El 21 de mayo de 2024, el Consejo Europeo dio luz verde al reglamento sobre el uso de sistemas de inteligencia artificial en la Unión Europea (previamente aprobado por el Parlamento Europeo el pasado 13 de marzo). Aunque su promulgación se prevé que sea en los próximos días, ya se conoce como “ley de inteligencia artificial”. Al ser un reglamento, no necesita trasposición a los derechos nacionales de los estados miembros y se aplicará de forma directa en toda la UE, de forma escalonada.
Las entidades financieras, en la medida en que usen las tecnologías de inteligencia artificial, estarán afectadas por las obligaciones de esta norma. En la mayoría de los casos, encajan en la figura de “responsable del despliegue”, es decir, utilizan sistemas con componentes de inteligencia artificial bajo su propia autoridad. En otros casos, pueden ser calificadas de “proveedores” si, por ejemplo, ponen su nombre o marca comercial a un sistema de inteligencia artificial calificado de alto riesgo o si lo modifican sustancialmente.
La ley de inteligencia artificial parte de un enfoque basado en el riesgo de cada sistema que encaje en su ámbito, de manera que enfatiza las obligaciones y controles sobre los sistemas con un mayor riesgo de vulnerar los derechos fundamentales. Con este enfoque de riesgo, estos sistemas se clasifican en:
- Sistemas prohibidos expresamente, como los que se sirven de técnicas subliminales o deliberadamente manipuladoras o engañosas con el fin o efecto de alterar sustancialmente el comportamiento de una persona, mermando su capacidad para tomar una decisión informada, de un modo que pueda provocar perjuicio a esa persona.
- Sistemas de alto riesgo, como los utilizados para evaluar la solvencia de personas físicas o establecer su calificación crediticia (salvo los dedicados a detectar fraudes financieros) o para valorar riesgos y fijar precios en seguros de vida y salud.
- Sistemas de riesgo limitado, como los de atención continuada al cliente durante 24 horas con asistentes virtuales (chat-bots) o de asesoramiento financiero personalizado (roboadvisors).
- Sistemas de riesgo mínimo o nulo, por ejemplo, los sistemas destinados a la clasificación automática de documentación o a la mejora del resultado de una actividad humana previamente realizada, entre otros.
El primer ejercicio para las entidades financieras será inventariar todos los sistemas de inteligencia artificial que puedan estar utilizando, clasificarlos e identificar las obligaciones que han de cumplir, derivadas de esa clasificación.
Las obligaciones normativas sobre los sistemas de riesgo limitado para los responsables del despliegue se centran en requisitos de transparencia cuando estos sistemas estén destinados a interactuar con personas físicas. Para los clasificados como de alto riesgo son mucho más complejas.
La mayoría de las entidades de crédito utilizan sistemas de evaluación de solvencia de sus clientes o para determinar su calificación crediticia; por tanto, son sistemas de riesgo alto.
Resumimos a continuación las obligaciones que han de cumplir los responsables del despliegue de sistemas de inteligencia artificial de riesgo alto:
|
|
|
|
|
|
|
|
|
|
|
|
| 13. Involucración de la representación de los trabajadores |
|
Merece resaltarse el grado de similitud entre las obligaciones del reglamento general de protección de datos con el reglamento de inteligencia artificial, lo que puede hacer mucho más eficiente el proceso de implantación de las obligaciones descritas, así como de profesionales expertos, al poder contar, como punto de partida, con los profesionales y la metodología de los proyectos de protección de datos personales.
Tribuna elaborada por María Vidal Laso, socia de finReg360 y Marta Santamaría Rodríguez, asociada de finReg360
Por Funds Society, Madrid
Por Gonzalo Navarro Ruiz