Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
En el sitio web de la Comisión Nacional de Tecnologías de la
Información y Libertades, CNIL, autoridad nacional administrativa independiente
de control francés, en el sentido y para la aplicación del Reglamento
Europeo (UE) 2016/679, RGPD, de 27 de abril de 2016 relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos, se publicaron el 12 de julio último, las primeras preguntas y respuestas
de la CNIL, a propósito de su relación con el Reglamento de Inteligencia Artificial, RÍA.
Estas primeras preguntas y respuestas se refieren a los cuatro niveles de
riesgo que presenta el RIA, los controles europeos y nacionales en su
aplicación, el control de la CNIL en el plano nacional, la articulación entre
el RGPD y el RIA, la transparencia y la documentación, así como un resumen
sobre las diferencias y exigencias ambos Reglamentos.
El alcance e impacto del RGPD y ahora del RIA, asociado al Convenio adoptado por el Consejo de Europa en mayo de 2024, deviene un instrumento de naturaleza jurídicamente vinculante destinado a garantizar el respeto de los derechos humanos, del Estado de derecho y las normas jurídicas democráticas en el uso de los sistemas de inteligencia artificial (IA). El Convenio obliga a los 46 Estados miembros del Consejo de Europa, la Unión Europea y 11 Estados no miembros (Argentina, Australia, Canadá, Costa Rica, Estados Unidos, Israel, Japón, México, la Santa Sede, Uruguay incluyendo a Perú). La Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales quien revisa actualmente los Reglamentos de ambas leyes debiera tomar de las acciones que corresponden.
Este artículo ha sido traducido por el suscrito del francés al castellano, con la ayuda del aplicativo Google Translator. El enlace al documento original en francés obra en: https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil
A fin de acceder a normas similares y estándares europeos, las empresas,
organizaciones públicas y privados interesados en asesorías, consultorías,
capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse
comunicar al correo electrónico: cferreyros@hotmail.com
______________________________________________________________
Vigencia del Reglamento Europeo sobre IA: las primeras
preguntas y respuestas de la CNIL
12
de julio de 2024
https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil
Desde hace un año, la CNIL lanzó su plan de acción
para promover una IA respetuosa de los derechos de las personas sobre sus datos
y asegurar a las empresas que innoven en este ámbito en la aplicación del RGPD.
Con motivo de la publicación del reglamento IA en el Diario Oficial de la UE, DOUE,
la CNIL responde a las interrogantes sobre este nuevo texto.
El reglamento europeo sobre IA (o AI Act) acaba de
publicarse en el Diario Oficial de la Unión Europea (DOUE) y entrará progresivamente en aplicación a
partir del 1 de agosto de 2024. ¿A quién afecta? ¿Qué distingue el Reglamento
sobre IA del RGPD y cómo se complementan?
Presentación del reglamento IA
¿Qué establece el Reglamento de IA (o
Ley de IA)?
El Reglamento Europeo de IA (RIA) es la primera
legislación general (o exhaustiva) en el mundo sobre inteligencia artificial.
Su objetivo es regular el desarrollo, la
comercialización y el uso de sistemas de inteligencia artificial (IA), que
puedan suponer riesgos para la salud, la seguridad o los derechos
fundamentales.
Cuatro niveles de riesgo
El RIA proporciona un
enfoque basado en el riesgo al clasificar los sistemas de IA en cuatro niveles:
·
Riesgo inaceptable: el
RIA prohíbe un conjunto limitado de prácticas contrarias a los valores y
derechos fundamentales de la Unión Europea.
Ejemplos: evaluación social, explotación de la vulnerabilidad de las
personas, uso de técnicas subliminales, uso por los servicios represivos de
identificación biométrica remota en tiempo real en espacios de acceso público,
vigilancia policial predictiva dirigida a individuos, reconocimiento de
emociones en el lugar de trabajo y en instituciones educativas.
·
Alto riesgo: el RIA
define los sistemas de IA como de alto riesgo cuando pueden amenazar la
seguridad de las personas o sus derechos fundamentales, lo que justifica que su
desarrollo esté sujeto a exigencias reforzadas (evaluaciones de conformidad, documentación técnica,
mecanismos de gestión de riesgos). Estos sistemas figuran en el anexo I para
los sistemas integrados en esos productos que ya están sujetos a vigilancia del
mercado (dispositivos médicos, juguetes, vehículos, etc.) y en el anexo III
para los sistemas utilizados en ocho áreas específicas.
Ejemplos: sistemas biométricos, sistemas utilizados en el reclutamiento o
para usos represivos.
·
Riesgo específico en
materia de transparencia: el RIA somete los sistemas de IA a obligaciones
específicas de transparencia, particularmente
en caso de un riesgo claro de manipulación.
Ejemplos: uso de chatbots o generación artificial de contenidos.
·
Riesgo mínimo: para
todos los demás sistemas de IA, el RIA no establece obligaciones específicas. Se trata de la gran mayoría de los sistemas de IA que
se utilizan actualmente en la UE o que probablemente se utilizarán según la
Comisión Europea.
Modelos de IA de uso general
De otro lado, el RIA también regula una nueva categoría de los llamados modelos de uso general, particularmente en
el campo de la IA generativa.
Estos modelos se definen por su capacidad de ser utilizados para un gran número
de tareas (como grandes modelos de lenguaje, o LLM, como aquellos ofrecidos
por las empresas Mistral AI u OpenAI), lo que dificulta su clasificación en las
categorías precedentes. .
Para esta categoría, el RIA prevé varios niveles de
obligación, que van desde medidas mínimas de transparencia y documentación (artículo 53) hasta
una evaluación profunda y la implementación de las medidas de mitigación del
riesgo sistémico que algunos de estos modelos podrían incluir,
particularmente en razón de potencia: riesgos de accidentes graves, uso
indebido para lanzar cíberataques, propagación de sesgos nocivos (relacionados
con el origen étnico o el género, por ejemplo) y efectos discriminatorios
contra determinadas personas, etc. (véase, en particular, el Considerando 110).
Para ir más lejos: consulte las preguntas frecuentes de la Comisión Europea
¿Quién controlará la aplicación del RIA
en la UE y en Francia?
El RIA prevé una
estructura de gobernanza que opera en dos niveles.
Gobernanza a nivel europeo
La cooperación europea, apunta a permitir una aplicación coherente del RIA, construida en torno al Comité Europeo de IA (artículos 65 y 66). Este organismo reúne a representantes de alto nivel de cada Estado miembro, así como, en calidad de observadores, al Supervisor
Europeo de Protección de Datos (la contraparte de la CNIL de las instituciones
europeas). La administración de AI (institución de reciente creación de la Comisión
Europea) participa pero sin derecho a voto.
Además, el RIA introduce otros dos órganos destinados
a informar al Comité AI sobre sus elecciones:
·
el foro consultivo (organismo
multilateral que puede asesorar al Comité Europeo de IA y a la Comisión Europea
en el ejercicio de sus misiones); y
·
el grupo científico de expertos independientes
(científicos de alto nivel que apoyarán a la administración de IA en su misión
de supervisar los modelos de IA de uso general, así como a las autoridades
nacionales en sus actividades de aplicación de la ley).
Además, los
modelos de IA de uso general son supervisados por la administración de IA, al igual que los sistemas de IA basados en esos
modelos cuando el sistema y el modelo son desarrollados por el mismo proveedor.
La competencia será compartida entre
la administración de IA y las autoridades nacionales de vigilancia del mercado
para los sistemas de IA de uso general de alto riesgo.
Gobernanza a nivel nacional
El RIA prevé la designación de una o más autoridades
competentes para asumir el papel de
autoridad de vigilancia del mercado.
Corresponde a cada Estado miembro organizar la estructura de gobernanza que
considere más eficiente para permitir la correcta aplicación del RIA en el
plazo de un año. Si se designan varias autoridades competentes dentro de un
mismo Estado miembro, una de ellas deberá asumir el papel de punto de contacto
nacional, con el fin de facilitar los intercambios con la Comisión Europea, las
autoridades homólogas y en relación al público.
El RIA no se pronuncia sobre la naturaleza de ésta o
estas autoridades, con excepción:
·
del Supervisor Europeo de Protección de Datos , quien es expresamente designado como autoridad de
control de las instituciones, agencias u organismos de la Unión Europea (a
excepción del Tribunal de Justicia de la Unión Europea que actúa en el
ejercicio de sus funciones judiciales);
·
de las autoridades de protección de
datos que se mencionan en relación con la función de vigilancia del mercado de
un gran número de sistemas de IA de alto riesgo (artículo 74);
·
por último, los sistemas de IA de
alto riesgo sujetos ya a una regulación sectorial (enumerados en el anexo I)
seguirán regulados por las autoridades que los controlan actualmente (por
ejemplo, la Agencia Nacional de Seguridad de Medicamentos y Productos (ANSM)
para dispositivos médicos).
|
|
RIA |
RGPD |
|
Autoridades a cargo |
Para los sistemas de
IA : una o más autoridades competentes responsables de la vigilancia del
mercado y la designación de organismos notificados (a elección de los Estados
miembros) Para modelos de IA de uso general: Administración de IA de la
Comisión Europea |
Autoridad
de protección de datos de cada Estado miembro |
|
Cooperación europea |
Comité Europeo de IA Grupo de
Cooperación Administrativa ( ADCO ) |
Comité Europeo de
Protección de Datos (SEPD) Ventanilla única (one stop shop) y
mecanismo de coherencia |
|
Referente interno a las
organizaciones. |
Ninguna
persona identificada expresamente |
Delegado
de protección de datos |
¿Cómo la CNIL tendrá en cuenta el RIA?
La CNIL es responsable de garantizar el cumplimiento
del RGPD, que es un reglamento basado en principios generales aplicables a
todos los sistemas informáticos. Por lo tanto, también se aplica a los datos
personales procesados para o mediante sistemas de inteligencia artificial,
incluso cuando estén sujetos a los requisitos del RIA.
En la práctica, la CNIL prevé apoyarse sobre estas exigencias
para guiar y acompañar a las partes interesadas en el respeto del RIA, pero
también del RGPD, ofreciendo una visión integrada de las normas aplicables. La CNIL considera que este nuevo reglamento debería
permitir a las partes interesadas comprender mejor sus obligaciones cuando
desarrollan o implementan IA.
Sin embargo, el RIA también explicita determinadas
prácticas prohibidas, algunas de las cuales ya han sido sancionadas por las
autoridades de protección de datos. Así, por ejemplo, la CNIL tuvo la
oportunidad de sancionar la práctica relativa a la creación o al desarrollo de bases de datos de
reconocimiento facial mediante la recopilación de imágenes faciales (de
Internet o de dispositivos de videovigilancia).
Como se detalla a continuación, la CNIL sigue siendo
plenamente competente para aplicar el RGPD, por ejemplo, a los proveedores de
modelos o sistemas de IA de uso general cuyo establecimiento principal se
encuentra en Francia, en particular cuando no están sujetos a requisitos
sustantivos según el RIA (Francia para Mistral AI o LightOn, Irlanda para
ChatGPT/OpenAI o Google/Gemini).
Desde hace un año, la CNIL lanzó un plan de acción para asegurar las empresas innovadoras en términos de
IA en su aplicación del RGPD y para promover una IA que respete los derechos de
las personas sobre sus datos. Este plan implica, en particular, la publicación
y consulta de fichas prácticas que aclaren la aplicación del RGPD en materia de
IA y que formulen una serie de consejos. La CNIL dialoga con empresas del
sector y apoya a algunas de ellas en sus proyectos innovadores.
¿Cuándo el RIA entra en vigencia?
Publicado en el Diario Oficial el 12 de julio de 2024,
el RIA entrará en vigor veinte días después, es decir, el 1 de agosto de 2024. La
entrada en vigencia se realizará entonces por etapas:
·
2 de febrero de 2025 (6 meses después de la entrada en vigencia):
o Prohibiciones relativas a los sistemas de IA que
presenten riesgos inaceptables.
·
2 de agosto de 2025 (12 meses después de la entrada en vigencia):
o Aplicación de reglas para modelos de IA de uso
general.
o Nombramiento de autoridades competentes a nivel de los
Estados miembros.
·
2 de agosto de 2026 (24 meses después de la entrada en vigencia):
o Todas las disposiciones del Reglamento sobre IA pasan
a ser aplicables, en particular la aplicación de las
normas relativas a los sistemas de IA de alto riesgo del anexo III (sistemas de
IA en los ámbitos de la biometría,
las infraestructuras críticas, la educación, el
empleo, el acceso a los servicios públicos esenciales, aplicación de la ley,
inmigración y administración de justicia).
o Implementación por parte de las autoridades de los
Estados miembros de al menos un entorno de pruebas regulatorio.
·
2 de agosto de 2027 (36 meses después de la entrada en vigor)
o Aplicación de normas para sistemas de IA de alto
riesgo del anexo I (juguetes, equipos radioeléctricos, productos sanitarios
para diagnóstico in vitro, seguridad de la aviación civil, vehículos agrícolas,
etc.).
Además, la entrada en aplicación se basará en “normas armonizadas”
a nivel europeo que deben definir con precisión los requisitos aplicables a los
sistemas de IA en cuestión. Por ello, la Comisión Europea ha encargado diez
normas al CEN/CENELEC (Comité Europeo de Normalización en Electrónica y
Electrotecnia) que se encuentran actualmente en elaboración. La CNIL participa
activamente en su desarrollo desde enero de 2024.
¿Cómo se articulan el RGPD y el RIA?
¿El RIA reemplaza los requisitos del
RGPD?
No.
El RIA es muy clara en este punto: no sustituye los requisitos del RGPD. Por el contrario, pretende complementarlos estableciendo
las condiciones necesarias para desarrollar e implementar sistemas de IA
confiables.
En concreto, el RGPD se aplica a todo tratamiento de
datos personales, es decir a ambos:
·
Durante la fase de
desarrollo de un sistema de IA :
un proveedor de
un sistema o modelo de IA en el sentido del RIA suele ser considerado como
responsable del tratamiento de datos según el RGPD;
·
Y durante la fase de
uso (o implementación) de un sistema de IA:
un implementador o usuario de un sistema de IA en el sentido del RIA que
procesa datos personales será con mayor frecuencia responsable según el RGPD.
Por otro lado, el RIA establece exigencias específicas,
cuyo cumplimiento puede contribuir significativamente al cumplimiento de los
requisitos del RGPD (ver más abajo).
Para ir más lejos: consulte las recomendaciones de la CNIL relativas al
desarrollo de sistemas de IA
RIA / GDPR: ¿cómo saber qué normativa me
es aplicable?
Dado que el RIA se aplica exclusivamente a los
sistemas y modelos de IA y el RGPD se aplica a cualquier procesamiento de datos personales, son posibles de presentarse cuatro situaciones:
·
el RIA se aplica sola : este será el caso del proveedor
de un sistema de IA de alto riesgo que no requiere
datos personales, ni para su desarrollo ni en su despliegue ,
Ejemplo: un sistema de IA aplicado a un sistema de gestión de una central
eléctrica
·
el RGPD se aplica solo: este será el caso del procesamiento de datos
personales utilizados para desarrollar o utilizar un sistema de inteligencia
artificial no sujeto al RIA,
Ejemplo: un sistema de inteligencia artificial utilizado para asignar
centros de interés con fines publicitarios, o un sistema desarrollado
exclusivamente para fines de investigación científica
·
ambos se aplican: este será el caso cuando un sistema de IA de alto
riesgo requiera datos personales para su desarrollo o implementación.
Ejemplo: un sistema de IA utilizado para la clasificación automática de CV.
·
o ninguno de los dos
se aplica : este será el caso de un sistema de IA
de riesgo mínimo que no implemente el procesamiento de datos personales
Ejemplo: un sistema de IA utilizado para simulación en un videojuego
|
NORMAS
APLICABLES DEL RIA |
APLICACIÓN DEL
RGPD |
|
Prácticas de IA prohibidas |
De forma sistemática, todas las prácticas prohibidas
que impliquen el tratamiento de datos personales. |
|
Modelo de IA de uso general (incluido
el riesgo sistémico) |
Casi sistemáticamente, los modelos de IA de uso general
se basan con mayor frecuencia en el uso de datos personales para su
entrenamiento. |
|
Sistemas de IA de alto riesgo |
En muchísimos casos (con notables excepciones, como
los sistemas de IA en infraestructuras críticas, vehículos agrícolas,
ascensores, etc.) |
|
Los sistemas de IA de riesgo
específico en materia de transparencia |
En algunos casos, particularmente los sistemas
destinados a interactuar directamente con personas físicas. |
¿Cómo impacta el RIA al RGPD?
El RIA y el RGPD no regulan los mismos objetos y no
exigen el mismo enfoque.
Sin embargo, el cumplimiento del primero facilita, véase
prepara, el cumplimiento del segundo: por ejemplo, la conformidad del sistema
de IA con el RGPD está incluida en la declaración UE de conformidad exigida por
el RIA (Anexo V).
Además, el RIA también resuelve algunas tensiones
entre ciertas exigencias del RGPD y las propias del RIA. Para ello, amplía y toma
el control del RGPD en determinados puntos bien definidos:
·
el RIA reemplaza determinadas normas del
RGPD para el uso por parte de las fuerzas represivas
de la identificación biométrica remota en tiempo real en espacios accesibles al
público, que hace muy excepcionalmente posible en
determinadas condiciones (artículos 5);
·
permite
excepcionalmente el tratamiento de datos sensibles (en el sentido del artículo
9 del RGPD) para detectar y corregir posibles sesgos que puedan causar daño, si ello es estrictamente necesario y bajo reserva de
las garantías apropiadas (artículo 10);
·
permite la
reutilización de datos personales, particularmente datos sensibles, en el marco
de los “sandboxes regulatorios” que establece. Estos sandboxes
tienen como objetivo facilitar el desarrollo
de sistemas de interés público importante (como
la mejora del sistema de salud) y están bajo la supervisión de una autoridad
específica que debe consultar primero a la CNIL y verificar el cumplimiento de
un cierto número de requisitos (artículo 59). .
Transparencia y documentación: ¿cómo
articular estas exigencias del RIA con los del RGPD?
El RIA y el RGPD a veces abordan nociones similares
desde un ángulo diferente.
Éste es, por ejemplo, el caso del principio de transparencia y de las obligaciones de
documentación, que demuestran la complementariedad de
estas normas.
Medidas de transparencia
El RGPD prevé obligaciones de transparencia, que
consisten esencialmente en informar a las personas cuyos datos se procesan de la manera que se procesan
(por qué, por quién, cómo, durante cuánto tiempo, etc.). Se trata tanto del
tratamiento de datos consistente en el desarrollo de un sistema de IA como del
uso de un sistema de IA sobre o por un individuo (lo que daría lugar, por
tanto, al tratamiento de datos personales).
El RIA prevé medidas de transparencia muy similares, por ejemplo sobre los datos utilizados para entrenar
modelos de IA de uso general (cuya lista debe hacerse pública en virtud de su
artículo 53) o sobre los sistemas destinados a interactuar con individuos
(artículo 50).
Exigencias de documentación
El RIA prevé igualmente el suministro de documentación
e información técnica por parte de los proveedores de sistemas de IA de alto
riesgo (artículos 11 y 13) o modelos de IA de uso general (artículo 53) a sus desarrolladores
y usuarios. Estas documentaciones detallan en particular los procedimientos de
prueba y de evaluación de conformidad llevados a cabo.
El RIA también establece que ciertos desarrolladores de
sistemas de IA de alto riesgo realicen un análisis de impacto sobre los
derechos fundamentales (el artículo 27 se refiere principalmente a los actores
públicos y organizaciones responsables de misiones de servicio público).
La obligación de realizar una evaluación de impacto de la protección de datos (AIPD) prevista por el RGPD complementa perfectamente
estas exigencias del RIA. En efecto, se presumirá que se exigirá la AIPD al proveedor y
al implementador de sistemas de IA de alto riesgo, pero podrá recurrir
especialmente a la documentación exigida por el RIA (artículo 26).
El RIA también prevé que el implementador puede
basarse en la AIPD ya realizada por el proveedor para realizar su análisis de
impacto sobre los derechos fundamentales (artículo 27). El objetivo común es
permitir que se tomen todas las medidas necesarias para limitar los riesgos
para la salud, la seguridad y los derechos fundamentales de las personas que
puedan verse afectadas por el sistema de IA, estos análisis pueden incluso
agruparse en un solo documento para evitar un formalismo demasiado restrictivo.
No se trata aquí de ejemplos de medidas
complementarias entre los dos textos, pero la CNIL participa activamente en los trabajos del Comité Europeo de Protección de
Datos (SEPD) sobre la articulación entre las reglas
aplicables a la protección de datos personales y el RIA, actualmente en curso.
Este trabajo tiene como objetivo aportar más clarificaciones sobre los puntos
de articulación, al tiempo que permite una interpretación armonizada entre la
CNIL y sus homólogos europeos.
En resumen: ¿cuáles son las diferencias
entre los requisitos del RIA y el RGPD?
El RIA y el RGPD tienen grandes similitudes y
complementariedades, pero sus propósitos y
enfoques difieren.
Cuadro resumen de las especificidades del RIA y el
RGPD
|
|
RIA |
RGPD |
|
Campo de aplicación |
El
desarrollo, la implementación o el despliegue de sistemas y modelos de IA. |
Todo procesamiento
de datos personales, independientemente de los dispositivos técnicos
utilizados (incluido el procesamiento destinado a desarrollar un modelo o
sistema de IA (datos de entrenamiento) y el procesamiento realizado mediante
un sistema de IA). |
|
Actores objetivo |
Principalmente
proveedores e implementadores de sistemas de IA (en menor medida
importadores, distribuidores y mandatarios) |
Responsables del
tratamiento y subcontratistas (incluidos
proveedores e implementadores sujetos al RIA) |
|
Enfoque |
Enfoque a
través de riesgos para la salud, la seguridad o los derechos fundamentales,
en particular a través de la seguridad de los productos y la vigilancia del
mercado respecto a los sistemas y modelos de IA. |
Enfoque basado sobre los grandes principios,
evaluación de riesgos y responsabilización (accountability) |
|
Modalidad principal de evaluación de
la conformidad (no exhaustiva) |
Evaluación
de conformidad interna o por un tercero, incluso a través de un sistema de
gestión de riesgos y en consideración de
estándares armonizados. |
Principio de
responsabilidad (documentación interna) y herramientas de conformidad (certificación,
código de conducta) |
|
Principales sanciones aplicables |
Retiro del mercado o
retiro de productos. Multas
administrativas de hasta 35 millones de euros o el 7% de la facturación anual
global |
Notificación formal (que puede ordenar
que el tratamiento sea conforme o limitarlo temporal o permanentemente,
incluso bajo pe Multas
administrativas de hasta 20 millones de euros o el 4% de la facturación anual
global |
Texto de referencia
Para profundizar
· El reglamento sobre inteligencia artificial - Eur-Lex
· Todo el contenido de la CNIL sobre inteligencia
artificial
