¿Cómo afecta el Reglamento de Inteligencia Artificial Europeo en Ecuador?

El Reglamento de Inteligencia Artificial Europeo (RAI), fue publicado en el Diario Oficial de la Unión Europea (DOUE) el 12 de julio de 2024 y entró en vigencia el 01 de agosto de 2024. Su contenido representa un marco legal pionero destinado a regular el uso de la inteligencia artificial (IA). 

El RAI clasifica los sistemas de IA en función de su nivel de riesgo (inaceptable, alto, limitado y mínimo) y establece requisitos estrictos para su desarrollo, implementación y uso. Este enfoque basado en el riesgo pretende equilibrar la innovación tecnológica con la protección de los derechos fundamentales y la seguridad de las personas. La regulación impone obligaciones significativas en términos de transparencia, seguridad, gobernanza de datos y supervisión humana, especialmente para los sistemas de alto riesgo, como aquellos utilizados en infraestructuras críticas, educación y empleo. 

La extraterritorialidad del RAI extiende su alcance a las empresas no domiciliadas en la Unión Europea (UE), siempre que sus productos o servicios de IA impacten en el mercado europeo o en los ciudadanos de la UE. Esta característica subraya la influencia global del reglamento, obligando a las compañías extranjeras a alinear sus prácticas con los estándares europeos si desean operar en este mercado. El RAI no solo establece un precedente regulatorio a nivel mundial, sino que también refleja la creciente preocupación por el uso ético y seguro de la IA en la sociedad, impulsando a las empresas a adoptar prácticas responsables y transparentes.

Entonces, ¿qué implica esto para una compañía latinoamericana? ¿Debe cumplir con el RAI?

1. Cronología del Reglamento de Inteligencia Artificial Europeo

A continuación, se presenta una cronología de los eventos y cambios relevantes en el desarrollo del RAI:

• Octubre 2020: El Consejo Europeo debate sobre la transformación digital. Del debate, el Consejo invita a la Comisión a lo siguiente:

1. Proponga alternativas de aumento de inversiones europeas en la investigación, innovación y despliegue de la IA.

2. Proporcione una definición de los sistemas de IA de alto riesgo.

• Abril 2021: La Comisión Europea presenta la primera propuesta del RAI , buscando establecer un marco jurídico para el uso seguro y ético de la IA en la UE, promoviendo la confianza en la IA.

• Abril 2022: El Consejo adopta una posición sobre el RAI y hace una nueva propuesta de Reglamento, enfocado en garantizar la seguridad y respeto a las normas y valores de la UE, en los sistemas de IA introducidos al mercado Europeo. 

• Diciembre 2023: El Consejo y el Parlamento Europeo alcanzan un acuerdo sobre el RAI, manteniendo como enfoque una norma basada en riesgo y como objetivo la garantía de seguridad y respecto a las normas de la UE, así como a sus valores. Se acuerda que el RAI tenga aplicación desde el 2026.

• Mayo 2024: El Consejo adopta el RAI, constituyendo una referencia mundial en lo que respecta a la regulación de la IA.

2. Aplicabilidad del RAI para Compañías Latinoamericanas.

El RAI establece criterios claros para su aplicabilidad extraterritorial, lo que significa que una compañía ecuatoriana podría estar sujeta a estas regulaciones bajo ciertas condiciones. 

i. Provisión de Productos o Servicios en el Territorio de la Unión Europea:

El reglamento se aplica a los proveedores que ofrezcan productos o servicios que utilicen sistemas de IA dentro de la UE. No se limita a la venta directa de productos, sino que también incluye servicios basados en IA ofrecidos a consumidores o empresas dentro de la UE. 

Ejemplo: si una empresa ecuatoriana ofrece un software de gestión de inventarios basado en IA a empresas con domicilio o filiales dentro de la UE, estaría obligada a cumplir con el RAI.

ii. Impacto en Personas Ubicadas en la Unión Europea:

Los sistemas de IA desarrollados fuera de la UE, que tengan un impacto en personas ubicadas dentro de la UE, estarán sujetos al RAI. Esto abarca cualquier tipo de IA que pueda influir en la toma de decisiones, la seguridad o los derechos fundamentales de los ciudadanos de la UE. 

Ejemplo: una startup ecuatoriana que desarrolla una aplicación de IA para análisis predictivo en salud, utilizada por hospitales europeos, deberá cumplir con los requisitos del RAI relacionados con la seguridad y la precisión del diagnóstico.

iii. Uso de Sistemas de IA en el Territorio de la Unión Europea:

Si un sistema de IA se utiliza dentro de la UE, aunque sea operado desde fuera de su territorio, estará sujeto al RAI. Esto asegura que cualquier sistema de IA desplegado en la UE cumpla con los estándares (entre ellos de seguridad y ética) establecidos por el reglamento. 

Ejemplo: si una empresa ecuatoriana ofrece un sistema de IA para la optimización de rutas de transporte utilizado por empresas de logística en la UE, deberá cumplir con los requisitos del RAI, como la evaluación de conformidad y la transparencia en el funcionamiento del sistema.

3. Plazos de Cumplimiento del RAI

El RAI incluye plazos específicos para el cumplimiento de las diversas disposiciones que las empresas deben seguir:

1. 01 de agosto 2024: Entrada en vigor del RAI.

2. 02 de febrero 2025: Se aplicarán las prohibiciones sobre la IA de riesgo inaceptable.

3. 02 de agosto 2025: 

   1. Se aplicará lo dispuesto a la conformación de organismos de control;

   2. Se aplicará la clasificación de los modelos de IA de propósito general (riesgo sistémico);

   3. Se aplicará lo dispuesto en el Capítulo VII con respecto a la Gobernanza;

   4. Se aplicará el régimen sancionador (multas hasta el 7% del volumen de negocios a nivel mundial).

4. 02 de agosto 2026: entrará en vigor el Reglamento completo, con excepción del artículo 6 apartado 1.

5. 02 de agosto 2027: Se aplicará el artículo 6 apartado 1, con respecto a la obligación con respecto de la clasificación de sistemas de IA de alto riesgo con las consideraciones del apartado primero. 

4. Obligaciones para las Entidades fuera de la UE

Las compañías latinoamericanas, sujetas al RAI, deberán cumplir con las mismas obligaciones que las entidades domiciliadas en la UE. Esto incluye pero no se limita a:

1. Evaluaciones de Conformidad y Certificación: Garantizar que sus sistemas de IA cumplen con los requisitos establecidos para su clasificación de riesgo.

2. Transparencia y Gobernanza: Proveer información clara y transparente sobre el uso de IA, así como implementar medidas de gobernanza adecuadas.

3. Responsabilidad y Supervisión: Designar un representante en la UE que actúe como punto de contacto para las autoridades de supervisión y los ciudadanos.

5. Obligaciones Éticas

El Reglamento de Inteligencia Artificial Europeo no solo se enfoca en aspectos técnicos y de seguridad, sino también en principios éticos fundamentales que deben guiar el desarrollo y uso de la IA. Las compañías, incluyendo las ecuatorianas que entren en el ámbito de aplicación del RAI, deberán cumplir con varias obligaciones éticas:

i. Transparencia y Explicabilidad:

El RAI exige que los sistemas de IA sean transparentes y explicables. Esto implica que los usuarios deben ser informados cuando interactúan con sistemas de IA, y deben entender cómo y por qué se toman ciertas decisiones. Las empresas deben proporcionar documentación clara y accesible sobre el funcionamiento de sus sistemas de IA.

ii. No Discriminación:

Los sistemas de IA no deben perpetuar discriminación o sesgos injustos. Las compañías deben asegurar que sus algoritmos sean equitativos y que no discriminen a personas basadas en características como raza, género, edad, o cualquier otro criterio protegido.

iii. Responsabilidad y Supervisión Humana:

Debe existir una supervisión humana efectiva sobre los sistemas de IA para garantizar que operen de manera segura y ética. Esto incluye la posibilidad de intervención humana en situaciones críticas para evitar daños.

iv. Seguridad y Robustez:

Los sistemas de IA deben ser seguros y robustos. Las empresas deben asegurar que sus sistemas sean resistentes a ciberataques y funcionen de manera confiable bajo diversas condiciones.

v. Protección de Datos y Privacidad:

Se subraya la importancia de proteger los datos personales y la privacidad de los usuarios. Los sistemas de IA deben cumplir con las normativas de protección de datos, como el Reglamento General de Protección de Datos (GDPR), y tomar medidas adecuadas para asegurar la privacidad de los datos. No obstante, existen conflictos conceptuales entre el RAI y el GDPR, con respecto al volumen de datos personales a procesarse: mientras que el GPRD llama a la aplicación de un principio de minimización de datos, el RAI avoca a la maximización. 

6. Pasos a Seguir para Cumplir con el RAI

1. AI Readyness: identificar si tu empresa se encuentra lista para iniciar un proceso de incorporación de un modelo de lenguaje avanzado (LLM).

2. Evaluación de Conformidad: Realizar evaluaciones internas para garantizar que los sistemas de IA cumplaen con los requisitos de la categoría de riesgo correspondiente.

3. Transparencia: Informar a los usuarios sobre la utilización de IA, incluyendo el propósito y el funcionamiento básico del sistema.

4. Seguridad y Protección de Datos: Implementar medidas de seguridad para proteger los datos personales y garantizar el uso seguro de los sistemas de IA.

5. Supervisión Humana: Asegurar que haya mecanismos de supervisión humana sobre los sistemas de IA, permitiendo intervención en situaciones críticas para prevenir daños.

6. Auditorías de Sesgo y Discriminación: Realizar auditorías periódicas para identificar y mitigar posibles sesgos y discriminaciones en los sistemas de IA.

7. Modelo de Gobernanza adecuado: se refiere al conjunto de políticas, procesos y estructuras diseñadas para garantizar el desarrollo, implementación y uso responsable y ético de la IA.

7. Recomendación

Si tu empresa ofrece productos o servicios de IA, monitorea el comportamiento de usuarios, o tiene un impacto significativo en la seguridad y derechos de las personas y consideras que podría tener de manera directa o indirecta incidencia en la Unión Europea, es probable que deba cumplir con esta normativa. 

Entender y cumplir con el RAI no solo evitará sanciones, sino que también contribuirá a fomentar la confianza y la transparencia en el uso de IA en un mercado globalizado. Además, adherirse a los principios éticos establecidos no solo es una obligación legal, sino también una oportunidad para demostrar el compromiso de la empresa con el desarrollo responsable y equitativo de la tecnología.

Bibliografía

Reglamento de Inteligencia Artificial, publicado el 12 de julio de 2024. Diario Oficial de la Unión Europea. Recuperado de https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=OJ:L_202401689#d1e9013-1-1