Español English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_SPA/header.php</b> on line <b>89</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Días de semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > La ley de regulación de la IA en la UE y las respuestas necesarias para las empresas japonesas

La ley de regulación de la IA en la UE y las respuestas necesarias para las empresas japonesas

IT

La ley de regulación de la IA en la UE y las respuestas necesarias para las empresas japonesas

El 12 de julio de 2024 (Reiwa 6), se promulgó la “Ley de Regulación de la IA (EU AI Act)” en la Unión Europea, y entró en vigor el 1 de agosto del mismo año.
Esta ley regula el uso y la provisión de sistemas de IA dentro de la UE y, a partir de 2025, también requerirá ciertas medidas por parte de las empresas japonesas.

En concreto, al igual que los operadores de sitios de comercio electrónico dentro de Japón necesitan cumplir con el “Reglamento General de Protección de Datos (GDPR)” de la UE, las empresas japonesas que proporcionen productos o servicios relacionados con la IA a clientes dentro de la UE podrían estar sujetas a la aplicación de la Ley de Regulación de la IA de la UE.

Aquí explicaremos cómo las empresas afectadas deben abordar la clasificación de riesgos de los sistemas de IA y las evaluaciones de conformidad, entre otras respuestas regulatorias, en consecuencia con la implementación de esta ley.

Premisa: Diferencias entre “Reglamentos” y “Directivas” en la UE

Antes de explicar la Ley de Regulación de la IA en sí, es necesario entender, como premisa, la diferencia entre “Reglamentos” y “Directivas” en el derecho de la UE.

En primer lugar, los “Reglamentos” son leyes que se aplican directamente a los estados miembros, empresas, etc., dentro de la UE. Esto significa que tienen prioridad sobre las leyes nacionales de los estados miembros y se aplican reglas uniformes en toda la UE. Por lo tanto, cuando un Reglamento entra en vigor, se implementa un estado en el que el mismo contenido regulatorio se aplica en todos los estados miembros de la UE.

Por otro lado, las “Directivas” son leyes destinadas a coordinar y unificar el contenido regulatorio entre los estados miembros de la UE. Sin embargo, las Directivas no se aplican directamente a los estados miembros; cada país debe transponer el contenido establecido por la Directiva en su legislación nacional. Normalmente, los estados miembros deben establecer o modificar su legislación nacional dentro de los tres años posteriores a la publicación de la Directiva en el Diario Oficial de la UE.

Una característica de las “Directivas” es que, al convertirlas en ley nacional, se concede cierto margen de discreción a cada estado miembro, lo que puede resultar en diferencias en el contenido de las leyes de cada país. Es decir, las leyes basadas en “Directivas” no están completamente unificadas en la UE, y es necesario tener en cuenta que pueden surgir diferencias entre los países.

Con esta distinción en mente, la Ley de Regulación de la IA se ha establecido como un “Reglamento”. Esto significa que la Ley de Regulación de la IA se aplica directamente a las empresas ubicadas dentro de la UE.

Artículo relacionado: Imprescindible para empresas que se expanden a Europa: Explicación de los puntos clave sobre el derecho y el sistema legal de la UE[ja]

La Aplicación Extraterritorial de la Ley de Regulación de la IA y su Impacto en Japón

¿Qué es la Aplicación Extraterritorial?

La “aplicación extraterritorial” se refiere a la extensión de una ley promulgada en un país a actos realizados fuera del territorio sobre el cual ese país ejerce soberanía. La aplicación extraterritorial se justifica en el contexto de la globalización económica y la internacionalización de las actividades Negocios, con el objetivo de asegurar que las actividades económicas mundiales se lleven a cabo de manera justa y adecuada.

Un ejemplo que ha llevado a un amplio reconocimiento de este concepto es el GDPR (Reglamento General de Protección de Datos de la UE). Según el GDPR, incluso las empresas que no tienen una base en la UE pueden estar sujetas a su aplicación (aplicación extraterritorial) si cumplen con los siguientes requisitos:

  • Si ofrecen servicios o productos a personas dentro de la UE.
  • Si procesan datos personales con el propósito de monitorear el comportamiento de personas dentro de la UE.

Por ejemplo, en las directrices de 2020 se aclaró que las empresas fuera de la UE que envían empleados en viajes de negocios a la UE y procesan información personal relacionada durante ese período, están excluidas de la aplicación, aunque inicialmente se debatió su aplicación extraterritorial.

La Aplicación Extraterritorial de la Ley de Regulación de la IA de la UE

La Ley de Regulación de la IA de la UE también permite la aplicación extraterritorial a empresas ubicadas fuera de la UE. Los siguientes proveedores y actividades están sujetos a esta ley:

  • Proveedores (Providers): Aquellos que desarrollan sistemas de IA o modelos de GPAI, los que hacen desarrollar y lanzan al mercado sistemas de IA o modelos de GPAI, o los que operan sistemas de IA bajo su propio nombre o marca comercial.
  • Usuarios (Users): Aquellos que utilizan sistemas de IA bajo su propia autoridad (excluyendo aquellos que los usan para actividades personales y no profesionales).
  • Importadores (Importers): Importadores ubicados o establecidos dentro de la UE que introducen al mercado de la UE sistemas de IA con el nombre o marca comercial de una persona natural o jurídica establecida fuera de la UE.
  • Distribuidores (Distributers): Personas naturales o jurídicas que pertenecen a la cadena de suministro que ofrece sistemas de IA en el mercado de la UE, distintos de los proveedores o importadores.

Como se ha mencionado, incluso las empresas ubicadas fuera de la UE están sujetas a la Ley de Regulación de la IA de la UE si ofrecen, operan, importan o utilizan sistemas de IA o modelos de GPAI dentro de la UE.

Características de la Ley de Regulación de la IA de la UE: Enfoque Basado en Riesgos

Características de la Ley de Regulación de la IA de la UE: Enfoque Basado en Riesgos

¿Qué es el Enfoque Basado en Riesgos?

Una de las principales características de la Ley de Regulación de la IA de la UE es la “regulación según el contenido y el grado de riesgo” (enfoque basado en riesgos).

El “enfoque basado en riesgos” se refiere al método de ajustar la intensidad de la regulación basándose en el contenido y el grado de riesgo. Este enfoque determina la severidad de la regulación aplicada a un sistema de IA de acuerdo con la gravedad de los riesgos que podría generar.

En concreto, a los sistemas de IA con un alto nivel de riesgo se les aplican regulaciones más estrictas, mientras que a los sistemas con un riesgo más bajo se les aplican regulaciones más flexibles. Esto permite evitar regulaciones excesivas en sistemas con bajo riesgo y, por el contrario, asegurar una supervisión y gestión adecuadas en sistemas con alto riesgo.

Sistemas de IA con Riesgos Inaceptables Bajo la Ley Japonesa

En primer lugar, los sistemas de inteligencia artificial (IA) que se consideran con riesgos inaceptables son vistos como una amenaza para las personas y, en principio, están prohibidos en Japón.

Por ejemplo, sistemas de IA que manipulan la cognición o el comportamiento de usuarios pertenecientes a grupos vulnerables, como juguetes activados por voz que fomentan comportamientos peligrosos en niños, entran en esta categoría. También se prohíbe el escoramiento social, que clasifica a las personas basándose en su comportamiento, estatus socioeconómico o características personales. Además, los sistemas de “biometría en tiempo real y a distancia”, que utilizan tecnologías como el reconocimiento facial para identificar a individuos comparándolos con una base de datos de información biométrica humana, también están prohibidos en principio.

Sin embargo, se han establecido excepciones que permiten el uso de estos sistemas en ciertos casos. Específicamente, los sistemas de biometría en tiempo real y a distancia solo pueden utilizarse en un número limitado de incidentes graves. Por otro lado, los sistemas de biometría a distancia posteriores al hecho solo se permiten con la aprobación de un tribunal y con el propósito de procesar crímenes graves.

Además, entre las excepciones que permiten la implementación de estos sistemas se incluyen situaciones como la búsqueda de niños desaparecidos u otras posibles víctimas de delitos, la prevención de amenazas concretas e inminentes a la seguridad de la vida o la integridad física de las personas, o ataques terroristas, así como la detección y localización de delincuentes o sospechosos de delitos graves. Estas excepciones están sujetas a estrictas restricciones que generalmente requieren la previa autorización de un tribunal, lo que exige un manejo cuidadoso y prudente del uso de sistemas de IA.

Sistemas de IA de Alto Riesgo

Los sistemas de IA clasificados como de alto riesgo son aquellos que podrían tener un impacto negativo en la seguridad o en los derechos humanos fundamentales. Estos sistemas pueden ser utilizados siempre y cuando cumplan con ciertos requisitos y obligaciones (evaluación de conformidad).

Los sistemas de IA de alto riesgo se dividen en dos categorías principales. La primera incluye sistemas de IA que se utilizan en productos que están sujetos a la legislación de seguridad de productos de la UE, como juguetes, aviación, automóviles, dispositivos médicos y ascensores. La segunda categoría comprende sistemas de IA que deben registrarse en una base de datos de la UE y que se utilizan en áreas específicas. Estas áreas incluyen la gestión y operación de infraestructuras críticas, educación y formación profesional, empleo y gestión de trabajadores, acceso a servicios públicos esenciales y beneficios, aplicación de la ley, inmigración y asilo, gestión de fronteras, y apoyo en la interpretación y aplicación de la ley.

Los sistemas de IA de alto riesgo requieren evaluación antes de su introducción en el mercado y a lo largo de su ciclo de vida. Además, se reconoce el derecho a presentar quejas sobre sistemas de IA ante las autoridades nacionales designadas.

En términos generales, se puede decir que los sistemas de IA de alto riesgo son aquellos que están implicados en la seguridad de la vida o la integridad física de las personas, como maquinaria y vehículos. Por ejemplo, la IA para la conducción autónoma podría caer bajo esta categoría, por lo que las empresas japonesas que desarrollan IA para la conducción autónoma y buscan expandirse internacionalmente deben considerar cuidadosamente si cumplen con los requisitos de un sistema de IA de alto riesgo y responder adecuadamente.

Sistemas de IA con Riesgos Limitados Bajo la Legislación Japonesa

En cuanto a los sistemas de IA con riesgos limitados, se contemplan riesgos como la falta de transparencia, así como los riesgos de suplantación, manipulación y fraude. Específicamente, los chatbots, deepfakes y la IA generativa se incluyen en esta categoría, y según la perspectiva del Parlamento Europeo, la mayoría de los sistemas de IA actualmente en uso se clasifican en esta categoría. Por ejemplo, los sistemas de traducción automática, consolas de videojuegos, robots que ejecutan procesos de fabricación repetitivos y sistemas de IA como la “Máquina de Eureka” también están incluidos aquí.

En el caso de la IA generativa, aunque no se clasifica como de alto riesgo, se requiere cumplir con los requisitos de transparencia y la conformidad con la ley de derechos de autor de la UE. Específicamente, se necesitan las siguientes medidas:

  • Divulgar claramente que el contenido ha sido generado por IA.
  • Diseñar modelos para evitar la creación de contenido ilegal.
  • Publicar un resumen de los datos protegidos por derechos de autor utilizados en el entrenamiento de la IA.

Además, modelos de IA general y de gran influencia como “GPT-4” (modelos GPAI), que pueden presentar riesgos sistémicos, requieren una evaluación exhaustiva. En caso de incidentes graves, se impone la obligación de informar a la Comisión Europea. Además, el contenido generado o modificado por IA (imágenes, audio, archivos de video, deepfakes, etc.) debe mostrar claramente que ha sido creado por IA, para que los usuarios puedan reconocer dicho contenido.

Sistemas de IA con el Mínimo Riesgo Bajo la Legislación Japonesa

Finalmente, en lo que respecta a los sistemas de inteligencia artificial (IA) con el mínimo riesgo, no se han establecido regulaciones específicas en Japón. Ejemplos concretos incluyen filtros de spam y sistemas de recomendación. En esta categoría, en lugar de regulaciones, se fomenta la creación y el cumplimiento de códigos de conducta.

Requisitos y Obligaciones para Sistemas de IA de Alto Riesgo bajo la Ley Japonesa

Requisitos y Obligaciones para Sistemas de IA de Alto Riesgo bajo la Ley Japonesa

Obligaciones de Proveedores, Usuarios, Importadores y Distribuidores

Como se ha distinguido anteriormente, los sistemas de IA de alto riesgo están sujetos a regulaciones particularmente estrictas debido a la gravedad de sus riesgos, y se exigen obligaciones específicas tanto a proveedores como a usuarios.

En primer lugar, se requiere que proveedores, usuarios, importadores y distribuidores establezcan un sistema de gestión de riesgos (Artículo 9). Esto implica la identificación y gestión adecuada de los riesgos inherentes a los sistemas de IA de alto riesgo, la implementación de un sistema para tal fin, y su documentación y mantenimiento continuo. En cuanto a la gobernanza de datos (Artículo 10), se exige el uso de conjuntos de datos de aprendizaje, validación y prueba que cumplan con los estándares de calidad. Esto es necesario porque la calidad y la fiabilidad de los datos deben ser gestionadas estrictamente incluso durante la fase de desarrollo del sistema de IA.

Además, se obliga a la creación de documentación técnica (Artículo 11). Esta documentación técnica debe contener la información necesaria para demostrar que el sistema de IA de alto riesgo cumple con los requisitos regulatorios y debe estar preparada para ser proporcionada a las autoridades competentes de los estados miembros o a organismos de certificación de terceros. También es necesario diseñar y desarrollar una función de registro que documente automáticamente los eventos durante la operación del sistema de IA (Artículo 12). Además, los sistemas de IA de alto riesgo deben registrarse en una base de datos bajo la administración de la UE antes de su introducción en el mercado, y los proveedores son responsables de establecer y mantener un sistema de gestión de calidad documentado.

Obligaciones del Proveedor

Los proveedores tienen la obligación de conservar la documentación técnica y los documentos relacionados con el sistema de gestión de calidad, las aprobaciones o decisiones de los organismos de certificación de terceros, etc., durante 10 años después de la introducción en el mercado o el inicio de la operación, y de presentarlos a petición de las autoridades nacionales competentes. De esta manera, los proveedores tienen la responsabilidad de mantener la calidad y la seguridad del sistema de IA a largo plazo y de asegurar la transparencia.

Obligaciones del Usuario

Por otro lado, también se imponen obligaciones específicas a los usuarios en relación con el uso de sistemas de IA de alto riesgo. Los usuarios deben conservar los registros generados automáticamente por el sistema de IA de alto riesgo durante un período apropiado, en función del propósito previsto del sistema de IA, a menos que existan disposiciones especiales en la legislación de la UE o de los estados miembros. Específicamente, se exige una conservación de al menos seis meses.

Además, cuando se inicia la operación o el uso de un sistema de IA de alto riesgo en el lugar de trabajo, el usuario, que es el empleador, tiene la obligación de notificar previamente a los representantes de los empleados y a los empleados afectados sobre el uso de dicho sistema. Esto se establece desde el punto de vista de la protección de los derechos de los trabajadores y la garantía de transparencia.

De esta manera, se establecen requisitos y obligaciones estrictas tanto para proveedores como para usuarios de sistemas de IA de alto riesgo. Especialmente en casos donde se manejan tecnologías de IA avanzadas como dispositivos médicos o sistemas de conducción autónoma, puede ser necesario realizar evaluaciones de conformidad y revisiones por parte de organismos de certificación de terceros, teniendo en cuenta la coherencia con los marcos regulatorios existentes, por lo que las empresas deben actuar con precaución y de manera planificada.

Cronograma de Implementación Gradual de la Ley de Regulación de la IA en Japón

Cronograma de Implementación Gradual de la Ley de Regulación de la IA en Japón

La Ley de Regulación de la IA de la UE tiene un cronograma de implementación gradual desde su promulgación hasta su aplicación. Esto requiere que las empresas se preparen y respondan adecuadamente en cada etapa.

El 12 de julio de 2024 (2024年7月12日), la Ley de Regulación de la IA se publicó en el boletín oficial y entró en vigor el 1 de agosto del mismo año. En esta etapa, se requiere que las empresas primero verifiquen y consideren el contenido de la regulación.

El 2 de febrero de 2025 (2025年2月2日), se aplicarán las disposiciones sobre “Disposiciones Generales” y “Sistemas de IA con Riesgos Inaceptables”. Si una empresa maneja un sistema de IA con riesgos inaceptables, debe detener su manejo de inmediato.

Luego, el 2 de mayo de 2025 (2025年5月2日), se publicarán los códigos de práctica para los proveedores de modelos de IA de propósito general (GPAI). Las empresas deben actuar de acuerdo con estos códigos de práctica.

Posteriormente, el 2 de agosto de 2025 (2025年8月2日), se aplicarán las disposiciones sobre “Modelos GPAI” y “Sanciones”, y cada estado miembro nombrará su autoridad competente. En esta etapa, los proveedores de modelos GPAI deben cumplir con las regulaciones pertinentes.

El 2 de febrero de 2026 (2026年2月2日), se publicarán las directrices sobre métodos de implementación de sistemas de IA según la Ley de Regulación de la IA. Al mismo tiempo, se obligará a la vigilancia post-venta de sistemas de IA de alto riesgo, y se requerirá un sistema para responder a esto.

Además, el 2 de agosto de 2026 (2026年8月2日), se aplicarán las disposiciones sobre “Sistemas de IA de Alto Riesgo” enumerados en el Anexo III. En este punto, los estados miembros deberán establecer un sandbox regulatorio de IA, y el cumplimiento de las regulaciones para los sistemas de IA de alto riesgo afectados será obligatorio.

Finalmente, el 2 de agosto de 2027 (2027年8月2日), se aplicarán las disposiciones sobre “Sistemas de IA de Alto Riesgo” enumerados en el Anexo I. Esto obligará a cumplir con las regulaciones para los sistemas de IA especificados en el Anexo I.

De esta manera, la Ley de Regulación de la IA se implementará gradualmente a lo largo de varios años, y las regulaciones correspondientes a la gravedad del riesgo se aplicarán secuencialmente. Las empresas deben comprender con precisión cada fecha de aplicación y avanzar en las respuestas adecuadas para los sistemas de IA afectados.

Artículo relacionado: ¿Cuál es el estado actual y las perspectivas de la Ley de Regulación de la IA en la UE? Explicación del impacto en las empresas japonesas[ja]

Guía de Estrategias por Monolith Law Office

Monolith Law Office es un despacho de abogados con una amplia experiencia en IT, especialmente en la intersección entre Internet y el derecho.

El negocio de la inteligencia artificial (AI) conlleva numerosos riesgos legales, y el apoyo de abogados especializados en cuestiones legales relacionadas con la AI es esencial. Nuestro despacho ofrece un soporte legal avanzado para negocios de AI, incluyendo ChatGPT, a través de un equipo de abogados y profesionales como ingenieros, que abarca la creación de contratos, la evaluación de la legalidad de modelos de negocio, la protección de derechos de propiedad intelectual y la gestión de la privacidad. Los detalles se encuentran en el artículo a continuación.

Áreas de práctica de Monolith Law Office: Asuntos legales de AI (incluyendo ChatGPT)[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Responsabilidad legal de los operadores de plataformas: ¿Cuáles son las cinco obligaciones que los casos judiciales han demostrado?

Responsabilidad legal de los operadores de plataformas: ¿Cuáles son las cinco obligaciones que l.

IT

¿Cuáles son los problemas legales y contractuales relacionados con el desarrollo ágil?

¿Cuáles son los problemas legales y contractuales relacionados con el desarrollo ágil?

IT

¿Cuál es la diferencia entre STO e ICO? Explicación sobre el concepto de Token de Seguridad y el significado de STO

¿Cuál es la diferencia entre STO e ICO? Explicación sobre el concepto de Token de Seguridad y el.

IT

Delitos como amenazas e incitación al suicidio en LINE

Delitos como amenazas e incitación al suicidio en LINE

IT

Riesgos y medidas asociadas con el uso de bibliotecas en la construcción de sistemas de negocios

Riesgos y medidas asociadas con el uso de bibliotecas en la construcción de sistemas de negocios

IT

¿Es la captura de pantalla una infracción de derechos de autor? Explicación sobre la identificación del autor de la publicación y métodos de eliminación

¿Es la captura de pantalla una infracción de derechos de autor? Explicación sobre la identificac.

IT

Problemas legales asociados con la transición desde sistemas antiguos en el desarrollo de sistemas

Problemas legales asociados con la transición desde sistemas antiguos en el desarrollo de sistem.

IT

¿Cuáles son los problemas legales relacionados con el servidor e infraestructura de desarrollo de sistemas?

¿Cuáles son los problemas legales relacionados con el servidor e infraestructura de desarrollo d.

IT

¿Cuáles son los puntos a tener en cuenta en el contrato SES? Explicación del contrato entre el proveedor y el ingeniero

¿Cuáles son los puntos a tener en cuenta en el contrato SES? Explicación del contrato entre el p.

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Volver arriba