Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
El ámbito de aplicación del Reglamento de Inteligencia Artificial (RIA)
Con este artículo continuamos la serie de publicaciones que iniciamos la semana pasada donde abordamos diferentes cuestiones relativas al Reglamento de Inteligencia Artificial (RIA). Tras su aprobación, esta norma supondrá la creación de nuevas obligaciones legales diferenciadas para las distintas personas involucradas en la cadena de valor de un sistema de IA.
El propósito de esta publicación será examinar con detalle el marco de aplicación del RIA, identificando los distintos roles que pueden tener los sujetos obligados por el RIA y en qué situaciones resultan aplicables las obligaciones que establece esta norma.
En términos generales el ámbito de aplicación del RIA es bastante amplio, abarcando multitud de sujetos (que podrán estar ubicados tanto dentro como fuera de la UE), pero también se prevén determinadas excepciones, tales como cuestiones de seguridad nacional o para apoyar la innovación, respetar la libertad de ciencia y no socavar actividades de investigación y desarrollo (Considerando 25, RIA.)
En términos generales el ámbito de aplicación del RIA es bastante amplio, pero también prevé excepciones.
¿Qué roles pueden desempeñar los sujetos obligados por el RIA?
De cara entender adecuadamente el ámbito de aplicación del RIA, conviene que en primer lugar identifiquemos cuáles son los diferentes roles que pueden adoptar los sujetos obligados bajo este Reglamento, que podrán ser personas tanto físicas como jurídicas. Entre estos sujetos, distinguimos:
- Proveedor: Aquellas personas que desarrollen un sistema de IA o modelo de IA de uso general para introducirlo en el mercado de la Unión Europea bajo su propio nombre o marca comercial. Como ejemplo, al distribuir su sistema de IA ChatGPT, OpenAI actúa como proveedor en el marco del RIA.
- Responsable del despliegue: Toda persona que utiliza un sistema de IA bajo su propia autoridad en el ámbito profesional. Así, toda empresa que incorpore un sistema de IA en sus procesos actuaría como responsable del despliegue de dicho sistema.
- Representante autorizado: Toda persona ubicada en el territorio de la UE que haya sido designada -siempre que acepte previamente dicha designación- por un proveedor ubicado fuera de la UE para que cumpla las obligaciones y lleve a cabo las acciones exigidas por el RIA en su nombre. Se trata, en todo caso, de un concepto similar al que se incluye en otros reglamentos europeos como el Reglamento General de Protección de Datos.
- Importador: Aquella persona establecida dentro del territorio de la UE que comercializa o pone en servicio un sistema de IA bajo el nombre o marca comercial de otra persona establecida fuera del territorio europeo.
- Distribuidor: Aquellas personas, distintas del proveedor y del importador, que comercialicen un sistema de IA en el mercado de la UE.
- Proveedor posterior: Aquellos proveedores que comercializan o ponen en servicio un sistema de IA que incorpora un modelo de IA de uso general, con independencia de que sea un modelo propio o de un tercero.
✅ La referencia a un “Operador” es genérica, ya que constituye un término paraguas que engloba, además de los términos anteriormente definidos, también al fabricante del sistema o modelo de IA. Así, en el contexto del RIA, cualquiera de estas personas puede verse referida como “operador”.
¿En qué situaciones resulta de aplicación el RIA?
Teniendo en cuenta estos distintos roles que pueden desempeñar las personas en la cadena de valor de un sistema de IA, el Reglamento aplicará a:
- Los proveedores que comercialicen sistemas de IA o modelos de IA de uso general en la UE, con independencia de si dichos proveedores están establecidos o ubicados en la Unión o en un tercer país.
- Los responsables del despliegue de sistemas de IA ubicados en la UE.
- Los proveedores y responsables del despliegue de sistemas de IA que estén ubicados fuera de la UE, cuando la información de salida generada por el sistema de IA se utilice en la UE.
- Los importadores y distribuidores de sistemas de IA.
- Los fabricantes de productos que introduzcan en el mercado o pongan en servicio un sistema de IA junto con su producto y con su propio nombre o marca comercial.
- Los representantes autorizados de los proveedores que no estén establecidos en la Unión,
- Las personas afectadas que estén ubicadas en la UE.
Como podemos observar, de manera similar al Reglamento General de Protección de Datos (RGPD), el ámbito de aplicación del RIA tiene un alcance extraterritorial al resultar aplicable a proveedores y responsables del despliegue ubicados fuera de Europa cuando comercialicen sistemas de IA o modelos de IA de uso general en territorio europeo o cuando el output generado por sus sistemas de IA se utilice en dicho territorio.
¿Existen excepciones al ámbito de aplicación del RIA?
El RIA establece también una serie de excepciones que contemplan en qué circunstancias específicas las obligaciones del RIA no serán aplicables. Dichas excepciones son las siguientes:
- Las obligaciones previstas en el RIA no serán aplicables a las competencias de los Estados miembros en materia de seguridad nacional o en el caso de sistemas de IA utilizados exclusivamente para fines militares, de defensa o de seguridad nacional. Tampoco resultará aplicable cuando los outputs de sistemas de IA ubicados fuera de la UE sean utilizados para estos fines.
- Tampoco serán de aplicación para autoridades públicas de terceros países u organizaciones internacionales que utilicen sistemas de IA en el marco de acuerdos internacionales para la aplicación de la ley y cooperación judicial con la UE o los Estados miembros, siempre que dichas autoridades u organizaciones implementen garantías adecuadas para salvaguardar las libertades y derechos fundamentales de las personas.
- RIA no afectará a la aplicación de las disposiciones relativas a la responsabilidad de los prestadores de servicios intermediarios conforme al Reglamento de Servicios Digitales.
- Tampoco afectará a sistemas o modelos de IA, incluyendo sus outputs, que hayan sido específicamente desarrollados y puestos en servicio con el solo propósito del desarrollo y la investigación científica.
- RIA no aplicará a ninguna actividad relacionada con la investigación, desarrollo, prueba o actividad relativa a sistemas o modelos de IA con anterioridad a que se pongan en servicio o en el mercado, con la excepción de las pruebas en condiciones reales contempladas en el propio RIA.
- Las obligaciones del RIA no aplicarán a aquellos responsables del despliegue que sean personas físicas utilizando sistemas de IA para actividades personales no profesionales.
- Las obligaciones del RIA no serán aplicables a sistemas de IA gratuitos y de código abierto, salvo que sean de alto riesgo, sistemas prohibidos conforme al Capítulo II del RIA, sistemas de alto riesgo según el Capítulo III, o se encuentren entre los del Capítulo IV del RIA (sistemas que generen ultrafalsificaciones, sistemas de reconocimiento emocional o categorización biométrica, chatbots).
Salvo en las excepciones dispuestas, las obligaciones del RIA no aplican a sistemas de IA gratuitos y de código abierto.
¿Y qué ocurre con otras obligaciones normativas que también pueden resultar aplicables?
Ya que los sistemas de IA pueden destinarse a multitud de finalidades, no es difícil imaginarse que las obligaciones del RIA deberán de aplicarse de forma armonizada junto con otras obligaciones que también puedan resultar aplicables, constituyendo esta aplicación conjunta de varios marcos normativos todo un reto.
De esta forma, el RIA aclara que las obligaciones en materia de protección de datos, de secreto de las comunicaciones, de protección al consumidor o de seguridad de productos establecidas en la normativa de la UE serán aplicables junto y sin perjuicio de las obligaciones establecidas en el RIA.
Como vemos, si buscamos cumplir con las obligaciones que dispone el RIA, la pregunta que nos deberíamos hacer en primer lugar es si recaemos en el ámbito de aplicación tanto subjetivo como objetivo.
Sin embargo, comprender la totalidad del marco de aplicación del RIA puede resultar una tarea difícil, especialmente teniendo en cuenta la amplia extensión material y territorial del ámbito de aplicación del Reglamento y la complejidad que esta norma en sí misma presenta.
.jpg "IA Generativa como parte de la estrategia y liderazgo empresarial")
Imagen de rawpixel.com / Freepik.
