Con fecha 12-7-2024 se ha publicado en el DOUE el Rgto (UE) 2024/1689 por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican determinados reglamentos europeos (Rgto (CE) 300/2008, (UE) 167/2013, (UE) 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144) y Directivas (Dir 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828).

El RIA establece obligaciones para los distintos operadores en el ecosistema IA (desarrolladores, fabricantes, proveedores, distribuidores, usuarios…).

1. Objetivo(RIA art.1)

Su objetivo es mejorar el funcionamiento del mercado interior mediante el establecimiento de un marco jurídico uniforme para el desarrollo y uso de los sistemas de IA en la UE, de conformidad con los valores europeos, a fin de promover la adopción de una inteligencia artificial (IA) centrada en el ser humano y fiable, garantizando al mismo tiempo un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales consagrados en la UE, protegiendo frente a los efectos perjudiciales de los sistemas de IA.

A tal fin, el Reglamento establece:

– normas armonizadas para la introducción en el mercado, la puesta en servicio y la utilización de sistemas de IA en la UE;

– prohibiciones de determinadas prácticas de IA;

– requisitos específicos para los sistemas de IA de alto riesgo y obligaciones para los operadores de dichos sistemas;

– normas armonizadas de transparencia aplicables a determinados sistemas de IA;

– normas armonizadas para la introducción en el mercado de modelos de IA de uso general;

– normas sobre el seguimiento del mercado, la vigilancia del mercado, la gobernanza y la garantía del cumplimiento;

– medidas en apoyo de la innovación, prestando especial atención a las pymes, incluidas las empresas emergentes.

1. Ámbito de aplicación (RIA art.2)

El Reglamento se aplica a:

1. a) los proveedores que introduzcan en el mercado o pongan en serviciosistemas de IA o que introduzcan en el mercado modelos de IA de uso general en la UE, con independencia de si dichos proveedores están establecidos o ubicados en la UE o en un tercer país;
2. b) los responsables del desplieguede sistemas de IA que estén establecidos o ubicados en la Unión;
3. c) los proveedores y responsables del despliegue de sistemas de IA que estén establecidos o ubicados en un tercer país, cuando los resultados de salida generados por el sistema de IA se utilicen en la UE;
4. d) los importadores y distribuidoresde sistemas de IA;
5. e) los fabricantesde productos que introduzcan en el mercado o pongan en servicio un sistema de IA junto con su producto y con su propio nombre o marca;
6. f) los representantes autorizadosde los proveedores que no estén establecidos en la UE;
7. g) las personas afectadasque estén ubicadas en la UE.

Entre otras exclusiones, el Reglamento no se aplica a los sistemas de IA vinculados exclusivamente con:

– fines militares, de defensa o de seguridad nacional, independientemente del tipo de entidad que lleve a cabo estas actividades;

– la investigación y el desarrollo científicos, como única finalidad del sistema.

III. Prácticas prohibidas (RIA art.5)

Se prohíben los sistemas de IA que:

– manipulen deliberadamente comportamientos humanos, mermando de manera apreciable la capacidad de las personas para tomar una decisión informada;

– realicen puntuaciones sociales (evaluación o clasificación), de manera perjudicial para la persona;

– hagan un reconocimiento facial o biométrico en tiempo real en espacios públicos (salvo excepciones relativas a la seguridad de las personas, como la búsqueda de personas secuestradas o desaparecidas).

1. Clasificación de los sistemas IA según su riesgo

El Reglamento establece requisitos distintos según el nivel de riesgo del sistema IA, que, en síntesis, se clasifican en:

1. a) Sistemas de IA dealto riesgo(RIA Cap.III), entre los cuáles se encuentran los utilizados en infraestructuras críticas (energía, transporte…), educación y formación profesional, contratación laboral, servicios esenciales (banca…). Todos estos sistemas deben implementar un sistema de gestión de riesgos para identificar, analizar y mitigar los riesgos potenciales, así como asegurar que el sistema esté sujeto a supervisión humana adecuada para prevenir y mitigar riesgos.
2. b) Modelos de IA deuso general(RIA Cap.V), que se subclasificarán como de “riesgo sistémico” (con obligaciones específicas) cuando tengan capacidades de gran impacto evaluadas a partir de herramientas y metodologías técnicas adecuadas, como indicadores y parámetros de referencia.
3. Gobernanza (RIA Cap.VII)

Como organismos a nivel europeo encargados de la gobernanza y supervisión de los sistemas de IA, se crea:

• la Oficina de IA(RIA art.64), que, entre otros cometidos, fomentará y facilitará la elaboración de códigos de buenas prácticas a escala de la UE (RIA art.56 y 95);
• el Consejo Europeo de Inteligencia Artificial-Consejo de IA-(RIA art.65), compuesto de un representante por Estado miembro (participando, en calidad de observador, el Supervisor Europeo de Protección de Datos), que presta asesoramiento y asistencia a la Comisión europea y a los Estados miembros para facilitar la aplicación coherente y eficaz del RIA.

Otros órganos o espacios previstos en el RIA son el foro consultivo (art.67) y el grupo de expertos científicos independientes (art.68).

1. Sanciones(RIA Cap.XII)

Los Estados miembros deben establecer el régimen de sanciones y otras medidas de ejecución, como advertencias o medidas no pecuniarias, aplicable a las infracciones del RIA que cometan los operadores, y adoptarán todas las medidas necesarias para garantizar que se aplican de forma adecuada y efectiva.

Tales sanciones han de ser efectivas, proporcionadas y disuasorias, y han de tener en cuenta los intereses de las pymes, incluidas las empresas emergentes, así como su viabilidad económica.

VII. Calendario de aplicación (RIA art.113)

El RIA, que entra en vigor a los 20 días de su publicación en el DOUE, será aplicable con carácter general a partir del 2-8-2026 (esto es, a los dos años). Si bien, algunas de sus disposiciones tienen fechas distintas de aplicación, de las que destacamos:

– el capítulo II relativo a las prácticas de IA prohibidas, a partir del 2-2-2025 (a los seis meses);

– el capítulo V relativo los modelos de IA de uso general, a partir del 2-8-2025 (al año);

– las obligaciones relativas a sistemas de alto riesgo, a partir del 2-8-2027 (a los tres años).

RGTO. (UE) 2024/1689 DE 13 JUNIO DE 2024. EDL 2024/13152