El Reglamento establece normas armonizadas para la introducción en el mercado, la puesta en servicio y la utilización de sistemas de IA en la Unión. El Reglamento se estructura en los siguientes capítulos:
Capítulo I: Disposiciones generales
- Artículo 1: Objeto
- Artículo 2: Ámbito de aplicación
- Artículo 3: Definiciones
- Artículo 4: Alfabetización en materia de IA
Capítulo II: Prácticas de IA prohibidas
- Artículo 5: Prácticas de IA prohibidas
Capítulo III: Sistemas de IA de alto riesgo
- Sección 1: Clasificación de los sistemas de IA como sistemas de alto riesgo
- Artículo 6: Reglas de clasificación de los sistemas de IA de alto riesgo
- Artículo 7: Evaluación de la conformidad de los sistemas de IA de alto riesgo
- Sección 2: Requisitos para los sistemas de IA de alto riesgo
- Artículo 8: Requisitos generales para los sistemas de IA de alto riesgo
- Artículo 9: Evaluación del riesgo
- Artículo 10: Documentación técnica
- Artículo 11: Gestión de riesgos
- Artículo 12: Transparencia y comunicación de información
- Artículo 13: Supervisión humana
- Artículo 14: Seguridad y exactitud del sistema de IA
- Artículo 15: Registro y vigilancia poscomercialización
- Artículo 16: Conforme a la protección de datos personales
- Artículo 17: Obligaciones de los proveedores y de los responsables del despliegue de los sistemas de IA de alto riesgo
- Artículo 18: Evaluación de impacto relativa a la protección de datos
- Artículo 19: Vigilancia poscomercialización
- Artículo 20: Sistemas de IA de alto riesgo que se ponen a disposición de las autoridades públicas
- Artículo 21: Autorización de sistemas de IA de alto riesgo de identificación biométrica remota en tiempo real
Capítulo IV: Modelos de IA de uso general
- Artículo 22: Definición
- Artículo 23: Obligaciones de los proveedores de modelos de IA de uso general
- Artículo 24: Documentación técnica para los modelos de IA de uso general
- Artículo 25: Evaluación del riesgo para los modelos de IA de uso general
- Artículo 26: Supervisión humana para los modelos de IA de uso general
- Artículo 27: Transparencia y comunicación de información para los modelos de IA de uso general
- Artículo 28: Sistemas de IA de uso general que se ponen a disposición de las autoridades públicas
- Artículo 29: Modelos de IA de uso general con riesgo sistémico
- Artículo 30: Obligaciones de los proveedores de modelos de IA de uso general con riesgo sistémico
- Artículo 31: Vigilancia poscomercialización para los modelos de IA de uso general con riesgo sistémico
- Artículo 32: Medidas de reducción del riesgo para los modelos de IA de uso general con riesgo sistémico
Capítulo V: Gobernanza y vigilancia
- Artículo 33: Cooperación entre los Estados miembros
- Artículo 34: Intercambio de información entre los Estados miembros
- Artículo 35: Cooperación con la Comisión
- Artículo 36: El Supervisor Europeo de Protección de Datos
- Artículo 37: Comité Europeo de Protección de Datos
- Artículo 38: Grupo de expertos científicos
- Artículo 39: Foro para la IA
- Artículo 40: Plataforma de apoyo para las pymes, incluidas las empresas emergentes
- Artículo 41: Oficina de IA
- Artículo 42: Sistema de evaluación de la conformidad
- Artículo 43: Actos delegados
- Artículo 44: Actos de ejecución
- Artículo 45: Vigilancia del mercado
- Artículo 46: Sanciones
- Artículo 47: Procedimientos aplicables en el caso de infracciones
- Artículo 48: Cooperación con los terceros países
- Artículo 49: Cooperación internacional
- Artículo 50: Revisión y derogación
Capítulo VI: Disposiciones finales
- Artículo 51: Entrada en vigor
- Artículo 52: Aplicación
- Artículo 53: Derogación
El Reglamento (UE) 2024/1689 establece un régimen de protección de datos específico para los sistemas de IA, complementando las normas generales del Reglamento General de Protección de Datos (RGPD) y otras normas de protección de datos de la Unión Europea.
I. Aplicación del Derecho de la Unión en Materia de Protección de Datos
El Reglamento de IA no deroga las normas de la Unión en materia de protección de datos, sino que se aplica conjuntamente con ellas. Se especifica que los Reglamentos (UE) 2016/679 (RGPD) y (UE) 2018/1725, así como las Directivas 2002/58/CE y (UE) 2016/680 son de aplicación en lo que respecta al tratamiento de datos personales en relación con los derechos y obligaciones establecidos en el Reglamento de IA.
II. Principios de Protección de Datos
Se reconoce la importancia de aplicar los principios de minimización de datos y de protección de datos desde el diseño y por defecto, establecidos en el Derecho de la Unión en materia de protección de datos, cuando se trata de datos personales en el contexto de los sistemas de IA.
III. Obligaciones Específicas para la Protección de Datos Personales
Se define el concepto de «datos personales» de acuerdo con el RGPD (artículo 4, punto 1). Se establecen condiciones especiales para el tratamiento de categorías especiales de datos personales (datos sensibles, según el artículo 9, apartado 1, del RGPD), cuando sea estrictamente necesario para la detección y corrección de sesgos en sistemas de IA de alto riesgo. Se reconoce que el tratamiento de datos personales puede ser necesario para la detección y corrección de sesgos en sistemas de IA de alto riesgo, pero debe estar sujeto a garantías adecuadas para los derechos y libertades fundamentales de las personas físicas. Se establece la obligación de llevar registros y disponer de documentación técnica con información sobre el tratamiento de datos personales, incluyendo las características generales, las capacidades y las limitaciones del sistema de IA, los algoritmos, datos y procesos de entrenamiento, prueba y validación empleados. Se introduce la obligación de realizar una evaluación de impacto relativa a los derechos fundamentales antes de poner en funcionamiento determinados sistemas de IA de alto riesgo, como los que utilizan los organismos de Derecho público o las entidades privadas que prestan servicios públicos.
IV. Responsabilidades y Transparencia
Se establece que los sistemas de IA de alto riesgo deben permitir técnicamente el registro automático de acontecimientos, mediante archivos de registro, durante toda la vida útil del sistema. Se obliga a los responsables del despliegue de un sistema de IA que genere o manipule imágenes o contenidos de audio o vídeo que constituyan una ultrasuplantación a hacer público que estos contenidos o imágenes han sido generados o manipulados de manera artificial.
V. Otros Aspectos
Se establecen responsabilidades para las autoridades de vigilancia del mercado en la evaluación de sistemas de IA que puedan presentar un riesgo para los derechos fundamentales, incluyendo la protección de datos personales. Se establece el derecho de las personas afectadas a obtener una explicación cuando la decisión de un responsable del despliegue se base principalmente en los resultados de salida de un sistema de IA de alto riesgo.