza ex post de la evaluación específica que el supervisor prudencial deberá practicar como parte del PRES.

2.3.   Aclaración de las competencias de supervisión prudencial del BCE en general

El BCE puede considerarse una autoridad competente solo en la medida necesaria para que pueda desempeñar las funciones que le confiere el Reglamento del MUS. A fin de evitar inseguridad jurídica acerca de si el reglamento propuesto le asigna nuevas funciones, el BCE sugiere que, en lugar de referirse directamente al BCE como autoridad competente, el reglamento propuesto se refiera a las autoridades competentes conforme a los actos pertinentes del derecho de la Unión, incluida la CRD. Así, de acuerdo con el Reglamento del MUS, resultaría que el BCE únicamente debe considerarse autoridad competente a los efectos del desempeño de sus funciones de supervisión prudencial (³⁵).

2.4.   Aclaración de la independencia del BCE en el desempeño de sus funciones conforme al Tratado

El BCE entiende que, cuando actúa como proveedor introduciendo en el mercado o poniendo en servicio sistemas de IA en la Unión, o como usuario de sistemas de IA situados en la Unión, puede estar sujeto a su vez al reglamento propuesto (³⁶). Lo mismo sucede respecto de los bancos centrales nacionales (BCN). El reglamento propuesto prevé que, cuando las instituciones europeas entren en su ámbito de aplicación, el Supervisor Europeo de Protección de Datos (SEPD) actuará como actividad competente para su supervisión y como su autoridad de vigilancia del mercado (³⁷). Los BCN podrían ser supervisados por las autoridades nacionales competentes (³⁸). Al respecto, cabe destacar que el BCE y los BCN deben estar en condiciones de desempeñar de forma independiente las funciones que el Tratado les confiere (³⁹); por ejemplo, al utilizar aplicaciones de inteligencia artificial para definir y ejecutar la política monetaria y promover el buen funcionamiento de los sistemas de pago (⁴⁰). Debe reconocerse, no obstante, que la independencia del SEBC en el desempeño de sus funciones no le exime del cumplimiento de toda norma del derecho de la Unión (⁴¹). El BCE entiende que toda supervisión potencial del BCE por parte del SEPD, y de los BCN por parte de las autoridades nacionales competentes, se limitaría a los controles y la gestión del sistema de IA y no tendría por objeto, en modo alguno, mermar la capacidad del BCE y de los BCN para desempeñar de forma independiente las funciones que les corresponden en virtud del Tratado.

3.   Clasificación de los sistemas de IA

      3.1.            El reglamento propuesto busca garantizar un marco reglamentario proporcionado en relación con sus objetivos, adoptando un enfoque basado en los riesgos que solo imponga cargas normativas cuando sea probable que un sistema de IA entrañe altos riesgos para los derechos fundamentales y la seguridad. Sin embargo, el reglamento propuesto, en previsión de la evolución futura de la tecnología de IA, define de un modo amplio el software que puede considerarse un sistema de IA. En consecuencia, el software que se desarrolle para generar resultados como contenido, predicciones, recomendaciones o decisiones, mediante el uso de estrategias estadísticas y de aprendizaje automático, así como de métodos de búsqueda y optimización, se considera un sistema de IA (⁴²). Esta definición amplia comprendería diversas actividades de las entidades de crédito, en particular en relación con los sistemas destinados a determinar la calificación crediticia de las personas físicas.

 

      3.2.            En el reglamento propuesto (⁴³), casi todas las actividades de calificación crediticia que utilicen sistemas de IA quedarían automáticamente sujetas a los requisitos horizontales mínimos cuyo cumplimiento se exige a los sistemas de IA de alto riesgo. En consecuencia, diversas actividades, como la selección de adquisiciones y la organización de modelos de cobros y modelos estándar de calificación crediticia (por ejemplo, un sistema de puntuación que utilice la regresión logística), tendrían que cumplir los mismos requisitos. Para mayor claridad en cuanto a las expectativas de supervisión y en línea con el enfoque tecnológicamente neutro del BCE, se sugiere que los sistemas de IA destinados a evaluar la solvencia de las personas físicas o determinar su calificación crediticia y que aprovechan el uso independiente de la regresión lineal o logística o los diagramas de decisiones bajo supervisión humana, no se consideren sistemas de IA de alto riesgo, siempre que el efecto de dichos enfoques aplicados a la evaluación de la solvencia o la calificación crediticia de las personas físicas no sea significativo.

 

      3.3.            Puesto que las actividades de calificación crediticia suelen llevarse a cabo por las entidades de crédito en el ejercicio del día a día, el BCE sugiere que la entrada en vigor de requisitos relativos a la calificación como «sistemas de IA de alto riesgo» de los sistemas de IA destinados a utilizarse para evaluar la solvencia de las personas físicas o determinar su calificación crediticia se posponga hasta que la Comisión haya adoptado especificaciones comunes (⁴⁴) en la materia. En particular, dichas especificaciones comunes deben, por una parte, describir las condiciones en que los sistemas de IA de alto riesgo pertenecientes a este ámbito se presumirán conformes con los requisitos aplicables, y, por otra parte, definir cuándo debe considerarse que los sistemas de IA se han puesto en servicio «por parte de proveedores a pequeña escala para su uso propio» y, en consecuencia, reúnen los requisitos para no ser considerados sistemas de IA de alto riesgo (⁴⁵). En este contexto, el BCE debe incluirse en la lista de organismos a los que debe consultarse antes de la adopción de dichas especificaciones comunes, cuando afecten a sistemas de IA destinados a utilizarse para evaluar la solvencia de personas físicas o determinar su calificación crediticia (⁴⁶).

 

            3.4.      Por último, el BCE celebra que exista la posibilidad de actualizar la lista de sistemas de IA de alto riesgo incluida en el anexo III del reglamento propuesto (⁴⁷), y está en disposición de cooperar con la Comisión y atender sus consultas sobre la identificación de otros riesgos potenciales de los sistemas de IA que puedan suponer daños para la salud y la seguridad o efectos adversos para los derechos fundamentales. Aparte de los sistemas de IA utilizados para evaluar la calificación crediticia o solvencia de las personas físicas, el reglamento propuesto no considera de alto riesgo otros sistemas que podrían ponerse en servicio precisamente por entidades de crédito. No obstante, las entidades de crédito están desarrollando o considerando el desarrollo y el uso de un modelado de datos de IA que vincule los datos de ventas, operaciones y rendimientos para asegurar una visión general clara del riesgo de conducta en un ámbito determinado. Asimismo, los sistemas de IA podrían utilizarse en el seguimiento en tiempo real de los pagos o en la elaboración de perfiles de clientes u operaciones, para los fines de la lucha contra el blanqueo de capitales y la financiación del terrorismo.

En un documento técnico de trabajo separado, disponible en inglés en EUR-Lex, figuran las propuestas de redacción específicas, acompañadas de explicaciones, correspondientes a los puntos del reglamento propuesto que el BCE recomienda modificar.

 

Hecho en Fráncfort del Meno el 29 de diciembre de 2021.

La Presidenta del BCE

Christine LAGARDE

---

(¹)  COM(2021) 206 final.

(²)  Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito, por la que se modifica la Directiva 2002/87/CE y se derogan las Directivas 2006/48/CE y 2006/49/CE (DO L 176 de 27.6.2013, p. 338).

(³)  Véanse el artículo 9, apartado 9, el artículo 18, apartado 2, el artículo 20, apartado 2, y el artículo 29, apartado 5, del reglamento propuesto, y el artículo 74 de la CRD.

(⁴)  Véase el artículo 74 de la CRD.

(⁵)  Véanse el artículo 17, apartado 3, y el artículo 29, apartado 4, del reglamento propuesto.

(⁶)  Véase el artículo 74 de la CRD.

(⁷)  Véanse las Directrices sobre externalización de la ABE (https://www.eba.europa.eu/regulation-and-policy/internal-governance/guidelines-on-outsourcing-arrangements).

(⁸)  Véase Andrea Enria, presidente del Consejo de Supervisión del BCE, «A binary future? How digitalisation might change banking», De Nederlandsche Bank, Ámsterdam, 11 de marzo de 2019, disponible en el sitio web de supervisión bancaria del BCE en www.bankingsupervision.europa.eu.

(⁹)  Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativo a la vigilancia del mercado y la conformidad de los productos y por el que se modifican la Directiva 2004/42/CE y los Reglamentos (CE) n.^o 765/2008 y (UE) n.^o 305/2011 (DO L 169 de 25.6.2019, p. 1).

(¹⁰)  Véase el artículo 63, apartado 1, del reglamento propuesto.

(¹¹)  Véase el artículo 63, apartado 1, letra b), del reglamento propuesto.

(¹²)  Véase el artículo 1, apartado 1, del Reglamento (UE) 2019/1020.

(¹³)  Véase el artículo 3, punto 26, del reglamento propuesto.

(¹⁴)  Véase el artículo 3, punto 4, del Reglamento (UE) 2019/1020.

(¹⁵)  Véase el considerando 9 del Reglamento (UE) 2019/1020.

(¹⁶)  Véase el artículo 63, apartado 4, del reglamento propuesto.

(¹⁷)  Reglamento (UE) n.^o 1024/2013 del Consejo, de 15 de octubre de 2013, que encomienda al Banco Central Europeo funciones específicas respecto de políticas relacionadas con la supervisión prudencial de las entidades de crédito (DO L 287 de 29.10.2013, p. 63).

(¹⁸)  Véase el artículo 1, párrafo primero, del Reglamento del MUS.

(¹⁹)  Véase el artículo 4, apartado 1, letra e), del Reglamento del MUS.

(²⁰)  Véase el considerando 30 del Reglamento del MUS, así como las páginas 53 y 54 del documento «ESCB/European banking supervision response to the European Commission’s public consultation on a new digital finance strategy for Europe/FinTech action plan» (agosto de 2020), disponible en el sitio web de supervisión bancaria del BCE.

(²¹)  Véanse los considerandos 28 y 29 del Reglamento del MUS.

(²²)  Véanse el artículo 3, puntos 16 y 17, el artículo 65, apartado 2, párrafo segundo, el artículo 65, apartado 5, y el artículo 67, apartado 1, del reglamento propuesto.

(²³)  Véanse el artículo 19, apartado 2, y el artículo 43, apartado 2, del reglamento propuesto.

(²⁴)  Véase el punto 5, letra b), del Anexo III del reglamento propuesto.

(²⁵)  El PRES se aborda en los artículos 97 a 101 de la CRD.

(²⁶)  Véase el artículo 3, punto 20, del reglamento propuesto.

(²⁷)  Véanse los artículos 8 a 15 del capítulo 2 del título III del reglamento propuesto.

(²⁸)  Véase el artículo 1, párrafo primero, del Reglamento del MUS.

(²⁹)  Véanse los artículos 10, 12, 14 y 15 del reglamento propuesto.

(³⁰)  Véase el considerando 43 del reglamento propuesto.

(³¹)  Véase el artículo 10, apartado 3, del reglamento propuesto.

(³²)  Véanse el artículo 40 y el considerando 61 del reglamento propuesto.

(³³)  Véanse el artículo 43, apartado 2, primera frase, y el anexo VI, del reglamento propuesto.

(³⁴)  Véanse el artículo 19, apartado 2, y, en particular, el artículo 43, apartado 2, segunda frase, del reglamento propuesto.

(³⁵)  Véase el artículo 6 del Reglamento del MUS.

(³⁶)  Véase el artículo 2 del reglamento propuesto.

(³⁷)  Véanse el artículo 59, apartado 8, y el artículo 63, apartado 6, del reglamento propuesto.

(³⁸)  Véase el artículo 59, apartado 2, del reglamento propuesto.

(³⁹)  Véase el artículo 130 del Tratado.

(⁴⁰)  Véase el artículo 127, apartado 2, guiones primero y cuarto, del Tratado.

(⁴¹)  Véase la sentencia del Tribunal de Justicia de 10 de julio de 2003, C-11/00 Comisión contra Banco Central Europeo, ECLI:EU:C:2003:395, apartados 130 a 135.

(⁴²)  Véanse el artículo 3, punto 1, y el anexo I, del reglamento propuesto.

(⁴³)  Véase el anexo III, punto 5, letra b), del reglamento propuesto.

(⁴⁴)  Véase el artículo 41, apartado 1, del reglamento propuesto.

(⁴⁵)  En virtud del anexo III, punto 5, letra b) del reglamento propuesto.

(⁴⁶)  Véase el artículo 41, apartado 2, del reglamento propuesto.

(⁴⁷)  Véase el artículo 7, apartado 1, del reglamento propuesto.