Reglamento europeo de IA y su coordinación con el Reglamento de protección de datos (Iniciativa interblogs)

Posted on by Adrián Todolí

Argumentos en Derecho Laboral, Iniciativa Interblogs

Esta entrada forma parte de una iniciativa Interblogs de Derecho del Trabajo “La regulación de la Inteligencia Artificial en el Mundo laboral”, en la que se comentan diferentes aspectos de la Regulación de la Inteligencia Artificial en el mundo laboral. Esta iniciativa es el preludio a un Congreso que se celebrará en la Facultat de Dret de la Universidad de Valencia el 20 y 21 de junio de 2024. La iniciativa y el congreso forman parte del proyecto de investigación del Ministerio de Ciencia e Innovación titulado “Algoritmos extractivos y neuroderechos. Retos regulatorios de la digitalización del trabajo” ref. PID2022-139967NB-I00 IP Adrián Todolí y Ignasi Beltrán y del Proyecto de Investigación “La huida del mercado de trabajo y la legislación social en España (TRABEXIT), PID2022-141201OB-I00″, dirigido por el profesor Miguel Rodríguez-Piñero Royo y la profesora María Luisa Pérez Guerrero

Reglamento europeo de IA y su coordinación con el Reglamento de protección de datos

En un mundo perfecto, el Reglamento Europeo de IA (RIA) regularía la comercialización y puesta en servicio de IA dentro de la UE , mientras que el Reglamento General de protección de datos (RGPD) regularía el uso de los datos y de una IA, para entrenar la propia IA, para perfilar las personas y para tomar decisiones automatizadas que tengan efectos jurídicos sobre las personas.

Para ponerlo en un ejemplo muy gráfico (y algo simplificado) imaginando que la IA es un arma de fuego; el Reglamento de IA regularía las condiciones de seguridad del arma de fuego para que esta se pueda comercializar y que no te explote en la mano cuando vayas a usarla; mientras que el reglamento de protección de datos -y el resto de normativa laboral (regulación del despido, antidiscriminación, protección de datos, etc…- tendría por objetivo regular cuándo lícitamente se puede usar /disparar el arma de fuego (licencia de armas, código penal, etc.).

Esta diferenciación entre comercialización y uso, en mi opinión, sigue siendo la orientación fundamental a la que se debe acudir para comprender, interpretar y aplicar ambas regulaciones. Especialmente, el Reglamento de IA. Tomando esta perspectiva, por ejemplo, se entiende bien que el REIA establezca «autocertificaciones» para garantizar el cumplimiento de medidas de seguridad de las IA. Un fórmula, clásica y bien conocida en otros reglamentos de seguridad (piénsese en las certificaciones ISO) como el reglamento de máquinas.

Sin embargo, como siempre, la realidad no es tan sencilla y el legislador nunca es tan claro como a los académicos nos gustaría. En este sentido, esta conclusión por la que comienzo esta entrada (que la coordinación de ambos reglamentos venga por una frontera perfecta entre lo que es la comercialización y el uso) puede ponerse en entredicho leyendo algunos de los preceptos del RIA.

Así, empezando por la categorización de riesgos que hace el propio RIA; el primer riesgo de la escala es de naturaleza inadmisible, por lo que el RIA no solamente prohíbe su venta, sino también su uso. En el mismo sentido, el art. 1.1 del Reglamento establece que «El presente Reglamento establece: (a) normas armonizadas para la comercialización, la puesta en servicio y el uso de sistemas de inteligencia artificial («sistemas de IA») en la Unión.»

Esto es, el reglamento no solamente establece condiciones y requisitos de comercialización y puesta en funcionamiento de sistemas de IA, sino también regula el uso de los mismos.

La cuestión de la coordinación entre el RIA y el resto de normativa existente (RGPD, normativa laboral etc…) no es menor. Concretamente, cabe resaltar que el considerando 1 del RIA determina que «Este Reglamento garantiza la libre circulación transfronteriza de de bienes y servicios basados en la IA, impidiendo así que los Estados miembros impongan restricciones al desarrollo, la comercialización y el uso de sistemas de inteligencia artificial, a menos que lo autorice explícitamente el presente Reglamento.» De esta forma, parte de la doctrina ha sugerido que es posible que el RIA impida regulaciones sobre uso de IA que sean más restrictivas que las fijadas en el RIA. De ser válida esta conclusión, de facto, se impediría establecer protecciones nacionales más allá de las fijadas en el RIA. Esta limitación o impedimento hacia los Estados Miembro tendría por objeto de los productos de IA puedan venderse y circular libremente por toda la UE bajo normas armonizadas.

¿Cabe realizar evaluaciones de prevención de riesgos laborales cuando se usa un sistema de IA?

Por poner un ejemplo concreto, sobre los efectos de esta interpretación, la pregunta que se plantea aquí es si la regulación de prevención de riesgos laborales, que establece la necesidad de realizar una evaluación de riesgos laborales, sería aplicable en el caso del uso de una IA o si solamente se podría exigir que la IA haya cumplido con los requisitos, certificaciones y evaluaciones requeridos en la propia normativa de IA (RIA).

Esta cuestión, viene resuelta en el considerando 5a) del RIA que establece que «Las normas armonizadas sobre comercialización, puesta en servicio y uso de sistemas de IA establecidos en el presente Reglamento deben aplicarse en todos los sectores y, en consonancia con su marco legislativo, deben entenderse sin perjuicio del Derecho de la Unión vigente, especialmente en materia de protección de datos, protección de los consumidores, derechos fundamentales, empleo y protección de los trabajadores y la seguridad de los productos, de las que el presente Reglamento es complementario.«

De esta forma, el propio RIA, a pesar de que sea taxativo al establecer que se impide a los Estados Miembros imponer restricciones al uso de sistemas de IA, en el considerando 5a) se específica que esto no impedirá que se aplique la normativa existente en materia de protección de datos, derechos fundamentales, empleo, protección de los trabajadores etc…

¿Y normas futuras?

Aclarado que el RIA específicamente autoriza, en su considerando 5a), a la aplicación de toda la normativa VIGENTE, cabe preguntarse si los Estados Miembros podrán establecer, en el futuro, nuevas normativas protectoras o restrictivas de la comercialización, puesta en servicio y uso de IA. Esta cuestión está bastante menos clara, no obstante, en mi opinión se debería seguir la diferenciación con la que he empezado esta entrada. Esto es, en materia de comercialización el competente es el REIA y, por tanto, los EM no podrán establecer normativas restrictivas con objeto de garantizar el mercado único europeo (principio de libre circulación de IA). Ahora bien, en materia de uso de la IA considero que deben prevalecer las regulaciones más protectoras -siempre que sean proporcionales y proporcionadas- permitiendo a los Estados Miembros (incluyendo la negociación colectiva) regular en materia de protección de datos, derechos fundamentales y laborales, aunque eso implique restricciones de uso mayores que las actualmente VIGENTES. En efecto, el considerando 5a) establece que el REIA, en materia de uso de la IA, es una normativa complementaria. Y esto debería entenderse así tanto para la normativa vigente como futura.

Si te interesa la regulación de la IA, conforme señalaba al inicio de esta entrada, un grupo de iuslaboralistas hemos diseñado esta iniciativa interblogs que te animo a seguir. Esta es la segunda entrada de la iniciativa. Las entradas previstas son las siguientes:

TemaAutor/autoraBlogfecha
El reglamento europeo de IA y su afectación al ámbito laboralMiguel Rodríguez-Piñerohttps://grupo.us.es/iwpr/https://grupo.us.es/iwpr/2024/04/08/el-reglamento-europeo-de-ia-y-su-afectacion-al-mundo-laboral/Semana del 8-12 de abril
Reglamento europeo de IA y su coordinación con el Reglamento de protección de datosAdrián Todolíhttp://www.adriantodoli.comSemana del 15-19 de abril
Las prohibiciones del REIA como protección del neurosciente humanoIgnasi Beltránhttp://www.ignasibeltran.comSemana del 22-26 de abril
Los sistemas automatizados de reconocimiento de emocionesAna Belén Muñozhttp://www.elforodelabos.esSemana 29-3 de mayo
Los usos de alto riesgo en el ámbito laboral de la IA y la autocertificaciónJesús Mercaderhttp://www.elforodelabos.esSemana del 6 al 10 de mayo
Las sanciones automáticas de la ITSS y el reglamento de IAJose Maria Goerlichhttp://www.elforodelabos.esSemana del 13 al 17 de mayo
El reglamento de IA y la transparenciaDaniel Pérez del Pradohttp://www.elforodelabos.esSemana del 20 al 24 de mayo
Las empresas de selección de personal y el reglamento de IAAntonio Fernándezhttps://aflabor.wordpress.com/Semana del 27 al 31 de mayo
CláusuraEduardo Rojohttp://www.eduardorojotorrecilla.esPrimera semana de junio

6 thoughts on “Reglamento europeo de IA y su coordinación con el Reglamento de protección de datos (Iniciativa interblogs)

  2. Pingback: Las prohibiciones del Reglamento de Inteligencia Artificial como protección del neurosciente humano (Iniciativa Interblogs #3) – UNA MIRADA CRÍTICA A LAS RELACIONES LABORALES
  3. Pingback: Los sistemas automatizados de reconocimiento de emociones (Iniciativa interblogs)
  4. Pingback: Actuaciones administrativas automatizadas en el orden social y Reglamento de Inteligencia Artificial
  5. Pingback: Las empresas de selección de personal y el Reglamento de IA (Iniciativa interblogs) | AFLabor
  6. Pingback: Reglamento europeo de IA y su coordinación con el Reglamento de protección de datos (Iniciativa interblogs) – Alan Revueltas

Responder a Aránzazu Roldán MartínezCancelar respuesta