En vigor desde agosto de 2024, la normativa aplicable en la UE tanto a compañías europeas como a aquellos sistemas de IA establecidos fuera de la UE, pero que se comercializan en el mercado europeo o aquellos cuyos efectos tienen lugar en la UE (de empresas americanas, asiáticas, entre otras) establece una serie de requisitos de obligado cumplimiento y aplicación gradual por su entrada en vigor escalonada. Desde el pasado mes de febrero, los sistemas de IA que incluyen algunas de las prácticas prohibidas por el Reglamento europeo deberán de dejar de comercializarse; de igual forma, en la misma fecha entró en vigor la obligación de alfabetización en IA a los empleados.

En agosto serán exigibles las obligaciones para los sistemas de IA de propósito general como los grandes modelos de lenguaje (LLM), entre los que se encuentran CHATGPT y similares. En agosto de 2026, con la exigencia de los requisitos correspondientes a los sistemas de alto riesgo, que son aquellos que puedan representar una amenaza a la seguridad, la salud o los derechos humanos, finalizará el período transitorio y el Reglamento será exigible en todas las empresas, organizaciones o administraciones, en todos los sectores de actividad. Las sanciones por incumplimiento pueden llegar hasta el 7% de los ingresos mundiales de las empresas infractoras.

Propuestas de acompañamiento de las consultoras

En este escenario exigente y cambiante, muchas consultoras han lanzado productos y herramientas para ayudar a las empresas y organizaciones en despliegue ético, responsable y en cumplimiento, de la IA. Así, Minsait ha publicado del programa AI ACTion, que “pretende guiar a las compañías para entender el nivel de vulnerabilidad ética de sus sistemas de IA, conocer las obligaciones legales que les corresponden y, especialmente, poder evolucionarlas a prácticas concretas dentro de la organización sin que represente una merma en su competitividad.” El proyecto incluye el Certificado de Transparencia Algorítmica gestionado por Adigital.

Obligaciones específicas 

El Reglamento IA impone una obligación sustantiva para ciertos responsables del despliegue, en concreto, los organismos de Derecho público, o entidades privadas que prestan servicios públicos, los cuales, según el art. 27, tendrán que llevar a cabo una evaluación del impacto que la utilización de dichos sistemas puede tener en los derechos fundamentales (EIDF). Se añaden los elementos y los requisitos que tal evaluación habrá de cumplir. Finalmente, se establece en el mismo artículo que para cumplir con esta obligación, la Oficina de IA elaborará un modelo de cuestionario, también mediante una herramienta automatizada, a fin de facilitar que los responsables del despliegue cumplan sus obligaciones.

La APDCAT facilita modelo de EIDF

La Autoridad Catalana de Protección de Datos (APDCAT) ha elaborado un modelo pionero en Europa para la evaluación de impacto sobre los derechos fundamentales en el uso de inteligencia artificial (EIDF). El modelo está en línea con lo que establece el Reglamento de IA. La herramienta está disponible en catalán, español e inglés.

Los obligados a realizar evaluación de impacto 

El artículo 27 del Reglamento IA obliga a los responsables del despliegue (usuarios, sean empresas o administraciones públicas) de sistemas de alto riesgo que sean organismos de Derecho público, o entidades privadas que prestan servicios públicos, a llevar a cabo una evaluación del impacto que la utilización de dichos sistemas pueda tener en los derechos fundamentales. También están obligados determinados responsables del despliegue, entre los que se encuentran las entidades financieras y bancarias y las de seguros.

El Reglamento IA establece en qué ha de constar en tal evaluación:

a) una descripción de los procesos del responsable del despliegue en los que se utilizará el sistema de IA de alto riesgo en consonancia con su finalidad prevista; b) (…) el período de tiempo durante el cual se prevé utilizar cada sistema de IA de alto riesgo y la frecuencia con la que está previsto utilizarlo; c) las categorías de personas físicas y grupos que puedan verse afectados por su utilización; d) los riesgos de perjuicio específicos que puedan afectar a las categorías de personas físicas y grupos determinadas (…); e) una descripción de la aplicación de medidas de supervisión humana, de acuerdo con las instrucciones de uso; f) las medidas que deben adoptarse en caso de que dichos riesgos se materialicen, en particular los acuerdos de gobernanza interna y los mecanismos de reclamación. También establece este precepto, largo y detallado, que “en casos similares, el responsable del despliegue podrá basarse en evaluaciones de impacto relativas a los derechos fundamentales realizadas previamente o a evaluaciones de impacto existentes realizadas por los proveedores. Si, durante el uso del sistema de IA de alto riesgo, el responsable del despliegue considera que alguno de los elementos ha cambiado o ha dejado de estar actualizado, adoptará las medidas necesarias para actualizar la información”. Por tanto, se prescribe como un proceso iterativo, en evolución constante. El mismo artículo establece que la Oficina de IA elaborará un modelo de cuestionario, también mediante una herramienta automatizada, a fin de facilitar que los responsables del despliegue cumplan sus obligaciones. Sin embargo, este modelo aún no se ha publicado.

La iniciativa del Consejo de Europa

El Consejo de Europa (no confundir con el Consejo Europeo) es una organización internacional fundada en 1949 y compuesta por 46 estados miembros – principalmente europeos-, siendo Canadá, la Santa Sede, Israel, Japón, México y Estados Unidos países observadores. Como tal, es independiente de la Unión Europea. Su objetivo principal es promover la democracia, los derechos humanos y el Estado de derecho en el continente europeo. Con sede en Estrasburgo, Francia, esta organización ha desempeñado un papel fundamental en el desarrollo de normas internacionales, como el Convenio Europeo de Derechos Humanos. En el ámbito digital, el Consejo de Europa trabaja con intensidad para garantizar que las tecnologías emergentes, incluida la inteligencia artificial (IA), respeten estos valores fundamentales.

Metodología HUDERIA

En este contexto, el Consejo ha desarrollado la metodología HUDERIA, un marco técnico-normativo diseñado para evaluar y mitigar los riesgos relacionados con los derechos humanos, la democracia y el Estado de derecho en el desarrollo y uso de sistemas de IA. HUDERIA (acrónimo de Human Rights, Democracy, and Rule of Law Impact Assessment for AI Systems) es una herramienta metodológica diseñada para identificar, evaluar y mitigar los posibles riesgos que los sistemas de IA puedan representar para los derechos humanos, la democracia y el Estado de derecho. Este enfoque tiene como objetivo garantizar que estos sistemas se desarrollen y utilicen de manera ética y responsable, alineándose con los valores fundamentales del Consejo de Europa y del Convenio Europeo de Derechos Humanos.