El Reglamento Europeo de Inteligencia Artificial (RIA o AI Act) impone obligaciones de cumplimiento a una gama muy amplia de sujetos, cada uno de los cuales tiene una definición compleja:
- Proveedores: la persona física o jurídica que desarrolla por primera vez un sistema de IA o un modelo de IA de uso general (GPAI por sus siglas en inglés), bajo su propio nombre o marca, es el «proveedor» (art. 3.3) RIA). Un proveedor entra en el ámbito de aplicación del RIA cuando:
- comercializa por primera vez en el mercado de la UE un sistema de IA o un modelo GPAI;
- suministra un sistema de IA o un modelo GPAI para que lo utilice un implantador o para su propio uso en el mercado de la UE; o
- cuando el resultado de su sistema de IA se utilice en la UE.
Los proveedores que cumplan cualquiera de estos criterios deben observar el RIA con independencia de su lugar de establecimiento y ubicación, y de si el sistema de IA o el GPAI se suministra a cambio de una remuneración o de forma gratuita.
- Responsables del despliegue: cualquier persona física o jurídica que utilice un sistema de IA (excepto cuando el sistema de IA se utilice en el curso de una actividad personal de carácter no profesional) es un «responsable del despliegue» (art. 3.4) RIA). Un responsable del despliegue entra en el ámbito de aplicación del RIA cuando está establecido o situado en la UE.
- Importadores: cualquier persona física o jurídica establecida o situada en la UE que comercialice un sistema de IA que lleve el nombre de una entidad establecida fuera de la UE es un «importador» (art. 3.6) RIA).
- Distribuidores: cualquier persona física o jurídica, distinta de un proveedor o importador, que comercialice un sistema de IA en el mercado de la UE es un «distribuidor» (art. 3.7) RIA). No es necesario que el distribuidor sea la primera organización de la cadena de valor de la IA que comercializa el sistema de IA en el mercado de la UE.
- Fabricantes de productos: el concepto de «fabricante de productos» no se define expresamente en el RIA, sino en la legislación de armonización de la UE que figura en el anexo I del RIA. Los fabricantes de productos entran en el ámbito de aplicación del Reglamento cuando suministran, distribuyen o utilizan sistemas de IA en el mercado de la UE junto con sus productos y bajo su propio nombre o marca.
- Representantes autorizados: los representantes autorizados actúan como intermediarios entre los proveedores de fuera de la UE y las autoridades y consumidores de la UE. Un «representante autorizado» es cualquier persona física o jurídica ubicada o establecida en la Unión que haya recibido y aceptado el mandato por escrito de un proveedor para cumplir las obligaciones de éste con respecto al Reglamento (art. 3.5) RIA).
Efecto extraterritorial
El concepto de aplicación extraterritorial en el Derecho digital se estableció con carácter pionero por el artículo 3 del Reglamento General de Protección de Datos (RGPD). El artículo 3.2 del RGPD se centra en los sujetos establecidos fuera de la UE y que “ofrecen” (es decir, dirigen o personalizan sus servicios) a personas físicas en la UE o controlan el comportamiento de dichas personas.
En cambio, el RIA tiene un enfoque mucho más amplio. Su considerando 21 establece lo siguiente: “Con el objetivo de garantizar la igualdad de condiciones y la protección efectiva de los derechos y libertades de las personas en toda la Unión, las normas establecidas en el presente Reglamento deben aplicarse a los proveedores de sistemas de IA sin discriminación, con independencia de si están establecidos en la Unión o en un tercer país, y a los responsables del despliegue de sistemas de IA establecidos en la Unión”.
El artículo 2.1.c) del RIA expone el mismo concepto utilizando un lenguaje ligeramente (pero materialmente) diferente: “El presente Reglamento se aplicará a: […] c) los proveedores y responsables del despliegue de sistemas de IA que estén establecidos o ubicados en un tercer país, cuando los resultados de salida generados por el sistema de IA se utilicen en la Unión”.
Mientras que el RGPD se aplica a un sujeto de fuera de la UE en circunstancias en las que dicho sujeto ha intentado hacer algo que, al menos en parte, está dirigido a la UE, el RIA parece aplicarse incluso cuando el proveedor/responsable del despliegue no ha intentado dirigir sus actividades a la UE. Así, bajo el RIA, según una lectura literal de su artículo 2.1.c) cabe sostener que un proveedor/responsable del despliegue radicado fuera de la UE puede estar sujeto al Reglamento cuando el resultado del sistema de IA se dirige a la UE, aunque aquél no lo hubiera deseado.
Podemos ilustrarlo con un ejemplo práctico. La empresa A es una empresa de diseño gráfico con sede en Estados Unidos. La empresa A utiliza herramientas de generación de imágenes de IA disponibles en el mercado como parte de su proceso creativo para generar logotipos y material gráfico para sus clientes. El cliente B tiene su sede en Marruecos y decide contratar a la empresa A para crear un logotipo para su empresa. Una vez que la empresa A le haya proporcionado el logotipo, el cliente B abre una oficina en Madrid y utiliza el logotipo para comercializar sus servicios en España.
Bajo el RIA, la empresa A es un “responsable del despliegue” del sistema de IA que utiliza para producir el logotipo; el logotipo aparentemente equivale a un “contenido” (dentro de la definición de “sistema de IA” del artículo 3.1) del RIA) y, por lo tanto, parece ser un “resultado de salida”; y el logotipo es utilizado en la UE por el cliente B. Por lo tanto, aplicando el artículo 2.1.c) del RIA, el Reglamento se aplica a la empresa A en este ejemplo, aunque la empresa A no supiera que el resultado de los sistemas de IA pertinentes se utilizaría en la UE.
Tampoco parece que la empresa A pueda evitar este resultado. Por ejemplo, la empresa A podría prohibir contractualmente al cliente B utilizar el logotipo en la UE. Sin embargo, si el cliente B incumpliera esa obligación contractual y utilizara el logotipo en la UE, una lectura literal del artículo 2.1.c) del RIA llevaría inevitablemente a la conclusión de que la empresa A entraría automáticamente en el ámbito de aplicación del Reglamento (aunque hubiera hecho todo lo razonablemente posible para evitar este resultado).
El efecto directo se producirá con toda organización que actúe como proveedor o responsable de despliegue de un sistema de IA en cualquier parte del mundo, que corre el riesgo de entrar en el ámbito de aplicación del RIA en función de factores que (en muchos casos) escaparán al control de dicha organización. En consecuencia, el RIA parece tener un ámbito de aplicación territorial excesivamente amplio y, hasta que no se dicten las directrices interpretativas por la Comisión Europea, será muy difícil para las organizaciones no pertenecientes a la UE evaluar en qué medida están sujetas al RIA.
Conclusión
El RIA pretende reconocer las oportunidades transfronterizas de la inteligencia artificial, evitar la elusión normativa y garantizar la protección efectiva de las personas físicas situadas en la UE. En este sentido, el Reglamento quiere garantizar que las personas físicas y jurídicas de todos los niveles de la cadena de valor de la IA estén sujetas a los requisitos del Reglamento, a menudo con independencia de su jurisdicción.
Sin embargo, la aplicación del artículo 2.1.c) del RIA es, en el mejor de los casos, incierta y, en el peor, altamente expansiva. En particular, aún no se sabe con certeza cómo se interpretará el término «utilización». A falta de futuras aclaraciones por parte de la Comisión Europea, parece poco probable que se resuelva esta incertidumbre hasta que los reguladores y tribunales pertinentes de la UE proporcionen nuevas orientaciones sobre esta cuestión. Mientras tanto, las organizaciones no establecidas en la UE que utilicen sistemas de IA deben adoptar una actitud prudente y estar atentas a la evolución en este ámbito.
