Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@hotmail.com

RESUMEN

En el sitio web de la Comisión Nacional de Tecnologías de la Información y Libertades, CNIL, autoridad nacional administrativa independiente de control francés, en el sentido y para la aplicación del Reglamento Europeo (UE) 2016/679, RGPD, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, se publicaron el 12 de julio último, las primeras preguntas y respuestas de la CNIL, a propósito de su relación con el Reglamento de Inteligencia Artificial, RÍA.

Estas primeras preguntas y respuestas se refieren a los cuatro niveles de riesgo que presenta el RIA, los controles europeos y nacionales en su aplicación, el control de la CNIL en el plano nacional, la articulación entre el RGPD y el RIA, la transparencia y la documentación, así como un resumen sobre las diferencias y exigencias ambos Reglamentos.

El alcance e impacto del RGPD y ahora del RIA, asociado al Convenio adoptado por el Consejo de Europa en mayo de 2024, deviene un instrumento de naturaleza jurídicamente vinculante destinado a garantizar el respeto de los derechos humanos, del Estado de derecho y las normas jurídicas democráticas en el uso de los sistemas de inteligencia artificial (IA). El Convenio obliga a los 46 Estados miembros del Consejo de Europa, la Unión Europea y 11 Estados no miembros (Argentina, Australia, Canadá, Costa Rica, Estados Unidos, Israel, Japón, México, la Santa Sede, Uruguay incluyendo a Perú). La Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales quien revisa actualmente los Reglamentos de ambas leyes debiera tomar de las acciones que corresponden.

Este artículo ha sido traducido por el suscrito del francés al castellano, con la ayuda del aplicativo Google Translator. El enlace al documento original en francés obra en: https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@hotmail.com

______________________________________________________________

Vigencia del Reglamento Europeo sobre IA: las primeras preguntas y respuestas de la CNIL

12 de julio de 2024

https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil

Desde hace un año, la CNIL lanzó su plan de acción para promover una IA respetuosa de los derechos de las personas sobre sus datos y asegurar a las empresas que innoven en este ámbito en la aplicación del RGPD. Con motivo de la publicación del reglamento IA en el Diario Oficial de la UE, DOUE, la CNIL responde a las interrogantes sobre este nuevo texto.

El reglamento europeo sobre IA (o AI Act) acaba de publicarse en el Diario Oficial de la Unión Europea (DOUE) y entrará progresivamente en aplicación a partir del 1 de agosto de 2024. ¿A quién afecta? ¿Qué distingue el Reglamento sobre IA del RGPD y cómo se complementan?

Presentación del reglamento IA

¿Qué establece el Reglamento de IA (o Ley de IA)?

El Reglamento Europeo de IA (RIA) es la primera legislación general (o exhaustiva) en el mundo sobre inteligencia artificial. Su objetivo es regular el desarrollo, la comercialización y el uso de sistemas de inteligencia artificial (IA), que puedan suponer riesgos para la salud, la seguridad o los derechos fundamentales.

Cuatro niveles de riesgo

El RIA proporciona un enfoque basado en el riesgo al clasificar los sistemas de IA en cuatro niveles:

• Riesgo inaceptable: el RIA prohíbe un conjunto limitado de prácticas contrarias a los valores y derechos fundamentales de la Unión Europea.

           Ejemplos: evaluación social, explotación de la vulnerabilidad de las personas, uso de técnicas subliminales, uso por los servicios represivos de identificación biométrica remota en tiempo real en espacios de acceso público, vigilancia policial predictiva dirigida a individuos, reconocimiento de emociones en el lugar de trabajo y en instituciones educativas.

• Alto riesgo: el RIA define los sistemas de IA como de alto riesgo cuando pueden amenazar la seguridad de las personas o sus derechos fundamentales, lo que justifica que su desarrollo esté sujeto a exigencias reforzadas (evaluaciones de conformidad, documentación técnica, mecanismos de gestión de riesgos). Estos sistemas figuran en el anexo I para los sistemas integrados en esos productos que ya están sujetos a vigilancia del mercado (dispositivos médicos, juguetes, vehículos, etc.) y en el anexo III para los sistemas utilizados en ocho áreas específicas.

  Ejemplos: sistemas biométricos, sistemas utilizados en el reclutamiento o para usos represivos.

• Riesgo específico en materia de transparencia: el RIA somete los sistemas de IA a obligaciones específicas de transparencia, particularmente en caso de un riesgo claro de manipulación.

  Ejemplos: uso de chatbots o generación artificial de contenidos.

• Riesgo mínimo: para todos los demás sistemas de IA, el RIA no establece obligaciones específicas. Se trata de la gran mayoría de los sistemas de IA que se utilizan actualmente en la UE o que probablemente se utilizarán según la Comisión Europea.

Modelos de IA de uso general

De otro lado, el RIA también regula una nueva categoría de los llamados modelos de uso general, particularmente en el campo de la IA generativa. Estos modelos se definen por su capacidad de ser utilizados para un gran número de tareas (como grandes modelos de lenguaje, o LLM, como aquellos ofrecidos por las empresas Mistral AI u OpenAI), lo que dificulta su clasificación en las categorías precedentes. .

Para esta categoría, el RIA prevé varios niveles de obligación, que van desde medidas mínimas de transparencia y documentación (artículo 53) hasta una evaluación profunda y la implementación de las medidas de mitigación del riesgo sistémico que algunos de estos modelos podrían incluir, particularmente en razón de potencia: riesgos de accidentes graves, uso indebido para lanzar cíberataques, propagación de sesgos nocivos (relacionados con el origen étnico o el género, por ejemplo) y efectos discriminatorios contra determinadas personas, etc. (véase, en particular, el Considerando 110).

Para ir más lejos: consulte las preguntas frecuentes de la Comisión Europea

¿Quién controlará la aplicación del RIA en la UE y en Francia?

El RIA prevé una estructura de gobernanza que opera en dos niveles.

Gobernanza a nivel europeo

La cooperación europea, apunta a permitir una aplicación coherente del RIA, construida en torno al Comité Europeo de IA (artículos 65 y 66). Este organismo reúne a representantes de alto nivel de cada Estado miembro, así como, en calidad de observadores, al Supervisor Europeo de Protección de Datos (la contraparte de la CNIL de las instituciones europeas). La administración de AI (institución de reciente creación de la Comisión Europea) participa pero sin derecho a voto.

Además, el RIA introduce otros dos órganos destinados a informar al Comité AI sobre sus elecciones:

• el foro consultivo (organismo multilateral que puede asesorar al Comité Europeo de IA y a la Comisión Europea en el ejercicio de sus misiones); y
• el grupo científico de expertos independientes (científicos de alto nivel que apoyarán a la administración de IA en su misión de supervisar los modelos de IA de uso general, así como a las autoridades nacionales en sus actividades de aplicación de la ley).

Además, los modelos de IA de uso general son supervisados por la administración de IA, al igual que los sistemas de IA basados en esos modelos cuando el sistema y el modelo son desarrollados por el mismo proveedor. La competencia será compartida entre la administración de IA y las autoridades nacionales de vigilancia del mercado para los sistemas de IA de uso general de alto riesgo.

Gobernanza a nivel nacional

El RIA prevé la designación de una o más autoridades competentes para asumir el papel de autoridad de vigilancia del mercado. Corresponde a cada Estado miembro organizar la estructura de gobernanza que considere más eficiente para permitir la correcta aplicación del RIA en el plazo de un año. Si se designan varias autoridades competentes dentro de un mismo Estado miembro, una de ellas deberá asumir el papel de punto de contacto nacional, con el fin de facilitar los intercambios con la Comisión Europea, las autoridades homólogas y en relación al público.

El RIA no se pronuncia sobre la naturaleza de ésta o estas autoridades, con excepción:

• del Supervisor Europeo de Protección de Datos , quien es expresamente designado como autoridad de control de las instituciones, agencias u organismos de la Unión Europea (a excepción del Tribunal de Justicia de la Unión Europea que actúa en el ejercicio de sus funciones judiciales);
• de las autoridades de protección de datos que se mencionan en relación con la función de vigilancia del mercado de un gran número de sistemas de IA de alto riesgo (artículo 74);

•  por último, los sistemas de IA de alto riesgo sujetos ya a una regulación sectorial (enumerados en el anexo I) seguirán regulados por las autoridades que los controlan actualmente (por ejemplo, la Agencia Nacional de Seguridad de Medicamentos y Productos (ANSM) para dispositivos médicos).

¿Cómo la CNIL tendrá en cuenta el RIA?

La CNIL es responsable de garantizar el cumplimiento del RGPD, que es un reglamento basado en principios generales aplicables a todos los sistemas informáticos. Por lo tanto, también se aplica a los datos personales procesados para o mediante sistemas de inteligencia artificial, incluso cuando estén sujetos a los requisitos del RIA.

En la práctica, la CNIL prevé apoyarse sobre estas exigencias para guiar y acompañar a las partes interesadas en el respeto del RIA, pero también del RGPD, ofreciendo una visión integrada de las normas aplicables. La CNIL considera que este nuevo reglamento debería permitir a las partes interesadas comprender mejor sus obligaciones cuando desarrollan o implementan IA.

Sin embargo, el RIA también explicita determinadas prácticas prohibidas, algunas de las cuales ya han sido sancionadas por las autoridades de protección de datos. Así, por ejemplo, la CNIL tuvo la oportunidad de sancionar la práctica relativa a la creación o al desarrollo de bases de datos de reconocimiento facial mediante la recopilación de imágenes faciales (de Internet o de dispositivos de videovigilancia).

Como se detalla a continuación, la CNIL sigue siendo plenamente competente para aplicar el RGPD, por ejemplo, a los proveedores de modelos o sistemas de IA de uso general cuyo establecimiento principal se encuentra en Francia, en particular cuando no están sujetos a requisitos sustantivos según el RIA (Francia para Mistral AI o LightOn, Irlanda para ChatGPT/OpenAI o Google/Gemini).

Desde hace un año, la CNIL lanzó un plan de acción para asegurar las empresas innovadoras en términos de IA en su aplicación del RGPD y para promover una IA que respete los derechos de las personas sobre sus datos. Este plan implica, en particular, la publicación y consulta de fichas prácticas que aclaren la aplicación del RGPD en materia de IA y que formulen una serie de consejos. La CNIL dialoga con empresas del sector y apoya a algunas de ellas en sus proyectos innovadores.

¿Cuándo el RIA entra en vigencia?

Publicado en el Diario Oficial el 12 de julio de 2024, el RIA entrará en vigor veinte días después, es decir, el 1 de agosto de 2024. La entrada en vigencia se realizará entonces por etapas:

• 2 de febrero de 2025 (6 meses después de la entrada en vigencia):

o   Prohibiciones relativas a los sistemas de IA que presenten riesgos inaceptables.

• 2 de agosto de 2025 (12 meses después de la entrada en vigencia):

o   Aplicación de reglas para modelos de IA de uso general.

o   Nombramiento de autoridades competentes a nivel de los Estados miembros.

• 2 de agosto de 2026 (24 meses después de la entrada en vigencia):

o   Todas las disposiciones del Reglamento sobre IA pasan a ser aplicables, en particular la aplicación de las normas relativas a los sistemas de IA de alto riesgo del anexo III (sistemas de IA en los ámbitos de la biometría, las infraestructuras críticas, la educación, el empleo, el acceso a los servicios públicos esenciales, aplicación de la ley, inmigración y administración de justicia).

o   Implementación por parte de las autoridades de los Estados miembros de al menos un entorno de pruebas regulatorio.

• 2 de agosto de 2027 (36 meses después de la entrada en vigor)

o   Aplicación de normas para sistemas de IA de alto riesgo del anexo I (juguetes, equipos radioeléctricos, productos sanitarios para diagnóstico in vitro, seguridad de la aviación civil, vehículos agrícolas, etc.).

Además, la entrada en aplicación se basará en “normas armonizadas” a nivel europeo que deben definir con precisión los requisitos aplicables a los sistemas de IA en cuestión. Por ello, la Comisión Europea ha encargado diez normas al CEN/CENELEC (Comité Europeo de Normalización en Electrónica y Electrotecnia) que se encuentran actualmente en elaboración. La CNIL participa activamente en su desarrollo desde enero de 2024.

¿Cómo se articulan el RGPD y el RIA?

¿El RIA reemplaza los requisitos del RGPD?

No.

El RIA es muy clara en este punto: no sustituye los requisitos del RGPD. Por el contrario, pretende complementarlos estableciendo las condiciones necesarias para desarrollar e implementar sistemas de IA confiables.

En concreto, el RGPD se aplica a todo tratamiento de datos personales, es decir a ambos:

• Durante la fase de desarrollo de un sistema de IA : un proveedor de un sistema o modelo de IA en el sentido del RIA suele ser considerado como responsable del tratamiento de datos según el RGPD;
• Y durante la fase de uso (o implementación) de un sistema de IA: un implementador o usuario de un sistema de IA en el sentido del RIA que procesa datos personales será con mayor frecuencia responsable según el RGPD.

Por otro lado, el RIA establece exigencias específicas, cuyo cumplimiento puede contribuir significativamente al cumplimiento de los requisitos del RGPD (ver más abajo).

Para ir más lejos: consulte las recomendaciones de la CNIL relativas al desarrollo de sistemas de IA

RIA / GDPR: ¿cómo saber qué normativa me es aplicable?

Dado que el RIA se aplica exclusivamente a los sistemas y modelos de IA y el RGPD se aplica a cualquier procesamiento de datos personales, son posibles de presentarse cuatro situaciones:

• el RIA se aplica sola : este será el caso del proveedor de un sistema de IA de alto riesgo que no requiere datos personales, ni para su desarrollo ni en su despliegue ,

  Ejemplo: un sistema de IA aplicado a un sistema de gestión de una central eléctrica

• el RGPD se aplica solo: este será el caso del procesamiento de datos personales utilizados para desarrollar o utilizar un sistema de inteligencia artificial no sujeto al RIA,

Ejemplo: un sistema de inteligencia artificial utilizado para asignar centros de interés con fines publicitarios, o un sistema desarrollado exclusivamente para fines de investigación científica

• ambos se aplican: este será el caso cuando un sistema de IA de alto riesgo requiera datos personales para su desarrollo o implementación.

  Ejemplo: un sistema de IA utilizado para la clasificación automática de CV.

• o ninguno de los dos se aplica : este será el caso de un sistema de IA de riesgo mínimo que no implemente el procesamiento de datos personales

  Ejemplo: un sistema de IA utilizado para simulación en un videojuego

¿Cómo impacta el RIA al RGPD?

El RIA y el RGPD no regulan los mismos objetos y no exigen el mismo enfoque.

Sin embargo, el cumplimiento del primero facilita, véase prepara, el cumplimiento del segundo: por ejemplo, la conformidad del sistema de IA con el RGPD está incluida en la declaración UE de conformidad exigida por el RIA (Anexo V).

Además, el RIA también resuelve algunas tensiones entre ciertas exigencias del RGPD y las propias del RIA. Para ello, amplía y toma el control del RGPD en determinados puntos bien definidos:

• el RIA reemplaza determinadas normas del RGPD para el uso por parte de las fuerzas represivas de la identificación biométrica remota en tiempo real en espacios accesibles al público, que hace muy excepcionalmente posible en determinadas condiciones (artículos 5);
• permite excepcionalmente el tratamiento de datos sensibles (en el sentido del artículo 9 del RGPD) para detectar y corregir posibles sesgos que puedan causar daño, si ello es estrictamente necesario y bajo reserva de las garantías apropiadas (artículo 10);
• permite la reutilización de datos personales, particularmente datos sensibles, en el marco de los “sandboxes regulatorios” que establece. Estos sandboxes tienen como objetivo facilitar el desarrollo de sistemas de interés público importante (como la mejora del sistema de salud) y están bajo la supervisión de una autoridad específica que debe consultar primero a la CNIL y verificar el cumplimiento de un cierto número de requisitos (artículo 59). .

Transparencia y documentación: ¿cómo articular estas exigencias del RIA con los del RGPD?

El RIA y el RGPD a veces abordan nociones similares desde un ángulo diferente.

Éste es, por ejemplo, el caso del principio de transparencia y de las obligaciones de documentación, que demuestran la complementariedad de estas normas.

Medidas de transparencia

El RGPD prevé obligaciones de transparencia, que consisten esencialmente en informar a las personas cuyos datos se procesan de la manera que se procesan (por qué, por quién, cómo, durante cuánto tiempo, etc.). Se trata tanto del tratamiento de datos consistente en el desarrollo de un sistema de IA como del uso de un sistema de IA sobre o por un individuo (lo que daría lugar, por tanto, al tratamiento de datos personales).

El RIA prevé medidas de transparencia muy similares, por ejemplo sobre los datos utilizados para entrenar modelos de IA de uso general (cuya lista debe hacerse pública en virtud de su artículo 53) o sobre los sistemas destinados a interactuar con individuos (artículo 50).

Exigencias de documentación

El RIA prevé igualmente el suministro de documentación e información técnica por parte de los proveedores de sistemas de IA de alto riesgo (artículos 11 y 13) o modelos de IA de  uso general (artículo 53) a sus desarrolladores y usuarios. Estas documentaciones detallan en particular los procedimientos de prueba y de evaluación de conformidad llevados a cabo.

El RIA también establece que ciertos desarrolladores de sistemas de IA de alto riesgo realicen un análisis de impacto sobre los derechos fundamentales (el artículo 27 se refiere principalmente a los actores públicos y organizaciones responsables de misiones de servicio público).

La obligación de realizar una evaluación de impacto de la protección de datos (AIPD) prevista por el RGPD complementa perfectamente estas exigencias del RIA. En efecto, se presumirá que se exigirá la AIPD al proveedor y al implementador de sistemas de IA de alto riesgo, pero podrá recurrir especialmente a la documentación exigida por el RIA (artículo 26).

El RIA también prevé que el implementador puede basarse en la AIPD ya realizada por el proveedor para realizar su análisis de impacto sobre los derechos fundamentales (artículo 27). El objetivo común es permitir que se tomen todas las medidas necesarias para limitar los riesgos para la salud, la seguridad y los derechos fundamentales de las personas que puedan verse afectadas por el sistema de IA, estos análisis pueden incluso agruparse en un solo documento para evitar un formalismo demasiado restrictivo.

No se trata aquí de ejemplos de medidas complementarias entre los dos textos, pero la CNIL participa activamente en los trabajos del Comité Europeo de Protección de Datos (SEPD) sobre la articulación entre las reglas aplicables a la protección de datos personales y el RIA, actualmente en curso. Este trabajo tiene como objetivo aportar más clarificaciones sobre los puntos de articulación, al tiempo que permite una interpretación armonizada entre la CNIL y sus homólogos europeos.

En resumen: ¿cuáles son las diferencias entre los requisitos del RIA y el RGPD?

El RIA y el RGPD tienen grandes similitudes y complementariedades, pero sus propósitos y enfoques difieren.

Cuadro resumen de las especificidades del RIA y el RGPD

Texto de referencia

Para profundizar

• El reglamento sobre inteligencia artificial – Eur-Lex
• Todo el contenido de la CNIL sobre inteligencia artificial

#InteligenciaArtificial (IA)