Índice

Sección 1: Clasificación de los sistemas de IA como de alto riesgo

Artículo 6: Normas de clasificación de los sistemas de IA de alto riesgo

Artículo 7: Modificaciones del anexo III

Sección 2: Requisitos de los sistemas de IA de alto riesgo

Artículo 8: Cumplimiento de los requisitos

Artículo 9: Sistema de gestión de riesgos

Artículo 10: Datos y gobernanza de datos

Artículo 11: Documentación técnica

Artículo 12: Mantenimiento de registros

Artículo 13: Transparencia y suministro de información a los empresarios

Artículo 14: Supervisión humana

Artículo 15: Precisión, robustez y ciberseguridad

Sección 3: Obligaciones de los proveedores e implantadores de sistemas de IA de alto riesgo y otras partes interesadas

Artículo 16: Obligaciones de los proveedores de sistemas de IA de alto riesgo

Artículo 17. Sistema de gestión de la calidad Sistema de gestión de la calidad

Artículo 18: Conservación de la documentación

Artículo 19: Registros generados automáticamente

Artículo 20: Acciones correctoras y deber de información

Artículo 21: Cooperación con las autoridades competentes

Artículo 22: Representantes autorizados de los proveedores de sistemas de IA de alto riesgo

Artículo 23: Obligaciones de los importadores

Artículo 24: Obligaciones de los distribuidores

Artículo 25: Responsabilidades a lo largo de la cadena de valor de la IA

Artículo 26: Obligaciones de los implantadores de sistemas de IA de alto riesgo

Artículo 27: Evaluación de impacto sobre los derechos fundamentales de los sistemas de IA de alto riesgo

Sección 4: Autoridades de notificación y organismos notificados

Artículo 28 Autoridades de notificación

Artículo 29: Solicitud de notificación de un organismo de evaluación de la conformidad

Artículo 30. Procedimiento de notificación Procedimiento de notificación

Artículo 31: Requisitos relativos a los organismos notificados

Artículo 32. Presunción de conformidad Presunción de conformidad con los requisitos relativos a los organismos notificados

Artículo 33: Filiales y subcontratación de los organismos notificados

Artículo 34. Obligaciones operativas de los organismos notificados Obligaciones operativas de los organismos notificados

Artículo 35: Números de identificación y listas de organismos notificados designados en virtud del presente Reglamento

Artículo 36: Modificaciones de las notificaciones

Artículo 37: Impugnación de la competencia de los organismos notificados

Artículo 38: Coordinación de los organismos notificados

Artículo 39. Organismos de evaluación de la conformidad de terceros países Organismos de evaluación de la conformidad de terceros países

Sección 5: Normas, evaluación de la conformidad, certificados, registro

Artículo 40: Normas armonizadas y productos de normalización

Artículo 41. Especificaciones comunes Especificaciones comunes

Artículo 42. Presunción de conformidad Presunción de conformidad con determinados requisitos

Artículo 43. Evaluación de la conformidad Evaluación de la conformidad

Artículo 44. Certificados Certificados

Artículo 45: Obligaciones de información de los organismos notificados

Artículo 46: Excepción al procedimiento de evaluación de la conformidad

Artículo 47 Declaración de conformidad de la UE

Artículo 48: Marcado CE

Artículo 49. Registro Registro

Sección 1: Seguimiento postcomercialización

Artículo 72: Seguimiento postcomercialización por parte de los proveedores y plan de seguimiento postcomercialización para sistemas de IA de alto riesgo

Sección 2: Intercambio de información sobre incidentes graves

Artículo 73. Notificación de incidentes graves Notificación de incidentes graves

Sección 3: Ejecución

Artículo 74: Vigilancia del mercado y control de los sistemas de IA en el mercado de la Unión

Artículo 75: Asistencia mutua, vigilancia del mercado y control de los sistemas de IA de propósito general

Artículo 76: Supervisión de las pruebas en condiciones reales por las autoridades de vigilancia del mercado

Artículo 77: Competencias de las autoridades de protección de los derechos fundamentales

Artículo 78. Confidencialidad Confidencialidad

Artículo 79: Procedimiento para tratar los sistemas de IA que presenten un riesgo a nivel nacional

Artículo 80: Procedimiento para tratar los sistemas de IA clasificados por el proveedor como de riesgo no elevado en aplicación del Anexo III

Artículo 81: Procedimiento de salvaguardia de la Unión

Artículo 82: Sistemas de IA conformes que presentan un riesgo

Artículo 83. Incumplimiento formal Incumplimiento formal

Artículo 84: Estructuras de apoyo a las pruebas de IA de la Unión

Sección 4: Recursos

Artículo 85: Derecho a presentar una reclamación ante una autoridad de vigilancia del mercado

Artículo 86: Derecho a la explicación de las decisiones individuales

Artículo 87. Notificación de infracciones y protección de los denunciantes Notificación de infracciones y protección de los denunciantes

Sección 5: Supervisión, investigación, aplicación y control de los proveedores de modelos de IA de propósito general

Artículo 88: Cumplimiento de las obligaciones de los proveedores de modelos de IA de propósito general

Artículo 89 : Acciones de control

Artículo 90: Alertas de riesgos sistémicos por la Comisión técnica científica

Artículo 91: Facultad de solicitar documentación e información

Artículo 92: Facultad de realizar evaluaciones

Artículo 93: Facultad de solicitar medidas

Artículo 94: Derechos procesales de los operadores económicos del modelo de IA de propósito general

Recitales

Anexos

Búsqueda en la Ley

2 de mayo de 2024 - El AI Act Explorer se ha actualizado con el contenido de la versión "Corrigendum" del Parlamento Europeo del 19 de abril de 2024. Es poco probable que el contenido de la Ley sufra más cambios.

Artículo 3: Definiciones

Comentarios - Estamos trabajando para mejorar esta herramienta. Por favor, envíe sus comentarios a Risto Uuk en risto@futureoflife.org

A efectos del presente Reglamento, se entenderá por

(1) "sistema de IA": un sistema basado en máquinas que está diseñado para funcionar con diversos niveles de autonomía y que puede mostrar capacidad de adaptación tras su despliegue, y que, para objetivos explícitos o implícitos, infiere, a partir de la entrada que recibe, cómo generar salidas tales como predicciones, contenidos, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales;

(2) "riesgo": la combinación de la probabilidad de que se produzca un daño y la gravedad de ese daño;

(3) "proveedor": una persona física o jurídica, autoridad pública, agencia u otro organismo que desarrolle un sistema de IA o un modelo de IA de propósito general o que haga desarrollar un sistema de IA o un modelo de IA de propósito general y lo comercialice o ponga en servicio el sistema de IA bajo su propio nombre o marca, ya sea a cambio de una remuneración o de forma gratuita;

(4) "implantador": una persona física o jurídica, autoridad pública, agencia u otro organismo que utilice un sistema de IA bajo su autoridad, excepto cuando el sistema de IA se utilice en el curso de una actividad personal no profesional;

(5) "representante autorizado": una persona física o jurídica situada o establecida en la Unión que ha recibido y aceptado un mandato escrito de un proveedor de un sistema de IA o de un modelo de IA de propósito general para, respectivamente, ejecutar y llevar a cabo en su nombre las obligaciones y procedimientos establecidos por el presente Reglamento;

(6) "importador": una persona física o jurídica situada o establecida en la Unión que comercializa un sistema de IA que lleva el nombre o la marca comercial de una persona física o jurídica establecida en un tercer país;

(7) "distribuidor": una persona física o jurídica de la cadena de suministro, distinta del proveedor o del importador, que comercializa un sistema de IA en el mercado de la Unión;

(8) "operador": proveedor, fabricante de productos, implantador, representante autorizado, importador o distribuidor;

(9) "comercialización": la primera puesta a disposición en el mercado de la Unión de un sistema de IA o de un modelo de IA de propósito general;

(10) "comercialización": el suministro de un sistema de IA o de un modelo de IA de propósito general para su distribución o uso en el mercado de la Unión en el transcurso de una actividad comercial, ya sea a cambio de una remuneración o de forma gratuita;

(11) "puesta en servicio": el suministro de un sistema de IA para su primer uso directamente al usuario o para uso propio en la Unión para los fines previstos;

(12) "finalidad prevista": el uso al que el proveedor destina un sistema de IA, incluidos el contexto y las condiciones de uso específicos, tal como se especifica en la información facilitada por el proveedor en las instrucciones de uso, el material promocional o de venta y las declaraciones, así como en la documentación técnica;

(13) "uso indebido razonablemente previsible": el uso de un sistema de IA de un modo no conforme con su finalidad prevista, pero que puede resultar de un comportamiento humano razonablemente previsible o de la interacción con otros sistemas, incluidos otros sistemas de IA;

(14) "componente de seguridad": un componente de un producto o de un sistema de IA que cumple una función de seguridad para dicho producto o sistema de IA, o cuyo fallo o mal funcionamiento pone en peligro la salud y la seguridad de las personas o los bienes;

(15) "instrucciones de uso": la información facilitada por el proveedor para informar al usuario, en particular, sobre la finalidad prevista y el uso adecuado de un sistema de IA;

(16) "retirada de un sistema de IA": cualquier medida destinada a lograr la devolución al proveedor o la puesta fuera de servicio o la inutilización del uso de un sistema de IA puesto a disposición de los implantadores;

(17) "retirada de un sistema de IA": cualquier medida destinada a impedir que un sistema de IA de la cadena de suministro se comercialice;

(18) "rendimiento de un sistema de inteligencia artificial": la capacidad de un sistema de inteligencia artificial para lograr su finalidad prevista;

(19) "autoridad notificante": la autoridad nacional responsable de establecer y aplicar los procedimientos necesarios para la evaluación, designación y notificación de los organismos de evaluación de la conformidad y de su supervisión;

(20) "evaluación de la conformidad": el proceso de demostrar si se han cumplido los requisitos establecidos en el capítulo III, sección 2, relativos a un sistema de IA de alto riesgo;

(21) "organismo de evaluación de la conformidad": un organismo que realiza actividades de evaluación de la conformidad por terceros, incluidos los ensayos, la certificación y la inspección;

(22) "organismo notificado": un organismo de evaluación de la conformidad notificado con arreglo al presente Reglamento y a otra legislación pertinente de armonización de la Unión;

(23) "modificación sustancial": un cambio en un sistema de IA tras su comercialización o puesta en servicio que no esté previsto o planificado en la evaluación inicial de la conformidad efectuada por el proveedor y como resultado del cual se vea afectada la conformidad del sistema de IA con los requisitos establecidos en la sección 2 del capítulo III o se produzca una modificación de la finalidad prevista para la que se ha evaluado el sistema de IA;

(24) "marcado CE": un marcado por el que un proveedor indica que un sistema de IA es conforme a los requisitos establecidos en el capítulo III, sección 2, y en otra legislación de armonización de la Unión aplicable que disponga su colocación;

(25) "sistema de seguimiento poscomercialización": todas las actividades llevadas a cabo por los proveedores de sistemas de IA para recopilar y revisar la experiencia adquirida con el uso de los sistemas de IA que comercializan o ponen en servicio, con el fin de identificar cualquier necesidad de aplicar inmediatamente las medidas correctoras o preventivas necesarias;

(26) "autoridad de vigilancia del mercado": la autoridad nacional que lleva a cabo las actividades y adopta las medidas de conformidad con el Reglamento (UE) 2019/1020;

(27) "norma armonizada": una norma armonizada tal como se define en el artículo 2, apartado 1, letra c), del Reglamento (UE) nº 1025/2012;

(28) "especificación común": un conjunto de especificaciones técnicas, tal como se definen en el artículo 2, punto 4, del Reglamento (UE) nº 1025/2012, que proporciona medios para cumplir determinados requisitos establecidos en virtud del presente Reglamento;

(29) "datos de entrenamiento": datos utilizados para entrenar un sistema de IA mediante el ajuste de sus parámetros aprendibles;

(30) "datos de validación": datos utilizados para proporcionar una evaluación del sistema de IA entrenado y para ajustar sus parámetros no aprendibles y su proceso de aprendizaje con el fin, entre otras cosas, de evitar la adaptación insuficiente o excesiva;

(31) "conjunto de datos de validación": conjunto de datos separado o parte del conjunto de datos de entrenamiento, ya sea como división fija o variable;

(32) "datos de ensayo": los datos utilizados para proporcionar una evaluación independiente del sistema de IA con el fin de confirmar el rendimiento esperado de dicho sistema antes de su comercialización o puesta en servicio;

(33) "datos de entrada": los datos proporcionados a un sistema de IA o adquiridos directamente por éste, a partir de los cuales el sistema produce un resultado;

(34) "datos biométricos": los datos personales resultantes de un tratamiento técnico específico relativo a las características físicas, fisiológicas o de comportamiento de una persona física, como las imágenes faciales o los datos dactiloscópicos;

(35) "identificación biométrica": el reconocimiento automatizado de rasgos humanos físicos, fisiológicos, conductuales o psicológicos con el fin de establecer la identidad de una persona física mediante la comparación de datos biométricos de dicha persona con datos biométricos de individuos almacenados en una base de datos;

(36) "verificación biométrica": la verificación automatizada y unívoca, incluida la autenticación, de la identidad de personas físicas mediante la comparación de sus datos biométricos con datos biométricos facilitados previamente;

(37) "categorías especiales de datos personales": las categorías de datos personales a que se refieren el artículo 9, apartado 1, del Reglamento (UE) 2016/679, el artículo 10 de la Directiva (UE) 2016/680 y el artículo 10, apartado 1, del Reglamento (UE) 2018/1725;

(38) "datos operativos sensibles": los datos operativos relacionados con actividades de prevención, detección, investigación o enjuiciamiento de delitos, cuya divulgación podría poner en peligro la integridad de los procedimientos penales;

(39) "sistema de reconocimiento de emociones": un sistema de IA destinado a identificar o deducir emociones o intenciones de personas físicas a partir de sus datos biométricos;

(40) "sistema de categorización biométrica": un sistema de IA destinado a asignar personas físicas a categorías específicas sobre la base de sus datos biométricos, a menos que sea auxiliar de otro servicio comercial y estrictamente necesario por razones técnicas objetivas;

(41) "sistema de identificación biométrica a distancia": un sistema de IA destinado a identificar a personas físicas, sin su participación activa, normalmente a distancia, mediante la comparación de los datos biométricos de una persona con los datos biométricos contenidos en una base de datos de referencia;

(42) "sistema de identificación biométrica a distancia en tiempo real": un sistema de identificación biométrica a distancia en el que la captura de los datos biométricos, la comparación y la identificación se producen sin demora significativa, y que comprende no sólo la identificación instantánea, sino también demoras breves limitadas para evitar la elusión;

(43) "sistema de identificación biométrica a distancia posterior": un sistema de identificación biométrica a distancia distinto de un sistema de identificación biométrica a distancia en tiempo real;

(44) "espacio de acceso público": cualquier lugar físico de propiedad pública o privada accesible a un número indeterminado de personas físicas, con independencia de que puedan aplicarse determinadas condiciones de acceso y de las posibles restricciones de capacidad;

(45) "autoridad policial"::

(a) cualquier autoridad pública competente en materia de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluida la salvaguardia y prevención de amenazas para la seguridad pública; o

(b) cualquier otro organismo o entidad al que la legislación de un Estado miembro encomiende el ejercicio de la autoridad pública y de los poderes públicos con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la salvaguardia y la prevención de amenazas para la seguridad pública;

(46) "aplicación de la ley": las actividades llevadas a cabo por las autoridades policiales o judiciales o en su nombre para la prevención, investigación, detección o enjuiciamiento de delitos o la ejecución de sanciones penales, incluida la protección contra las amenazas a la seguridad pública y su prevención;

(47) "Oficina de Inteligencia Artificial": la función de la Comisión de contribuir a la aplicación, el seguimiento y la supervisión de los sistemas de inteligencia artificial y los modelos de inteligencia artificial de uso general, así como a la gobernanza de la inteligencia artificial, prevista en la Decisión de la Comisión de 24 de enero de 2024; las referencias del presente Reglamento a la Oficina de Inteligencia Artificial se entenderán hechas a la Comisión;

(48) "autoridad nacional competente": una autoridad notificante o una autoridad de vigilancia del mercado; por lo que respecta a los sistemas de IA puestos en servicio o utilizados por instituciones, agencias, oficinas y organismos de la Unión, las referencias a las autoridades nacionales competentes o a las autoridades de vigilancia del mercado en el presente Reglamento se entenderán como referencias al Supervisor Europeo de Protección de Datos;

(49) "incidente grave": un incidente o un mal funcionamiento de un sistema de IA que provoque directa o indirectamente cualquiera de las siguientes situaciones

(a) la muerte de una persona o un daño grave para la salud de una persona;

(b) una perturbación grave e irreversible de la gestión o el funcionamiento de infraestructuras críticas.

(c) el incumplimiento de las obligaciones derivadas del Derecho de la Unión destinadas a proteger los derechos fundamentales;

(d) daños graves a la propiedad o al medio ambiente;

(50) "datos personales": los datos personales definidos en el artículo 4, punto 1, del Reglamento (UE) 2016/679;

(51) "datos no personales": datos distintos de los datos personales definidos en el artículo 4, punto 1, del Reglamento (UE) 2016/679;

(52) "elaboración de perfiles": la elaboración de perfiles definida en el artículo 4, punto 4, del Reglamento (UE) 2016/679;

(53) "plan de ensayos en condiciones reales": documento que describe los objetivos, la metodología, el ámbito geográfico, poblacional y temporal, el seguimiento, la organización y la realización de los ensayos en condiciones reales;

(54) "plan del arenero": documento acordado entre el proveedor participante y la autoridad competente en el que se describen los objetivos, las condiciones, el calendario, la metodología y los requisitos de las actividades realizadas dentro del arenero;

(55) "espacio aislado regulador de la IA": un marco controlado establecido por una autoridad competente que ofrece a los proveedores o posibles proveedores de sistemas de IA la posibilidad de desarrollar, entrenar, validar y probar, en su caso en condiciones reales, un sistema de IA innovador, con arreglo a un plan de espacio aislado durante un tiempo limitado bajo supervisión reguladora;

(56) "alfabetización en materia de IA": las capacidades, conocimientos y comprensión que permiten a los proveedores, implantadores y personas afectadas, teniendo en cuenta sus respectivos derechos y obligaciones en el contexto del presente Reglamento, realizar una implantación informada de los sistemas de IA, así como adquirir conciencia de las oportunidades y riesgos de la IA y de los posibles daños que puede causar;

(57) "ensayo en condiciones reales": el ensayo temporal de un sistema de IA para su finalidad prevista en condiciones reales fuera de un laboratorio o de un entorno simulado de otro modo, con vistas a recopilar datos fiables y sólidos y a evaluar y verificar la conformidad del sistema de IA con los requisitos del presente Reglamento, y no se considera comercialización o puesta en servicio del sistema de IA en el sentido del presente Reglamento, siempre que se cumplan todas las condiciones establecidas en los artículos 57 o 60;

(58) "sujeto": a efectos de los ensayos en condiciones reales, una persona física que participa en los ensayos en condiciones reales;

(59) "consentimiento informado": la manifestación libre, específica, inequívoca y voluntaria de un sujeto de su voluntad de participar en un ensayo concreto en condiciones reales, tras haber sido informado de todos los aspectos del ensayo que son relevantes para la decisión del sujeto de participar;

(60) "deep fake": contenido de imagen, audio o vídeo generado o manipulado por IA que se asemeja a personas, objetos, lugares, entidades o acontecimientos existentes y que a una persona le parecería falsamente auténtico o veraz;

(61) "infracción generalizada": cualquier acción u omisión contraria al Derecho de la Unión que proteja los intereses de las personas, que:

(a) haya perjudicado o pueda perjudicar los intereses colectivos de particulares residentes en al menos dos Estados miembros distintos del Estado miembro en el que:

(i) el acto u omisión se originó o tuvo lugar;

(ii) el prestador de que se trate o, en su caso, su representante autorizado esté situado o establecido

(iii) se establece quién es el autor de la infracción, cuando la infracción es cometida por el autor de la infracción;

(b) haya causado, cause o pueda causar un perjuicio a los intereses colectivos de los particulares y presente características comunes, como la misma práctica ilícita o el mismo interés vulnerado, y se produzca de forma concurrente, cometida por el mismo operador, en al menos tres Estados miembros;

(62) "infraestructura crítica": la infraestructura crítica definida en el artículo 2, punto (4), de la Directiva (UE) 2022/2557;

(63) "modelo de IA de propósito general": un modelo de IA, incluso cuando dicho modelo de IA se entrene con una gran cantidad de datos utilizando la autosupervisión a escala, que muestre una generalidad significativa y sea capaz de realizar de forma competente una amplia gama de tareas distintas, independientemente de la forma en que se comercialice el modelo, y que pueda integrarse en una variedad de sistemas o aplicaciones posteriores, excepto los modelos de IA que se utilicen para actividades de investigación, desarrollo o creación de prototipos antes de su comercialización;

(64) "capacidades de alto impacto": capacidades que igualan o superan las capacidades registradas en los modelos de IA de propósito general más avanzados;

(65) "riesgo sistémico": un riesgo específico de las capacidades de alto impacto de los modelos de IA de propósito general, que tiene un impacto significativo en el mercado de la Unión debido a su alcance, o debido a efectos negativos reales o razonablemente previsibles sobre la salud pública, la seguridad, la seguridad pública, los derechos fundamentales o la sociedad en su conjunto, que pueden propagarse a escala a través de la cadena de valor;

(66) "sistema de IA de propósito general": un sistema de IA que se basa en un modelo de IA de propósito general y que tiene capacidad para servir a diversos fines, tanto para su uso directo como para su integración en otros sistemas de IA;

(67) "operación en coma flotante": cualquier operación matemática o asignación que implique números en coma flotante, que son un subconjunto de los números reales típicamente representados en los ordenadores por un número entero de precisión fija escalado por un exponente entero de base fija;

(68) "proveedor intermedio": un proveedor de un sistema de IA, incluido un sistema de IA de propósito general, que integra un modelo de IA, con independencia de que el modelo de IA sea proporcionado por ellos mismos e integrado verticalmente o proporcionado por otra entidad sobre la base de relaciones contractuales.

El texto utilizado en esta herramienta es la "Ley de Inteligencia Artificial, Corrección de errores, 19 de abril de 2024". Fichero interinstitucional: 2021/0106(COD)