Europe welcomes the world's first regulation on artificial intelligence

On 21 May, the European Council adopted the first European Regulation aimed at ensuring respect for human rights, the rule of law and democratic legal standards in the use of artificial intelligence systems (hereinafter "the AI Regulation"). It has just been published in the European Parliament and the Council, the OJEU on 12 July.

What does it regulate?

The AI Regulation aims to regulate the provision and deployment of artificial intelligence systems in order to minimise the associated risks, applying to providers of artificial intelligence systems that are implemented or marketed within the European Union, or whose results ("output") are used in this territory, regardless of their place of origin. Furthermore, it extends to the users of these systems, considering as users those who deploy or operate these systems for third parties, and not the end users (citizens, consumers, etc.) who are affected by them.

This risk-based approach to regulating the use of artificial intelligence means that the different obligations relating to these technologies differ according to the threats they may pose to society.

Thus, the AI Regulation establishes a classification according to the degree of risk, imposing light transparency obligations for those presenting a limited risk and stricter requirements for both the development and implementation of artificial intelligence systems that present a high risk, up to the prohibition of AI systems that are considered to present unacceptable risks.

Thus, AI systems that use biometric data for certain purposes, such as the creation of facial recognition databases by extracting images from the internet or the assessment and classification of people based on their social behaviour or personal characteristics, will be banned.

It also addresses general purpose artificial intelligence models, which will be subject to certain requirements, for example on transparency.

Who is affected?

Although it mainly affects companies that develop artificial intelligence systems and launch them on the market, it also affects any company or professional that implements artificial intelligence solutions, as well as States in their use of artificial intelligence for the provision of public services.

What does it consist of?

The Regulation prohibits certain AI systems and establishes transparency and oversight requirements tailored to specific contexts and risks for others, including for example the identification of content generated by AI systems, as well as imposing obligations to ensure that AI systems respect equality, the prohibition of discrimination and the right to privacy.

What will be the applicable penalties for non-compliance with the regulation?

The European Commission will have the power to impose fines on companies that violate the AI Regulation of up to €38 million or 7% of their global annual revenue, whichever is higher.

When does it come into force?

After being approved by the Presidents of the European Parliament and the Council, the OJEU published the "European Regulation 2024/1689 laying down harmonised rules in the field of artificial intelligence", last Friday 12 July. This Regulation will enter into force 20 days after its publication in the OJEU, on 1 August 2024. However, it will not be until 2 August 2026 that the measures will start to apply, with the exception of:

• Provisions on the subject matter, scope, definitions and prohibited practices (Chapters I and II) that will apply from 2 February 2025;
• Provisions on notifying authorities and notified bodies, Chapter V on general purpose AI models (classification, obligations, etc.), provisions on governance and penalties (except fines for providers of general purpose AI models) and Article 78 on confidentiality obligations, applicable as of 2 August 2025;
• Article 6.1 on classification rules for high-risk AI systems and corresponding obligations, applicable from 2 August 2027.
• Obligations for certain IA systems that are components of large-scale IT systems established by EU legislation, such as the Schengen Information System, which will not be applicable until the end of 2030.

Across Legal provides our clients with advice in relation to the development and/or use of AI systems through the analysis of the AI Regulation, as well as the subsequent preparation of a personal and individualised report on the specific case, addressing aspects such as the legal implications arising from the use of artificial intelligence and our recommendations to comply with the requirements of the AI Regulation.

We also offer our clients the subsequent implementation of the obligations set out in the report and any other legal queries that may arise during the process. If you want to know more, contact Across Legal and our IPIT team will provide you with detailed guidance on how the AI Regulation could affect you and help you develop strategies to comply with the requirements of the new applicable regulation.

Europa da la bienvenida al primer reglamento que regula la Inteligencia Artificial del mundo

El pasado día 21 de mayo el Consejo Europeo aprobó el primer Reglamento Europeo destinado a garantizar el respeto de los derechos humanos, del Estado de Derecho y las normas jurídicas democráticas en el uso de los sistemas de inteligencia artificial (en adelante “Reglamento de IA”). Ha sido publicado en el Diario Oficial de la Unión Europea (DOUE) con fecha 12 de julio.

¿Qué regula?

El Reglamento de IA tiene como objetivo regular la provisión y despliegue de sistemas de inteligencia artificial para minimizar los riesgos asociados, aplicándose a los proveedores de sistemas de inteligencia artificial que se implementen o comercialicen dentro de la Unión Europea, o cuyos resultados (“output”) se utilicen en este territorio, independientemente del lugar de su origen. Además, se extiende a los usuarios de estos sistemas, considerando como tales a quienes desplieguen o exploten estos sistemas ante terceros, y no a los usuarios finales (ciudadanos, consumidores, etc.) que se ven afectados por ellos.

Este enfoque, basado en los riesgos para regular el uso de la inteligencia artificial, implica que las distintas obligaciones relativas a estas tecnologías sean diferentes según las amenazas que puedan suponer para la sociedad.

Así, el Reglamento de IA establece una clasificación en función del grado de riesgo, imponiendo obligaciones de transparencia leves para aquellos que presenten un riesgo limitado y requisitos más estrictos, tanto para el desarrollo como para la implementación de los sistemas de inteligencia artificial que presenten un alto riesgo, hasta la prohibición de sistemas de IA que consideran que presentan riesgos inaceptables.  De este modo, quedarán prohibidos todos aquellos sistemas de inteligencia artificial que utilicen datos biométricos para determinados fines, como la creación de bases de datos de reconocimiento facial a partir de la extracción de imágenes de internet o la evaluación y clasificación de las personas por su comportamiento social o sus características personales.

También aborda los modelos de inteligencia artificial de propósito general, que estarán sujetos a ciertos requisitos, como por ejemplo en materia de transparencia.

¿A quién afecta?

Aunque afecta principalmente a las empresas que desarrollan sistemas de inteligencia artificial y los lanzan al mercado, también afecta a cualquier empresa o profesional que implemente soluciones de inteligencia artificial, así como a los Estados en el uso que hagan de ésta para la prestación de servicios públicos.

¿En qué consiste?

El Reglamento prohíbe determinados sistemas de IA y establece requisitos de transparencia y supervisión adaptados a contextos y riesgos específicos para los demás, incluida por ejemplo la identificación de contenidos generados por sistemas de IA, así como la imposición de obligaciones para que se garantice que los sistemas IA respetan la igualdad, la prohibición de la discriminación y el derecho a la intimidad.

¿Cuáles serán las sanciones aplicables por el incumplimiento de la normativa?

La Comisión Europea tendrá el poder de imponer multas a las empresas que violen el Reglamento de IA de hasta 38 millones de euros o del 7% de sus ingresos anuales globales, lo que sea mayor.

¿Cuándo entra en vigor?

Después de ser aprobado por los presidentes del Parlamento Europeo y del Consejo, el DOUE publicó el “Reglamento Europeo 2024/1689, por el que se establecen normas armonizadas en materia de inteligencia artificial” el pasado viernes 12 de julio. Este Reglamento entrará en vigor 20 días después de su publicación en el DOUE, el 1 de agosto de 2024. No obstante, no será hasta el 2 de agosto de 2026 cuando las medidas comenzarán a aplicarse a excepción de:

• Las disposiciones sobre el objeto, ámbito de aplicación, definiciones y prácticas prohibidas (Capítulos I y II) que serán aplicables a partir del 2 de febrero de 2025;
• Las disposiciones sobre autoridades notificantes y organismos notificados, el capítulo V sobre modelos de inteligencia artificial de uso general (clasificación, obligaciones, etc.), las disposiciones relativas a la gobernanza y sanciones (salvo multas a proveedores de modelos de IA de uso general) y el artículo 78 sobre obligaciones de confidencialidad, aplicables a partir del 2 de agosto de 2025;
• El artículo 6.1 sobre las reglas de clasificación de sistemas de IA de alto riesgo y sus obligaciones correspondientes, aplicables a partir del 2 de agosto de 2027.
• Las obligaciones para determinados sistemas de IA que son componentes en los sistemas de tecnología de la información a gran escala establecidos por la legislación de la UE, como el Sistema de Información de Schengen, que no serán aplicables hasta finales de 2030.

Desde Across Legal proporcionamos a nuestros clientes asesoramiento en relación con el desarrollo y/o uso de sistemas de IA mediante el análisis del referido Reglamento de IA, así como la posterior elaboración de un informe personal e individualizado al caso concreto, abordando aspectos tales como las implicaciones legales derivadas del uso de inteligencia artificial y nuestras recomendaciones para cumplir con las exigencias del Reglamento de IA.

Asimismo, ofrecemos a nuestros clientes la posterior implementación de las obligaciones plasmadas en el informe y en cualquier otra consulta jurídica que pudiera surgir durante el proceso.

Si quieres saber más, consulta con Across Legal y nuestro equipo de IPIT te proporcionará orientación detallada sobre como el Reglamento IA podría afectarte y ayudarte a desarrollar aquellas estrategias para cumplir con los requerimientos de la nueva normativa aplicable.