Vicente Álvarez García y Jesús Tahiri Moreno
Vicente Álvarez García es Catedrático de Derecho Administrativo en la Universidad de Extremadura
Jesús Tahiri Moreno es Doctorando en Derecho en la Universidad de Extremadura
El artículo se publicó en el número 63 de la Revista General de Derecho Administrativo (Iustel, mayo 2023)
RESUMEN: El presente artículo tiene por objeto el análisis de la futura regulación de la inteligencia artificial en la Unión Europea desde la perspectiva del Derecho de la técnica, partiendo de la idea de que este tipo de software se diferencia de manera muy sustancial de los productos físicos, que son los que hemos estado tradicionalmente acostumbrados a regular a través de la técnica del nuevo enfoque armonizador.
En este contexto, los autores exponen en la primera parte del trabajo las bases jurídicas aplicables a esta nueva tecnología, que a menudo se caracteriza como el principal motor de la cuarta revolución industrial; para pasar, a continuación, al desglose tanto del concepto de inteligencia artificial como del sistema de riesgos previstos por el proyecto de Reglamento presentado por la Comisión en abril del año 2021.
El grueso del artículo se centra, no obstante, en el estudio pormenorizado de las técnicas regulatorias que afectarán a los sistemas de inteligencia artificial calificados como de alto riesgo; y, muy en particular, a la elaboración de estándares técnicos, por un lado, y a los controles existentes para su aplicación, por otro.
Desde la primera de estas perspectivas (esto es, la normalizadora), se estudia el papel que están llamadas a jugar en relación con esta tecnología tanto las normas técnicas armonizadas elaboradas por los organismos europeos de normalización como las especificaciones comunes generadas por la Comisión Europea.
Con respecto a la segunda modalidad regulatoria (es decir, la relativa a los controles técnicos), y tras efectuar un repaso general de los mismos, se advierte del peligroso déficit existente de mecanismos de control por una tercera parte neutral e independiente en el proyecto de Reglamento, permitiéndose a los proveedores la autocertificación de un tipo de sistemas de inteligencia artificial caracterizados por su potencial peligro para la sociedad actual.
THE REGULATION OF ARTIFICIAL INTELLIGENCE IN EUROPE THROUGH THE NEW APPROACH TECHNIQUE
ABSTRACT: The aim of this paper is to analyze the future regulation of artificial intelligence in the European Union from the perspective of technical law, starting from the idea that this type of software differs very substantially from physical products, which are the ones we have traditionally been used to regulate through the technique of the new harmonizing approach.
In this context, the authors set out in the first part of the paper the legal bases applicable to this new technology, which is often characterized as the main driver of the fourth industrial revolution; to move on, then, to the breakdown of both the concept of artificial intelligence and the system of risks envisaged by the draft Regulation presented by the Commission in April 2021.
The bulk of the article focuses, however, on the detailed study of the regulatory techniques that will affect artificial intelligence systems classified as high-risk; and, very particularly, on the development of technical standards, on the one hand, and on the existing controls for their application, on the other.
From the first of these perspectives (i.e. standardization), the role, that both the harmonized technical standards drawn up by the European standardization bodies and the common specifications generated by the European Commission are called upon to play in relation to this technology, is studied.
With regard to the second regulatory modality (i.e. technical controls), and after a general review of the same, it warns of the dangerous lack of control mechanisms by a neutral and independent third party in the draft Regulation, allowing suppliers to self-certify a type of artificial intelligence systems characterized by their potential danger for today's society.
I. PLANTEAMIENTO GENERAL
Estamos bien acostumbrados en la Unión Europea a establecer regulaciones destinadas a ordenar la fabricación de productos de manera armonizada para el conjunto del territorio comunitario(1). No debe olvidarse que el proceso de integración en el que nos encontramos inmersos desde hace ya tantas décadas comenzó, realmente, con la creación de un mercado común basado en cuatro grandes libertades económicas: la libre circulación de mercancías, de servicios, de personas y de capitales. De todas estas libertades, la que ha ido abriendo el paso a las otras (y ha servido, en consecuencia, para impulsar el proceso integrador) ha sido la primera, esto es, la libertad de circulación de los productos.
Las regulaciones de los productos en las históricas Comunidades Europeas (y hoy en su heredera universal, la Unión) han operado sobre mercancías que ya contaban con normativas en los diferentes Estados miembros, que establecían requisitos de seguridad (entendida en un sentido amplio) diversos, por lo que es fácil entender que provocaban obstáculos técnicos que dificultaban (cuando no impedían) el comercio entre ellos.
Con la regulación armonizada de cada producto para el conjunto del club europeo, las Instituciones comunitarias perseguían crear un mercado único para ese producto, que englobaba los territorios de todos los Estados miembros, facilitando así tanto el comercio entre ellos como el fortalecimiento de la industria europea, además de conseguir que el producto correspondiente alcanzase unos niveles de calidad y de seguridad suficientes para proteger a los consumidores europeos. Con esta finalidad regulatoria supranacional hemos utilizado mecanismos diversos, entre los que destacan los de la armonización total (que seguimos utilizando para algunos productos, como los vehículos a motor) y, sobre todo, la que empleamos de manera generalizada desde que en los años ochenta del pasado siglo se decidió impulsar de manera decidida la constitución de un mercado interior comunitario, que es la técnica del nuevo enfoque. A esta última modalidad armonizadora corresponde la regulación, entre otros productos, de las maquinas, los juguetes, los ascensores, los equipos de protección individual o los productos sanitarios
Son muchísimas las regulaciones armonizadas de productos que se han aprobado en la Europa comunitaria durante las pasadas décadas. Conocemos, por tanto, perfectamente la técnica para hacerlo. Es cierto que la armonización total era muy complicada, pero no lo es menos que la técnica del nuevo enfoque ha dado unos resultados excelentes(2). Ahora bien, estas técnicas se han empleado en relación con los productos físicos, que son los que han estado presentes en nuestras vidas hasta hace relativo poco tiempo de manera exclusiva. La cuestión es que ahora nos encontramos ante otro tipo de productos que no tienen realmente un soporte físico, pero que pretendemos regular de manera uniforme para toda la Unión Europea con la técnica armonizadora del nuevo enfoque que ya conocemos. Nos referimos a los programas de software y, dentro de esta categoría genérica, a una familia de sistemas que hemos llamado inteligencia artificial, cuyos límites estamos extraordinariamente lejos de conocer al menos los ciudadanos de a pie, si bien vislumbramos que presentan grandes ventajas para la humanidad, pero no menos riesgos(3). Y eso, con una tecnología que está en su primera infancia, pero que evoluciona con una rapidez inusitada, y cuya madurez (con el progreso exponencial que día a día se produce en las técnicas para la optimización del tratamiento de datos, de mejora en la confección de los algoritmos y de un desarrollo sin precedentes de la capacidad de computación) cambiará, previsiblemente, los perfiles del mundo que ahora conocemos. Y muy probablemente lo hará de una manera muy radical(4).
Ante este inmensísimo desafío, la doctrina jurídica no podía quedar al margen, siendo realmente innumerables los estudiosos de las más variadas ramas del Derecho que han dedicado numerosos esfuerzos al estudio de la cuestión tanto a nivel mundial como, por supuesto, en nuestro país. Es revelador en este último sentido que el número 100 de la revista El Cronista del Estado Social y Democrático de Derecho se haya dedicado, precisamente, a esta materia con el título Inteligencia Artificial y Derecho. En él participan probablemente algunos de los mejores, si no directamente los mejores, especialistas españoles sobre el Derecho de la Inteligencia Artificial en el ámbito iuspublicista, pero también en la esfera iusprivatista(5).
Sin olvidar este punto de partida, las páginas siguientes están destinadas a explicar cómo piensan las Instituciones Europeas regular los “nuevos” sistemas de inteligencia artificial a través de la técnica “clásica” del nuevo enfoque.
II. LAS BASES JURÍDICAS PARA UNA REGULACIÓN DE LA INTELIGENCIA ARTIFICIAL EN LA UNIÓN EUROPEA
Resulta difícil enumerar la cantidad tan inmensa de textos de softlaw sobre la inteligencia artificial que han generado las Instituciones Europeas durante los últimos años en el seno de la Unión(6). Nos interesa destacar ahora, no obstante, dos documentos que se integran en el procedimiento legislativo ordinario iniciado por la Comisión para regular este tipo de sistemas, que recordemos son tratados como productos(7). Nos referimos, en primer término, a la “Propuesta de Reglamento por el que se establecen normas armonizadas en materia de inteligencia artificial (Ley de inteligencia artificial)” (en adelante, proyecto de Reglamento de inteligencia artificial), formulada el 21 de abril de 2021 por la Comisión, que es la Institución que tiene la iniciativa en este tipo de procedimiento legislativo europeo; y, en segundo término, el texto de la propuesta transaccional acordada por el Consejo con fecha de 25 de noviembre de 2022.
Nuestra explicación de cómo pretenden regularse los sistemas de inteligencia artificial dentro del club comunitario se centrará esencialmente en estos documentos a la espera de que se apruebe definitivamente el acto legislativo nuevo enfoque sobre esta materia, que tendrá, como ya hemos visto, la forma jurídica de Reglamento.
La futura legislación armonizadora de los sistemas de inteligencia artificial habrá de apoyarse, también, en las normas transversales que sirven para establecer el marco regulador general del nuevo enfoque armonizador(8) y, muy en particular, en el Reglamento 765/2008 (acreditación)(9), en la Decisión 768/2008 (evaluación de la conformidad)(10), en el Reglamento 1025/2012 (normalización)(11) y en el Reglamento 2019/1020 (vigilancia del mercado)(12).
En la medida en que la regulación proyectada pretende establecer un régimen armonizado de un producto, aunque sea un tanto especial (como lo son los software de inteligencia artificial), a nivel de la Unión, contribuyendo a la configuración del mercado interior, su base jurídica se sitúa por la Comisión en el art. 114 TFUE(13).
A diferencia de lo que ha pasado tradicionalmente con el régimen jurídico de los productos en los que existían normas imperativas de recio abolengo en los Estados miembros previas al proceso de armonización comunitaria, los sistemas de inteligencia artificial están poniéndose de moda en estos momentos, por lo que todavía no nos encontramos con demasiadas normas nacionales que fragmenten el mercado europeo en pequeños mercados nacionales (o, todavía peor, regionales)(14), pero cuanto más se retrase la adopción de la normativa europea nuevo enfoque mayores serán estos riesgos de atomización del mercado continental. Esta situación dificultaría enormemente el comercio intracomunitario y sería muy perjudicial para la construcción de una industria europea potente en una materia en la que tanto Estados Unidos como China(15) nos llevan cumplida ventaja.
El acto legislativo elegido por la Comisión para establecer la regulación armonizada de los sistemas de inteligencia artificial ha sido, como sabemos, el Reglamento. Es cierto que tradicionalmente esta Alta Institución utilizaba, en el marco de la política del nuevo enfoque, la forma jurídica de la Directiva, pero en los últimos años ha empleado también el Reglamento. La idea que esta detrás del recurso a este tipo de instrumento normativo consiste en asegurar la mayor uniformidad regulatoria posible a nivel de la Unión. Y es que el Reglamento, a diferencia de la Directiva, permite la aplicación directa e inmediata de la normativa europea en los Estados miembros (sin tener que esperar a incorporar la normativa europea en un plazo más o menos largo dentro de los Derechos estatales, que podrían, además, introducir modulaciones nacionales, provocando quizá un halo de inseguridad jurídica, como sucedería, previsiblemente, con la utilización de las Directivas).
Dicho esto, la aplicación del Reglamento europeo también exige en algunos puntos la intervención de cada uno de los Estados miembros (así sucede, por ejemplo, con la designación de las autoridades nacionales de vigilancia del mercado de los sistemas de inteligencia artificial), pero impide, en todo caso, que los Estados introduzcan elementos normativos diferenciados en la regulación material de estos productos que dificulten su comercialización.
En todo caso, el futuro Reglamento de inteligencia artificial (al igual que sucede con cualquier otro acto legislativo nuevo enfoque) no regulará todo el régimen jurídico de este producto, sino que, tras su conceptualización, tendrá como núcleo fundamental la determinación, por un lado, de los requisitos esenciales de los sistemas de inteligencia artificial de alto riesgo establecidos para asegurar la protección de la salud, de la seguridad y de los derechos fundamentales y valores de la Unión (cuyo respeto es obligado para su válida comercialización en el mercado europeo); y, por otro, de los controles a los que están sometidos estos sistemas para atestiguar el cumplimiento de los mismos. El Reglamento tendrá, para facilitar su aplicabilidad, un complemento necesario en las normas técnicas armonizadas elaboradas por los organismos europeos de normalización o en las especificaciones comunes generadas por la Comisión. Luego nos detendremos en ambos instrumentos, pero avancemos ahora que, mientras que los requisitos esenciales establecidos por el Reglamento son obligatorios, el cumplimento de las normas armonizadas o de las especificaciones comunes (instrumentos que desarrollan los instrumentos técnicos para posibilitar la fabricación de los productos respetando los requisitos obligatorios del Reglamento) es jurídicamente voluntario. Otra cosa es, como veremos posteriormente, lo que pueda pasar desde un punto de vista fáctico.
III. EL CONCEPTO JURÍDICO DE INTELIGENCIA ARTIFICIAL EN LA EUROPA COMUNITARIA.
1. Una breve aproximación al concepto jurídico de inteligencia artificial en la Unión Europea
La inteligencia artificial es un determinado tipo de software. Por lo tanto, no todos los programas informáticos son inteligencia artificial(16). Para ser considerado inteligencia artificial incardinable en el futuro Reglamento, un software deberá cumplir dos requisitos: en primer término, se desarrollará mediante estrategias de aprendizaje automático o estrategias basadas en la lógica y el conocimiento; y en segundo término, habrá de generar, “para un conjunto determinado de objetivos definidos por seres humanos”, “información de salida como contenidos, predicciones, recomendaciones o decisiones que influyan en los entornos con los que interactúa”(17).
Sobre esta base, la integración de un software dentro de la categoría de inteligencia artificial requiere que, a partir de unos datos de entrada, tenga una capacidad de aprendizaje o de razonamiento autónomo para generar la información de salida, de tal manera que los sistemas que se limitan a utilizar “reglas definidas únicamente por personas físicas para ejecutar operaciones de manera automática no deben considerarse sistemas de inteligencia artificial”(18).
En todo caso, la inteligencia artificial engloba diversas tecnologías que tienen en común su rapidísima evolución(19). Por ello, la Comisión considera que su definición debe reunir dos características: por un lado, debe “ser lo más neutra tecnológicamente posible”; y, por otro, “debe resistir al paso del tiempo lo mejor posible”. En otros términos, la definición jurídica de la inteligencia artificial no puede ser cerrada, sino que debe ser susceptible de ser ajustada en función de la evolución tecnológica(20).
2. Las ventajas y los riesgos de la inteligencia artificial
La inteligencia artificial, tal y como acaba de ser muy someramente perfilada, traerá consigo, previsiblemente, importantes avances para la humanidad, al igual que la regulación propugnada a nivel europeo tendrá consecuencias positivas para la construcción del mercado interior en este ámbito. Ahora bien, no pueden desconocerse los significativos riesgos que pueden derivarse de un mal uso de este tipo de sistemas. Es verdad que todos los productos son susceptibles de un empleo perverso. Ahora bien, mientras el alcance territorial y subjetivo de los riesgos derivados de un producto físico parecen limitados, los terribles resultados que puede causar un programa informático dañino tienen un potencial efecto mundial, pudiendo afectar a una grandísima parte de la población de todos los continentes del globo terráqueo. Piénsese en que todas las infraestructuras críticas del planeta dependen de sistemas de esta naturaleza.
Empezando por las ventajas del desarrollo e implantación de los sistemas de inteligencia artificial, vale la pena destacar la idea recogida por el Parlamento Europeo de que el mundo está comenzando la cuarta revolución industrial a escala global gracias a una incipiente inteligencia artificial impulsada por una “abundancia de datos”, unos “potentes algoritmos”(21) y una gran capacidad de computación informática. Las anteriores revoluciones industriales habían venido inducidas, según esta Alta Institución Europea, por la invención de las máquinas de vapor, el descubrimiento de la electricidad y la introducción de los ordenadores, de manera sucesiva(22).
Bajando de estas grandes ideas a sectores concretos, la Comisión considera que los sistemas de inteligencia artificial están en disposición de mejorar las predicciones, la optimización de las operaciones y de la asignación de los recursos, y la personalización de las soluciones digitales. Esta circunstancia facilitará, según esta Institución, “la obtención de resultados positivos desde el punto de vista social y medioambiental en los ámbitos de la asistencia sanitaria, la agricultura, la educación y la formación, la administración de infraestructuras, la energía, el transporte y la logística, los servicios públicos, la seguridad, la justicia, la eficiencia de los recursos y la energía, y la mitigación del cambio climático y la adaptación a él, entre otros”(23).
A estas repercusiones positivas de la inteligencia artificial se añaden para el conjunto de la economía de la Unión las típicas ligadas a cualquier producto (pero, en este caso, con las dimensiones realmente mundiales que tiene el mercado informático). Por ello, es necesario construir un mercado interior efectivo y dotado de suficiente seguridad jurídica, además de posibilitar que la industria europea pueda competir con la estadounidense(24) y con la china(25).
Como serio contrapeso de estos evidentes beneficios en el campo socioeconómico, los sistemas de inteligencia artificial pueden plantear efectos negativos de primerísimo orden para la salud, para la seguridad, para los derechos fundamentales y para los valores de la Unión(26). Es verdad que la mayor parte de los productos (por no decir todos) presentan riesgos, pero, como acabamos de indicar hace unos breves instantes, los potencialmente derivados de los sistemas a los que aludimos quizá sean menos fáciles de percibir a primera vista, por lo menos para la mayor parte de la sociedad, y sus efectos pueden alcanzar fácilmente repercusiones planetarias. En otros términos, el mal uso de los sistemas de inteligencia artificial puede provocar una vulnerabilidad inmensa para el conjunto social a nivel global(27). Los riesgos de estos programas informáticos pueden tener, además, un origen bien diverso: su potencial opacidad, su eventual complejidad, sus posibles sesgos, su dependencia de datos más o menos limpios, su grado de imprevisibilidad o el comportamiento variablemente autónomo de ciertos sistemas con respecto a las intervenciones humanas(28). Piénsese, a modo de terrible pesadilla, en que un sistema de inteligencia artificial decidiese disparar autónomamente los misiles de un silo nuclear americano, chino o ruso Creemos que sobra cualquier otro ejemplo.
IV. EL ENFOQUE REGULATORIO EUROPEO: EL SISTEMA DE RIESGOS
1. Introducción a la tipología de potenciales riesgos derivados del uso de los sistemas de inteligencia artificial (29)
Hemos indicado hace unos instantes que la proyectada normativa europea que reseñamos no abarca todos los programas informáticos, sino únicamente los sistemas de inteligencia artificial. Pero es cierto que la intensidad regulatoria no es igual para todos estos productos. Dependerá esta intensidad del potencial riesgo que puedan tener dichos sistemas para la salud, para la seguridad y para los valores y derechos fundamentales en la Unión.
Debe tenerse en cuenta que estamos acostumbrados a la identificación de los riesgos de los productos físicos, pero esta identificación resulta más complicada en el caso de los sistemas de inteligencia artificial, tanto por las características en sí de este tipo de productos como por el hecho de que los sistemas de inteligencia artificial a veces operan de manera aislada o independiente, pero en muchísimas ocasiones se integran dentro de otros productos (físicos)(30).
Efectuada esta apreciación inicial, y de acuerdo con este enfoque de riesgos, la proyectada normativa europea de inteligencia artificial diferencia entre tres categorías de sistemas: en primer lugar, los que representan un riesgo inaceptable; en segundo lugar, aquellos que suponen un alto riesgo; y en tercer lugar, aquellos otros que conllevan un riesgo bajo(31).
Esta tipología, en la que a partir de ahora nos centraremos durante unos instantes, implica una diferencia regulatoria esencial: los sistemas de riesgo inaceptable están absolutamente prohibidos en la Unión; los de riesgo alto están admitidos, pero para ello deben respetar de manera obligada unos requisitos imperativos establecidos directamente por el Reglamento en ciernes (a estos requisitos, a la forma en qué técnicamente pueden cumplirse y a los controles de su respeto se dedica precisamente el grueso del texto normativo); y los de bajo riesgo, que, por supuesto, son admisibles y que escapan a la mayor parte de las obligaciones regulatorias establecidas en la norma europea proyectada.
2. Los sistemas de inteligencia artificial de riesgo inaceptable
Estos sistemas suponen un atentado tan grande para la salud, para la seguridad o para los valores y derechos fundamentales en la Unión que se considera inasumible por la sociedad europea y, por lo tanto, está prohibida su comercialización en el club comunitario.
Esto sucede con cuatro tipos de sistemas: en primer término, los que tienen un elevado potencial de manipulación de personas a través de técnicas subliminares; en segundo término, aquellos que aprovechan las vulnerabilidades de grupos específicos para alterar los comportamientos de las personas, pudiéndoles provocar perjuicios físicos o psicológicos; en tercer término, los que permiten a las autoridades públicas evaluar o clasificar a las personas provocándoles un trato perjudicial o desfavorable tanto a ellas como a los colectivos a los que pertenecen; y, en cuarto término, aquellos que posibilitan la identificación biométrica remota en tiempo real dentro de espacios públicos con la finalidad de aplicar la ley, salvo, en este último caso, que su uso sea necesario para alcanzar alguno de los objetivos de interés general previstos expresamente por la normativa europea(32).
3. Los sistemas de inteligencia artificial de alto riesgo
Estos sistemas pueden provocar riesgos significativos para la salud, para la seguridad o para los valores y derechos fundamentales en la Unión. La intensidad del riesgo se mide en atención tanto a la finalidad prevista para la que se crea el sistema como a las modalidades de uso que éste efectivamente tenga.
Estos sistemas son admisibles en el mercado europeo, pero, como presentan un riesgo elevado, su comercialización está condicionada por dos elementos: en primer lugar, estos productos deben cumplir una serie de requisitos esenciales obligatorios establecidos por el proyectado Reglamento; y, en segundo término, deben superar un examen técnico previo a dicha comercialización que demuestre su conformidad con dichos requisitos, lo que se consigue demostrando que los programas informáticos en cuestión han sido desarrollados siguiendo las exigencias técnicas establecidas, alternativamente, en normas armonizadas (fijadas por los organismos europeos de normalización), en especificaciones comunes (elaboradas por la Comisión) o a través de otras soluciones técnicas equivalentes (generadas muy a menudo por los propios operadores informáticos).
El Reglamento propuesto diferencia dos categorías de sistemas de alto riesgo:
a) En primer lugar, los diseñados para utilizarse como componentes de seguridad de productos físicos, que ya son objeto de regulación por la legislación armonizadora de la Unión y que están sujetos a una evaluación de conformidad por tercera parte ex ante, esto es, antes de ser introducidos en el mercado europeo. Estos sistemas pueden estar integrados dentro del producto físico, pero pueden no estarlo (es decir, pueden ser productos en sí mismos)(33).
2) En segundo lugar, los sistemas independientes o aislados, que están enumerados en el anexo III del proyecto de Reglamento, y que se refieren a los ocho ámbitos siguientes: la identificación biométrica y la categorización de personas físicas; la gestión y el funcionamiento de infraestructuras esenciales; la educación y la formación profesional; el empleo, la gestión de los trabajadores y el acceso al autoempleo; el acceso y el disfrute de servicios públicos y privados esenciales y sus beneficios; los asuntos relacionados con la aplicación de la ley; la gestión de la migración, el asilo y el control fronterizo; y la administración de justicia y los procesos democráticos. Este listado resulta ampliable por parte de la Comisión con otros sistemas de inteligencia artificial que puedan implicar un riesgo para la salud, la seguridad o los valores y derechos fundamentales en la Unión “cuya gravedad y probabilidad sean equivalentes o mayores a las de los riesgos de perjuicio o de repercusiones negativas asociados a los sistemas de inteligencia artificial de alto riesgo que ya se mencionan en el anexo III”(34).
4. Los sistemas de inteligencia artificial de bajo riesgo
Esta categoría está conformada, con carácter residual, por los sistemas que no son inaceptables y que tampoco son de alto riesgo. Estos sistemas escapan, como regla general, a la mayoría de las obligaciones regulatorias establecidas por el proyectado Reglamento, con la excepción de “la obligación de informar a los individuos de que están interactuando con un sistema de inteligencia artificial”(35).
Sentado esto, y aunque es verdad que estos sistemas de inteligencia artificial que no son de alto riesgo “no están obligados a cumplir los requisitos”(36) establecidos de manera obligatoria para los de alto riesgo, sí que se “fomentará” y “facilitará” por parte de la Comisión, del Comité Europeo de Inteligencia Artificial y de los Estados miembros el empleo de códigos de conducta destinados a promover la aplicación, de naturaleza jurídica voluntaria, a los sistemas de bajo riesgo de los requisitos esenciales establecidos de manera obligatoria para los de riesgo alto(37). Además, también se pretende con estos documentos, adicionalmente, la introducción de otros compromisos voluntarios relativos, por ejemplo, “a la sostenibilidad ambiental, la accesibilidad para personas con discapacidad, la participación de partes interesadas en el diseño y desarrollo de los sistemas de inteligencia artificial y la diversidad de los equipos de desarrollo, sobre la base de objetivos claros e indicadores clave de resultados para medir la consecución de dichos objetivos”(38).
El proyecto de Reglamento prevé que estos documentos tengan un origen privado, puesto que “podrán ser elaborados por proveedores individuales de sistemas de inteligencia artificial, por organizaciones que los representen o por ambos, también con la participación de usuarios y de cualquier parte interesada y sus organizaciones representativas”(39).
V. LA TÉCNICA REGULATORIA DE LOS SISTEMAS DE INTELIGENCIA ARTIFICIAL DE ALTO RIESGO
1. Los elementos básicos de la técnica armonizadora del nuevo enfoque (40)
La mayor parte del articulado del proyecto de Reglamento europeo se destina a la regulación de los sistemas de inteligencia artificial de alto riesgo. Esta regulación se efectúa a través de la técnica armonizadora del nuevo enfoque, que se basa en los siguientes elementos básicos:
a) En primer término, la existencia de unos requisitos esenciales obligatorios que debe respetar un producto y que se fijan directamente por el acto legislativo (en este caso, un Reglamento).
b) En segundo término, la regulación de las especificaciones técnicas que facilitan la justificación de la conformidad del producto con dichos requisitos esenciales.
c) En tercer término, la existencia de controles que permiten acreditar que el producto cumple con dichos requisitos obligatorios.
Expresado en otros términos, la técnica regulatoria del nuevo enfoque para los productos físicos en general, y para los sistemas de inteligencia artificial en particular, supone una suerte de colaboración público-privada, en la que juegan un papel prioritario las Instituciones de la Unión, pero también intervienen de manera ciertamente crucial los organismos europeos de normalización.
En efecto, la regulación, en primer lugar, de los requisitos esenciales que deben respetar los productos (en este caso, los software de inteligencia artificial) se realiza por las Instituciones europeas, esto es, por sujetos jurídico-públicos; mientras que, en segundo lugar, la de los detalles técnicos se efectúa por unos sujetos de Derecho privado como son las referidas entidades normalizadoras. Es verdad, en todo caso, que estas especificaciones técnicas pueden establecerse en el caso que ahora estudiamos de los sistemas de inteligencia artificial por la Comisión Europea, de naturaleza evidentemente pública. Aunque esta posibilidad es excepcional dentro de la técnica del nuevo enfoque, no es exclusiva de la inteligencia artificial, sino que ya se emplea desde el año 2017 para la ordenación de los productos sanitarios(41). En la esfera de los controles del cumplimiento de la normativa técnica y, por tanto, de los requisitos esenciales imperativos impuestos por el acto legislativo nuevo enfoque (en nuestro caso por el futuro Reglamento de inteligencia artificial), el peso del control recae, en tercer lugar, en los organismos de evaluación de la conformidad acreditados por las correspondientes entidades nacionales de acreditación. Ambas tareas (acreditación y evaluación de la conformidad) suelen estar desarrolladas por sujetos de naturaleza privada dentro de la Unión y, por supuesto, en España. Pero tengamos presente que existe una supervisión administrativa de estas actividades de acreditación y de evaluación de la conformidad, sin olvidar, por supuesto, que las autoridades públicas también tienen siempre atribuido el control último de los productos que se comercializan en el mercado, a través de las autoridades nacionales de vigilancia del mercado.
Nos vamos a centrar en los párrafos siguientes en explicar de manera genérica cuáles son los requisitos esenciales obligatorios establecidos por el acto legislativo regulador de los sistemas de inteligencia artificial, para seguir a continuación con un esquema general de cuáles son las especificaciones técnicas que pueden utilizarse para cumplimentar dichos requisitos obligatorios. Este referido esquema general será desarrollado en los epígrafes siguientes. Cerraremos este trabajo ofreciendo un panorama introductorio al complejo mundo de los controles técnicos existentes en el ámbito de la inteligencia artificial.
2. Los requisitos esenciales que deben respetar los sistemas de inteligencia artificial de alto riesgo
Los requisitos esenciales obligatorios que los proveedores deben respetar necesariamente para que los sistemas de inteligencia artificial de alto riesgo puedan acceder al mercado europeo tienen por objeto evitar (o, al menos, reducir) los efectos dañinos que estos productos tan particulares podrían tener para la salud, para la seguridad y para los valores y derechos fundamentales en la Unión Europea.
Estos requisitos, que tienen su anclaje originario en las directrices éticas de la Unión en materia de inteligencia artificial de 2019 y que están alineados con los principios internacionales existentes en este ámbito, se refieren a:
a) En primer lugar, los datos y la gobernanza de datos(42): los datos son un elemento esencial para el funcionamiento de los sistemas de inteligencia artificial. Por ello, los datos de entrenamiento, de validación y de prueba de cada sistema deben cumplir los criterios obligatorios establecidos en el propio texto del Reglamento.
b) En segundo lugar, la documentación técnica(43): esta documentación técnica, que se preparará antes de la introducción en el mercado o puesta en servicio, habrá de redactarse de manera que demuestre que el sistema de inteligencia artificial cumple los requisitos obligatorios impuestos por el Reglamento, proporcionando “a las autoridades nacionales competentes y los organismos notificados toda la información que necesiten para evaluar si el sistema de inteligencia artificial de que se trate cumple dichos requisitos”. El proyecto de Reglamento europeo recoge en su anexo IV los elementos mínimos que deben contenerse en la documentación técnica de cada sistema que pretende introducirse en el mercado comunitario.
c) En tercer lugar, los registros(44): los sistemas de inteligencia artificial habrán de diseñarse y de desarrollarse “con capacidades que permitan registrar automáticamente eventos (‘archivos de registro’) mientras están en funcionamiento”, garantizando “un nivel de trazabilidad del funcionamiento del sistema de inteligencia artificial durante su ciclo de vida que resulte adecuado para la finalidad prevista del sistema”. En todo caso, todas estas “capacidades de registro se ajustarán a las normas o las especificaciones comunes reconocidas”.
d) En cuarto lugar, la transparencia y la comunicación de información a los usuarios(45): los sistemas de inteligencia artificial deben operar “con un nivel de transparencia suficiente para que los usuarios interpreten y usen correctamente su información de salida”, debiendo acompañarse los mismos con instrucciones de uso, que “incluirán información concisa, completa, correcta y clara que sea pertinente, accesible y comprensible para los usuarios”.
e) En quinto lugar, la vigilancia humana(46): los sistemas de inteligencia artificial deben poder estar convenientemente supervisados por seres humanos durante todo su ciclo de vida, lo que obliga, entre otras cosas, a “dotarlos de una herramienta de interfaz humano-máquina adecuada”(47).
f) En sexto lugar, la precisión, la solidez y la ciberseguridad(48): los sistemas de inteligencia artificial deben diseñarse y desarrollarse de forma tal “que, en vista de su finalidad prevista, alcancen un nivel adecuado de precisión, solidez y ciberseguridad y funcionen de manera consistente en esos sentidos durante todo su ciclo de vida”.
3. Un esquema de las especificaciones técnicas que posibilitan el cumplimiento de los requisitos esenciales obligatorios impuestos a los sistemas de inteligencia artificial de alto riesgo
Los requisitos esenciales obligatorios de los productos (y, en nuestro caso actual, de la inteligencia artificial de alto riesgo) están regulados directamente por los poderes públicos europeos que tienen el poder de elaborar y de aprobar los actos legislativos nuevo enfoque, que son la Comisión (ya que es ésta quien tiene la iniciativa normativa), el Consejo y el Parlamento Europeo (y es que estas dos últimas Instituciones tienen la potestad compartida de aprobar bien la correspondiente Directiva armonizadora de la regulación del producto o bien, como sucederá con la inteligencia artificial, el pertinente Reglamento).
En el ámbito de la inteligencia artificial, el respeto de estos requisitos obligatorios puede conseguirse a través de tres tipos de soluciones técnicas: en primer término, las normas armonizadas; en segundo término, las especificaciones comunes; y, en tercer término, otras soluciones técnicas “como mínimo equivalentes” a las normas armonizadas o a las especificaciones comunes. Veamos a continuación, siquiera brevemente, los perfiles de estos tres instrumentos, aunque, posteriormente, en los dos siguientes epígrafes nos centraremos en el estudio de manera más detallada tanto de las normas armonizadas como de las especificaciones comunes.
A) Las normas armonizadas (o normas técnicas armonizadas europeas)
Como regla general, los requisitos esenciales en el ámbito del sistema armonizador del nuevo enfoque están desarrollados técnicamente por normas elaboradas por unos sujetos privados, que son los organismos europeos de normalización. Estas normas reciben la denominación de normas armonizadas. Aunque este tipo de normas técnicas las elaboran, como decimos, sujetos privados, la Comisión juega un papel esencial en su proceso de aprobación, porque se elaboran por las entidades normalizadoras previo mandato de esta Alta Institución, y, una vez finalizadas por dichas entidades, debe, además, aceptarlas y, en este último caso, publicar sus referencias en el Diario Oficial de la Unión Europea. Nótese, por el momento, que la publicación oficial no es del texto de la norma aprobada por los organismos de normalización y aceptada por la Comisión, sino únicamente de su código numérico y de su título.
Estas normas armonizadas son jurídicamente voluntarias, si bien, de hecho, se suelen respetar de manera generalizada en la fabricación de los productos físicos, dado que las mercancías elaboradas siguiendo estas normas gozan de un importantísimo efecto jurídico-público, que es la presunción de su conformidad con respecto a los requisitos obligatorios establecidos por el correspondiente acto legislativo nuevo enfoque (bien sea éste una Directiva o bien un Reglamento)(49). Decíamos que, de hecho, normalmente estas normas se transforman en obligatorias porque, gracias a su respeto en el proceso de fabricación de un producto, los fabricantes ven reducidas enormemente las cargas para demostrar el cumplimiento de los requisitos esenciales impuestos por el acto legislativo, y que obligatoriamente habrán de ser respetados por los operadores económicos para comercializar de manera válida un producto en el mercado europeo.
Este efecto jurídico y, sobre todo, la intervención de la Comisión en su procedimiento de generación han llevado al Tribunal de Justicia comunitario a caracterizar las normas técnicas armonizadas como Derecho de la Unión (STJUE de 27 de octubre de 2016, asunto “James Elliott Construction Limited contra Irish Asphalt Limited”, C-613/14(50)).
B) Las especificaciones comunes
No ha sido infrecuente, a lo largo de la historia de la aplicación generalizada en el club europeo de la técnica armonizadora del nuevo enfoque desde la década de los años ochenta del pasado siglo XX, que los requisitos o las exigencias esenciales establecidas por el acto legislativo para un producto no estuviesen desarrollados de manera efectiva por normas armonizadas, bien porque la Comisión no hubiese elaborado los correspondientes mandatos, bien porque los organismos europeos de normalización no los hubiesen aceptado o bien porque el trabajo realizado por estas entidades privadas no hubiese sido “recepcionado” por la Comisión y no hubiese publicado, por tanto, sus referencias en el Diario Oficial europeo.
En estos casos de ausencia de una norma armonizada, cada operador económico fabrica los productos siguiendo sus propias especificaciones técnicas o las normas técnicas elaboradas por organismos de normalización (internacionales, europeos o nacionales) que no gozan de presunción de conformidad, por lo que los procesos para demostrar el respeto por parte del producto de los requisitos obligatorios se complican y se encarecen notablemente. Téngase presente que sólo las normas armonizadas gozan de la presunción de conformidad, y que únicamente son normas armonizadas las elaboradas por los organismos europeos de normalización previo mandato, aceptación y publicación oficial de sus referencias por parte de la Comisión.
Ahora bien, desde hace poquísimos años se ha introducido otra categoría de especificaciones técnicas que permiten que un producto fabricado conforme a ellas goce del efecto jurídico de la presunción de conformidad. Me refiero a las especificaciones comunes. Es verdad que esta categoría de disposiciones se ha aplicado hasta ahora tan sólo a los productos sanitarios y que la Comisión pretende que se empleen también en el mundo de los sistemas de inteligencia artificial. Pero, dada su corta vida hasta ahora y su evidente extensión objetiva limitada (a los productos sanitarios únicamente), no sabemos muy bien cómo operan.
En todo caso, estas especificaciones técnicas son elaboradas por una Institución comunitaria y, más en concreto, por la Comisión, cuando no existen normas armonizadas o cuando esta Institución no las considera suficientes para cumplir uno de los requisitos obligatorios establecidos por el pertinente acto legislativo nuevo enfoque. La particularidad de las especificaciones comunes reside en que, a pesar de ser elaboradas por un sujeto público y siguiendo un procedimiento público, no son imperativas para los fabricantes desde una perspectiva jurídica. Esto es, pueden fabricar sus productos siguiendo estas especificaciones comunes o seguir sus propias especificaciones privadas, sin que esto último constituya un óbice jurídico para introducir sus mercancías en el mercado europeo. La ventaja de elaborar un producto conforme a estas especificaciones comunes reside en que el mismo goza de la presunción de estar elaborado conforme a los requisitos obligatorios establecidos por el acto legislativo nuevo enfoque para la válida comercialización de la mercancía en el mercado europeo. En otras palabras, la fabricación de un producto siguiendo las normas técnicas armonizadas elaboradas por los organismos europeos de normalización o las especificaciones comunes generadas por la Comisión tiene el mismo efecto jurídico-público: la “presunción de conformidad” de que una mercancía producida siguiendo unas u otras respeta los requisitos esenciales obligatorios establecidos por el correspondiente acto legislativo nuevo enfoque.
C) Otras soluciones técnicas
En la órbita del nuevo enfoque, las normas armonizadas generadas por los entes normalizadores europeos no han sido tradicionalmente las únicas soluciones técnicas puestas en manos de los operadores económicos para fabricar sus productos desde un punto de vista jurídico, ya que siempre se les ha ofrecido la posibilidad de utilizar otros medios técnicos alternativos para ello. Esta configuración jurídica ha chocado, no obstante, de facto con los costes burocráticos y económicos que los controles de los productos fabricados mediante el uso de otros mecanismos técnicos han tenido. En otras palabras, aunque las normas armonizadas son de uso jurídicamente voluntario, la práctica demuestra que es el sistema seguido preferentemente por los operadores económicos para elaborar sus productos dadas las ventajas que conlleva, ligadas a la presunción de conformidad.
Esta situación no ha cambiado con la introducción de las especificaciones comunes elaboradas por la Comisión. Tanto éstas como las normas armonizadas son voluntarias jurídicamente, permitiéndose el uso de otras soluciones técnicas “como mínimo equivalentes” a aquéllas. Así lo prevé el proyecto de Reglamento de inteligencia artificial presentado por la Comisión en 2021, precisando que estas soluciones técnicas alternativas pueden “desarrollarse con arreglo a los conocimientos científicos o de ingeniería generales, a discreción del proveedor del sistema de inteligencia artificial de que se trate. Esta flexibilidad reviste una importancia especial, ya que permite a los proveedores de sistemas de inteligencia artificial decidir cómo quieren cumplir los requisitos, teniendo en cuenta el estado de la técnica y los avances tecnológicos y científicos en este campo”(51).
Recuérdese, en todo caso, que cuando se empleen estas soluciones técnicas alternativas a las normas armonizadas o a las especificaciones comunes no existirá presunción de conformidad de los sistemas de inteligencia artificial generados conforme a ellas con los requisitos obligatorios establecidos por el Reglamento, multiplicándose significativamente las dificultades y los costes de esta demostración a cargo de los proveedores de dichos sistemas.
VI. EL PAPEL DE LAS NORMAS TÉCNICAS ARMONIZADAS EN EL ÁMBITO DE LA INTELIGENCIA ARTIFICIAL
1. Introducción a la normalización en el campo de la inteligencia artificial
La normalización es un proceso destinado a la elaboración de especificaciones técnicas que, reflejando en un momento dado el desarrollo de la ciencia y de la tecnología, permiten a los operadores económicos fabricar sus productos(52). Estas especificaciones, que en sus versiones más acabadas reciben el nombre de normas técnicas, son elaboradas por los organismos de normalización, que pueden operar a nivel internacional general, supranacional regional o estatal. En el mundo occidental, estas entidades suelen tener una forma jurídica privada, dado que están integradas preferentemente por representantes de los operadores económicos y de los consumidores, además de por académicos y, cada día más, por organizaciones sociales (de defensa, por ejemplo, de los intereses de los trabajadores o del medio ambiente), sin olvidar también la participación más o menos intensa de las diferentes Administraciones públicas. Las decisiones sobre las normas técnicas se toman, en todo caso, por consenso de los diferentes sujetos.
La normalización se ha utilizado tradicionalmente sobre todo en el mundo de los productos físicos para asegurar su interoperatividad, su seguridad y su calidad. De los productos físicos se ha ido extendiendo progresivamente al mundo de los servicios (aunque aquí su desarrollo resulta todavía limitado) y ahora se persigue su implantación en el ámbito de los software de inteligencia artificial. De forma paralela a esta ampliación del ámbito material de las técnicas normalizadoras, se está haciendo lo propio con sus fines (más allá de la interoperatividad, seguridad industrial y calidad) hasta perseguir objetivos económicos, sociales y políticos de primer orden. Así, por ejemplo, en el ámbito de los sistemas de inteligencia artificial, los procesos de normalización en la Unión, que están dando sus primeros balbuceos, persiguen que la industria europea tenga un papel significativo a nivel mundial o que se respeten los valores y los derechos fundamentales en el viejo continente.
Los organismos de normalización han intentado reflejar en las normas técnicas los desarrollos científicos y tecnológicos en un tiempo razonable, pero esto, que ha sido relativamente fácil para los productos físicos e incluso para los servicios, plantea importantes problemas en el mundo de las tecnologías de la información y de la comunicación (TIC) en general(53) y de los sistemas de la inteligencia artificial en particular, dados los rápidos avances de la ciencia y de la tecnología en estos ámbitos.
En diciembre de 2021 vio la luz un importante estudio sobre las fortalezas y, sobre todo, los desafíos que presenta el sistema europeo de normalización ante la proyectada aprobación del marco comunitario de inteligencia artificial. Este trabajo se denomina Harmonising Artificial Intelligence: The role of standards in the UE AI Regulation(54). Nos parece oportuno destacar ahora algunos de los retos a los que se enfrenta la normalización ante este tipo de tecnologías, que, se subrayaba en dicho estudio, “es tan reciente que los organismos de normalización están ahora comenzando a diseñar sus planes para la actividad normalizadora”(55). De entre estos desafíos, vale la pena destacar en este momento los cinco siguientes:
a) Se señala en este estudio, en primer término, que debe procederse a una mejora de la capacidad (esto es, de los recursos) de los organismos europeos de normalización para enfrentarse a la elaboración de las normas técnicas armonizadas en materia de inteligencia artificial. Y es que existe una discordancia significativa entre las normas armonizadas que se consideran necesarias en el ámbito de la inteligencia artificial cuando se apruebe el futuro Reglamento europeo sobre esta cuestión y los desarrollos de especificaciones técnicas que se han producido de manera efectiva hasta ahora en el viejo continente(56). Esta disfuncionalidad se centra en una amplísima medida en la ausencia de los recursos necesarios para la normalización tanto en lo que afecta a la sempiterna cuestión de su financiación como en lo que se refiere al número de expertos procedentes de la inteligencia artificial que se necesitan emplear en las tareas normalizadoras.
b) El segundo de los grandes desafíos consiste en la necesidad de asegurar una significativa participación en la elaboración de las normas técnicas armonizadas europeas por parte de los entes encargados de proteger los derechos fundamentales y los intereses públicos. Debe tenerse en cuenta a este respecto que uno de los grandes objetivos del futuro Reglamento europeo de inteligencia artificial consiste en establecer una serie de requisitos obligatorios para los sistemas de inteligencia artificial de alto riesgo con el objetivo de minimizar los potenciales efectos adversos frente a la seguridad, a la salud y a los valores y los derechos fundamentales en la Unión, y, por tanto, debe ser también uno de los grandes objetivos de las normas técnicas armonizadas. Pues bien, por este motivo, resulta evidente que las normas armonizadas europeas que sirvan para el desarrollo de los requisitos esenciales obligatorios establecidos en el Reglamento de inteligencia artificial “serán más efectivas si están elaboradas con la colaboración de expertos en salud, en seguridad y en derechos fundamentales”(57). El problema es si realmente los organismos europeos de normalización están preparados, en el momento presente, para proteger la salud, la seguridad y los valores y los derechos fundamentales en la Unión. Parece, ciertamente, que se impone la necesaria participación de sectores (y, por tanto, de expertos) dentro de los organismos de normalización que tradicionalmente no han estado implicados en las tareas normalizadoras.
c) El tercer gran reto se centra en la necesidad de que las normas armonizadas sean “lo suficientemente flexibles para reflejar la rápida evolución de la tecnología y de los productos de inteligencia artificial”. Y es que, en estos momentos, existe “una discordancia entre la velocidad de despliegue de los productos y servicios basados en inteligencia artificial y el desarrollo de las normas técnicas”(58). En este orden de cosas, debería simplificarse y agilizarse el proceso de aceptación y de publicación de las normas armonizadas por parte de la Comisión.
d) El cuarto desafío se basa en la necesidad de fortalecer las relaciones de cooperación entre los organismos europeos e internacionales de normalización. En este ámbito, debe partirse de dos ideas que a veces no son fáciles de compatibilizar: por un lado, las normas armonizadas europeas deben respetar los valores europeos y los derechos fundamentales, según el proyectado Reglamento europeo, algo que no tiene por qué suceder con las normas técnicas internacionales; y, por otro, los europeos estamos interesados en que existan estándares técnicos mundiales, abiertos e interoperables que faciliten el comercio entre la Unión Europea y el resto del planeta. Con este trasfondo, debería evitarse en la medida de lo posible la duplicación de los esfuerzos entre los organismos europeos de normalización y los internacionales generales, de tal forma que se aprovechen dentro de la Unión Europea los estándares internacionales en la medida de lo posible, reduciendo la carga de trabajo de las organizaciones europeas de normalización para concentrar su actividad en aquellos campos donde no existan normas internacionales, además de contribuir a eliminar (o, al menos, reducir) las trabas al comercio internacional. La necesidad de evitar duplicidades entre la normalización europea e internacional no es, ciertamente, nueva. Para ello, se han desarrollado los acuerdos de Viena y de Frankfurt entre, por un lado, los organismos europeos de normalización (CEN y CENELEC) y, por otro, los internacionales (ISO y CEI). Recuerda el estudio Harmonising Artificial Intelligence: The role of standards in the EU AI Regulation (pág. 21) que estos acuerdos dan prioridad a los trabajos normalizadores del conglomerado ISO/CEI frente al conformado por CEN/CENELEC, pero el proyecto de Reglamento europeo de inteligencia artificial “podría cambiar esto en la práctica, poniendo a CEN/CENELEC en el asiento del conductor”(59), de tal forma que este conglomerado europeo dirija la normalización internacional defendiendo los valores y los principios europeos. A este respecto, el estudio señala que, entre los varios factores que podrían contribuir a este resultado, se encuentran, por ejemplo, los fuertes incentivos para los operadores económicos mundiales de producir respetando las normas técnicas armonizadas europeas, puesto que les permitiría reducir los costes de evaluación de la conformidad en la Unión Europea, pudiendo acceder de esta manera más fácilmente al amplio mercado comunitario(60).
e) El quinto reto consiste en la necesidad de proceder al desarrollo de mejores herramientas de control del cumplimiento de los estándares técnicos (en particular, de las normas armonizadas) en cooperación con los expertos en normalización, la industria y los proveedores de productos.
2. La regulación de las normas técnicas armonizadas europeas
A) La distinción entre las normas europeas y las normas armonizadas europeas (61).
Las normas armonizadas están reguladas de manera general en el Reglamento (UE) nº. 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre, sobre la normalización europea. A esta norma, deben añadirse las previsiones que para la normalización de la inteligencia artificial establece su proyecto de Reglamento, si bien es cierto que son realmente mínimas y que no añaden nada a la regulación general de 2012.
Debe dejarse sentado antes de referirnos a las normas armonizadas, que el Reglamento de 2012 no ordena jurídicamente, a pesar de su nombre, toda la normalización europea. Y es que, aunque regula las normas técnicas armonizadas europeas (o normas armonizadas), no hace lo propio con las simples normas técnicas europeas (o normas europeas).
Ambas categorías normativas tienen realmente un sustrato común: en los dos casos se trata de especificaciones técnicas aplicables a los productos (o a los servicios), que son elaboradas por los organismos europeos de normalización y que están destinadas a una aplicación repetitiva o continuada. Es decir, son realmente normas de naturaleza técnica de ámbito continental, que tienen su origen en un sujeto privado, siguiendo un procedimiento privado y que tienen una naturaleza jurídica voluntaria.
Las diferencias entre ambas figuras (esto es, entre las normas técnicas europeas y las normas técnicas armonizadas europeas) radican en los tres elementos siguientes:
a) En primer término, las normas europeas no tienen por objeto complementar ningún acto legislativo armonizador de la Unión (sino que tienen una vida independiente), mientras que las normas armonizadas constituyen un desarrollo indispensable de los actos legislativos nuevo enfoque. Recordemos que estos actos legislativos establecen los requisitos obligatorios esenciales que deben respetar los productos para su válida comercialización dentro del mercado europeo, en tanto que las normas armonizadas fijan las especificaciones técnicas cuyo cumplimiento permite justificar el respeto por dichos productos de tales requisitos obligatorios. De esta forma, la técnica armonizadora del nuevo enfoque se basa en una suerte de colaboración pública y privada en Europa, en la medida en que, por un lado, las Instituciones europeas (sujetos de Derecho público) elaboran los actos legislativos nuevo enfoque que establecen los requisitos esenciales que obligatoriamente deben respetar los productos para poder ser introducidos válidamente en el mercado interior comunitario y, por otro lado, estos actos legislativos son desarrollados técnicamente por los organismos europeos de normalización (sujetos de Derecho privado) mediante la elaboración de normas armonizadas.
b) En segundo término, las normas armonizadas se elaboran por los organismos europeos de normalización a través de procedimientos fijados por ellos mismos, pero en su proceso de elaboración existe una fuerte intervención por parte de las Instituciones comunitarias. Así, las normas armonizadas sirven para desarrollar actos legislativos nuevo enfoque adoptados por el Parlamento Europeo y por el Consejo; son generadas previo mandato de la Comisión (es verdad, en todo caso, que, en el desarrollo del mandato -esto es, para la elaboración de la norma-, se sigue el procedimiento fijado por los organismos de normalización); una vez elaboradas son examinadas por la Comisión y, en su caso, aceptadas por esta Institución; y finalmente sus referencias son publicadas por la Comisión en el Diario Oficial europeo. Toda esta intervención pública es inexistente en el caso de las meras normas técnicas europeas, que se elaboran libremente por los organismos europeos de normalización siguiendo sus procedimientos internos.
c) En tercer término, las normas armonizadas y las normas europeas tienen, como decíamos hace unos instantes, una naturaleza jurídica voluntaria, pero las normas armonizadas están dotadas de unos efectos jurídico-públicos de primer orden, que hacen de ellas, como ya sabemos, verdaderos actos de Derecho comunitario europeos fiscalizables por el Tribunal de Justicia de la Unión. El principal de estos efectos consiste en la presunción de conformidad del producto fabricado siguiendo sus prescripciones técnicas con los requisitos obligatorios establecidos por el acto legislativo nuevo enfoque que lo regula para el conjunto del mercado interior europeo. Téngase en cuenta que las normas armonizadas producen estos efectos jurídico-públicos, esenciales para asegurar la libertad comunitaria de circulación de mercancías, a pesar de ser elaboradas por sujetos privados y de que su contenido completo no está publicado oficialmente, sino tan sólo sus referencias (esto es, su código numérico y su título). Además, este contenido de las normas, que es traducido a los idiomas oficiales de los distintos Estados miembros de la Unión por sus correspondientes organismos nacionales de normalización (transformando así las normas europeas en normas nacionales), está protegido por los derechos de propiedad intelectual pertenecientes a los organismos normalizadores, que las venden para financiarse(62).
Una última consideración con respecto a la voluntariedad jurídica de las normas europeas y de las normas armonizadoras: esta voluntariedad significa que, si los operadores económicos no las siguen, no serán castigados administrativamente con ninguna sanción, pero la realidad práctica demuestra que el mercado a menudo las impone fácticamente, porque los operadores económicos tienden a adquirir únicamente productos fabricados conforme a estas normas y así se acredita mediante la correspondiente certificación(63). A esta imposición del mercado, común en el caso de ambas categorías normativas, se añade en el supuesto de las normas armonizadas su efecto jurídico de la presunción de conformidad que facilita el comercio trasnacional dentro de la Unión y reduce las cargas (administrativas y económicas) que rodean a la demostración de que un producto respeta los requisitos esenciales del acto legislativo nuevo enfoque que lo regula.
B) La intervención de los organismos europeos de normalización y de la Comisión en el procedimiento de elaboración de las normas armonizadas
El texto de las normas armonizadas se redacta por alguno de los tres organismos europeos de normalización en función de la materia de que se trate. Estas tres entidades, que tienen en común que son sujetos privados de naturaleza asociativa constituidas conforme al Derecho belga o al francés, son: 1) El Comité Europeo de Normalización (CEN), cuyas funciones normalizadoras se extienden a todos los ámbitos de la industria y de los servicios (excluyendo la electrotecnología y las telecomunicaciones); 2) El Comité Europeo de Normalización Electrotécnica (CENELEC), cuya actividad se centra en la electrotecnia; y 3) El Instituto Europeo de Normas de Telecomunicaciones (ETSI, por sus siglas su inglés), que está encargado de la elaboración de las normas en el mundo de las telecomunicaciones(64).
Las normas armonizadas sólo se elaboran por una o varias de estas entidades asociativas europeas. Ahora bien, es verdad que en ocasiones los organismos continentales se limitan a convertir en europeas las normas adoptadas por sus homólogos internacionales, que son igualmente tres: la Organización Internacional de Normalización (ISO), la Comisión Electrotécnica Internacional (CEI) y la Unión Internacional de Telecomunicaciones (UIT). Es cierto que las dos primeras entidades, que tienen una naturaleza de organizaciones internacionales no gubernamentales (compuestas por los organismos nacionales de normalización de buena parte de los Estados del planeta), realizan funciones exclusivamente normalizadoras, mientras que la UIT tiene una naturaleza jurídico-pública, puesto que es el organismo especializado de las Naciones Unidas para las tecnologías de la información y la comunicación (TIC), y que, entre la pluralidad de funciones que desarrolla en este ámbito, se encuentra la realización de tareas normalizadoras(65).
En la medida en que los organismos europeos de normalización son sujetos privados, que actúan siguiendo procedimientos privados, sus normas han sido tradicionalmente privadas. Y así sigue siendo con las normas técnicas europeas. No obstante, con el desarrollo de la técnica armonizadora del nuevo enfoque, las Instituciones europeas vienen encargando a las referidas entidades normalizadoras continentales desde hace décadas la elaboración de soluciones técnicas que completen los actos legislativos nuevo enfoque, que reciben la denominación, como bien sabemos, de normas armonizadas.
Esta función jurídico-pública que, en definitiva, cumplen las normas armonizadas ha justificado tradicionalmente, tal y como ya hemos avanzado en el epígrafe anterior, una intervención de la Comisión en su proceso de adopción, prevista singularmente en cada uno de los actos legislativos nuevo enfoque, pero desde el año 2012 existe una regulación general en el Reglamento sobre la normalización europea ordenando dicha intervención(66). Los hitos esenciales de la misma son:
a) La emisión del concreto mandato de normalización por parte de la Comisión que va dirigido a uno o varios organismos europeos de normalización y que, por lo tanto, es previo al inicio del trabajo normativo de estas entidades (que siempre pueden aceptar o rechazar el mismo). En todo caso, sin un previo mandato no existirá una norma armonizada. Las previsiones regulatorias esenciales sobre los mandatos están establecidas por los apartados 1 y 2 del art. 10 del Reglamento de 2012, aunque, ciertamente, la Comisión ha desarrollado profusamente su contenido en su Vademécum de la normalización europea en apoyo de la legislación y las políticas de la Unión Europea(67).
b) El contenido de la norma armonizada lo elaboran los organismos europeos de normalización siguiendo su normativa interna. Es cierto que, durante su proceso de elaboración, estas entidades se coordinan con la Comisión, pero la competencia para elaborar el texto de la norma y para aprobarla es exclusiva de estos organismos. Cuando la norma está aprobada, el correspondiente organismo europeo de normalización debe mandar a la Comisión su texto completo en los idiomas oficiales de trabajo del mismo (inglés, francés y alemán), además de las referencias de dicha norma (que incluyen su código numérico y su título en todas las lenguas oficiales de la Unión).
c) La Comisión debe analizar el contenido de la norma armonizada para verificar si su texto se adecúa a las estipulaciones del acto legislativo nuevo enfoque que desarrolla y al concreto mandato que esta Institución dirigió a los entes normalizadores y que le sirve de base jurídica específica. Esta tarea de “recepción” de la norma armonizada por parte de la Comisión está regulada en el apartado 5 del art. 10 del Reglamento sobre la normalización europea(68).
Aunque no lo dice el precepto indicado, en el proceso de verificación del cumplimiento del mandato por la correspondiente norma armonizada participan primero consultores externos a la Comisión (o Harmonised Standards Consultants -HAS-) y, finalmente, los propios funcionarios de esta Alta Institución(69).
d) En caso de ser aceptada la norma armonizada por la Comisión, las referencias (y sólo las referencias, que no su texto) se publicarán en el Diario Oficial de la Unión Europea. Únicamente con esta publicación oficial limitada la norma armonizada gozará del efecto jurídico-público de la presunción de conformidad. La obligación de proceder a esta publicación oficial, una vez que ha sido recepcionada la norma armonizada por la Comisión, está prevista en el apartado 6 del art. 10 del Reglamento sobre la normalización europea(70).
C) Las previsiones sobre las normas armonizadas en el proyecto de Reglamento de inteligencia artificial elaborado por la Comisión y en el texto transaccional del Consejo
Las regulaciones de las normas técnicas efectuadas, por un lado, por el proyecto de Reglamento de inteligencia artificial elaborado por la Comisión y, por otro, por el texto transaccional del Consejo varían.
a) Las previsiones del texto de la Comisión contenidas en su escueto art. 40 se refieren únicamente al efecto de la presunción de conformidad con los requisitos esenciales obligatorios establecidos en el proyecto de Reglamento para los sistemas de inteligencia artificial de alto riesgo que respeten las normas armonizadas cuyas referencias hayan sido publicadas en el Diario Oficial europeo. Recordemos que este efecto jurídico-público fundamental provoca en los diferentes productos sometidos a la legislación armonizadora del nuevo enfoque dentro de la Unión Europea que, aunque las normas armonizadas sean voluntarias jurídicamente, resulten seguidas amplísimamente por los fabricantes, dado que su cumplimiento reduce las cargas burocráticas y económicas y, en muchas ocasiones, permite tras meros controles de conformidad internos (esto es, realizados por los propios fabricantes) el empleo del marcado CE y, por tanto, el acceso al mercado interior europeo. Veremos en qué medida puede alcanzarse este mismo resultado en el caso de los software de inteligencia artificial.
b) El texto del Consejo también prevé este trascendental efecto de la presunción de conformidad, pero añade algunas precisiones en relación tanto, en primer término, con el contenido de los mandatos que la Comisión debe dirigir a los organismos europeos de normalización encargándoles la elaboración de normas armonizadas de desarrollo de las previsiones del Reglamento en relación con los sistemas de inteligencia artificial de alto riesgo (a los que añade los sistemas de inteligencia artificial de uso general(71)), como, en segundo término, sobre las obligaciones que pesan sobre estas entidades normalizadoras una vez que consideran cumplimentado dicho mandato con la aprobación del contenido de las correspondientes normas armonizadas.
Dispone, en efecto, el texto transaccional del Consejo, en relación con la primera de estas cuestiones, que los mandatos de normalización deben especificar que las normas armonizadas deben ser “coherentes” y “claras”, y perseguir, “en particular”, estos cuatro objetivos: en primer término, la garantía de que los sistemas de inteligencia artificial de alto riesgo sean seguros, respeten los valores de la Unión y garanticen “su autonomía estratégica abierta”; en segundo término, la promoción de “la inversión y la innovación en inteligencia artificial, incluso mediante el incremento de la certidumbre jurídica, así como la competitividad y el crecimiento del mercado de la Unión”; en tercer término, el fomento de la participación (“gobernanza”) de todas las partes interesadas en la normalización (desde, por ejemplo, la industria hasta la sociedad civil, pasando por las pymes y los investigadores); y en cuarto término, el reforzamiento de la cooperación “mundial” en la normalización de la inteligencia artificial, de manera “que sea coherente con los valores e intereses de la Unión”.
En relación, en segundo lugar, con las obligaciones de los organismos de normalización europeos que redacten las normas armonizadas, el Consejo establece en su texto transaccional la carga de que aporten “pruebas de los esfuerzos que dediquen a cumplir los objetivos referidos”.
c) En fin, aunque las previsiones regulatorias de la Comisión sobre las normas armonizadas en el proyecto de Reglamento de inteligencia artificial son realmente breves, no creo que los añadidos propuestos por el Consejo tengan ni gran valor declarativo ni ninguna eficacia práctica. Debe tenerse en cuenta que, como ya hemos visto hace unos instantes, existe un régimen general en el Reglamento sobre la normalización europea de 2012, que, si bien es cierto que no es muy detallado, sí que establece una regulación jurídica reducida del sistema de elaboración y adopción de las normas armonizadas, que es “completada” por otros documentos de la Comisión como el Vademécum al que antes aludimos.
Con esta perspectiva normativa, creemos que se debería proceder a establecer un marco normativo para el conjunto del sistema europeo de normalización, más allá de la mínima regulación que ahora se establece para las normas armonizadas, que, como decíamos, es francamente reducida, por no decir que resulta mínima. En todo caso, no nos vamos a centrar ahora en la primera de estas cuestiones (esto es, en el establecimiento de un verdadero marco regulador general del sistema de normalización europeo), pero sí queremos hacer una precisión sobre la intervención de la Comisión en el proceso de gestación de las normas armonizadas en la que he insistido en otras ocasiones. Y esta precisión es la siguiente: este tipo de normas técnicas de desarrollo de los actos legislativos nuevo enfoque tienen unos importantísimos efectos jurídico-públicos, y, sin embargo, no son objeto de publicación en el Diario Oficial comunitario(72). Tan sólo se publican, en efecto, sus códigos numéricos y sus títulos, pero no su contenido. La justificación para su falta de publicación consiste en que estos textos, que son propiedad de los organismos de normalización, sirven para la financiación de los mismos. No nos parece que el coste de dichos textos sea tan elevado para que no se puedan adquirir por la Comisión, dado que estas normas son fundamentales para el buen funcionamiento de la política armonizadora del nuevo enfoque (esto es, del mercado interior y de la industria europea). Nosotros conocemos en nuestro país técnicas de colaboración mixta público-privada que podrían servir para profundizar en la colaboración entre la Comisión y los organismos de normalización europeos, que, por lo demás, ya existe, articulándose a través de las Directrices Generales para la Cooperación entre CEN, CENELEC y ETSI con la Comisión Europea y la Asociación Europea de Libre Comercio de 28 de marzo de 2003(73).
La generación de normas armonizadas es realmente una tarea pública encargada a sujetos privados(74). Pues bien, la Comisión tendría que compensar financieramente el ejercicio de esas tareas públicas. Esta solución podría contribuir a la mejora del sistema normalizador, dotándolo de los recursos necesarios, que serían esenciales para toda la normalización y, en particular, para la referida a las tecnologías de inteligencia artificial. Esta última tarea normalizadora requiere disponer de recursos económicos y personales suficientes para elaborar normas en cortos períodos temporales. Cosa que ahora, con la duración de los actuales procesos de normalización, parece prácticamente imposible. Téngase en cuenta que, “desde la primera propuesta hasta la publicación final, el desarrollo de una norma técnica lleva usualmente tres años”(75)
d) Con independencia de las previsiones sobre los efectos jurídicos de las normas armonizadas (comunes a los textos de la Comisión y del Consejo) y sobre los mandatos de normalización y la justificación de su cumplimiento (específico del texto del Conejo), ambos documentos prevén que el Comité Europeo de Inteligencia Artificial(76), en su función de asesoramiento y asistencia a la Comisión Europea sobre esta materia, pueda emitir “dictámenes, recomendaciones o contribuciones por escrito” sobre las normas técnicas o las especificaciones comunes ya existentes [art. 58 c)].
3. Los resultados del trabajo de normalización en inteligencia artificial
A pesar de que la normalización nacional, europea e internacional se encuentra muy desarrollada en la mayor parte de la industria destinada a la fabricación de productos físicos, no ha sucedido lo mismo en relación con la inteligencia artificial a pesar de que esta familia de tecnologías ha alcanzado ya un uso considerable. La normalización técnica de la inteligencia artificial todavía “está en su infancia”(77).
Aunque hay variados sujetos capaces de elaborar normas técnicas en el mundo de la inteligencia artificial, los únicos con competencia, desde un punto de vista jurídico, para generar normas armonizadas son los organismos europeos de normalización. En esto no se diferencia en nada la inteligencia artificial de cualquiera de los productos físicos afectados por la técnica armonizadora europea del nuevo enfoque.
En la medida en que no se ha aprobado aún el Reglamento europeo de inteligencia artificial no se han podido dictar propiamente normas armonizadas específicas para su desarrollo, si bien es cierto que tanto el ETSI como el conglomerado CEN/CENELEC ya han empezado a trabajar sobre esta cuestión desde hace meses, como se demuestra con la consulta de sus agendas normalizadoras. El primero de estos entes se está centrando preferentemente en el ámbito de la seguridad, mientras que los segundos están trabajando más en los aspectos de la confianza y de la ética(78). Para el desarrollo de su trabajo normalizador en la materia que nos ocupa, el ETSI creó en 2018 el Industry Specification Group on Securing Artificial Intelligence (ETSI ISG SAI), entre cuyos miembros fundadores estaba Telefónica(79). CEN/CENELEC instauró en 2019, por su parte, el Joint Technical Committee 21 on Artificial Intelligence (JTC 21)(80).
No obstante, el nivel territorial en el que más desarrollada se encuentra en estos momentos la normalización en materia de inteligencia artificial es el internacional general, gracias al trabajo del conglomerado ISO/IEC(81), que cuenta con el Joint Technical Committee 1 (ISO/IEC JTC 1), destacando dentro de él, a nuestros efectos, el Subcomité SC 42 on Artificial Intelligence(82).
Téngase en cuenta que la normalización internacional es esencial para la normalización europea, pues muchas de las normas técnicas europeas del CEN/CENELEC tienen su base en normas internacionales elaboradas por ISO/IEC(83). La incorporación de las normas del ISO y del IEC por sus homólogos organismos europeos de normalización se ha visto facilitada por los acuerdos de Viena y de Frankfurt, que sirven para ordenar las relaciones entre todos estos organismos normalizadores(84). Esta estrecha relación entre la normalización europea y la internacional hace suponer más que fundadamente que pueda ocurrir algo similar en el ámbito de la inteligencia artificial. El problema es que, mientras que en la Unión Europea el proyecto de Reglamento de inteligencia artificial exige que los organismos europeos de normalización elaboren las normas armonizadas respetando los valores europeos y los derechos fundamentales, no tienen por qué hacerlo así las entidades internacionales generales.
A nivel internacional general, además de los organismos internacionales de normalización (ISO y IEC), cuyo trabajo esencial es la elaboración de normas técnicas, existen otras organizaciones bien de naturaleza pública o bien de carácter privado que también pueden generar estándares técnicos como parte accesoria a su función principal. Entre las entidades de este tipo que elaboran especificaciones técnicas en materia de inteligencia artificial pueden indicarse las tres siguientes: en primer término, la ITU-T (International Telecommunications Union–Telecommunication Standardisation Sector -o, en español, Unión Internacional de Telecomunicaciones -Sector de Normalización de las Telecomunicaciones-); en segundo lugar, el IEEE (Institute of Electrical and Electronics Engineers); y en tercer lugar, el consorcio W3C o World Wide Web Consortium.
En fin, desde 2021 la Comisión Europea hace un seguimiento de la labor normalizadora en materia de inteligencia artificial realizada por todos los organismos citados a través de su servicio AI Watch, que se refleja en su informe Artificial Intelligence Standardisation Landscape(85) de ese año, constando este texto de una última versión en 2023(86).
VII. LAS ESPECIFICACIONES COMUNES
A diferencia de las normas armonizadas que ya cuentan con una larga tradición en la Unión, las especificaciones comunes tienen una historia realmente mucho más reciente (aunque, ciertamente, con algún precedente marginal(87)), pues es un instrumento jurídico que sólo ha sido empleado con visos de una cierta generalización desde el año 2017 a través de dos actos legislativos: el Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios; y el Reglamento (UE) 2017/746 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios para diagnóstico in vitro (88).
Esta diferencia temporal hace que hayamos podido estudiar aceptablemente bien el perfil de las normas armonizadas, explicando sus ventajas, y también sus serios problemas jurídicos(89), pero que conozcamos poco, ciertamente, sobre cuáles son los contornos y cómo están llamadas a operar las especificaciones comunes(90).
El proyecto de Reglamento de inteligencia artificial recoge la siguiente definición de especificación común: es, dice el art. 3.28 de este texto, “un documento, distinto de una norma, con soluciones técnicas que proponen una forma de cumplir determinados requisitos y obligaciones establecidos en el presente Reglamento”(91).
Este concepto es, evidentemente, bien poco concreto. No responde, entre otras muchas cuestiones básicas, a quién debe elaborar este tipo de documento técnico, ni cómo debe hacerse, ni cuáles son sus efectos. Las respuestas a todos estos interrogantes deben buscarse en la regulación que de este instrumento efectúa el art. 41 del proyecto de Reglamento presentado por la Comisión y por las variaciones a este precepto propuestas por el texto transaccional del Consejo.
A) Los elementos esenciales de las especificaciones comunes previstos en el art. 41 del proyecto de Reglamento propuesto por la Comisión.
a) La competencia para la elaboración y para la adopción de estos instrumentos corresponde a la Comisión. En efecto, a diferencia de lo que sucede con las normas armonizadas, las especificaciones comunes son documentos técnicos de naturaleza pública en su totalidad, puesto que son generados íntegramente por la Comisión, que es quien tiene la iniciativa, elabora el texto y lo aprueba. Recordemos que las normas armonizadas se generaban por iniciativa (mandato) de la Comisión, pero se elaboraba su contenido por los organismos europeos de normalización, aunque dependía de la aceptación de la Comisión y de la publicación oficial de sus referencias el que estas normas pudiesen gozar del efecto jurídico-público de la presunción de conformidad.
b) ¿En qué casos podrían adoptarse especificaciones comunes? El proyecto de Reglamento de la Comisión confiere una grandísima discrecionalidad a esta misma Institución, pues le permite dictar este tipo de documentos técnicos cuando ella así lo desee. No es requisito necesario que no haya normas armonizadas, puesto que, aunque éstas existan, la Comisión puede recurrir a especificaciones comunes siempre que quiera o, en palabras el art. 41.1 del proyecto de Reglamento, “cuando la Comisión considere que las normas armonizadas pertinentes son insuficientes o que es necesario abordar cuestiones específicas relacionadas con la seguridad o con los derechos fundamentales”.
c) El procedimiento de elaboración es el de examen(92), con la obligación impuesta a la Comisión de recabar “los puntos de vista de los organismos o grupos de expertos pertinentes establecidos de conformidad con el Derecho de la Unión aplicable a nivel sectorial”(93).
d) La forma jurídica que adoptarán las especificaciones comunes será la de acto de ejecución de la Comisión(94).
e) La consecuencia jurídico-pública de que los operadores económicos utilicen las especificaciones comunes es, al igual que sucedía con las normas armonizadas, la presunción de conformidad de que los sistemas de inteligencia artificial elaborados siguiendo sus prescripciones técnicas respetan los requisitos esenciales establecidos por el proyecto de Reglamento, y cuyo cumplimiento, recordemos, es indispensable para poder comercializar estos sistemas en el mercado europeo.
En todo caso, a pesar del carácter jurídico-público ligado a la autoridad competente para la producción de estos documentos técnicos y del procedimiento utilizado para elaborarlos, las especificaciones comunes no son obligatorias desde el punto de vista jurídico, sino que se les confiere “únicamente” el mismo efecto jurídico-público que a las normas armonizadas al que nos acabamos de referir, es decir, su presunción de conformidad. Esto significa que, aunque existan estas especificaciones comunes y/o aunque existan normas armonizadas, los operadores de inteligencia artificial podrán adoptar otras soluciones técnicas alternativas para la elaboración de sus sistemas, debiendo justificar, eso sí, que en su elaboración “han adoptado soluciones técnicas como mínimo equivalentes” a las establecidas en las normas armonizadas y en las especificaciones comunes(95).
f) Por último, y al igual que sucedía con las normas armonizadas, el proyecto de Reglamento atribuye al Comité Europeo de Inteligencia Artificial, en tanto que órgano de asesoramiento y asistencia de la Comisión, la facultad de emitir “dictámenes, recomendaciones o contribuciones por escrito” en relación con las normas armonizadas y especificaciones comunes existentes en materia de inteligencia artificial.
B) Las variantes propuestas por el texto transaccional del Consejo a la regulación de las especificaciones comunes establecida por el proyecto de Reglamento.
Las modificaciones propugnadas por el Consejo a la proyectada regulación de las especificaciones comunes son bien significativas, teniendo como objetivo “limitar la discrecionalidad de la Comisión”(96), al especificar cuándo la Comisión podría elaborar este tipo de documentos técnicos, cómo se desarrollará el procedimiento para su adopción o cuáles serán las relaciones entre las normas armonizadas y las especificaciones comunes. Debe tenerse en cuenta, en todo caso, que la regulación de las especificaciones comunes prevista en el texto transaccional del Consejo no sólo afecta a los sistemas de inteligencia artificial de alto riesgo, sino también a los de uso general.
a) En relación con los supuestos en los que puede dictar la Comisión especificaciones comunes, el Consejo propugna que únicamente podría hacerse cuando, habiéndose solicitado previamente a los organismos europeos de normalización la elaboración de normas armonizadas, el mandado de la Comisión no haya sido aceptado por estas entidades, cuando las normas no se hayan presentado por éstas en el plazo establecido o, finalmente, cuando, habiéndose elaborado efectivamente una norma, ésta no se ajuste a dicho mandato.
b) Con respecto al procedimiento para su adopción, el Consejo prevé que sea el de examen, tal y como propone la Comisión, pero con los siguientes condicionantes: en primer término, esta última Institución, al elaborar las especificaciones debe cumplir con los mismos objetivos que, según el Consejo, deben exigirse a los organismos europeos de normalización en los mandatos formulados por la Comisión para la adopción de las normas armonizadas(97); en segundo término, la Comisión debería recabar los puntos de vista de los organismos o grupos de expertos pertinentes; en tercer término, esta Institución debería efectuar una previa consulta al Comité Europeo de Inteligencia Artificial; y, en cuarto término, debería informar al comité previsto en el art. 22 del Reglamento sobre la normalización de 2012 (compuesto por representantes de los Estados miembros y presidido por un representante de la Comisión) de que se cumplen los requisitos para adoptar una especificación común.
c) En lo que se refiere a las relaciones entre las especificaciones comunes y las normas armonizadas, el Consejo prevé una suerte de primacía de estas últimas sobre aquéllas, al establecer que: “Cuando las referencias de una norma armonizada se publiquen en el DOUE, se derogarán, según proceda”, las especificaciones comunes(98).
d) En fin, el efecto jurídico-público atribuido a las especificaciones comunes por el texto del Consejo es el de la presunción de conformidad. Ahora bien, a diferencia de lo que sucedía con el proyecto de Reglamento de la Comisión (en el que se preveía que, en caso de que los operadores económicos no utilizasen las especificaciones comunes, podrían recurrir válidamente a otras soluciones técnicas “como mínimo equivalentes” a las establecidas en ellas), el texto del Consejo guarda silencio sobre esta cuestión. Ahora bien, no parece que haya dudas de que el hecho de que no se fabrique conforme a normas armonizadas o a especificaciones comunes no impide, desde el punto de vista jurídico, que puedan utilizarse, efectivamente, otras soluciones técnicas, aunque ello suponga de facto mayores cargas burocráticas y económicas para los proveedores a la hora de introducir sus sistemas de inteligencia artificial en el mercado interior europeo.
C) El planteamiento de la Comisión (y, con sus importantes variantes, el del Consejo) sobre las especificaciones comunes presenta indudables ventajas, al menos desde una perspectiva teórica, porque estos documentos permitirían rellenar los vacíos que no completan los organismos de normalización europeos(99), cuando éstos no se encuentren en disposición de adoptar una norma armonizada acorde a las necesidades de la Unión (por ejemplo, cuando no sean capaces de satisfacer las exigencias derivadas de los valores de la Unión o de la protección de los derechos humanos).
Estas ventajas teóricas van acompañadas, sin duda, de eventuales problemas en la redacción del proyecto de Reglamento de inteligencia artificial sobre los que debería reflexionarse. Así, se ha destacado por los expertos, en primer término, que, con la práctica que ya ha habido con las especificaciones comunes en materia de productos sanitarios, se ha puesto de manifiesto que a través de estos documentos técnicos la Comisión “ha intentado imponer requisitos más onerosos que los establecidos por la legislación marco”(100); en segundo término, que podría existir un desajuste entre, por un lado, la voluntad de la Comisión de elaborar especificaciones comunes y, por otro, “su capacidad de acceso a los necesarios conocimientos técnicos (expertise) y a los procesos transparentes para su adopción” en un ámbito tan complejo, como es el de la inteligencia artificial(101); o, en tercer término, hay quienes dudan, dentro de las diferentes partes interesadas en la normalización, sobre la necesidad de que la Comisión recurra a este instrumento, sosteniendo (como, por ejemplo, hace el ETSI) que esta Alta Institución comunitaria “debería participar activamente en los comités de normalización y, por lo tanto, jugar un papel preponderante en la actividad normalizadora, pero no sustituirla”(102).
Desde un punto de vista más estrictamente jurídico, el futuro Reglamento de inteligencia artificial debería regular la publicación oficial de las especificaciones comunes. Y, si no hay especial dificultad para que estos documentos técnicos se publiquen íntegramente, tampoco debería existir para que se publicase en el Diario Oficial comunitario el texto completo de las normas armonizadas. Desde esta misma perspectiva jurídica debería establecerse, cuanto menos, cuál es el valor normativo de las especificaciones comunes, cómo se configura su procedimiento de elaboración (explicándose, en particular, cómo debería garantizarse la participación de los sectores interesados), cuál es el sistema para comprobar que las especificaciones comunes aprobadas por la Comisión sirven para garantizar la salud, la seguridad y los valores y derechos fundamentales en la Unión, y cuáles deben ser las soluciones a los conflictos entre las normas armonizadas y las especificaciones comunes que aborden la misma cuestión.
En fin, en nuestra opinión, la Comisión debe disponer de una cierta discrecionalidad a la hora de elaborar las especificaciones comunes, dado que es, en última instancia, una Institución defensora del interés público comunitario. Ahora bien, esta discrecionalidad debe estar limitada por la obligación de respetar las mismas exigencias en la elaboración de estos documentos técnicos que las establecidas para la generación de las normas armonizadas en el Reglamento sobre la normalización europea de 2012. Y es que sería una temeridad que, en una cuestión tecnológica tan compleja (y que suscita tantos retos, pero también tantas potenciales amenazas), la voluntad unilateral de la Comisión no tuviese convenientemente en cuenta la opinión de los expertos en inteligencia artificial y de los sujetos interesados en la normalización (empezando por la de los propios organismos normalizadores), debiendo esta Institución justificar, por el contrario, de manera suficientemente motivada las claves de su decisión final.
VIII. LOS CONTROLES TÉCNICOS DESTINADOS A ACREDITAR EL CUMPLIMIENTO DE LOS REQUISITOS OBLIGATORIOS POR LOS SISTEMAS DE INTELIGENCIA ARTIFICIAL DE ALTO RIESGO
1. Introducción a los controles técnicos y a su tipología (103)
Las normas (y entre ellas, por supuesto, las normas que rigen la fabricación de los productos) no valen para gran cosa, si no están acompañadas de mecanismos destinados a controlar su cumplimiento por todos aquellos sujetos a los que van dirigidas.
Partiendo de esta idea esencial, los productos sometidos a la legislación del nuevo enfoque están sujetos a dos grandes categorías de controles técnicos según se realicen antes o después de su comercialización. En unos instantes nos centraremos en ofrecer, precisamente, un esquema tanto de los controles ex ante como de los ex post.
Antes de enfrentarnos a ellos, debe tenerse en cuenta, como elemento esencial para su diseño, que, mientras que las normas son únicas y se elaboran de forma centralizada en toda la Unión, estos controles se llevan a cabo de manera absolutamente descentralizada por entidades privadas y autoridades administrativas de cada uno de los Estados miembros.
Piénsese en que en el ámbito del nuevo enfoque los actos legislativos se aprueban, de forma uniforme para toda la Unión por el Parlamento Europeo y por el Consejo, y que las normas armonizadas que los desarrollan técnicamente son elaboradas, a su vez, de esta misma forma centralizada por los organismos europeos de normalización, también para todo el territorio comunitario. Los controles técnicos, sin embargo, los realizan entidades de evaluación de la conformidad designadas dentro de los Estados miembros normalmente por entidades nacionales de acreditación, y las autoridades de vigilancia de mercado son las que considera oportuno cada Estado dentro de su territorio. Es verdad que, para evitar la generación de obstáculos técnicos derivados de una potencial diversidad de controles, la normativa reguladora de éstos es común para toda la Unión, siendo los actos legislativos comunitarios ordenadores de los mismos los relativos a la acreditación, a la evaluación de la conformidad y a la vigilancia del mercado, a los que ya nos hemos referido en la parte inicial de este trabajo(104).
Esta situación relativa a la normativa reguladora de los productos y al aseguramiento de su correcta aplicación no es muy distinta a lo que sucede, como regla general, en los restantes ámbitos de la Unión a los que se aplica el Derecho comunitario europeo. Este Derecho se genera a nivel supranacional, pero su ejecución suele efectuarse, como regla general, por las autoridades de cada Estado miembro y el control jurídico de su aplicación corresponde de manera ordinaria a los jueces nacionales, aunque su control máximo esté atribuido a una Alta Institución europea, como es el Tribunal de Justicia.
2. Los controles técnicos previos a la introducción en el mercado europeo de los sistemas de inteligencia artificial de alto riesgo
A) Unas ideas iniciales sobre los controles técnicos de los productos en el ámbito de la legislación nuevo enfoque.
En el ámbito de la legislación europea del nuevo enfoque resulta bien conocida la técnica de la evaluación de la conformidad de un producto con respecto a las normas que les resultan de aplicación. Esta operación de control técnico puede realizarse por el propio fabricante del producto directamente (autocontrol o autocertificación), aunque lo más frecuente es, ciertamente, la realización de los controles por una tercera parte independiente.
a) La autocertificación faculta al fabricante, tras realizar los oportunos controles internos de la producción, para declarar bajo su propia responsabilidad que su producto respeta las exigencias técnicas impuestas por la legislación comunitaria y atestiguarlo así mediante el correspondiente marcado. Esta autodeclaración genera una presunción iuris tantum de que el producto en cuestión respeta la normativa aplicable, pero esta presunción puede ser destruida, en su caso, por la correspondiente Administración, estando sujetos los fabricantes a la responsabilidad civil, administrativa o penal que pudiera derivarse, además de a la prohibición de comercializar su producto en el mercado interior europeo.
b) Las evaluaciones de conformidad por tercera parte significan que una entidad especializada controla y, en caso de superarse satisfactoriamente el pertinente control, certifica que el producto evaluado se ha fabricado de manera conforme con la normativa que le resulta aplicable. Piénsese que, en la actual realidad europea, los poderes públicos han abandonado casi por completo la realización directa por ellos mismos de los controles técnicos, que han sido encomendados, salvo en sectores concretos (piénsese en el ámbito de los vehículos a motor(105)), a sujetos privados (los organismos de evaluación de la conformidad), previamente acreditados para llevar a cabo esta función tras demostrar su solvencia técnica(106). Para la realización de sus tareas evaluadoras existen, en el club comunitario, diferentes procedimientos, que están recogidos de manera general en la Decisión 2008/768/CE(107), y entre los que, sin ningún ánimo de exhaustividad, se encuentran: el examen CE de tipo, la conformidad con el tipo basada en el aseguramiento de la calidad del proceso de producción, la conformidad con el tipo basada en el aseguramiento de la calidad del producto, la conformidad basada en la verificación por unidad o la conformidad basada en el pleno aseguramiento de la calidad.
B) Las modalidades de control técnico previo aplicables específicamente a los sistemas de inteligencia artificial de alto riesgo.
La regla general en relación con los sistemas de inteligencia artificial de alto riesgo es que, antes de su introducción en el mercado, deben ser sometidos a una evaluación de conformidad(108), que permita comprobar que se cumplen los requisitos esenciales obligatorios establecidos por el Reglamento de inteligencia artificial.
Los modelos posibles de evaluación de conformidad ex ante varían en función de que nos encontremos ante, en primer término, sistemas de inteligencia artificial de alto riesgo incorporados como componentes de seguridad a productos a los que se les aplica la legislación nuevo enfoque; o ante, en segundo término, los sistemas de inteligencia artificial no asociados a productos (esto es, independientes) que están contemplados en el listado del anexo III del proyecto de Reglamento.
a) Los sistemas de inteligencia artificial de alto riesgo asociados (incorporados), como elementos de seguridad, a productos a los que se les aplica la legislación nuevo enfoque(109).
En este caso, se aplicará un sistema de evaluación de la conformidad por tercera parte. Ahora bien, no será uno específico para los sistemas de inteligencia artificial, sino que será el propio del producto físico. En otros términos, se realiza un único control para todo el producto (incluyendo el sistema de inteligencia artificial asociado a él) por la tercera parte que controla el producto acabado según la legislación nuevo enfoque aplicable al mismo. Esta tercera parte garantizará, por tanto, el cumplimiento por el producto tanto de los requisitos obligatorios establecidos por esta legislación sectorial nuevo enfoque como de los impuestos a los sistemas de inteligencia artificial por el proyecto de Reglamento regulador de estos últimos.
El objetivo de que haya un control único para todo el producto consiste en reducir lo máximo posible las cargas burocráticas y económicas que deben soportar los operadores económicos, evitándose las potenciales duplicidades en las supervisiones técnicas(110).
b) Los sistemas de inteligencia artificial de alto riesgo no asociados a productos (sistemas de inteligencia artificial independientes), recogidos en el anexo III del proyecto de Reglamento.
Recordemos que estos sistemas del anexo III del proyecto de Reglamento (o los que puedan añadirse ex art. 7) tienen en común que pueden dañar la salud, la seguridad o los valores y derechos fundamentales en la Unión.
Dentro de los mecanismos de control técnico ex ante, el art. 43 del proyecto de Reglamento distingue dos tipos de supuestos: por un lado, los sistemas de inteligencia artificial de identificación biométrica y de categorización de personas físicas (punto 1 del anexo III); y, por otro lado, los restantes sistemas recogidos en el anexo III (esto es, la gestión y funcionamiento de infraestructuras esenciales -punto 2-; la educación y formación profesional -punto 3-; el empleo, la gestión de los trabajadores y el acceso al autoempleo -punto 4-; el acceso y disfrute de servicios públicos y privados esenciales y sus beneficios -punto 5-; los asuntos relacionados con la aplicación de la ley -punto 6-; la gestión de la migración, el asilo y el control fronterizo -punto 7-; y la administración de justicia y procesos democráticos -punto 8-).
b.1) Los sistemas inteligencia artificial de alto riesgo relativos a la identificación biométrica y a la categorización de personas físicas (recogidos en el punto 1 del anexo III).
En este caso, el art. 43.1 del proyecto de Reglamento distingue entre dos posibilidades: en primer término, que el operador económico (proveedor) haya aplicado normas armonizadas o especificaciones comunes para cumplir con los requisitos esenciales obligatorios establecidos por el proyecto de Reglamento para los sistemas de inteligencia artificial de alto riesgo; y en segundo término, cuando no se hayan aplicado ni normas armonizadas ni especificaciones comunes para la generación de los correspondientes sistemas de inteligencia artificial.
b.1.1) En el caso, en primer término, de que operador económico (proveedor) haya aplicado normas armonizadas o especificaciones comunes, existen dos posibles soluciones alternativas para la evaluación de la conformidad del sistema de inteligencia artificial, que son:
1ª) La evaluación de la conformidad mediante un control interno (regulado en el anexo VI del proyecto de Reglamento). En este supuesto, nos encontramos ante un sistema de autocontrol o de autocertificación realizado por el propio proveedor del sistema de inteligencia artificial.
2ª) El control técnico mediante la evaluación del sistema de gestión de la calidad más la evaluación de la documentación externa con la participación de un organismo notificado, esto es, por tercera parte (anexo VII del proyecto de Reglamento). En este supuesto, nos encontramos ante un sistema de certificación por tercera parte.
b.1.2) En el segundo supuesto, esto es, cuando el proveedor no haya aplicado normas armonizadas o especificaciones comunes (bien porque no existan o no las haya aplicado por propia voluntad), el control técnico a través de la evaluación del sistema de gestión de la calidad más la evaluación de la documentación externa se llevará a cabo por tercera parte(111). Esta tercera parte podrá ser un organismo notificado (para la evaluación de la conformidad), pero, en otros casos (cuando el sistema se ponga en servicio por las autoridades encargadas de aplicación de la ley, las autoridades de inmigración y asilo, y las autoridades e instituciones europeas), será la autoridad de vigilancia de mercado quien actúe como organismo notificado.
b.2) Los sistemas inteligencia artificial de alto riesgo enumerados en los puntos 2 a 8 del anexo III(112) estarán sometidos al procedimiento de evaluación de la conformidad mediante un control interno (anexo VI), que, como ya sabemos, no lo realiza una tercera parte, sino el propio proveedor del sistema directamente(113).
C) El control por tercera parte en el ámbito de la inteligencia artificial realizado por organismos notificados.
a) Los sujetos que realizan los controles: los organismos notificados.
En el ámbito del nuevo enfoque, el control técnico de los productos se efectúa, como regla general, por una tercera parte distinta de los operadores económicos implicados en la fabricación y en la comercialización de la mercancía correspondiente. Esa tercera parte son los organismos de evaluación de la conformidad previamente acreditados por la correspondiente entidad nacional de acreditación y, en caso de que ésta no existiese, por una autoridad nacional.
Este esquema organizativo de la evaluación de la conformidad por tercera parte se reproduce en el ámbito del control técnico de los sistemas de inteligencia artificial de alto riesgo. En efecto, las entidades de evaluación de la conformidad habilitadas para el control técnico en este campo van a recibir el nombre de organismos notificados, que para poder operar van a necesitar ser acreditados por un organismo notificante, y que, como regla general, será un organismo nacional de acreditación de carácter jurídico-privado (aunque, excepcionalmente, también podrá ser una autoridad pública).
En efecto, cada Estado miembro designará un organismo notificante “que será responsable de establecer y llevar a cabo los procedimientos necesarios para la evaluación, designación y notificación de los organismos de evaluación de la conformidad, así como de su seguimiento”(114).
Pues bien, las entidades de evaluación de la conformidad que quieran operar en el ámbito de la inteligencia artificial deberán presentar “una solicitud de notificación ante la autoridad notificante del Estado miembro en el que estén establecidos”(115).
Una vez notificados, los organismos de evaluación de la conformidad serán los competentes para realizar el control técnico por tercera parte siguiendo los procedimientos establecidos al efecto por el art. 43 del proyecto de Reglamento.
Los organismos notificados estarán supervisados de manera ordinaria por los organismos notificantes(116), si bien el control último corresponderá a la Comisión, que podrá investigar “todos los casos en los que existan razones para dudar de que un organismo notificado cumpla los requisitos” establecidos en el Reglamento de inteligencia artificial.
b) La realización de la tarea de la evaluación de la conformidad y sus consecuencias jurídicas.
El contenido de la evaluación de la conformidad por tercera parte está establecido en el anexo VII del proyecto de Reglamento. Aplicando el procedimiento ahí predeterminado, el órgano notificado hará una triple operación de control: en primer término, evaluará el sistema de gestión de la calidad aprobado para el diseño, el desarrollo y la prueba de los sistemas de inteligencia artificial de alto riesgo(117); en segundo término, examinará la documentación técnica del sistema(118); y, en tercer término, vigilará el cumplimiento de las condiciones del sistema de gestión de la calidad aprobado.
Tras la superación del proceso de evaluación de la conformidad por tercera parte, el organismo notificado emitirá el correspondiente certificado(119), y los operadores económicos elaborarán una declaración UE de conformidad(120) y estarán autorizados para la utilización del marcado CE(121).
El marcado CE sirve para acreditar que el sistema de inteligencia artificial de alto riesgo es conforme con su Reglamento regulador, facilitando su libre circulación dentro del mercado interior comunitario, sin que los Estados miembros puedan generar obstáculos a su comercialización(122).
D) Los controles internos de los sistemas de inteligencia artificial de alto riesgo por los propios proveedores.
La Comisión reconoce en su proyecto de Reglamento de inteligencia artificial que la aplicación de los mecanismos de evaluación de la conformidad con respecto a este tipo de productos plantea en este momento un problema práctico de primer orden. Indica al respecto esta Alta Institución que en la actualidad la evaluación de la conformidad por tercera parte está muy desarrollada para el control de la seguridad de los productos físicos, pero que no sucede lo mismo para los software de inteligencia artificial. Este hecho, al que se añade “la diferente naturaleza de los riesgos implicados” en ambos tipos de productos (físicos y programas informáticos), obliga a limitar el alcance de los controles técnicos por tercera parte en el caso de los sistemas de inteligencia artificial independientes (esto es, los contemplados en el anexo III del proyecto de Reglamento), de tal forma que será el proveedor mismo “quien, por norma general(123), debe llevar a cabo la evaluación de la conformidad de dichos sistemas bajo su propia responsabilidad”(124).
A la hora de realizar este control interno, el proveedor, siguiendo las prescripciones del anexo VI del proyecto de Reglamento, verificará: en primer lugar, que el sistema de gestión de la calidad es acorde con lo establecido en el art. 17 del proyecto de Reglamento; en segundo lugar, la información presente en la documentación técnica para evaluar el ajuste del sistema con los requisitos esenciales previstos por el proyecto de Reglamento; y, en tercer lugar, que el proceso de diseño y de desarrollo del correspondiente sistema de inteligencia artificial, así como su seguimiento posterior, es coherente con la documentación técnica(125).
Tras la evaluación de conformidad interna oportuna, y antes de comercializar el producto, el proveedor tiene la obligación de registrar los sistemas de inteligencia artificial de alto riesgo independientes en la base de datos de la UE gestionada por la Comisión(126).
Esta última obligación está destinada a reforzar los controles internos anteriores a la comercialización de los software contemplados en el anexo III, mediante una supervisión ex post que permita minimizar los potenciales riesgos derivados de los mismos.
3. Los controles ex post a la comercialización de los sistemas de inteligencia artificial de alto riesgo
El hecho de que las tecnologías de inteligencia artificial evolucionen de manera muy rápida, de que su regulación sea todavía muy incipiente y de que los conocimientos para realizar ex ante controles técnicos por tercera parte sean todavía muy limitados hace que los controles ex post resulten particularmente importantes en el ámbito que analizamos.
Los controles ex post son realmente de dos tipos: por un lado, la supervisión por parte de los proveedores y de los organismos notificados tras la comercialización; y por otro lado, el control por las autoridades nacionales de vigilancia del mercado.
A) La supervisión por parte de los proveedores y de los organismos notificados.
A este respecto debe distinguirse entre, en primer lugar, los sistemas de inteligencia artificial que forman parte de un producto como componentes de seguridad y, en segundo lugar, los sistemas independientes recogidos en el anexo III.
a) Los sistemas de inteligencia artificial que forman parte de un producto como componentes de seguridad están sujetos a los mismos mecanismos de vigilancia ex post por los organismos de evaluación de la conformidad que los productos de los que forman parte(127).
b) En el supuesto de los sistemas de inteligencia artificial de alto riesgo independientes recogidos en el anexo III, todos los proveedores de estos sistemas están obligados a contar con un mecanismo de seguimiento posterior a la comercialización del mismo, que será “proporcionado” a la naturaleza de la tecnología de inteligencia artificial de que se trate y a los riesgos que entrañe(128).
Las finalidades de estos sistemas de seguimiento establecidos por los proveedores están indicadas por la Comisión en el considerando 78 de su proyecto de Reglamento, y son: en primer término, tener en cuenta la experiencia del uso de dichos sistemas con vistas a mejorar su diseño y desarrollo; en segundo término, facilitar la adopción de “las medidas correctoras necesarias en el momento oportuno”; y, en tercer término, “asegurar que los posibles riesgos derivados de los sistemas de inteligencia artificial que siguen ‘aprendiendo’ tras su introducción en el mercado o puesta en servicio se aborden de un modo más eficiente y oportuno”.
Además de regular el mecanismo de seguimiento posterior a la comercialización de los sistemas de inteligencia artificial de alto riesgo, el proyecto de Reglamento en su art. 62 prevé la obligación, que incumbe a los proveedores, de notificación a las autoridades de vigilancia de mercado de los Estados miembros de incidentes graves y fallos de funcionamiento por parte de dichos sistemas, que constituyan “un incumplimiento de las obligaciones en virtud del Derecho de la Unión destinadas a proteger los derechos fundamentales”.
B) El papel de las autoridades de vigilancia del mercado en el control de los sistemas de inteligencia artificial de alto riesgo.
Todos los productos sujetos a la legislación armonizadora nuevo enfoque comercializados en el mercado interior de la Unión están sometidos al control de las autoridades de vigilancia del mercado de cada uno de los Estados miembros, conforme al Reglamento 2019/1020(129). El proyecto de Reglamento de inteligencia artificial prevé que este tipo de software también lo esté(130).
Este proyecto de norma no impone, sin embargo, a los Estados la creación de ninguna autoridad específica de control para los sistemas de inteligencia artificial comercializados en su territorio, y que sea adicional a las ya existentes de vigilancia del mercado, aunque sí exige que estas autoridades de control deban tener “las competencias y los recursos necesarios para intervenir en caso de que est(os) genere(n) riesgos inesperados, lo que justificaría una rápida actuación”(131).
La función de estas autoridades nacionales de control en cada mercado estatal en relación específicamente con los sistemas de inteligencia artificial consiste en la vigilancia de que los operadores cumplan las obligaciones impuestas por su Reglamento regulador. Con este objetivo, el proyecto de esta norma impone a los Estados miembros la atribución a estas autoridades de diversas potestades administrativas, tales como el acceso a datos y documentación(132), el posible acceso, “en caso necesario”, al código fuente del sistema de inteligencia artificial para evaluar su conformidad con los requisitos esenciales establecidos por su normativa reguladora(133), o la facultad de efectuar una evaluación de un sistema de inteligencia artificial que presente riesgos a nivel nacional(134).
El funcionamiento específico de esta última facultad de control de las autoridades nacionales de vigilancia de mercado podría sintetizarse del modo siguiente:
a) Si el sistema de inteligencia artificial de alto riesgo no cumple los requisitos y obligaciones establecidos en el Reglamento, estas autoridades nacionales podrán, en su caso, exigir al operador económico pertinente que: en primer lugar, adopte todas las medidas correctoras oportunas para asegurar este cumplimiento; en segundo lugar, retire el sistema del mercado; o, en tercer lugar, lo recupere en un plazo razonable.
b) Si no se respetan las medidas correctoras ordenadas al operador económico, “la autoridad de vigilancia del mercado adoptará todas las medidas provisionales adecuadas para prohibir o restringir la comercialización del sistema de inteligencia artificial en su mercado nacional, retirarlo de dicho mercado o recuperarlo. Dicha autoridad informará sin demora a la Comisión y a los demás Estados miembros de estas medidas”(135). La Comisión tendrá la decisión final sobre si la medida nacional está justificada o no lo está.
c) Las autoridades de vigilancia del mercado indicarán si la falta de conformidad del sistema de inteligencia artificial con el Reglamento se debe a: en primer término, el incumplimiento de los requisitos esenciales obligatorios; o, en segundo término, la detección de deficiencias en las normas armonizadas elaboradas por los organismos europeos de normalización o en las especificaciones comunes generadas por la Comisión. Si se verifica esta última causa, entrará en juego el procedimiento relativo a las “objeciones formales sobre las normas armonizadas” previsto en el art. 11 del Reglamento sobre la normalización europea de 2012(136).
Podría darse el caso de que las autoridades de vigilancia del mercado comprobasen que un sistema de inteligencia artificial es plenamente respetuoso con todas las prescripciones impuestas por su Reglamento regulador, pero que, no obstante, presenta riesgos para la salud, la seguridad, los valores europeos, los derechos fundamentales o “para otros aspectos de protección del interés público”. En este supuesto, esta autoridad podrá pedir al operador pertinente que: en primer lugar, adopte las medidas adecuadas para evitar el riesgo; en segundo lugar, su retirada; o, en tercer lugar, su recuperación(137). Las autoridades nacionales informarán a la Comisión y a los demás Estados de las medidas adoptadas. Y, finalmente, la Comisión evaluará las medidas nacionales, indicando si están justificadas o no; y propondrá, en su caso, las medidas adecuadas para solventar la situación.
Una última consideración: los sistemas de inteligencia artificial pueden generar serios riesgos para los derechos fundamentales reconocidos en la Unión. Estas amenazas pueden ser detectadas por las autoridades nacionales de vigilancia del mercado(138) o por las autoridades u organismos estatales encargados de supervisar o hacer respetar dichos derechos fundamentales(139). Pues bien, en caso de ser detectado el riesgo por las autoridades de vigilancia del mercado, estas informarán a las autoridades u organismos nacionales de protección de los derechos fundamentales. Sea a través de esta información de las autoridades de vigilancia del mercado o sea por conocimiento directo de los sujetos encargados de la protección de este tipo de derechos, estos últimos operadores jurídico-públicos “tendrán la facultad de solicitar y acceder a cualquier documentación creada o conservada con arreglo al presente Reglamento cuando el acceso a dicha documentación sea necesario para el ejercicio de las competencias derivadas de sus mandatos, dentro de los límites de su jurisdicción”(140).
En todo caso, y para concluir, ambos tipos de autoridades nacionales (las de vigilancia del mercado y las de protección de los derechos fundamentales) están obligadas a colaborar. Así, por ejemplo, las autoridades de protección de los derechos fundamentales informarán a las de vigilancia del mercado de toda solicitud de información que realicen a los proveedores de sistemas de inteligencia artificial, mientras que estas últimas asistirán a las de protección de los derechos fundamentales cuando éstas soliciten motivadamente a aquéllas la organización de “pruebas del sistema de inteligencia artificial de alto riesgo a través de medios técnicos”(141).
En Cáceres, a 15 de abril de 2023.
NOTAS:
(1). Véanse, por todos, los libros de V. Álvarez García, Industria, Iustel, 2010, págs. 47 y ss., y Las normas técnicas armonizadas (Una peculiar fuente del Derecho europeo), Iustel, 2020, págs. 21 y ss.; además de las pioneras y esenciales obras de M. López Escudero, Los obstáculos técnicos al comercio en la Comunidad Económica Europea, Universidad de Granada, 1991; y de A. Mattera, Le Marché Unique Européen, Ses régles, son fonctionnement, Jupiter, 1988. En el primero de estos trabajos se recoge, asimismo, una amplísima muestra bibliográfica sobre la construcción histórica y sobre el funcionamiento de la libertad europea de circulación de mercancías, para quien desee profundizar más sobre esta cuestión.
Nos parece imprescindible sobre esta materia, además, la consulta de la Comunicación de la Comisión titulada Guía azul sobre la aplicación de la normativa europea relativa a los productos de 2022 (DOUE C 247, págs. 1 y ss.).
(2). Sobre la distinción entre las técnicas de la armonización total y del nuevo enfoque, puede consultarse, por todos, V. Álvarez García, Industria, 2010, págs. 57 y ss.
(3). Una aproximación a los riesgos de la inteligencia artificial la encontramos en L. Cotino Hueso, "Riesgos e impactos del Big Data, la inteligencia artificial y la robótica: enfoques, modelos y principios de la respuesta del Derecho", Revista General de Derecho Administrativo, nº. 50, 2019.
(4). Para comprender las transformaciones radicales a las que parece que nos enfrentamos con el imparable desarrollo digital es sencillamente tan excelente como esclarecedor el libro de M. Fuertes, Metamorfosis del Estado (Maremoto digital y ciberseguridad), Marcial Pons, 2022.
(5). Este número monográfico de El Cronista, que es realmente extraordinario, recoge trabajos, con prólogo de S. Muñoz Machado, de: M. Barrio Andrés (“Inteligencia Artificial: origen, concepto, mito y realidad”), M. Carlón Ruiz (“Las redes de telecomunicaciones como sistema nervioso de la inteligencia artificial: la necesaria garantía de la conectividad digital”), M.Á. Presno Linera (“Derechos fundamentales e inteligencia artificial en el Estado social, democrático y digital de Derecho”), J. Ponce Solé (“Reserva de humanidad y supervisión humana de la inteligencia artificial”), L. Cotino Hueso (“Sistemas de inteligencia artificial con reconocimiento facial y datos biométricos. Mejor regular bien que prohibir mal”), A. Huergo Lora (“Gobernar con algoritmos, gobernar los algoritmos”) y A. Boix Palop (“Transparencia en la utilización de inteligencia artificial por parte de la Administración”).
Además de los trabajos de estos iuspublicistas, pueden encontrarse desde las perspectivas propias de otras ramas del Derecho los artículos de: M. Echebarría Sáenz (“Retos de la inteligencia artificial en el Derecho”), S. Barona Vilar (“La seductora algoritmización de la justicia. Hacia una justicia poshumanista (Justicia+) ¿utópica o distópica?”), S. Navas Navarro (“Responsabilidad civil e inteligencia artificial”), M.L. Muñoz Paredes (“Big Data, IA y seguro: riesgos de inasegurabilidad y discriminación entre asegurados”), M. Artigot Golobardes (“Mercados digitales, inteligencia artificial y consumidores”), J.R. Mercader Ugina (“En busca del empleador invisible: algoritmos e inteligencia artificial en el derecho digital del trabajo”), A.B. Muñoz Ruiz (“¿Podría ser la seguridad en el trabajo un pretexto para controlar al trabajador?”), A. Todolí Signes (“La inteligencia artificial no te robará tu trabajo, sino tu salario. Retos del Derecho del Trabajo frente a la dirección algorítmica del trabajo”), L. Martínez Garay y A. García Ortiz (“Paradojas de los algoritmos predictivos utilizados en el sistema de justicia penal”) y F. Miró Llinares (“Inteligencia artificial, delito y control penal: nuevas reflexiones y algunas predicciones sobre su impacto en el derecho y la justicia penal”).
(6). Entre los textos más recientes destacamos la Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital (2023/C 23/01) del Parlamento Europeo, el Consejo y la Comisión adoptada el 23 de enero de 2023, así como la Resolución del Parlamento Europeo, de 3 de mayo de 2022, sobre la inteligencia artificial en la era digital [2020/2266(INI)]. Ambos documentos reflejan el firme compromiso de la Unión Europea de contar con una inteligencia artificial fiable y centrada en el ser humano.
(7). El procedimiento legislativo ordinario está regulado en el art. 294 TFUE. Para una introducción a este precepto desde un punto de vista doctrinal, puede consultarse V. Álvarez García y F. Arias Aparicio, Lecciones de Derecho Público Autonómico, Estatal y Europeo, Tecnos, 2018, págs. 274 y ss.
(8). Véase, sobre esta cuestión, V. Álvarez García, Las normas técnicas armonizadas (Una peculiar fuente del Derecho europeo), Iustel, 2020, págs. 27 y ss.
(9). Reglamento (CE) nº. 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen los requisitos de acreditación.
(10). Decisión nº. 768/2008/CE del Parlamento Europeo y del Consejo, de 9 de julio de 2008, sobre un marco común para la comercialización de los productos y por la que se deroga la Decisión 93/465/CEE del Consejo.
(11). Reglamento (UE) nº. 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre la normalización europea, por el que se modifican las Directivas 89/686/CEE y 93/15/CEE del Consejo y las Directivas 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE y 2009/105/CE del Parlamento Europeo y del Consejo y por el que se deroga la Decisión 87/95/CEE del Consejo y la Decisión nº. 1673/2006/CE del Parlamento Europeo y del Consejo.
(12). Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativo a la vigilancia del mercado y la conformidad de los productos y por el que se modifican la Directiva 2004/42/CE y los Reglamentos (CE) nº. 765/2008 y (UE) nº. 305/2011.
(13). Sobre este precepto, puede verse V. Álvarez García, Las normas técnicas armonizadas (Una peculiar fuente del Derecho europeo), Iustel, 2020, págs. 55 y ss.
(14). La normativa existente en nuestro país en materia de inteligencia artificial es, en estos momentos, realmente mínima.
A nivel estatal, puede mencionarse el art. 23 de la Ley 15/2022, de 12 de julio, integral para la igualdad de trato y la no discriminación, que tiene como rúbrica “Inteligencia Artificial y mecanismos de toma de decisión automatizados”.
En la esfera autonómica, se ha aprobado recientemente el Decreto-ley 2/2023, de 8 de marzo, de medidas urgentes de impulso a la inteligencia artificial en Extremadura. Esta norma gubernamental de alcance regional se incardina en la actividad de fomento, sin que contenga, realmente, ninguna regulación sustantiva de la inteligencia artificial, por lo que su “extraordinaria y urgente necesidad” es más que dudosa. Vale la pena recoger ahora, para que juzgue el lector, algunas de las frases que su Exposición de Motivos (apartado IV) utiliza para justificar la presencia de este presupuesto habilitante esencial: “Dado que la nueva tecnología requiere constantes actualizaciones, no hay tiempo para dominar nada. El ser humano es un ‘eterno principiante’”; “No se puede esperar. El sistema legislativo ordinario discurre de forma lineal mientras que los sistemas de inteligencia IA cambian exponencialmente”; “Dado el momento en que nos encontramos, cercano a la disolución de la Asamblea de Extremadura como consecuencia de la convocatoria de elecciones autonómicas a celebrar el 28 de mayo de 2023, no sería posible cumplir esos plazos a través del procedimiento legislativo ordinario”. Es curioso, a la luz de estas palabras, comprobar que, aunque había circulado un proyecto de Reglamento europeo de inteligencia artificial formulado por la Comisión desde abril de 2021, el Gobierno extremeño (apoyado por una mayoría absoluta en el Parlamento regional) haya caído en la cuenta, justo antes de las elecciones autonómicas de mayo de 2023 (esto es, casi dos años más tarde), de que había que aprobar una norma de “urgencia” con rango de ley que llevase en su título la expresión “inteligencia artificial”.
(15). Parece que China tiene en este momento la regulación más avanzada de la inteligencia artificial. Así, el 10 de enero del presente año entró en vigor el texto normativo denominado “Provisions for Administration of Deep Synthesis in Connection with Internet Information Services”, que limita el uso de los deepfakes.
(16). Sobre la diferenciación entre sistemas algorítmicos, véanse, por todos, A. Huergo Lora y G.M. Díaz González, La regulación de los algoritmos, Aranzadi, 2020, págs. 63 y ss.; y A. Soriano Arnanz, "Decisiones automatizadas: problemas y soluciones jurídicas. Más allá de la protección de datos", Revista de Derecho Público: Teoría y Método, nº. 3, 2021, págs. 85 y ss.
(17). Art. 3.1 del proyecto de Reglamento de inteligencia artificial.
(18). Considerando 6 del texto transaccional del Consejo sobre el proyecto de Reglamento de inteligencia artificial.
(19). El desarrollo de la inteligencia artificial en los últimos años ha sido impresionante. Un ejemplo de este avance podemos verlo en la aplicación ChatGPT, máxima representante en la fecha actual de lo que conocemos como “inteligencia artificial generativa”. Las brechas de privacidad provocadas por su aplicación han llevado al Garante Italiano para la Protección de Datos Personales a la limitación temporal de su uso en base al artículo 58.2, letra f), del Reglamento General de Protección de Datos europeo (RGPD). Asimismo, en España, la Agencia Española de Protección de Datos (AEPD) ha iniciado actuaciones previas con la intención de investigar posibles incumplimientos de la normativa de protección de datos por parte de OpenAI, propietaria de ChatGPT. Para más información, vid. ENLACE.
(20). Pág. 14 de la Exposición de Motivos del proyecto de Reglamento de inteligencia artificial.
(21). Sobre la funcionalidad y la naturaleza jurídica de los algoritmos, véanse, por todos, A. Huergo Lora y G.M. Díaz González, La regulación de los algoritmos, Aranzadi, 2020, págs. 39 y ss.; y A. Boix Palop, "Los algoritmos son reglamentos: la necesidad de extender las garantías propias de las normas reglamentarias a los programas empleados por la Administración para la adopción de decisiones", Revista de Derecho Público: Teoría y Método, nº. 1, 2020, págs. 223 y ss.
(22). Resolución del Parlamento Europeo, de 3 de mayo de 2022, sobre la inteligencia artificial en la era digital [2020/2266(INI)], punto 1.
(23). Considerando 3 del proyecto de Reglamento de inteligencia artificial.
(24). En octubre de 2022 la Oficina de Política Científica y Tecnológica de la Casa Blanca publicó el “Blueprint for an AI Bill of Rights”, que es un texto que recoge una declaración de derechos cuya finalidad es proteger a los estadounidenses frente a las decisiones automatizadas. Dicho documento no es vinculante, pero sienta las bases de una futura regulación. El texto puede leerse en ENLACE.
(25). Son bien interesantes, en este sentido, las siguientes palabras del Parlamento Europeo: “Señala que Europa, que durante siglos fijó las normas internacionales, dominó el progreso tecnológico y lideró la fabricación y el despliegue de alta tecnología, se ha quedado rezagada y desarrolla e invierte en el mercado digital mucho menos que economías punteras como las de los Estados Unidos o de China, si bien sigue manteniéndose en un nivel relativamente competitivo en términos de producción investigadora temática en inteligencia artificial; reconoce el riesgo de que los agentes europeos se vean marginados en el desarrollo de normas mundiales y los avances tecnológicos, y de que los valores europeos se vean amenazados” [Punto 3 de la Resolución del Parlamento Europeo, de 3 de mayo de 2022, sobre la inteligencia artificial en la era digital (2020/2266(INI)].
(26). Uno de los grandes riesgos que, sin duda, plantea la inteligencia artificial se refiere a sus efectos sobre los derechos fundamentales. En relación con esta cuestión, resulta indispensable el libro de M.Á. Presno Linera, Derechos fundamentales e inteligencia artificial, Marcial Pons, 2022.
(27). Por este motivo, las directrices éticas han cobrado un papel importante en los textos internacionales. La inteligencia artificial debe poner en el centro al ser humano y respetar su individualidad. En este sentido, el Grupo independiente de expertos de alto nivel sobre inteligencia artificial creado por la Comisión Europea reconoció cuatro principios éticos básicos en el contexto de los sistemas de inteligencia artificial: respeto de la autonomía humana, prevención del daño, equidad y explicabilidad. Para una lectura completa, véase Comisión Europea, Dirección General de Redes de Comunicación, Contenido y Tecnologías, Directrices éticas para una inteligencia artificial fiable, Oficina de Publicaciones, 2019, ENLACE.
(28). En relación con los importantes retos (riesgos y antídotos) que plantea la aplicación de los sistemas de inteligencia artificial a la actividad policial, resulta muy interesante el artículo de R. Rivero Ortega, “Algoritmos, inteligencia artificial y policía predictiva del Estado vigilante”, Revista General de Derecho Administrativo, nº. 62, 2023.
(29). Sobre el tratamiento de las situaciones de riesgo tecnológico y científico por parte del Derecho, son imprescindibles los trabajos de J. Esteve Pardo. Por citar ahora algunos de ellos, indicaremos dos de sus libros: Técnica, riesgo y Derecho (Tratamiento del riesgo tecnológico en el Derecho ambiental), Ariel Derecho, 1999, y El desconcierto del Leviatán (Política y Derecho ante las incertidumbres de la Ciencia), Marcial Pons, 2009.
(30). M. McFadden, K. Jones, E. Taylor y G. Osborn (Oxford Commission on AI&Good Governance), Harmonising Artificial Intelligence: The role of standards in the EU AI Regulation, December 2021, pág. 19.
(31). Para un estudio sobre la categorización de los riesgos en el ámbito de la inteligencia artificial, véase M. Barrio Andrés, Introducción al Derecho de las Nuevas Tecnologías, Wolters Kluwer, 2021, págs. 186 y ss.
(32). Art. 5 del proyecto de Reglamento de inteligencia artificial.
(33). Nos parece interesante señalar la importancia que tiene en este ámbito la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a las máquinas y sus partes y accesorios formulada por la Comisión el 21 de abril de 2021. El proyecto nace con la finalidad de corregir las deficiencias de la Directiva de máquinas y dar una respuesta adecuada a los riesgos originados por las tecnologías emergentes. En su articulado está muy presente el futuro Reglamento de inteligencia artificial, algo coherente teniendo en cuenta la infinidad de productos físicos que en la actualidad ya integran esta tecnología.
(34). Arts. 7 y 84 del proyecto de Reglamento de inteligencia artificial.
(35). M. McFadden, K. Jones, E. Taylor y G. Osborn (Oxford Commission on AI&Good Governance), Harmonising Artificial Intelligence: The role of standards in the EU AI Regulation, December 2021, pág. 7.
(36). Considerando 82 del proyecto de Reglamento de inteligencia artificial.
(37). Art. 69 del proyecto de Reglamento de inteligencia artificial.
(38). Art. 69.2 del proyecto de Reglamento de inteligencia artificial.
(39). Art. 69.3 del proyecto de Reglamento de inteligencia artificial.
(40). Véanse, por todos, los libros de V. Álvarez García, Industria, Iustel, 2010, págs. 57 y ss.; y Las normas técnicas armonizadas (Una peculiar fuente del Derecho europeo), Iustel, 2020, págs. 55 y ss.
(41). Art. 9 del Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios, por el que se modifican la Directiva 2001/83/CE, el Reglamento (CE) nº. 178/2002 y el Reglamento (CE) nº. 1223/2009 y por el que se derogan las Directivas 90/385/CEE y 93/42/CEE del Consejo; y art. 9 del Reglamento (UE) 2017/746 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios para diagnóstico in vitro y por el que se derogan la Directiva 98/79/CE y la Decisión 2010/227/UE de la Comisión.
(42). Art. 10 del proyecto de Reglamento de inteligencia artificial.
(43). Art. 11 del proyecto de Reglamento de inteligencia artificial.
(44). Art. 12 del proyecto de Reglamento de inteligencia artificial.
(45). Art. 13 del proyecto de Reglamento de inteligencia artificial.
(46). Art. 14 del proyecto de Reglamento de inteligencia artificial.
(47). Para una aproximación a los principios de supervisión humana y reserva de humanidad, véase J. Ponce Solé, "Inteligencia artificial, Derecho administrativo y reserva de humanidad: algoritmos y procedimiento administrativo debido tecnológico", Revista General de Derecho Administrativo, nº. 50, 2019.
(48). Art. 15 del proyecto de Reglamento de inteligencia artificial.
(49). Sobre este efecto jurídico-público de la presunción de conformidad, puede consultarse V. Álvarez García, Las normas técnicas armonizadas (Una peculiar fuente del Derecho europeo), Iustel, 2020, págs. 160 y ss.
(50). Un amplio estudio sobre esta Sentencia puede verse en V. Álvarez García, “La confirmación por parte de la jurisprudencia del Tribunal de Justicia de la Unión Europea de la capacidad normativa de los sujetos privados y sus lagunas jurídicas (el asunto ‘James Elliott Construction Limited contra Irish Asphalt Limited’)”, Revista General de Derecho Administrativo, nº. 46, 2017.
(51). Exposición de Motivos del proyecto de Reglamento de inteligencia artificial, pág. 16.
(52). Sobre el fenómeno de la normalización pueden verse los trabajos siguientes: V. Álvarez García, La normalización industrial, Tirant lo Blanch, 1999, V. Álvarez García, Industria, Iustel, 2010; V. Álvarez García, Las normas técnicas armonizadas (Una peculiar fuente del Derecho europeo), Iustel, 2020; H. Aubry, A. Brunet y F. Peraldi Leneuf, La normalisation en France et dans l’Union Européenne, Presses Universitaires d’Aix-Marseille, 2012; R. Bismuth, La standardisation internationale privée (Aspects juridiques), Larcier, 2014; M. Cantero y M.W. Micklitz (Eds.), The Role of the EU in Transnational Legal Ordering: Standards, Contracts and Codes, Edward Elgar Publishing, 2020; J.A. Carrillo Donaire, El derecho de la seguridad y de la calidad industrial, Marcial Pons, 2000; J.L. Contreras, The Cambridge Handbook of Technical Standardization Law. Volume 2: Further Intersections of Public and Private Law, Cambridge University Press, 2019; P. Delimatsis, The Law, Economics and Politics of International Standardisation, Cambridge University Press, 2015; J. Esteve Pardo, Técnica, Riesgo y Derecho, Ariel Derecho, 1999; J. Falke, Rechtliche Aspekte der Normung in den EG-Mitgliedstaaten und der EFTA, Band 3: Deutschland, European Communities, 2000; G. Fernández Farreres, “Industria”, en S. Martín-Retortillo Baquer (Dir.), Derecho Administrativo Económico, T. II, La Ley, 1991; F. Gambelli, Aspects juridiques de la normalisation et de la réglementation technique européenne, Eyrolles/Féderation des industries mécaniques, 1994; M. Izquierdo Carrasco, La seguridad de los productos industriales, Marcial Pons, 2000; E. Malaret García, “Una aproximación jurídica al sistema español de normalización de productos industriales”, Revista de Administración Pública, nº. 116, 1988; R. Rodrigo Vallejo, R. (2021) “The Private Administrative Law Technical Standardization”, Yearbook of European Law, nº. 40, 2021; H. Schepel, y J. Falke, Legal aspects of standardisation in the Member States of the EC and EFTA, Vol. 1: Comparative report, European Communities, 2000; H. Schepel, y J. Falke (Ed.), Legal aspects of standardisation in the Member States of the EC and EFTA, Vol. 2: Country reports, European Communities, 2000; H. Schepel, The Constitution of Private Governance. Products Standards in the Regulation of Integrating Markets, Hart Publishing, Oxford, 2005; y M. Tarrés Vives, Normas técnicas y ordenamiento jurídico, Tirant lo Blanch, 2003.
(53). Es verdad, no obstante, que ya desde hace años las Instituciones europeas han elaborado documentos de softlaw propugnando la necesidad de desarrollar la normalización en el ámbito de las TIC. Sirvan de ejemplo el Libro Blanco de la Comisión titulado Modernizar la normalización de las TIC en la UE-El camino a seguir de 2009 [COM(2009) 324final] y la Comunicación, también de la Comisión, rubricada Prioridades de normalización en el sector de las TIC para el mercado único digital de 2016 [COM(2016) 176final].
(54). M. McFadden, K. Jones, E. Taylor y G. Osborn (Oxford Commission on AI&Good Governance), Harmonising Artificial Intelligence: The role of standards in the EU AI Regulation, December 2021. Véanse, en particular, sus págs. 4 y 5.
Son numerosos, además, los trabajos y documentos de naturaleza tanto pública como privada que en los últimos años se han ido elaborando para generar ideas sobre cómo adaptar el sistema europeo de normalización a los nuevos retos que plantean las tecnologías de la información y de la comunicación (TIC) en general, y los sistemas de inteligencia artificial en particular. Por mencionar algunos, pueden señalarse: en primer término, el Plan de Estandarización de las TIC desde el año 2019 -su última versión es de 2023- (Su título en inglés es Rolling Plan for ITC Standardisation); en segundo término, el Bildt report on EU Standardisation (2019); en tercer término, la Note from 17 member States to Council on Competitiveness (2021); o en cuarto término, la consulta pública realizada por la Comisión sobre una nueva estrategia de normalización europea (El título de esta nueva estrategia en inglés es Roadmap for a new European Standardisation Strategy -junio de 2021-).
(55). M. McFadden, K. Jones, E. Taylor y G. Osborn (Oxford Commission on AI&Good Governance), Harmonising Artificial Intelligence: The role of standards in the EU AI Regulation, December 2021, pág. 4.
(56). M. McFadden, K. Jones, E. Taylor y G. Osborn (Oxford Commission on AI&Good Governance), Harmonising Artificial Intelligence: The role of standards in the EU AI Regulation, December 2021, pág. 18.
(57). M. McFadden, K. Jones, E. Taylor y G. Osborn (Oxford Commission on AI&Good Governance), Harmonising Artificial Intelligence: The role of standards in the EU AI Regulation, December 2021, pág. 19.
(58). M. McFadden, K. Jones, E. Taylor y G. Osborn (Oxford Commission on AI&Good Governance), Harmonising Artificial Intelligence: The role of standards in the EU AI Regulation, December 2021, pág. 18.
(59). M. McFadden, K. Jones, E. Taylor y G. Osborn (Oxford Commission on AI&Good Governance), Harmonising Artificial Intelligence: The role of standards in the EU AI Regulation, December 2021, pág. 21.
(60). M. McFadden, K. Jones, E. Taylor y G. Osborn (Oxford Commission on AI&Good Governance), Harmonising Artificial Intelligence: The role of standards in the EU AI Regulation, December 2021, pág. 21.
(61). Sobre esta distinción, véanse, por todos, los trabajos de V. Álvarez García, “El lugar de las normas técnicas y de las normas técnicas armonizadas en el ordenamiento jurídico europeo”, en F.J. Jiménez de Cisneros Cid (Dir.), Homenaje al Profesor Ángel Menéndez Rexach, Aranzadi, 2018, págs. 99 y ss.; y Las normas técnicas armonizadas (Una peculiar fuente del Derecho europeo), Iustel, 2020, págs. 71 y ss.
(62). Sobre esta cuestión, puede profundizarse en V. Álvarez García, Las normas técnicas armonizadas (Una peculiar fuente del Derecho europeo), Iustel, 2020, págs. 146 y ss.
(63). Con respecto a la cuestión de la obligatoriedad fáctica tanto de las normas técnicas como de las certificaciones voluntarias, véanse V. Álvarez García, “El proceso de privatización de la calidad y de la seguridad industrial y sus implicaciones desde el punto de vista de la competencia empresarial”, Revista de Administración Pública, nº. 159, 2002, págs. 344 y ss.; y S. Muñoz Machado, Tratado de Derecho Administrativo y Derecho Público General, T. XIV: La actividad regulatoria de la Administración, BOE, 4ª ed., 2015, págs. 80 y ss.
(64). V. Álvarez García, La normalización industrial, Tirant lo Blanch, 1999, págs. 367 y ss.
(65). V. Álvarez García, La normalización industrial, Tirant lo Blanch, 1999, págs. 423 y ss.
(66). Sobre la intervención de la Comisión en el proceso de elaboración de las normas armonizadas, véase V. Álvarez García, Las normas técnicas armonizadas (Una peculiar fuente del Derecho europeo), Iustel, 2020, págs. 103 y ss.
(67). Estos apartados 1 y 2 del Reglamento sobre la normalización europea disponen:
“1. Dentro de los límites de las competencias que establece el TFUE, la Comisión podrá pedir a una o varias organizaciones europeas de normalización que elaboren una norma europea o un documento europeo de normalización en un plazo determinado. Las normas europeas y los documentos europeos de normalización deberán basarse en el mercado, tomar en consideración el interés público, así como los objetivos de política claramente expuestos en la petición de la Comisión, y ser fruto del consenso. La Comisión fijará los requisitos respecto del contenido que deberá cumplir el documento solicitado y un plazo para su adopción.
2. Las decisiones a que se refiere el apartado 1 se adoptarán con arreglo al procedimiento establecido en el artículo 22, apartado 3, tras consultar a las organizaciones europeas de normalización y las organizaciones de partes interesadas europeas que reciban financiación de la Unión de conformidad con el presente Reglamento, así como al comité establecido por la correspondiente legislación de la Unión, si existe tal comité, o a través de otros medios de consulta de expertos sectoriales”.
El procedimiento al que se refiere el art. 10.2 del Reglamento sobre la normalización europea de 2012 es el procedimiento de examen, que está regulado en el Reglamento (UE) nº. 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión.
(68). Este precepto dispone que: “Las organizaciones europeas de normalización informarán a la Comisión sobre las actividades emprendidas para la elaboración de los documentos contemplados en el apartado 1. La Comisión, de forma conjunta con las organizaciones europeas de normalización, evaluará la conformidad de los documentos elaborados por las organizaciones europeas de normalización con su petición inicial”.
(69). Sobre el proceso de recepción por la Comisión de las normas técnicas, véase V. Álvarez García, Las normas técnicas armonizadas (Una peculiar fuente del Derecho europeo), Iustel, 2020, págs. 133 y ss.
(70). Este precepto prevé que: “Cuando una norma armonizada cumpla los requisitos que está previsto que regule, establecidos en la correspondiente legislación de armonización de la Unión, la Comisión publicará sin demora una referencia a dicha norma armonizada en el Diario Oficial de la Unión Europea o por otros medios, con arreglo a las condiciones establecidas en el correspondiente acto de la legislación de armonización de la Unión”.
En relación con la publicidad de las normas armonizadas y los problemas jurídicos que plantea, véanse V. Álvarez García, Las normas técnicas armonizadas (Una peculiar fuente del Derecho europeo), Iustel, 2020, págs. 136 y ss., y 182 y ss.; M. De Bellis, “Private standards, EU law and access - The General Court’s ruling in Public.Resource.Org”, Eulawlive, 10-9-2021; A. Volpato, “Rules Behind Paywall: the Problem with References to International Standards in EU law”, Eulawlive, 19-7-2021; A. Volpato, “Transparency and Legal Certainty of the References to International Standards in EU Law: Smoke Signals from Luxembourg?: Stichting Rookpreventie Jeugd and Others (C-160/20)”, Eulawlive, 1-3-2022; y A. Volpato y M. Eliantonio, “The Butterfly Effect of Publishing References to Harmonised Standards in the L series”, European law blog, 7-3-2019.
(71). El concepto de “sistema de inteligencia artificial de uso general” se incorpora en el texto transaccional del Consejo con el siguiente tenor: es, dice este documento, “un sistema de inteligencia artificial que, con independencia de la manera en la que se introduzca en el mercado o se ponga en servicio, incluido el software de código abierto, ha sido concebido por el proveedor para desempeñar funciones de aplicación general, como el reconocimiento de imágenes y de voz, la generación de audio y vídeo, la detección de patrones, la respuesta a preguntas y la traducción, entre otras. Un sistema de inteligencia artificial de uso general puede utilizarse en una pluralidad de contextos e integrarse en una pluralidad de otros sistemas” [art. 3.1 ter)].
(72). Sobre la importantísima problemática de la falta real de publicación oficial de las normas técnicas, véase V. Álvarez García, Las normas técnicas armonizadas (Una peculiar fuente del Derecho europeo), Iustel, 2020, págs. 179 y ss.; y “La problemática de la publicidad oficial de las normas técnicas de origen privado que despliegan efectos jurídico-públicos”, Revista de Derecho Comunitario Europeo, nº. 72, 2022.
(73). En relación con el contenido y con la significación de estas Directrices Generales, véase V. Álvarez García, Las normas técnicas armonizadas (Una peculiar fuente del Derecho europeo), Iustel, 2020, págs. 103 y ss.
(74). Sobre la posibilidad de que los sujetos privados elaboren normas jurídicas, véase V. Álvarez García, “La capacidad normativa de los sujetos privados”, Revista Española de Derecho Administrativo, nº. 99, 1998, págs. 343 y ss.; y Las normas técnicas armonizadas (Una peculiar fuente del Derecho europeo), Iustel, 2020, págs. 197 y ss.
(75). M. McFadden, K. Jones, E. Taylor y G. Osborn (Oxford Commission on AI&Good Governance), Harmonising Artificial Intelligence: The role of standards in the EU AI Regulation, December 2021, pág. 17.
(76). Este Comité estará conformado por las autoridades nacionales de supervisión y por el Supervisor Europeo de Protección de Datos (art. 57 del proyecto de Reglamento de inteligencia artificial).
(77). M. McFadden, K. Jones, E. Taylor y G. Osborn (Oxford Commission on AI&Good Governance), Harmonising Artificial Intelligence: The role of standards in the EU AI Regulation, December 2021, pág. 10.
(78). M. McFadden, K. Jones, E. Taylor y G. Osborn (Oxford Commission on AI&Good Governance), Harmonising Artificial Intelligence: The role of standards in de EU AI Regulation, December 2021, pág. 10.
(79). Téngase en cuenta que este ente normalizador está constituido por más de 900 miembros de más de sesenta países. A diferencia de lo que sucede con el CEN y el CENELEC, que únicamente están conformados por organismos nacionales de normalización, pueden ser miembros del ETSI todos aquellos sujetos u organismos que tengan interés en la normalización en el mundo de las telecomunicaciones. Véase, a este respecto, V. Álvarez García, La normalización industrial, Tirant lo Blanch, 1999, págs. 367 y ss.
(80). Entre los diversos textos normativos en materia de inteligencia artificial sobre los que este JTC 21 se encuentra trabajando pueden citarse, a título de ejemplo, estos dos: el prCEN/CLC/TR 17894 (WI=JT021001) Evaluación de conformidad de inteligencia artificial; o el prCEN/CLC/TR XXXX (WI=JT021002) Inteligencia artificial: descripción general de las tareas y funcionalidades de inteligencia artificial relacionadas con el procesamiento del lenguaje natural.
(81). IEC son las siglas en inglés de la Comisión Electrotécnica Internacional.
(82). Son varias las normas técnicas ya proyectadas por ISO/IEC en este ámbito. Por citar tan sólo algunos ejemplos, indicaremos las cinco siguientes: la ISO/IEC 22989 Inteligencia Artificial-Conceptos y terminología; la ISO/IEC 23894 Tecnología de la información-Inteligencia Artificial- Gestión del riesgo; la ISO/IEC 24668 Tecnología de la información- Inteligencia Artificial- Marco de gestión de procesos para analítica mediante Big Data; la ISO/IEC 38507 Tecnología de la información- Gobernanza de TI-Implicaciones de gobernanza del uso de la inteligencia artificial por las organizaciones; o la ISO/IEC 23053 Tecnología de la información-Inteligencia Artificial-Evaluación del rendimiento de clasificación de los modelos machine learning.
(83). M. McFadden, K. Jones, E. Taylor y G. Osborn (Oxford Commission on AI&Good Governance), Harmonising Artificial Intelligence: The role of standards in the EU AI Regulation, December 2021, pág. 31: “De las aproximadamente 3500 normas técnicas del CEN/CENELEC citadas en el DOUE, el 44% están basadas en normas internacionales”.
(84). Un breve apunte sobre las bases en las que se asientan las relaciones entre la normalización internacional y la europea puede verse en V. Álvarez García, La normalización industrial, Tirant lo Blanch, 1999, págs. 439 y ss.
(85). Su título completo es AI Watch: Artificial Intelligence Standardisation Landscape: state of play and link to the EC proposal for an AI regulatory framework. Sus autores son S. Nativi y S. De Nigris.
(86). Esta última edición se ha publicado con el título AI Watch: Artificial Intelligence Standardisation Landscape Update.
(87). Es verdad que ya el art. 5.3 de la Directiva 98/79/CE del Parlamento Europeo y del Consejo, de 27 de octubre de 1998, sobre productos sanitarios para diagnóstico in vitro, contemplaba la adopción de este instrumento jurídico. En base a dicho precepto, la Comisión aprobó, incluso, diversas especificaciones técnicas comunes mediante su Decisión 2002/364/CE, de 7 de mayo de 2002.
(88). Recoge también esta figura de las especificaciones comunes la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a las pilas y baterías y sus residuos [COM (2020) 798 final].
(89). V. Álvarez García, Las normas técnicas armonizadas (Una peculiar fuente del Derecho europeo), Iustel, 2020.
(90). Ejemplos del empleo de este tipo de actos de ejecución del Derecho de la Unión los encontramos en el Reglamento de ejecución (UE) 2020/1207 de la Comisión, de 19 de agosto de 2020, por el que se establecen disposiciones de aplicación del Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, en lo referente a las especificaciones comunes para el reprocesamiento de productos de un solo uso; el Reglamento de ejecución (UE) 2022/2346 de la Comisión, de 1 de diciembre de 2022, por el que se establecen especificaciones comunes para los grupos de productos sin finalidad médica prevista enumerados en el anexo XVI del Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, sobre los productos sanitarios; y el Reglamento de ejecución (UE) 2022/1107 de la Comisión, de 4 de julio de 2022, por el que se establecen especificaciones comunes para determinados productos sanitarios para diagnóstico in vitro de la clase D de conformidad con el Reglamento (UE) 2017/746 del Parlamento Europeo y del Consejo.
(91). La definición es similar a la recogida en los Reglamentos 2017/745 y 2017/746. Así, en el artículo 2 de ambos textos (apartados 71 y 74, respectivamente), se definen las especificaciones comunes como “un conjunto de requisitos técnicos o clínicos, distintos de una norma, que proporciona un medio para cumplir las obligaciones jurídicas aplicables a un producto, proceso o sistema”.
(92). Arts. 41.1 y 74.2 del proyecto de Reglamento de inteligencia artificial. Sobre el procedimiento de examen, véanse las dos notas a pie de página siguientes.
(93). Art. 41.2 del proyecto de Reglamento de inteligencia artificial.
(94). Recordemos, a este respecto, que los actos de ejecución del Derecho de la Unión Europea tienen su base jurídica en el art. 291 TFUE. Este precepto establece, como regla general, que las medidas de ejecución de los actos jurídicamente vinculantes de la Unión corresponden a los Estados miembros, que adoptarán a tal efecto todas las medidas necesarias de Derecho interno (apartado 1). No obstante, en los supuestos que “requieran condiciones uniformes de ejecución de los actos jurídicamente vinculantes de la Unión, éstos conferirán competencias de ejecución a la Comisión” (o, en algunos casos limitados, al Consejo) (apartado 2), que serán ejercidas, por un lado, por las Instituciones europeas y estarán sometidas, por otro, a las modalidades de control por los Estados miembros, conforme a las reglas establecidas en reglamentos europeos aprobados por el procedimiento legislativo ordinario (apartado 3). Pues bien, la norma de Derecho derivado reguladora de esta cuestión en la actualidad es el referido Reglamento (UE) nº. 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión.
El procedimiento de examen, que está previsto en el art. 5 de este Reglamento de 2011, requiere que la Comisión, antes de la adopción del correspondiente acto de ejecución, obtenga un dictamen favorable sobre su proyecto del pertinente comité compuesto por representantes de los Estados miembros y de la propia Comisión. La mayoría requerida para sacar adelante este dictamen es la cualificada prevista en los apartados 4 y 5 del art. 16 TUE o en el apartado 3 del art. 238 TFUE.
(95). Art. 41.4 del proyecto de Reglamento de inteligencia artificial.
(96). Introducción al texto transaccional del Consejo, pág. 7. Esta idea se complementa en la nueva redacción del considerando 65 de dicho texto transaccional, que subraya el carácter excepcional que debe tener la adopción de las especificaciones comunes con los términos siguientes: “a falta de referencias pertinentes a las normas armonizadas, la Comisión debe poder establecer, mediante actos de ejecución, especificaciones comunes para determinados requisitos previstos en el presente Reglamento como solución alternativa excepcional para facilitar la obligación del proveedor de cumplir los requisitos del presente Reglamento, cuando el proceso de normalización esté bloqueado o cuando haya retrasos en el establecimiento de una norma armonizada adecuada. Si dichos retrasos se deben a la complejidad técnica de la norma en cuestión, la Comisión debe tenerlo en cuenta antes de considerar la posibilidad de establecer especificaciones comunes”.
(97). Recordemos que estos objetivos, recogidos en el art. 40.2 del texto transaccional del Consejo, y que ya hemos referido con anterioridad, son: en primer término, la garantía de que los sistemas de inteligencia artificial de alto riesgo sean seguros, respeten los valores de la Unión y garanticen “su autonomía estratégica abierta”; en segundo término, la promoción de “la inversión y la innovación en inteligencia artificial, incluso mediante el incremento de la certidumbre jurídica, así como la competitividad y el crecimiento del mercado de la Unión”; en tercer término, el fomento de la participación (“gobernanza”) de todas las partes interesadas en la normalización (desde, por ejemplo, la industria hasta la sociedad civil, pasando por las pymes y los investigadores); y, en cuarto término, el reforzamiento de la cooperación “mundial” en una normalización de la inteligencia artificial, de manera “que sea coherente con los valores e intereses de la Unión”.
(98). Art. 41.4 del texto transaccional del Consejo.
(99). En este sentido, se ha afirmado por los expertos que: “Las especificaciones comunes actúan como una red o una barrera de seguridad, habilitando a la Comisión a actuar cuando hay una laguna en el espacio de las normas técnicas” [M. McFadden, K. Jones, E. Taylor y G. Osborn (Oxford Commission on AI&Good Governance), Harmonising Artificial Intelligence: The role of standards in the EU AI Regulation, December 2021, pág. 9].
(100). M. McFadden, K. Jones, E. Taylor y G. Osborn (Oxford Commission on AI&Good Governance), Harmonising Artificial Intelligence: The role of standards in the EU AI Regulation, December 2021, pág. 8.
(101). M. McFadden, K. Jones, E. Taylor y G. Osborn (Oxford Commission on AI&Good Governance), Harmonising Artificial Intelligence: The role of standards in the EU AI Regulation, December 2021, pág. 22.
(102). M. McFadden, K. Jones, E. Taylor y G. Osborn (Oxford Commission on AI&Good Governance), Harmonising Artificial Intelligence: The role of standards in the EU AI Regulation, December 2021, pág. 22.
(103). Sobre la significación y el funcionamiento de la estructura europea de los controles técnicos, véanse, por todos, V. Álvarez García, Industria, Iustel, págs. 289 y ss.; J.A. Carrillo Donaire, El derecho de la seguridad y de la calidad industrial, Marcial Pons, 2000, págs. 402 y ss.; y M. Izquierdo Carrasco, La seguridad de los productos industriales, Marcial Pons, 2000, págs. 263 y ss.
(104). Véase, en concreto, el apartado II.
(105). En España, por ejemplo, el control técnico de los vehículos a motor se sigue realizando por las autoridades administrativas mediante la técnica de la homologación. Sobre esta técnica, véanse los siguientes trabajos de V. Álvarez García: “El régimen jurídico de las homologaciones de vehículos de motor en España”, Revista General de Derecho Administrativo, nº. 35, 2014; “El funcionamiento del sistema europeo de homologaciones de vehículos de motor”, Revista General de Derecho Administrativo, nº. 36, 2014; y “La técnica administrativa de la homologación de productos”, en J.E. Soriano García y M. Estepa Montero (Coords.): Por el Derecho y la Libertad. Homenaje al Profesor Juan Alfonso Santamaría Pastor, Iustel, 2014.
(106). Con respecto a la cesión a sujetos de Derecho privado de tareas de control que han sido tradicionalmente ejercidas por sujetos de Derecho público, véase, por todos, D. Canals i Ametller, El ejercicio por particulares de funciones de autoridad (Control, inspección y certificación), Comares, 2003.
(107). Decisión nº. 768/2008/CE del Parlamento Europeo y del Consejo, de 9 de julio de 2008, sobre un marco común para la comercialización de los productos y por la que se deroga la Decisión 93/465/CEE del Consejo.
(108). Art. 19.1 y considerando 62 del proyecto de Reglamento de inteligencia artificial. Este proyecto de Reglamento prevé, de manera excepcional, una exención a la obligación de someter un sistema de inteligencia artificial de alto riesgo a un procedimiento de evaluación de la conformidad antes de su comercialización consistente en que una autoridad nacional de vigilancia del mercado podrá autorizarlos en el territorio estatal al que alcanza su competencia cuando medien “razones excepcionales de seguridad pública o con el fin de proteger la vida y la salud de las personas, el medio ambiente y activos fundamentales de las industrias e infraestructuras” (art. 47.1 del citado proyecto de Reglamento).
(109). Art. 43.3 del proyecto de Reglamento de inteligencia artificial.
(110). Considerando 63 del proyecto de Reglamento de inteligencia artificial.
(111). Art. 43.1 y anexo VII del proyecto de Reglamento de inteligencia artificial.
(112). Esto es, los relativos a: la gestión y funcionamiento de infraestructuras esenciales -punto 2-; la educación y formación profesional -punto 3-; el empleo, la gestión de los trabajadores y el acceso al autoempleo -punto 4-; el acceso y disfrute de servicios públicos y privados esenciales y sus beneficios -punto 5-; los asuntos relacionados con la aplicación de la ley -punto 6-; la gestión de la migración, el asilo y el control fronterizo -punto 7-; y la administración de justicia y procesos democráticos -punto 8-.
(113). En este sentido, el grupo de expertos en inteligencia artificial de los organismos de normalización CEN-CENELEC concluye en el documento Road Map on Artificial Intelligence: “Where AI is used in areas that could adversely affect human life or the environment, specifically occupational safety and health in the case of professional use (critical or high-risk sectors), third-party certification could be appropriate, as in the case of current medical devices” (pág. 27). Nos encontramos ante un problema de primer orden, pues el propio organismo de normalización europeo nos está advirtiendo ya del peligro que supone permitir el autocontrol en el supuesto de sistemas que impliquen un riesgo alto.
(114). Art. 30.1 del proyecto de Reglamento de inteligencia artificial.
(115). Art. 31.1 del proyecto de Reglamento de inteligencia artificial.
(116). Art. 33.12 del proyecto de Reglamento de inteligencia artificial.
(117). Art. 17 del proyecto de Reglamento de inteligencia artificial.
(118). Art. 11.1 y anexo IV del proyecto de Reglamento de inteligencia artificial.
(119). Art. 44 del proyecto de Reglamento de inteligencia artificial.
(120). Arts. 19.1 y 48 y anexo V del proyecto de Reglamento de inteligencia artificial.
(121). Arts. 19.1 y 49 del proyecto de Reglamento de inteligencia artificial.
(122). Considerando 67 del proyecto de Reglamento de inteligencia artificial.
(123). La única excepción a esta regla general del control técnico interno por parte del proveedor de los sistemas de inteligencia artificial de alto riesgo está constituida por los sistemas de identificación biométrica remota de personas (siempre, naturalmente, que no estén prohibidos). En este caso debe participar una tercera parte (un organismo notificado) designado por las autoridades nacionales (Considerando 65 del proyecto de Reglamento de inteligencia artificial).
(124). Considerando 64 del proyecto de Reglamento de inteligencia artificial. En la introducción del proyecto de Reglamento, la Comisión utiliza otros términos para justificar el reducido alcance de los controles técnicos por tercera parte en el ámbito de los sistemas de inteligencia artificial de alto riesgo independientes: “dado que la intervención reguladora se encuentra en una fase temprana, que el sector de la inteligencia artificial es muy innovador y que apenas están empezando a acumularse los conocimientos necesarios para llevar a cabo auditorías” (Exposición de Motivos del proyecto de Reglamento de inteligencia artificial, pág. 16).
(125). Art. 11.1 y anexo IV del proyecto de Reglamento de inteligencia artificial.
(126). Art. 51 del proyecto de Reglamento de inteligencia artificial.
(127). Art. 61.4 del proyecto de Reglamento de inteligencia artificial.
(128). Art. 61.1 del proyecto de Reglamento de inteligencia artificial.
(129). El concepto de “vigilancia del mercado” se define como “las actividades efectuadas y las medidas tomadas por las autoridades de vigilancia del mercado para velar por que los productos cumplan los requisitos establecidos por la legislación de armonización de la Unión aplicable y garantizar la protección del interés público amparado por dicha legislación” [art. 3.3 del Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativo a la vigilancia del mercado y la conformidad de los productos]. Sobre la significación y el funcionamiento de la vigilancia del mercado, véase, desde un punto de vista doctrinal, V. Álvarez García, Industria, Iustel, págs. 463 y ss.
(130). Art. 63.1 del proyecto de Reglamento de inteligencia artificial.
(131). Exposición de Motivos del proyecto de Reglamento de inteligencia artificial, pág. 18.
(132). Art. 64.1 del proyecto de Reglamento de inteligencia artificial.
(133). Art. 64.2 del proyecto de Reglamento de inteligencia artificial.
(134). Art. 65 del proyecto de Reglamento de inteligencia artificial.
(135). Art. 65.5 del proyecto de Reglamento de inteligencia artificial.
(136). Según este procedimiento, cuando el Parlamento Europeo o un Estado miembro consideren que una norma armonizada no cumple con los requisitos establecidos en el propio Reglamento sobre la normalización europea o en la legislación nuevo enfoque específica, la Comisión, tras la pertinente consulta al correspondiente comité o a los expertos sectoriales, decidirá sobre la publicación, la no publicación o la publicación con restricciones de dicha norma armonizada en el Diario Oficial europeo; o, en el caso de que ésta ya esté publicada, resolverá sobre su mantenimiento íntegro o con restricciones o sobre su supresión de este Diario.
La Comisión informará sobre su decisión al organismo europeo de normalización competente, pudiendo solicitar de esta última entidad la revisión de la norma armonizada en cuestión.
(137). Art. 67.1 del proyecto de Reglamento de inteligencia artificial.
(138). Art. 65.2 del proyecto de Reglamento de inteligencia artificial.
(139). Art. 64.3 del proyecto de Reglamento de inteligencia artificial.
(140). Art. 64.3 del proyecto de Reglamento de inteligencia artificial.
(141). Art. 65.5 del proyecto de Reglamento de inteligencia artificial.
Noticia aún sin comentar.
Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su email y contraseña:
Si desea registrase en la Administración al Día y poder escribir un comentario, puede hacerlo a través el siguiente enlace: Registrarme en La Administración al Día.