Tribuna de Ricardo De Lorenzo Aparici, vocal de la Asociación Española de Derecho Sanitario
El 12 de julio de 2024, se publicó en el Diario Oficial de la Unión Europea el Reglamento 2024/1689, del Parlamento Europeo y del Consejo, 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (RIA) que, como indicaba nuestro documento sobre Inteligencia artificial, viene a servir de establecimiento de un marco jurídico uniforme de la IA en la Unión Europea.
Dado que en la mayoría de los casos van a verse implicados datos personales como método de entrenamiento de la IA, resulta evidente hacer partícipe a los delegados de protección de datos (DPO) a fin de realizar los pertinentes trabajos preparatorios de adaptación al RIA.
Así pues, lo primero a considerarse son las fechas de aplicación señaladas en el RIA. Tratándose de un Reglamento Europeo, su aplicación es directa, sin necesidad de transposición interna, siendo los 20 días desde su publicación en el DOUE (2 de agosto de 2026), salvo:
1. Capítulos I y II aplicables a partir del 2 de febrero de 2025 (Disposiciones Generales y Prácticas Prohibidas).
2. El capítulo III, sección 4, el capítulo V, el capítulo VII y el capítulo XII y el artículo 78 serán aplicables a partir del 2 de agosto de 2025, a excepción del artículo 101 (Autoridades notificantes y organismos notificados, modelos de IA de uso general, Gobernanza, Sanciones y el artículo sobre obligaciones de confidencialidad).
3. El artículo 6, apartado 1, y las obligaciones correspondientes del presente Reglamento serán aplicables a partir del 2 de agosto de 2027.
Identificados los plazos, a continuación resulta conveniente verificar si se usa IA en la entidad y, en caso afirmativo, revisar los siguientes aspectos:
1. Proveedor de servicio. Dado que el RIA exige adaptar a los desarrolladores sus procesos y cumplir con el reglamento, las entidades deberán seleccionar únicamente a proveedores que garanticen dicho cumplimiento. Respecto de proveedores antiguos incluir en sus contratos las nuevas instrucciones del tratamiento, incluida la posibilidad de auditorías que avale el cumplimiento del RIA.
2. El riesgo. Deberá catalogarse el riesgo en conformidad con el RIA, en primer lugar, su artículo 5 Prácticas de IA prohibidas, con vencimiento en febrero de 2025, precisamente para evidenciar la detección del Sistema y terminación del tratamiento. Seguidamente deberán catalogarse los sistemas IA de alto riesgo y de uso general (riesgo sistémico y ordinario). Una vez inventariados los Sistemas, aplicar los requisitos y obligaciones correspondientes.
3. Formación y Concienciación: Deberá implantarse políticas de uso de la IA, identificando sus usos prohibidos y autorizados, obligaciones, etc. Igualmente deberá formar a los empleados y directivos, no solamente en su uso diligente sino también como prevención de estafas, por ejemplo, mediante la suplantación de voz.
Para concluir, no debe perderse tiempo, como ocurrió en numerosos casos con la adaptación del Reglamento General de Protección de Datos. Hay que recordar que España ya ha establecido una agencia de supervisión de la inteligencia artificial, la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), la primera de la Unión Europea, antes de los plazos establecidos y que en agosto de 2025 se aplican las nuevas sanciones que prevé el RIA (Modelos IA hasta 15M o 3% de volumen de negocio, Sistemas de IA hasta 35M o el 7% de volumen de negocio).