Luca Moratal Romeu - Vie, 12/07/2024 - 09:19
Aplicación del Reglamento de Inteligencia Artificial en la Unión Europea.
Serie: 'Gestión de Personas y Talento en la Era Digital' (LXIV)
En el día de hoy se ha publicado en el Diario Oficial de la Unión Europea el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (generalmente conocido como Reglamento Europeo de Inteligencia Artificial). Entrará en vigor dentro de veinte días, aunque la aplicabilidad de su articulado será escalonada, de suerte que parte del mismo no será de aplicación hasta dentro de tres años. La mayor parte de las normas que abordamos en esta entrada serán aplicables seis o doce meses después de la entrada en vigor.
El impacto de este Reglamento es prácticamente inabarcable. En los próximos años dará lugar, sin duda alguna, a multitud de despachos (y departamentos de despachos) especializados en él, infinidad de estudios acerca de sus innumerables aristas, una sucesión inagotable de procedimientos administrativos (fundamentalmente sancionadores) y judiciales y, sobre todo, un sinfín de quebraderos de cabeza. Aquí nos limitamos a esbozar un panorama muy general de este impacto en lo que específicamente concierne a la gestión de recursos humanos, acompañado de una sucinta valoración crítica.
Sistema de clasificación de riesgos
El de los recursos humanos es uno de los ámbitos en los que el impacto del Reglamento va a ser muy significativo. No es difícil llegar a esta conclusión si se tiene en cuenta el sistema de gradación de riesgos sobre el que se construye la norma. De acuerdo con ella, el riesgo se define como “la combinación de la probabilidad de que se produzca un perjuicio y la gravedad de dicho perjuicio” (art. 3), y, en lo que se refiere a los riesgos derivados del uso de IA, estos se clasifican en: inaceptables, elevados, limitados y mínimos. Las prácticas de IA que generen riesgos considerados inaceptables se prohíben, mientras que las que generen otro tipo de riesgos se someten a condiciones, requisitos y controles cuya magnitud varía en función de la categoría de riesgo de que se trate. Pues bien, en este orden conceptual, el Reglamento cataloga, en principio, como de alto riesgo la aplicación de IA a una serie de esferas centrales en el ámbito de los recursos humanos. A tenor del punto 4 del Anexo III, son las siguientes:
“4. Empleo, gestión de los trabajadores y acceso al autoempleo:
a) Sistemas de IA destinados a ser utilizados para la contratación o la selección de personas físicas, en particular para publicar anuncios de empleo específicos, analizar y filtrar las solicitudes de empleo y evaluar a los candidatos.
b) Sistemas de IA destinados a ser utilizados para tomar decisiones que afecten a las condiciones de las relaciones de índole laboral o a la promoción o rescisión de relaciones contractuales de índole laboral, para la asignación de tareas a partir de comportamientos individuales o rasgos o características personales o para supervisar y evaluar el rendimiento y el comportamiento de las personas en el marco de dichas relaciones.”
El art. 6 del Reglamento, ahora bien, contempla una excepción a la calificación de tales sistemas (o de los sistemas con tales usos o aplicaciones) como de alto riesgo. Conforme a su apartado tercero, “un sistema de IA no se considerará de alto riesgo si no plantea un riesgo importante de causar un perjuicio a la salud, la seguridad o los derechos fundamentales de las personas físicas, en particular al no influir sustancialmente en el resultado de la toma de decisiones”. El mismo apartado enuncia una serie de supuestos en los cuales se entiende, ope legis, que lo anterior sucede, con la consiguiente exclusión de la consideración de alto riesgo:
“a) que el sistema de IA tenga por objeto llevar a cabo una tarea de procedimiento limitada;
b) que el sistema de IA tenga por objeto mejorar el resultado de una actividad humana previamente realizada;
c) que el sistema de IA tenga por objeto detectar patrones de toma de decisiones o desviaciones con respecto a patrones de toma de decisiones anteriores y no esté destinado a sustituir la evaluación humana previamente realizada sin una revisión humana adecuada, ni a influir en ella; o
d) que el sistema de IA tenga por objeto llevar a cabo una tarea preparatoria para una evaluación pertinente a efectos de los casos de uso enumerados en el anexo III.”
Infografía sobre la Inteligencia Artificial.
Basta con que una sola de estas condiciones concurra para que el sistema en cuestión no se repute de alto riesgo. En cambio, no queda claro si se trata de un numerus clausus o, por el contrario, apertus; esto es, si cabría justificar que otros sistemas de IA utilizados en la gestión de recursos humanos no plantean “un riesgo importante de causar un perjuicio a la salud, la seguridad o los derechos fundamentales de las personas físicas, en particular al no influir sustancialmente en el resultado de la toma de decisiones”, y por lo tanto no deberían considerarse de alto riesgo, pese a no figurar expresamente previstos en dicho elenco. Sin embargo, la generalidad en la formulación de estos supuestos invita a pensar en un numerus clausus.
En cualquier caso, para que sea aplicable alguna de estas excepciones no bastará su mera concurrencia. El apartado 4 del art. 6 precisa que “el proveedor que considere que un sistema de IA contemplado en el anexo III no es de alto riesgo documentará su evaluación antes de que dicho sistema sea introducido en el mercado o puesto en servicio. Dicho proveedor estará sujeto a la obligación de registro [en la base de datos de la UE a que se refiere el art. 71] establecida en el artículo 49, apartado 2. A petición de las autoridades nacionales competentes, el proveedor facilitará la documentación de la evaluación”.
Por lo demás, las excepciones a la calificación de alto riesgo que venimos tratando deben ponerse en relación con la contraexcepción que establece el art. 6.3 in fine. En su virtud, “los sistemas de IA a que se refiere el anexo III siempre se considerarán de alto riesgo cuando el sistema de IA lleve a cabo la elaboración de perfiles de personas físicas”, con independencia de que se dé o no alguno de los supuestos o condiciones listados en el mismo art. 6.3.
Junto a las prácticas de alto riesgo en la gestión de recursos humanos, no estará de más valorar si alguna de las de riesgo inaceptable, y en consecuencia proscritas, pueden ser relevantes en este campo. El examen del art. 5, que las define, no parece revelar ninguna que hoy por hoy sea probable encontrar en un departamento de recursos humanos. El Reglamento, no obstante, se adelanta a algunas que sí podría ser tentador ensayar en un futuro más o menos próximo, como, entre otras, “el uso de sistemas de IA para inferir las emociones de una persona física en los lugares de trabajo” (apartado 1, letra “f”).
Finalmente, puede suceder que un sistema de IA empleado en la gestión de recursos humanos no genere ni riesgo inaceptable ni alto riesgo, pero sí riesgos de menor entidad en los términos del Reglamento. En estos casos, dependiendo del riesgo o riesgos de que se trate, podrían existir obligaciones de transparencia. Es lo que sucede en los supuestos del art. 50, de los cuales los siguientes podrían ser relevantes para el terreno que nos ocupa: sistemas de IA destinados a interactuar directamente con personas físicas y sistemas de reconocimiento de emociones o categorización biométrica, en tanto no sean determinantes de riesgo inaceptable o alto riesgo.
Implicaciones
Llegados a este punto, cabe preguntarse por las implicaciones reales de esta clasificación: es decir, por las exigencias y sanciones que la rodean, y respecto de qué sujetos.
Empezando con las prácticas de riesgo inaceptable, la prohibición es categórica, con las únicas salvedades expresamente incorporadas al art. 5 (como, en la letra “f” antes mencionada, que “el sistema de IA esté destinado a ser instalado o introducido en el mercado por motivos médicos o de seguridad”) y las que se deriven del ámbito de aplicación del Reglamento, establecido en el art. 3 (por ejemplo, se excluyen de este ámbito de aplicación los usos para fines de seguridad nacional). Los sujetos a los que afectan son los comercializadores, distribuidores y empresas usuarias, y todos ellos se enfrentan a multas de hasta 35 millones de euros o “de hasta el 7% de su volumen de negocios mundial total correspondiente al ejercicio financiero anterior, si esta cuantía fuese superior” (art. 99.3).
En lo que se refiere a las prácticas de alto riesgo, se les impone un conjunto de exigencias no poco onerosas. Algunas de ellas se dirigen a los proveedores de los sistemas en cuestión, y cabe esperar que tendrán como efecto principal una disminución significativa de su oferta. Otras —en las que aquí nos interesa más profundizar— tienen por destinatarios a los usuarios de tales sistemas para fines profesionales (los llamados “responsables del despliegue” o deployers; incluidas, cómo no, las organizaciones a la hora de gestionar recursos humanos), y se traducen en las obligaciones del art. 26, que el informe de Cuatrecasas sobre el Reglamento (de lectura altamente recomendable) ha sintetizado de la siguiente manera:
“- Adoptar las medidas técnicas y organizativas para garantizar que usan los sistemas de acuerdo con las instrucciones de uso.
- Encomendar la supervisión humana a personas adecuadas.
- Asegurar que los datos de entrada sean pertinentes y representativos para la finalidad del sistema, en la medida en que ejerzan el control sobre esos datos.
- Vigilar el funcionamiento del sistema e informar de riesgos e incidentes al proveedor, importador o distribuidor y a la autoridad de vigilancia del mercado.
- Conservar los archivos de registro que generen si están bajo su control.
- Informar a los trabajadores y a sus representantes legales antes de implementar un sistema de IA de alto riesgo en el lugar de trabajo.
- Cuando empleen sistemas para tomar o ayudar a tomar decisiones, informar a las personas físicas afectadas por esas decisiones.
- Cooperar con las autoridades competentes.
- Garantizar la alfabetización suficiente en materia de IA de su personal y demás personas que se encarguen en su nombre del funcionamiento y utilización de los sistemas de IA.”
Metáfora de la inteligencia artificial representada como una bombilla de ideas que se enciende.
Además, en las situaciones descritas en el art. 27 (por ejemplo, cuando los responsables del despliegue sean organismos de Derecho público o entidades privadas que presten servicios públicos), los responsables del despliegue deberán llevar a cabo una evaluación de impacto en materia de derechos fundamentales.
Pues bien, el incumplimiento de estas obligaciones impuestas a los responsables del despliegue puede penalizarse con multas de hasta 15 millones de euros o el 3% de la facturación mundial del año anterior, aplicándose también aquí el importe de mayor cuantía. En esta misma horquilla caen los incumplimientos, por parte de los responsables del despliegue, de las obligaciones de transparencia impuestas por el art. 50 con respecto a los riesgos de entidad menor, si bien es razonable esperar que el importe de la sanción sea más o menos proporcionado a la gravedad de la infracción. Así lo prescribe el art. 99.7, que delinea asimismo otros factores a tener en cuenta para concretar tal importe: el tamaño de la empresa infractora, la intencionalidad, el grado de responsabilidad del operador, la concurrencia de otras sanciones, “el grado de cooperación con las autoridades nacionales competentes con el fin de poner remedio a la infracción y mitigar sus posibles efectos adversos”, etc.
Otra categoría de sanciones es la que se prevé en relación con “la presentación de información inexacta, incompleta o engañosa a organismos notificados o a las autoridades nacionales competentes en respuesta a una solicitud”. Estas infracciones se ven sujetas a multas de hasta 7,5 millones de euros o el 1% de la facturación mundial del año anterior (una vez más: el importe de mayor cuantía).
Cuando los infractores sean pymes o empresas emergentes, el importe máximo de la multa que corresponda no vendrá dado por la fórmula que arroje mayor cuantía (las cantidades o los porcentajes de facturación indicados), sino por la que arroje la menor (art. 99.6).
Valoración crítica
Son muchas las voces que han criticado ya la deficiente técnica legislativa de este Reglamento. Abundan en él los conceptos jurídicos indeterminados (por ejemplo, el de “técnicas subliminales”), cosa inexcusable si se tiene en cuenta la severidad de las sanciones que se contemplan. Con respecto a éstas, es también cuestionable la amplitud de las horquillas sancionatorias, la cual —en un ejercicio de optimismo desmedido, o de indiferencia por la justicia— deja un amplio margen de discrecionalidad a las administraciones de los Estados miembros. Los criterios de adecuación de la sanción recogidos en el art. 99, desde luego, son demasiado imprecisos como para despejar inquietudes en este sentido.
Representación del pensamiento de la Inteligencia Artificial.
Pero creo que, más allá de estos defectos particulares, es perfectamente legítimo negar la mayor, esto es, poner en entredicho la voracidad hiperreguladora de quienes están dispuestos a darle miles de oportunidades a la planificación jurídica, económica y social, y ninguna a la libertad. Esta histeria intervencionista sirve a los intereses de los políticos y burócratas europeos, siempre tan necesitados de justificar su acomodada existencia en calidad de tales, y de los agentes económicos incapaces de competir con la creatividad de sus pares; pero no se entiende en qué beneficia al grueso de la ciudadanía. Por una parte, la mayor parte de las aplicaciones verdaderamente perniciosas de la IA ya son perseguibles al amparo de los ordenamientos nacionales de los Estados miembros (de sus normativas en materia de protección de datos, discriminación, propia imagen, intimidad y un largo etcétera). Por otra, muchas de las prácticas de IA prohibidas o altamente restringidas por el Reglamento tienen que ver con transacciones, relaciones e interacciones voluntarias entre actores privados (como es el caso de la gestión de recursos humanos en organizaciones no adscritas al sector público), donde un deber mínimo de transparencia (probablemente ya deducible de la legislación vigente en cualquier país de la UE) sería más que suficiente para salvaguardar los derechos de la —frecuentemente mal llamada— “parte débil”.
Sospecho fundadamente que, como tantas otras veces, el precio a pagar será un estancamiento de la innovación y, con ella, del crecimiento económico; amén de un recrudecimiento de la asimetría de recursos entre la sociedad civil, condenada a la obsolescencia, y las élites políticas, que —no nos quepa la menor duda— no van a dejar de valerse de las técnicas de IA cuyo uso prohíben o limitan a dicha sociedad civil. Cada vez más abiertamente, la auténtica parte débil no son los trabajadores frente a sus empleadores, ni los consumidores frente a las empresas, sino los individuos frente al Leviatán.
Editor: Universidad Isabel I
ISSN 2792-1816
Burgos, España
Añadir nuevo comentario