Los sistemas de IA aplicados a gestión de talento y selección son considerados de riesgo alto por el Reglamento Europeo de IA
El RIA se complementará con normativas como la de protección de datos, propiedad intelectual y laboral, entre otras
Madrid, 22 de mayo de 2024 – Esteban López, abogado asociado del área de Derecho Digital del despacho Martínez-Echevarría Abogados, ha ofrecido en el V Webinar del Campus IA+Igual un completo análisis de las implicaciones legales del tratamiento de datos personales en el marco del nuevo Reglamento Europeo de Inteligencia Artificial (RIA), aprobado el 21 de mayo por el Consejo de la UE tras las correcciones al texto dado a conocer en marzo. Durante la sesión Protección de datos e inteligencia artificial: RGPD y RIA, el abogado ha explicado las implicaciones legales que conllevará los sistemas de IA aplicadas al sector de gestión de talento y selección (ver presentación aquí).
Aunque se manejan diferentes cifras, alrededor de 4 de cada 6 empresas españolas ya han incorporado la inteligencia artificial al área de Recursos Humanos. Este experto en Derecho Digital ha destacado la importancia de velar por el cumplimiento normativo en la medida en que el impacto derivado del uso de la IA ha saltado del mundo virtual al físico. Los algoritmos ayudan ya a las empresas a tomar decisiones en procesos como la contratación, la promoción, la evaluación del desempeño, etc., por lo que es necesario tener en cuenta los riesgos para los derechos de los ciudadanos.
La entrada en aplicación definitiva del RIA se producirá 24 meses después de la fecha de entrada en vigor oficial, tras su publicación en el Diario Oficial de la Unión Europea en los próximos días. Sin embargo, existen algunas excepciones: las disposiciones generales y prácticas de IA prohibidas entrarán en vigor a los 6 meses; autoridades notificantes, modelos de IA de uso general, gobernanza y sanciones entrarán a los 12 meses -a excepción de las multas a proveedores de modelos de IA de uso general-; y, por último, la clasificación de los sistemas de IA alto riesgo y sus obligaciones, que será efectiva a los 36 meses, en el año 2027.
IA y Protección de datos
Esteban López destaca que es frecuente la creencia de que la Inteligencia Artificial “se encuentra sin regular” o en una especie de “situación alegal”. Sin embargo, destaca que ya existe un marco normativo de obligado cumplimiento aplicable a esta tecnología anterior al RIA, formado principalmente por el Reglamento General de Protección de Datos (RGPD), el Estatuto de los Trabajadores, la normativa de propiedad intelectual, la Ley europea de Datos, además del resto del ordenamiento jurídico como el Código Penal o el Código Civil.
El experto en Derecho digital vincula el RIA con el RGPD de forma explícita porque la IA suele basarse en datos de personas físicas. Según el RGPD, estos deben ser recolectados con un propósito específico y solo utilizados para ese fin. Sin embargo, en el caso de la IA, los datos recabados para entrenar los algoritmos pueden ser utilizados para propósitos distintos de los que inicialmente se planeó debido a la autonomía del sistema y, por eso, el RIA detalla de forma exhaustiva el buen gobierno de los datos. Para Esteban López, es fundamental contemplar en el entorno de la IA la Evaluación de Impacto de Protección de Datos (PIA), que permite “poder identificar riesgos y aplicar medidas de protección correspondientes”.
Además, concluye López, la utilización de la IA deja en el aire varias preocupaciones: “¿Cómo se ejercen los derechos de supresión, rectificación, oposición?”, “¿Quién será la autoridad que gestione una brecha, la AEPD o la AESIA?”, “¿Es posible imponer restricciones en los servidores de sistemas de IA para que estén localizados únicamente dentro del Espacio Económico Europeo?” Estos interrogantes surgen en un momento en el que la tecnología parece haber “superado la velocidad de los legisladores”. Por ello, en el ámbito de la IA no deben perderse de vista otros marcos regulatorios que complementen a esta nueva ley pionera.
Las obligaciones legales que se derivan del RIA “no son pocas ni sencillas de cumplir y requieren de un trabajo minucioso y centrado” asegura Esteban López, pero deben verse “no como un problema, sino como algo positivo que permite a las empresas tomar más conciencia de cómo funciona algo que actúa en su nombre”.
