¿Cómo afectará el nuevo reglamento de la UE sobre IA a la ciberseguridad?

By Alba Huerga
30 Jul 2024

El 12 de julio de 2024 salió a la luz la primera regulación general a nivel mundial sobre la Inteligencia Artificial. Se trata de un pionero marco normativo creado por la Unión Europea que condicionará el desarrollo económico y social de los años venideros y tendrá un impacto directo en el ámbito de la ciberseguridad.

El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo establece una serie de normas armonizadas en materia de Inteligencia Artificial para garantizar el desarrollo y uso seguro y ético de esta tecnología emergente.

Esta normativa está enmarcada en la Estrategia Europea de Inteligencia Artificial de la Comisión Europea, a través de la cual se pretende convertir a la UE en una región de referencia mundial para la IA y un catalizador de esta industria.

El principal objetivo del Reglamento (UE) 2024/1689 (RIA) es promover el enfoque humano de la esta tecnología: lograr que ésta sea sostenible, segura, inclusiva y fiable, y que garantice el respeto a los derechos fundamentales, la democracia y el Estado de Derecho.

El documento publicado en el Diario Oficial de la Unión Europea (DOUE) consta de 180 Considerandos, 113 artículos y 13 anexos enfocados a garantizar el desarrollo y uso seguro y ético de la IA.

¿Cuál es el alcance del nuevo reglamento europeo sobre la IA?

Además de establecer la definición de la IA y diferentes conceptos asociados a la misma, como los ‘modelos de uso general de IA’, ‘sistemas de IA’ o ‘datos biométricos’, el RIA marca el ámbito de aplicación de la normativa. 

El alcance de este reglamento con el que la UE aspira a convertirse en líder en este campo es bastante amplio y afecta a empresas, entidades públicas, pymes o e-commerces que emplean IA tanto en sus procesos internos, como en sus modelos de negocio.

Según recoge el documento legal, la normativa será aplicable a todos aquellos proveedores de sistemas o modelos de IA de uso general que desplieguen la Inteligencia Artificial en el territorio europeo, independientemente de si estos están establecidos o ubicados en la UE o en un tercer país.

Nuevo reglamento IA Unión Europea

Asimismo, deberán seguir el RIA todos aquellos fabricantes de productos que introduzcan en el mercado o pongan en servicio un sistema de IA junto con su producto y con su propio nombre o marca.

Además, también estarán sujetos a esta normativa los responsables del despliegue de sistemas de IA que estén establecidos o ubicados en la Unión, pese a que brinden servicios fuera del espacio europeo.

El Reglamento (UE) 2024/1689 (RIA) no contempla o se aplica en aquellos casos en los que las personas físicas utilizan sistemas de IA en el ejercicio de una actividad puramente personal de carácter no profesional.

El Reglamento (UE) 2024/1689 tiene un enfoque basado en el riesgo

Uno de los aspectos clave que aborda el nuevo marco normativo sobre la Inteligencia Artificial es la cuestión del riesgo. El Reglamento (UE) 2024/1689 define el “riesgo” de la IA como “la combinación de la probabilidad de que se produzca un perjuicio y la gravedad de dicho perjuicio”.

El RIA aborda la inteligencia artificial desde los riesgos que puede entrañar para las personas, y procura adaptar el tipo y contenido de las obligaciones de conformidad con el alcance y gravedad de los riesgos que pueda suponer. Hablamos, por ejemplo, de temas de manipulación, suplantación de la identidad, protección de datos, derecho a la propiedad intelectual, la privacidad o el derecho a la intimidad, tanto en el caso de personas físicas como jurídicas.

Asimismo, el RIA también adapta el tipo y contenido de sus normas a la intensidad y alcance de los riesgos que presentan los sistemas de IA sobre los que se aplica. 

Siguiendo las técnicas de Compliance, el RIA establece una clara distinción y clasificación de los diferentes tipos de riesgos, muchos de ellos, vinculados al ámbito de la ciberseguridad y el derecho digital.

Nuevo reglamento IA Unión Europea

Sistemas de IA de riesgo inaceptable

En “Riesgo Inaceptable” se incluyen todos aquellos sistemas que puedan representar una amenaza directa a la seguridad pública, la privacidad y los derechos fundamentales y que, por lo tanto, quedan completamente prohibidos. 

El RIA identifica como ‘riesgo inaceptable’ las técnicas subliminales, manipuladoras o engañosas que trascienden la conciencia de una persona haciendo que tome decisiones que no hubiera tomado de manera habitual, así como la creación de “Bases de datos mediante reconocimiento facial masivo”. 

Mediante este tipo de práctica se crea o amplía una base de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales de internet o de circuitos cerrados de televisión. 

Otra de las prácticas consideradas de ‘riesgo inaceptable’ es la explotación de vulnerabilidades de personas o grupos de personas mediante la IA. De este modo, se explotan los puntos débiles de personas en situación de vulnerabilidad o riesgo de exclusión social debido a su edad, discapacidad, situación social o económica, para alterar su comportamiento de manera que les genere perjuicio.

Sistemas de IA de Alto Riesgo

Entre los sistemas de IA de Alto Riesgo se incluyen todos aquellos que pueden tener impacto relevante en los derechos fundamentales de las personas. Aquí se incluyen todas las infraestructuras críticas, la educación y la formación profesional, el empleo, los servicios públicos y privados esenciales (por ejemplo, la sanidad o la banca), determinados sistemas de las fuerzas de seguridad, la migración y la gestión aduanera, la justicia y los procesos democráticos (como podría ser, por ejemplo, influir en las elecciones).

El RIA establece una serie de requisitos que todos los sistemas de IA considerados de Alto Riesgo deben seguir para garantizar la seguridad y ética de su funcionamiento. En A2SECURE hemos recopilado algunos de los más importantes y que implican la activación de cambios o programas de adaptación para las empresas en materia de ciberseguridad:

  1. Establecer un sistema de gestión de riesgos para la identificación y análisis de los riesgos conocidos y razonablemente previsibles, así como para la adopción de medidas adecuadas frente a tales riesgos.  
  1. Llevar a cabo acciones de gobernanza y gestión de datos que incluyan prácticas adecuadas para la finalidad prevista en relación con los conjuntos de datos de entrenamiento, validación y prueba (teniendo en cuenta, entre otros, posibles sesgos o contextos de uso). 
  1. Elaborar documentación técnica antes de introducir un sistema, aplicación o tecnología en el mercado o hacerlo accesible al público. La documentación debe ser actualizada y estar elaborada de modo que demuestre que el sistema de IA cumple con los requisitos exigidos por el Reglamento IA. 
  1. Incluir vigilancia humana con el fin de prevenir o reducir riesgos que puedan surgir en el uso del sistema de IA. Una de las maneras para lograrlo es dotar al sistema de IA de herramientas de interfaz humano-máquina adecuadas o disponer de un Centro de Operaciones de Seguridad (SOC), para controlar y neutralizar amenazas potenciales.

Sistemas de IA de Riesgo Limitado

Entre los sistemas de riesgo limitado, se encuentran aquellos de propósito general como, por ejemplo, los chatbots. En estos casos la principal obligación es informar debidamente a los usuarios de que están interactuando con una máquina para que puedan tomar una decisión informada de continuar o dar un paso atrás.

Nuevo reglamento IA Unión Europea

Los proveedores también tendrán que asegurarse de que el contenido generado por IA sea identificable e indicarlo de manera visible en sus plataformas, herramientas digitales o apps. En paralelo, los medios, revistas o agencias de noticias -sean digitales o no-, que publiquen textos generados por IA con el propósito de informar al público sobre asuntos de interés público deberán indicar que el contenido ha sido generado “artificialmente”. Estas prevenciones también se aplican al contenido de audio y video que constituyen deep fakes.

Sistemas de IA de mínimo riesgo

Aquellos sistemas catalogados de “mínimo riesgo” no están regulados específicamente por el RIA. Entre estos sistemas se incluyen todos aquellos que las personas deciden utilizar de forma independiente o libre (por ejemplo, videojuegos con IA, Chat GPT o filtros de spam).

El RIA contempla una secuencia de niveles de riesgo y, en función del diagnóstico, en cada caso aplica un sistema de gestión de esos riesgos, preservando las garantías jurídicas y el buen funcionamiento de las instituciones” recoge el análisis de este medio especializado. 

En este sentido, es importante tener en cuenta que cuanto mayor sea el riesgo, mayores serán las obligaciones y la necesidad de establecer protocolos específicos mediante la ayuda de partners o proveedores especializados en IA y legislación.

Nuevo reglamento IA Unión Europea

La RIA establece una aplicación del marco regulatorio en diferentes fases, sin perjuicio de otras obligaciones temporales que se recogen en el artículo 112 RIA, “Evaluación y revisión”. 

Sin embargo, según el artículo 113 RIA, la normativa entrará en vigor del RIA 20 días después de su publicación en el DOUE, es decir, el 1 de agosto de 2024 y será vinculante a partir de los dos años, es decir, el 1 de agosto de 2026.

En España, la autoridad de vigilancia del mercado encargada de velar por el cumplimiento de esta norma es la Agencia Española de Supervisión de la IA (AESIA), que está adscrita al Ministerio para la Transformación Digital y de la Función Pública.

 

¿Te gustaría conocer con más detalle cómo afectará el Reglamento (UE) 2024/1689 a tu organización y qué procedimientos debes llevar a cabo para cumplir con ella? Contacta con nuestro departamento de Digital Law, pionero en materia de IA,  y empieza a activar tu proceso de adaptación.

Los comentarios están cerrados.