Archivos de la etiqueta: Legislación Unión Europea

08Nov/24

Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital ( 2023/c  23/01)

Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital ( 2023/c  23/01) (Diario Oficial de la Unión Europea de 23 de enero de 2023)

Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital

(2023/C 23/01)

El Parlamento Europeo, el Consejo y la Comisión proclaman solemnemente la siguiente Declaración conjunta sobre los Derechos y Principios Digitales para la Década Digital

Preámbulo

Considerando lo siguiente:

                (1)          Tal como se consagra en el artículo 2 del Tratado de la Unión Europea, la Unión Europea (UE) es una «unión de valores» que se fundamenta en el respeto de la dignidad humana, la libertad, la democracia, la igualdad, el Estado de Derecho y el respeto de los derechos humanos, incluidos los derechos de las personas pertenecientes a minorías. Además, según la Carta de los Derechos Fundamentales de la Unión Europea, la UE está fundada sobre los valores indivisibles y universales de la dignidad humana, la libertad, la igualdad y la solidaridad. La Carta también reafirma los derechos que emanan, en particular, de las obligaciones internacionales comunes a los Estados miembros.

                (2)          La transformación digital afecta a todos los aspectos de la vida de las personas. Brinda grandes oportunidades para una mejor calidad de vida, el crecimiento económico y la sostenibilidad.

                (3)          Al mismo tiempo, la transformación digital presenta nuevos desafíos para nuestras sociedades democráticas, nuestras economías y para las personas. Con la aceleración de la transformación digital, ha llegado el momento de que la UE exprese cómo han de aplicarse en el mundo digital sus valores y sus derechos fundamentales que se aplican fuera de línea. La transformación digital no debe implicar un retroceso en los derechos. Lo que es ilegal fuera de línea, es ilegal en línea. La presente Declaración se entiende sin perjuicio de las «políticas fuera de línea», como tener acceso fuera de línea a servicios públicos esenciales.

                (4)          El Parlamento ha pedido en varias ocasiones el establecimiento de principios éticos que guíen el enfoque de la UE con respecto a la transformación digital, y que se garantice el pleno respeto de derechos fundamentales como la protección de datos, el derecho a la privacidad, la ausencia de discriminación, la igualdad de género, y de principios como la protección de los consumidores, la neutralidad tecnológica y de la red, la fiabilidad y la inclusividad. También ha pedido que se refuerce la protección de los derechos de los usuarios en el entorno digital, así como de los derechos de los trabajadores y el derecho a la desconexión (1).

                (5)          A partir de iniciativas previas como la «Declaración de Tallin sobre la administración electrónica» y la «Declaración de Berlín sobre la sociedad digital y el gobierno digital basado en valores», los Estados miembros, mediante la «Declaración de Lisboa: democracia digital con propósito», reclamaron un modelo de transformación digital que refuerce la dimensión humana del ecosistema digital y tenga como núcleo el mercado único digital. Los Estados miembros han reclamado un modelo de transformación digital que garantice la contribución de la tecnología a la acción por el clima y la protección del medio ambiente.

                (6)          La visión de la UE sobre la transformación digital sitúa a las personas en el centro, empodera a los ciudadanos e incentiva a las empresas innovadoras. La Decisión sobre el programa de política «Itinerario hacia la Década Digital» para 2030 establece las metas digitales concretas basadas en cuatro puntos cardinales: capacidades digitales, infraestructuras digitales, digitalización de las empresas y de los servicios públicos. La vía de la Unión para la transformación digital de nuestras sociedades y nuestra economía abarca en particular la soberanía digital de manera abierta, el respeto de los derechos fundamentales, el Estado de Derecho y la democracia, la inclusión, la accesibilidad, la igualdad, la sostenibilidad, la resiliencia, la seguridad, la mejora de la calidad de vida, la disponibilidad de servicios y el respeto de los derechos y aspiraciones de todas las personas. Debe contribuir a una economía y una sociedad dinámicas, eficientes en el uso de los recursos y justas en la UE.

                (7)          La presente Declaración expone las intenciones y compromisos políticos comunes y recuerda los derechos más importantes en el contexto de la transformación digital. La Declaración debe asimismo guiar a los responsables de las políticas cuando reflexionen sobre su concepción de la transformación digital: situar a las personas en el centro de la transformación digital; respaldar la solidaridad y la integración, mediante la conectividad, la educación, la formación y las capacidades digitales, unas condiciones de trabajo justas y equitativas, así como el acceso a los servicios públicos digitales en línea; recordar la importancia de la libertad de elección en la interacción con los algoritmos y los sistemas de inteligencia artificial, así como en un entorno digital equitativo; fomentar la participación en el espacio público digital; aumentar la seguridad, protección y empoderamiento en el entorno digital, en particular de los niños y jóvenes, al tiempo que se garantiza la privacidad y el control individual de los datos; promover la sostenibilidad. Los distintos capítulos de la presente Declaración deben constituir un marco de referencia integral y no deben leerse de forma aislada.

                (8)          La presente Declaración debe también servir de referencia a las empresas y otros agentes pertinentes a la hora de desarrollar e implantar nuevas tecnologías. A este respecto, es importante promover la investigación y la innovación. Asimismo, debe prestarse especial atención a las pymes y las empresas emergentes.

                (9)          Conviene reforzar el funcionamiento democrático de la sociedad y la economía digitales, en pleno respeto del Estado de Derecho, los recursos efectivos y el cumplimiento de la ley. La presente Declaración no afecta a los límites legales aplicables al ejercicio de derechos, a fin de conciliarlos con el ejercicio de otros derechos, ni a las restricciones necesarias y proporcionadas en aras del interés público.

                (10)        La presente Declaración se basa en el Derecho primario de la UE, en particular el Tratado de la Unión Europea, el Tratado de Funcionamiento de la Unión Europea, la Carta de los Derechos Fundamentales de la Unión Europea, así como en el Derecho derivado y la jurisprudencia del Tribunal de Justicia de la Unión Europea. Se basa también en el pilar europeo de derechos sociales y lo complementa. Tiene carácter declarativo y, por tanto, no afecta al contenido de las normas jurídicas ni a su aplicación.

                (11)          La UE debe promover la Declaración en sus relaciones con otras organizaciones internacionales y terceros países, en particular reflejando estos derechos y principios en sus relaciones comerciales, a fin de que sus principios guíen a los socios internacionales hacia una transformación digital que, en todo el mundo, sitúe a las personas y sus derechos humanos universales en el centro. La Declaración debe servir especialmente de referencia para las actividades en el contexto de las organizaciones internacionales, como la realización de la Agenda 2030 para el Desarrollo Sostenible, así como el enfoque multilateral de la gobernanza de internet.

                (12)        La promoción y aplicación de la Declaración son un compromiso político y una responsabilidad compartidos por la UE y sus Estados miembros dentro de sus respectivas competencias, en consonancia con el Derecho de la UE. La Comisión informará periódicamente al Parlamento y al Consejo de los progresos realizados. Los Estados miembros y la Comisión deben tener en cuenta los principios y derechos digitales establecidos en la presente Declaración cuando cooperen para alcanzar los objetivos generales que figuran en la Decisión sobre el programa de política «Itinerario hacia la Década Digital» para 2030.

Declaración sobre los Derechos y Principios Digitales para la Década Digital

Aspiramos a promover una vía europea para la transformación digital basada en los valores europeos y los derechos fundamentales de la UE, que sitúe a las personas en el centro, reafirme los derechos humanos universales y beneficie a todas las personas, empresas y a la sociedad en su conjunto.

Por consiguiente, declaramos lo siguiente:

CAPÍTULO I.- Una transformación digital centrada en las personas

                1.            Las personas constituyen el núcleo de la transformación digital de la Unión Europea. La tecnología debe servir y beneficiar a todas las personas que viven en la UE y empoderarlas para que cumplan sus aspiraciones, en total seguridad y respetando plenamente sus derechos fundamentales.

Nos comprometemos a:

a)            fortalecer el marco democrático para una transformación digital que beneficie a todas las personas y mejore las vidas de todas las personas que viven en la UE;

b)            adoptar las medidas necesarias para que los valores de la UE y los derechos de los ciudadanos reconocidos por el Derecho de la Unión se respeten tanto en línea como fuera de línea;

c)            fomentar y garantizar una acción responsable y diligente por parte de todos los agentes digitales, públicos y privados, en el entorno digital;

d)            promover activamente esta visión de la transformación digital, también en nuestras relaciones internacionales.

CAPÍTULO II.- Solidaridad e inclusión

                2.            La tecnología debe utilizarse para unir a las personas, no para dividirlas. La transformación digital debería contribuir a una sociedad y una economía equitativas e inclusivas en la UE.

Nos comprometemos a:

a)            asegurarnos de que el diseño, el desarrollo, el despliegue y el uso de soluciones tecnológicas respeten los derechos fundamentales, permitan su ejercicio y promuevan la solidaridad y la inclusión;

b)            llevar a cabo una transformación digital que no deje a nadie atrás. Debe beneficiar a todos, lograr el equilibrio de género e incluir, en particular, a las personas de edad avanzada, las personas que viven en zonas rurales, las personas con discapacidad o marginadas, vulnerables o privadas de derechos, y quienes actúen en su nombre. También debe promover la diversidad cultural y lingüística;

c)            desarrollar marcos adecuados para que todos los agentes del mercado que se beneficien de la transformación digital asuman sus responsabilidades sociales y hagan una contribución justa y proporcionada a los costes de los bienes, servicios e infraestructuras públicos, en beneficio de todas las personas que viven en la UE.

Conectividad

                3.            Toda persona, con independencia del lugar de la UE en que se encuentre, debería tener acceso a una conectividad digital asequible y de alta velocidad.

Nos comprometemos a:

a)            velar por que, en cualquier lugar de la UE, todas las personas, también aquellas con bajos ingresos, tengan acceso a una conectividad de alta calidad y dispongan de acceso a internet;

b)            proteger y promover una internet neutral y abierta en la que no se bloqueen ni degraden injustificadamente los contenidos, los servicios ni las aplicaciones.

Educación, formación y capacidades digitales

                4.            Toda persona tiene derecho a la educación, la formación y el aprendizaje permanente y debería poder adquirir todas las capacidades digitales básicas y avanzadas.

Nos comprometemos a:

a)            promover una educación y una formación digitales de alta calidad, también con vistas a colmar la brecha digital de género;

b)            apoyar los esfuerzos que permiten a todos los estudiantes y docentes adquirir y compartir las capacidades y competencias digitales necesarias para una participación activa en la economía, la sociedad y los procesos democráticos, en particular la alfabetización mediática y el pensamiento crítico;

c)            promover y respaldar los esfuerzos por dotar de conectividad, infraestructuras y herramientas digitales a todas las instituciones de educación y formación;

d)            brindar a toda persona la posibilidad de adaptarse a los cambios provocados por la digitalización del trabajo mediante el perfeccionamiento y el reciclaje profesionales.

Condiciones de trabajo justas y equitativas

                5.            Toda persona tiene derecho a unas condiciones de trabajo equitativas, justas, saludables y seguras, así como a una protección adecuada en el entorno digital y en el puesto de trabajo físico, con independencia de su situación laboral y de la modalidad o la duración del empleo.

                6.            Las organizaciones sindicales y patronales desempeñan un papel importante en la transformación digital, en particular en lo relativo a la definición de unas condiciones de trabajo justas y equitativas, también en lo que respecta al empleo de herramientas digitales en el trabajo.

Nos comprometemos a:

a)            velar por que toda persona pueda desconectar y beneficiarse de salvaguardias para asegurar el equilibrio entre vida privada y vida laboral en un entorno digital;

b)            garantizar que las herramientas digitales no supongan ningún tipo de riesgo para la salud física y mental de los trabajadores en el entorno de trabajo;

c)            garantizar el respeto de los derechos fundamentales de los trabajadores en el entorno digital, incluidos su derecho a la privacidad, el derecho de asociación, el derecho de negociación y acción colectiva, así como la protección frente a una vigilancia ilegal e injustificada;

d)            garantizar que el uso de la inteligencia artificial en el lugar de trabajo sea transparente y siga un enfoque basado en los riesgos, y que se adopten las medidas de prevención correspondientes para mantener un entorno de trabajo seguro y saludable;

e)            garantizar, en particular, que las decisiones importantes que afecten a los trabajadores cuenten con supervisión humana y que, en general, se los informe de que están interactuando con sistemas de inteligencia artificial.

Servicios públicos digitales en línea

                7.            Toda persona debe tener acceso en línea a los servicios públicos esenciales de la UE. No debe pedirse a nadie que facilite datos con más frecuencia de la necesaria al acceder a los servicios públicos digitales y utilizarlos.

Nos comprometemos a:

a)            velar por que se ofrezca a las personas que viven en la UE la posibilidad de una identidad digital accesible, voluntaria, segura y fiable que proporcione acceso a una amplia gama de servicios en línea;

b)            garantizar una accesibilidad y una reutilización a gran escala de la información del sector público;

c)            facilitar y apoyar en toda la Unión un acceso fluido, seguro e interoperable a servicios públicos digitales diseñados para satisfacer eficazmente las necesidades de las personas, en particular servicios sanitarios y asistenciales digitales, especialmente el acceso a los historiales médicos electrónicos.

CAPÍTULO III.- Libertad de elección

Interacciones con algoritmos y sistemas de inteligencia artificial

                8.            La inteligencia artificial debe ser un instrumento al servicio de las personas y su fin último debe ser aumentar el bienestar humano.

                9.            Toda persona debería estar empoderada para beneficiarse de las ventajas de los sistemas algorítmicos y de inteligencia artificial, especialmente a fin de tomar sus propias decisiones en el entorno digital con conocimiento de causa, así como estar protegida frente a los riesgos y daños a su salud, su seguridad y sus derechos fundamentales.

Nos comprometemos a:

a)            promover sistemas de inteligencia artificial centrados en el ser humano, fiables y éticos a lo largo de todo su desarrollo, despliegue y uso, en consonancia con los valores de la UE;

b)            velar por un nivel adecuado de transparencia en el uso de los algoritmos y la inteligencia artificial y por que las personas estén informadas y capacitadas para utilizarlos cuando interactúen con ellos;

c)            velar por que los sistemas algorítmicos se basen en conjuntos de datos adecuados para evitar la discriminación y permitir la supervisión humana de todos los resultados que afecten a la seguridad y los derechos fundamentales de las personas;

d)            garantizar que las tecnologías como la inteligencia artificial no se utilicen para anticiparse a las decisiones de las personas en ámbitos como, por ejemplo, la salud, la educación, el empleo y la vida privada;

e)            proporcionar salvaguardias y adoptar las medidas adecuadas, en particular promoviendo normas fiables, para que la inteligencia artificial y los sistemas digitales sean seguros y se utilicen en todo momento con pleno respeto de los derechos fundamentales de las personas;

f)             adoptar medidas para garantizar que la investigación en inteligencia artificial respete las normas éticas más estrictas y la legislación pertinente de la UE.

Un entorno digital justo

                10.         Toda persona debería poder elegir de manera efectiva y libre qué servicios digitales utiliza sobre la base de información objetiva, transparente, fácilmente accesible y fiable.

                11.         Toda persona debería tener la posibilidad de competir en condiciones equitativas e innovar en el entorno digital. Esto también debería beneficiar a las empresas, incluidas las pymes.

Nos comprometemos a:

a)            velar por un entorno digital seguro y protegido, basado en la competencia leal, en el que los derechos fundamentales estén protegidos, los derechos de los usuarios y la protección de los consumidores en el mercado único digital estén garantizados y las responsabilidades de las plataformas, especialmente los grandes operadores y los guardianes de acceso, estén bien definidas;

b)            promover la interoperabilidad, la transparencia, las tecnologías y normas abiertas como forma de reforzar aún más la confianza en la tecnología, así como la capacidad de los consumidores para tomar decisiones autónomas y con conocimiento de causa.

CAPÍTULO IV.- Participación en el espacio público digital

                12.         Toda persona debería tener acceso a un entorno digital fiable, diverso y multilingüe. El acceso a contenidos diversos contribuye a un debate público plural y a la participación efectiva en la democracia de manera no discriminatoria.

                13.         Toda persona tiene derecho a la libertad de expresión y de información, así como a la libertad de reunión y de asociación en el entorno digital.

                14.         Toda persona debería poder acceder a la información sobre quién posee o controla los servicios de comunicación que utiliza.

                15.         Las plataformas en línea, en particular las plataformas en línea de muy gran tamaño, deberían apoyar el debate democrático libre en línea. Dado el papel de sus servicios en la configuración de la opinión y el discurso públicos, las plataformas en línea de muy gran tamaño deberían mitigar los riesgos derivados del funcionamiento y el uso de sus servicios, incluidos los relacionados con campañas de desinformación e información errónea, y proteger la libertad de expresión.

Nos comprometemos a:

a)            seguir salvaguardando todos los derechos fundamentales en línea, en particular la libertad de expresión y de información, incluida la libertad y pluralismo de los medios de comunicación;

b)            apoyar el desarrollo y el mejor uso de las tecnologías digitales para fomentar la implicación de las personas y la participación democrática;

c)            adoptar medidas proporcionadas para combatir todas las formas de contenidos ilegales, respetando plenamente los derechos fundamentales, incluido el derecho a la libertad de expresión y de información, sin establecer ninguna obligación general de supervisión o censura;

d)            crear un entorno digital en el que las personas estén protegidas contra la desinformación, la manipulación de la información y otras formas de contenidos nocivos, incluidos el acoso y la violencia de género;

e)            apoyar el acceso efectivo a contenidos digitales que reflejen la diversidad cultural y lingüística de la UE;

f)             capacitar a las personas para que puedan tomar decisiones concretas con libertad y limitar la explotación de las vulnerabilidades y los sesgos, en particular a través de la publicidad personalizada.

CAPÍTULO V.- Seguridad, protección y empoderamiento

Un entorno digital protegido y seguro

                16.         Toda persona debería tener acceso a tecnologías, productos y servicios digitales diseñados para estar protegidos, ser seguros y proteger la privacidad, lo que se traduce en altos niveles de confidencialidad, integridad, disponibilidad y autenticidad de la información tratada.

Nos comprometemos a:

a)            adoptar nuevas medidas para promover la trazabilidad de los productos y garantizar que en el mercado único digital solo se comercialicen productos seguros que se ajusten a la legislación de la UE;

b)            proteger los intereses de las personas, las empresas y las instituciones públicas frente a los riesgos de ciberseguridad y la ciberdelincuencia, especialmente frente a la violación de la seguridad de los datos personales, como la usurpación o la manipulación de identidad. Esto incluye requisitos de ciberseguridad para los productos conectados que se comercialicen en el mercado único;

c)            combatir y responsabilizar a quienes traten de socavar, en la UE, la seguridad en línea y la integridad del entorno digital o fomenten la violencia y el odio por medios digitales.

Privacidad y control individual de los datos

                17.         Toda persona tiene derecho a la privacidad y a la protección de sus datos personales. Este último derecho incluye el control por parte de las personas de cómo se utilizan sus datos personales y con quién se comparten.

                18.         Toda persona tiene derecho a la confidencialidad de sus comunicaciones y de la información contenida en sus dispositivos electrónicos, y a no ser objeto de vigilancia en línea y seguimiento generalizado ilegales ni de medidas de interceptación.

                19.         Toda persona debería poder determinar su legado digital y decidir lo que debe hacerse tras su muerte con sus cuentas personales y la información que le concierna.

Nos comprometemos a:

a)            garantizar que todas las personas tengan un control efectivo de sus datos personales y no personales, de conformidad con la normativa de la UE en materia de protección de datos y la legislación pertinente de la UE;

b)            velar efectivamente por que las personas tengan la posibilidad de transferir con facilidad sus datos personales y no personales entre distintos servicios digitales en línea con derecho a la portabilidad de los datos;

c)            proteger eficazmente las comunicaciones contra el acceso no autorizado de terceros;

d)            prohibir la identificación ilegal y la conservación ilícita de registros de actividades.

Protección y empoderamiento de los niños y jóvenes en el entorno digital

                20.         Debería empoderarse a los niños y los jóvenes para que puedan tomar decisiones seguras y con conocimiento de causa y expresar su creatividad en el entorno digital.

                21.         Los materiales y servicios adaptados a cada edad deberían mejorar las experiencias, el bienestar y la participación de niños y jóvenes en el entorno digital.

                22.         Debe prestarse especial atención al derecho de los niños y los jóvenes a ser protegidos frente a todo tipo de delincuencia cometida o facilitada a través de tecnologías digitales.

Nos comprometemos a:

a)            brindar oportunidades a todos los niños y los jóvenes para que adquieran las competencias y capacidades necesarias, en particular la alfabetización mediática y el pensamiento crítico, de modo que naveguen y participen en el entorno digital de manera activa y segura y tomen decisiones con conocimiento de causa;

b)            promover experiencias positivas para niños y jóvenes en un entorno digital seguro y adaptado a su edad;

c)            proteger a todos los niños y todos los jóvenes frente a los contenidos dañinos e ilegales, la explotación, la manipulación y el abuso en línea, y evitar que el espacio digital se utilice para cometer o facilitar delitos;

d)            proteger a todos los niños y todos los jóvenes frente al seguimiento, la elaboración de perfiles y la segmentación ilegales, en particular con fines comerciales;

e)            implicar a los niños y los jóvenes en el desarrollo de políticas digitales que les afecten.

CAPÍTULO VI.- Sostenibilidad

                23.         Para evitar que se cause un perjuicio significativo al medio ambiente y promover la economía circular, los productos y servicios digitales deberían diseñarse, producirse, utilizarse, repararse, reciclarse y eliminarse de manera que se atenúen sus efectos negativos en el medio ambiente y en la sociedad y se evite la obsolescencia programada.

                24.         Toda persona debería tener acceso a información precisa y fácil de entender sobre los efectos ambientales, el consumo de energía, la reparabilidad y vida útil de los productos y servicios digitales, que le permita tomar decisiones responsables.

Nos comprometemos a:

a)            apoyar el desarrollo y la utilización de tecnologías digitales sostenibles que tengan un mínimo impacto negativo ambiental y social;

b)            incentivar alternativas para los consumidores y modelos de negocio que sean sostenibles, y fomentar un comportamiento sostenible y responsable por parte de las empresas a lo largo de las cadenas de valor mundiales de productos y servicios digitales, también con vistas a luchar contra el trabajo forzoso;

c)            promover el desarrollo, la implantación y el uso activo de tecnologías digitales innovadoras con efectos positivos en el medio ambiente y el clima, con el fin de acelerar la transición ecológica;

d)            promover normas y etiquetas de sostenibilidad aplicables a los productos y servicios digitales.

________________________________________

(1)  2020/2216(INI); 2020/2018(INL); 2020/2019(INL); 2020/2022(INI); 2020/2012(INL); 2020/2014(INL); 2020/2015(INI); 2020/2017(INI); 2019/2186(INI); 2019/2181(INL); 2022/2266(INI).

20Oct/24

COM/2021/118 final, de 9 de marzo de 2021.

COM/2021/118 final, de 9 de marzo de 2021. Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de Las Regiones. Brújula Digital 2030: el enfoque de Europa para el Decenio Digital. 

Bruselas, 9.3.2021

COM(2021) 118 final

COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO, AL CONSEJO, AL COMITÉ ECONÓMICO Y SOCIAL EUROPEO Y AL COMITÉ DE LAS REGIONES

Brújula Digital 2030: el enfoque de Europa para el Decenio Digital

1. AUNAMIENTO DE FUERZAS: LA TRANSFORMACIÓN DIGITAL PARA LA RESILIENCIA DE EUROPA

En tan solo un año, la pandemia de COVID-19 ha cambiado radicalmente el papel y la percepción de la digitalización en nuestras sociedades y economías, y ha acelerado su implantación. Las tecnologías digitales son ahora esenciales para trabajar, aprender, entretenerse, socializar, comprar y acceder a todo tipo de cosas, desde los servicios sanitarios hasta la cultura. También ha demostrado el papel decisivo que puede desempeñar una innovación disruptiva (1). Asimismo, la pandemia ha puesto de manifiesto las vulnerabilidades de nuestro espacio digital, su dependencia de tecnologías no europeas y el impacto de la desinformación en nuestras sociedades democráticas.

A la luz de estos retos, nuestra ambición declarada es más pertinente que nunca: aplicar políticas digitales que capaciten a las personas y las empresas para aprovechar un futuro digital centrado en el ser humano, sostenible y más próspero.

Europa tendrá que aprovechar sus puntos fuertes: un mercado único abierto y competitivo, normas sólidas que incorporan los valores europeos, ser un participante activo en el comercio internacional justo y basado en normas, y disponer de una base industrial sólida, ciudadanos muy cualificados y una sociedad civil robusta.

Al mismo tiempo, debe evaluar y abordar cuidadosamente cualquier deficiencia estratégica, vulnerabilidad y dependencia de alto riesgo que ponga en peligro la consecución de sus ambiciones, y tiene que acelerar la inversión asociada (2).

Así es como Europa puede ser digitalmente soberana en un mundo interconectado mediante la creación y el despliegue de capacidades tecnológicas que capaciten a las personas y las empresas para aprovechar el potencial de la transformación digital y ayuden a lograr una sociedad más sana y ecológica (3).

En el Discurso sobre el Estado de la Unión de septiembre de 2020, la presidenta Von der Leyen abogó por que Europa garantice la soberanía digital con una visión común de la UE para 2030, sobre la base de objetivos y principios claros. La presidenta hizo especial hincapié en una «nube europea», el liderazgo en una inteligencia artificial ética, una identidad digital segura para todos y unas infraestructuras de datos, superordenadores y conectividad sumamente mejoradas. En respuesta a esto, el Consejo Europeo invitó a la Comisión a presentar una «Brújula Digital» completa en marzo de 2021, en la que se expusieran las  ambiciones digitales para 2030, se estableciera un sistema de seguimiento y se esbozaran los hitos y los medios para alcanzar estas ambiciones.

Este impulso político requiere una intensificación del trabajo comenzado en el pasado decenio para acelerar la transformación digital de Europa: proseguir los avances hacia un mercado único digital (4) efectivo e intensificar las acciones definidas en la estrategia para Configurar el futuro digital de Europa (5). La estrategia estableció un programa de reformas (6) que ya se ha iniciado con la Ley de gobernanza de datos, la Ley de servicios digitales, el Reglamento sobre mercados digitales y la Estrategia de Ciberseguridad. Una serie de instrumentos presupuestarios de la Unión apoyarán las inversiones necesarias para la transición digital, incluidos los programas de cohesión, el instrumento de apoyo técnico y el Programa Europa Digital. El acuerdo de los colegisladores de que un mínimo del 20 % del Mecanismo de Recuperación y Resiliencia debe apoyar la transición digital contribuirá a sustentar este programa de reformas, con financiación para asentar el Decenio Digital de Europa sobre bases sólidas.

2. CIUDADANOS Y EMPRESAS CAPACITADOS EN 2030

La vía europea hacia una economía y una sociedad digitalizadas se basa en la solidaridad, la prosperidad y la sostenibilidad, ancladas en la capacitación de sus ciudadanos y empresas, garantizando al mismo tiempo la seguridad y la resiliencia de su ecosistema digital y sus cadenas de suministro.

Una de las principales lecciones de la pandemia es que la digitalización puede unir a las personas independientemente de dónde se encuentren físicamente. La infraestructura digital y la conectividad rápida brindan nuevas oportunidades a las personas. La digitalización puede convertirse en un factor decisivo para los derechos y las libertades, ya que permite a las personas llegar más allá de territorios, posición social o grupos comunitarios específicos y abre nuevas posibilidades de aprender, divertirse, trabajar, explorar y materializar sus propias ambiciones. Esto dará lugar a una sociedad en la que la distancia geográfica sea menos importante, ya que las personas pueden trabajar, aprender, interactuar con las Administraciones públicas, gestionar sus finanzas y pagos, utilizar sistemas de asistencia sanitaria, sistemas de transporte automatizado, participar en la vida democrática, entretenerse o reunirse con gentes de cualquier lugar de la UE, incluidas las zonas rurales y remotas.

Sin embargo, la crisis también puso de manifiesto las vulnerabilidades de nuestro espacio digital, su creciente dependencia de tecnologías esenciales, a menudo extraeuropeas, la subordinación con respecto a un puñado de grandes empresas tecnológicas, registró un aumento de la afluencia de productos falsificados y robos cibernéticos, y magnificó el impacto de la desinformación en nuestras sociedades democráticas. También ha surgido una nueva brecha digital, no solo entre zonas urbanas bien conectadas y zonas rurales y remotas, sino también entre quienes pueden beneficiarse plenamente de un espacio digital enriquecido, accesible y seguro con una amplia gama de servicios, y quienes no pueden hacerlo. Una brecha similar surgió entre las empresas que ya pueden aprovechar todo el potencial del entorno digital y las que aún no están plenamente digitalizadas. En este sentido, la pandemia ha puesto de manifiesto una nueva «pobreza digital», por lo que es imperativo garantizar que todos los ciudadanos y empresas de Europa puedan aprovechar la transformación digital para una vida mejor y más próspera. La visión europea para 2030 es una sociedad digital en la que nadie se quede atrás.

Soluciones sanitarias gracias a la tecnología digital

La pandemia de COVID-19 ha demostrado el potencial y ha predispuesto al uso generalizado de soluciones innovadoras de telemedicina, atención a distancia y robótica para proteger al personal médico y poder atender a los pacientes a distancia en su hogar. Las tecnologías digitales pueden capacitar a los ciudadanos para supervisar su estado de salud, adaptar su estilo de vida, apoyar una vida independiente, prevenir las enfermedades no transmisibles y aportar eficiencia a los proveedores de asistencia sanitaria y los sistemas sanitarios. Junto con unas competencias digitales adecuadas, los ciudadanos utilizarán herramientas que les ayuden a proseguir su vida profesional activa a medida que envejecen, y los profesionales de la salud y los cuidadores podrán aprovechar al máximo las ventajas de las soluciones sanitarias digitales para supervisar y tratar a sus pacientes.

La digitalización dota a las personas de nuevas fuentes de prosperidad (7), permitiendo a los emprendedores innovar, crear y desarrollar sus negocios dondequiera que vivan, abriendo mercados e inversiones en toda Europa y en todo el mundo, y creando nuevos puestos de trabajo en un momento en el que un creciente número de europeos se sienten amenazados en su seguridad económica o su entorno.

Las tecnologías digitales pueden contribuir significativamente a la consecución de los objetivos del Pacto Verde Europeo. La adopción de soluciones digitales y el uso de datos contribuirán a la transición hacia una economía climáticamente neutra, circular y más resiliente. La sustitución de los viajes de negocios por videoconferencia reduce las emisiones, mientras que las tecnologías digitales permiten procesos más ecológicos en la agricultura, la energía, los edificios, la industria o la planificación y los servicios urbanos, contribuyendo así al objetivo propuesto por Europa de reducir las emisiones de gases de efecto invernadero en al menos un 55 % de aquí a 2030 y de proteger mejor nuestro medio ambiente. Las propias infraestructuras y tecnologías digitales tendrán que ser más sostenibles y eficientes desde el punto de vista energético y de los recursos. Con innovación y unas normas ecológicas ambiciosas, las empresas, en su transformación digital, podrán adoptar tecnologías digitales con menor huella medioambiental y mayor eficiencia energética y material.

Soluciones ecológicas digitales – Pasaporte digital de productos

La transición hacia una economía sostenible requiere una gestión más inteligente de los datos relativos a los productos durante todo el ciclo de vida del producto. La mayor parte de esta información existe, pero no está a disposición de quienes pueden utilizarla mejor. Las tecnologías digitales ofrecen la posibilidad de etiquetar, rastrear, localizar y compartir datos relacionados con los productos a lo largo de las cadenas de valor, hasta el nivel de los componentes y materiales individuales. Empezando por las baterías para vehículos eléctricos y las aplicaciones industriales, el pasaporte europeo de productos digitales (como parte de la Iniciativa sobre Productos Sostenibles) mejorará la información a disposición de las empresas, impulsará la eficiencia en el uso de los recursos y capacitará a los consumidores para que tomen decisiones adecuadas.

Unas infraestructuras y tecnologías resilientes, seguras y fiables son indispensables para garantizar el respeto de las normas y los valores europeos. Un mercado único fuerte, una competencia leal y un comercio basado en normas que funcione son activos esenciales para el éxito económico y la resiliencia de la UE.

Al mismo tiempo, las tecnologías digitales se desarrollan principalmente fuera de la UE (8) y la convergencia entre los Estados miembros en materia de digitalización sigue siendo limitada, lo que obstaculiza las economías de escala (9). La UE será un socio internacional más robusto gracias al refuerzo de sus puntos fuertes y las capacidades internas. Es necesaria una enorme expansión de las inversiones, a través de todos los fondos pertinentes de la UE y del gasto nacional, que incluya la movilización de inversiones privadas significativas, a fin de que la UE pueda desarrollar tecnologías esenciales de manera que se fomente su productividad y su desarrollo económico en plena coherencia con sus valores y objetivos sociales.

3. CUATRO PUNTOS CARDINALES PARA CARTOGRAFIAR LA TRAYECTORIA DE LA UE

La Comisión propone establecer una Brújula Digital para traducir las ambiciones digitales de la UE para 2030 en objetivos concretos y alcanzar estos objetivos. La Brújula se basará en un sistema de seguimiento mejorado (10) para verificar la trayectoria de la UE en relación con el ritmo de la transformación digital, las lagunas en las capacidades digitales estratégicas europeas y la aplicación de los principios digitales. Incluirá los medios para materializar la visión y establecerá hitos a lo largo de cuatro puntos cardinales. Los dos primeros se centran en las capacidades digitales en infraestructuras, y en educación y capacidades, y los otros dos, en la transformación digital de las empresas y los servicios públicos.

3.1. Ciudadanos con capacidades digitales y profesionales del sector digital muy cualificados

En el mundo del mañana, si queremos controlar nuestro propio destino, confiar en nuestros medios, valores y posibilidades, debemos contar con ciudadanos capacitados y capaces digitalmente, trabajadores con competencias digitales y muchos más expertos en el sector digital que en la actualidad. Esto debería fomentarse mediante el desarrollo de un ecosistema educativo digital de alto rendimiento, así como de una política eficaz para promover vínculos con el talento de todo el mundo y atraerlo.

Las competencias digitales serán esenciales para reforzar nuestra resiliencia colectiva como sociedad. Las capacidades digitales básicas para todos los ciudadanos y la oportunidad de adquirir nuevas competencias digitales especializadas para los trabajadores son un requisito previo para participar activamente en el Decenio Digital, tal como se explica en la Agenda de Capacidades Europea (11).

El Plan de acción del pilar europeo de derechos sociales prevé que el objetivo de porcentaje de adultos con al menos capacidades digitales básicas sea del 80 % en 2030 (12). Para que todos los europeos puedan beneficiarse plenamente del bienestar que aporta una sociedad digital inclusiva y, como se propone en el capítulo sobre principios digitales (sección 4), el acceso a una educación que permita adquirir competencias digitales básicas debe ser un derecho para todos los ciudadanos de la UE y el aprendizaje permanente debe hacerse realidad.

Las competencias digitales generalizadas también deben crear una sociedad que pueda confiar en los productos digitales y los servicios en línea, detectar los intentos de desinformación y fraude, protegerse contra los ciberataques, las estafas y el fraude en línea, y en la que los niños aprendan a entender y navegar a través de la multitud de información a la que están expuestos en línea.

Unas competencias digitales avanzadas requieren algo más que dominar la codificación o tener unos conocimientos informáticos básicos. La formación y la educación digitales deben apoyar a unos trabajadores que puedan adquirir competencias digitales especializadas para ocupar puestos de trabajo de calidad y ejercer unas carreras profesionales gratificantes. En 2019 había 7,8 millones de especialistas en tecnologías de la información y las comunicaciones, y la tasa de crecimiento anual previa alcanzaba el 4,2 %. Si esta tendencia continúa, la UE estará muy por debajo de las necesidades previstas de 20 millones de expertos, por ejemplo, en ámbitos clave como la ciberseguridad o el análisis de datos. Más del 70 % de las empresas afirman que la falta de personal con competencias digitales adecuadas constituye un obstáculo para la inversión. También existe un grave desequilibrio entre sexos, ya que solo uno de cada seis especialistas en tecnologías de la información y las comunicaciones y uno de cada tres graduados en ciencias, tecnología, ingeniería y matemáticas son mujeres (13). Esto se ve agravado por la falta de capacidad en términos de programas de educación y formación especializados en ámbitos como la inteligencia  artificial, la cuántica y la ciberseguridad, y por la escasa integración de las disciplinas digitales y las herramientas multimedia educativas en otras disciplinas. Hacer frente a este reto requiere una inversión enorme para formar a las futuras generaciones de trabajadores y mejorar y reorientar sus cualificaciones.

Las acciones nacionales deben complementarse con apoyo para mejorar la alfabetización digital a escala mundial y alcanzar los Objetivos de Desarrollo Sostenible (ODS) de las Naciones Unidas. El programa Erasmus+ también ofrecerá oportunidades a ingenieros y especialistas digitales de terceros países y, por lo general, reforzará los entornos de aprendizaje digitales. En África, las coaliciones nacionales de competencias digitales y empleo podrían desarrollar planes de estudios comunes sobre competencias digitales y apoyar a los Gobiernos con conocimientos especializados y proyectos para llevar a las escuelas y las instituciones educativas a la era digital. Del mismo modo, las competencias y la alfabetización digitales se están convirtiendo en un elemento central en el desarrollo de capacidades digitales en nuestras relaciones con América Latina y el Caribe.

Hacia 2030, la competencia mundial por el talento será feroz, ya que los conocimientos especializados seguirán siendo escasos y constituirán un factor esencial de innovación, crecimiento de la productividad y prosperidad para todos los países. El fomento del atractivo de la UE y de los sistemas de apoyo al talento digital desempeñará un papel clave en la transformación digital de la UE.

Proponemos que, en 2030, además del objetivo sobre competencias digitales básicas establecido en el Plan de acción del pilar europeo de derechos sociales, estén trabajando 20 millones de especialistas en tecnologías de la información y las comunicaciones en la UE, con convergencia entre mujeres y hombres.

3.2. Infraestructuras digitales sostenibles que sean seguras y eficaces

Europa solo logrará el liderazgo digital basándolo en una infraestructura digital sostenible en relación con la conectividad, la microelectrónica y la capacidad de procesar grandes cantidades de datos, ya que actúan como facilitadores de otros avances tecnológicos y apoyan la ventaja competitiva de nuestra industria. Es necesario realizar importantes inversiones en todos estos ámbitos que requieren coordinación para alcanzar la escala europea.

Una conectividad excelente y segura para todos y en toda Europa es un requisito previo para una sociedad en la que todas las empresas y los ciudadanos puedan participar plenamente. Es fundamental lograr una conectividad de altísima velocidad de aquí a 2030. Aunque esta ambición puede alcanzarse con cualquier combinación tecnológica, la atención debe centrarse en la conectividad fija, móvil y por satélite de próxima generación más sostenible, con el despliegue de redes de muy alta capacidad, incluida la 5G, sobre la base de una asignación rápida y eficiente del espectro y el respeto del conjunto de herramientas de ciberseguridad 5G (14), y con el desarrollo de la 6G en los próximos años (15).

A medida que avance el decenio, aumentará la aceptación de estas tecnologías de red en los hogares, que se refleja en sus crecientes necesidades de conectividad de muy alta capacidad.

A finales del presente decenio, se espera que las nuevas características y capacidades de comunicación digital, como la alta precisión, los medios holográficos y los sentidos digitales a través de las redes, ofrezcan una perspectiva completamente nueva a una sociedad habilitada digitalmente que sustente la necesidad de conectividad de altísima velocidad. Mucho antes de que finalice la década, las empresas necesitarán conexiones de altísima velocidad e infraestructuras de datos específicas para la computación en nube y el tratamiento de datos, al igual que las escuelas y los hospitales las necesitarán para la educación electrónica y la sanidad electrónica. La informática de alto rendimiento (IAR) requerirá conexiones a velocidades de terabit que permitan el tratamiento instantáneo de datos.

Proponemos que, en 2030, todos los hogares europeos tengan acceso a una red de altísima velocidad, y todas las zonas pobladas tengan cobertura 5G (16).

El liderazgo digital y la competitividad mundial de Europa dependen de una sólida conectividad interna y externa y también deberían fundamentar nuestro compromiso internacional, en particular a lo largo de los husos horarios europeos, y teniendo en cuenta la aparición de pasarelas de datos en torno a la periferia de la UE. La UE cuenta con un amplio programa de compromisos que incluye el despliegue de la banda ancha con socios de los Balcanes Occidentales y la Asociación Oriental. Europa estará vinculada a sus socios en los países vecinos y en África, en particular a través de cables terrestres y submarinos y una constelación segura de satélites. Además, la UE intensificará la aplicación de la Estrategia de Conectividad UE-Asia a través de nuevas asociaciones de conectividad con la India y la ASEAN. La Asociación Digital con América Latina y el Caribe complementará el lanzamiento del componente de conectividad de la Alianza Digital con América Latina y el Caribe, utilizando el cable BELLA.

Aunque la conectividad es una condición previa para la transformación digital, los microprocesadores están en la base de la mayoría de las cadenas de valor estratégicas clave, como los coches conectados, los teléfonos, el internet de las cosas, los ordenadores de alto rendimiento, los ordenadores de vanguardia y la inteligencia artificial. Si bien Europa diseña y fabrica procesadores de gama alta, existen importantes lagunas, en particular en las tecnologías de fabricación más avanzadas y en el diseño, lo que expone a Europa a una serie de vulnerabilidades (17).

Proponemos que, en 2030, la producción de semiconductores de vanguardia y sostenibles en Europa, incluidos los procesadores, suponga al menos el 20 % de la producción mundial en valor (es decir, capacidades de fabricación por debajo de los nodos de 5 nm con un objetivo de 2 nm, y 10 veces más eficientes desde el punto de vista energético que en la actualidad) (18).

Una infraestructura digital al servicio de los ciudadanos, las pymes, el sector público y las grandes empresas requiere una informática de alto rendimiento e infraestructuras de datos exhaustivas. Hoy en día, los datos producidos en Europa suelen almacenarse y tratarse fuera de Europa, y su valor se extrae también fuera de Europa (19). Si bien las empresas que generan y explotan datos deben conservar la libertad de elección a este respecto, esto puede entrañar riesgos en términos de ciberseguridad, puntos vulnerables del suministro, posibilidades de cambio de proveedor y acceso ilícito a los datos por parte de terceros países (20). Los proveedores de servicios de computación en nube establecidos en la UE solo tienen una pequeña cuota del mercado de la nube, lo que deja a la UE expuesta a tales riesgos y limita el potencial de inversión de la industria digital europea en el mercado del tratamiento de datos.

Asimismo, habida cuenta del impacto de los centros de datos y las infraestructuras en nube en el consumo de energía, la UE debería asumir el liderazgo para que estas infraestructuras sean climáticamente neutras y eficientes desde el punto de vista energético de aquí a 2030, utilizando al mismo tiempo su excedente de energía para contribuir a calentar nuestros hogares, empresas y espacios públicos comunes. Como parte de la mejora del Índice de la Economía y la Sociedad Digitales (DESI), la Comisión introducirá mecanismos para medir la eficiencia energética de los centros de datos y las redes de comunicaciones electrónicas utilizados por las empresas europeas.

Como se destaca en la estrategia europea de datos, el volumen de datos generados está aumentando considerablemente y se espera que una proporción creciente de ellos se procesen más cerca de los usuarios y allí donde se generen. Este cambio requerirá el desarrollo y el despliegue de tecnologías de tratamiento de datos fundamentalmente nuevas que abarquen las zonas próximas al usuario, alejándose de los modelos de infraestructura centralizados basados en la nube. Para abordar estas tendencias hacia una mayor distribución y descentralización de las capacidades de tratamiento de datos, y para superar la brecha de un suministro adecuado en la nube que responda a las necesidades de las empresas y la Administración pública europeas, Europa necesita reforzar su propia infraestructura y sus capacidades en la nube (21).

Aplicaciones de una informática inteligente más próxima al usuario

– Vigilar las intersecciones peligrosas en el caso de un vehículo autónomo para que pueda circular con seguridad.

– En la «agricultura inteligente», en la que el despliegue de una capacidad de vanguardia próxima al usuario y conectada a la maquinaria en las explotaciones agrícolas permitirá recopilar instantáneamente datos, prestar servicios avanzados a los agricultores, como la predicción de cosechas o la gestión de las explotaciones, y optimizar las cadenas de suministro de alimentos.

– En el sector manufacturero como servicio esto permitirá a las empresas manufactureras (en particular las pymes) tener acceso local a plataformas innovadoras de servicios industriales basadas en la nube y a mercados para dar más visibilidad a sus capacidades de producción.

– Datos sanitarios e historiales médicos, lo que permitirá recopilar y agregar datos sanitarios a nivel local mucho más rápidamente (por ejemplo, en el contexto de pandemias).

– En la modernización del sector público, en el que un despliegue más próximo al usuario ofrecerá capacidad de tratamiento de datos a la Administración local.

Proponemos que, en 2030, en la UE se hayan desplegado 10 000 nodos de proximidad con alto grado de seguridad y neutros desde el punto de vista climático (22), distribuidos de manera que se garantice el acceso a servicios de datos de baja latencia (unos milisegundos) dondequiera que se encuentren las empresas.

Sin embargo, la nube y el ecosistema de proximidad no aportarán todos sus beneficios a las empresas y Administraciones públicas europeas a menos que vayan acompañadas de una capacidad informática de vanguardia. A este respecto, se acelerará la cooperación con los Estados miembros a través de la Empresa Común Europea de Informática de Alto Rendimiento ya establecida con el fin de desplegar una infraestructura de datos de supercomputación y computación cuántica federada que sea líder en el mundo.

Al mismo tiempo, la UE debe invertir en nuevas tecnologías cuánticas. La UE debe estar a la vanguardia mundial del desarrollo de ordenadores cuánticos totalmente programables y accesibles desde cualquier lugar en Europa, que al mismo tiempo sean muy eficientes energéticamente y puedan resolver en horas lo que se resuelve actualmente en cientos de días, si no en años.

La revolución cuántica del próximo decenio será un factor de cambio en la aparición y el uso de las tecnologías digitales. Como ejemplos de posibles aplicaciones cabe citar:

– Sanidad: los ordenadores cuánticos permitirán un desarrollo más rápido y eficiente de medicamentos, como la simulación de un cuerpo humano («gemelo digital») para realizar ensayos virtuales de medicamentos, desarrollar tratamientos contra el cáncer personalizados, secuenciar el genoma mucho más rápidamente, etc.

– Mayor seguridad de las comunicaciones y las transferencias de datos: los sistemas de comunicación cuántica segura pueden salvaguardar las comunicaciones sensibles, los sistemas de votación en línea y las transacciones financieras, garantizar el almacenamiento a largo plazo de datos sensibles relacionados con la salud y la seguridad nacional, y mantener la seguridad de las infraestructuras esenciales de comunicación.

– Mejor control de los recursos: los sensores de gravedad cuántica basados en la Tierra o instalados en satélites espaciales medirán campos gravitacionales, lo que permitirá detectar obstáculos, hundimientos y recursos hídricos subterráneos y hacer un seguimiento de fenómenos naturales como la actividad volcánica.

– Empresas y medio ambiente: los ordenadores cuánticos optimizarán el uso de algoritmos para resolver problemas logísticos y de organización muy complejos, lo que permitirá ahorrar tiempo y combustible o encontrar la combinación más barata de fuentes renovables para abastecer una red energética.

Proponemos que, en 2025 Europa disponga de su primer ordenador con aceleración cuántica que prepare a Europa para estar en la vanguardia de las capacidades cuánticas en 2030.

3.3. Transformación digital de las empresas

Durante la pandemia de COVID-19 el vuelco hacia las tecnologías digitales se ha convertido en esencial para muchas empresas. En 2030, más que meras facilitadoras, las tecnologías digitales, incluida la 5G, el internet de las cosas, la computación próxima al usuario, la inteligencia artificial, la robótica y la realidad aumentada estarán en el centro de nuevos productos, nuevos procesos de fabricación y nuevos modelos de negocio basados en un intercambio justo de datos en la economía de datos. En este contexto, la rápida adopción y aplicación de las propuestas de la Comisión para el mercado único digital y la configuración de las futuras estrategias digitales de Europa (23) mejorarán la transformación digital de las empresas y garantizarán una economía digital justa y competitiva. Esto también tendrá que ir acompañado de unas condiciones de competencia equitativas en el extranjero.

La transformación de las empresas dependerá de su capacidad para adoptar rápida y generalizadamente nuevas tecnologías digitales, entre otros en los ecosistemas industriales y de servicios que se están quedando atrás. El apoyo de la UE, en particular a través de los programas del mercado único, Europa Digital y de cohesión, promoverá el despliegue y el uso de las capacidades digitales, incluidos los espacios de datos industriales, la capacidad informática, las normas abiertas, y las instalaciones de ensayo y experimentación.

Debe alentarse a las empresas a que adopten tecnologías digitales y productos con menor huella medioambiental y una mayor eficiencia energética y material. Las tecnologías digitales deben desplegarse rápidamente para permitir un uso más intensivo y eficiente de los recursos.

De este modo, impulsar la productividad en Europa reducirá tanto los costes de los insumos de fabricación como nuestra vulnerabilidad ante las perturbaciones del suministro.

Potencial de la transformación digital para cinco ecosistemas clave (24)

– Fabricación: gracias a la conectividad 5G, los dispositivos de las fábricas estarán aún más conectados y recopilarán datos industriales. La inteligencia artificial instruirá instantáneamente a los robots, haciéndolos cada vez más colaborativos, mejorando así las tareas, la seguridad, la productividad y el bienestar de los trabajadores. Los fabricantes podrán mejorar el mantenimiento predictivo y producir en función de la demanda, sobre la base de las necesidades de los consumidores, con existencias nulas gracias a los gemelos digitales, a nuevos materiales y a la impresión 3D.

– Sanidad: la introducción de más interacción en línea, servicios sin papel, transmisión electrónica y acceso a los datos en lugar de registros en papel, junto con la automatización, podrían generar beneficios de hasta 120 000 millones EUR al año en Europa.

– Construcción: el sector que ha registrado el menor aumento de la productividad de todos los grandes sectores en los últimos 20 años. El 70 % de los ejecutivos de la construcción mencionan las nuevas tecnologías de producción y la digitalización como motores del cambio en el sector.

– Agricultura: las tecnologías agrícolas digitales pueden permitir al sector agrícola producir más a medida y de manera más eficiente, aumentando así el rendimiento en materia de sostenibilidad y la competitividad del sector. La agricultura se considera un sector clave, en el que las soluciones digitales pueden ayudar a reducir las emisiones mundiales de gases de efecto invernadero y el uso de plaguicidas.

– Movilidad: las soluciones digitales para la movilidad conectada y automatizada tienen un gran potencial para reducir los accidentes de tráfico, mejorar la calidad de vida y la eficiencia de los sistemas de transporte, también en lo que respecta a su huella medioambiental.

Debe prestarse especial atención a la innovación puntera y disruptiva. Si bien Europa está creando ya tantas empresas emergentes como Estados Unidos, debe contar con unas condiciones más favorables y un mercado único que funcione realmente para un rápido crecimiento y expansión (25). Europa se ha dotado de diversos instrumentos (26), pero el déficit de inversión para financiar el crecimiento de las empresas emergentes entre Estados Unidos y Europa e incluso entre la UE y China sigue siendo considerable. La UE ya ha producido una serie de «unicornios», pero hay margen de mejora. El desarrollo de un estándar de excelencia de las empresas emergentes de las naciones puede contribuir a facilitar el crecimiento transfronterizo, en particular aumentando el acceso a la financiación para su expansión (27).

Las pymes desempeñan un papel central en esta transición, no solo porque representan el grueso de las empresas de la UE, sino también porque son una fuente crítica de innovación (28).

Con el apoyo de más de 200 centros de innovación digital y agrupaciones industriales, de aquí a 2030 las pymes deben tener la oportunidad de acceder fácilmente y en condiciones justas a las tecnologías o los datos digitales, garantizados por una normativa adecuada, y beneficiarse de un apoyo adecuado para digitalizarse. A este respecto, más de 200 centros europeos de innovación digital y agrupaciones industriales en toda la UE deben apoyar la transformación digital tanto de las pymes innovadoras como de las no digitales y conectar a los proveedores digitales con los ecosistemas locales. El objetivo es lograr un alto nivel de intensidad digital, sin dejar a nadie atrás. La Comisión actualizará su estrategia industrial, también con vistas a acelerar la transformación digital de los ecosistemas industriales en apoyo de los objetivos de 2030.

Proponemos que, en 2030,

– el 75 % de las empresas europeas hayan adoptado servicios de computación en nube, macrodatos e inteligencia artificial

– más del 90 % de las pymes hayan alcanzado al menos un nivel básico de intensidad digital (29)

– Europa haya ampliado la cartera de empresas innovadoras de rápido crecimiento y mejorado su acceso a la financiación, duplicando así el número de «unicornios» (30) en Europa

3.4. Digitalización de los servicios públicos

De aquí a 2030, el objetivo de la UE es garantizar que la vida democrática y los servicios públicos en línea sean plenamente accesibles para todos, incluidas las personas con discapacidad, y se beneficien de un entorno digital de máxima calidad que ofrezca servicios y herramientas fáciles de utilizar, eficientes y personalizados con altos niveles de seguridad y privacidad. La votación electrónica segura fomentaría una mayor participación pública en la vida democrática. Unos servicios de fácil utilización permitirán a los ciudadanos de todas las edades y a empresas de todos los tamaños influir en la dirección y los resultados de las actividades de los Gobiernos de forma más eficiente y mejorar los servicios públicos. El Gobierno como plataforma, una nueva forma de establecer servicios públicos digitales, facilitará un acceso general y fácil a los servicios públicos con una interacción continua de capacidades avanzadas, como el tratamiento de datos, la inteligencia artificial y la realidad virtual. También contribuirá a estimular el aumento de la productividad en las empresas europeas, gracias a unos servicios más eficientes que sean digitales por defecto (31), así como a un modelo que incentive a las empresas, especialmente las pymes, a digitalizarse más.

Sin embargo, falta bastante para materializar esta visión. A pesar del creciente uso de los servicios públicos en línea, los servicios prestados digitalmente suelen ser básicos, por ejemplo, la cumplimentación de formularios. Europa debe aprovechar la digitalización para impulsar un cambio de paradigma en la manera en que los ciudadanos, las Administraciones públicas y las instituciones democráticas interactúan, garantizando la interoperatividad en todos los niveles administrativos y entre todos los servicios públicos (32).

Telemedicina

Durante la pandemia, las consultas de telemedicina aumentaron más en un mes que en 10 años, lo que desempeñó un papel clave a la hora de controlar las colas en los hospitales y mantener a los pacientes en buen estado de salud (33). La capacidad de los ciudadanos europeos de acceder y controlar el acceso a su historial médico electrónico en toda la UE debería mejorar considerablemente de aquí a 2030 sobre la base de especificaciones técnicas comunes para el intercambio de datos sanitarios, la interoperatividad, el desarrollo de una infraestructura segura y la adopción de medidas para facilitar la aceptación pública del intercambio de información sanitaria con la comunidad médica.

Identidad digital europea: el Gobierno en la palma de la mano

Para 2030, el marco de la UE debería haber dado lugar a un amplio despliegue de una identidad fiable y controlada por el usuario, lo que permitiría a cada ciudadano controlar sus propias interacciones y su presencia en línea. Los usuarios pueden hacer un uso pleno de los servicios en línea fácilmente y en toda la UE, preservando al mismo tiempo su privacidad.

Las comunidades de la UE también están desarrollando plataformas de datos inteligentes que integran datos de diferentes sectores y ciudades y mejoran la calidad de la vida cotidiana de sus ciudadanos. En la actualidad, la mayoría de los servicios digitales que ofrecen estas plataformas se limitan a servicios básicos, como los aparcamientos inteligentes, la iluminación inteligente o la telemática del transporte público. La digitalización también desempeña un papel clave en el desarrollo de «pueblos inteligentes», es decir, comunidades en zonas rurales que utilizan soluciones innovadoras para mejorar su resiliencia, aprovechando los puntos fuertes y las oportunidades locales.

Las plataformas de las comunidades rurales y urbanas estarán impulsadas por tecnologías digitales y ofrecerán servicios tales como sistemas de transporte multimodal inteligentes, asistencia rápida de emergencia en caso de accidente, soluciones más específicas de gestión de residuos, gestión del tráfico, planificación urbana, soluciones inteligentes de energía e iluminación, optimización de recursos, etc. El uso de criterios de contratación pública ecológica (34) puede impulsar la demanda de una transformación digital ecológica.

La transformación digital también debe posibilitar unos sistemas judiciales modernos y eficientes (35), la aplicación de los derechos de los consumidores y una mayor eficacia de la acción pública, incluidas las capacidades policiales y de investigación (36) (lo que es ilegal fuera de línea también es ilegal en línea), y los servicios policiales y judiciales deben estar mejor equipados para hacer frente a delitos digitales cada vez más sofisticados.

Nuestro nivel de ambición propuesto es que en 2030:

* Todos los servicios públicos clave estén a disposición en línea en beneficio de los ciudadanos y las empresas europeos

* La totalidad de los ciudadanos europeos tenga acceso a sus historiales médicos (en formato electrónico)

* El 80 % de los ciudadanos utilice una solución de identificación digital

4. CIUDADANÍA DIGITAL

El despliegue de infraestructuras, competencias y capacidades digitales y la digitalización de las empresas y los servicios públicos por sí solos no son suficientes para definir el enfoque de la UE sobre su futuro digital; también es necesario hacer posible que todos los europeos aprovechen plenamente las oportunidades y tecnologías digitales. En el espacio digital, debemos asegurarnos de que los mismos derechos que se aplican fuera de línea puedan ejercerse plenamente en línea.

Para estar plenamente capacitadas, las personas deben tener primero acceso a una conectividad asequible, segura y de alta calidad, ser capaces de adquirir competencias digitales básicas (lo que debe convertirse en un derecho para todos) y estar equipadas con otros medios que, conjuntamente, les permitan participar plenamente en las actividades económicas y sociales actuales y futuras. También deben tener fácil acceso a los servicios públicos digitales, sobre la base de una identidad digital universal, así como a los servicios sanitarios digitales. Las personas deben beneficiarse de un acceso no discriminatorio a los servicios en línea y a la realización de principios, como espacios digitales seguros y fiables, de un equilibrio entre vida privada y vida laboral en un entorno de trabajo a distancia, la  protección de los menores y la toma de decisiones basadas en algoritmos que sean éticas.

Además, las tecnologías y servicios digitales que utilizan las personas deben ser conformes con el marco jurídico aplicable y respetar los derechos y valores intrínsecos de la forma de vida europea. Por otra parte, un entorno digital centrado en el ser humano, seguro y abierto debe cumplir la ley, pero también permitir que las personas hagan valer sus derechos, como los derechos a la intimidad y a la protección de datos, la libertad de expresión, los derechos del niño y los derechos de los consumidores.

Los principios digitales se basan en el Derecho primario de la UE, en particular el Tratado de la Unión Europea (TUE), el Tratado de Funcionamiento de la Unión Europea (TFUE), la Carta de los Derechos Fundamentales y la jurisprudencia del Tribunal de Justicia de la Unión Europea, así como en el Derecho derivado (37).

Esta vía europea para la sociedad digital también debe sustentar y apoyar las iniciativas de democracia abierta, contribuyendo a la elaboración de políticas inclusivas, permitiendo un amplio compromiso con las personas y estimulando la acción de base para desarrollar iniciativas locales como factores facilitadores para mejorar la aceptación social y el apoyo público a las decisiones democráticas.

Esta vía europea para la sociedad digital también se basa en garantizar el pleno respeto de los derechos fundamentales de la UE:

* Libertad de expresión, incluido el acceso a información diversa, fiable y transparente.

* Libertad de establecimiento y ejercicio de una actividad empresarial en línea.

* Protección de los datos personales y de la intimidad, y derecho al olvido.

* Protección de la creación intelectual individual en el espacio en línea.

Es igualmente importante establecer un conjunto completo de principios digitales que permita informar a los usuarios y orientar a los responsables políticos y a los operadores digitales, tales como:

* Acceso universal a los servicios de internet.

* Entorno en línea seguro y fiable.

* Educación y competencias digitales universales para que las personas participen activamente en la sociedad y en los procesos democráticos.

* Acceso a sistemas y dispositivos digitales que respeten el medio ambiente.

* Administración y servicios públicos digitales accesibles y centrados en el ser humano.

* Principios éticos para algoritmos centrados en el ser humano.

* Protección y capacitación de los niños en el espacio en línea.

* Acceso a servicios sanitarios digitales.

La Comisión propondrá incluir este conjunto de principios y derechos digitales en una declaración interinstitucional solemne entre la Comisión Europea, el Parlamento Europeo y el Consejo, sobre la base de una propuesta de la Comisión Europea, beneficiándose de la experiencia del pilar europeo de derechos sociales y complementándola.

La Comisión tiene la intención de realizar anualmente un sondeo del Eurobarómetro dedicado específicamente al seguimiento de la percepción de los europeos sobre el respeto de sus derechos y valores, y en qué medida consideran que la digitalización de nuestra sociedad les está beneficiando.

5. UNA BRÚJULA PARA ALCANZAR LAS METAS Y OBJETIVOS DE 2030

Para alcanzar la ambición renovada de la UE en materia de digitalización es necesario un marco sólido. Debe abarcar nuestra visión basada en los cuatro puntos cardinales, los principios digitales y abordar las carencias fundamentales de capacidad.

BRÚJULA DIGITAL

Estructura de gobernanza con informes anuales y seguimiento

Consecución de los objetivos concretos                                                                                        en los cuatro puntos cardinales (38)

Concepción y lanzamiento de proyectos plurinacionales (39)       

                                                                                                  Seguimiento de los                                                                                                                                                       principios digitales

Supervisada por indicadores clave de                                          rendimiento cuantitativos, informes                                                                                                        sobre las acciones emprendidas y                                                                                                 seguimiento con recomendaciones        

Seguimiento de las infraestructuras y de las carencias                                                               críticas de capacidad. Búsqueda del consenso y fomento.

                                                    Búsqueda del consenso y del acuerdo sobre proyectos                                                                                                                                                     del acuerdo sobre proyectos comunes y facilitación                                                                                                                                                       de su aplicación                      

                                                                                                                                                                       Informes y cuadros de                                                                                                                                                                       indicadores     

                                                                                                                                                          Eurobarometro anual                                                                                                             

5.1 Gobernanza

Desde el punto de vista operativo, la Comisión tiene la intención de proponer una Brújula Digital consistente en un programa de política digital (40) que se adoptará mediante codecisión del Parlamento Europeo y del Consejo y se centrará en los resultados y en un compromiso constante con los objetivos digitales comunes. El programa incluiría los siguientes aspectos:

– Un conjunto de objetivos concretos para cada uno de los cuatro puntos cardinales propuestos en la sección 3.

– Un sistema de seguimiento que mida los avances de la UE en relación con los objetivos clave para 2030 (sección 3 y anexo) y los principios digitales (sección 4), evaluando también los ámbitos con un desarrollo insuficiente a nivel de los Estados miembros, como, por ejemplo, la falta de acción o la aplicación incompleta de propuestas reglamentarias clave (41). Los indicadores subyacentes para el seguimiento de los objetivos a escala de la UE y las tendencias de digitalización a nivel nacional formarán parte de una información mejorada del DESI con el fin de aprovechar los procesos y metodologías existentes (42) y adaptarlos a ellos. La Comisión Europea será responsable del análisis y de la información general sobre los progresos realizados a escala europea. Estos informes ofrecerán una visión general y un análisis de la situación y mostrarán la distancia restante hacia los objetivos del Decenio Digital (véase, a modo de ejemplo, el gráfico que se adjunta a continuación). El objetivo final es determinar en qué ámbitos los avances van a la zaga y cómo pueden subsanarse las lagunas detectadas mediante medidas y recomendaciones a nivel europeo o nacional.

¿A qué distancia estamos de los objetivos de 2030 relativos a una sociedad digital inclusiva y sostenible?

– Sobre la base del análisis, la Comisión publicará anualmente el Informe sobre el estado del Decenio Digital en Europa destinado al Consejo y al Parlamento Europeo, a fin de informar sobre los avances hacia la visión de 2030 y los correspondientes puntos cardinales, metas y principios, así como la situación más general de cumplimiento de estos objetivos, mediante una puntuación basada en un «semáforo». El informe sensibilizará sobre las desviaciones con respecto a los objetivos comunes de la UE para 2030 y los principios digitales, así como sobre las carencias detectadas en materia de inversión. El informe, como informe único relativo a los avances en el ámbito digital, contribuirá también al Semestre Europeo y se ajustará al proceso del Mecanismo de Recuperación y Resiliencia.

– El informe pondrá en marcha un análisis colaborativo entre la Comisión y los Estados miembros para identificar soluciones destinadas a subsanar las deficiencias y proponer acciones específicas para encontrar soluciones eficaces. La Comisión estará facultada, en colaboración con los Estados miembros, para llevar a cabo un seguimiento operativo y formular recomendaciones. Podrían ser recomendaciones relativas a la aplicación de la normativa (43) o a la necesidad de intervención pública para fomentar inversiones adicionales en tecnologías y capacidades digitales, por ejemplo mediante el desarrollo de proyectos plurinacionales.

El programa de actuación establecerá un mecanismo que permita a la Comisión colaborar con los Estados miembros a través de una estrecha cooperación y coordinación con el objetivo de asumir compromisos conjuntos, así como posibles medidas a escala nacional y de la UE, teniendo también en cuenta la aplicación de otras políticas e iniciativas digitales. Además, el programa de actuación permitirá a la Comisión colaborar con los Estados miembros para poner en marcha y configurar proyectos plurinacionales, tal como se describe a continuación.

Si bien la atención se centraría en la cooperación y la coordinación con los Estados miembros, para que la gobernanza sea eficaz todos los agentes económicos y sociales deben tener una confianza sólida en los resultados. Dado que se trata de una condición clave para el éxito de la aceleración de la digitalización de la UE, la Brújula será objeto de consultas específicas con las partes interesadas pertinentes.

5.2. Proyectos plurinacionales

Para materializar la visión europea del Decenio Digital, se necesitan capacidades digitales en los cuatro ámbitos de la Brújula, que solo podrán lograrse si los Estados miembros y la UE ponen en común sus recursos. En el caso de los grandes proyectos tecnológicos necesarios para la transición digital de Europa, es indispensable un enfoque europeo del desarrollo de capacidades digitales. Las capacidades europeas de vanguardia requieren una masa crítica de financiación y la armonización de todos los agentes.

El Consejo Europeo ha pedido que se sigan reforzando las sinergias entre el uso de los fondos nacionales y de la UE en lo que respecta a estos proyectos tecnológicos clave. El Reglamento sobre el Mecanismo de Recuperación y Resiliencia (MRR) y el instrumento de apoyo técnico reconocen la conveniencia de desarrollar proyectos plurinacionales que combinen inversiones de varios planes nacionales de recuperación y resiliencia. Además, debe prepararse una acción a largo plazo con el fin de garantizar la movilización de las inversiones con cargo al presupuesto de la UE, los Estados miembros y la industria.

Las posibles orientaciones para los proyectos plurinacionales ya se han debatido con los Estados miembros como parte de la preparación de los planes nacionales de recuperación y resiliencia, en el marco de las iniciativas emblemáticas Conectar Europa, Crecimiento, Modernización y Reciclaje y Mejora de las capacidades. La Comisión ha ofrecido apoyo operativo y ha animado a los Estados miembros a utilizar la financiación de sus planes nacionales de recuperación y resiliencia para aunar fuerzas y apoyar estos proyectos plurinacionales.

Proyectos digitales plurinacionales debatidos hasta la fecha con los Estados miembros en el marco del MRR (44):

– Construir una infraestructura paneuropea interconectada de tratamiento de datos común y polivalente, que se utilice respetando plenamente los derechos fundamentales, desarrollando

capacidades de proximidad instantánea (con muy baja latencia) para satisfacer las necesidades de los usuarios finales cerca de dónde se generan los datos (es decir, en la proximidad de los usuarios de las redes de telecomunicaciones), diseñando plataformas de programas informáticos intermedios seguras, con bajo consumo de energía e interoperables para usos sectoriales, y facilitando el intercambio y la puesta en común de datos, en particular para espacios europeos comunes de datos.

– Dotar a la UE de capacidades de diseño y despliegue electrónicos de la próxima generación de procesadores de confianza de baja potencia y otros componentes electrónicos necesarios para alimentar su infraestructura digital crítica, los sistemas de inteligencia artificial y las redes de comunicaciones.

– Despliegue paneuropeo de corredores 5G para operaciones ferroviarias digitales avanzadas y una movilidad conectada y automatizada que contribuyan a la seguridad vial y a los objetivos del Pacto Verde.

– Adquirir superordenadores y ordenadores cuánticos, conectados a la red de comunicación de ancho de banda extremo de EuroHPC, invertir y cooperar en plataformas de aplicaciones a gran escala que requieran una informática de alto rendimiento (por ejemplo, en materia de salud o predicción de catástrofes), así como en centros nacionales de competencia y capacidades en informática de alto rendimiento y tecnología cuántica.

– Desarrollar y desplegar una infraestructura de comunicación cuántica ultrasegura que abarque toda la UE, con el fin de aumentar significativamente la seguridad de la comunicación y el almacenamiento de datos sensibles en toda la UE, incluidas las infraestructuras críticas.

– Desplegar una red de centros de operaciones de seguridad, basados en la inteligencia artificial, capaces de detectar señales de ciberataque con la suficiente antelación, y de permitir medidas proactivas para mejorar la preparación y respuesta conjuntas frente a los riesgos a escala nacional y de la UE.

– Administraciones públicas conectadas. Desarrollar, en complementariedad y sinergia con el marco eIDAS, y ofrecer de forma voluntaria la identidad digital europea, para acceder a los servicios digitales en línea de los sectores público y privado y utilizarlos en línea, reforzando la privacidad y cumpliendo plenamente la legislación vigente en materia de protección de datos.

Crear un sistema único que permita a las Administraciones públicas a nivel local, regional y nacional intercambiar datos y pruebas de forma transfronteriza, respetando plenamente los requisitos legales y los derechos fundamentales.

– Infraestructura europea de servicios de cadena de bloques. Desarrollar, desplegar y explotar una infraestructura paneuropea basada en la cadena de bloques que sea ecológica, segura y plenamente acorde con los valores y el marco jurídico de la UE, haciendo que la prestación de servicios públicos transfronterizos y nacionales y locales sea más eficiente y fiable y promueva nuevos modelos de negocio.

– Centros europeos de innovación digital. Apoyar la digitalización de la industria europea completando una red a escala de la UE de «centros europeos de innovación digital», es decir, «ventanillas únicas» que ofrezcan a las pymes conocimientos técnicos, oportunidades de «probar antes de invertir», asesoramiento financiero, formación, etc.

– Asociaciones de alta tecnología para las competencias digitales a través del Pacto por las Capacidades. Cada vez hay más escasez de especialistas en tecnologías de la información y las comunicaciones en todos los ecosistemas industriales, regiones y Estados miembros. Para colmar esta laguna, podría crearse una asociación multilateral de competencias a gran escala para tender puentes entre la oferta y la demanda, fomentar una mayor inversión privada y pública, aumentar la cantidad y calidad de la oferta de educación y formación especializada e impulsar la excelencia en las instituciones de educación superior y formación profesional, haciéndolas más atractivas y receptivas a las necesidades del mercado laboral en términos digitales.

La Comisión se ha comprometido a apoyar el desarrollo y la ejecución de proyectos plurinacionales, también en el marco del DRR, y a un diálogo reforzado con los Estados miembros, en particular a través de un marco de gobernanza flexible.

Hasta ahora se han utilizado diversos mecanismos (45) para diferentes proyectos e  inversiones, que han puesto de manifiesto una laguna en las herramientas de que la Comisión dispone para combinar la financiación procedente de los Estados miembros, el presupuesto de la UE y la inversión privada a efectos de desplegar y explotar infraestructuras y servicios de interés común fuera del ámbito de la investigación.

En particular, son necesarias una serie de características combinadas para un mecanismo eficiente de despliegue y funcionamiento de proyectos digitales plurinacionales (y posiblemente también en proyectos en otros ámbitos):

* la posibilidad de establecimiento con rapidez y flexibilidad, garantizando al mismo tiempo la apertura a todos los Estados miembros interesados;

* disposiciones normalizadas para cuestiones comunes como la propiedad y la gestión de los datos, incluido el papel de la Comisión para garantizar la apertura, la armonización con las prioridades y la normativa acordadas de la UE, incluidas las normas sobre competencia y ayudas estatales, y la coordinación con los programas y políticas de la UE;

* facilitar la puesta en común de la financiación nacional y de la UE y la complementariedad y la combinación de las distintas fuentes de financiación, creando al mismo tiempo incentivos para atraer inversiones privadas;

* capacidad jurídica para adquirir y explotar infraestructuras plurinacionales y servicios paneuropeos de interés público, más allá de la investigación, facilitando al mismo tiempo la neutralidad de los proveedores.

A fin de ofrecer una solución eficiente e incentivar a los Estados miembros para que colaboren en proyectos plurinacionales, aprovechando la experiencia adquirida, incluida la ejecución de tales proyectos en el marco del MRR, la Comisión está evaluando opciones, como la viabilidad y las características de un instrumento específico para proyectos plurinacionales, como parte de la futura propuesta del Programa de Política Digital.

La Brújula Digital: una nueva herramienta para pilotar el Decenio Digital

La Comisión propondrá una Brújula Digital consistente en un programa político que se adoptará mediante codecisión del Parlamento Europeo y del Consejo y que incluirá:

i) objetivos concretos para alcanzar nuestra visión en torno a cuatro puntos cardinales medidos a escala nacional y de la UE con indicadores clave de rendimiento basados en un DESI mejorado;

ii) una estructura de gobernanza, que incluya un informe anual de la Comisión al Parlamento Europeo y al Consejo sobre los avances hacia el Decenio Digital, que podría incluir recomendaciones específicas para limitar las desviaciones con respecto a la consecución de los objetivos;

iii) seguimiento de los principios digitales aprobados en la declaración interinstitucional;

iv) un mecanismo para organizar con los Estados miembros los proyectos plurinacionales necesarios para proceder a la transición digital de Europa en ámbitos esenciales.

6. ASOCIACIONES INTERNACIONALES PARA EL DECENIO DIGITAL

Se ha demostrado que el grado de digitalización de una economía o sociedad no solo es una base crítica de la resiliencia económica y social, sino también un factor de influencia mundial. En la medida en que la pandemia ha puesto de relieve hasta qué punto la política digital nunca es neutral desde el punto de vista de los valores, con modelos que compiten entre sí, la UE tiene ahora la oportunidad de promover su visión positiva y centrada en el ser humano de la economía y la sociedad digitales.

Para que el Decenio Digital de Europa tenga éxito, estableceremos sólidas asociaciones digitales internacionales que se ajusten a los cuatro pilares de nuestra Brújula: capacidades, infraestructuras y transformación de las empresas y los servicios públicos. Estas medidas reforzarán la capacidad de la UE para defender sus propios intereses y ofrecer soluciones mundiales, luchando al mismo tiempo contra las prácticas desleales y abusivas y garantizando la seguridad y la resiliencia de las cadenas de suministro digitales de la UE.

El punto de partida de la UE es una economía digital abierta basada en el flujo de inversión e innovación como motor de prosperidad. Al mismo tiempo, la UE promoverá firmemente nuestros intereses y valores fundamentales a través de tres principios básicos: unas condiciones de competencia equitativas en los mercados digitales, un ciberespacio seguro y la defensa de los derechos fundamentales en línea.

La política y los acuerdos comerciales desempeñarán un papel fundamental a este respecto al establecer las normas mundiales y bilaterales para el comercio digital de manera abierta, pero firme, sobre la base de los valores europeos.

Como parte central de la renovada relación transatlántica, la UE ha propuesto crear un nuevo Consejo de Comercio y Tecnología UE-EE.UU., profundizar nuestra asociación en materia de comercio e inversión, reforzar nuestro liderazgo tecnológico e industrial conjunto, desarrollar normas compatibles, intensificar la colaboración en materia de investigación, promover la competencia leal y garantizar la seguridad de las cadenas de suministro críticas.

La UE es un actor clave en los foros multilaterales y un promotor del multilateralismo integrador en el que colaboran los Gobiernos, la sociedad civil, el sector privado, el mundo académico y otras partes interesadas. Estos foros pueden mejorar el funcionamiento de la economía digital a escala mundial, como en el caso de las negociaciones relativas a nuevas normas sobre comercio electrónico en la Organización Mundial del Comercio. La UE trabajará activa y firmemente para promover su visión centrada en el ser humano de la digitalización en las organizaciones internacionales, en cooperación con sus Estados miembros y socios afines. Este enfoque coordinado debería defender especialmente un uso de la tecnología que se adhiera plenamente a la Carta de las Naciones Unidas y a la Declaración Universal de los Derechos Humanos.

Las asociaciones digitales internacionales de la UE se sustentarán en una caja de herramientas basada en una combinación de cooperación en materia de reglamentación, que abordará el desarrollo de capacidades, inversión en cooperación internacional y asociaciones de investigación. Para ello se utilizará un programa creciente de diálogos bilaterales:

* Las asociaciones digitales internacionales de la UE promoverán la armonización o la convergencia con las normas y estándares de la UE sobre cuestiones como la protección de datos, la privacidad y los flujos de datos, el uso ético de la inteligencia artificial, la ciberseguridad y la confianza, la lucha contra la desinformación y los contenidos ilícitos en línea, la garantía de la gobernanza de internet y el apoyo al desarrollo de la financiación digital y la Administración electrónica. La UE también contribuirá a soluciones comunes, como el trabajo en curso en el G-20 y la OCDE en relación con una solución mundial basada en el consenso para abordar la fiscalidad de la economía digital.

* Para respaldar sus asociaciones digitales con los países en desarrollo y emergentes, la Comisión diseñará y propondrá paquetes de economía digital que se basen en la caja de herramientas. Se financiarán a través de iniciativas del Equipo Europa que combinen recursos de la UE (46) y sus Estados miembros, trabajando con empresas europeas líderes en el mundo, en particular a través del desarrollo y la creación de redes de centros de innovación digital. Estos paquetes se diseñarán de forma que los puntos cardinales permanezcan vinculados y se aborden de forma integral, garantizando la promoción de un modelo de desarrollo digital centrado en el ser humano. El fomento de la conectividad digital para colmar la brecha digital requiere importantes inversiones y, por ende, una amplia cooperación financiera, también con socios de ideas afines e instituciones financieras internacionales. El Equipo Europa abordará esta brecha digital en los países socios, con especial atención a África, promoviendo al mismo tiempo la tecnología y los valores de la UE. Esto podría verse respaldado por la creación de un Fondo de Conectividad Digital en un enfoque de Equipo Europa. La Comisión estudiará su viabilidad, junto con nuestros socios, en los próximos meses.

* Las asociaciones digitales brindarán la oportunidad de llevar a cabo actividades conjuntas de investigación, también en el marco de empresas comunes sobre cuestiones industriales, que respaldarán el liderazgo de la UE en tecnologías en evolución como la 6G, la computación cuántica o el uso de la tecnología digital en la lucha contra el cambio climático y los retos medioambientales.

Asociaciones internacionales: la Brújula Digital en acción

En 2020, la UE propuso una asociación para la transformación digital con África, centrada en las capacidades a través de oportunidades de educación y formación, la inversión en infraestructuras sostenibles clave, la cooperación y la convergencia en materia de normas, incluido el refuerzo de la protección de los datos personales, así como el aumento de la seguridad de los flujos de datos y la cooperación en materia de inteligencia artificial y la digitalización de la Administración Pública. La asociación apoyará el desarrollo de centros de innovación digital y la ampliación del Espacio Europeo de Investigación, así como el apoyo al mercado único digital africano. El Centro Digital4Development, puesto en marcha en diciembre de 2020, aportará conocimientos especializados europeos al desarrollo del programa y asistencia técnica.

Las asociaciones digitales mundiales son igualmente fundamentales para nuestras relaciones con los Balcanes Occidentales y los países vecinos del este y del sur de Europa. La Brújula también se refleja en nuestro compromiso digital más allá de los husos horarios europeos, incluidos nuestros socios asiáticos, así como América Latina y el Caribe.

Sobre la base de una relación transatlántica renovada como sólido pilar de nuestro compromiso internacional digital, la UE debe abrir el camino hacia una coalición más amplia de socios de ideas afines, abierta y desarrollada junto con todos aquellos que comparten su visión de una transformación digital centrada en el ser humano. Juntos defenderemos una internet abierta y descentralizada, basada en una única red mundial, y un uso de la tecnología que respete las libertades individuales y promueva unas condiciones de competencia equitativas en el ámbito digital. Esta coalición debería colaborar para impulsar la competitividad y la innovación, establecer normas en foros multilaterales (como el uso ético de la inteligencia artificial), promover los flujos comerciales digitales a través de cadenas de suministro resilientes e interdependientes y un ciberespacio seguro. La Comisión y el Alto Representante colaborarán con los Estados miembros de la UE en el desarrollo de un enfoque general y coordinado de la creación de coaliciones digitales y las labores diplomáticas, también a través de la red de Delegaciones de la UE.

De aquí a 2030, las asociaciones digitales internacionales deberían dar lugar a más oportunidades para las empresas europeas, un mayor comercio digital a través de redes seguras, el respeto de las normas y los valores europeos y un entorno más favorable a escala internacional para el tipo de transformación digital centrada en el ser humano que queremos ver nosotros y otros socios.

7. CONCLUSIÓN: EL CAMINO A SEGUIR

La Comunicación de la Comisión sobre la Brújula Digital esboza un camino claro hacia una visión común y acciones para que Europa tenga éxito en el Decenio Digital, tanto en Europa como en el mundo.

La participación y el compromiso de los ciudadanos y de todas las partes interesadas es crucial para lograr una transformación digital satisfactoria. En este contexto, la Comisión, poco después de la presente Comunicación, iniciará un amplio proceso de consulta sobre los principios digitales. Colaborará con los Estados miembros, el Parlamento Europeo, los interlocutores regionales, económicos y sociales, las empresas y los ciudadanos sobre elementos específicos de la Comunicación durante 2021, incluido el marco de orientación con objetivos específicos y gobernanza. La Comisión creará un foro de partes interesadas, que se asociará a algunos aspectos del trabajo de la Brújula Digital 2030.

La Comisión se basará en estas medidas de concertación con vistas a proponer el programa de política digital a los colegisladores en el tercer trimestre de 2021, y espera lograr avances decisivos con las demás instituciones en relación con una Declaración de Principios Digitales para finales de 2021.

————————————————

(1) El desarrollo de tipos de vacunas totalmente nuevos (por ejemplo, Moderna, BioNTech) ha puesto de relieve para el gran público los beneficios de una innovación disruptiva que ha permitido desarrollar vacunas en menos de un año, con eficiencia y siguiendo un método que nunca se había aplicado hasta ahora, así como la importancia de dominar estas tecnologías.

(2) El análisis realizado por los servicios de la Comisión para la recuperación estimó en 125 000 millones EUR al año las necesidades de inversión y capacidades en tecnologías de la información y las comunicaciones para cerrar la brecha con los principales competidores de Estados Unidos y China. El Banco Europeo de Inversiones ha señalado el riesgo de que, en lugar de aumentar sus inversiones, el 45 % de las empresas las reduzca tras la crisis de la COVID-19.

(3) La presente Comunicación se inscribe en un conjunto más amplio de acciones destinadas a reforzar la autonomía estratégica abierta y la resiliencia de la UE. Entre ellas cabe citar la Comunicación sobre el fomento de la apertura, la fortaleza y la resiliencia del sistema económico y financiero europeo, la revisión de la política comercial, la próxima actualización de la estrategia industrial para Europa y el informe de prospectiva estratégica de 2021.

(4) Una Estrategia para el Mercado Único Digital de Europa, 6 de mayo de 2015. De las 30 propuestas legislativas, 28 fueron aprobadas por la colegislatura.

(5) Configurar el futuro digital de Europa, 19 de febrero de 2020.

(6) En 2021 está previsto adoptar ocho propuestas legislativas y tres no legislativas, incluida la presente Comunicación. Véase el Programa de Trabajo de la Comisión para 2020.

(7) Aumentar la puntuación en el Índice de la Economía y la Sociedad Digitales (DESI, por sus siglas en inglés) hasta 90 de aquí a 2027 daría lugar a un aumento del PIB per cápita del 7,2 % en toda la UE. Deloitte, febrero de 2021, «Digitalización: una oportunidad para Europa».

(8) La posición de los agentes europeos está muy por debajo del peso económico mundial de la UE en ámbitos tecnológicos clave, como los procesadores, las plataformas web y la infraestructura de la nube; por ejemplo, el 90 % de los datos de la UE son gestionados por empresas estadounidenses, menos del 4 % de las principales plataformas en línea son europeas, y los microchips fabricados en Europa representan menos del 10 % del mercado europeo.

(9)      El DESI muestra que la mayoría de los países de la UE, que están por debajo de la media de la UE en el nivel de digitalización, no han avanzado mucho en los últimos cinco años. https://ec.europa.eu/digital-single-market/en/digital-economy-and-society-index-desi 

(10)      Basado en el sistema de seguimiento del Índice de la Economía y la Sociedad Digitales (DESI) establecido por la Comisión desde 2014 ( https://ec.europa.eu/digital-single-market/en/digital-economy-and-society-index-desi ). El informe de prospectiva estratégica de 2020 anuncia la finalización de cuadros de indicadores de resiliencia, incluido uno para la dimensión digital, que aporta información complementaria sobre las vulnerabilidades y capacidades digitales de la UE.

(11)  Agenda de Capacidades Europea y Plan de Acción de Educación Digital.

(12) Plan de acción del pilar europeo de derechos sociales, COM(2021) 102. Adoptado el 4 de marzo de 2021.

(13) Véase la situación de las mujeres en el Cuadro de indicadores digitales de 2020: https://ec.europa.eu/digital-single-market/en/news/women-digital-scoreboard-2020 .

(14) La Comisión velará por que la participación en los programas de financiación de la UE en los ámbitos tecnológicos pertinentes esté condicionada al cumplimiento de los requisitos de seguridad especificados en los respectivos programas de la UE, incluidos los programas de financiación exterior y los instrumentos financieros de la UE, y se ajuste al enfoque de la caja de herramientas de la UE sobre ciberseguridad para las redes 5G.

(15) Con objeto de contribuir a este objetivo, la Comisión adoptó una propuesta para poner en marcha una Empresa Común de Redes y Servicios Inteligentes para coordinar las actividades de investigación e innovación sobre tecnología 6G en el marco de Horizonte Europa, así como iniciativas de despliegue de la 5G en el marco de los programas digitales y otros programas del Mecanismo «Conectar Europa». https://ec.europa.eu/digital-single-market/en/news/europe-puts-forward-proposal-joint-undertaking-smart-networks-and-services-towards-6g.

(16) Esta ambición continúa por el camino propuesto en la Comunicación de la Comisión de 2016 titulada «La conectividad para un mercado único digital competitivo – hacia una sociedad europea del gigabit» y los objetivos para 2025 establecidos en ella.

(17) Para contribuir a este objetivo, la Comisión adoptó una propuesta destinada a poner en marcha una empresa común sobre tecnologías digitales clave para coordinar las actividades de investigación e innovación sobre tecnologías de semiconductores y procesadores en el marco de Horizonte Europa y ha puesto en marcha una alianza europea sobre microprocesadores.

(18) Cuanto menor sea el nodo tecnológico, menor será el tamaño, lo que permite producir transistores más pequeños, rápidos y eficientes.

(19)  Según datos de Eurostat, aunque mejoraron en comparación con 2018, solo el 36 % de las empresas de la UE utilizaron servicios en la nube en 2020, principalmente para servicios sencillos como el correo electrónico y el almacenamiento de archivos (solo el 19 % de las empresas utilizan servicios avanzados en la nube).

(20) La UE actúa para mitigar estas preocupaciones mediante una cooperación internacional mutuamente beneficiosa, como el Acuerdo UE-EE.UU. propuesto para facilitar el acceso transfronterizo a pruebas electrónicas y, de este modo, reducir el riesgo de conflicto de leyes y establecer salvaguardias claras para los datos de los ciudadanos y las empresas de la UE.

(21) La declaración sobre la federación y la alianza en la nube contribuirá a este objetivo.

(22) Un nodo de proximidad es un ordenador que actúa como portal del usuario final (o «pasarela») para la comunicación con otros nodos en la informática de agrupación, en el que los componentes de un sistema de programa informático se comparten entre múltiples ordenadores.

(23) Por ejemplo, la Estrategia de Ciberseguridad de la UE para el Decenio Digital, la Ley de Servicios Digitales y la Ley de Mercados Digitales, la Identidad Digital Europea, el Plan de Acción de Medios Audiovisuales y Medios de Comunicación, el Plan de Acción Europeo para la Democracia, la Estrategia de Financiación Digital, las estrategias de datos e inteligencia artificial, la Plataforma para la Regulación Empresarial y el Reglamento sobre el bloqueo geográfico.

(24) Fuente: Informe McKinsey, Shaping the digital transformation in Europe, septiembre de 2020.

(25) Los líderes de la Europa del mañana: la Iniciativa sobre las empresas emergentes y en expansión, COM(2016) 0733 final.

(26) Será importante profundizar en la Unión de los Mercados de Capitales de la UE, reforzar la movilización de la financiación privada y de Horizonte Europa, el Consejo Europeo de Innovación e InvestEU.

(27) https://ec.europa.eu/digital-single-market/en/startup-europe .

(28) Una estrategia para las pymes en pro de una Europa sostenible y digital, COM(2020) 103 final.

(29) El índice de intensidad digital mide el uso de diferentes tecnologías digitales por una empresa. La puntuación (0-12) viene determinada por el número de tecnologías digitales que utiliza. Un nivel básico de intensidad digital corresponde a una puntuación igual o superior a 4.

(30) Por «unicornio» entendemos tanto: 1) «unicornios materializados», es decir, empresas creadas después de 1990 que hayan tenido una oferta pública inicial o una venta superior a 1 000 millones USD, y 2) «unicornios fallidos», es decir, empresas que han sido valoradas en 1 000 millones USD o más en su última ronda de financiación privada (lo que significa que la valoración no se ha confirmado en una transacción secundaria).

(31) Si bien los servicios públicos siempre serán accesibles en persona, una transformación digital exitosa hará que sea la vía digital la preferida por las personas para acceder a ellos.

(32) Véase, en particular, la Declaración de Berlín sobre la sociedad digital y el Gobierno digital basado en valores, diciembre de 2020. El esfuerzo de digitalización exigido por el portal digital único de la UE debe ampliarse a otros sectores, de modo que los ciudadanos y las empresas puedan interactuar digitalmente con todos los escalones de las Administraciones nacionales.

(33) En Francia, se realizaron 10 000 teleconsultas diarias a principios de marzo de 2020, y esta cifra aumentó a 1 millón al día a finales de marzo, según la Asociación para la Salud Digital.

(34) https://ec.europa.eu/environment/gpp/eu_gpp_criteria_es.htm

(35) Comunicación de la Comisión: La digitalización de la justicia en la UE – Un abanico de oportunidades, COM(2020) 710 final.

(36) El 85 % de las investigaciones penales se basan en pruebas electrónicas.

(37) Este es el caso de la legislación vigente, por ejemplo, la Directiva sobre garantías y ventas de los bienes de consumo, la Ley Europea de Accesibilidad, el Código Europeo de Comunicaciones Electrónicas, la Directiva de servicios de comunicación audiovisual, el Reglamento sobre el portal digital único o el Reglamento de ciberseguridad, así como la legislación que ha sido propuesta y debe ser adoptada rápidamente por los colegisladores de la UE y ratificada por los Parlamentos nacionales, como la Ley de servicios digitales y la Ley de mercados digitales.

(38) Véase el punto 5.1.

(39) Véase el punto 5.2.

(40) Posiblemente similar al programa de política del espectro radioeléctrico (PPER, por sus siglas en inglés) aprobado el 14 de marzo de 2012 por el Parlamento Europeo y el Consejo. Esta Decisión creó un plan exhaustivo, estableció principios generales y pidió acciones concretas para cumplir los objetivos de las políticas de la UE en materia de uso del espectro radioeléctrico.

(41) Si bien los objetivos clave para los cuatro puntos cardinales se definirán en el programa de política digital, los principios digitales se establecerán en la declaración interinstitucional solemne mencionada anteriormente.

(42) Los Estados miembros ya facilitan información pertinente para el índice DESI, por lo que no habrá un incremento significativo de las solicitudes de información, al tiempo que el DESI se convertirá en un instrumento oficial y concertado. Los Estados miembros desempeñarán un papel clave en la definición de los objetivos e indicadores pertinentes, así como en el mecanismo de ejecución.

(43) Esto podría incluir, por ejemplo, una mayor armonización de las políticas relativas al espectro.

(44) La lista de proyectos plurinacionales facilitada es indicativa. La elegibilidad para recibir financiación del Mecanismo de Recuperación y Resiliencia de cualquiera de estos proyectos depende del pleno cumplimiento del Reglamento (UE) 2021/241 del Parlamento Europeo y del Consejo.

(45) Por ejemplo, empresas comunes, consorcios de infraestructuras de investigación europeas, asociaciones sin ánimo de lucro y proyectos importantes de interés común europeo.

(46) Especialmente a través del Instrumento de Vecindad, Desarrollo y Cooperación Internacional, pero también a través de su Mecanismo «Conectar Europa».

05Ago/24

Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024

Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) n.° 300/2008, (UE) n.° 167/2013, (UE) n.° 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial) (DO L, 2024/1689, 12.7.2024).

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular sus artículos 16 y 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1),

Visto el dictamen del Banco Central Europeo (2),

Visto el dictamen del Comité de las Regiones (3),

De conformidad con el procedimiento legislativo ordinario (4),

Considerando lo siguiente:

(1)

El objetivo del presente Reglamento es mejorar el funcionamiento del mercado interior mediante el establecimiento de un marco jurídico uniforme, en particular para el desarrollo, la introducción en el mercado, la puesta en servicio y la utilización de sistemas de inteligencia artificial (en lo sucesivo, «sistemas de IA») en la Unión, de conformidad con los valores de la Unión, a fin de promover la adopción de una inteligencia artificial (IA) centrada en el ser humano y fiable, garantizando al mismo tiempo un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales consagrados en la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), incluidos la democracia, el Estado de Derecho y la protección del medio ambiente, proteger frente a los efectos perjudiciales de los sistemas de IA en la Unión, así como brindar apoyo a la innovación. El presente Reglamento garantiza la libre circulación transfronteriza de mercancías y servicios basados en la IA, con lo que impide que los Estados miembros impongan restricciones al desarrollo, la comercialización y la utilización de sistemas de IA, a menos que el presente Reglamento lo autorice expresamente.

(2)

El presente Reglamento debe aplicarse de conformidad con los valores de la Unión consagrados en la Carta, lo que facilitará la protección de las personas físicas, las empresas, la democracia, el Estado de Derecho y la protección del medio ambiente y, al mismo tiempo, impulsará la innovación y el empleo y convertirá a la Unión en líder en la adopción de una IA fiable.

(3)

Los sistemas de IA pueden desplegarse con facilidad en sectores muy diversos de la economía y en muchas partes de la sociedad, también a escala transfronteriza, y circular fácilmente por toda la Unión. Algunos Estados miembros ya han estudiado adopción de normas nacionales destinadas a garantizar que la IA sea fiable y segura y se desarrolle y utilice de conformidad con las obligaciones relativas a los derechos fundamentales. La existencia de normas nacionales divergentes puede dar lugar a la fragmentación del mercado interior y reducir la seguridad jurídica de los operadores que desarrollan, importan o utilizan sistemas de IA. Por lo tanto, es preciso garantizar un nivel elevado y coherente de protección en toda la Unión para lograr una IA fiable, así como evitar las divergencias que obstaculizan la libre circulación, la innovación, el despliegue y la adopción en el mercado interior de los sistemas de IA y los productos y servicios conexos mediante el establecimiento de obligaciones uniformes para los operadores y la garantía de una protección uniforme de los fines imperiosos de interés general y de los derechos de las personas en todo el mercado interior, sobre la base del artículo 114 del Tratado de Funcionamiento de la Unión Europea (TFUE). En la medida en que el presente Reglamento contiene normas específicas para la protección de las personas en relación con el tratamiento de datos personales que restringen el uso de sistemas de IA para la identificación biométrica remota con fines de garantía del cumplimiento del Derecho, el uso de sistemas de IA para la realización de evaluaciones de riesgos de personas físicas con fines de garantía del cumplimiento del Derecho y el uso de sistemas de IA de categorización biométrica con fines de garantía del cumplimiento del Derecho, resulta adecuado basar este Reglamento, en lo que atañe a dichas normas específicas, en el artículo 16 del TFUE. A la luz de dichas normas específicas y del recurso al artículo 16 del TFUE, conviene consultar al Comité Europeo de Protección de Datos.

(4)

La IA es un conjunto de tecnologías en rápida evolución que contribuye a generar beneficios económicos, medioambientales y sociales muy diversos en todos los sectores económicos y las actividades sociales. El uso de la IA puede proporcionar ventajas competitivas esenciales a las empresas y facilitar la obtención de resultados positivos desde el punto de vista social y medioambiental en los ámbitos de la asistencia sanitaria, la agricultura, la seguridad alimentaria, la educación y la formación, los medios de comunicación, el deporte, la cultura, la gestión de infraestructuras, la energía, el transporte y la logística, los servicios públicos, la seguridad, la justicia, la eficiencia de los recursos y la energía, el seguimiento ambiental, la conservación y restauración de la biodiversidad y los ecosistemas, y la mitigación del cambio climático y la adaptación a él, entre otros, al mejorar la predicción, optimizar las operaciones y la asignación de los recursos, y personalizar las soluciones digitales que se encuentran a disposición de la población y las organizaciones.

(5)

Al mismo tiempo, dependiendo de las circunstancias relativas a su aplicación, utilización y nivel de desarrollo tecnológico concretos, la IA puede generar riesgos y menoscabar los intereses públicos y los derechos fundamentales que protege el Derecho de la Unión. Dicho menoscabo puede ser tangible o intangible e incluye los perjuicios físicos, psíquicos, sociales o económicos.

(6)

Dadas las importantes repercusiones que la IA puede tener en la sociedad y la necesidad de generar confianza, es fundamental que la IA y su marco reglamentario se desarrollen de conformidad con los valores de la Unión consagrados en el artículo 2 del Tratado de la Unión Europea (TUE), los derechos y libertades fundamentales consagrados en los Tratados y, de conformidad con el artículo 6 del TUE, la Carta. Como requisito previo, la IA debe ser una tecnología centrada en el ser humano. Además, debe ser una herramienta para las personas y tener por objetivo último aumentar el bienestar humano.

(7)

Conviene establecer normas comunes para los sistemas de IA de alto riesgo al objeto de garantizar un nivel elevado y coherente de protección de los intereses públicos en lo que respecta a la salud, la seguridad y los derechos fundamentales. Estas normas deben ser coherentes con la Carta, no deben ser discriminatorias y deben estar en consonancia con los compromisos de la Unión en materia de comercio internacional. También deben tener en cuenta la Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital y las Directrices éticas para una IA fiable del Grupo independiente de expertos de alto nivel sobre inteligencia artificial.

(8)

En consecuencia, se necesita un marco jurídico de la Unión que establezca unas normas armonizadas en materia de IA para impulsar el desarrollo, la utilización y la adopción en el mercado interior de la IA y que, al mismo tiempo, ofrezca un nivel elevado de protección de los intereses públicos, como la salud y la seguridad y la protección de los derechos fundamentales, incluidos la democracia, el Estado de Derecho y la protección del medio ambiente, reconocidos y protegidos por el Derecho de la Unión. Para alcanzar dicho objetivo, conviene establecer normas que regulen la introducción en el mercado, la puesta en servicio y la utilización de determinados sistemas de IA, lo que garantizará el buen funcionamiento del mercado interior y permitirá que dichos sistemas se beneficien del principio de libre circulación de mercancías y servicios. Esas normas deben ser claras y firmes por lo que respecta a proteger los derechos fundamentales, apoyar nuevas soluciones innovadoras, posibilitar un ecosistema europeo de agentes públicos y privados que creen sistemas de IA en consonancia con los valores de la Unión y liberar el potencial de la transformación digital en todas las regiones de la Unión. Al establecer tales normas, así como medidas en apoyo de la innovación que prestan especial atención a las pequeñas y medianas empresas (pymes), incluidas las empresas emergentes, el presente Reglamento respalda el objetivo de promover el enfoque europeo de la IA centrado en el ser humano y de ser un líder mundial en el desarrollo de IA segura, digna de confianza y ética, como indicó el Consejo Europeo (5), y garantiza la protección de los principios éticos, como solicitó específicamente el Parlamento Europeo (6).

(9)

Deben establecerse normas armonizadas aplicables a la introducción en el mercado, la puesta en servicio y la utilización de sistemas de IA de alto riesgo en consonancia con el Reglamento (CE) nº 765/2008 del Parlamento Europeo y del Consejo (7), la Decisión nº 768/2008/CE del Parlamento Europeo y del Consejo (8) y el Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo (9) (en lo sucesivo, «nuevo marco legislativo»). Las normas armonizadas que se establecen en el presente Reglamento deben aplicarse en todos los sectores y, en consonancia con el nuevo marco legislativo, deben entenderse sin perjuicio del Derecho vigente de la Unión, en particular en materia de protección de datos, protección de los consumidores, derechos fundamentales, empleo, protección de los trabajadores y seguridad de los productos, al que complementa el presente Reglamento. En consecuencia, permanecen inalterados y siguen siendo plenamente aplicables todos los derechos y vías de recurso que el citado Derecho de la Unión otorga a los consumidores y demás personas que puedan verse afectados negativamente por los sistemas de IA, también en lo que respecta a la reparación de los posibles daños de conformidad con la Directiva 85/374/CEE del Consejo (10). Además, en el contexto del empleo y la protección de los trabajadores, el presente Reglamento no debe afectar, por tanto, al Derecho de la Unión en materia de política social ni al Derecho laboral nacional —de conformidad con el Derecho de la Unión— relativa a las condiciones de empleo y de trabajo, incluidas la salud y seguridad en el trabajo y la relación entre empleadores y trabajadores. El presente Reglamento tampoco debe afectar en modo alguno al ejercicio de los derechos fundamentales reconocidos en los Estados miembros y a escala de la Unión, incluidos el derecho o la libertad de huelga o de emprender otras acciones contempladas en los sistemas de relaciones laborales específicos de los Estados miembros y el derecho a negociar, concluir y hacer cumplir convenios colectivos o a llevar a cabo acciones colectivas conforme al Derecho nacional. El presente Reglamento no debe afectar a las disposiciones destinadas a mejorar las condiciones laborales en el trabajo en plataformas digitales establecidas en una Directiva del Parlamento Europeo y del Consejo relativa a la mejora de las condiciones laborales en el trabajo en plataformas digitales. Además, el presente Reglamento tiene por objeto reforzar la eficacia de tales derechos y vías de recurso vigentes mediante el establecimiento de requisitos y obligaciones específicos, también en lo que respecta a la transparencia, la documentación técnica y la conservación de registros de los sistemas de IA. Asimismo, las obligaciones impuestas a los distintos operadores que participan en la cadena de valor de la IA en virtud del presente Reglamento deben aplicarse sin perjuicio del Derecho nacional que, de conformidad con el Derecho de la Unión, tenga por efecto limitar el uso de determinados sistemas de IA cuando dicho Derecho quede fuera del ámbito de aplicación del presente Reglamento o persiga objetivos legítimos de interés público distintos de los perseguidos por el presente Reglamento. Así, por ejemplo, el presente Reglamento no debe afectar al Derecho laboral nacional ni al Derecho en materia de protección de menores, a saber, de personas de menos de dieciocho años, que tienen en cuenta la Observación general nº 25 (2021) de la Convención sobre los Derechos del Niño de las Naciones Unidas relativa a los derechos de los niños en relación con el entorno digital, en la medida en que no son específicas a los sistemas de IA y persiguen otros objetivos legítimos de interés público.

(10)

El derecho fundamental a la protección de los datos personales está garantizado, en particular, por los Reglamentos (UE) 2016/679 (11) y (UE) 2018/1725 (12) del Parlamento Europeo y del Consejo y la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (13). Además, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (14) protege la vida privada y la confidencialidad de las comunicaciones, también estableciendo condiciones para cualquier almacenamiento de datos personales y no personales en los equipos terminales, y el acceso desde estos. Dichos actos legislativos de la Unión constituyen la base para un tratamiento de datos sostenible y responsable, también cuando los conjuntos de datos contengan una combinación de datos personales y no personales. El presente Reglamento no pretende afectar a la aplicación del Derecho de la Unión vigente que regula el tratamiento de datos personales, incluidas las funciones y competencias de las autoridades de supervisión independientes competentes para vigilar el cumplimiento de dichos instrumentos. Tampoco afecta a las obligaciones de los proveedores y los responsables del despliegue de sistemas de IA en su papel de responsables o encargados del tratamiento de datos derivadas del Derecho de la Unión o nacional en materia de protección de datos personales en la medida en que el diseño, el desarrollo o el uso de sistemas de IA impliquen el tratamiento de datos personales. También conviene aclarar que los interesados siguen disfrutando de todos los derechos y garantías que les confiere dicho Derecho de la Unión, incluidos los derechos relacionados con las decisiones individuales totalmente automatizadas, como la elaboración de perfiles. Unas normas armonizadas para la introducción en el mercado, la puesta en servicio y la utilización de sistemas de IA establecidas en virtud del presente Reglamento deben facilitar la aplicación efectiva y permitir el ejercicio de los derechos y otras vías de recurso de los interesados garantizados por el Derecho de la Unión en materia de protección de datos personales, así como de otros derechos fundamentales.

(11)

El presente Reglamento debe interpretarse sin perjuicio de las disposiciones del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo (15) relativas a la responsabilidad de los prestadores de servicios intermediarios.

(12)

Debe definirse con claridad el concepto de «sistema de IA» en el presente Reglamento y armonizarlo estrechamente con los trabajos de las organizaciones internacionales que se ocupan de la IA, a fin de garantizar la seguridad jurídica y facilitar la convergencia a escala internacional y una amplia aceptación, al mismo tiempo que se prevé la flexibilidad necesaria para dar cabida a los rápidos avances tecnológicos en este ámbito. Además, la definición debe basarse en las principales características de los sistemas de IA que los distinguen de los sistemas de software o los planteamientos de programación tradicionales y más sencillos, y no debe incluir los sistemas basados en las normas definidas únicamente por personas físicas para ejecutar automáticamente operaciones. Una característica principal de los sistemas de IA es su capacidad de inferencia. Esta capacidad de inferencia se refiere al proceso de obtención de resultados de salida, como predicciones, contenidos, recomendaciones o decisiones, que puede influir en entornos físicos y virtuales, y a la capacidad de los sistemas de IA para deducir modelos o algoritmos, o ambos, a partir de información de entrada o datos. Las técnicas que permiten la inferencia al construir un sistema de IA incluyen estrategias de aprendizaje automático que aprenden de los datos cómo alcanzar determinados objetivos y estrategias basadas en la lógica y el conocimiento que infieren a partir de conocimientos codificados o de una representación simbólica de la tarea que debe resolverse. La capacidad de inferencia de un sistema de IA trasciende el tratamiento básico de datos, al permitir el aprendizaje, el razonamiento o la modelización. El término «basado en una máquina» se refiere al hecho de que los sistemas de IA se ejecutan en máquinas.La referencia a objetivos explícitos o implícitos subraya que los sistemas de IA pueden funcionar con arreglo a objetivos definidos explícitos o a objetivos implícitos. Los objetivos del sistema de IA pueden ser diferentes de la finalidad prevista del sistema de IA en un contexto específico. A los efectos del presente Reglamento, debe entenderse por entornos los contextos en los que funcionan los sistemas de IA, mientras que los resultados de salida generados por el sistema de IA reflejan las distintas funciones desempeñadas por los sistemas de IA e incluyen predicciones, contenidos, recomendaciones o decisiones. Los sistemas de IA están diseñados para funcionar con distintos niveles de autonomía, lo que significa que pueden actuar con cierto grado de independencia con respecto a la actuación humana y tienen ciertas capacidades para funcionar sin intervención humana. La capacidad de adaptación que un sistema de IA podría mostrar tras su despliegue se refiere a las capacidades de autoaprendizaje que permiten al sistema cambiar mientras está en uso. Los sistemas de IA pueden utilizarse de manera independiente o como componentes de un producto, con independencia de si el sistema forma parte físicamente del producto (integrado) o contribuye a la funcionalidad del producto sin formar parte de él (no integrado).

(13)

El concepto de «responsable del despliegue» a que hace referencia el presente Reglamento debe interpretarse como cualquier persona física o jurídica, incluida cualquier autoridad pública, órgano u organismo, que utilice un sistema de IA bajo su propia autoridad, salvo cuando su uso se enmarque en una actividad personal de carácter no profesional. Dependiendo del tipo de sistema de IA, el uso del sistema puede afectar a personas distintas del responsable del despliegue.

(14)

El concepto de «datos biométricos» empleado en el presente Reglamento debe interpretarse a la luz del concepto de «datos biométricos» tal como se define en el artículo 4, punto 14, del Reglamento (UE) 2016/679, en el artículo 3, punto 18, del Reglamento (UE) 2018/1725, y en el artículo 3, punto 13, de la Directiva (UE) 2016/680. Los datos biométricos pueden permitir la autenticación, la identificación o la categorización de las personas físicas y el reconocimiento de las emociones de las personas físicas.

(15)

El concepto de «identificación biométrica» a que hace referencia el presente Reglamento debe definirse como el reconocimiento automatizado de características humanas de tipo físico, fisiológico o conductual, como la cara, el movimiento ocular, la forma del cuerpo, la voz, la entonación, el modo de andar, la postura, la frecuencia cardíaca, la presión arterial, el olor o las características de las pulsaciones de tecla, a fin de determinar la identidad de una persona comparando sus datos biométricos con los datos biométricos de personas almacenados en una base de datos de referencia, independientemente de que la persona haya dado o no su consentimiento. Quedan excluidos los sistemas de IA destinados a la verificación biométrica, que comprende la autenticación, cuyo único propósito es confirmar que una persona física concreta es la persona que dice ser, así como la identidad de una persona física con la finalidad exclusiva de que tenga acceso a un servicio, desbloquee un dispositivo o tenga acceso de seguridad a un local.

(16)

El concepto de «categorización biométrica» a que hace referencia el presente Reglamento debe definirse como la inclusión de personas físicas en categorías específicas en función de sus datos biométricos. Estas categorías específicas pueden referirse a aspectos como el sexo, la edad, el color del pelo, el color de los ojos, los tatuajes, los rasgos conductuales o de la personalidad, la lengua, la religión, la pertenencia a una minoría nacional o la orientación sexual o política. No se incluyen los sistemas de categorización biométrica que sean una característica meramente accesoria intrínsecamente vinculada a otro servicio comercial, lo que significa que la característica no puede utilizarse, por razones técnicas objetivas, sin el servicio principal y que la integración de dicha característica o funcionalidad no es un medio para eludir la aplicabilidad de las normas del presente Reglamento. Por ejemplo, los filtros que clasifican las características faciales o corporales utilizados en los mercados en línea podrían constituir una característica accesoria de este tipo, ya que solo pueden utilizarse en relación con el servicio principal, que consiste en vender un producto permitiendo al consumidor previsualizar cómo le quedaría y ayudarlo a tomar una decisión de compra. Los filtros utilizados en los servicios de redes sociales que clasifican las características faciales o corporales a fin de que los usuarios puedan añadir o modificar imágenes o vídeos también podrían considerarse una característica accesoria, ya que dichos filtros no pueden utilizarse sin el servicio principal de las redes sociales, que consiste en compartir contenidos en línea.

(17)

El concepto de «sistema de identificación biométrica remota» a que hace referencia el presente Reglamento debe definirse de manera funcional como un sistema de IA destinado a identificar a personas físicas sin su participación activa, generalmente a distancia, comparando sus datos biométricos con los que figuren en una base de datos de referencia, con independencia de la tecnología, los procesos o los tipos de datos biométricos concretos que se usen. Estos sistemas de identificación biométrica remota suelen utilizarse para detectar a varias personas o su comportamiento de forma simultánea, a fin de simplificar considerablemente la identificación de personas sin su participación activa. Quedan excluidos los sistemas de IA destinados a la verificación biométrica, que comprende la autenticación, cuyo único propósito es confirmar que una persona física concreta es la persona que dice ser, así como la identidad de una persona física con la finalidad exclusiva de que tenga acceso a un servicio, desbloquee un dispositivo o tenga acceso de seguridad a un local. Esa exclusión se justifica por el hecho de que tales sistemas probablemente tengan una repercusión menor en los derechos fundamentales de las personas físicas que los sistemas de identificación biométrica remota que puedan utilizarse para el tratamiento de los datos biométricos de un gran número de personas sin su participación activa. En el caso de los sistemas «en tiempo real», la recogida de los datos biométricos, la comparación y la identificación se producen de manera instantánea, casi instantánea o, en cualquier caso, sin una importante demora. En este sentido, no debe existir la posibilidad de eludir las normas contempladas en el presente Reglamento en relación con el uso «en tiempo real» de los sistemas de IA de que se trate generando demoras mínimas. Los sistemas «en tiempo real» implican el uso de materiales «en directo» o «casi en directo», como grabaciones de vídeo, generados por una cámara u otro dispositivo con funciones similares. En cambio, en los sistemas «en diferido» ya se han recabado los datos biométricos y la comparación e identificación se producen con una importante demora. A tal fin se utilizan materiales, como imágenes o grabaciones de vídeo captadas por cámaras de televisión en circuito cerrado o dispositivos privados, generados con anterioridad a la utilización del sistema en relación con las personas físicas afectadas.

(18)

El concepto de «sistema de reconocimiento de emociones» a que hace referencia el presente Reglamento debe definirse como un sistema de IA destinado a distinguir o deducir las emociones o las intenciones de las personas físicas a partir de sus datos biométricos. El concepto se refiere a emociones o intenciones como la felicidad, la tristeza, la indignación, la sorpresa, el asco, el apuro, el entusiasmo, la vergüenza, el desprecio, la satisfacción y la diversión. No incluye los estados físicos, como el dolor o el cansancio, como, por ejemplo, los sistemas utilizados para detectar el cansancio de los pilotos o conductores profesionales con el fin de evitar accidentes. Tampoco incluye la mera detección de expresiones, gestos o movimientos que resulten obvios, salvo que se utilicen para distinguir o deducir emociones. Esas expresiones pueden ser expresiones faciales básicas, como un ceño fruncido o una sonrisa; gestos como el movimiento de las manos, los brazos o la cabeza, o características de la voz de una persona, como una voz alzada o un susurro.

(19)

A los efectos del presente Reglamento, debe entenderse que el concepto de «espacio de acceso público» se refiere a cualquier espacio físico al que pueda acceder un número indeterminado de personas físicas y con independencia de si es de propiedad privada o pública y de la actividad para la que pueda utilizarse el espacio, ya sean actividades comerciales, por ejemplo, tiendas, restaurantes, cafeterías; de prestación de servicios, por ejemplo, bancos, actividades profesionales, hostelería; deportivas, por ejemplo, piscinas, gimnasios, estadios; de transporte, por ejemplo, estaciones de autobús, metro y ferrocarril, aeropuertos, medios de transporte; de entretenimiento, por ejemplo, cines, teatros, museos, salas de conciertos, salas de conferencias; de ocio o de otro tipo, por ejemplo, vías y plazas públicas, parques, bosques, parques infantiles. Asimismo, debe considerarse que un espacio es de acceso público si, con independencia de posibles restricciones de capacidad o de seguridad, el acceso está sujeto a determinadas condiciones previamente definidas que puede satisfacer un número indeterminado de personas, como la adquisición de una entrada o un título de transporte, el registro previo o tener una determinada edad. Por el contrario, un espacio no debe considerarse de acceso público si únicamente pueden acceder a él determinadas personas físicas definidas, ya sea en virtud del Derecho de la Unión o del Derecho nacional directamente relacionado con la seguridad pública o en virtud de una clara manifestación de voluntad de la persona que ejerza la autoridad pertinente sobre dicho espacio. La posibilidad real de acceso, como una puerta no cerrada con llave o una verja abierta, no implica por sí sola que el espacio sea de acceso público si hay indicios o circunstancias que sugieran lo contrario, como señales que prohíban o restrinjan el acceso. Los locales de empresas y fábricas, así como las oficinas y lugares de trabajo a los que solo se pretende que accedan los empleados y proveedores de servicios pertinentes, no son espacios de acceso público. No deben incluirse en los espacios de acceso público las prisiones ni las zonas en que se realizan inspecciones fronterizas. Algunos espacios pueden incluir tanto zonas de acceso público como zonas que no son de acceso público, como los aeropuertos o el vestíbulo de un edificio residencial privado por el que se accede a una consulta médica. Los espacios en línea no son lugares de acceso público, ya que no son espacios físicos. No obstante, se debe determinar caso por caso si un espacio es de acceso público o no teniendo en cuenta las particularidades de la situación concreta.

(20)

Con el fin de obtener los mayores beneficios de los sistemas de IA, protegiendo al mismo tiempo los derechos fundamentales, la salud y la seguridad, y de posibilitar el control democrático, la alfabetización en materia de IA debe dotar a los proveedores, responsables del despliegue y personas afectadas de los conceptos necesarios para tomar decisiones con conocimiento de causa en relación con los sistemas de IA. Esos conceptos pueden variar en función del contexto pertinente e incluir el entendimiento de la correcta aplicación de los elementos técnicos durante la fase de desarrollo del sistema de IA, las medidas que deben aplicarse durante su uso, las formas adecuadas de interpretar los resultados de salida del sistema de IA y, en el caso de las personas afectadas, los conocimientos necesarios para comprender el modo en que las decisiones adoptadas con la ayuda de la IA tendrán repercusiones para ellas. En el contexto de la aplicación del presente Reglamento, la alfabetización en materia de IA debe proporcionar a todos los agentes pertinentes de la cadena de valor de la IA los conocimientos necesarios para garantizar el cumplimiento adecuado y la correcta ejecución. Además, la puesta en práctica general de medidas de alfabetización en materia de IA y la introducción de acciones de seguimiento adecuadas podrían contribuir a mejorar las condiciones de trabajo y, en última instancia, sostener la consolidación y la senda de innovación de una IA fiable en la Unión. El Consejo Europeo de Inteligencia Artificial (en lo sucesivo, «Consejo de IA») debe apoyar a la Comisión para promover las herramientas de alfabetización en materia de IA, la sensibilización pública y la comprensión de los beneficios, los riesgos, las salvaguardias, los derechos y las obligaciones en relación con el uso de sistemas de IA. En cooperación con las partes interesadas pertinentes, la Comisión y los Estados miembros deben facilitar la elaboración de códigos de conducta voluntarios para promover la alfabetización en materia de IA entre las personas que se ocupan del desarrollo, el manejo y el uso de la IA.

(21)

Con el objetivo de garantizar la igualdad de condiciones y la protección efectiva de los derechos y libertades de las personas en toda la Unión, las normas establecidas en el presente Reglamento deben aplicarse a los proveedores de sistemas de IA sin discriminación, con independencia de si están establecidos en la Unión o en un tercer país, y a los responsables del despliegue de sistemas de IA establecidos en la Unión.

(22)

Debido a su carácter digital, algunos sistemas de IA deben entrar en el ámbito de aplicación del presente Reglamento aunque no se introduzcan en el mercado, se pongan en servicio ni se utilicen en la Unión. Esto sucede, por ejemplo, cuando un operador establecido en la Unión firma con un operador establecido en un tercer país un contrato para la prestación de determinados servicios en relación con una actividad que llevará a cabo un sistema de IA que se consideraría de alto riesgo. En dichas circunstancias, el sistema de IA usado en un tercer país por el operador podría tratar datos recabados lícitamente en la Unión y transferidos desde su territorio, y proporcionar al operador contratante ubicado en la Unión los resultados de salida generados por dicho sistema de IA a raíz de este tratamiento sin que el sistema de IA de que se trate se introduzca en el mercado, se ponga en servicio o se utilice en la Unión. Para evitar la elusión de este Reglamento y garantizar la protección efectiva de las personas físicas ubicadas en la Unión, el presente Reglamento también debe aplicarse a los proveedores y responsables del despliegue de sistemas de IA establecidos en un tercer país, en la medida en que los resultados de salida generados por dichos sistemas estén destinados a utilizarse en la Unión. No obstante, con el objetivo de tener en cuenta los acuerdos existentes y las necesidades especiales de cooperación futura con socios extranjeros con los que se intercambian información y pruebas, el presente Reglamento no debe aplicarse a las autoridades públicas de un tercer país ni a organizaciones internacionales cuando actúen en el marco de acuerdos internacionales o de cooperación celebrados a escala nacional o de la Unión con fines de cooperación policial y judicial con la Unión o sus Estados miembros si el tercer país o la organización internacional correspondiente ofrece garantías suficientes con respecto a la protección de los derechos y libertades fundamentales de las personas. Cuando proceda, ello podrá incluir las actividades de entidades a las que los terceros países hayan encomendado tareas específicas en apoyo de dicha cooperación policial y judicial. Dichos marcos de cooperación o acuerdos se han establecido bilateralmente entre los Estados miembros y terceros países o entre la Unión Europea, Europol y otros órganos de la Unión y terceros países y organizaciones internacionales. Las autoridades competentes para la supervisión de las autoridades policiales y judiciales en virtud del presente Reglamento deben evaluar si dichos marcos de cooperación o acuerdos internacionales incluyen garantías suficientes con respecto a la protección de los derechos y libertades fundamentales de las personas. Las autoridades nacionales y las instituciones, órganos y organismos de la Unión que sean destinatarios de dichos resultados de salida y que la utilicen en la Unión siguen siendo responsables de garantizar que su utilización de la información está en consonancia con el Derecho de la Unión. Cuando, en el futuro, dichos acuerdos internacionales se revisen o se celebren otros nuevos, las partes contratantes deben hacer todo lo posible por que dichos acuerdos se ajusten a los requisitos del presente Reglamento.

(23)

El presente Reglamento también debe aplicarse a las instituciones, órganos y organismos de la Unión cuando actúen como proveedores o responsables del despliegue de un sistema de IA.

(24)

En caso de que, y en la medida en que, los sistemas de IA se introduzcan en el mercado, se pongan en servicio o se utilicen, con o sin modificación, con fines militares, de defensa o de seguridad nacional, deben excluirse del ámbito de aplicación del presente Reglamento, independientemente del tipo de entidad que lleve a cabo esas actividades, por ejemplo, con independencia de que se trate de una entidad pública o de una entidad privada. Por lo que respecta a los fines militares y de defensa, dicha exclusión está justificada tanto por el artículo 4, apartado 2, del TUE como por las especificidades de la política de defensa de los Estados miembros y de la política común de defensa de la Unión a que se refiere el título V, capítulo 2, del TUE, que están sujetas al Derecho internacional público que, por lo tanto, es el marco jurídico más adecuado para la regulación de los sistemas de IA en el contexto del uso de la fuerza letal y de otros sistemas de IA en el contexto de las actividades militares y de defensa. Por lo que respecta a los fines de seguridad nacional, la exclusión está justificada tanto por el hecho de que la seguridad nacional sigue siendo responsabilidad exclusiva de los Estados miembros de conformidad con el artículo 4, apartado 2, del TUE, como por la naturaleza específica y las necesidades operativas de las actividades de seguridad nacional y por las normas nacionales específicas aplicables a dichas actividades. No obstante, si un sistema de IA desarrollado, introducido en el mercado, puesto en servicio o utilizado con fines militares, de defensa o de seguridad nacional se utilizara temporal o permanentemente fuera de estos ámbitos con otros fines (por ejemplo, con fines civiles o humanitarios, de garantía del cumplimiento del Derecho o de seguridad pública), dicho sistema entraría en el ámbito de aplicación del presente Reglamento. En tal caso, la entidad que utilice el sistema de IA con fines que no sean militares, de defensa o de seguridad nacional debe garantizar que el sistema de IA cumple lo dispuesto en el presente Reglamento, a menos que el sistema ya lo haga. Los sistemas de IA introducidos en el mercado o puestos en servicio para un fin excluido, a saber, militar, de defensa o de seguridad nacional, y uno o varios fines no excluidos, como fines civiles o de garantía del cumplimiento del Derecho, entran en el ámbito de aplicación del presente Reglamento y los proveedores de dichos sistemas deben garantizar el cumplimiento del presente Reglamento. En esos casos, el hecho de que un sistema de IA pueda entrar en el ámbito de aplicación del presente Reglamento no debe afectar a la posibilidad de que las entidades que llevan a cabo actividades militares, de defensa y de seguridad nacional, independientemente del tipo de entidad que lleve a cabo estas actividades, utilicen sistemas de IA con fines de seguridad nacional, militares y de defensa, cuyo uso está excluido del ámbito de aplicación del presente Reglamento. Un sistema de IA introducido en el mercado con fines civiles o de garantía del cumplimiento del Derecho que se utilice, con o sin modificaciones, con fines militares, de defensa o de seguridad nacional no debe entrar en el ámbito de aplicación del presente Reglamento, independientemente del tipo de entidad que lleve a cabo esas actividades.

(25)

El presente Reglamento debe apoyar la innovación, respetar la libertad de ciencia y no socavar la actividad de investigación y desarrollo. Por consiguiente, es necesario excluir de su ámbito de aplicación los sistemas y modelos de IA desarrollados específicamente y puestos en servicio únicamente con fines de investigación y desarrollo científicos. Además, es necesario garantizar que el presente Reglamento no afecte de otro modo a la actividad de investigación y desarrollo científicos sobre sistemas o modelos de IA antes de su introducción en el mercado o su puesta en servicio. Por lo que se refiere a la actividad de investigación, prueba y desarrollo orientada a productos en relación con sistemas o modelos de IA, las disposiciones del presente Reglamento tampoco deben aplicarse antes de que dichos sistemas y modelos se pongan en servicio o se introduzcan en el mercado. Esa exclusión se entiende sin perjuicio de la obligación de cumplir el presente Reglamento cuando se introduzca en el mercado o se ponga en servicio como resultado de dicha actividad de investigación y desarrollo un sistema de IA que entre en el ámbito de aplicación del presente Reglamento, así como de la aplicación de disposiciones sobre espacios controlados de pruebas para la IA y pruebas en condiciones reales. Además, sin perjuicio de la exclusión de los sistemas de IA desarrollados específicamente y puestos en servicio únicamente con fines de investigación y desarrollo científicos, cualquier otro sistema de IA que pueda utilizarse para llevar a cabo cualquier actividad de investigación y desarrollo debe seguir estando sujeto a las disposiciones del presente Reglamento. En cualquier caso, toda actividad de investigación y desarrollo debe llevarse a cabo de conformidad con normas éticas y profesionales reconocidas para la investigación científica y con el Derecho aplicable de la Unión.

(26)

Con el fin de establecer un conjunto proporcionado y eficaz de normas vinculantes para los sistemas de IA, es preciso aplicar un enfoque basado en los riesgos claramente definido, que adapte el tipo y contenido de las normas a la intensidad y el alcance de los riesgos que puedan generar los sistemas de IA de que se trate. Por consiguiente, es necesario prohibir determinadas prácticas de IA que no son aceptables, definir los requisitos que deben cumplir los sistemas de IA de alto riesgo y las obligaciones aplicables a los operadores pertinentes, así como imponer obligaciones de transparencia a determinados sistemas de IA.

(27)

Si bien el enfoque basado en el riesgo es la base de un conjunto proporcionado y eficaz de normas vinculantes, es importante recordar las Directrices éticas para una IA fiable, de 2019, elaboradas por el Grupo independiente de expertos de alto nivel sobre IA creado por la Comisión. En dichas directrices, el Grupo independiente de expertos de alto nivel sobre IA desarrolló siete principios éticos no vinculantes para la IA que tienen por objeto contribuir a garantizar la fiabilidad y el fundamento ético de la IA. Los siete principios son: acción y supervisión humanas; solidez técnica y seguridad; gestión de la privacidad y de los datos; transparencia; diversidad, no discriminación y equidad; bienestar social y ambiental, y rendición de cuentas. Sin perjuicio de los requisitos jurídicamente vinculantes del presente Reglamento y de cualquier otro acto aplicable del Derecho de la Unión, esas directrices contribuyen al diseño de una IA coherente, fiable y centrada en el ser humano, en consonancia con la Carta y con los valores en los que se fundamenta la Unión. De acuerdo con las directrices del Grupo independiente de expertos de alto nivel sobre IA, por «acción y supervisión humanas» se entiende que los sistemas de IA se desarrollan y utilizan como herramienta al servicio de las personas, que respeta la dignidad humana y la autonomía personal, y que funciona de manera que pueda ser controlada y vigilada adecuadamente por seres humanos. Por «solidez técnica y seguridad» se entiende que los sistemas de IA se desarrollan y utilizan de manera que sean sólidos en caso de problemas y resilientes frente a los intentos de alterar el uso o el funcionamiento del sistema de IA para permitir su uso ilícito por terceros y reducir al mínimo los daños no deseados. Por «gestión de la privacidad y de los datos» se entiende que los sistemas de IA se desarrollan y utilizan de conformidad con normas en materia de protección de la intimidad y de los datos, al tiempo que tratan datos que cumplen normas estrictas en términos de calidad e integridad. Por «transparencia» se entiende que los sistemas de IA se desarrollan y utilizan de un modo que permita una trazabilidad y explicabilidad adecuadas, y que, al mismo tiempo, haga que las personas sean conscientes de que se comunican o interactúan con un sistema de IA e informe debidamente a los responsables del despliegue acerca de las capacidades y limitaciones de dicho sistema de IA y a las personas afectadas acerca de sus derechos. Por «diversidad, no discriminación y equidad» se entiende que los sistemas de IA se desarrollan y utilizan de un modo que incluya a diversos agentes y promueve la igualdad de acceso, la igualdad de género y la diversidad cultural, al tiempo que se evitan los efectos discriminatorios y los sesgos injustos prohibidos por el Derecho nacional o de la Unión. Por «bienestar social y ambiental» se entiende que los sistemas de IA se desarrollan y utilizan de manera sostenible y respetuosa con el medio ambiente, así como en beneficio de todos los seres humanos, al tiempo que se supervisan y evalúan los efectos a largo plazo en las personas, la sociedad y la democracia. La aplicación de esos principios debe traducirse, cuando sea posible, en el diseño y el uso de modelos de IA. En cualquier caso, deben servir de base para la elaboración de códigos de conducta en virtud del presente Reglamento. Se anima a todas las partes interesadas, incluidos la industria, el mundo académico, la sociedad civil y las organizaciones de normalización, a que tengan en cuenta, según proceda, los principios éticos para el desarrollo de normas y mejores prácticas voluntarias.

(28)

Al margen de los múltiples usos beneficiosos de la IA, esta también puede utilizarse indebidamente y proporcionar nuevas y poderosas herramientas para llevar a cabo prácticas de manipulación, explotación y control social. Dichas prácticas son sumamente perjudiciales e incorrectas y deben estar prohibidas, pues van en contra de los valores de la Unión de respeto de la dignidad humana, la libertad, la igualdad, la democracia y el Estado de Derecho y de los derechos fundamentales consagrados en la Carta, como el derecho a la no discriminación, a la protección de datos y a la intimidad y los derechos del niño.

(29)

Las técnicas de manipulación que posibilita la IA pueden utilizarse para persuadir a las personas de que adopten comportamientos no deseados o para engañarlas empujándolas a tomar decisiones de una manera que socava y perjudica su autonomía, su toma de decisiones y su capacidad de elegir libremente. Son especialmente peligrosos y, por tanto, deben prohibirse la introducción en el mercado, la puesta en servicio o la utilización de determinados sistemas de IA con el objetivo o al efecto de alterar de manera sustancial el comportamiento humano, con la consiguiente probabilidad de que se produzcan perjuicios considerables, en particular perjuicios con efectos adversos suficientemente importantes en la salud física o mental o en los intereses financieros. Esos sistemas de IA utilizan componentes subliminales, como estímulos de audio, imagen o vídeo que las personas no pueden percibir —ya que dichos estímulos trascienden la percepción humana—, u otras técnicas manipulativas o engañosas que socavan o perjudican la autonomía, la toma de decisiones o la capacidad de elegir libremente de las personas de maneras de las que estas no son realmente conscientes de dichas técnicas o, cuando lo son, pueden seguir siendo engañadas o no pueden controlarlas u oponerles resistencia. Esto podría facilitarse, por ejemplo, mediante interfaces cerebro-máquina o realidad virtual, dado que permiten un mayor grado de control acerca de qué estímulos se presentan a las personas, en la medida en que pueden alterar sustancialmente su comportamiento de un modo que suponga un perjuicio considerable. Además, los sistemas de IA también pueden explotar de otras maneras las vulnerabilidades de una persona o un colectivo específico de personas derivadas de su edad, su discapacidad en el sentido de lo dispuesto en la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo (16) o de una situación social o económica concreta que probablemente aumente su vulnerabilidad a la explotación, como vivir en condiciones de pobreza extrema o pertenecer a minorías étnicas o religiosas. Estos sistemas de IA pueden introducirse en el mercado, ponerse en servicio o utilizarse con el objetivo de alterar de manera sustancial el comportamiento de una persona, o tener ese efecto, y de un modo que provoque, o sea razonablemente probable que provoque, perjuicios considerables a esa persona o a otra persona o colectivo de personas, incluidos perjuicios que pueden acumularse a lo largo del tiempo y que, por tanto, deben prohibirse. No puede presuponerse que existe la intención de alterar el comportamiento si la alteración es el resultado de factores externos al sistema de IA que escapan al control del proveedor o del responsable del despliegue, a saber, factores que no es lógico prever y que, por tanto, el proveedor o el responsable del despliegue del sistema de IA no pueden mitigar. En cualquier caso, no es necesario que el proveedor o el responsable del despliegue tengan la intención de causar un perjuicio considerable, siempre que dicho perjuicio se derive de las prácticas de manipulación o explotación que posibilita la IA. La prohibición de tales prácticas de IA complementa lo dispuesto en la Directiva 2005/29/CE del Parlamento Europeo y del Consejo (17), en particular la prohibición, en cualquier circunstancia, de las prácticas comerciales desleales que causan perjuicios económicos o financieros a los consumidores, hayan sido establecidas mediante de sistemas de IA o de otra manera. La prohibición de las prácticas de manipulación y explotación establecida en el presente Reglamento no debe afectar a prácticas lícitas en el contexto de un tratamiento médico, como el tratamiento psicológico de una enfermedad mental o la rehabilitación física, cuando dichas prácticas se lleven a cabo de conformidad con el Derecho y las normas médicas aplicables, por ejemplo, con el consentimiento expreso de las personas o de sus representantes legales. Asimismo, no debe considerarse que las prácticas comerciales comunes y legítimas (por ejemplo, en el campo de la publicidad) que cumplan el Derecho aplicable son, en sí mismas, prácticas de manipulación perjudiciales que posibilita la IA.

(30)

Deben prohibirse los sistemas de categorización biométrica basados en datos biométricos de las personas físicas, como la cara o las impresiones dactilares de una persona física, para deducir o inferir las opiniones políticas, la afiliación sindical, las convicciones religiosas o filosóficas, la raza, la vida sexual o la orientación sexual de una persona física. Dicha prohibición no debe aplicarse al etiquetado, al filtrado ni a la categorización lícitos de conjuntos de datos biométricos adquiridos de conformidad con el Derecho nacional o de la Unión en función de datos biométricos, como la clasificación de imágenes en función del color del pelo o del color de ojos, que pueden utilizarse, por ejemplo, en el ámbito de la garantía del cumplimiento del Derecho.

(31)

Los sistemas de IA que permiten a agentes públicos o privados llevar a cabo una puntuación ciudadana de las personas físicas pueden tener resultados discriminatorios y abocar a la exclusión a determinados colectivos. Pueden menoscabar el derecho a la dignidad y a la no discriminación y los valores de igualdad y justicia. Dichos sistemas de IA evalúan o clasifican a las personas físicas o a grupos de estas sobre la base de varios puntos de datos relacionados con su comportamiento social en múltiples contextos o de características personales o de su personalidad conocidas, inferidas o predichas durante determinados períodos de tiempo. La puntuación ciudadana resultante de dichos sistemas de IA puede dar lugar a un trato perjudicial o desfavorable de determinadas personas físicas o colectivos enteros en contextos sociales que no guardan relación con el contexto donde se generaron o recabaron los datos originalmente, o a un trato perjudicial desproporcionado o injustificado en relación con la gravedad de su comportamiento social. Por lo tanto, deben prohibirse los sistemas de IA que impliquen esas prácticas inaceptables de puntuación y den lugar a esos resultados perjudiciales o desfavorables. Esa prohibición no debe afectar a prácticas lícitas de evaluación de las personas físicas que se efectúen para un fin específico de conformidad con el Derecho de la Unión y nacional.

(32)

El uso de sistemas de IA para la identificación biométrica remota «en tiempo real» de personas físicas en espacios de acceso público con fines de garantía del cumplimiento del Derecho invade de forma especialmente grave los derechos y las libertades de las personas afectadas, en la medida en que puede afectar a la vida privada de una gran parte de la población, provocar la sensación de estar bajo una vigilancia constante y disuadir indirectamente a los ciudadanos de ejercer su libertad de reunión y otros derechos fundamentales. Las imprecisiones técnicas de los sistemas de IA destinados a la identificación biométrica remota de las personas físicas pueden dar lugar a resultados sesgados y tener efectos discriminatorios. Tales posibles resultados sesgados y efectos discriminatorios son especialmente pertinentes por lo que respecta a la edad, la etnia, la raza, el sexo o la discapacidad. Además, la inmediatez de las consecuencias y las escasas oportunidades para realizar comprobaciones o correcciones adicionales en relación con el uso de sistemas que operan «en tiempo real» acrecientan el riesgo que estos conllevan para los derechos y las libertades de las personas afectadas en el contexto de actividades de garantía del cumplimiento del Derecho, o afectadas por estas.

(33)

En consecuencia, debe prohibirse el uso de dichos sistemas con fines de garantía del cumplimiento del Derecho, salvo en situaciones enumeradas de manera limitativa y definidas con precisión en las que su utilización sea estrictamente necesaria para lograr un interés público esencial cuya importancia compense los riesgos. Esas situaciones son la búsqueda de determinadas víctimas de un delito, incluidas personas desaparecidas; determinadas amenazas para la vida o para la seguridad física de las personas físicas o amenazas de atentado terrorista; y la localización o identificación de los autores o sospechosos de los delitos enumerados en un anexo del presente Reglamento, cuando dichas infracciones se castiguen en el Estado miembro de que se trate con una pena o una medida de seguridad privativas de libertad cuya duración máxima sea de al menos cuatro años, y como se definan en el Derecho de dicho Estado miembro. Fijar ese umbral para la pena o la medida de seguridad privativas de libertad con arreglo al Derecho nacional contribuye a garantizar que la infracción sea lo suficientemente grave como para llegar a justificar el uso de sistemas de identificación biométrica remota «en tiempo real». Por otro lado, la lista de delitos proporcionada en un anexo del presente Reglamento se basa en los treinta y dos delitos enumerados en la Decisión Marco 2002/584/JAI del Consejo (18), si bien es preciso tener en cuenta que, en la práctica, es probable que algunas sean más relevantes que otras en el sentido de que es previsible que recurrir a la identificación biométrica remota «en tiempo real» podría ser necesario y proporcionado en grados muy distintos para llevar a cabo la localización o la identificación de los autores o sospechosos de las distintas infracciones enumeradas, y que es probable que haya diferencias en la gravedad, la probabilidad y la magnitud de los perjuicios o las posibles consecuencias negativas. Una amenaza inminente para la vida o la seguridad física de las personas físicas también podría derivarse de una perturbación grave de infraestructuras críticas, tal como se definen en el artículo 2, punto 4, de la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo (19), cuando la perturbación o destrucción de dichas infraestructuras críticas suponga una amenaza inminente para la vida o la seguridad física de una persona, también al perjudicar gravemente el suministro de productos básicos a la población o el ejercicio de la función esencial del Estado. Además, el presente Reglamento debe preservar la capacidad de las autoridades garantes del cumplimiento del Derecho, de control fronterizo, de la inmigración o del asilo para llevar a cabo controles de identidad en presencia de la persona afectada, de conformidad con las condiciones establecidas en el Derecho de la Unión y en el Derecho nacional para estos controles. En particular, las autoridades garantes del cumplimiento del Derecho, del control fronterizo, de la inmigración o del asilo deben poder utilizar sistemas de información, de conformidad con el Derecho de la Unión o el Derecho nacional, para identificar a las personas que, durante un control de identidad, se nieguen a ser identificadas o no puedan declarar o demostrar su identidad, sin que el presente Reglamento exija que se obtenga una autorización previa. Puede tratarse, por ejemplo, de una persona implicada en un delito que no quiera revelar su identidad a las autoridades garantes del cumplimiento del Derecho, o que no pueda hacerlo debido a un accidente o a una afección médica.

(34)

Para velar por que dichos sistemas se utilicen de manera responsable y proporcionada, también es importante establecer que, en esas situaciones enumeradas de manera limitativa y definidas con precisión, se tengan en cuenta determinados elementos, en particular en lo que se refiere a la naturaleza de la situación que dé lugar a la solicitud, a las consecuencias que su uso puede tener sobre los derechos y las libertades de todas las personas implicadas, y a las garantías y condiciones que acompañen a su uso. Además, el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho debe llevarse a cabo únicamente para confirmar la identidad de la persona que constituya el objetivo específico y limitarse a lo estrictamente necesario en lo que se refiere al período de tiempo, así como al ámbito geográfico y personal, teniendo en cuenta, en particular, las pruebas o indicios relativos a las amenazas, las víctimas o los autores. El uso del sistema de identificación biométrica remota en tiempo real en espacios de acceso público solo debe autorizarse si la correspondiente autoridad garante del cumplimiento del Derecho ha llevado a cabo una evaluación de impacto relativa a los derechos fundamentales y, salvo que se disponga otra cosa en el presente Reglamento, si ha registrado el sistema en la base de datos establecida en el presente Reglamento. La base de datos de personas de referencia debe ser adecuada para cada supuesto de uso en cada una de las situaciones antes mencionadas.

(35)

Todo uso de un sistema de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho debe haber sido autorizado de manera expresa y específica por una autoridad judicial o por una autoridad administrativa independiente de un Estado miembro y cuya decisión sea vinculante. En principio, dicha autorización debe obtenerse antes de utilizar el sistema de IA con el fin de identificar a una o varias personas. Deben permitirse excepciones a esa norma en situaciones debidamente justificadas por motivos de urgencia, a saber, en aquellas en las que la necesidad de utilizar los sistemas de que se trate sea tan imperiosa que resulte efectiva y objetivamente imposible obtener una autorización antes de iniciar el uso del sistema de IA. En tales situaciones de urgencia, el uso debe limitarse al mínimo imprescindible y satisfacer las garantías y condiciones oportunas, conforme a lo dispuesto en el Derecho nacional y según corresponda en cada supuesto concreto de uso urgente por parte de la propia autoridad garante del cumplimiento del Derecho. Además, en esas situaciones las autoridades garantes del cumplimiento del Derecho deben solicitar dicha autorización e indicar los motivos por los que no han podido hacerlo antes, sin demora indebida y, como máximo, en un plazo de veinticuatro horas. Si se rechaza dicha autorización, el uso de sistemas de identificación biométrica en tiempo real vinculados a la autorización debe interrumpirse con efecto inmediato y todos los datos relacionados con dicho uso deben desecharse y suprimirse. Entre esos datos se incluyen los datos de entrada directamente adquiridos por un sistema de IA durante el uso de dicho sistema, así como los resultados y la información de salida del uso vinculados a dicha autorización. No debe incluir la información de entrada adquirida legalmente de conformidad con otro acto del Derecho nacional o de la Unión. En cualquier caso, no debe adoptarse ninguna decisión que produzca efectos jurídicos adversos para una persona exclusivamente sobre la base de los resultados de salida del sistema de identificación biométrica remota.

(36)

A fin de desempeñar sus funciones de conformidad con los requisitos establecidos en el presente Reglamento, así como en las normas nacionales, debe notificarse a la autoridad de vigilancia del mercado pertinente y a la autoridad nacional de protección de datos cada uso del sistema de identificación biométrica en tiempo real. Las autoridades de vigilancia del mercado y las autoridades nacionales de protección de datos que hayan recibido una notificación deben presentar a la Comisión un informe anual sobre el uso de sistemas de identificación biométrica en tiempo real.

(37)

Por otro lado, conviene disponer, en el marco exhaustivo que establece este Reglamento, que dicho uso en el territorio de un Estado miembro conforme a lo dispuesto en el presente Reglamento solo debe ser posible cuando el Estado miembro de que se trate haya decidido contemplar expresamente la posibilidad de autorizarlo en las normas detalladas de su Derecho nacional, y en la medida en que lo haya contemplado. En consecuencia, con arreglo al presente Reglamento los Estados miembros siguen teniendo la libertad de no ofrecer esta posibilidad en absoluto o de ofrecerla únicamente en relación con algunos de los objetivos que pueden justificar un uso autorizado conforme al presente Reglamento. Dichas normas nacionales deben notificarse a la Comisión en un plazo de treinta días a partir de su adopción.

(38)

La utilización de sistemas de IA para la identificación biométrica remota en tiempo real de personas físicas en espacios de acceso público con fines de garantía del cumplimiento del Derecho implica, necesariamente, el tratamiento de datos biométricos. Las normas del presente Reglamento que prohíben, con algunas excepciones, ese uso, basadas en el artículo 16 del TFUE, deben aplicarse como lex specialis con respecto a las normas sobre el tratamiento de datos biométricos que figuran en el artículo 10 de la Directiva (UE) 2016/680, con lo que se regula de manera exhaustiva dicho uso y el tratamiento de los correspondientes datos biométricos. Por lo tanto, ese uso y tratamiento deben ser posibles únicamente en la medida en que sean compatibles con el marco establecido por el presente Reglamento, sin que haya margen, fuera de dicho marco, para que las autoridades competentes, cuando actúen con fines de garantía del cumplimiento del Derecho, utilicen tales sistemas y traten dichos datos en los supuestos previstos en el artículo 10 de la Directiva (UE) 2016/680. En ese sentido, el presente Reglamento no tiene por objeto proporcionar la base jurídica para el tratamiento de datos personales en virtud del artículo 8 de la Directiva (UE) 2016/680. Sin embargo, el uso de sistemas de identificación biométrica remota en tiempo real en espacios de acceso público con fines distintos de la garantía del cumplimiento del Derecho, también por parte de las autoridades competentes, no debe estar sujeto al marco específico establecido por el presente Reglamento en lo que respecta al uso de dichos sistemas con fines de garantía del cumplimiento del Derecho. Por consiguiente, su uso con fines distintos de la garantía del cumplimiento del Derecho no debe estar sujeto al requisito de obtener una autorización previsto en el presente Reglamento ni a las normas de desarrollo aplicables del Derecho nacional que puedan hacer efectiva dicha autorización.

(39)

Todo tratamiento de datos biométricos y de datos personales de otra índole asociado al uso de sistemas de IA para la identificación biométrica, salvo el asociado al uso de sistemas de identificación biométrica remota en tiempo real en espacios de acceso público con fines de garantía del cumplimiento del Derecho regulado por el presente Reglamento, debe seguir cumpliendo todos los requisitos derivados del artículo 10 de la Directiva (UE) 2016/680. El artículo 9, apartado 1, del Reglamento (UE) 2016/679 y el artículo 10, apartado 1, del Reglamento (UE) 2018/1725 prohíben el tratamiento de datos biométricos con fines distintos de la garantía del cumplimiento del Derecho, con las excepciones limitadas previstas en dichos artículos. En la aplicación del artículo 9, apartado 1, del Reglamento (UE) 2016/679, el uso de la identificación biométrica remota para fines distintos de la garantía del cumplimiento del Derecho ya ha sido objeto de decisiones de prohibición por parte de las autoridades nacionales de protección de datos.

(40)

De conformidad con el artículo 6 bis del Protocolo nº 21 sobre la Posición del Reino Unido y de Irlanda respecto del Espacio de Libertad, Seguridad y Justicia, anejo al TUE y al TFUE, las normas establecidas en el artículo 5, apartado 1, párrafo primero, letra g), en la medida en que se aplica al uso de sistemas de categorización biométrica para actividades en el ámbito de la cooperación policial y la cooperación judicial en materia penal, el artículo 5, apartado 1, párrafo primero, letra d), en la medida en que se aplica al uso de sistemas de IA comprendidos en el ámbito de aplicación de dicho artículo, el artículo 5, apartado 1, párrafo primero, letra h), y apartados 2 a 6, y el artículo 26, apartado 10, del presente Reglamento, adoptadas basándose en el artículo 16 del TFUE que se refieran al tratamiento de datos de carácter personal por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación de la tercera parte, título V, capítulos 4 o 5, de dicho Tratado solo serán vinculantes para Irlanda en la medida en que sean vinculantes para este Estado normas de la Unión que regulen formas de cooperación judicial en materia penal y de cooperación policial en cuyo marco deban respetarse las disposiciones establecidas basándose en el artículo 16 del TFUE.

(41)

De conformidad con lo dispuesto en los artículos 2 y 2 bis del Protocolo nº 22 sobre la Posición de Dinamarca, anejo al TUE y al TFUE, las normas establecidas en el artículo 5, apartado 1, párrafo primero, letra g), en la medida en que se aplica al uso de sistemas de categorización biométrica para actividades en el ámbito de la cooperación policial y la cooperación judicial en materia penal, el artículo 5, apartado 1, párrafo primero, letra d), en la medida en que se aplican al uso de sistemas de IA comprendidos en el ámbito de aplicación de dicho artículo, el artículo 5, apartado 1, párrafo primero, letra h), y apartados 2 a 6, y el artículo 26, apartado 10, del presente Reglamento, adoptadas sobre la base del artículo 16 del TFUE que se refieran al tratamiento de datos de carácter personal por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación de la tercera parte, título V, capítulos 4 o 5, de dicho Tratado, no vincularán a Dinamarca ni le serán aplicables.

(42)

En consonancia con la presunción de inocencia, las personas físicas de la Unión siempre deben ser juzgadas basándose en su comportamiento real. Las personas físicas nunca deben ser juzgadas a partir de comportamientos predichos por una IA basados únicamente en la elaboración de sus perfiles, en los rasgos o características de su personalidad, como la nacionalidad, el lugar de nacimiento, el lugar de residencia, el número de hijos, el nivel de endeudamiento o el tipo de vehículo, sin una valoración humana y sin que exista una sospecha razonable, basada en hechos objetivos comprobables, de que dicha persona está implicada en una actividad delictiva. Por lo tanto, deben prohibirse las evaluaciones de riesgos realizadas con respecto a personas físicas para evaluar la probabilidad de que cometan un delito o para predecir la comisión de un delito real o potencial basándose únicamente en la elaboración de perfiles de esas personas físicas o la evaluación de los rasgos y características de su personalidad. En cualquier caso, dicha prohibición no se refiere o atañe a los análisis de riesgos que no estén basados en la elaboración de perfiles de personas o en los rasgos y características de la personalidad de las personas, como los sistemas de IA que utilizan los análisis de riesgos para evaluar la probabilidad de fraude financiero por parte de empresas sobre la base de transacciones sospechosas o las herramientas de análisis de riesgo para predecir la probabilidad de localización de estupefacientes y mercancías ilícitas por parte de las autoridades aduaneras, por ejemplo basándose en las rutas de tráfico conocidas.

(43)

La introducción en el mercado, la puesta en servicio para ese fin concreto o la utilización de sistemas de IA que creen o amplíen bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales a partir de internet o de imágenes de circuito cerrado de televisión deben estar prohibidas, pues esas prácticas agravan el sentimiento de vigilancia masiva y pueden dar lugar a graves violaciones de los derechos fundamentales, incluido el derecho a la intimidad.

(44)

Existe una gran preocupación respecto a la base científica de los sistemas de IA que procuran detectar o deducir las emociones, especialmente porque la expresión de las emociones varía de forma considerable entre culturas y situaciones, e incluso en una misma persona. Algunas de las deficiencias principales de estos sistemas son la fiabilidad limitada, la falta de especificidad y la limitada posibilidad de generalizar. Por consiguiente, los sistemas de IA que detectan o deducen las emociones o las intenciones de las personas físicas a partir de sus datos biométricos pueden tener resultados discriminatorios y pueden invadir los derechos y las libertades de las personas afectadas. Teniendo en cuenta el desequilibrio de poder en el contexto laboral o educativo, unido al carácter intrusivo de estos sistemas, dichos sistemas podrían dar lugar a un trato perjudicial o desfavorable de determinadas personas físicas o colectivos enteros. Por tanto, debe prohibirse la introducción en el mercado, la puesta en servicio y el uso de sistemas de IA destinados a ser utilizados para detectar el estado emocional de las personas en situaciones relacionadas con el lugar de trabajo y el ámbito educativo. Dicha prohibición no debe aplicarse a los sistemas de IA introducidos en el mercado estrictamente con fines médicos o de seguridad, como los sistemas destinados a un uso terapéutico.

(45)

El presente Reglamento no debe afectar a las prácticas prohibidas por el Derecho de la Unión, incluido el Derecho de la Unión en materia de protección de datos, de no discriminación, de protección de los consumidores y sobre competencia.

(46)

La introducción en el mercado de la Unión, la puesta en servicio o la utilización de sistemas de IA de alto riesgo debe supeditarse al cumplimiento por su parte de determinados requisitos obligatorios, los cuales deben garantizar que los sistemas de IA de alto riesgo disponibles en la Unión o cuyos resultados de salida se utilicen en la Unión no planteen riesgos inaceptables para intereses públicos importantes de la Unión, reconocidos y protegidos por el Derecho de la Unión. Sobre la base del nuevo marco legislativo, tal como se aclara en la Comunicación de la Comisión titulada «“Guía azul” sobre la aplicación de la normativa europea relativa a los productos, de 2022» (20), la norma general es que más de un acto jurídico de la legislación de armonización de la Unión, como los Reglamentos (UE) 2017/745 (21) y (UE) 2017/746 (22) del Parlamento Europeo y del Consejo o la Directiva 2006/42/CE del Parlamento Europeo y del Consejo (23) puedan aplicarse a un producto, dado que la introducción en el mercado o la puesta en servicio solo pueden tener lugar cuando el producto cumple toda la legislación de armonización de la Unión aplicable. A fin de garantizar la coherencia y evitar cargas administrativas o costes innecesarios, los proveedores de un producto que contenga uno o varios sistemas de IA de alto riesgo, a los que se apliquen los requisitos del presente Reglamento y de la legislación de armonización de la Unión incluida en una lista de un anexo del presente Reglamento, deben ser flexibles en lo que respecta a las decisiones operativas relativas a la manera de garantizar la conformidad de un producto que contenga uno o varios sistemas de IA con todos los requisitos aplicables de la legislación de armonización de la Unión de manera óptima. La clasificación de un sistema de IA como «de alto riesgo» debe limitarse a aquellos sistemas de IA que tengan un efecto perjudicial considerable en la salud, la seguridad y los derechos fundamentales de las personas de la Unión, y dicha limitación debe reducir al mínimo cualquier posible restricción del comercio internacional.

(47)

Los sistemas de IA pueden tener un efecto adverso para la salud y la seguridad de las personas, en particular cuando funcionan como componentes de seguridad de productos. En consonancia con los objetivos de la legislación de armonización de la Unión de facilitar la libre circulación de productos en el mercado interior y de velar por que solo lleguen al mercado aquellos productos que sean seguros y conformes, es importante prevenir y mitigar debidamente los riesgos de seguridad que pueda generar un producto en su conjunto debido a sus componentes digitales, entre los que pueden figurar los sistemas de IA. Por ejemplo, los robots cada vez más autónomos que se utilizan en las fábricas o con fines de asistencia y atención personal deben poder funcionar y desempeñar sus funciones de manera segura en entornos complejos. Del mismo modo, en el sector sanitario, donde puede haber repercusiones especialmente importantes en la vida y la salud, los sistemas de diagnóstico y de apoyo a las decisiones humanas, cuya sofisticación es cada vez mayor, deben ser fiables y precisos.

(48)

La magnitud de las consecuencias adversas de un sistema de IA para los derechos fundamentales protegidos por la Carta es especialmente importante a la hora de clasificar un sistema de IA como de alto riesgo. Entre dichos derechos se incluyen el derecho a la dignidad humana, el respeto de la vida privada y familiar, la protección de datos de carácter personal, la libertad de expresión y de información, la libertad de reunión y de asociación, el derecho a la no discriminación, el derecho a la educación, la protección de los consumidores, los derechos de los trabajadores, los derechos de las personas discapacitadas, la igualdad entre hombres y mujeres, los derechos de propiedad intelectual, el derecho a la tutela judicial efectiva y a un juez imparcial, los derechos de la defensa y la presunción de inocencia, y el derecho a una buena administración. Además de esos derechos, conviene poner de relieve el hecho de que los menores poseen unos derechos específicos consagrados en el artículo 24 de la Carta y en la Convención sobre los Derechos del Niño de las Naciones Unidas, que se desarrollan con más detalle en la observación general nº 25 de la Convención sobre los Derechos del Niño de Naciones Unidas relativa a los derechos de los niños en relación con el entorno digital. Ambos instrumentos exigen que se tengan en consideración las vulnerabilidades de los menores y que se les brinde la protección y la asistencia necesarias para su bienestar. Cuando se evalúe la gravedad del perjuicio que puede ocasionar un sistema de IA, también en lo que respecta a la salud y la seguridad de las personas, también se debe tener en cuenta el derecho fundamental a un nivel elevado de protección del medio ambiente consagrado en la Carta y aplicado en las políticas de la Unión.

(49)

En relación con los sistemas de IA de alto riesgo que son componentes de seguridad de productos o sistemas, o que son en sí mismos productos o sistemas que entran en el ámbito de aplicación del Reglamento (CE) nº 300/2008 del Parlamento Europeo y del Consejo (24), el Reglamento (UE) nº 167/2013 del Parlamento Europeo y del Consejo (25), el Reglamento (UE) nº 168/2013 del Parlamento Europeo y del Consejo (26), la Directiva 2014/90/UE del Parlamento Europeo y del Consejo (27), la Directiva (UE) 2016/797 del Parlamento Europeo y del Consejo (28), el Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo (29), el Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo (30), y el Reglamento (UE) 2019/2144 del Parlamento Europeo y del Consejo (31), procede modificar dichos actos para garantizar que, cuando la Comisión adopte actos delegados o de ejecución pertinentes basados en ellos, tenga en cuenta los requisitos obligatorios para los sistemas de IA de alto riesgo previstos en el presente Reglamento, atendiendo a las particularidades técnicas y reglamentarias de los distintos sectores y sin interferir con los mecanismos y las autoridades de gobernanza, evaluación de la conformidad y control del cumplimiento vigentes establecidos en dichos actos.

(50)

En cuanto a los sistemas de IA que son componentes de seguridad de productos, o que son productos en sí mismos, y entran dentro del ámbito de aplicación de determinados actos legislativos de armonización de la Unión enumerados en un anexo del presente Reglamento, procede clasificarlos como de alto riesgo en virtud del presente Reglamento si el producto de que se trate es sometido a un procedimiento de evaluación de la conformidad con un organismo de evaluación de la conformidad de terceros de acuerdo con dichos actos legislativos de armonización de la Unión. Esos productos son, en concreto, máquinas, juguetes, ascensores, equipo y sistemas de protección para uso en atmósferas potencialmente explosivas, equipos radioeléctricos, equipos a presión, equipos de embarcaciones de recreo, instalaciones de transporte por cable, aparatos que queman combustibles gaseosos, productos sanitarios, productos sanitarios para diagnóstico in vitro, automoción y aviación.

(51)

Que un sistema de IA se clasifique como de alto riesgo en virtud del presente Reglamento no significa necesariamente que el producto del que sea componente de seguridad, o el propio sistema de IA como producto, se considere de «alto riesgo» conforme a los criterios establecidos en la correspondiente legislación de armonización de la Unión que se aplique al producto. Tal es el caso, en particular, de los Reglamentos (UE) 2017/745 y (UE) 2017/746, que prevén una evaluación de la conformidad de terceros de los productos de riesgo medio y alto.

(52)

En cuanto a los sistemas de IA independientes, a saber, aquellos sistemas de IA de alto riesgo que no son componentes de seguridad de productos, o que son productos en sí mismos, deben clasificarse como de alto riesgo si, a la luz de su finalidad prevista, presentan un alto riesgo de ser perjudiciales para la salud y la seguridad o los derechos fundamentales de las personas, teniendo en cuenta tanto la gravedad del posible perjuicio como la probabilidad de que se produzca, y se utilizan en varios ámbitos predefinidos especificados en el presente Reglamento. Para identificar dichos sistemas, se emplean la misma metodología y los mismos criterios previstos para la posible modificación futura de la lista de sistemas de IA de alto riesgo, que la Comisión debe estar facultada para adoptar, mediante actos delegados, a fin de tener en cuenta el rápido ritmo del desarrollo tecnológico, así como los posibles cambios en el uso de los sistemas de IA.

(53)

También es importante aclarar que pueden existir casos específicos en los que los sistemas de IA referidos en ámbitos predefinidos especificados en el presente Reglamento no entrañen un riesgo considerable de causar un perjuicio a los intereses jurídicos amparados por dichos ámbitos, dado que no influyen sustancialmente en la toma de decisiones o no perjudican dichos intereses sustancialmente. A efectos del presente Reglamento, por sistema de IA que no influye sustancialmente en el resultado de la toma de decisiones debe entenderse un sistema de IA que no afecta al fondo, ni por consiguiente al resultado, de la toma de decisiones, ya sea humana o automatizada. Un sistema de IA que no influye sustancialmente en el resultado de la toma de decisiones podría incluir situaciones en las que se cumplen una o varias de las siguientes condiciones. La primera de dichas condiciones debe ser que el sistema de IA esté destinado a realizar una tarea de procedimiento delimitada, como un sistema de IA que transforme datos no estructurados en datos estructurados, un sistema de IA que clasifique en categorías los documentos recibidos o un sistema de IA que se utilice para detectar duplicados entre un gran número de aplicaciones. La naturaleza de esas tareas es tan restringida y limitada que solo presentan riesgos limitados que no aumentan por la utilización de un sistema de IA en un contexto que un anexo al presente Reglamento recoja como uso de alto riesgo. La segunda condición debe ser que la tarea realizada por el sistema de IA esté destinada a mejorar el resultado de una actividad previa llevada a cabo por un ser humano, que pudiera ser pertinente a efectos de las utilizaciones de alto riesgo enumeradas en un anexo del presente Reglamento. Teniendo en cuenta esas características, el sistema de IA solo añade un nivel adicional a la actividad humana, entrañando por consiguiente un riesgo menor. Esa condición se aplicaría, por ejemplo, a los sistemas de IA destinados a mejorar el lenguaje utilizado en documentos ya redactados, por ejemplo, en lo referente al empleo de un tono profesional o de un registro lingüístico académico o a la adaptación del texto a una determinada comunicación de marca. La tercera condición debe ser que el sistema de IA esté destinado a detectar patrones de toma de decisiones o desviaciones respecto de patrones de toma de decisiones anteriores. El riesgo sería menor debido a que el sistema de IA se utiliza tras una valoración humana previamente realizada y no pretende sustituirla o influir en ella sin una revisión adecuada por parte de un ser humano. Por ejemplo, entre los sistemas de IA de este tipo, se incluyen aquellos que pueden utilizarse para comprobar a posteriori si un profesor puede haberse desviado de su patrón de calificación determinado, a fin de llamar la atención sobre posibles incoherencias o anomalías. La cuarta condición debe ser que el sistema de IA esté destinado a realizar una tarea que solo sea preparatoria de cara a una evaluación pertinente a efectos de los sistemas de IA enumerados en el anexo del presente Reglamento, con lo que la posible repercusión de los resultados de salida del sistema sería muy escasa en términos de representar un riesgo para la subsiguiente evaluación. Esa condición comprende, entre otras cosas, soluciones inteligentes para la gestión de archivos, lo que incluye funciones diversas tales como la indexación, la búsqueda, el tratamiento de texto y del habla o la vinculación de datos a otras fuentes de datos, o bien los sistemas de IA utilizados para la traducción de los documentos iniciales. En cualquier caso, debe considerarse que los sistemas de IA utilizados en casos de alto riesgo enumerados en un anexo del presente Reglamento presentan un riesgo significativo de menoscabar la salud y la seguridad o los derechos fundamentales si el sistema de IA conlleva la elaboración de perfiles en el sentido del artículo 4, punto 4, del Reglamento (UE) 2016/679, del artículo 3, punto 4, de la Directiva (UE) 2016/680 o del artículo 3, punto 5, del Reglamento (UE) 2018/1725. Para garantizar la trazabilidad y la transparencia, los proveedores que, basándose en las condiciones antes citadas, consideren que un sistema de IA no es de alto riesgo, deben elaborar la documentación de la evaluación previamente a la introducción en el mercado o la entrada en servicio de dicho sistema de IA y facilitarla a las autoridades nacionales competentes cuando estas lo soliciten. Dichos proveedores deben tener la obligación de registrar el sistema en la base de datos de la UE creada en virtud del presente Reglamento. Con el fin de proporcionar orientaciones adicionales sobre la aplicación práctica de las condiciones con arreglo a las cuales los sistemas de IA enumerados en un anexo del presente Reglamento no se consideran, con carácter excepcional, de alto riesgo, la Comisión debe, previa consulta al Consejo de IA, proporcionar directrices que especifiquen dicha aplicación práctica, completadas por una lista exhaustiva de ejemplos prácticos de casos de uso de sistemas de IA que sean de alto riesgo y de casos de uso que no lo sean.

(54)

Dado que los datos biométricos constituyen una categoría de datos personales sensibles, procede clasificar como de alto riesgo varios casos de uso críticos de sistemas biométricos, en la medida que su utilización esté permitida con arreglo al Derecho de la Unión y nacional pertinente. Las imprecisiones técnicas de los sistemas de IA destinados a la identificación biométrica remota de las personas físicas pueden dar lugar a resultados sesgados y tener efectos discriminatorios. El riesgo de dichos resultados sesgados y efectos discriminatorios es especialmente pertinente por lo que respecta a la edad, la etnia, la raza, el sexo o la discapacidad. Por lo tanto, los sistemas de identificación biométrica remota deben clasificarse como de alto riesgo debido a los riesgos que entrañan. Quedan excluidos de dicha clasificación los sistemas de IA destinados a la verificación biométrica, que incluye la autenticación, cuyo único propósito es confirmar que una persona física concreta es quien dicha persona dice ser, así como confirmar la identidad de una persona física con la finalidad exclusiva de que tenga acceso a un servicio, desbloquee un dispositivo o tenga un acceso seguro a un local. Además, deben clasificarse como de alto riesgo los sistemas de IA destinados a ser utilizados para la categorización biométrica conforme a atributos o características sensibles protegidos en virtud del artículo 9, apartado 1, del Reglamento (UE) 2016/679 sobre la base de datos biométricos, en la medida en que no estén prohibidos en virtud del presente Reglamento, así como los sistemas de reconocimiento de emociones que no estén prohibidos con arreglo al presente Reglamento. Los sistemas biométricos destinados a ser utilizados exclusivamente a efectos de posibilitar la ciberseguridad y las medidas de protección de los datos personales no deben considerarse sistemas de IA de alto riesgo.

(55)

Por lo que respecta a la gestión y el funcionamiento de infraestructuras críticas, procede clasificar como de alto riesgo los sistemas de IA destinados a ser utilizados como componentes de seguridad en la gestión y el funcionamiento de las infraestructuras digitales críticas que se enumeran en el anexo, punto 8, de la Directiva (UE) 2022/2557; del tráfico rodado y del suministro de agua, gas, calefacción y electricidad, pues un fallo o un defecto de funcionamiento de estos componentes puede poner en peligro la vida y la salud de las personas a gran escala y alterar de manera considerable el desarrollo habitual de las actividades sociales y económicas. Los componentes de seguridad de las infraestructuras críticas, como las infraestructuras digitales críticas, son sistemas utilizados para proteger directamente la integridad física de las infraestructuras críticas o la salud y la seguridad de las personas y los bienes, pero que no son necesarios para el funcionamiento del sistema. El fallo o el defecto de funcionamiento de estos componentes podría dar lugar directamente a riesgos para la integridad física de las infraestructuras críticas y, por tanto, a riesgos para la salud y la seguridad de las personas y los bienes. Los componentes destinados a ser utilizados exclusivamente con fines de ciberseguridad no deben considerarse componentes de seguridad. Entre los componentes de seguridad de esas infraestructuras críticas cabe citar los sistemas de control de la presión del agua o los sistemas de control de las alarmas contra incendios en los centros de computación en la nube.

(56)

El despliegue de sistemas de IA en el ámbito educativo es importante para fomentar una educación y formación digitales de alta calidad y para que todos los estudiantes y profesores puedan adquirir y compartir las capacidades y competencias digitales necesarias, incluidos la alfabetización mediática, y el pensamiento crítico, para participar activamente en la economía, la sociedad y los procesos democráticos. No obstante, deben clasificarse como de alto riesgo los sistemas de IA que se utilizan en la educación o la formación profesional, y en particular aquellos que determinan el acceso o la admisión, distribuyen a las personas entre distintas instituciones educativas y de formación profesional o programas de todos los niveles, evalúan los resultados del aprendizaje de las personas, evalúan el nivel apropiado de educación de una persona e influyen sustancialmente en el nivel de educación y formación que las personas recibirán o al que podrán acceder, o supervisan y detectan comportamientos prohibidos de los estudiantes durante las pruebas, ya que pueden decidir la trayectoria formativa y profesional de una persona y, en consecuencia, puede afectar a su capacidad para asegurar su subsistencia. Cuando no se diseñan y utilizan correctamente, estos sistemas pueden invadir especialmente y violar el derecho a la educación y la formación, y el derecho a no sufrir discriminación, además de perpetuar patrones históricos de discriminación, por ejemplo contra las mujeres, determinados grupos de edad, las personas con discapacidad o las personas de cierto origen racial o étnico o con una determinada orientación sexual.

(57)

También deben clasificarse como de alto riesgo los sistemas de IA que se utilizan en los ámbitos del empleo, la gestión de los trabajadores y el acceso al autoempleo, en particular para la contratación y la selección de personal, para la toma de decisiones que afecten a las condiciones de las relaciones de índole laboral, la promoción y la rescisión de relaciones contractuales de índole laboral, para la asignación de tareas a partir de comportamientos individuales o rasgos o características personales y para la supervisión o evaluación de las personas en el marco de las relaciones contractuales de índole laboral, dado que pueden afectar de un modo considerable a las futuras perspectivas laborales, a los medios de subsistencia de dichas personas y a los derechos de los trabajadores. Las relaciones contractuales de índole laboral deben incluir, de manera significativa, a los empleados y las personas que prestan servicios a través de plataformas, como indica el programa de trabajo de la Comisión para 2021. Dichos sistemas pueden perpetuar patrones históricos de discriminación, por ejemplo contra las mujeres, determinados grupos de edad, las personas con discapacidad o las personas de orígenes raciales o étnicos concretos o con una orientación sexual determinada, durante todo el proceso de contratación y en la evaluación, promoción o retención de personas en las relaciones contractuales de índole laboral. Los sistemas de IA empleados para controlar el rendimiento y el comportamiento de estas personas también pueden socavar sus derechos fundamentales a la protección de los datos personales y a la intimidad.

(58)

El acceso a determinados servicios y prestaciones esenciales, de carácter público y privado, necesarios para que las personas puedan participar plenamente en la sociedad o mejorar su nivel de vida, y el disfrute de dichos servicios y prestaciones, es otro ámbito en el que conviene prestar especial atención a la utilización de sistemas de IA. En particular, las personas físicas que solicitan a las autoridades públicas o reciben de estas prestaciones y servicios esenciales de asistencia pública, a saber, servicios de asistencia sanitaria, prestaciones de seguridad social, servicios sociales que garantizan una protección en casos como la maternidad, la enfermedad, los accidentes laborales, la dependencia o la vejez y la pérdida de empleo, asistencia social y ayudas a la vivienda, suelen depender de dichas prestaciones y servicios y, por lo general, se encuentran en una posición de vulnerabilidad respecto de las autoridades responsables. La utilización de sistemas de IA para decidir si las autoridades deben conceder, denegar, reducir o revocar dichas prestaciones y servicios o reclamar su devolución, lo que incluye decidir, por ejemplo, si los beneficiarios tienen legítimamente derecho a dichas prestaciones y servicios, podría tener un efecto considerable en los medios de subsistencia de las personas y vulnerar sus derechos fundamentales, como el derecho a la protección social, a la no discriminación, a la dignidad humana o a la tutela judicial efectiva y, por lo tanto, deben clasificarse como de alto riesgo. No obstante, el presente Reglamento no debe obstaculizar el desarrollo y el uso de enfoques innovadores en la Administración, que podrían beneficiarse de una mayor utilización de sistemas de IA conformes y seguros, siempre y cuando dichos sistemas no supongan un alto riesgo para las personas jurídicas y físicas. Además, deben clasificarse como de alto riesgo los sistemas de IA usados para evaluar la calificación crediticia o solvencia de las personas físicas, ya que deciden si dichas personas pueden acceder a recursos financieros o servicios esenciales como la vivienda, la electricidad y los servicios de telecomunicaciones. Los sistemas de IA usados con esos fines pueden discriminar a determinadas personas o colectivos y perpetuar patrones históricos de discriminación, como por motivos de origen racial o étnico, género, discapacidad, edad u orientación sexual, o generar nuevas formas de discriminación. No obstante, los sistemas de IA previstos por el Derecho de la Unión con vistas a detectar fraudes en la oferta de servicios financieros y, a efectos prudenciales, para calcular los requisitos de capital de las entidades de crédito y las empresas de seguros no deben considerarse de alto riesgo en virtud del presente Reglamento. Además, los sistemas de IA destinados a ser utilizados para la evaluación de riesgos y la fijación de precios en relación con las personas físicas en el caso de los seguros de vida y de salud también pueden afectar de un modo considerable a los medios de subsistencia de las personas y, si no se diseñan, desarrollan y utilizan debidamente, pueden vulnerar sus derechos fundamentales y pueden tener graves consecuencias para la vida y la salud de las personas, como la exclusión financiera y la discriminación. Por último, los sistemas de IA empleados para evaluar y clasificar llamadas de emergencia de personas físicas o el envío o el establecimiento de prioridades en el envío de servicios de primera intervención en situaciones de emergencia, incluidos policía, bomberos y servicios de asistencia médica, así como sistemas de triaje de pacientes para la asistencia sanitaria de emergencia, también deben considerarse de alto riesgo, dado que adoptan decisiones en situaciones sumamente críticas para la vida y la salud de las personas y de sus bienes.

(59)

Dado su papel y su responsabilidad, las actuaciones de las autoridades garantes del cumplimiento del Derecho que implican determinados usos de los sistemas de IA se caracterizan por un importante desequilibrio de poder y pueden dar lugar a la vigilancia, la detención o la privación de libertad de una persona física, así como tener otros efectos negativos sobre los derechos fundamentales consagrados en la Carta. En particular, si el sistema de IA no está entrenado con datos de buena calidad, no cumple los requisitos adecuados en términos de rendimiento, de precisión o de solidez, o no se diseña y prueba debidamente antes de introducirlo en el mercado o ponerlo en servicio, es posible que señale a personas de manera discriminatoria, incorrecta o injusta. Además, podría impedir el ejercicio de importantes derechos procesales fundamentales, como el derecho a la tutela judicial efectiva y a un juez imparcial, así como el derecho a la defensa y a la presunción de inocencia, sobre todo cuando dichos sistemas de IA no sean lo suficientemente transparentes y explicables ni estén suficientemente bien documentados. Por consiguiente, en la medida en que su uso esté permitido conforme al Derecho de la Unión y nacional pertinente, procede clasificar como de alto riesgo varios sistemas de IA destinados a ser utilizados con fines de garantía del cumplimiento del Derecho cuando su precisión, fiabilidad y transparencia sean especialmente importantes para evitar consecuencias adversas, conservar la confianza de la población y garantizar la rendición de cuentas y unas vías de recurso efectivas. En vista de la naturaleza de las actividades y de los riesgos conexos, entre dichos sistemas de IA de alto riesgo deben incluirse, en particular, los sistemas de IA destinados a ser utilizados por las autoridades garantes del cumplimiento del Derecho, o en nombre de estas, o por las instituciones, órganos u organismos de la Unión en apoyo de las primeras, para evaluar el riesgo de que una persona física sea víctima de delitos, como los polígrafos y otras herramientas similares, para evaluar la fiabilidad de las pruebas durante la investigación o el enjuiciamiento de delitos y, en la medida en que no esté prohibido conforme al presente Reglamento, para evaluar el riesgo de que una persona física cometa un delito o reincida, no solo sobre la base de la elaboración de perfiles de personas físicas o la evaluación de rasgos y características de la personalidad o comportamientos delictivos pasados de personas físicas o grupos de personas, o para elaborar perfiles durante la detección, la investigación o el enjuiciamiento de delitos. Los sistemas de IA destinados específicamente a ser utilizados en procesos administrativos por las autoridades fiscales y aduaneras y las unidades de inteligencia financiera que desempeñan tareas administrativas de análisis de información de conformidad con el Derecho de la Unión en materia de lucha contra el blanqueo de capitales no deben clasificarse como sistemas de IA de alto riesgo usados por las autoridades garantes del cumplimiento del Derecho con el fin de prevenir, detectar, investigar y enjuiciar delitos. El uso de herramientas de IA por parte de las autoridades garantes del cumplimiento del Derecho y otras autoridades pertinentes no debe convertirse en un factor de desigualdad o exclusión. No debe ignorarse el impacto del uso de herramientas de IA en los derechos de defensa de los sospechosos, en particular la dificultad para obtener información significativa sobre el funcionamiento de dichos sistemas y la consiguiente dificultad para impugnar sus resultados ante los tribunales, en particular por parte de las personas físicas investigadas.

(60)

Los sistemas de IA empleados en la migración, el asilo y la gestión del control fronterizo afectan a personas que con frecuencia se encuentran en una situación especialmente vulnerable y que dependen del resultado de las actuaciones de las autoridades públicas competentes. Por este motivo, es sumamente importante que los sistemas de IA que se utilicen en estos contextos sean precisos, no discriminatorios y transparentes, a fin de garantizar que se respeten los derechos fundamentales de las personas afectadas y, en particular, su derecho a la libre circulación, a la no discriminación, a la intimidad personal y la protección de los datos personales, a la protección internacional y a una buena administración. Por lo tanto, procede clasificar como de alto riesgo, en la medida en que su utilización esté permitida en virtud del Derecho de la Unión y nacional, aquellos sistemas de IA destinados a ser utilizados por las autoridades públicas competentes, o en su nombre, o por las instituciones, órganos u organismos de la Unión que realizan tareas en el ámbito de la migración, el asilo y la gestión del control fronterizo como polígrafos y herramientas similares, para evaluar determinados riesgos que presenten las personas físicas que entren en el territorio de un Estado miembro o que soliciten un visado o asilo, para ayudar a las autoridades públicas competentes a examinar, con inclusión de la evaluación conexa de la fiabilidad de las pruebas, las solicitudes de asilo, visado y permiso de residencia, así como las reclamaciones conexas en relación con el objetivo de determinar si las personas físicas solicitantes reúnen los requisitos necesarios para que se conceda su solicitud, a efectos de detectar, reconocer o identificar a las personas físicas en el contexto de la migración, el asilo y la gestión del control fronterizo, con excepción de la verificación de los documentos de viaje. Los sistemas de IA en el ámbito de la migración, el asilo y la gestión del control fronterizo sujetos al presente Reglamento deben cumplir los requisitos procedimentales pertinentes establecidos por el Reglamento (CE) nº 810/2009 del Parlamento Europeo y del Consejo (32), la Directiva 2013/32/UE del Parlamento Europeo y del Consejo (33) y otro Derecho de la Unión pertinente. El empleo de los sistemas de IA en la migración, el asilo y la gestión del control fronterizo no debe, en ningún caso, ser utilizado por los Estados miembros o las instituciones, órganos u organismos de la Unión como medio para eludir sus obligaciones internacionales en virtud de la Convención de las Naciones Unidas sobre el Estatuto de los Refugiados, hecha en Ginebra el 28 de julio de 1951, modificada por el Protocolo de 31 de enero de 1967. Tampoco debe ser utilizado para infringir en modo alguno el principio de no devolución, ni para negar unas vías jurídicas seguras y efectivas de acceso al territorio de la Unión, incluido el derecho a la protección internacional.

(61)

Deben clasificarse como de alto riesgo determinados sistemas de IA destinados a la administración de justicia y los procesos democráticos, dado que pueden tener efectos potencialmente importantes para la democracia, el Estado de Derecho, las libertades individuales y el derecho a la tutela judicial efectiva y a un juez imparcial. En particular, a fin de hacer frente al riesgo de posibles sesgos, errores y opacidades, procede clasificar como de alto riesgo aquellos sistemas de IA destinados a ser utilizados por una autoridad judicial o en su nombre para ayudar a las autoridades judiciales a investigar e interpretar los hechos y el Derecho y a aplicar la ley a unos hechos concretos. También deben considerarse de alto riesgo los sistemas de IA destinados a ser utilizados por los organismos de resolución alternativa de litigios con esos fines, cuando los resultados de los procedimientos de resolución alternativa de litigios surtan efectos jurídicos para las partes. La utilización de herramientas de IA puede apoyar el poder de decisión de los jueces o la independencia judicial, pero no debe substituirlas: la toma de decisiones finales debe seguir siendo una actividad humana. No obstante, la clasificación de los sistemas de IA como de alto riesgo no debe hacerse extensiva a los sistemas de IA destinados a actividades administrativas meramente accesorias que no afectan a la administración de justicia propiamente dicha en casos concretos, como la anonimización o seudonimización de resoluciones judiciales, documentos o datos, la comunicación entre los miembros del personal o las tareas administrativas.

(62)

Sin perjuicio de las normas previstas en el Reglamento (UE) 2024/900 del Parlamento Europeo y del Consejo (34), y a fin de hacer frente a los riesgos de injerencia externa indebida en el derecho de voto consagrado en el artículo 39 de la Carta, y de efectos adversos sobre la democracia y el Estado de Derecho, deben clasificarse como sistemas de IA de alto riesgo los sistemas de IA destinados a ser utilizados para influir en el resultado de una elección o un referéndum, o en el comportamiento electoral de las personas físicas en el ejercicio de su voto en elecciones o referendos, con excepción de los sistemas de IA a cuyos resultados de salida las personas físicas no están directamente expuestas, como las herramientas utilizadas para organizar, optimizar y estructurar campañas políticas desde un punto de vista administrativo y logístico.

(63)

El hecho de que un sistema de IA sea clasificado como un sistema de IA de alto riesgo en virtud del presente Reglamento no debe interpretarse como indicador de que su uso sea lícito con arreglo a otros actos del Derecho de la Unión o del Derecho nacional compatible con el Derecho de la Unión, por ejemplo, en materia de protección de los datos personales o la utilización de polígrafos y herramientas similares u otros sistemas para detectar el estado emocional de las personas físicas. Todo uso de ese tipo debe seguir realizándose exclusivamente en consonancia con los requisitos oportunos derivados de la Carta y de los actos aplicables del Derecho derivado de la Unión y del Derecho nacional. No debe entenderse que el presente Reglamento constituye un fundamento jurídico para el tratamiento de datos personales, incluidas las categorías especiales de datos personales, en su caso, salvo que el presente Reglamento disponga específicamente otra cosa.

(64)

Con el objetivo de mitigar los riesgos que presentan los sistemas de IA de alto riesgo que se introducen en el mercado o se ponen en servicio, y para garantizar un alto nivel de fiabilidad, deben aplicarse a los sistemas de IA de alto riesgo ciertos requisitos obligatorios que tengan en cuenta la finalidad prevista y el contexto del uso del sistema de IA y estén en consonancia con el sistema de gestión de riesgos que debe establecer el proveedor. Las medidas adoptadas por los proveedores para cumplir los requisitos obligatorios del presente Reglamento deben tener en cuenta el estado actual de la técnica generalmente reconocido en materia de IA, ser proporcionadas y eficaces para alcanzar los objetivos del presente Reglamento. Sobre la base del nuevo marco legislativo, como se aclara en la Comunicación de la Comisión titulada «“Guía azul” sobre la aplicación de la normativa europea relativa a los productos, de 2022», la norma general es que más de un acto jurídico de la legislación de armonización de la Unión puede ser aplicable a un producto, ya que la comercialización o la puesta en servicio solamente puede producirse cuando el producto cumple toda la legislación de armonización de la Unión aplicable. Los peligros de los sistemas de IA cubiertos por los requisitos del presente Reglamento se refieren a aspectos diferentes de los contemplados en la legislación de armonización de la Unión existente y, por consiguiente, los requisitos del presente Reglamento completarían el conjunto existente de legislación de armonización de la Unión. Por ejemplo, las máquinas o los productos sanitarios que incorporan un sistema de IA pueden presentar riesgos de los que no se ocupan los requisitos esenciales de salud y seguridad establecidos en la legislación armonizada de la Unión pertinente, ya que esa legislación sectorial no aborda los riesgos específicos de los sistemas de IA. Esto exige una aplicación simultánea y complementaria de diversos actos legislativos. A fin de garantizar la coherencia y evitar una carga administrativa innecesaria y costes innecesarios, los proveedores de un producto que contenga uno o varios sistemas de IA de alto riesgo, a los que se apliquen los requisitos del presente Reglamento y de los actos legislativos de armonización de la Unión basados en el nuevo marco legislativo y enumerados en un anexo del presente Reglamento, deben ser flexibles en lo que respecta a las decisiones operativas relativas a la manera de garantizar la conformidad de un producto que contenga uno o varios sistemas de IA con todos los requisitos aplicables de la legislación armonizada de la Unión de manera óptima. Esa flexibilidad podría significar, por ejemplo, la decisión del proveedor de integrar una parte de los procesos de prueba y notificación necesarios, así como la información y la documentación exigidas en virtud del presente Reglamento, en la documentación y los procedimientos ya existentes exigidos en virtud de los actos legislativos de armonización de la Unión vigentes basados en el nuevo marco legislativo y enumerados en un anexo del presente Reglamento. Esto no debe socavar en modo alguno la obligación del proveedor de cumplir todos los requisitos aplicables.

(65)

El sistema de gestión de riesgos debe consistir en un proceso iterativo continuo que sea planificado y ejecutado durante todo el ciclo de vida del sistema de IA de alto riesgo. Dicho proceso debe tener por objeto detectar y mitigar los riesgos pertinentes de los sistemas de IA para la salud, la seguridad y los derechos fundamentales. El sistema de gestión de riesgos debe revisarse y actualizarse periódicamente para garantizar su eficacia continua, así como la justificación y documentación de cualesquiera decisiones y acciones significativas adoptadas con arreglo al presente Reglamento. Este proceso debe garantizar que el proveedor determine los riesgos o efectos negativos y aplique medidas de mitigación de los riesgos conocidos y razonablemente previsibles de los sistemas de IA para la salud, la seguridad y los derechos fundamentales, habida cuenta de su finalidad prevista y de su uso indebido razonablemente previsible, incluidos los posibles riesgos derivados de la interacción entre el sistema de IA y el entorno en el que opera. El sistema de gestión de riesgos debe adoptar las medidas de gestión de riesgos más adecuadas a la luz del estado actual de la técnica en materia de IA. Al determinar las medidas de gestión de riesgos más adecuadas, el proveedor debe documentar y explicar las elecciones realizadas y, cuando proceda, contar con la participación de expertos y partes interesadas externas. Al determinar el uso indebido razonablemente previsible de los sistemas de IA de alto riesgo, el proveedor debe tener en cuenta los usos de los sistemas de IA que, aunque no estén directamente cubiertos por la finalidad prevista ni establecidos en las instrucciones de uso, cabe esperar razonablemente que se deriven de un comportamiento humano fácilmente previsible en el contexto de las características específicas y del uso de un sistema de IA concreto. Debe incluirse en las instrucciones de uso que sean facilitadas por el proveedor cualquier circunstancia conocida o previsible, asociada a la utilización del sistema de IA de alto riesgo conforme a su finalidad prevista o a un uso indebido razonablemente previsible, que pueda dar lugar a riesgos para la salud y la seguridad o los derechos fundamentales. Con ello se pretende garantizar que el responsable del despliegue sea consciente de estos riesgos y los tenga en cuenta al utilizar el sistema de IA de alto riesgo. La identificación y la aplicación de medidas de reducción del riesgo en caso de uso indebido previsible con arreglo al presente Reglamento no deben suponer la exigencia, para su acometida, de entrenamiento adicional específico para el sistema de IA de alto riesgo por parte del proveedor para hacer frente a usos indebidos previsibles. No obstante, se anima a los proveedores a considerar dichas medidas de entrenamiento adicionales para mitigar los usos indebidos razonablemente previsibles, cuando resulte necesario y oportuno.

(66)

Deben aplicarse a los sistemas de IA de alto riesgo requisitos referentes a la gestión de riesgos, la calidad y la pertinencia de los conjuntos de datos utilizados, la documentación técnica y la conservación de registros, la transparencia y la comunicación de información a los responsables del despliegue, la supervisión humana, la solidez, la precisión y la ciberseguridad. Dichos requisitos son necesarios para mitigar de forma efectiva los riesgos para la salud, la seguridad y los derechos fundamentales. Al no disponerse razonablemente de otras medidas menos restrictivas del comercio, dichos requisitos no son restricciones injustificadas al comercio.

(67)

Los datos de alta calidad y el acceso a datos de alta calidad desempeñan un papel esencial a la hora de proporcionar una estructura y garantizar el funcionamiento de muchos sistemas de IA, en especial cuando se emplean técnicas que implican el entrenamiento de modelos, con vistas a garantizar que el sistema de IA de alto riesgo funcione del modo previsto y en condiciones de seguridad y no se convierta en una fuente de algún tipo de discriminación prohibida por el Derecho de la Unión. Es preciso instaurar prácticas adecuadas de gestión y gobernanza de datos para lograr que los conjuntos de datos para el entrenamiento, la validación y la prueba sean de alta calidad. Los conjuntos de datos para el entrenamiento, la validación y la prueba, incluidas las etiquetas, deben ser pertinentes, lo suficientemente representativos y, en la mayor medida posible, estar libres de errores y ser completos en vista de la finalidad prevista del sistema. A fin de facilitar el cumplimiento del Derecho de la Unión en materia de protección de datos, como el Reglamento (UE) 2016/679, las prácticas de gestión y gobernanza de datos deben incluir, en el caso de los datos personales, la transparencia sobre el fin original de la recopilación de datos. Los conjuntos de datos deben tener las propiedades estadísticas adecuadas, también en lo que respecta a las personas o los colectivos de personas en relación con los que esté previsto utilizar el sistema de IA de alto riesgo, prestando una atención especial a la mitigación de los posibles sesgos en los conjuntos de datos que puedan afectar a la salud y la seguridad de las personas físicas, tener repercusiones negativas en los derechos fundamentales o dar lugar a algún tipo de discriminación prohibida por el Derecho de la Unión, especialmente cuando los datos de salida influyan en la información de entrada de futuras operaciones (bucles de retroalimentación). Los sesgos, por ejemplo, pueden ser inherentes a los conjuntos de datos subyacentes, especialmente cuando se utilizan datos históricos, o generados cuando los sistemas se despliegan en entornos del mundo real. Los resultados de los sistemas de IA dependen de dichos sesgos inherentes, que tienden a aumentar gradualmente y, por tanto, perpetúan y amplifican la discriminación existente, en particular con respecto a las personas pertenecientes a determinados colectivos vulnerables, incluidos colectivos raciales o étnicos. El requisito de que los conjuntos de datos, en la mayor medida posible, sean completos y estén libres de errores no debe afectar al uso de técnicas de protección de la intimidad en el contexto del desarrollo y la prueba de sistemas de IA. En particular, los conjuntos de datos deben tener en cuenta, en la medida en que lo exija su finalidad prevista, los rasgos, características o elementos particulares del entorno geográfico, contextual, conductual o funcional específico en el que esté previsto que se utilice el sistema de IA. Los requisitos relacionados con la gobernanza de datos pueden cumplirse recurriendo a terceros que ofrezcan servicios certificados de cumplimiento, incluida la verificación de la gobernanza de datos, la integridad del conjunto de datos y las prácticas de entrenamiento, validación y prueba de datos, en la medida en que se garantice el cumplimiento de los requisitos en materia de datos del presente Reglamento.

(68)

Para poder desarrollar y evaluar sistemas de IA de alto riesgo, determinados agentes, tales como proveedores, organismos notificados y otras entidades pertinentes, como centros europeos de innovación digital, instalaciones de ensayo y experimentación e investigadores, deben tener acceso a conjuntos de datos de alta calidad en sus campos de actividad relacionados con el presente Reglamento y deben poder utilizarlos. Los espacios comunes europeos de datos establecidos por la Comisión y la facilitación del intercambio de datos entre empresas y con los Gobiernos en favor del interés público serán esenciales para brindar un acceso fiable, responsable y no discriminatorio a datos de alta calidad con los que entrenar, validar y probar los sistemas de IA. Por ejemplo, en el ámbito de la salud, el espacio europeo de datos sanitarios facilitará el acceso no discriminatorio a datos sanitarios y el entrenamiento, a partir de esos conjuntos de datos, de algoritmos de IA de una manera segura, oportuna, transparente, fiable y que respete la intimidad, y contando con la debida gobernanza institucional. Las autoridades competentes pertinentes, incluidas las sectoriales, que proporcionan acceso a datos o lo facilitan también pueden brindar apoyo al suministro de datos de alta calidad con los que entrenar, validar y probar los sistemas de IA.

(69)

El derecho a la intimidad y a la protección de datos personales debe garantizarse a lo largo de todo el ciclo de vida del sistema de IA. A este respecto, los principios de minimización de datos y de protección de datos desde el diseño y por defecto, establecidos en el Derecho de la Unión en materia de protección de datos, son aplicables cuando se tratan datos personales. Las medidas adoptadas por los proveedores para garantizar el cumplimiento de estos principios podrán incluir no solo la anonimización y el cifrado, sino también el uso de una tecnología que permita llevar los algoritmos a los datos y el entrenamiento de los sistemas de IA sin que sea necesaria la transmisión entre las partes ni la copia de los datos brutos o estructurados, sin perjuicio de los requisitos en materia de gobernanza de datos establecidos en el presente Reglamento.

(70)

A fin de proteger los derechos de terceros frente a la discriminación que podría provocar el sesgo de los sistemas de IA, los proveedores deben —con carácter excepcional, en la medida en que sea estrictamente necesario para garantizar la detección y corrección de los sesgos asociados a los sistemas de IA de alto riesgo, con sujeción a las garantías adecuadas para los derechos y libertades fundamentales de las personas físicas y tras la aplicación de todas las condiciones aplicables establecidas en el presente Reglamento, además de las condiciones establecidas en los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y la Directiva (UE) 2016/680— ser capaces de tratar también categorías especiales de datos personales, como cuestión de interés público esencial en el sentido del artículo 9, apartado 2, letra g), del Reglamento (UE) 2016/679 y del artículo 10, apartado 2, letra g), del Reglamento (UE) 2018/1725.

(71)

Para permitir la trazabilidad de los sistemas de IA de alto riesgo, verificar si cumplen los requisitos previstos en el presente Reglamento, así como vigilar su funcionamiento y llevar a cabo la vigilancia poscomercialización, resulta esencial disponer de información comprensible sobre el modo en que se han desarrollado y sobre su funcionamiento durante toda su vida útil. A tal fin, es preciso llevar registros y disponer de documentación técnica que contenga la información necesaria para evaluar si el sistema de IA de que se trate cumple los requisitos pertinentes y facilitar la vigilancia poscomercialización. Dicha información debe incluir las características generales, las capacidades y las limitaciones del sistema y los algoritmos, datos y procesos de entrenamiento, prueba y validación empleados, así como documentación sobre el sistema de gestión de riesgos pertinente, elaborada de manera clara y completa. La documentación técnica debe mantenerse adecuadamente actualizada durante toda la vida útil del sistema de IA. Además, los sistemas de IA de alto riesgo deben permitir técnicamente el registro automático de acontecimientos, mediante archivos de registro, durante toda la vida útil del sistema.

(72)

A fin de abordar las preocupaciones relacionadas con la opacidad y complejidad de determinados sistemas de IA y ayudar a los responsables del despliegue a cumplir sus obligaciones en virtud del presente Reglamento, debe exigirse transparencia respecto de los sistemas de IA de alto riesgo antes de su introducción en el mercado o su puesta en servicio. Los sistemas de IA de alto riesgo deben diseñarse de modo que permitan a los responsables del despliegue comprender la manera en que el sistema de IA funciona, evaluar su funcionalidad y comprender sus fortalezas y limitaciones. Los sistemas de IA de alto riesgo deben ir acompañados de la información adecuada en forma de instrucciones de uso. Dicha información debe incluir las características, las capacidades y las limitaciones del funcionamiento del sistema de IA. Estas comprenderían la información sobre las posibles circunstancias conocidas y previsibles relacionadas con el uso del sistema de IA de alto riesgo, incluida la actuación del responsable del despliegue capaz de influir en el comportamiento y el funcionamiento del sistema, en cuyo marco el sistema de IA puede dar lugar a riesgos para la salud, la seguridad y los derechos fundamentales, sobre los cambios que el proveedor haya predeterminado y evaluado para comprobar su conformidad y sobre las medidas pertinentes de supervisión humana, incluidas las medidas para facilitar la interpretación de los resultados de salida del sistema de IA por parte de los responsables del despliegue. La transparencia, incluidas las instrucciones de uso que acompañan a los sistemas de IA, debe ayudar a los responsables del despliegue a utilizar el sistema y tomar decisiones con conocimiento de causa. Los responsables del despliegue deben, entre otras cosas, estar en mejores condiciones para elegir correctamente el sistema que pretenden utilizar a la luz de las obligaciones que les son aplicables, estar informados sobre los usos previstos y excluidos y utilizar el sistema de IA correctamente y según proceda. A fin de mejorar la legibilidad y la accesibilidad de la información incluida en las instrucciones de uso, cuando proceda, deben incluirse ejemplos ilustrativos, por ejemplo sobre las limitaciones y sobre los usos previstos y excluidos del sistema de IA. Los proveedores deben garantizar que toda la documentación, incluidas las instrucciones de uso, contenga información significativa, exhaustiva, accesible y comprensible, que tenga en cuenta las necesidades y los conocimientos previsibles de los responsables del despliegue destinatarios. Las instrucciones de uso deben estar disponibles en una lengua fácilmente comprensible para los responsables del despliegue destinatarios, según lo que decida el Estado miembro de que se trate.

(73)

Los sistemas de IA de alto riesgo deben diseñarse y desarrollarse de tal modo que las personas físicas puedan supervisar su funcionamiento, así como asegurarse de que se usan según lo previsto y de que sus repercusiones se abordan a lo largo del ciclo de vida del sistema. A tal fin, el proveedor del sistema debe definir las medidas adecuadas de supervisión humana antes de su introducción en el mercado o puesta en servicio. Cuando proceda, dichas medidas deben garantizar, en concreto, que el sistema esté sujeto a limitaciones operativas incorporadas en el propio sistema que este no pueda desactivar, que responda al operador humano y que las personas físicas a quienes se haya encomendado la supervisión humana posean las competencias, la formación y la autoridad necesarias para desempeñar esa función. También es esencial, según proceda, garantizar que los sistemas de IA de alto riesgo incluyan mecanismos destinados a orientar e informar a las personas físicas a las que se haya asignado la supervisión humana para que tomen decisiones con conocimiento de causa acerca de si intervenir, cuándo hacerlo y de qué manera, a fin de evitar consecuencias negativas o riesgos, o de detener el sistema si no funciona según lo previsto. Teniendo en cuenta las enormes consecuencias para las personas en caso de una correspondencia incorrecta efectuada por determinados sistemas de identificación biométrica, conviene establecer un requisito de supervisión humana reforzada para dichos sistemas, de modo que el responsable del despliegue no pueda actuar ni tomar ninguna decisión basándose en la identificación generada por el sistema, salvo si al menos dos personas físicas la han verificado y confirmado por separado. Dichas personas podrían proceder de una o varias entidades e incluir a la persona que maneja o utiliza el sistema. Este requisito no debe suponer una carga ni retrasos innecesarios y podría bastar con que las verificaciones que las distintas personas efectúen por separado se registren automáticamente en los registros generados por el sistema. Dadas las especificidades de los ámbitos de la garantía del cumplimiento del Derecho, la migración, el control fronterizo y el asilo, ese requisito no debe aplicarse cuando el Derecho nacional o de la Unión considere que su aplicación es desproporcionada.

(74)

Los sistemas de IA de alto riesgo deben funcionar de manera uniforme durante todo su ciclo de vida y presentar un nivel adecuado de precisión, solidez y ciberseguridad, a la luz de su finalidad prevista y con arreglo al estado actual de la técnica generalmente reconocido. Se anima a la Comisión y las organizaciones y partes interesadas pertinentes a que tengan debidamente en cuenta la mitigación de los riesgos y las repercusiones negativas del sistema de IA. El nivel previsto de los parámetros de funcionamiento debe declararse en las instrucciones de uso que acompañen a los sistemas de IA. Se insta a los proveedores a que comuniquen dicha información a los responsables del despliegue de manera clara y fácilmente comprensible, sin malentendidos ni afirmaciones engañosas. El Derecho de la Unión en materia de metrología legal, incluidas las Directivas 2014/31/UE (35) y 2014/32/UE (36) del Parlamento Europeo y del Consejo, tiene por objeto garantizar la precisión de las mediciones y contribuir a la transparencia y la equidad de las transacciones comerciales. En ese contexto, en cooperación con las partes interesadas y las organizaciones pertinentes, como las autoridades de metrología y de evaluación comparativa, la Comisión debe fomentar, según proceda, el desarrollo de parámetros de referencia y metodologías de medición para los sistemas de IA. Al hacerlo, la Comisión debe tomar nota de los socios internacionales que trabajan en la metrología y los indicadores de medición pertinentes relacionados con la IA y colaborar con ellos.

(75)

La solidez técnica es un requisito clave para los sistemas de IA de alto riesgo, que deben ser resilientes en relación con los comportamientos perjudiciales o indeseables por otros motivos que puedan derivarse de limitaciones en los sistemas o del entorno en el que estos funcionan (p. ej., errores, fallos, incoherencias o situaciones inesperadas). Por consiguiente, deben adoptarse medidas técnicas y organizativas para garantizar la solidez de los sistemas de IA de alto riesgo, por ejemplo mediante el diseño y desarrollo de soluciones técnicas adecuadas para prevenir o reducir al mínimo ese comportamiento perjudicial o indeseable. Estas soluciones técnicas pueden incluir, por ejemplo, mecanismos que permitan al sistema interrumpir de forma segura su funcionamiento (planes de prevención contra fallos) en presencia de determinadas anomalías o cuando el funcionamiento tenga lugar fuera de determinados límites predeterminados. El hecho de no adoptar medidas de protección frente a estos riesgos podría tener consecuencias para la seguridad o afectar de manera negativa a los derechos fundamentales, por ejemplo, debido a decisiones equivocadas o resultados de salida erróneos o sesgados generados por el sistema de IA.

(76)

La ciberseguridad es fundamental para garantizar que los sistemas de IA resistan a las actuaciones de terceros maliciosos que, aprovechando las vulnerabilidades del sistema, traten de alterar su uso, comportamiento o funcionamiento o de poner en peligro sus propiedades de seguridad. Los ciberataques contra sistemas de IA pueden dirigirse contra activos específicos de la IA, como los conjuntos de datos de entrenamiento (p. ej., envenenamiento de datos) o los modelos entrenados (p. ej., ataques adversarios o inferencia de pertenencia), o aprovechar las vulnerabilidades de los activos digitales del sistema de IA o la infraestructura de TIC subyacente. Por lo tanto, para garantizar un nivel de ciberseguridad adecuado a los riesgos, los proveedores de sistemas de IA de alto riesgo deben adoptar medidas adecuadas, como los controles de seguridad, teniendo también en cuenta, cuando proceda, la infraestructura de TIC subyacente.

(77)

Sin perjuicio de los requisitos relacionados con la solidez y la precisión establecidos en el presente Reglamento, los sistemas de IA de alto riesgo que entren en el ámbito de aplicación de un reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales, de conformidad con dicho reglamento, pueden demostrar el cumplimiento con los requisitos de ciberseguridad del presente Reglamento mediante el cumplimiento de los requisitos esenciales de ciberseguridad establecidos en dicho reglamento. Cuando los sistemas de IA de alto riesgo cumplan los requisitos esenciales de ciberseguridad de un reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales, debe presumirse que cumplen los requisitos de ciberseguridad del presente Reglamento en la medida en que la satisfacción de esos requisitos se demuestre en la declaración UE de conformidad de emitida con arreglo a dicho reglamento, o partes de esta. A tal fin, la evaluación de los riesgos de ciberseguridad asociados a un producto con elementos digitales clasificado como un sistema de IA de alto riesgo con arreglo al presente Reglamento, realizada en virtud de un reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales, debe tener en cuenta los riesgos para la ciberresiliencia de un sistema de IA por lo que respecta a los intentos de terceros no autorizados de alterar su uso, comportamiento o funcionamiento, incluidas las vulnerabilidades específicas de la IA, como el envenenamiento de datos o los ataques adversarios, así como, en su caso, los riesgos para los derechos fundamentales, tal como exige el presente Reglamento.

(78)

El procedimiento de evaluación de la conformidad establecido en el presente Reglamento debe aplicarse en relación con los requisitos esenciales de ciberseguridad de un producto con elementos digitales regulado por un reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y clasificado como sistema de IA de alto riesgo con arreglo al presente Reglamento. Sin embargo, esta norma no debe dar lugar a una reducción del nivel de garantía necesario para los productos críticos con elementos digitales sujetos a un reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales. Por consiguiente, no obstante lo dispuesto en esta norma, los sistemas de IA de alto riesgo que entran dentro del ámbito de aplicación del presente Reglamento y que también se consideran productos críticos importantes con elementos digitales en virtud de un reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales, y a los que se aplica el procedimiento de evaluación de la conformidad fundamentado en un control interno que se establece en un anexo del presente Reglamento, están sujetos a lo dispuesto en un reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales en materia de evaluación de la conformidad por lo que se refiere a los requisitos esenciales de ciberseguridad de dicho reglamento. En tal caso, en relación con todos los demás aspectos que entren en el ámbito de aplicación del presente Reglamento, debe aplicarse lo dispuesto en el anexo VI del presente Reglamento en materia de evaluación de la conformidad fundamentada en un control interno. Habida cuenta de los conocimientos y la experiencia de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en materia de política de ciberseguridad y de las tareas que se le encomiendan en virtud del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo (37), la Comisión debe cooperar con ENISA en las cuestiones relacionadas con la ciberseguridad de los sistemas de IA.

(79)

Conviene que una persona física o jurídica concreta, definida como el proveedor, asuma la responsabilidad asociada a la introducción en el mercado o la puesta en servicio de un sistema de IA de alto riesgo, con independencia de si dicha persona física o jurídica es o no quien diseñó o desarrolló el sistema.

(80)

Como signatarios de la Convención sobre los Derechos de las Personas con Discapacidad, la Unión y todos los Estados miembros están legalmente obligados a proteger a las personas con discapacidad contra la discriminación y a promover su igualdad, a garantizar que las personas con discapacidad tengan acceso, en igualdad de condiciones con las demás, a las tecnologías y sistemas de la información y las comunicaciones, y a garantizar el respeto a la intimidad de las personas con discapacidad. Habida cuenta de la importancia y el uso crecientes de los sistemas de IA, la aplicación de los principios de diseño universal a todas las nuevas tecnologías y servicios debe garantizar el acceso pleno e igualitario de todas las personas a las que puedan afectar las tecnologías de IA o que puedan utilizar dichas tecnologías, incluidas las personas con discapacidad, de forma que se tenga plenamente en cuenta su dignidad y diversidad inherentes. Por ello es esencial que los proveedores garanticen el pleno cumplimiento de los requisitos de accesibilidad, incluidas la Directiva (UE) 2016/2102 del Parlamento Europeo y del Consejo (38) y la Directiva (UE) 2019/882. Los proveedores deben garantizar el cumplimiento de estos requisitos desde el diseño. Por consiguiente, las medidas necesarias deben integrarse en la medida de lo posible en el diseño de los sistemas de IA de alto riesgo.

(81)

El proveedor debe instaurar un sistema de gestión de la calidad sólido, velar por que se siga el procedimiento de evaluación de la conformidad necesario, elaborar la documentación pertinente y establecer un sistema de vigilancia poscomercialización sólido. Los proveedores de sistemas de IA de alto riesgo que estén sujetos a obligaciones relativas a los sistemas de gestión de la calidad con arreglo al Derecho sectorial pertinente de la Unión deben tener la posibilidad de integrar los elementos del sistema de gestión de la calidad establecido en el presente Reglamento en el sistema de gestión de la calidad establecido en dicho Derecho sectorial de la Unión. La complementariedad entre el presente Reglamento y el Derecho sectorial vigente de la Unión también debe tenerse en cuenta en las futuras actividades de normalización o en las orientaciones adoptadas por la Comisión al respecto. Las autoridades públicas que pongan en servicio sistemas de IA de alto riesgo para su propio uso pueden aprobar y aplicar las normas que regulen el sistema de gestión de la calidad en el marco del sistema de gestión de la calidad adoptado a escala nacional o regional, según proceda, teniendo en cuenta las particularidades del sector y las competencias y la organización de la autoridad pública de que se trate.

(82)

Para permitir la ejecución del presente Reglamento y ofrecer igualdad de condiciones a los operadores, es importante velar por que una persona establecida en la Unión pueda, en cualquier circunstancia, facilitar a las autoridades toda la información necesaria sobre la conformidad de un sistema de IA, teniendo en cuenta las distintas formas en que se pueden ofrecer productos digitales. Por lo tanto, antes de comercializar sus sistemas de IA en la Unión, los proveedores establecidos fuera de su territorio deben designar, mediante un mandato escrito, a un representante autorizado que se encuentre en la Unión. El representante autorizado desempeña un papel fundamental a la hora de velar por la conformidad de los sistemas de IA de alto riesgo introducidos en el mercado o puestos en servicio en la Unión por esos proveedores no establecidos en la Unión y servir de persona de contacto establecida en la Unión.

(83)

Teniendo en cuenta la naturaleza y la complejidad de la cadena de valor de los sistemas de IA y de conformidad con el nuevo marco legislativo, es esencial garantizar la seguridad jurídica y facilitar el cumplimiento del presente Reglamento. Por ello es necesario aclarar la función y las obligaciones específicas de los operadores pertinentes de toda dicha cadena de valor, como los importadores y los distribuidores, que pueden contribuir al desarrollo de sistemas de IA. En determinadas situaciones, esos operadores pueden desempeñar más de una función al mismo tiempo y, por lo tanto, deben cumplir de forma acumulativa todas las obligaciones pertinentes asociadas a dichas funciones. Por ejemplo, un operador puede actuar como distribuidor e importador al mismo tiempo.

(84)

Para garantizar la seguridad jurídica, es necesario aclarar que, en determinadas condiciones específicas, debe considerarse proveedor de un sistema de IA de alto riesgo a cualquier distribuidor, importador, responsable del despliegue u otro tercero que, por tanto, debe asumir todas las obligaciones pertinentes. Este sería el caso si, por ejemplo, esa persona pone su nombre o marca en un sistema de IA de alto riesgo ya introducido en el mercado o puesto en servicio, sin perjuicio de los acuerdos contractuales que estipulen otra distribución de las obligaciones. Este también sería el caso si dicha parte modifica sustancialmente un sistema de IA de alto riesgo que ya se haya introducido en el mercado o puesto en servicio de tal manera que el sistema modificado siga siendo un sistema de IA de alto riesgo de conformidad con el presente Reglamento, o si modifica la finalidad prevista de un sistema de IA, como un sistema de IA de uso general, que ya se haya introducido en el mercado o puesto en servicio y que no esté clasificado como sistema de alto riesgo, de tal manera que el sistema modificado pase a ser un sistema de IA de alto riesgo de conformidad con el presente Reglamento. Esas disposiciones deben aplicarse sin perjuicio de las disposiciones más específicas establecidas en determinados actos legislativos de armonización de la Unión basados en el nuevo marco legislativo que se deben aplicar en conjunción con el presente Reglamento. Por ejemplo, el artículo 16, apartado 2, del Reglamento (UE) 2017/745, que establece que determinados cambios no deben considerarse modificaciones de un producto que puedan afectar al cumplimiento de los requisitos aplicables, debe seguir aplicándose a los sistemas de IA de alto riesgo que sean productos sanitarios en el sentido de dicho Reglamento.

(85)

Los sistemas de IA de uso general pueden utilizarse como sistemas de IA de alto riesgo por sí solos o ser componentes de sistemas de IA de alto riesgo. Así pues, debido a su particular naturaleza y a fin de garantizar un reparto equitativo de responsabilidades a lo largo de toda la cadena de valor, los proveedores de tales sistemas, con independencia de que estos sistemas puedan ser utilizados como sistemas de IA de alto riesgo por sí solos por otros proveedores o como componentes de sistemas de IA de alto riesgo, y salvo que se disponga otra cosa en el presente Reglamento, deben cooperar estrechamente con los proveedores de los sistemas de IA de alto riesgo correspondientes para que estos puedan cumplir las obligaciones pertinentes en virtud del presente Reglamento, así como con las autoridades competentes establecidas en virtud del presente Reglamento.

(86)

Cuando, con arreglo a las condiciones establecidas en el presente Reglamento, el proveedor que introdujo inicialmente el sistema de IA en el mercado o lo puso en servicio ya no deba considerarse el proveedor a los efectos del presente Reglamento, y cuando dicho proveedor no haya excluido expresamente la transformación del sistema de IA en un sistema de IA de alto riesgo, el primer proveedor debe, no obstante, cooperar estrechamente, facilitar la información necesaria y proporcionar el acceso técnico u otra asistencia que quepa esperar razonablemente y que sean necesarios para el cumplimiento de las obligaciones establecidas en el presente Reglamento, en particular en lo que respecta al cumplimiento de la evaluación de la conformidad de los sistemas de IA de alto riesgo.

(87)

Además, cuando un sistema de IA de alto riesgo que sea un componente de seguridad de un producto que entre dentro del ámbito de aplicación de un acto legislativo de armonización de la Unión basado en el nuevo marco legislativo no se introduzca en el mercado ni se ponga en servicio de forma independiente del producto, el fabricante del producto, tal como se define en el acto legislativo pertinente, debe cumplir las obligaciones que el presente Reglamento impone al proveedor y, en particular, debe garantizar que el sistema de IA integrado en el producto final cumpla los requisitos del presente Reglamento.

(88)

A lo largo de la cadena de valor de la IA, numerosas partes suministran a menudo no solo sistemas, herramientas y servicios de IA, sino también componentes o procesos que el proveedor incorpora al sistema de IA con diversos objetivos, como el entrenamiento de modelos, el reentrenamiento de modelos, la prueba y evaluación de modelos, la integración en el software u otros aspectos del desarrollo de modelos. Dichas partes desempeñan un papel importante en la cadena de valor en relación con el proveedor del sistema de IA de alto riesgo en el que se integran sus sistemas, herramientas, servicios, componentes o procesos de IA, y deben proporcionar a dicho proveedor, mediante acuerdo escrito, la información, las capacidades, el acceso técnico y demás asistencia que sean necesarios habida cuenta del estado actual de la técnica generalmente reconocido, a fin de que el proveedor pueda cumplir íntegramente las obligaciones establecidas en el presente Reglamento, sin comprometer sus propios derechos de propiedad intelectual e industrial o secretos comerciales.

(89)

A los terceros que ponen a disposición del público herramientas, servicios, procesos o componentes de IA que no sean modelos de IA de uso general no se les debe imponer la obligación de cumplir los requisitos relativos a las responsabilidades a lo largo de la cadena de valor de la IA, en particular por lo que respecta al proveedor que haya utilizado o integrado dichas herramientas, servicios, procesos o componentes de IA, cuando el acceso a dichas herramientas, servicios, procesos o componentes de IA esté sujeto a una licencia libre y de código abierto. No obstante, se debe animar a los desarrolladores de herramientas, servicios, procesos o componentes de IA libres y de código abierto que no sean modelos de IA de uso general a que apliquen prácticas de documentación ampliamente adoptadas, como tarjetas de modelo y hojas de datos, como una forma de acelerar el intercambio de información a lo largo de la cadena de valor de la IA, permitiendo la promoción en la Unión de sistemas de IA fiables.

(90)

La Comisión podría elaborar y recomendar cláusulas contractuales tipo, de carácter voluntario, entre los proveedores de sistemas de IA de alto riesgo y los terceros que suministren herramientas, servicios, componentes o procesos que se utilicen o integren en los sistemas de IA de alto riesgo, a fin de facilitar la cooperación a lo largo de la cadena de valor. Cuando elabore estas cláusulas contractuales tipo de carácter voluntario, la Comisión también debe tener en cuenta los posibles requisitos contractuales aplicables en determinados sectores o modelos de negocio.

(91)

Habida cuenta de las características de los sistemas de IA y de los riesgos que su uso lleva aparejado para la seguridad y los derechos fundamentales, también en lo que respecta a la necesidad de garantizar la correcta vigilancia del funcionamiento de un sistema de IA en un entorno real, conviene establecer las responsabilidades específicas de los responsables del despliegue. En particular, los responsables del despliegue deben adoptar las medidas técnicas y organizativas adecuadas para garantizar que utilizan los sistemas de IA de alto riesgo conforme a las instrucciones de uso. Además, es preciso definir otras obligaciones en relación con la vigilancia del funcionamiento de los sistemas de IA y la conservación de registros, según proceda. Asimismo, los responsables del despliegue deben garantizar que las personas encargadas de poner en práctica las instrucciones de uso y la supervisión humana establecidas en el presente Reglamento tengan las competencias necesarias, en particular un nivel adecuado de alfabetización, formación y autoridad en materia de IA para desempeñar adecuadamente dichas tareas. Dichas obligaciones deben entenderse sin perjuicio de otras obligaciones que tenga el responsable del despliegue en relación con los sistemas de IA de alto riesgo con arreglo al Derecho nacional o de la Unión.

(92)

El presente Reglamento se entiende sin perjuicio de la obligación de los empleadores de informar o de informar y consultar a los trabajadores o a sus representantes, en virtud del Derecho o las prácticas nacionales o de la Unión, incluida la Directiva 2002/14/CE del Parlamento Europeo y del Consejo (39), sobre la decisión de poner en servicio o utilizar sistemas de IA. Se debe velar por que se informe a los trabajadores y a sus representantes sobre el despliegue previsto de sistemas de IA de alto riesgo en el lugar de trabajo incluso aunque no se cumplan las condiciones de las citadas obligaciones de información o de información y consulta previstas en otros instrumentos jurídicos. Además, este derecho de información es accesorio y necesario para el objetivo de protección de los derechos fundamentales que subyace al presente Reglamento. Por consiguiente, debe establecerse en el presente Reglamento un requisito de información a tal efecto, sin que dicho requisito afecte a ningún derecho vigente de los trabajadores.

(93)

Aunque los riesgos relacionados con los sistemas de IA pueden derivarse de su diseño, también pueden derivarse riesgos del uso que se hace de ellos. Por ello, los responsables del despliegue de un sistema de IA de alto riesgo desempeñan un papel fundamental a la hora de garantizar la protección de los derechos fundamentales, como complemento de las obligaciones del proveedor al desarrollar el sistema de IA. Los responsables del despliegue se encuentran en una posición óptima para comprender el uso concreto que se le dará al sistema de IA de alto riesgo y pueden, por lo tanto, detectar potenciales riesgos significativos que no se previeron en la fase de desarrollo, al tener un conocimiento más preciso del contexto de uso y de las personas o los colectivos de personas que probablemente se vean afectados, entre los que se incluyen colectivos vulnerables. Los responsables del despliegue de los sistemas de IA de alto riesgo que se enumeran en un anexo del presente Reglamento también desempeñan un papel fundamental a la hora de informar a las personas físicas y, cuando tomen decisiones o ayuden a tomar decisiones relacionadas con personas físicas, deben, en su caso, informar a las personas físicas de que son objeto de la utilización de un sistema de IA de alto riesgo. Esta información debe incluir la finalidad prevista y el tipo de decisiones que se toman. El responsable del despliegue también debe informar a las personas físicas de su derecho a una explicación con arreglo al presente Reglamento. Por lo que respecta a los sistemas de IA de alto riesgo que se utilizan a efectos de la garantía del cumplimiento del Derecho, esa obligación debe ejecutarse de conformidad con el artículo 13 de la Directiva (UE) 2016/680.

(94)

Todo tratamiento de datos biométricos que se produzca en el marco de la utilización de un sistema de IA para la identificación biométrica con fines de garantía del cumplimiento del Derecho debe cumplir lo dispuesto en el artículo 10 de la Directiva (UE) 2016/680, que permite dicho tratamiento solo cuando sea estrictamente necesario, con sujeción a las salvaguardias adecuadas para los derechos y libertades del interesado y cuando así lo autorice el Derecho de la Unión o de los Estados miembros. Dicho uso, cuando esté autorizado, también debe respetar los principios establecidos en el artículo 4, apartado 1, de la Directiva (UE) 2016/680, como, entre otros, que el tratamiento sea lícito y leal, la transparencia, la limitación de la finalidad, la exactitud y la limitación del plazo de conservación.

(95)

Sin perjuicio del Derecho de la Unión aplicable, en particular el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680, teniendo en cuenta el carácter intrusivo de los sistemas de identificación biométrica remota en diferido, el uso de este tipo de sistemas debe estar sujeto a garantías. Los sistemas de identificación biométrica remota en diferido deben utilizarse siempre de manera proporcionada y legítima, en la medida de lo estrictamente necesario y, por ende, de forma selectiva por lo que respecta a las personas que deben identificarse, la ubicación y el alcance temporal y a partir de un conjunto limitado de datos de grabaciones de vídeo obtenidas legalmente. En cualquier caso, los sistemas de identificación biométrica remota en diferido no deben utilizarse en el marco de la garantía del cumplimiento del Derecho de tal forma que se produzca una vigilancia indiscriminada. Las condiciones para la identificación biométrica remota en diferido en ningún caso deben servir para eludir las condiciones de la prohibición y las estrictas excepciones aplicables a la identificación biométrica remota en tiempo real.

(96)

A fin de garantizar eficazmente la protección de los derechos fundamentales, los responsables del despliegue de sistemas de IA de alto riesgo que sean organismos de Derecho público, o las entidades privadas que presten servicios públicos y los responsables del despliegue de determinados sistemas de IA de alto riesgo enumerados en un anexo del presente Reglamento, como las entidades bancarias o de seguros, deben llevar a cabo una evaluación de impacto relativa a los derechos fundamentales antes de su puesta en funcionamiento. Algunos servicios importantes para las personas que son de carácter público también pueden ser prestados por entidades privadas. Las entidades privadas que prestan estos servicios públicos se vinculan a funciones de interés público, por ejemplo, en el ámbito de la educación, la asistencia sanitaria, los servicios sociales, la vivienda y la administración de justicia. El objetivo de la evaluación de impacto relativa a los derechos fundamentales es que el responsable del despliegue determine los riesgos específicos para los derechos de las personas o colectivos de personas que probablemente se vean afectados y defina las medidas que deben adoptarse en caso de que se materialicen dichos riesgos. La evaluación de impacto debe llevarse a cabo antes del despliegue del sistema de IA de alto riesgo y debe actualizarse cuando el responsable del despliegue considere que alguno de los factores pertinentes ha cambiado. La evaluación de impacto debe determinar los procesos pertinentes del responsable del despliegue en los que se utilizará el sistema de IA de alto riesgo en consonancia con su finalidad prevista y debe incluir una descripción del plazo de tiempo y la frecuencia en que se pretende utilizar el sistema, así como de las categorías concretas de personas físicas y de colectivos de personas que probablemente se vean afectados por el uso del sistema de IA de alto riesgo en ese contexto de uso específico. La evaluación también debe determinar los riesgos de perjuicio específicos que probablemente afecten a los derechos fundamentales de dichas personas o colectivos. Al llevar a cabo esta evaluación, el responsable del despliegue debe tener en cuenta la información pertinente para una evaluación adecuada del impacto, lo que incluye, por ejemplo, la información facilitada por el proveedor del sistema de IA de alto riesgo en las instrucciones de uso. A la luz de los riesgos detectados, los responsables del despliegue deben determinar las medidas que han de adoptarse en caso de que se materialicen dichos riesgos, entre las que se incluyen, por ejemplo, sistemas de gobernanza para ese contexto de uso específico, como los mecanismos de supervisión humana con arreglo a las instrucciones de uso, los procedimientos de tramitación de reclamaciones y de recurso, ya que podrían ser fundamentales para mitigar los riesgos para los derechos fundamentales en casos de uso concretos. Tras llevar a cabo dicha evaluación de impacto, el responsable del despliegue debe notificarlo a la autoridad de vigilancia del mercado pertinente. Cuando proceda, para recopilar la información pertinente necesaria para llevar a cabo la evaluación de impacto, los responsables del despliegue de un sistema de IA de alto riesgo, en particular cuando el sistema de IA se utilice en el sector público, pueden contar con la participación de las partes interesadas pertinentes, como, por ejemplo, los representantes de colectivos de personas que probablemente se vean afectados por el sistema de IA, expertos independientes u organizaciones de la sociedad civil, en la realización de dichas evaluaciones de impacto y en el diseño de las medidas que deben adoptarse en caso de materialización de los riesgos. La Oficina Europea de Inteligencia Artificial (en lo sucesivo, «Oficina de IA») debe elaborar un modelo de cuestionario con el fin de facilitar el cumplimiento y reducir la carga administrativa para los responsables del despliegue.

(97)

El concepto de modelos de IA de uso general debe definirse claramente y diferenciarse del concepto de sistemas de IA con el fin de garantizar la seguridad jurídica. La definición debe basarse en las características funcionales esenciales de un modelo de IA de uso general, en particular la generalidad y la capacidad de realizar de manera competente una amplia variedad de tareas diferenciadas. Estos modelos suelen entrenarse usando grandes volúmenes de datos y a través de diversos métodos, como el aprendizaje autosupervisado, no supervisado o por refuerzo. Los modelos de IA de uso general pueden introducirse en el mercado de diversas maneras, por ejemplo, a través de bibliotecas, interfaces de programación de aplicaciones (API), como descarga directa o como copia física. Estos modelos pueden modificarse o perfeccionarse y transformarse en nuevos modelos. Aunque los modelos de IA son componentes esenciales de los sistemas de IA, no constituyen por sí mismos sistemas de IA. Los modelos de IA requieren que se les añadan otros componentes, como, por ejemplo, una interfaz de usuario, para convertirse en sistemas de IA. Los modelos de IA suelen estar integrados en los sistemas de IA y formar parte de dichos sistemas. El presente Reglamento establece normas específicas para los modelos de IA de uso general y para los modelos de IA de uso general que entrañan riesgos sistémicos, que deben aplicarse también cuando estos modelos estén integrados en un sistema de IA o formen parte de un sistema de IA. Debe entenderse que las obligaciones de los proveedores de modelos de IA de uso general deben aplicarse una vez que los modelos de IA de uso general se introduzcan en el mercado. Cuando el proveedor de un modelo de IA de uso general integre un modelo propio en un sistema de IA propio que se comercialice o ponga en servicio, se debe considerar que dicho modelo se ha introducido en el mercado y, por tanto, se deben seguir aplicando las obligaciones establecidas en el presente Reglamento en relación con los modelos, además de las establecidas en relación con los sistemas de IA. En cualquier caso, las obligaciones establecidas en relación con los modelos no deben aplicarse cuando un modelo propio se utilice en procesos puramente internos que no sean esenciales para suministrar un producto o un servicio a un tercero y los derechos de las personas físicas no se vean afectados. Teniendo en cuenta su potencial para causar efectos negativos importantes, los modelos de IA de uso general con riesgo sistémico deben estar siempre sujetos a las obligaciones pertinentes establecidas en el presente Reglamento. La definición no debe incluir los modelos de IA utilizados antes de su introducción en el mercado únicamente para actividades de investigación, desarrollo y creación de prototipos. Lo anterior se entiende sin perjuicio de la obligación de cumplir lo dispuesto en el presente Reglamento cuando, tras haber realizado dichas actividades, el modelo se introduzca en el mercado.

(98)

Aunque la generalidad de un modelo también podría determinarse, entre otras cosas, mediante una serie de parámetros, debe considerarse que los modelos que tengan al menos mil millones de parámetros y se hayan entrenado con un gran volumen de datos utilizando la autosupervisión a escala presentan un grado significativo de generalidad y realizan de manera competente una amplia variedad de tareas diferenciadas.

(99)

Los grandes modelos de IA generativa son un ejemplo típico de un modelo de IA de uso general, ya que permiten la generación flexible de contenidos, por ejemplo, en formato de texto, audio, imágenes o vídeo, que pueden adaptarse fácilmente a una amplia gama de tareas diferenciadas.

(100)

Cuando un modelo de IA de uso general esté integrado en un sistema de IA o forme parte de él, este sistema debe considerarse un sistema de IA de uso general cuando, debido a esta integración, el sistema tenga la capacidad de servir a diversos fines. Un sistema de IA de uso general puede utilizarse directamente e integrarse en otros sistemas de IA.

(101)

Los proveedores de modelos de IA de uso general tienen una función y una responsabilidad particulares a lo largo de la cadena de valor de la IA, ya que los modelos que suministran pueden constituir la base de diversos sistemas de etapas posteriores, que a menudo son suministrados por proveedores posteriores que necesitan entender bien los modelos y sus capacidades, tanto para permitir la integración de dichos modelos en sus productos como para cumplir sus obligaciones en virtud del presente Reglamento o de otros reglamentos. Por consiguiente, deben establecerse medidas de transparencia proporcionadas, lo que incluye elaborar documentación y mantenerla actualizada y facilitar información sobre el modelo de IA de uso general para su uso por parte de los proveedores posteriores. El proveedor del modelo de IA de uso general debe elaborar y mantener actualizada la documentación técnica con el fin de ponerla a disposición, previa solicitud, de la Oficina de IA y de las autoridades nacionales competentes. Los elementos mínimos que debe contener dicha documentación deben establecerse en anexos específicos del presente Reglamento. La Comisión debe estar facultada para modificar dichos anexos mediante actos delegados en función de los avances tecnológicos.

(102)

El software y los datos, incluidos los modelos, divulgados con arreglo a una licencia libre y de código abierto que permita compartirlos abiertamente y que los usuarios puedan acceder a ellos, o a versiones modificadas de dicho software y dichos datos, o utilizarlos, modificarlos y redistribuirlos libremente, pueden contribuir a la investigación y la innovación en el mercado y pueden ofrecer importantes oportunidades de crecimiento para la economía de la Unión. Debe considerarse que los modelos de IA de uso general divulgados con arreglo a una licencia libre y de código abierto garantizan altos niveles de transparencia y apertura si sus parámetros, incluidos los pesos, la información sobre la arquitectura del modelo y la información sobre el uso del modelo, se ponen a disposición del público. La licencia debe considerarse libre y de código abierto cuando permita a los usuarios ejecutar, copiar, distribuir, estudiar, modificar y mejorar el software y los datos, incluidos los modelos a condición de que se cite al proveedor original del modelo, si se respetan unas condiciones de distribución idénticas o comparables.

(103)

Los componentes de IA libres y de código abierto comprenden el software y los datos, incluidos los modelos y los modelos de IA de uso general, las herramientas, los servicios y los procesos de un sistema de IA. Los componentes de IA libres y de código abierto pueden suministrarse a través de diferentes canales, lo que incluye la posibilidad de desarrollarlos en repositorios abiertos. A los efectos del presente Reglamento, los componentes de IA que se suministren a cambio de una contraprestación o que se moneticen de cualquier otro modo, como, por ejemplo, mediante la prestación de apoyo técnico u otros servicios en relación con el componente de IA, ya sea a través de una plataforma de software o por otros medios, o mediante el uso de datos personales con fines que no se refieran exclusivamente a la mejora de la seguridad, la compatibilidad o la interoperabilidad del software, salvo si se trata de operaciones entre microempresas, no deben poder acogerse a las excepciones previstas para los componentes de IA libres y de código abierto. La disponibilidad de un componente de IA a través de repositorios abiertos no debe constituir, de por sí, una monetización.

(104)

Los proveedores de modelos de IA de uso general divulgados con arreglo a una licencia libre y de código abierto cuyos parámetros, incluidos los pesos, la información sobre la arquitectura del modelo y la información sobre el uso del modelo, se ponen a disposición del público deben estar sujetos a excepciones por lo que respecta a los requisitos de transparencia que se imponen a los modelos de IA de uso general, a menos que pueda considerarse que presentan un riesgo sistémico, en cuyo caso la circunstancia de que el modelo sea transparente y vaya acompañado de una licencia de código abierto no debe considerarse una razón suficiente para que quede exento del cumplimiento de las obligaciones establecidas en el presente Reglamento. En cualquier caso, dado que la divulgación de modelos de IA de uso general con arreglo a una licencia libre y de código abierto no necesariamente revela información sustancial sobre el conjunto de datos utilizado para entrenar el modelo o realizar ajustes en relación con este ni sobre la manera en que se garantizó el cumplimiento del Derecho en materia de derechos de autor, la excepción prevista para los modelos de IA de uso general en relación con el cumplimiento de los requisitos de transparencia no debe eximir de la obligación de presentar un resumen del contenido utilizado para el entrenamiento del modelo ni de la obligación de adoptar directrices para el cumplimiento del Derecho de la Unión en materia de derechos de autor, en particular para identificar y respetar la reserva de derechos prevista en el artículo 4, apartado 3, de la Directiva (UE) 2019/790 del Parlamento Europeo y del Consejo (40).

(105)

Los modelos de IA de uso general, en particular los grandes modelos de IA generativos, capaces de generar texto, imágenes y otros contenidos, presentan unas oportunidades de innovación únicas, pero también representan un desafío para los artistas, autores y demás creadores y para la manera en que se crea, distribuye, utiliza y consume su contenido creativo. El desarrollo y el entrenamiento de estos modelos requiere acceder a grandes cantidades de texto, imágenes, vídeos y otros datos. Las técnicas de prospección de textos y datos pueden utilizarse ampliamente en este contexto para la recuperación y el análisis de tales contenidos, que pueden estar protegidos por derechos de autor y derechos afines. Todo uso de contenidos protegidos por derechos de autor requiere la autorización del titular de los derechos de que se trate, salvo que se apliquen las excepciones y limitaciones pertinentes en materia de derechos de autor. La Directiva (UE) 2019/790 introdujo excepciones y limitaciones que permiten reproducciones y extracciones de obras y otras prestaciones con fines de prospección de textos y datos en determinadas circunstancias. Con arreglo a estas normas, los titulares de derechos pueden optar por reservarse sus derechos en relación con sus obras u otras prestaciones para evitar la prospección de textos y datos, salvo que su finalidad sea la investigación científica. Cuando el titular del derecho se haya reservado de manera adecuada el derecho de exclusión, los proveedores de modelos de IA de uso general deben obtener su autorización para llevar a cabo una prospección de textos y datos con dichas obras.

(106)

Los proveedores que introduzcan modelos de IA de uso general en el mercado de la Unión deben garantizar el cumplimiento de las obligaciones pertinentes establecidas en el presente Reglamento. A tal fin, los proveedores de modelos de IA de uso general deben adoptar directrices para el cumplimiento del Derecho de la Unión en materia de derechos de autor y derechos afines, en particular para detectar y cumplir la reserva de derechos expresada por los titulares de derechos con arreglo al artículo 4, apartado 3, de la Directiva (UE) 2019/790. Todo proveedor que introduzca un modelo de IA de uso general en el mercado de la Unión debe cumplir esta obligación, independientemente de la jurisdicción en la que tengan lugar los actos pertinentes en materia de derechos de autor que sustentan el entrenamiento de dichos modelos de IA de uso general. Esta medida es necesaria para garantizar unas condiciones de competencia equitativas entre los proveedores de modelos de IA de uso general que impidan que un proveedor obtenga una ventaja competitiva en el mercado de la Unión aplicando normas en materia de derechos de autor menos estrictas que las establecidas en la Unión.

(107)

Con el fin de aumentar la transparencia en relación con los datos utilizados en el entrenamiento previo y el entrenamiento de los modelos de IA de uso general, incluidos los textos y los datos protegidos por el Derecho en materia de derechos de autor, procede que los proveedores de dichos modelos elaboren y pongan a disposición del público un resumen suficientemente detallado de los contenidos utilizados para el entrenamiento del modelo de IA de uso general. Este resumen debe tener debidamente en cuenta la necesidad de proteger los secretos comerciales y la información empresarial confidencial y, al mismo tiempo, debe ser exhaustivo en general en su alcance en vez de técnicamente detallado, a fin de facilitar que las partes con intereses legítimos, incluidos los titulares de derechos de autor, ejerzan y hagan cumplir sus derechos en virtud del Derecho de la Unión, por ejemplo, enumerando los principales conjuntos o recopilaciones de datos que hayan servido para entrenar al modelo, como los grandes archivos de datos o bases de datos privados o públicos, y proporcionando una explicación descriptiva sobre otras fuentes de datos utilizadas. Conviene que la Oficina de IA proporcione un modelo para el resumen, que debe ser sencillo y eficaz y permitir que el proveedor proporcione el resumen requerido en forma descriptiva.

(108)

Por lo que se refiere a las obligaciones impuestas a los proveedores de modelos de IA de uso general de adoptar directrices para el cumplimiento del Derecho de la Unión en materia de derechos de autor y de poner a disposición del público un resumen de los contenidos utilizados para el entrenamiento, la Oficina de IA debe supervisar si el proveedor ha cumplido dichas obligaciones sin verificar ni proceder a una evaluación obra por obra de los datos de entrenamiento en cuanto al respeto de los derechos de autor. El presente Reglamento no afecta al cumplimiento de las normas en materia de derechos de autor previstas en el Derecho de la Unión.

(109)

El cumplimiento de las obligaciones aplicables a los proveedores de modelos de IA de uso general debe ser proporcionado y adecuado al tipo de proveedor de modelos. Debe eximirse de la obligación de cumplimiento a las personas que desarrollan o utilizan modelos con fines no profesionales o de investigación científica. No obstante, debe animarse a estas personas a cumplir voluntariamente estos requisitos. Sin perjuicio del Derecho de la Unión en materia de derechos de autor, el cumplimiento de esas obligaciones debe tener debidamente en cuenta el tamaño del proveedor y permitir formas simplificadas de cumplimiento para las pymes, incluidas las empresas emergentes, que no deben suponer un coste excesivo ni desincentivar el uso de dichos modelos. En caso de que se modifique o ajuste un modelo, las obligaciones de los proveedores de modelos de IA de uso general deben limitarse a esa modificación o esos ajustes, por ejemplo, complementando la documentación técnica ya existente con información sobre las modificaciones, incluidas las nuevas fuentes de datos de entrenamiento, para cumplir las obligaciones relacionadas con la cadena de valor establecidas en el presente Reglamento.

(110)

Los modelos de IA de uso general pueden plantear riesgos sistémicos, por ejemplo, cualquier efecto negativo real o razonablemente previsible en relación con accidentes graves, perturbaciones de sectores críticos y consecuencias graves para la salud y la seguridad públicas, cualquier efecto negativo real o razonablemente previsible sobre los procesos democráticos y la seguridad pública y económica o la difusión de contenidos ilícitos, falsos o discriminatorios. Debe entenderse que los riesgos sistémicos aumentan con las capacidades y el alcance de los modelos, pueden surgir durante todo el ciclo de vida del modelo y se ven influidos por las condiciones de uso indebido, la fiabilidad del modelo, la equidad y la seguridad del modelo, el nivel de autonomía del modelo, su acceso a herramientas, modalidades novedosas o combinadas, las estrategias de divulgación y distribución, la posibilidad de eliminar las salvaguardias y otros factores. En particular, los enfoques internacionales han establecido hasta la fecha la necesidad de prestar atención a los riesgos derivados de posibles usos indebidos intencionados o de problemas en materia de control relacionados con la armonización con la intención humana no deseados, a los riesgos químicos, biológicos, radiológicos y nucleares, como las maneras en que las barreras a la entrada pueden reducirse, también para el desarrollo, el diseño, la adquisición o el uso de armas, a las cibercapacidades ofensivas, como las maneras en que pueden propiciarse el descubrimiento, la explotación o el uso operativo de vulnerabilidades, a los efectos de la interacción y el uso de herramientas, incluida, por ejemplo, la capacidad de controlar sistemas físicos e interferir en el funcionamiento de infraestructuras críticas, a los riesgos derivados del hecho que los modelos hagan copias de sí mismos o se «autorrepliquen» o entrenen a otros modelos, a las maneras en que los modelos pueden dar lugar a sesgos dañinos y discriminación que entrañan riesgos para las personas, las comunidades o las sociedades, a la facilitación de la desinformación o el menoscabo de la intimidad, que suponen una amenaza para los valores democráticos y los derechos humanos, al riesgo de que un acontecimiento concreto dé lugar a una reacción en cadena con efectos negativos considerables que podrían afectar incluso a una ciudad entera, un ámbito de actividad entero o una comunidad entera.

(111)

Conviene establecer una metodología para la clasificación de los modelos de IA de uso general como modelos de IA de uso general con riesgos sistémicos. Dado que los riesgos sistémicos se derivan de capacidades especialmente elevadas, debe considerarse que un modelo de IA de uso general presenta riesgos sistémicos si tiene capacidades de gran impacto —evaluadas mediante herramientas y metodologías técnicas adecuadas— o unas repercusiones considerables en el mercado interior debido a su alcance. Las capacidades de gran impacto en modelos de IA de uso general son capacidades que igualan o superan las capacidades mostradas por los modelos de IA de uso general más avanzados. La introducción en el mercado de un modelo o las interacciones de los responsables del despliegue con él permiten comprender mejor el conjunto de sus capacidades. Según el estado de la técnica en el momento de la entrada en vigor del presente Reglamento, la cantidad acumulada de cálculo utilizado para el entrenamiento del modelo de IA de uso general, medida en operaciones de coma flotante, es una de las aproximaciones pertinentes para las capacidades del modelo. La cantidad acumulada de cálculo utilizado para el entrenamiento incluye los cálculos utilizados en las distintas actividades y métodos destinados a mejorar las capacidades del modelo antes del despliegue, como el entrenamiento previo, la generación de datos sintéticos y la realización de ajustes. Por lo tanto, debe establecerse un umbral inicial de operaciones de coma flotante que, de ser alcanzado por un modelo de IA de uso general, dé lugar a la presunción de que el modelo es un modelo de IA de uso general con riesgos sistémicos. Este umbral deberá irse ajustando para reflejar los cambios tecnológicos e industriales, como las mejoras algorítmicas o el aumento de la eficiencia del hardware, y debe complementarse con parámetros de referencia e indicadores de la capacidad de los modelos. Para fundamentar esto, la Oficina de IA debe colaborar con la comunidad científica, la industria, la sociedad civil y otros expertos. Los umbrales, así como las herramientas y los parámetros de referencia para la evaluación de las capacidades de gran impacto, deben servir para predecir con fiabilidad la generalidad, las capacidades y el riesgo sistémico asociado de los modelos de IA de uso general, y podrían tener en cuenta la manera en que el modelo se introducirá en el mercado o el número de usuarios a los que podría afectar. Para complementar este sistema, la Comisión debe poder adoptar decisiones individuales por las que se designe un modelo de IA de uso general como modelo de IA de uso general con riesgo sistémico si se determina que dicho modelo tiene capacidades o repercusiones equivalentes a las reflejadas por el umbral establecido. Dicha decisión debe adoptarse atendiendo a una evaluación global de los criterios para la designación de modelos de IA de uso general con riesgo sistémico establecidos en un anexo del presente Reglamento, como la calidad o el tamaño del conjunto de datos de entrenamiento, el número de usuarios profesionales y finales, sus modalidades de entrada y de salida, su nivel de autonomía y escalabilidad o las herramientas a las que tiene acceso. Previa solicitud motivada de un proveedor cuyo modelo haya sido designado como modelo de IA de uso general con riesgo sistémico, la Comisión debe tener en cuenta la solicitud y podrá decidir reevaluar si puede seguir considerándose que el modelo de IA de uso general presenta riesgos sistémicos.

(112)

También es necesario aclarar un procedimiento para la clasificación de un modelo de IA de uso general con riesgos sistémicos. Debe presumirse que un modelo de IA de uso general que alcanza el umbral aplicable para las capacidades de gran impacto es un modelo de IA de uso general con riesgo sistémico. El proveedor debe enviar una notificación a la Oficina de IA a más tardar dos semanas después de que se cumplan los requisitos o de que se sepa que un modelo de IA de uso general cumplirá los requisitos que conducen a la presunción. Esto es especialmente pertinente en relación con el umbral de operaciones de coma flotante, ya que el entrenamiento de los modelos de IA de uso general requiere una planificación considerable que incluye la asignación previa de recursos computacionales y, por tanto, los proveedores de modelos de IA de uso general pueden saber si su modelo alcanzará el umbral antes del fin del entrenamiento. En el contexto de dicha notificación, el proveedor debe poder demostrar que, debido a sus características específicas, un modelo de IA de uso general no presenta excepcionalmente riesgos sistémicos y que, por tanto, no debe clasificarse como modelo de IA de uso general con riesgos sistémicos. Esa información es valiosa para que la Oficina de IA anticipe la introducción en el mercado de modelos de IA de uso general con riesgos sistémicos y para que los proveedores pueden empezar a colaborar con la Oficina de IA en una fase temprana. Dicha información es especialmente importante cuando esté previsto divulgar un modelo de IA de uso general como modelo de código abierto, dado que, tras la divulgación de modelos de código abierto, puede resultar más difícil aplicar las medidas necesarias para garantizar el cumplimiento de las obligaciones establecidas en el presente Reglamento.

(113)

Si la Comisión descubre que un modelo de IA de uso general del que no tenía conocimiento o que el proveedor pertinente no le había notificado cumple los requisitos para ser clasificado como modelo de IA de uso general con riesgo sistémico, la Comisión debe estar facultada para designarlo. Además de las actividades de supervisión de la Oficina de IA, un sistema de alertas cualificadas debe garantizar que la Oficina de IA sea informada por el grupo de expertos científicos de la existencia de modelos de IA de uso general que podrían ser clasificados como modelos de IA de uso general con riesgo sistémico.

(114)

Los proveedores de modelos de IA de uso general que presenten riesgos sistémicos deben estar sujetos, además de a las obligaciones impuestas a los proveedores de modelos de IA de uso general, a obligaciones encaminadas a detectar y atenuar dichos riesgos y a garantizar un nivel adecuado de protección en materia de ciberseguridad, independientemente de si dichos modelos se ofrecen como modelos independientes o están integrados en sistemas de IA o en productos. Para alcanzar esos objetivos, el presente Reglamento debe exigir a los proveedores que lleven a cabo las evaluaciones de los modelos necesarias, en particular antes de la primera introducción en el mercado, y que, por ejemplo, lleven a cabo y documenten pruebas de simulación de adversarios, también, según proceda, mediante pruebas externas independientes o pruebas internas. Además, los proveedores de modelos de IA de uso general con riesgos sistémicos deben evaluar y mitigar continuamente los riesgos sistémicos, por ejemplo, mediante el establecimiento de políticas de gestión de riesgos, como procesos de rendición de cuentas y gobernanza, la puesta en práctica de la vigilancia poscomercialización, la adopción de medidas adecuadas durante todo el ciclo de vida del modelo y la cooperación con los agentes pertinentes a lo largo de la cadena de valor de la IA.

(115)

Los proveedores de modelos de IA de uso general con riesgos sistémicos deben evaluar y mitigar los posibles riesgos sistémicos. Si, a pesar de los esfuerzos por detectar y prevenir los riesgos relacionados con un modelo de IA de uso general que pueda presentar riesgos sistémicos, el desarrollo o el uso del modelo provoca un incidente grave, el proveedor del modelo de IA de uso general debe, sin demora indebida, hacer un seguimiento del incidente y comunicar toda la información pertinente y las posibles medidas correctoras a la Comisión y a las autoridades nacionales competentes. Además, los proveedores deben garantizar que el modelo y su infraestructura física, si procede, tengan un nivel adecuado de protección en materia de ciberseguridad durante todo el ciclo de vida del modelo. La protección en materia de ciberseguridad relacionada con los riesgos sistémicos asociados al uso malintencionado o a los ataques debe tener debidamente en cuenta las fugas accidentales de modelos, las divulgaciones no autorizadas, la elusión de las medidas de seguridad y la defensa contra los ciberataques, el acceso no autorizado o el robo de modelos. Esa protección podría facilitarse asegurando los pesos, los algoritmos, los servidores y los conjuntos de datos del modelo, por ejemplo, mediante medidas de seguridad operativa para la seguridad de la información, medidas específicas en materia de ciberseguridad, soluciones técnicas adecuadas y establecidas y controles de acceso cibernéticos y físicos, en función de las circunstancias pertinentes y los riesgos existentes.

(116)

La Oficina de IA debe fomentar y facilitar la elaboración, revisión y adaptación de códigos de buenas prácticas, teniendo en cuenta los enfoques internacionales. Podría invitarse a participar a todos los proveedores de modelos de IA de uso general. Para garantizar que los códigos de buenas prácticas reflejen el estado actual de la técnica y tengan debidamente en cuenta perspectivas distintas, la Oficina de IA debe colaborar con las autoridades nacionales competentes pertinentes y, cuando proceda, podrá consultar a organizaciones de la sociedad civil y a otras partes interesadas y expertos pertinentes, incluido el Grupo de Expertos Científicos, por lo que respecta a la elaboración de dichos códigos. Los códigos de buenas prácticas deben comprender las obligaciones de los proveedores de modelos de IA de uso general y de modelos de IA de uso general que presenten riesgos sistémicos. Además, en lo que respecta a los riesgos sistémicos, los códigos de buenas prácticas deben ayudar a establecer una taxonomía de riesgos en la que figuren el tipo y la naturaleza de los riesgos sistémicos a escala de la Unión, incluidas sus fuentes. Asimismo, los códigos de buenas prácticas deben centrarse en medidas específicas de evaluación y reducción de riesgos.

(117)

Los códigos de buenas prácticas deben constituir una herramienta fundamental para el cumplimiento adecuado de las obligaciones previstas en el presente Reglamento para los proveedores de modelos de IA de uso general. Los proveedores deben poder basarse en códigos de buenas prácticas para demostrar el cumplimiento de las obligaciones. Mediante actos de ejecución, la Comisión podrá decidir aprobar un código de buenas prácticas y conferirle una validez general dentro de la Unión o, alternativamente, establecer normas comunes para la puesta en práctica de las obligaciones pertinentes si, para el momento en que el presente Reglamento sea aplicable, no ha podido finalizarse un código de buenas prácticas o la Oficina de IA no lo considera adecuado. Una vez que se haya publicado una norma armonizada y que la Oficina de IA la considere adecuada para cubrir las obligaciones pertinentes, el cumplimiento de una norma armonizada europea debe dar a los proveedores la presunción de conformidad. Además, los proveedores de modelos de IA de uso general deben poder demostrar el cumplimiento utilizando medios alternativos adecuados si no se dispone de códigos de buenas prácticas o de normas armonizadas, o si deciden no basarse en ellos.

(118)

El presente Reglamento regula los sistemas de IA y modelos de IA imponiendo determinados requisitos y obligaciones a los agentes pertinentes del mercado que los introduzcan en el mercado, los pongan en servicio o los utilicen en la Unión, complementando así las obligaciones de los prestadores de servicios intermediarios que integren dichos sistemas o modelos en sus servicios, regulados por el Reglamento (UE) 2022/2065. En la medida en que dichos sistemas o modelos estén integrados en plataformas en línea de muy gran tamaño o en motores de búsqueda en línea de muy gran tamaño que hayan sido designados, están sujetos al marco de gestión de riesgos establecido en el Reglamento (UE) 2022/2065. Por consiguiente, debe presumirse que se han cumplido las obligaciones correspondientes del presente Reglamento a menos que surjan riesgos sistémicos significativos no cubiertos por el Reglamento (UE) 2022/2065 y se detecten en dichos modelos. En este marco, los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño están obligados a evaluar los posibles riesgos sistémicos derivados del diseño, el funcionamiento y el uso de sus servicios, incluido el modo en que el diseño de los sistemas algorítmicos utilizados en el servicio puede contribuir a dichos riesgos, así como los riesgos sistémicos derivados de posibles usos indebidos. Dichos prestadores también están obligados a adoptar las medidas de reducción de riesgos adecuadas respetando los derechos fundamentales.

(119)

Tomando en consideración el rápido ritmo de innovación y la evolución tecnológica de los servicios digitales incluidos en el ámbito de aplicación de diferentes instrumentos del Derecho de la Unión, en particular teniendo en cuenta el uso y la percepción de sus destinatarios, los sistemas de IA sujetos al presente Reglamento pueden prestarse como servicios intermediarios, o partes de estos, en el sentido del Reglamento (UE) 2022/2065, que debe interpretarse de manera tecnológicamente neutra. Por ejemplo, los sistemas de IA pueden utilizarse para ofrecer motores de búsqueda en línea, en particular en la medida en que un sistema de IA, como un chatbot en línea, efectúe búsquedas, en principio, en todos los sitios web, incorpore a continuación los resultados a sus conocimientos existentes y utilice los conocimientos actualizados para generar una única información de salida que combine diferentes fuentes de información.

(120)

Además, las obligaciones impuestas a los proveedores y a los responsables del despliegue de determinados sistemas de IA en el presente Reglamento destinadas a permitir que se detecte y divulgue que los resultados de salida de dichos sistemas han sido generados o manipulados de manera artificial resultan especialmente pertinentes para facilitar la aplicación efectiva del Reglamento (UE) 2022/2065. Esto se aplica en particular a las obligaciones de los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño de detectar y mitigar los riesgos sistémicos que pueden surgir de la divulgación de contenidos que hayan sido generados o manipulados de manera artificial, en particular el riesgo de los efectos negativos reales o previsibles sobre los procesos democráticos, el discurso cívico y los procesos electorales, también a través de la desinformación.

(121)

La normalización debe desempeñar un papel fundamental para proporcionar soluciones técnicas a los proveedores para garantizar el cumplimiento del presente Reglamento, en consonancia con el estado actual de la técnica, para promover la innovación, así como la competitividad y el crecimiento en el mercado único. El cumplimiento de las normas armonizadas definidas en el artículo 2, punto 1, letra c), del Reglamento (UE) nº 1025/2012 del Parlamento Europeo y del Consejo (41), que generalmente se espera que reflejen el estado actual de la técnica, debe ser un medio para que los proveedores demuestren la conformidad con los requisitos previstos en el presente Reglamento. Por consiguiente, debe fomentarse una representación equilibrada de los intereses de todas las partes interesadas pertinentes —en particular las pymes, las organizaciones de consumidores y las partes interesadas de los ámbitos social y medioambiental— en la elaboración de normas, de conformidad con los artículos 5 y 6 del Reglamento (UE) nº 1025/2012. A fin de facilitar el cumplimiento, la Comisión debe emitir las peticiones de normalización sin demora indebida. Al preparar la petición de normalización, la Comisión debe consultar al foro consultivo y al Consejo de IA para recabar los conocimientos especializados pertinentes. No obstante, a falta de referencias pertinentes a las normas armonizadas, la Comisión debe poder establecer, mediante actos de ejecución y previa consulta al foro consultivo, especificaciones comunes para determinados requisitos previstos en el presente Reglamento. Las especificaciones comunes deben ser una solución alternativa excepcional para facilitar la obligación del proveedor de cumplir los requisitos del presente Reglamento cuando ninguna de las organizaciones europeas de normalización haya aceptado la petición de normalización, cuando las normas armonizadas pertinentes respondan de forma insuficiente a las preocupaciones en materia de derechos fundamentales, cuando las normas armonizadas no cumplan la petición o cuando se produzcan retrasos en la adopción de una norma armonizada adecuada. Cuando dichos retrasos en la adopción de una norma armonizada se deban a la complejidad técnica de dicha norma, la Comisión debe tenerlo en cuenta antes de considerar la posibilidad de establecer especificaciones comunes. Se anima a la Comisión a que, a la hora de elaborar especificaciones comunes, coopere con los socios internacionales y los organismos internacionales de normalización.

(122)

Conviene que, sin perjuicio del uso de normas armonizadas y especificaciones comunes, se presuma que los proveedores de un sistema de IA de alto riesgo que haya sido entrenado y probado con datos que reflejan el entorno geográfico, conductual, contextual o funcional específico en el que esté previsto que se utilice el sistema de IA cumplen la medida pertinente prevista en el requisito en materia de gobernanza de datos establecido en el presente Reglamento. Sin perjuicio de los requisitos relacionados con la solidez y la precisión establecidos en el presente Reglamento, de conformidad con el artículo 54, apartado 3, del Reglamento (UE) 2019/881, debe presumirse que los sistemas de IA de alto riesgo que cuenten con una certificación o una declaración de conformidad en virtud de un esquema de certificación de la ciberseguridad con arreglo a dicho Reglamento y cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea cumplen el requisito de ciberseguridad del presente Reglamento en la medida en que el certificado de ciberseguridad o la declaración de conformidad, o partes de estos, contemplen dicho requisito. Esto se entiende sin perjuicio del carácter voluntario de dicho esquema de ciberseguridad.

(123)

A fin de garantizar que los sistemas de IA de alto riesgo sean altamente fiables, debe someterse a dichos sistemas a una evaluación de la conformidad antes de su introducción en el mercado o puesta en servicio.

(124)

Para reducir al mínimo la carga que deben soportar los operadores y evitar posibles duplicidades, conviene, en el caso de los sistemas de IA de alto riesgo asociados a productos regulados por la legislación de armonización de la Unión vigente basada en el nuevo marco legislativo, que la conformidad de dichos sistemas de IA con los requisitos establecidos en el presente Reglamento se evalúe en el marco de la evaluación de la conformidad ya prevista en dicha legislación. Por lo tanto, la aplicabilidad de los requisitos del presente Reglamento no debe afectar a la lógica, la metodología o la estructura general específicas de la evaluación de la conformidad prevista en los actos legislativos de armonización pertinentes de la Unión.

(125)

Dada la complejidad de los sistemas de IA de alto riesgo y los riesgos asociados a ellos, es importante desarrollar un procedimiento adecuado de evaluación de la conformidad de los sistemas de IA de alto riesgo en el que participen organismos notificados, denominado «evaluación de la conformidad de terceros». No obstante, habida cuenta de la experiencia actual de los profesionales que realizan la certificación previa a la comercialización en el campo de la seguridad de los productos y de la distinta naturaleza de los riesgos implicados, procede limitar, al menos en la fase inicial de aplicación del presente Reglamento, el alcance de las evaluaciones externas de la conformidad a los sistemas de IA de alto riesgo que no están asociados a productos. En consecuencia, el proveedor es quien, por norma general, debe llevar a cabo la evaluación de la conformidad de dichos sistemas bajo su propia responsabilidad, con la única excepción de los sistemas de IA que están destinados a utilizarse para la biometría.

(126)

Para poder realizar las evaluaciones de la conformidad de terceros cuando así se les exija, las autoridades nacionales competentes deben notificar, en virtud del presente Reglamento, a los organismos notificados, siempre que cumplan una serie de requisitos, en particular en lo que respecta a su independencia, sus competencias y la ausencia de conflictos de intereses, así como requisitos adecuados de ciberseguridad. Las autoridades nacionales competentes deben enviar la notificación de dichos organismos a la Comisión y a los demás Estados miembros a través del sistema de notificación electrónica desarrollado y gestionado por la Comisión con arreglo a lo dispuesto en el artículo R23 del anexo I de la Decisión nº 768/2008/CE.

(127)

En consonancia con los compromisos contraídos por la Unión en virtud del Acuerdo sobre Obstáculos Técnicos al Comercio, de la Organización Mundial del Comercio, es adecuado facilitar el reconocimiento mutuo de los resultados de las evaluaciones de la conformidad realizadas por organismos de evaluación de la conformidad competentes, con independencia del territorio en el que estén establecidos, siempre que dichos organismos de evaluación de la conformidad establecidos con arreglo al Derecho de un tercer país cumplan los requisitos aplicables del presente Reglamento y la Unión haya celebrado un acuerdo en ese sentido. En este contexto, la Comisión debe estudiar activamente posibles instrumentos internacionales a tal efecto y, en particular, procurar celebrar acuerdos de reconocimiento mutuo con terceros países.

(128)

En consonancia con el concepto comúnmente establecido de «modificación sustancial» de los productos regulados por los actos legislativos de armonización de la Unión, conviene que, cada vez que se produzca un cambio que pueda afectar al cumplimiento del presente Reglamento por parte de un sistema de IA de alto riesgo (por ejemplo, un cambio de sistema operativo o de arquitectura de software) o cuando cambie la finalidad prevista del sistema, dicho sistema de IA se considere un sistema de IA nuevo que debe someterse a una nueva evaluación de la conformidad. Sin embargo, los cambios que se produzcan en el algoritmo y en el funcionamiento de los sistemas de IA que sigan «aprendiendo» después de su introducción en el mercado o su puesta en servicio, a saber, adaptando automáticamente el modo en que desempeñan sus funciones, no deben constituir una modificación sustancial, siempre que dichos cambios hayan sido predeterminados por el proveedor y se hayan evaluado en el momento de la evaluación de la conformidad.

(129)

Los sistemas de IA de alto riesgo deben llevar el marcado CE para acreditar su conformidad con el presente Reglamento y así poder circular libremente por el mercado interior. En el caso de los sistemas de IA de alto riesgo integrados en un producto, se debe colocar un marcado CE físico, que puede complementarse con un marcado CE digital. En el caso de los sistemas de IA de alto riesgo que solo se proporcionen digitalmente, debe utilizarse un marcado CE digital. Los Estados miembros no deben crear obstáculos injustificados a la introducción en el mercado o la puesta en servicio de sistemas de IA de alto riesgo que cumplan los requisitos establecidos en el presente Reglamento y lleven el marcado CE.

(130)

En determinadas condiciones, la rápida disponibilidad de tecnologías innovadoras puede ser crucial para la salud y la seguridad de las personas, la protección del medio ambiente y la mitigación del cambio climático, y para la sociedad en su conjunto. Por consiguiente, resulta oportuno que las autoridades de vigilancia del mercado puedan autorizar, por motivos excepcionales de seguridad pública o con vistas a proteger la vida y la salud de personas físicas, el medio ambiente y activos fundamentales de la industria y de las infraestructuras, la introducción en el mercado o la puesta en servicio de sistemas de IA que no hayan sido sometidos a una evaluación de la conformidad. En situaciones debidamente justificadas previstas en el presente Reglamento, las autoridades garantes del cumplimiento del Derecho o las autoridades de protección civil podrán poner en servicio un sistema de IA de alto riesgo específico sin la autorización de la autoridad de vigilancia del mercado, siempre que se solicite la autorización durante el uso o después de este sin demora indebida.

(131)

Con el objetivo de facilitar la labor de la Comisión y de los Estados miembros en el ámbito de la IA, así como de incrementar la transparencia de cara al público, debe exigirse a los proveedores de sistemas de IA de alto riesgo que no estén asociados a productos que entren dentro del ámbito de aplicación de los actos legislativos de armonización de la Unión que sean pertinentes y estén en vigor, y a los proveedores que consideren que alguno de los sistemas de IA enumerados en los casos de uso de alto riesgo en un anexo del presente Reglamento no es de alto riesgo sobre la base de una excepción que se registren y que registren información sobre sus sistemas de IA en una base de datos de la UE, de cuya creación y gestión se encargará la Comisión. Antes de utilizar tal sistema de IA enumerado en los casos de uso de alto riesgo en un anexo del presente Reglamento, los responsables del despliegue de sistemas de IA de alto riesgo que sean autoridades, órganos u organismos públicos deben registrarse en dicha base de datos y seleccionar el sistema que tengan previsto utilizar. Los demás responsables del despliegue deben poder efectuar dicho registro con carácter voluntario. Esta sección de la base de datos de la UE debe ser de acceso público y gratuito, debe ser fácil navegar por la información, y esta ha de ser comprensible y legible por máquina. La base de datos de la UE también debe ser fácil de utilizar, por ejemplo, proporcionando funcionalidades de búsqueda, también a través de palabras clave, que permitan al público en general encontrar la información que debe presentarse para el registro de los sistemas de IA de alto riesgo y relativa a los casos de uso de sistemas de IA de alto riesgo contemplados en un anexo del presente Reglamento, a la que corresponden los sistemas de IA de alto riesgo. También debe registrarse en la base de datos de la UE toda modificación sustancial de sistemas de IA de alto riesgo. En el caso de los sistemas de IA de alto riesgo en el ámbito de la garantía del cumplimiento del Derecho y de la gestión de la migración, el asilo y el control fronterizo, las obligaciones de registro deben cumplirse en una sección segura no pública de la base de datos de la UE. El acceso a esa sección debe limitarse estrictamente a la Comisión y a las autoridades de vigilancia del mercado en lo que respecta a su sección nacional de dicha base de datos. Los sistemas de IA de alto riesgo en el ámbito de las infraestructuras críticas solo deben registrarse a nivel nacional. La Comisión debe ser la responsable del tratamiento de la base de datos de la UE, de conformidad con el Reglamento (UE) 2018/1725. Con vistas a garantizar la funcionalidad plena de la base de datos de la UE una vez que esté en funcionamiento, el procedimiento para su creación debe comprender el desarrollo de especificaciones funcionales por parte de la Comisión y la redacción de un informe de auditoría independiente. Al ejercer sus funciones como responsable del tratamiento de la base de datos de la UE, la Comisión debe tener en cuenta los riesgos de ciberseguridad. Con el fin de maximizar la disponibilidad y el uso de la base de datos de la UE por parte del público, la base de datos de la UE y la información facilitada a través de ella deben cumplir los requisitos establecidos en la Directiva (UE) 2019/882.

(132)

Determinados sistemas de IA destinados a interactuar con personas físicas o a generar contenidos pueden plantear riesgos específicos de suplantación o engaño, con independencia de si cumplen las condiciones para ser considerados como de alto riesgo o no. Por consiguiente, el uso de estos sistemas debe estar sujeto, en determinadas circunstancias, a obligaciones de transparencia específicas, sin perjuicio de los requisitos y las obligaciones aplicables a los sistemas de IA de alto riesgo y a excepciones específicas a fin de tener en cuenta las necesidades especiales de la garantía del cumplimiento del Derecho. En particular, es preciso comunicar a las personas físicas que están interactuando con un sistema de IA, excepto cuando resulte evidente desde el punto de vista de una persona física normalmente informada y razonablemente atenta y perspicaz, teniendo en cuenta las circunstancias y el contexto de utilización. Al aplicar dicha obligación, deben tenerse en cuenta las características de las personas físicas pertenecientes a colectivos vulnerables debido a su edad o discapacidad en la medida en que el sistema de IA esté destinado a interactuar también con dichos colectivos. Además, es preciso notificar a las personas físicas cuando estén expuestas a sistemas de IA que, mediante el tratamiento de sus datos biométricos, puedan determinar o inferir sus emociones o intenciones o incluirlas en categorías específicas. Estas categorías específicas pueden referirse a aspectos como el sexo, la edad, el color del pelo, el color de ojos, los tatuajes, los rasgos personales, el origen étnico o las preferencias e intereses personales. Esta información y estas notificaciones deben facilitarse en formatos accesibles a las personas con discapacidad.

(133)

Una diversidad de sistemas de IA puede generar grandes cantidades de contenidos sintéticos que para las personas cada vez es más difícil distinguir del contenido auténtico generado por seres humanos. La amplia disponibilidad y las crecientes capacidades de dichos sistemas tienen importantes repercusiones en la integridad del ecosistema de la información y en la confianza en este, haciendo surgir nuevos riesgos de desinformación y manipulación a escala, fraude, suplantación de identidad y engaño a los consumidores. En vista de estos efectos, el rápido desarrollo tecnológico y la necesidad de nuevos métodos y técnicas para asegurar la trazabilidad del origen de la información, procede exigir a los proveedores de tales sistemas que integren soluciones técnicas que permitan marcar, en un formato legible por máquina, y detectar que el resultado de salida ha sido generado o manipulado por un sistema de IA y no por un ser humano. Dichas técnicas y métodos deben ser lo suficientemente fiables, interoperables, eficaces y sólidos, en la medida en que sea técnicamente viable, teniendo en cuenta las técnicas disponibles o una combinación de dichas técnicas, como marcas de agua, identificación de metadatos, métodos criptográficos para demostrar la procedencia y la autenticidad del contenido, métodos de registro, impresiones dactilares u otras técnicas, según proceda. A la hora de aplicar esta obligación, los proveedores también deben tener en cuenta las especificidades y las limitaciones de los diferentes tipos de contenidos y los avances tecnológicos y del mercado pertinentes en ese ámbito, tal como se refleja en el estado de la técnica generalmente reconocido. Dichas técnicas y métodos pueden implantarse a nivel de sistema de IA o a nivel de modelo de IA, incluidos modelos de IA de uso general que generan contenidos, facilitando así el cumplimiento de esta obligación por parte del proveedor posterior del sistema de IA. Para garantizar la proporcionalidad, conviene prever que esta obligación de marcado no se aplique a los sistemas de IA que desempeñen una función de apoyo a la edición estándar o no alteren sustancialmente los datos de entrada facilitados por el responsable del despliegue o su semántica.

(134)

Además de las soluciones técnicas utilizadas por los proveedores del sistema de IA, los responsables del despliegue que utilicen un sistema de IA para generar o manipular un contenido de imagen, audio o vídeo generado o manipulado por una IA que se asemeje notablemente a personas, objetos, lugares, entidades o sucesos reales y que puede inducir a una persona a pensar erróneamente que son auténticos o verídicos (ultrasuplantaciones) deben también hacer público, de manera clara y distinguible, que este contenido ha sido creado o manipulado de manera artificial etiquetando los resultados de salida generados por la IA en consecuencia e indicando su origen artificial. El cumplimiento de esta obligación de transparencia no debe interpretarse como un indicador de que la utilización del sistema de IA o de sus resultados de salida obstaculiza el derecho a la libertad de expresión y el derecho a la libertad de las artes y de las ciencias, garantizados por la Carta, en particular cuando el contenido forme parte de una obra o programa manifiestamente creativos, satíricos, artísticos, de ficción o análogos, con sujeción a unas garantías adecuadas para los derechos y libertades de terceros. En tales casos, la obligación de transparencia en relación con las ultrasuplantaciones establecida en el presente Reglamento se limita a revelar la existencia de tales contenidos generados o manipulados de una manera adecuada que no obstaculice la presentación y el disfrute de la obra, también su explotación y uso normales, al tiempo que se conservan la utilidad y la calidad de la obra. Además, también conviene prever una obligación de divulgación similar en relación con el texto generado o manipulado por una IA en la medida en que se publique con el fin de informar al público sobre asuntos de interés público, a menos que el contenido generado por la IA haya sido sometido a un proceso de revisión humana o de control editorial y que una persona física o jurídica ejerza la responsabilidad editorial de la publicación del contenido.

(135)

Sin perjuicio del carácter obligatorio y de la plena aplicabilidad de las obligaciones de transparencia, la Comisión podrá también fomentar y facilitar la elaboración de códigos de buenas prácticas a escala de la Unión, a fin de facilitar la aplicación eficaz de las obligaciones en materia de detección y etiquetado de contenidos generados o manipulados de manera artificial, también para apoyar disposiciones prácticas para que, según proceda, los mecanismos de detección sean accesibles y facilitar la cooperación con otros agentes de la cadena de valor, difundiendo los contenidos o comprobando su autenticidad y procedencia, a fin de que el público pueda distinguir efectivamente los contenidos generados por IA.

(136)

Las obligaciones impuestas a los proveedores y a los responsables del despliegue de determinados sistemas de IA en el presente Reglamento destinadas a permitir que se detecte y divulgue que los resultados de salida de dichos sistemas han sido generados o manipulados de manera artificial resultan especialmente pertinentes para facilitar la aplicación efectiva del Reglamento (UE) 2022/2065. Esto se aplica en particular en lo referente a las obligaciones de los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño para detectar y mitigar los riesgos sistémicos que pueden surgir de la divulgación de contenidos que hayan sido generados o manipulados de manera artificial, en particular el riesgo de los efectos negativos reales o previsibles sobre los procesos democráticos, el discurso cívico y los procesos electorales, como a través de la desinformación. La exigencia de etiquetar los contenidos generados por sistemas de IA con arreglo al presente Reglamento se entiende sin perjuicio de la obligación prevista en el artículo 16, apartado 6, del Reglamento (UE) 2022/2065 para los prestadores de servicios de alojamiento de datos de tratar las notificaciones que reciban sobre contenidos ilícitos en virtud del artículo 16, apartado 1, de dicho Reglamento, y no debe influir en la evaluación y la decisión sobre el carácter ilícito del contenido de que se trate. Dicha evaluación debe realizarse únicamente con referencia a las normas que rigen la legalidad del contenido.

(137)

El cumplimiento de las obligaciones de transparencia aplicables a los sistemas de IA que entran en el ámbito de aplicación del presente Reglamento no debe interpretarse como un indicador de que la utilización del sistema de IA o de sus resultados de salida es lícito en virtud del presente Reglamento o de otras disposiciones del Derecho de la Unión y de los Estados miembros, y debe entenderse sin perjuicio de otras obligaciones de transparencia aplicables a los responsables del despliegue de sistemas de IA establecidas en el Derecho de la Unión o nacional.

(138)

La IA es una familia de tecnologías de rápida evolución que requiere vigilancia regulatoria y un espacio seguro y controlado para la experimentación, así como que se garantice la innovación responsable y la integración de salvaguardias éticas y medidas de reducción de riesgos adecuadas. Para conseguir un marco jurídico que promueva la innovación, resista el paso del tiempo y sea resiliente a las perturbaciones, los Estados miembros deben velar por que sus autoridades nacionales competentes establezcan al menos un espacio controlado de pruebas para la IA a escala nacional que facilite el desarrollo y la prueba de sistemas de IA innovadores bajo una estricta vigilancia regulatoria antes de su introducción en el mercado o puesta en servicio. Los Estados miembros también podrían cumplir esta obligación participando en los espacios controlados de pruebas ya existentes o estableciendo un espacio de pruebas conjuntamente con las autoridades competentes de uno o varios Estados miembros, en la medida en que dicha participación proporcione un nivel de cobertura nacional equivalente para los Estados miembros participantes. Los espacios controlados de pruebas para la IA podrían establecerse de forma física, digital o híbrida y podrán albergar productos tanto físicos como digitales. Las autoridades que los creen deben también garantizar que los espacios controlados de pruebas para la IA dispongan de recursos adecuados para su funcionamiento, incluidos recursos financieros y humanos.

(139)

Los espacios controlados de pruebas para la IA deben tener los objetivos de impulsar la innovación en el ámbito de la IA estableciendo un entorno de experimentación y prueba controlado en la fase de desarrollo y previa a la comercialización, con vistas a garantizar que los sistemas de IA innovadores cumplan lo dispuesto en el presente Reglamento y en otras disposiciones pertinentes del Derecho de la Unión y nacional. Además, los espacios controlados de pruebas para la IA deben tener por objeto mejorar la seguridad jurídica de que gozan los innovadores y favorecer la vigilancia de las autoridades competentes y su entendimiento de las oportunidades, los riesgos emergentes y las consecuencias del uso de la IA, de facilitar el aprendizaje normativo de las autoridades y empresas, también con vistas a futuras adaptaciones del marco jurídico, de apoyar la cooperación y el intercambio de mejores prácticas con las autoridades que intervienen en el espacio controlado de pruebas y de acelerar el acceso a los mercados, también eliminando los obstáculos para las pequeñas y medianas empresas, incluidas las empresas emergentes. Los espacios controlados de pruebas para la IA deben estar ampliamente disponibles en toda la Unión y debe prestarse especial atención a que sean accesibles para las pymes, incluidas las empresas emergentes. La participación en el espacio controlado de pruebas para la IA debe centrarse en cuestiones que generen inseguridad jurídica y que, por lo tanto, dificulten que los proveedores y los proveedores potenciales innoven y experimenten con la IA en la Unión y contribuir a un aprendizaje normativo basado en datos contrastados. Por consiguiente, la supervisión de los sistemas de IA en el espacio controlado de pruebas para la IA debe comprender su desarrollo, entrenamiento, prueba y validación antes de su introducción en el mercado o puesta en servicio, así como el concepto de «modificación sustancial» y su materialización, que puede hacer necesario un nuevo procedimiento de evaluación de la conformidad. Cualquier riesgo significativo detectado durante el proceso de desarrollo y prueba de estos sistemas de IA debe dar lugar a la adopción de medidas de reducción adecuadas y, en su defecto, a la suspensión del proceso de desarrollo y prueba. Cuando proceda, las autoridades nacionales competentes que establezcan espacios controlados de pruebas para la IA deben cooperar con otras autoridades pertinentes, incluidas las que supervisan la protección de los derechos fundamentales, y pueden dar cabida a otros agentes del ecosistema de la IA, como organizaciones de normalización nacionales o europeas, organismos notificados, instalaciones de ensayo y experimentación, laboratorios de investigación y experimentación, centros europeos de innovación digital y organizaciones de partes interesadas y de la sociedad civil pertinentes. Para garantizar una aplicación uniforme en toda la Unión y conseguir economías de escala, resulta oportuno establecer normas comunes para la creación de espacios controlados de pruebas para la IA, así como un marco para la cooperación entre las autoridades pertinentes implicadas en la supervisión de dichos espacios. Los espacios controlados de pruebas para la IA establecidos en virtud del presente Reglamento deben entenderse sin perjuicio de otros actos legislativos que permitan el establecimiento de otros espacios controlados de pruebas encaminados a garantizar el cumplimiento de actos legislativos distintos del presente Reglamento. Cuando proceda, las autoridades competentes pertinentes encargadas de esos otros espacios controlados de pruebas deben ponderar las ventajas de utilizarlos también con el fin de garantizar el cumplimiento del presente Reglamento por parte de los sistemas de IA. Previo acuerdo entre las autoridades nacionales competentes y los participantes en el espacio controlado de pruebas para la IA, las pruebas en condiciones reales también podrán gestionarse y supervisarse en el marco del espacio controlado de pruebas para la IA.

(140)

El presente Reglamento debe proporcionar la base jurídica para que los proveedores y los proveedores potenciales en el espacio controlado de pruebas para la IA utilicen datos personales recabados para otros fines para desarrollar determinados sistemas de IA en favor del interés público en el espacio controlado de pruebas para la IA, únicamente en determinadas condiciones, de conformidad con el artículo 6, apartado 4, y el artículo 9, apartado 2, letra g), del Reglamento (UE) 2016/679 y los artículos 5, 6 y 10 del Reglamento (UE) 2018/1725, y sin perjuicio de lo dispuesto en el artículo 4, apartado 2, y el artículo 10 de la Directiva (UE) 2016/680. Siguen siendo aplicables las demás obligaciones de los responsables del tratamiento y los derechos de los interesados en virtud del Reglamento (UE) 2016/679, el Reglamento (UE) 2018/1725 y la Directiva (UE) 2016/680. En particular, el presente Reglamento no debe ofrecer una base jurídica en el sentido del artículo 22, apartado 2, letra b), del Reglamento (UE) 2016/679 y del artículo 24, apartado 2, letra b), del Reglamento (UE) 2018/1725. Los proveedores y los proveedores potenciales en el espacio controlado de pruebas para la IA deben proporcionar las garantías adecuadas y cooperar con las autoridades competentes, también siguiendo sus indicaciones y actuando con rapidez y de buena fe para mitigar adecuadamente cualquier riesgo considerable para la seguridad, la salud y los derechos fundamentales que se detecte y pueda surgir durante el desarrollo, las pruebas y la experimentación en dicho espacio.

(141)

A fin de acelerar el proceso de desarrollo e introducción en el mercado de los sistemas de IA de alto riesgo enumerados en un anexo del presente Reglamento, es importante que los proveedores o proveedores potenciales de dichos sistemas también puedan beneficiarse de un régimen específico para probar dichos sistemas en condiciones reales, sin participar en un espacio controlado de pruebas para la IA. No obstante, en tales casos, teniendo en cuenta las posibles consecuencias de dichas pruebas para las personas físicas, debe garantizarse que el Reglamento establezca garantías y condiciones adecuadas y suficientes para los proveedores o proveedores potenciales. Estas garantías deben incluir, entre otras cosas, la solicitud del consentimiento informado de las personas físicas para participar en pruebas en condiciones reales, salvo en lo que respecta a la garantía del cumplimiento del Derecho cuando intentar obtener el consentimiento informado impediría que se probara el sistema de IA. El consentimiento de los sujetos para participar en tales pruebas en virtud del presente Reglamento es distinto del consentimiento de los interesados para el tratamiento de sus datos personales con arreglo al Derecho pertinente en materia de protección de datos y se entiende sin perjuicio de este. También es importante reducir al mínimo los riesgos y permitir la supervisión por parte de las autoridades competentes y, por tanto, exigir a los proveedores potenciales que presenten a la autoridad de vigilancia del mercado competente un plan de la prueba en condiciones reales, registren la prueba en las secciones específicas de la base de datos de la UE, sin perjuicio de algunas excepciones limitadas, establezcan limitaciones sobre el período durante el que puede llevarse a cabo la prueba y exijan garantías adicionales para las personas pertenecientes a determinados colectivos vulnerables, así como un acuerdo por escrito que defina las funciones y responsabilidades de los proveedores potenciales y de los responsables del despliegue y una supervisión eficaz por parte de personal competente que intervenga en la prueba en condiciones reales. Además, conviene prever garantías adicionales para asegurarse de que sea posible revertir efectivamente y descartar las predicciones, recomendaciones o decisiones del sistema de IA y de que los datos personales se protejan y se supriman cuando los sujetos retiren su consentimiento a participar en la prueba, sin perjuicio de sus derechos como interesados en virtud del Derecho de la Unión en materia de protección de datos. Por lo que respecta a la transferencia de datos, conviene también prever que los datos recopilados y tratados a efectos de las pruebas en condiciones reales solo deben transferirse a terceros países cuando existan garantías adecuadas y aplicables con arreglo al Derecho de la Unión, en particular, de conformidad con las bases para la transferencia de datos personales previstas en el Derecho de la Unión en materia de protección de datos y, en lo referente a los datos no personales, existan garantías adecuadas con arreglo al Derecho de la Unión, como los Reglamentos (UE) 2022/868 (42) y (UE) 2023/2854 (43) del Parlamento Europeo y del Consejo.

(142)

A fin de garantizar que la IA conduzca a resultados positivos desde el punto de vista social y medioambiental, se anima a los Estados miembros a que respalden y promuevan la investigación y el desarrollo de soluciones de IA en apoyo a tales resultados, como soluciones basadas en la IA para aumentar la accesibilidad para las personas con discapacidad, atajar desigualdades socioeconómicas o cumplir los objetivos en materia de medio ambiente, asignando recursos suficientes, incluidos fondos públicos y de la Unión, y, cuando proceda y siempre que se cumplan los criterios de admisibilidad y selección, teniendo en consideración especialmente proyectos que persigan tales objetivos. Dichos proyectos deben basarse en el principio de cooperación interdisciplinaria entre desarrolladores de IA, expertos en desigualdad y no discriminación, en accesibilidad y en derechos del consumidor, medioambientales y digitales, así como representantes del mundo académico.

(143)

Para promover y proteger la innovación, es importante tener en particular consideración los intereses de las pymes, incluidas las empresas emergentes, que sean proveedores o responsables del despliegue de sistemas de IA. A tal fin, los Estados miembros deben desarrollar iniciativas en materia de concienciación y comunicación de información, entre otros aspectos, dirigidas a dichos operadores. Los Estados miembros deben proporcionar a las pymes, incluidas las empresas emergentes, que tengan un domicilio social o una sucursal en la Unión, un acceso prioritario a los espacios controlados de pruebas para la IA, siempre que cumplan las condiciones de admisibilidad y los criterios de selección y sin impedir que otros proveedores y proveedores potenciales accedan a los espacios controlados de pruebas, siempre que se cumplan las mismas condiciones y criterios. Los Estados miembros deben utilizar los canales existentes y establecer, cuando proceda, nuevos canales de comunicación específicos con las pymes, incluidos las empresas emergentes, los responsables del despliegue, otros innovadores y, cuando proceda, las autoridades públicas locales, para apoyar a las pymes durante toda su trayectoria de desarrollo ofreciendo orientaciones y respondiendo a las preguntas sobre la aplicación del presente Reglamento. Cuando proceda, estos canales deben trabajar juntos para crear sinergias y garantizar la homogeneidad de sus orientaciones para las pymes, incluidas las empresas emergentes, y los responsables del despliegue. Además, los Estados miembros deben fomentar la participación de las pymes y otras partes interesadas pertinentes en los procesos de desarrollo de la normalización. Asimismo, los organismos notificados deben tener en cuenta las necesidades y los intereses específicos de los proveedores que sean pymes, incluidas las empresas emergentes, cuando establezcan las tasas aplicables a las evaluaciones de la conformidad. La Comisión debe evaluar periódicamente los costes de la certificación y el cumplimiento para las pymes, incluidas las empresas emergentes, a través de consultas transparentes, y debe trabajar con los Estados miembros para reducir dichos costes. Por ejemplo, los costes de traducción ligados a la documentación obligatoria y a la comunicación con las autoridades pueden ser considerables para los proveedores y otros operadores, en particular para los de menor tamaño. En la medida de lo posible, los Estados miembros deben velar por que una de las lenguas en las que acepten que los proveedores presenten la documentación pertinente y que pueda usarse para la comunicación con los operadores sea ampliamente conocida por el mayor número posible de responsables del despliegue transfronterizos. A fin de abordar las necesidades específicas de las pymes, incluidas las empresas emergentes, la Comisión debe proporcionar modelos normalizados para los ámbitos regulados por el presente Reglamento, previa solicitud del Consejo de IA. Además, la Comisión debe complementar los esfuerzos de los Estados miembros proporcionando una plataforma única de información con información fácil de utilizar sobre el presente Reglamento para todos los proveedores y responsables del despliegue, organizando campañas de comunicación adecuadas para sensibilizar sobre las obligaciones derivadas del presente Reglamento y evaluando y fomentando la convergencia de las mejores prácticas en los procedimientos de contratación pública en relación con los sistemas de IA. Las medianas empresas que hace poco se consideraban pequeñas empresas en el sentido del anexo de la Recomendación 2003/361/CE de la Comisión (44) deben tener acceso a esas medidas de apoyo, ya que dichas nuevas medianas empresas a veces pueden carecer de los recursos jurídicos y la formación necesarios para garantizar la comprensión y el cumplimiento adecuados del presente Reglamento.

(144)

Con el fin de promover y proteger la innovación, la plataforma de IA a la carta y todos los programas y proyectos de financiación de la Unión pertinentes, como el programa Europa Digital u Horizonte Europa, ejecutados por la Comisión y los Estados miembros a escala nacional o de la Unión deben, cuando proceda, contribuir a la consecución de los objetivos del presente Reglamento.

(145)

A fin de reducir al mínimo los riesgos para la aplicación derivados de la falta de conocimientos y experiencia en el mercado, y con el objetivo de facilitar que los proveedores, en particular las pymes, incluidas las empresas emergentes, y los organismos notificados cumplan las obligaciones que les impone el presente Reglamento, la plataforma de IA a la carta, los centros europeos de innovación digital y las instalaciones de ensayo y experimentación establecidos por la Comisión y los Estados miembros a escala nacional o de la Unión deben contribuir a la aplicación de este Reglamento. En concreto, la plataforma de IA a la carta, los centros europeos de innovación digital y las instalaciones de ensayo y experimentación son capaces de proporcionar a los proveedores y organismos notificados asistencia técnica y científica dentro de sus respectivas misiones y esferas de competencia.

(146)

Además, a la luz del tamaño muy pequeño de algunos operadores y con el fin de garantizar la proporcionalidad en relación con los costes de innovación, conviene permitir que las microempresas cumplan una de las obligaciones más costosas, a saber, la de establecer un sistema de gestión de la calidad, de manera simplificada, lo que reduciría la carga administrativa y los costes para dichas empresas sin afectar al nivel de protección ni a la necesidad de cumplir los requisitos aplicables a los sistemas de IA de alto riesgo. La Comisión debe elaborar directrices para especificar los elementos del sistema de gestión de la calidad que las microempresas deben cumplir de esta manera simplificada.

(147)

Resulta adecuado que la Comisión facilite, en la medida de lo posible, el acceso a las instalaciones de ensayo y experimentación a organismos, grupos o laboratorios establecidos o acreditados con arreglo a la legislación de armonización de la Unión pertinente y que realicen tareas en el marco de la evaluación de la conformidad de productos o dispositivos regulados por dicha legislación. Tal es el caso, en particular, en lo que respecta a los paneles de expertos, los laboratorios especializados y los laboratorios de referencia en el ámbito de los productos sanitarios, de conformidad con los Reglamentos (UE) 2017/745 y (UE) 2017/746.

(148)

El presente Reglamento debe establecer un marco de gobernanza que permita tanto coordinar y apoyar su aplicación a escala nacional, como desarrollar capacidades a escala de la Unión e integrar a las partes interesadas en el ámbito de la IA. La aplicación y el cumplimiento efectivos del presente Reglamento requieren un marco de gobernanza que permita coordinar y adquirir conocimientos especializados centrales a escala de la Unión. La Oficina de IA se creó mediante Decisión de la Comisión (45) y tiene como misión desarrollar conocimientos especializados y capacidades de la Unión en el ámbito de la IA y contribuir a la aplicación del Derecho de la Unión en materia de IA. Los Estados miembros deben facilitar las tareas de la Oficina de IA con vistas a apoyar el desarrollo de conocimientos especializados y capacidades a escala de la Unión y a fortalecer el funcionamiento del mercado único digital. Además, debe crearse un Consejo de IA compuesto por representantes de los Estados miembros, un grupo de expertos científicos para integrar a la comunidad científica y un foro consultivo para facilitar las aportaciones de las partes interesadas a la aplicación del presente Reglamento, a escala de la Unión y nacional. El desarrollo de conocimientos especializados y capacidades de la Unión también debe incluir la utilización de los recursos y conocimientos especializados existentes, en particular a través de sinergias con estructuras creadas en el contexto de la aplicación a escala de la Unión de otros actos legislativos y de sinergias con iniciativas conexas a escala de la Unión, como la Empresa Común EuroHPC y las instalaciones de ensayo y experimentación de IA en el marco del programa Europa Digital.

(149)

Debe establecerse un Consejo de IA que facilite la aplicación fluida, efectiva y armonizada del presente Reglamento. El Consejo de IA debe reflejar los diversos intereses del ecosistema de la IA y estar formado por representantes de los Estados miembros. El Consejo de IA debe encargarse de diversas tareas de asesoramiento. Entre otras cosas, debe emitir dictámenes, recomendaciones e informes de asesoramiento o contribuir a orientaciones sobre asuntos relacionados con la aplicación de este Reglamento, también en lo que respecta la ejecución, las especificaciones técnicas o las normas existentes en relación con los requisitos previstos en el presente Reglamento, y asesorar a la Comisión y a los Estados miembros, así como a sus autoridades nacionales competentes, en cuestiones específicas vinculadas a la IA. Con el fin de dar cierta flexibilidad a los Estados miembros en la designación de sus representantes en el Consejo de IA, cualquier persona perteneciente a una entidad pública que tenga las competencias y facultades pertinentes para facilitar la coordinación a escala nacional y contribuir al cumplimiento de las funciones del Consejo de IA podrá ser designada representante. El Consejo de IA debe establecer dos subgrupos permanentes a fin de proporcionar una plataforma de cooperación e intercambio entre las autoridades de vigilancia del mercado y las autoridades notificantes sobre cuestiones relacionadas, respectivamente, con la vigilancia del mercado y los organismos notificados. El subgrupo permanente de vigilancia del mercado debe actuar como grupo de cooperación administrativa (ADCO) para el presente Reglamento en el sentido del artículo 30 del Reglamento (UE) 2019/1020. De conformidad con el artículo 33 de dicho Reglamento, la Comisión debe apoyar las actividades del subgrupo permanente de vigilancia del mercado mediante la realización de evaluaciones o estudios de mercado, en particular con vistas a determinar los aspectos del presente Reglamento que requieran una coordinación específica y urgente entre las autoridades de vigilancia del mercado. El Consejo de IA puede establecer otros subgrupos de carácter permanente o temporal, según proceda, para examinar asuntos específicos. El Consejo de IA también debe cooperar, según proceda, con los organismos, grupos de expertos y redes pertinentes de la Unión activos en el contexto del Derecho de la Unión pertinente, incluidos, en particular, los activos en virtud del Derecho de la Unión pertinente en materia de datos y productos y servicios digitales.

(150)

Con vistas a garantizar la participación de las partes interesadas en la ejecución y aplicación del presente Reglamento, debe crearse un foro consultivo para asesorar al Consejo de IA y a la Comisión y proporcionarles conocimientos técnicos. A fin de garantizar una representación variada y equilibrada de las partes interesadas que tenga en cuenta los intereses comerciales y no comerciales y, dentro de la categoría de los intereses comerciales, por lo que se refiere a las pymes y otras empresas, el foro consultivo debe incluir, entre otros, a la industria, las empresas emergentes, las pymes, el mundo académico, la sociedad civil, en particular los interlocutores sociales, así como a la Agencia de los Derechos Fundamentales de la Unión Europea, ENISA, el Comité Europeo de Normalización (CEN), el Comité Europeo de Normalización Electrotécnica (Cenelec) y el Instituto Europeo de Normas de Telecomunicaciones (ETSI).

(151)

Para apoyar la aplicación y el cumplimiento del presente Reglamento, en particular las actividades de supervisión de la Oficina de IA en lo que respecta a los modelos de IA de uso general, debe crearse un grupo de expertos científicos formado por expertos independientes. Los expertos independientes que constituyan el grupo de expertos científicos deben seleccionarse sobre la base de conocimientos científicos o técnicos actualizados en el ámbito de la IA y deben desempeñar sus funciones con imparcialidad y objetividad y garantizar la confidencialidad de la información y los datos obtenidos en el ejercicio de sus funciones y actividades. A fin de permitir el refuerzo de las capacidades nacionales necesarias para el cumplimiento efectivo del presente Reglamento, los Estados miembros deben poder solicitar el apoyo de los expertos que constituyan el grupo científico para sus actividades de garantía del cumplimiento.

(152)

A fin de apoyar una ejecución adecuada en lo que respecta a los sistemas de IA y reforzar las capacidades de los Estados miembros, deben crearse y ponerse a disposición de los Estados miembros estructuras de apoyo a los ensayos de IA de la Unión.

(153)

Los Estados miembros desempeñan un papel clave en la aplicación y ejecución del presente Reglamento. En ese sentido, cada Estado miembro debe designar al menos una autoridad notificante y al menos una autoridad de vigilancia del mercado como autoridades nacionales competentes que se encarguen de supervisar su aplicación y ejecución. Los Estados miembros pueden decidir designar cualquier tipo de entidad pública para que desempeñe las tareas de las autoridades nacionales competentes en el sentido del presente Reglamento, de conformidad con sus características y necesidades organizativas nacionales específicas. Con el fin de incrementar la eficiencia organizativa en los Estados miembros y establecer un único punto de contacto oficial con el público y otros homólogos a escala de los Estados miembros y la Unión, cada Estado miembro debe designar una autoridad de vigilancia del mercado que actúe como punto de contacto único.

(154)

Las autoridades nacionales competentes deben ejercer sus poderes de manera independiente, imparcial y objetiva, a fin de preservar los principios de objetividad de sus actividades y funciones y garantizar la aplicación y ejecución del presente Reglamento. Los miembros de estas autoridades deben abstenerse de todo acto incompatible con el carácter de sus funciones y estar sujetos a las normas de confidencialidad establecidas en el presente Reglamento.

(155)

Todos los proveedores de sistemas de IA de alto riesgo deben contar con un sistema de vigilancia poscomercialización, con vistas a garantizar que puedan tener en cuenta la experiencia con el uso de esos sistemas de cara a mejorar los suyos y el proceso de diseño y desarrollo o que puedan adoptar cualquier medida correctora en el momento oportuno. Cuando proceda, la vigilancia poscomercialización debe incluir un análisis de la interacción con otros sistemas de IA, incluidos otros dispositivos y software. La vigilancia poscomercialización no debe comprender los datos operativos sensibles de los responsables del despliegue de sistemas de IA que sean autoridades garantes del cumplimiento del Derecho. Este sistema es también fundamental para garantizar que los posibles riesgos derivados de los sistemas de IA que siguen «aprendiendo» tras su introducción en el mercado o puesta en servicio se aborden de un modo más eficiente y oportuno. En este contexto, procede exigir a los proveedores que también cuenten con un sistema para comunicar a las autoridades pertinentes cualquier incidente grave asociado al uso de sus sistemas de IA, entendido como un incidente o defecto que tenga como consecuencia un fallecimiento o daños graves para la salud, una alteración grave e irreversible de la gestión o el funcionamiento de infraestructuras críticas, el incumplimiento de obligaciones derivadas del Derecho de la Unión destinadas a proteger los derechos fundamentales o daños graves a la propiedad o al medio ambiente.

(156)

Con el objetivo de garantizar el cumplimiento adecuado y efectivo de los requisitos y obligaciones previstos en el presente Reglamento, que constituye legislación de armonización de la Unión, debe aplicarse en su totalidad el sistema relativo a la vigilancia del mercado y la conformidad de los productos establecido por el Reglamento (UE) 2019/1020. Las autoridades de vigilancia del mercado designadas con arreglo al presente Reglamento deben disponer de todos los poderes de ejecución establecidos en el presente Reglamento y en el Reglamento (UE) 2019/1020, y deben ejercer sus poderes y desempeñar sus funciones de manera independiente, imparcial y objetiva. Aunque la mayoría de los sistemas de IA no están sujetos a requisitos ni obligaciones específicos en virtud del presente Reglamento, las autoridades de vigilancia del mercado pueden adoptar medidas en relación con todos los sistemas de IA cuando estos presenten un riesgo de conformidad con el presente Reglamento. Debido a la naturaleza específica de las instituciones, órganos y organismos de la Unión que entran en el ámbito de aplicación del presente Reglamento, procede designar al Supervisor Europeo de Protección de Datos como autoridad de vigilancia del mercado competente para ellos. Esto debe entenderse sin perjuicio de la designación de autoridades nacionales competentes por parte de los Estados miembros. Las actividades de vigilancia del mercado no deben afectar a la capacidad de las entidades supervisadas para llevar a cabo sus tareas de manera independiente, cuando el Derecho de la Unión exija dicha independencia.

(157)

El presente Reglamento se entiende sin perjuicio de las competencias, funciones, poderes e independencia de las autoridades u organismos públicos nacionales pertinentes que supervisan la aplicación del Derecho de la Unión que protege los derechos fundamentales, incluidos los organismos de igualdad y las autoridades de protección de datos. Cuando sea necesario para su mandato, dichas autoridades u organismos públicos nacionales también deben tener acceso a cualquier documentación creada en virtud del presente Reglamento. Debe establecerse un procedimiento de salvaguardia específico para garantizar una ejecución adecuada y oportuna frente a sistemas de IA que presenten un riesgo para la salud, la seguridad o los derechos fundamentales. El procedimiento relativo a dichos sistemas de IA que presentan un riesgo debe aplicarse a los sistemas de IA de alto riesgo que presenten un riesgo, a los sistemas prohibidos que hayan sido introducidos en el mercado, puestos en servicio o utilizados contraviniendo las prácticas prohibidas establecidas en el presente Reglamento y a los sistemas de IA que hayan sido comercializados infringiendo los requisitos de transparencia establecidos en el presente Reglamento y que presenten un riesgo.

(158)

El Derecho de la Unión en materia de servicios financieros contiene normas y requisitos en materia de gobernanza interna y gestión de riesgos que las entidades financieras reguladas deben cumplir durante la prestación de dichos servicios, y también cuando utilicen sistemas de IA. Para garantizar la aplicación y ejecución coherentes de las obligaciones previstas en el presente Reglamento, así como de las normas y los requisitos oportunos de los actos jurídicos de la Unión relativos a los servicios financieros, se ha de designar a las autoridades competentes de supervisar y ejecutar dichos actos jurídicos, en particular las autoridades competentes definidas en el Reglamento (UE) nº 575/2013 del Parlamento Europeo y del Consejo (46) y las Directivas 2008/48/CE (47), 2009/138/CE (48), 2013/36/UE (49), 2014/17/UE (50) y (UE) 2016/97 (51) del Parlamento Europeo y del Consejo, dentro de sus respectivas competencias, como las autoridades competentes encargadas de supervisar la aplicación del presente Reglamento, también por lo que respecta a las actividades de vigilancia del mercado, en relación con los sistemas de IA proporcionados o utilizados por las entidades financieras reguladas y supervisadas, a menos que los Estados miembros decidan designar a otra autoridad para que desempeñe estas tareas de vigilancia del mercado. Dichas autoridades competentes deben disponer de todos los poderes previstos en el presente Reglamento y en el Reglamento (UE) 2019/1020 para hacer cumplir los requisitos y obligaciones del presente Reglamento, incluidos los poderes para llevar a cabo actividades de vigilancia del mercado ex post que pueden integrarse, en su caso, en sus mecanismos y procedimientos de supervisión existentes en virtud del Derecho pertinente de la Unión en materia de servicios financieros. Conviene prever que, cuando actúen como autoridades de vigilancia del mercado en virtud del presente Reglamento, las autoridades nacionales responsables de la supervisión de las entidades de crédito reguladas por la Directiva 2013/36/UE que participen en el Mecanismo Único de Supervisión establecido por el Reglamento (UE) nº 1024/2013 del Consejo (52) comuniquen sin demora al Banco Central Europeo toda información obtenida en el transcurso de sus actividades de vigilancia del mercado que pueda ser de interés para las funciones de supervisión prudencial del Banco Central Europeo especificadas en dicho Reglamento. Con vistas a aumentar la coherencia entre el presente Reglamento y las normas aplicables a las entidades de crédito reguladas por la Directiva 2013/36/UE, conviene igualmente integrar algunas de las obligaciones procedimentales de los proveedores relativas a la gestión de riesgos, la vigilancia poscomercialización y la documentación en las obligaciones y los procedimientos vigentes con arreglo a la Directiva 2013/36/UE. Para evitar solapamientos, también se deben contemplar excepciones limitadas en relación con el sistema de gestión de la calidad de los proveedores y la obligación de vigilancia impuesta a los responsables del despliegue de sistemas de IA de alto riesgo, en la medida en que estos se apliquen a las entidades de crédito reguladas por la Directiva 2013/36/UE. El mismo régimen debe aplicarse a las empresas de seguros y reaseguros y a las sociedades de cartera de seguros reguladas por la Directiva 2009/138/CE, a los intermediarios de seguros regulados por la Directiva (UE) 2016/97 y a otros tipos de entidades financieras sujetas a requisitos sobre gobernanza, sistemas o procesos internos establecidos con arreglo al Derecho pertinente de la Unión en materia de servicios financieros a fin de garantizar la coherencia y la igualdad de trato en el sector financiero.

(159)

Cada autoridad de vigilancia del mercado para los sistemas de IA de alto riesgo en el ámbito de la biometría enumerados en un anexo del presente Reglamento, en la medida en que dichos sistemas se utilicen con fines de garantía del cumplimiento del Derecho, de migración, asilo y gestión del control fronterizo, o de la administración de justicia y los procesos democráticos, debe disponer de facultades de investigación y correctoras efectivas, incluida al menos la facultad de obtener acceso a todos los datos personales que se estén tratando y a toda la información necesaria para el desempeño de sus funciones. Las autoridades de vigilancia del mercado deben poder ejercer sus poderes actuando con total independencia. Cualquier limitación de su acceso a datos operativos sensibles en virtud del presente Reglamento debe entenderse sin perjuicio de los poderes que les confiere la Directiva (UE) 2016/680. Ninguna exclusión de la divulgación de datos a las autoridades nacionales de protección de datos en virtud del presente Reglamento debe afectar a los poderes actuales o futuros de dichas autoridades que trasciendan el ámbito de aplicación del presente Reglamento.

(160)

Las autoridades de vigilancia del mercado y la Comisión deben poder proponer actividades conjuntas, incluidas investigaciones conjuntas, que deben llevar a cabo las autoridades de vigilancia del mercado o las autoridades de vigilancia del mercado junto con la Comisión, con el objetivo de fomentar el cumplimiento, detectar incumplimientos, sensibilizar y ofrecer orientaciones en relación con el presente Reglamento con respecto a las categorías específicas de sistemas de IA de alto riesgo que presentan un riesgo grave en dos o más Estados miembros. Tales actividades conjuntas para fomentar el cumplimiento deben llevarse a cabo de conformidad con el artículo 9 del Reglamento (UE) 2019/1020. La Oficina de IA debe prestar apoyo de coordinación a las investigaciones conjuntas.

(161)

Es necesario aclarar las responsabilidades y competencias a escala de la Unión y nacional en lo que respecta a los sistemas de IA que se basan en modelos de IA de uso general. Para evitar el solapamiento de competencias, cuando un sistema de IA se base en un modelo de IA de uso general y el modelo y el sistema sean suministrados por el mismo proveedor, la supervisión debe llevarse a cabo a escala de la Unión a través de la Oficina de IA, que debe tener a estos efectos las facultades de una autoridad de vigilancia del mercado en el sentido de lo dispuesto en el Reglamento (UE) 2019/1020. En todos los demás casos, serán responsables de la supervisión de los sistemas de IA las autoridades nacionales de vigilancia del mercado. No obstante, en el caso de los sistemas de IA de uso general que puedan ser utilizados directamente por los responsables del despliegue con al menos un fin clasificado como de alto riesgo, las autoridades de vigilancia del mercado deben cooperar con la Oficina de IA para llevar a cabo evaluaciones de la conformidad e informar de ello al Consejo de IA y a otras autoridades de vigilancia del mercado. Además, las autoridades de vigilancia del mercado deben poder solicitar la asistencia de la Oficina de IA cuando la autoridad de vigilancia del mercado no pueda concluir una investigación sobre un sistema de IA de alto riesgo debido a su incapacidad para acceder a determinada información relacionada con el modelo de IA de uso general en el que se basa el sistema de IA de alto riesgo. En tales casos, debe aplicarse mutatis mutandis el procedimiento de asistencia mutua transfronteriza previsto en el capítulo VI del Reglamento (UE) 2019/1020.

(162)

Para aprovechar al máximo la centralización de conocimientos especializados y las sinergias que se generan a escala de la Unión, deben atribuirse a la Comisión las competencias de supervisión y de control del cumplimiento de las obligaciones de los proveedores de modelos de IA de uso general. La Oficina de IA debe poder llevar a cabo todas las acciones necesarias para supervisar la aplicación efectiva del presente Reglamento en lo que respecta a los modelos de IA de uso general. Debe poder investigar posibles infracciones de las normas relativas a los proveedores de modelos de IA de uso general, tanto por iniciativa propia, a raíz de los resultados de sus actividades de supervisión, como a petición de las autoridades de vigilancia del mercado, de conformidad con las condiciones establecidas en el presente Reglamento. Para promover la eficacia de la supervisión, la Oficina de IA debe prever la posibilidad de que los proveedores posteriores presenten reclamaciones sobre posibles infracciones de las normas relativas a los proveedores de sistemas y modelos de IA de uso general.

(163)

Con el fin de complementar los sistemas de gobernanza de los modelos de IA de uso general, el grupo de expertos científicos debe contribuir a las actividades de supervisión de la Oficina de IA y, en determinados casos, puede proporcionar alertas cualificadas a la Oficina de IA que activen actuaciones consecutivas, como investigaciones. Así debe ocurrir cuando el grupo de expertos científicos tenga motivos para sospechar que un modelo de IA de uso general presenta un riesgo concreto e identificable a escala de la Unión. También debe ser este el caso cuando el grupo de expertos científicos tenga motivos para sospechar que un modelo de IA de uso general cumple los criterios que llevarían a clasificarlo como modelo de IA de uso general con riesgo sistémico. A fin de facilitar al grupo de expertos científicos la información necesaria para el desempeño de esas funciones, debe existir un mecanismo que permita al grupo de expertos científicos pedir a la Comisión que solicite documentación o información a un proveedor.

(164)

La Oficina de IA debe poder adoptar las medidas necesarias para supervisar la aplicación efectiva y el cumplimiento de las obligaciones de los proveedores de modelos de IA de uso general establecidas en el presente Reglamento. La Oficina de IA debe poder investigar posibles infracciones de conformidad con las competencias previstas en el presente Reglamento, por ejemplo, solicitando documentación e información, realizando evaluaciones y solicitando la adopción de medidas a los proveedores de modelos de IA de uso general. En la realización de las evaluaciones, para poder contar con conocimientos especializados independientes, la Oficina de IA debe poder recurrir a expertos independientes para que lleven a cabo las evaluaciones en su nombre. Se debe poder exigir el cumplimiento de las obligaciones mediante, entre otras cosas, solicitudes de adopción de medidas adecuadas, entre las que se incluyen medidas de reducción del riesgo en caso de que se detecten riesgos sistémicos, así como la restricción de la comercialización, la retirada o la recuperación del modelo. Como salvaguardia, cuando sea necesario, además de los derechos procedimentales previstos en el presente Reglamento, los proveedores de modelos de IA de uso general deben tener los derechos procedimentales previstos en el artículo 18 del Reglamento (UE) 2019/1020, que deben aplicarse mutatis mutandis, sin perjuicio de los derechos procesales más específicos previstos en el presente Reglamento.

(165)

El desarrollo de sistemas de IA que no sean sistemas de IA de alto riesgo conforme a los requisitos establecidos en el presente Reglamento puede dar lugar a la adopción más amplia de una IA ética y fiable en la Unión. Se debe alentar a los proveedores de sistemas de IA que no son de alto riesgo a crear códigos de conducta, entre los que se incluyen los correspondientes mecanismos de gobernanza, destinados a impulsar la aplicación voluntaria de la totalidad o parte de los requisitos aplicables a los sistemas de IA de alto riesgo, adaptados teniendo en cuenta la finalidad prevista de los sistemas y el menor riesgo planteado y teniendo en cuenta las soluciones técnicas disponibles y las mejores prácticas del sector, como las tarjetas de modelo y de datos Asimismo, se debe animar a los proveedores y, en su caso, a los responsables del despliegue de todos los sistemas de IA, ya sean o no de alto riesgo, y de los modelos de IA, a aplicar, con carácter voluntario, requisitos adicionales relativos, por ejemplo, a los elementos de las Directrices éticas de la Unión para una IA fiable, la sostenibilidad medioambiental, medidas de alfabetización en materia de IA, la inclusividad y la diversidad en el diseño y el desarrollo de los sistemas de IA, lo que incluye tener en cuenta a las personas vulnerables y la accesibilidad de las personas con discapacidad, la participación de las partes interesadas, con la participación, según proceda, de las partes interesadas pertinentes, como las organizaciones empresariales y de la sociedad civil, el mundo académico, los organismos de investigación, los sindicatos y las organizaciones de protección de los consumidores, en el diseño y el desarrollo de los sistemas de IA, y la diversidad de los equipos de desarrollo, también por lo que respecta a la paridad de género. Para garantizar la efectividad de los códigos de conducta voluntarios, estos deben basarse en objetivos claros e indicadores clave del rendimiento que permitan medir la consecución de dichos objetivos. También deben desarrollarse de manera inclusiva, según proceda, con la participación de las partes interesadas pertinentes, como las organizaciones empresariales y de la sociedad civil, el mundo académico, los organismos de investigación, los sindicatos y las organizaciones de protección de los consumidores. La Comisión podría formular iniciativas, también de carácter sectorial, encaminadas a facilitar la disminución de los obstáculos técnicos que dificultan el intercambio transfronterizo de datos para el desarrollo de la IA, también en relación con la infraestructura de acceso a los datos y la interoperabilidad semántica y técnica de distintos tipos de datos.

(166)

Es importante que los sistemas de IA asociados a productos que el presente Reglamento no considera de alto riesgo y que, por lo tanto, no están obligados a cumplir los requisitos establecidos para los sistemas de IA de alto riesgo sean, no obstante, seguros una vez introducidos en el mercado o puestos en servicio. Para contribuir a este objetivo, se aplicaría, como red de seguridad, el Reglamento (UE) 2023/988 del Parlamento Europeo y del Consejo (53).

(167)

Todas las partes implicadas en la aplicación del presente Reglamento deben respetar la confidencialidad de la información y los datos que obtengan en el ejercicio de sus funciones, de conformidad con el Derecho de la Unión o nacional, con vistas a garantizar una cooperación fiable y constructiva entre las autoridades competentes a escala de la Unión y nacional. Deben desempeñar sus funciones y actividades de manera que se protejan, en particular, los derechos de propiedad intelectual e industrial, la información empresarial confidencial y los secretos comerciales, la aplicación eficaz del presente Reglamento, los intereses de seguridad pública y nacional, la integridad de los procedimientos penales y administrativos y la integridad de la información clasificada.

(168)

Se debe poder exigir el cumplimiento del presente Reglamento mediante la imposición de sanciones y otras medidas de ejecución. Los Estados miembros deben tomar todas las medidas necesarias para garantizar que se apliquen las disposiciones del presente Reglamento, también estableciendo sanciones efectivas, proporcionadas y disuasorias para las infracciones, y para respetar el principio de non bis in idem. A fin de reforzar y armonizar las sanciones administrativas por infracción del presente Reglamento, deben establecerse los límites máximos para la imposición de las multas administrativas en el caso de ciertas infracciones concretas. A la hora de determinar la cuantía de las multas, los Estados miembros deben tener en cuenta, en cada caso concreto, todas las circunstancias pertinentes de la situación de que se trate, considerando especialmente la naturaleza, gravedad y duración de la infracción y de sus consecuencias, así como el tamaño del proveedor, en particular si este es una pyme o una empresa emergente. El Supervisor Europeo de Protección de Datos debe estar facultado para imponer multas a las instituciones, los órganos y los organismos de la Unión incluidos en el ámbito de aplicación del presente Reglamento.

(169)

Se debe poder exigir el cumplimiento de las obligaciones impuestas en virtud del presente Reglamento a los proveedores de modelos de IA de uso general mediante, entre otras cosas, la imposición de multas. A tal fin, también deben establecerse multas de una cuantía apropiada en caso de incumplimiento de dichas obligaciones, lo que incluye el incumplimiento de las medidas solicitadas por la Comisión de conformidad con el presente Reglamento, con sujeción a los plazos de prescripción pertinentes de conformidad con el principio de proporcionalidad. Todas las decisiones adoptadas por la Comisión en virtud del presente Reglamento están sujetas al control del Tribunal de Justicia de la Unión Europea, de conformidad con lo dispuesto en el TFUE, incluida la competencia jurisdiccional plena del Tribunal de Justicia en materia de sanciones con arreglo al artículo 261 del TFUE.

(170)

El Derecho de la Unión y nacional ya prevén vías de recurso efectivas para las personas físicas y jurídicas cuyos derechos y libertades se vean perjudicados por el uso de sistemas de IA. Sin perjuicio de dichas vías de recurso, toda persona física o jurídica que tenga motivos para considerar que se ha producido una infracción del presente Reglamento debe tener derecho a presentar una reclamación ante la autoridad de vigilancia del mercado pertinente.

(171)

Las personas afectadas deben tener derecho a obtener una explicación cuando la decisión de un responsable del despliegue se base principalmente en los resultados de salida de determinados sistemas de IA de alto riesgo que entran dentro del ámbito de aplicación del presente Reglamento y cuando dicha decisión produzca efectos jurídicos o afecte significativamente de modo similar a dichas personas, de manera que consideren que tiene un efecto negativo en su salud, su seguridad o sus derechos fundamentales. Dicha explicación debe ser clara y significativa y servir de base para que las personas afectadas puedan ejercer sus derechos. El derecho a obtener una explicación no debe aplicarse a la utilización de sistemas de IA para los que se deriven excepciones o restricciones con arreglo al Derecho nacional o de la Unión, y solo debe aplicarse en la medida en que este derecho no esté ya previsto en el Derecho de la Unión.

(172)

Las personas que informen sobre infracciones del presente Reglamento deben quedar protegidas por el Derecho de la Unión. Así pues, cuando se informe sobre infracciones del presente Reglamento y en lo que respecta a la protección de las personas que informen sobre dichas infracciones debe aplicarse la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo (54).

(173)

A fin de garantizar que el marco reglamentario pueda adaptarse cuando sea necesario, deben delegarse en la Comisión los poderes para adoptar actos con arreglo al artículo 290 del TFUE de modo que pueda modificar las condiciones en las que un sistema de IA no debe considerarse un sistema de alto riesgo, la lista de sistemas de IA de alto riesgo, las disposiciones relativas a la documentación técnica, el contenido de la declaración UE de conformidad, las disposiciones relativas a los procedimientos de evaluación de la conformidad, las disposiciones que establecen a qué sistemas de IA de alto riesgo debe aplicarse el procedimiento de evaluación de la conformidad basado en la evaluación del sistema de gestión de la calidad y en la evaluación de la documentación técnica, el umbral, los parámetros de referencia y los indicadores, lo que incluye la posibilidad de complementar dichos parámetros de referencia e indicadores, de las normas de clasificación de los modelos de IA de uso general con riesgo sistémico, los criterios para clasificar un modelo como modelo de IA de uso general con riesgo sistémico, la documentación técnica para los proveedores de modelos de IA de uso general y la información sobre transparencia para los proveedores de modelos de IA de uso general. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación (55). En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados.

(174)

Habida cuenta de los rápidos avances tecnológicos y de los conocimientos técnicos necesarios para la aplicación efectiva del presente Reglamento, la Comisión debe evaluar y revisar el presente Reglamento a más tardar el 2 de agosto de 2029 y posteriormente cada cuatro años e informar al Parlamento Europeo y al Consejo. Además, teniendo en cuenta las implicaciones por lo que respecta al ámbito de aplicación del presente Reglamento, la Comisión debe llevar a cabo una evaluación de la necesidad de modificar la lista de sistemas de IA de alto riesgo y la lista de prácticas prohibidas una vez al año. Asimismo, a más tardar 2 de agosto de 2028 y posteriormente cada cuatro años, la Comisión debe evaluar y comunicar al Parlamento Europeo y al Consejo la necesidad de modificar la lista de ámbitos de alto riesgo que figura en el anexo del presente Reglamento, los sistemas de IA incluidos en el ámbito de aplicación de las obligaciones de transparencia, la eficacia del sistema de supervisión y gobernanza y los avances en el desarrollo de documentos de normalización sobre el desarrollo eficiente desde el punto de vista energético de modelos de IA de uso general, incluida la necesidad de medidas o acciones adicionales. Por último, a más tardar el 2 de agosto de 2028 y posteriormente cada tres años, la Comisión debe evaluar la repercusión y la eficacia de los códigos de conducta voluntarios para fomentar la aplicación de los requisitos establecidos para los sistemas de IA de alto riesgo a los sistemas de IA que no sean sistemas de IA de alto riesgo y, posiblemente, otros requisitos adicionales para dichos sistemas de IA.

(175)

A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo (56).

(176)

Dado que el objetivo del presente Reglamento, a saber, mejorar el funcionamiento del mercado interior y promover la adopción de una IA centrada en el ser humano y fiable, garantizando al mismo tiempo un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales consagrados en la Carta, incluidos la democracia, el Estado de Derecho y la protección del medio ambiente, frente a los efectos perjudiciales de los sistemas de IA en la Unión, así como brindar apoyo a la innovación, no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, debido a sus dimensiones y efectos, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del TUE. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.

(177)

A fin de garantizar la seguridad jurídica, garantizar un período de adaptación adecuado para los operadores y evitar perturbaciones del mercado, también garantizando la continuidad del uso de los sistemas de IA, es conveniente que el presente Reglamento se aplique a los sistemas de IA de alto riesgo que se hayan introducido en el mercado o se hayan puesto en servicio antes de la fecha general de aplicación del Reglamento únicamente si, a partir de esa fecha, dichos sistemas se ven sometidos a cambios significativos en su diseño o su finalidad prevista. Conviene aclarar que, a este respecto, el concepto de «cambio significativo» debe entenderse como equivalente en sustancia al de «modificación sustancial», que se utiliza únicamente con respecto a los sistemas de IA de alto riesgo de conformidad con el presente Reglamento. Con carácter excepcional y a efectos de la rendición pública de cuentas, los operadores de sistemas de IA que sean componentes de sistemas informáticos de gran magnitud establecidos por los actos jurídicos enumerados en un anexo del presente Reglamento y los operadores de sistemas de IA de alto riesgo destinados a ser utilizados por las autoridades públicas deben adoptar, respectivamente, las medidas necesarias para cumplir los requisitos del presente Reglamento antes del final de 2030 y, a más tardar el 2 de agosto de 2030.

(178)

Se anima a los proveedores de sistemas de IA de alto riesgo a que empiecen a cumplir, de forma voluntaria, las obligaciones pertinentes del presente Reglamento ya durante el período transitorio.

(179)

El presente Reglamento debe aplicarse a partir del 2 de agosto de 2026. No obstante, teniendo en cuenta el riesgo inaceptable asociado a determinadas formas de uso de la IA, las prohibiciones, así como las disposiciones generales del presente Reglamento, deben aplicarse ya desde el 2 de febrero de 2025. Aunque dichas prohibiciones no surtan pleno efecto hasta después del establecimiento de la gobernanza y la aplicación del presente Reglamento, es importante anticipar la aplicación de las prohibiciones para tener en cuenta los riesgos inaceptables y adaptar otros procedimientos, por ejemplo, en el ámbito del Derecho civil. Además, la infraestructura relacionada con la gobernanza y el sistema de evaluación de la conformidad deben estar operativos antes de esa fecha, por lo que las disposiciones relativas a los organismos notificados y la estructura de gobernanza deben ser aplicables a partir del 2 de agosto de 2026. Dada la rápida evolución tecnológica y el elevado ritmo de adopción de modelos de IA de uso general, las obligaciones de los proveedores de modelos de IA de uso general deben aplicarse desde el 2 de agosto de 2025. Los códigos de buenas prácticas deben estar finalizados a más tardar el 2 de mayo de 2025 al objeto de permitir a los proveedores demostrar el cumplimiento de sus obligaciones dentro del plazo previsto. La Oficina de IA debe velar por que las normas y los procedimientos de clasificación estén actualizados con arreglo a los avances tecnológicos. Asimismo, los Estados miembros deben establecer y poner en conocimiento de la Comisión las normas referentes a las sanciones, incluidas las multas administrativas, y asegurarse de que para la fecha de aplicación del presente Reglamento se apliquen de manera adecuada y efectiva. Por lo tanto, las disposiciones relativas a las sanciones deben aplicarse a partir del 2 de agosto de 2025.

(180)

El Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos, a los que se consultó de conformidad con el artículo 42, apartados 1 y 2, del Reglamento (UE) 2018/1725, emitieron su dictamen conjunto el 18 de junio de 2021.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I. DISPOSICIONES GENERALES

Artículo 1. Objeto

1.   El objetivo del presente Reglamento es mejorar el funcionamiento del mercado interior y promover la adopción de una inteligencia artificial (IA) centrada en el ser humano y fiable, garantizando al mismo tiempo un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales consagrados en la Carta, incluidos la democracia, el Estado de Derecho y la protección del medio ambiente, frente a los efectos perjudiciales de los sistemas de IA (en lo sucesivo, «sistemas de IA») en la Unión así como prestar apoyo a la innovación.

2.   El presente Reglamento establece:

a) normas armonizadas para la introducción en el mercado, la puesta en servicio y la utilización de sistemas de IA en la Unión;

b) prohibiciones de determinadas prácticas de IA;

c) requisitos específicos para los sistemas de IA de alto riesgo y obligaciones para los operadores de dichos sistemas;

d) normas armonizadas de transparencia aplicables a determinados sistemas de IA;

e) normas armonizadas para la introducción en el mercado de modelos de IA de uso general;

f) normas sobre el seguimiento del mercado, la vigilancia del mercado, la gobernanza y la garantía del cumplimiento;

g) medidas en apoyo de la innovación, prestando especial atención a las pymes, incluidas las empresas emergentes.

Artículo 2. Ámbito de aplicación

1.   El presente Reglamento se aplicará a:

a) los proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA o que introduzcan en el mercado modelos de IA de uso general en la Unión, con independencia de si dichos proveedores están establecidos o ubicados en la Unión o en un tercer país;

b) los responsables del despliegue de sistemas de IA que estén establecidos o ubicados en la Unión;

c) los proveedores y responsables del despliegue de sistemas de IA que estén establecidos o ubicados en un tercer país, cuando los resultados de salida generados por el sistema de IA se utilicen en la Unión;

d) los importadores y distribuidores de sistemas de IA;

e) los fabricantes de productos que introduzcan en el mercado o pongan en servicio un sistema de IA junto con su producto y con su propio nombre o marca;

f) los representantes autorizados de los proveedores que no estén establecidos en la Unión;

g) las personas afectadas que estén ubicadas en la Unión.

2.   A los sistemas de IA clasificados como sistemas de IA de alto riesgo de conformidad con el artículo 6, apartado 1, y relativos a productos regulados por los actos legislativos de armonización de la Unión enumerados en la sección B del anexo I, únicamente se les aplicará el artículo 6, apartado 1, y los artículos 102 a 109 y el artículo 112. El artículo 57 se aplicará únicamente en la medida en que los requisitos para los sistemas de IA de alto riesgo en virtud del presente Reglamento se hayan integrado en dichos actos legislativos de armonización de la Unión.

3.   El presente Reglamento no se aplicará a los ámbitos que queden fuera del ámbito de aplicación del Derecho de la Unión y, en cualquier caso, no afectará a las competencias de los Estados miembros en materia de seguridad nacional, independientemente del tipo de entidad a la que los Estados miembros hayan encomendado el desempeño de tareas en relación con dichas competencias.

El presente Reglamento no se aplicará a los sistemas de IA que, y en la medida en que, se introduzcan en el mercado, se pongan en servicio o se utilicen, con o sin modificaciones, exclusivamente con fines militares, de defensa o de seguridad nacional, independientemente del tipo de entidad que lleve a cabo estas actividades.

El presente Reglamento no se aplicará a los sistemas de IA que no se introduzcan en el mercado o no se pongan en servicio en la Unión en los casos en que sus resultados de salida se utilicen en la Unión exclusivamente con fines militares, de defensa o de seguridad nacional, independientemente del tipo de entidad que lleve a cabo estas actividades.

4.   El presente Reglamento no se aplicará a las autoridades públicas de terceros países ni a las organizaciones internacionales que entren dentro del ámbito de aplicación de este Reglamento conforme al apartado 1 cuando dichas autoridades u organizaciones utilicen sistemas de IA en el marco de acuerdos o de la cooperación internacionales con fines de garantía del cumplimiento del Derecho y cooperación judicial con la Unión o con uno o varios Estados miembros, siempre que tal tercer país u organización internacional ofrezca garantías suficientes con respecto a la protección de los derechos y libertades fundamentales de las personas.

5.   El presente Reglamento no afectará a la aplicación de las disposiciones relativas a la responsabilidad de los prestadores de servicios intermediarios que figuran en el capítulo II del Reglamento (UE) 2022/2065.

6.   El presente Reglamento no se aplicará a los sistemas o modelos de IA, incluidos sus resultados de salida, desarrollados y puestos en servicio específicamente con la investigación y el desarrollo científicos como única finalidad.

7.   El Derecho de la Unión en materia de protección de los datos personales, la intimidad y la confidencialidad de las comunicaciones se aplicará a los datos personales tratados en relación con los derechos y obligaciones establecidos en el presente Reglamento. El presente Reglamento no afectará a los Reglamentos (UE) 2016/679 o (UE) 2018/1725 ni a las Directivas 2002/58/CE o (UE) 2016/680, sin perjuicio del artículo 10, apartado 5, y el artículo 59 del presente Reglamento.

8.   El presente Reglamento no se aplicará a ninguna actividad de investigación, prueba o desarrollo relativa a sistemas de IA o modelos de IA antes de su introducción en el mercado o puesta en servicio. Estas actividades se llevarán a cabo de conformidad con el Derecho de la Unión aplicable. Las pruebas en condiciones reales no estarán cubiertas por esa exclusión.

9.   El presente Reglamento se entenderá sin perjuicio de las normas establecidas por otros actos jurídicos de la Unión relativos a la protección de los consumidores y a la seguridad de los productos.

10.   El presente Reglamento no se aplicará a las obligaciones de los responsables del despliegue que sean personas físicas que utilicen sistemas de IA en el ejercicio de una actividad puramente personal de carácter no profesional.

11.   El presente Reglamento no impedirá que la Unión o los Estados miembros mantengan o introduzcan disposiciones legales, reglamentarias o administrativas que sean más favorables a los trabajadores en lo que atañe a la protección de sus derechos respecto al uso de sistemas de IA por parte de los empleadores ni que fomenten o permitan la aplicación de convenios colectivos que sean más favorables a los trabajadores.

12.   El presente Reglamento no se aplicará a los sistemas de IA divulgados con arreglo a licencias libres y de código abierto, a menos que se introduzcan en el mercado o se pongan en servicio como sistemas de IA de alto riesgo o como sistemas de IA que entren en el ámbito de aplicación del artículo 5 o del artículo 50.

Artículo 3. Definiciones

A los efectos del presente Reglamento, se entenderá por:

1) «sistema de IA»: un sistema basado en una máquina que está diseñado para funcionar con distintos niveles de autonomía y que puede mostrar capacidad de adaptación tras el despliegue, y que, para objetivos explícitos o implícitos, infiere de la información de entrada que recibe la manera de generar resultados de salida, como predicciones, contenidos, recomendaciones o decisiones, que pueden influir en entornos físicos o virtuales;

2) «riesgo»: la combinación de la probabilidad de que se produzca un perjuicio y la gravedad de dicho perjuicio;

3) «proveedor»: una persona física o jurídica, autoridad pública, órgano u organismo que desarrolle un sistema de IA o un modelo de IA de uso general o para el que se desarrolle un sistema de IA o un modelo de IA de uso general y lo introduzca en el mercado o ponga en servicio el sistema de IA con su propio nombre o marca, previo pago o gratuitamente;

4) «responsable del despliegue»: una persona física o jurídica, o autoridad pública, órgano u organismo que utilice un sistema de IA bajo su propia autoridad, salvo cuando su uso se enmarque en una actividad personal de carácter no profesional;

5) «representante autorizado»: una persona física o jurídica ubicada o establecida en la Unión que haya recibido y aceptado el mandato por escrito de un proveedor de un sistema de IA o de un modelo de IA de uso general para cumplir las obligaciones y llevar a cabo los procedimientos establecidos en el presente Reglamento en representación de dicho proveedor;

6) «importador»: una persona física o jurídica ubicada o establecida en la Unión que introduzca en el mercado un sistema de IA que lleve el nombre o la marca de una persona física o jurídica establecida en un tercer país;

7) «distribuidor»: una persona física o jurídica que forme parte de la cadena de suministro, distinta del proveedor o el importador, que comercialice un sistema de IA en el mercado de la Unión;

8) «operador»: un proveedor, fabricante del producto, responsable del despliegue, representante autorizado, importador o distribuidor;

9) «introducción en el mercado»: la primera comercialización en el mercado de la Unión de un sistema de IA o de un modelo de IA de uso general;

10) «comercialización»: el suministro de un sistema de IA o de un modelo de IA de uso general para su distribución o utilización en el mercado de la Unión en el transcurso de una actividad comercial, previo pago o gratuitamente;

11) «puesta en servicio»: el suministro de un sistema de IA para su primer uso directamente al responsable del despliegue o para uso propio en la Unión para su finalidad prevista;

12) «finalidad prevista»: el uso para el que un proveedor concibe un sistema de IA, incluidos el contexto y las condiciones de uso concretos, según la información facilitada por el proveedor en las instrucciones de uso, los materiales y las declaraciones de promoción y venta, y la documentación técnica;

13) «uso indebido razonablemente previsible»: la utilización de un sistema de IA de un modo que no corresponde a su finalidad prevista, pero que puede derivarse de un comportamiento humano o una interacción con otros sistemas, incluidos otros sistemas de IA, razonablemente previsible;

14) «componente de seguridad»: un componente de un producto o un sistema de IA que cumple una función de seguridad para dicho producto o sistema de IA, o cuyo fallo o defecto de funcionamiento pone en peligro la salud y la seguridad de las personas o los bienes;

15) «instrucciones de uso»: la información facilitada por el proveedor para informar al responsable del despliegue, en particular, de la finalidad prevista y de la correcta utilización de un sistema de IA;

16) «recuperación de un sistema de IA»: toda medida encaminada a conseguir la devolución al proveedor de un sistema de IA puesto a disposición de los responsables del despliegue, a inutilizarlo o a desactivar su uso;

17) «retirada de un sistema de IA»: toda medida destinada a impedir la comercialización de un sistema de IA que se encuentra en la cadena de suministro;

18) «funcionamiento de un sistema de IA»: la capacidad de un sistema de IA para alcanzar su finalidad prevista;

19) «autoridad notificante»: la autoridad nacional responsable de establecer y llevar a cabo los procedimientos necesarios para la evaluación, designación y notificación de los organismos de evaluación de la conformidad, así como de su supervisión;

20) «evaluación de la conformidad»: el proceso por el que se demuestra si se han cumplido los requisitos establecidos en el capítulo III, sección 2, en relación con un sistema de IA de alto riesgo;

21) «organismo de evaluación de la conformidad»: un organismo que desempeña actividades de evaluación de la conformidad de terceros, como el ensayo, la certificación y la inspección;

22) «organismo notificado»: un organismo de evaluación de la conformidad notificado con arreglo al presente Reglamento y a otros actos pertinentes de la legislación de armonización de la Unión;

23) «modificación sustancial»: un cambio en un sistema de IA tras su introducción en el mercado o puesta en servicio que no haya sido previsto o proyectado en la evaluación de la conformidad inicial realizada por el proveedor y a consecuencia del cual se vea afectado el cumplimiento por parte del sistema de IA de los requisitos establecidos en el capítulo III, sección 2, o que dé lugar a una modificación de la finalidad prevista para la que se haya evaluado el sistema de IA de que se trate;

24) «marcado CE»: un marcado con el que un proveedor indica que un sistema de IA es conforme con los requisitos establecidos en el capítulo III, sección 2, y con otros actos aplicables de la legislación de armonización de la Unión que prevén su colocación;

25) «sistema de vigilancia poscomercialización»: todas las actividades realizadas por los proveedores de sistemas de IA destinadas a recoger y examinar la experiencia obtenida con el uso de sistemas de IA que introducen en el mercado o ponen en servicio, con objeto de detectar la posible necesidad de aplicar inmediatamente cualquier tipo de medida correctora o preventiva que resulte necesaria;

26) «autoridad de vigilancia del mercado»: la autoridad nacional que lleva a cabo las actividades y adopta las medidas previstas en el Reglamento (UE) 2019/1020;

27) «norma armonizada»: una norma armonizada tal como se define en el artículo 2, punto 1, letra c), del Reglamento (UE) nº 1025/2012;

28) «especificación común»: un conjunto de especificaciones técnicas tal como se definen en el artículo 2, punto 4, del Reglamento (UE) nº 1025/2012 que proporciona medios para cumplir determinados requisitos establecidos en virtud del presente Reglamento;

29) «datos de entrenamiento»: los datos usados para entrenar un sistema de IA mediante el ajuste de sus parámetros entrenables;

30) «datos de validación»: los datos usados para proporcionar una evaluación del sistema de IA entrenado y adaptar sus parámetros no entrenables y su proceso de aprendizaje para, entre otras cosas, evitar el subajuste o el sobreajuste;

31) «conjunto de datos de validación»: un conjunto de datos independiente o una parte del conjunto de datos de entrenamiento, obtenida mediante una división fija o variable;

32) «datos de prueba»: los datos usados para proporcionar una evaluación independiente del sistema de IA, con el fin de confirmar el funcionamiento previsto de dicho sistema antes de su introducción en el mercado o su puesta en servicio;

33) «datos de entrada»: los datos proporcionados a un sistema de IA u obtenidos directamente por él a partir de los cuales produce un resultado de salida;

34) «datos biométricos»: los datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física, como imágenes faciales o datos dactiloscópicos;

35) «identificación biométrica»: el reconocimiento automatizado de características humanas de tipo físico, fisiológico, conductual o psicológico para determinar la identidad de una persona física comparando sus datos biométricos con los datos biométricos de personas almacenados en una base de datos;

36) «verificación biométrica»: la verificación automatizada y uno-a-uno, incluida la autenticación, de la identidad de las personas físicas mediante la comparación de sus datos biométricos con los datos biométricos facilitados previamente;

37) «categorías especiales de datos personales»: las categorías de datos personales a que se refieren el artículo 9, apartado 1, del Reglamento (UE) 2016/679, el artículo 10 de la Directiva (UE) 2016/680 y el artículo 10, apartado 1, del Reglamento (UE) 2018/1725;

38) «datos operativos sensibles»: los datos operativos relacionados con actividades de prevención, detección, investigación o enjuiciamiento de delitos cuya divulgación podría poner en peligro la integridad de las causas penales;

39) «sistema de reconocimiento de emociones»: un sistema de IA destinado a distinguir o inferir las emociones o las intenciones de las personas físicas a partir de sus datos biométricos;

40) «sistema de categorización biométrica»: un sistema de IA destinado a incluir a las personas físicas en categorías específicas en función de sus datos biométricos, a menos que sea accesorio a otro servicio comercial y estrictamente necesario por razones técnicas objetivas;

41) «sistema de identificación biométrica remota»: un sistema de IA destinado a identificar a las personas físicas sin su participación activa y generalmente a distancia comparando sus datos biométricos con los que figuran en una base de datos de referencia;

42) «sistema de identificación biométrica remota en tiempo real»: un sistema de identificación biométrica remota, en el que la recogida de los datos biométricos, la comparación y la identificación se producen sin una demora significativa; engloba no solo la identificación instantánea, sino también, a fin de evitar la elusión, demoras mínimas limitadas;

43) «sistema de identificación biométrica remota en diferido»: cualquier sistema de identificación biométrica remota que no sea un sistema de identificación biométrica remota en tiempo real;

44) «espacio de acceso público»: cualquier lugar físico, de propiedad privada o pública, al que pueda acceder un número indeterminado de personas físicas, con independencia de que deban cumplirse determinadas condiciones de acceso y con independencia de las posibles restricciones de capacidad;

45) «autoridad garante del cumplimiento del Derecho»:

a) toda autoridad pública competente para la prevención, la investigación, la detección o el enjuiciamiento de delitos o la ejecución de sanciones penales, incluidas la protección frente a amenazas para la seguridad pública y la prevención de dichas amenazas, o

b) cualquier otro organismo o entidad a quien el Derecho del Estado miembro haya confiado el ejercicio de la autoridad pública y las competencias públicas a efectos de prevención, investigación, detección o enjuiciamiento de delitos o ejecución de sanciones penales, incluidas la protección frente a amenazas para la seguridad pública y la prevención de dichas amenazas;

46) «garantía del cumplimiento del Derecho»: las actividades realizadas por las autoridades garantes del cumplimiento del Derecho, o en su nombre, para la prevención, la investigación, la detección o el enjuiciamiento de delitos o la ejecución de sanciones penales, incluidas la protección frente a amenazas para la seguridad pública y la prevención de dichas amenazas;

47) «Oficina de IA»: la función de la Comisión consistente en contribuir a la implantación, el seguimiento y la supervisión de los sistemas de IA y modelos de IA de uso general, y a la gobernanza de la IA prevista por la Decisión de la Comisión de 24 de enero de 2024; las referencias hechas en el presente Reglamento a la Oficina de IA se entenderán hechas a la Comisión;

48) «autoridad nacional competente»: una autoridad notificante o una autoridad de vigilancia del mercado; en lo que respecta a sistemas de IA puestos en servicio o utilizados por instituciones, órganos y organismos de la Unión, las referencias hechas en el presente Reglamento a autoridades nacionales competentes o a autoridades de vigilancia del mercado se interpretarán como referencias al Supervisor Europeo de Protección de Datos;

49) «incidente grave»: un incidente o defecto de funcionamiento de un sistema de IA que, directa o indirectamente, tenga alguna de las siguientes consecuencias:

a) el fallecimiento de una persona o un perjuicio grave para su salud;

b) una alteración grave e irreversible de la gestión o el funcionamiento de infraestructuras críticas;

c) el incumplimiento de obligaciones en virtud del Derecho de la Unión destinadas a proteger los derechos fundamentales;

d) daños graves a la propiedad o al medio ambiente;

50) «datos personales»: los datos personales tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679;

51) «datos no personales»: los datos que no sean datos personales tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679;

52) «elaboración de perfiles»: la elaboración de perfiles tal como se define en el artículo 4, punto 4, del Reglamento (UE) 2016/679;

53) «plan de la prueba en condiciones reales»: un documento que describe los objetivos, la metodología, el ámbito geográfico, poblacional y temporal, el seguimiento, la organización y la realización de la prueba en condiciones reales;

54) «plan del espacio controlado de pruebas»: un documento acordado entre el proveedor participante y la autoridad competente en el que se describen los objetivos, las condiciones, el calendario, la metodología y los requisitos para las actividades realizadas en el espacio controlado de pruebas;

55) «espacio controlado de pruebas para la IA»: un marco controlado establecido por una autoridad competente que ofrece a los proveedores y proveedores potenciales de sistemas de IA la posibilidad de desarrollar, entrenar, validar y probar, en condiciones reales cuando proceda, un sistema de IA innovador, con arreglo a un plan del espacio controlado de pruebas y durante un tiempo limitado, bajo supervisión regulatoria;

56) «alfabetización en materia de IA»: las capacidades, los conocimientos y la comprensión que permiten a los proveedores, responsables del despliegue y demás personas afectadas, teniendo en cuenta sus respectivos derechos y obligaciones en el contexto del presente Reglamento, llevar a cabo un despliegue informado de los sistemas de IA y tomar conciencia de las oportunidades y los riesgos que plantea la IA, así como de los perjuicios que puede causar;

57) «prueba en condiciones reales»: la prueba temporal de un sistema de IA para su finalidad prevista en condiciones reales, fuera de un laboratorio u otro entorno de simulación, con el fin de recabar datos sólidos y fiables y evaluar y comprobar la conformidad del sistema de IA con los requisitos del presente Reglamento; si se cumplen todas las condiciones establecidas en el artículo 57 o 60, no se considerará una introducción en el mercado o una puesta en servicio del sistema de IA en el sentido de lo dispuesto en el presente Reglamento;

58) «sujeto»: a los efectos de la prueba en condiciones reales, una persona física que participa en la prueba en condiciones reales;

59) «consentimiento informado»: la expresión libre, específica, inequívoca y voluntaria por parte de un sujeto de su voluntad de participar en una determinada prueba en condiciones reales tras haber sido informado de todos los aspectos de la prueba que sean pertinentes para su decisión de participar;

60) «ultrasuplantación»: un contenido de imagen, audio o vídeo generado o manipulado por una IA que se asemeja a personas, objetos, lugares, entidades o sucesos reales y que puede inducir a una persona a pensar erróneamente que son auténticos o verídicos;

61) «infracción generalizada»: todo acto u omisión contrario al Derecho de la Unión por el que se protegen los intereses de las personas y que:

a) haya perjudicado o pueda perjudicar los intereses colectivos de personas que residen en al menos dos Estados miembros distintos de aquel en el que:

i) se originó o tuvo lugar el acto u omisión,

ii) esté ubicado o establecido el proveedor de que se trate o, en su caso, su representante autorizado, o

iii) esté establecido el responsable del despliegue en el momento de cometer la infracción;

b) haya perjudicado, perjudique o pueda perjudicar los intereses colectivos de las personas y tenga características comunes —incluidas la misma práctica ilícita o la vulneración del mismo interés— y sea cometido simultáneamente por el mismo operador en al menos tres Estados miembros;

62) «infraestructura crítica»: una infraestructura crítica tal como se define en el artículo 2, punto 4, de la Directiva (UE) 2022/2557;

63) «modelo de IA de uso general»: un modelo de IA, también uno entrenado con un gran volumen de datos utilizando autosupervisión a gran escala, que presenta un grado considerable de generalidad y es capaz de realizar de manera competente una gran variedad de tareas distintas, independientemente de la manera en que el modelo se introduzca en el mercado, y que puede integrarse en diversos sistemas o aplicaciones posteriores, excepto los modelos de IA que se utilizan para actividades de investigación, desarrollo o creación de prototipos antes de su introducción en el mercado;

64) «capacidades de gran impacto»: capacidades que igualan o superan las capacidades mostradas por los modelos de IA de uso general más avanzados;

65) «riesgo sistémico»: un riesgo específico de las capacidades de gran impacto de los modelos de IA de uso general, que tienen unas repercusiones considerables en el mercado de la Unión debido a su alcance o a los efectos negativos reales o razonablemente previsibles en la salud pública, la seguridad, la seguridad pública, los derechos fundamentales o la sociedad en su conjunto, que puede propagarse a gran escala a lo largo de toda la cadena de valor;

66) «sistema de IA de uso general»: un sistema de IA basado en un modelo de IA de uso general y que puede servir para diversos fines, tanto para su uso directo como para su integración en otros sistemas de IA;

67) «operación de coma flotante»: cualquier operación o tarea matemática que implique números de coma flotante, que son un subconjunto de los números reales normalmente representados en los ordenadores mediante un número entero de precisión fija elevado por el exponente entero de una base fija;

68) «proveedor posterior»: un proveedor de un sistema de IA, también de un sistema de IA de uso general, que integra un modelo de IA, con independencia de que el modelo de IA lo proporcione él mismo y esté integrado verticalmente o lo proporcione otra entidad en virtud de relaciones contractuales.

Artículo 4. Alfabetización en materia de IA

Los proveedores y responsables del despliegue de sistemas de IA adoptarán medidas para garantizar que, en la mayor medida posible, su personal y demás personas que se encarguen en su nombre del funcionamiento y la utilización de sistemas de IA tengan un nivel suficiente de alfabetización en materia de IA, teniendo en cuenta sus conocimientos técnicos, su experiencia, su educación y su formación, así como el contexto previsto de uso de los sistemas de IA y las personas o los colectivos de personas en que se van a utilizar dichos sistemas.

CAPÍTULO II. PRÁCTICAS DE IA PROHIBIDAS

Artículo 5. Prácticas de IA prohibidas

1.   Quedan prohibidas las siguientes prácticas de IA:

a) la introducción en el mercado, la puesta en servicio o la utilización de un sistema de IA que se sirva de técnicas subliminales que trasciendan la conciencia de una persona o de técnicas deliberadamente manipuladoras o engañosas con el objetivo o el efecto de alterar de manera sustancial el comportamiento de una persona o un colectivo de personas, mermando de manera apreciable su capacidad para tomar una decisión informada y haciendo que tomen una decisión que de otro modo no habrían tomado, de un modo que provoque, o sea razonablemente probable que provoque, perjuicios considerables a esa persona, a otra persona o a un colectivo de personas;

b) la introducción en el mercado, la puesta en servicio o la utilización de un sistema de IA que explote alguna de las vulnerabilidades de una persona física o un determinado colectivo de personas derivadas de su edad o discapacidad, o de una situación social o económica específica, con la finalidad o el efecto de alterar de manera sustancial el comportamiento de dicha persona o de una persona que pertenezca a dicho colectivo de un modo que provoque, o sea razonablemente probable que provoque, perjuicios considerables a esa persona o a otra;

c) la introducción en el mercado, la puesta en servicio o la utilización de sistemas de IA para evaluar o clasificar a personas físicas o a colectivos de personas durante un período determinado de tiempo atendiendo a su comportamiento social o a características personales o de su personalidad conocidas, inferidas o predichas, de forma que la puntuación ciudadana resultante provoque una o varias de las situaciones siguientes:

i) un trato perjudicial o desfavorable hacia determinadas personas físicas o colectivos de personas en contextos sociales que no guarden relación con los contextos donde se generaron o recabaron los datos originalmente,

ii) un trato perjudicial o desfavorable hacia determinadas personas físicas o colectivos de personas que sea injustificado o desproporcionado con respecto a su comportamiento social o la gravedad de este;

d) la introducción en el mercado, la puesta en servicio para este fin específico o el uso de un sistema de IA para realizar evaluaciones de riesgos de personas físicas con el fin de valorar o predecir el riesgo de que una persona física cometa un delito basándose únicamente en la elaboración del perfil de una persona física o en la evaluación de los rasgos y características de su personalidad; esta prohibición no se aplicará a los sistemas de IA utilizados para apoyar la valoración humana de la implicación de una persona en una actividad delictiva que ya se base en hechos objetivos y verificables directamente relacionados con una actividad delictiva;

e) la introducción en el mercado, la puesta en servicio para este fin específico o el uso de sistemas de IA que creen o amplíen bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales de internet o de circuitos cerrados de televisión;

f) la introducción en el mercado, la puesta en servicio para este fin específico o el uso de sistemas de IA para inferir las emociones de una persona física en los lugares de trabajo y en los centros educativos, excepto cuando el sistema de IA esté destinado a ser instalado o introducido en el mercado por motivos médicos o de seguridad;

g) la introducción en el mercado, la puesta en servicio para este fin específico o el uso de sistemas de categorización biométrica que clasifiquen individualmente a las personas físicas sobre la base de sus datos biométricos para deducir o inferir su raza, opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas, vida sexual u orientación sexual; esta prohibición no incluye el etiquetado o filtrado de conjuntos de datos biométricos adquiridos lícitamente, como imágenes, basado en datos biométricos ni la categorización de datos biométricos en el ámbito de la garantía del cumplimiento del Derecho;

h) el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho, salvo y en la medida en que dicho uso sea estrictamente necesario para alcanzar uno o varios de los objetivos siguientes:

i) la búsqueda selectiva de víctimas concretas de secuestro, trata de seres humanos o explotación sexual de seres humanos, así como la búsqueda de personas desaparecidas,

ii) la prevención de una amenaza específica, importante e inminente para la vida o la seguridad física de las personas físicas o de una amenaza real y actual o real y previsible de un atentado terrorista,

iii) la localización o identificación de una persona sospechosa de haber cometido un delito a fin de llevar a cabo una investigación o un enjuiciamiento penales o de ejecutar una sanción penal por alguno de los delitos mencionados en el anexo II que en el Estado miembro de que se trate se castigue con una pena o una medida de seguridad privativas de libertad cuya duración máxima sea de al menos cuatro años.

El párrafo primero, letra h), se entiende sin perjuicio de lo dispuesto en el artículo 9 del Reglamento (UE) 2016/679 en lo que respecta al tratamiento de datos biométricos con fines distintos de la garantía del cumplimiento del Derecho.

2.   El uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho para cualquiera de los objetivos mencionados en el apartado 1, párrafo primero, letra h), debe desplegarse para los fines establecidos en dicha letra, únicamente para confirmar la identidad de la persona que constituya el objetivo específico y tendrá en cuenta los siguientes aspectos:

a) la naturaleza de la situación que dé lugar al posible uso, y en particular la gravedad, probabilidad y magnitud del perjuicio que se produciría de no utilizarse el sistema;

b) las consecuencias que tendría el uso del sistema en los derechos y las libertades de las personas implicadas, y en particular la gravedad, probabilidad y magnitud de dichas consecuencias.

Además, el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho para cualquiera de los objetivos mencionados en el apartado 1, párrafo primero, letra h), del presente artículo deberá cumplir garantías y condiciones necesarias y proporcionadas en relación con el uso de conformidad con el Derecho nacional que autorice dicho uso, en particular en lo que respecta a las limitaciones temporales, geográficas y personales. El uso del sistema de identificación biométrica remota «en tiempo real» en espacios de acceso público solo se autorizará si la autoridad garante del cumplimiento del Derecho ha completado una evaluación de impacto relativa a los derechos fundamentales según lo dispuesto en el artículo 27 y ha registrado el sistema en la base de datos de la UE de conformidad con el artículo 49. No obstante, en casos de urgencia debidamente justificados, se podrá empezar a utilizar tales sistemas sin el registro en la base de datos de la UE, siempre que dicho registro se complete sin demora indebida.

3.   A los efectos del apartado 1, párrafo primero, letra h), y el apartado 2, todo uso de un sistema de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho estará supeditado a la concesión de una autorización previa por parte de una autoridad judicial o una autoridad administrativa independiente cuya decisión sea vinculante del Estado miembro en el que vaya a utilizarse dicho sistema, que se expedirá previa solicitud motivada y de conformidad con las normas detalladas del Derecho nacional mencionadas en el apartado 5. No obstante, en una situación de urgencia debidamente justificada, se podrá empezar a utilizar tal sistema sin autorización siempre que se solicite dicha autorización sin demora indebida, a más tardar en un plazo de veinticuatro horas. Si se rechaza dicha autorización, el uso se interrumpirá con efecto inmediato y todos los datos, así como los resultados y la información de salida generados por dicho uso, se desecharán y suprimirán inmediatamente.

La autoridad judicial competente o una autoridad administrativa independiente cuya decisión sea vinculante únicamente concederá la autorización cuando tenga constancia, sobre la base de pruebas objetivas o de indicios claros que se le aporten, de que el uso del sistema de identificación biométrica remota «en tiempo real» es necesario y proporcionado para alcanzar alguno de los objetivos especificados en el apartado 1, párrafo primero, letra h), el cual se indicará en la solicitud, y, en particular, se limita a lo estrictamente necesario en lo que se refiere al período de tiempo, así como al ámbito geográfico y personal. Al pronunciarse al respecto, esa autoridad tendrá en cuenta los aspectos mencionados en el apartado 2. Dicha autoridad no podrá adoptar ninguna decisión que produzca efectos jurídicos adversos para una persona exclusivamente sobre la base de los resultados de salida del sistema de identificación biométrica remota «en tiempo real».

4.   Sin perjuicio de lo dispuesto en el apartado 3, todo uso de un sistema de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho se notificará a la autoridad de vigilancia del mercado pertinente y a la autoridad nacional de protección de datos de conformidad con las normas nacionales a que se refiere el apartado 5. La notificación contendrá, como mínimo, la información especificada en el apartado 6 y no incluirá datos operativos sensibles.

5.   Los Estados miembros podrán decidir contemplar la posibilidad de autorizar, ya sea total o parcialmente, el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho dentro de los límites y en las condiciones que se indican en el apartado 1, párrafo primero, letra h), y los apartados 2 y 3. Los Estados miembros de que se trate deberán establecer en sus respectivos Derechos nacionales las normas detalladas necesarias aplicables a la solicitud, la concesión y el ejercicio de las autorizaciones a que se refiere el apartado 3, así como a la supervisión y la presentación de informes relacionadas con estas. Dichas normas especificarán también para qué objetivos de los enumerados en el apartado 1, párrafo primero, letra h), y en su caso en relación con qué delitos de los indicados en la letra h), inciso iii), se podrá autorizar a las autoridades competentes para que utilicen esos sistemas con fines de garantía del cumplimiento del Derecho. Los Estados miembros notificarán dichas normas a la Comisión a más tardar treinta días después de su adopción. Los Estados miembros podrán adoptar, de conformidad con el Derecho de la Unión, leyes más restrictivas sobre el uso de sistemas de identificación biométrica remota.

6.   Las autoridades nacionales de vigilancia del mercado y las autoridades nacionales de protección de datos de los Estados miembros a las que se haya notificado el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho con arreglo al apartado 4 presentarán a la Comisión informes anuales sobre dicho uso. A tal fin, la Comisión facilitará a los Estados miembros y a las autoridades nacionales de vigilancia del mercado y de protección de datos un modelo que incluya información sobre el número de decisiones adoptadas por las autoridades judiciales competentes o una autoridad administrativa independiente cuya decisión sea vinculante en relación con las solicitudes de autorización de conformidad con el apartado 3, así como su resultado.

7.   La Comisión publicará informes anuales sobre el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho elaborados basados en datos agregados relativos a los Estados miembros sobre la base de los informes anuales a que se refiere el apartado 6. Dichos informes anuales no incluirán datos operativos sensibles de las actividades de garantía del cumplimiento del Derecho conexas.

8.   El presente artículo no afectará a las prohibiciones aplicables cuando una práctica de IA infrinja otras disposiciones de Derecho de la Unión.

CAPÍTULO III. SISTEMAS DE IA DE ALTO RIESGO

SECCIÓN 1. Clasificación de los sistemas de IA como sistemas de alto riesgo

Artículo 6. Reglas de clasificación de los sistemas de IA de alto riesgo

1.   Con independencia de si se ha introducido en el mercado o se ha puesto en servicio sin estar integrado en los productos que se mencionan en las letras a) y b), un sistema de IA se considerará de alto riesgo cuando reúna las dos condiciones que se indican a continuación:

a) que el sistema de IA esté destinado a ser utilizado como componente de seguridad de un producto que entre en el ámbito de aplicación de los actos legislativos de armonización de la Unión enumerados en el anexo I, o que el propio sistema de IA sea uno de dichos productos, y

b) que el producto del que el sistema de IA sea componente de seguridad con arreglo a la letra a), o el propio sistema de IA como producto, deba someterse a una evaluación de la conformidad de terceros para su introducción en el mercado o puesta en servicio con arreglo a los actos legislativos de armonización de la Unión enumerados en el anexo I.

2.   Además de los sistemas de IA de alto riesgo a que se refiere el apartado 1, también se considerarán de alto riesgo los sistemas de IA contemplados en el anexo III.

3.   No obstante lo dispuesto en el apartado 2, un sistema de IA a que se refiere el anexo III no se considerará de alto riesgo cuando no plantee un riesgo importante de causar un perjuicio a la salud, la seguridad o los derechos fundamentales de las personas físicas, también al no influir sustancialmente en el resultado de la toma de decisiones.

El párrafo primero se aplicará cuando se cumpla cualquiera de las condiciones siguientes:

a) que el sistema de IA esté destinado a realizar una tarea de procedimiento limitada;

b) que el sistema de IA esté destinado a mejorar el resultado de una actividad humana previamente realizada;

c) que el sistema de IA esté destinado a detectar patrones de toma de decisiones o desviaciones con respecto a patrones de toma de decisiones anteriores y no esté destinado a sustituir la valoración humana previamente realizada sin una revisión humana adecuada, ni a influir en ella, o

d) que el sistema de IA esté destinado a realizar una tarea preparatoria para una evaluación que sea pertinente a efectos de los casos de uso enumerados en el anexo III.

No obstante lo dispuesto en el párrafo primero, los sistemas de IA a que se refiere el anexo III siempre se considerarán de alto riesgo cuando el sistema de IA efectúe la elaboración de perfiles de personas físicas.

4.   El proveedor que considere que un sistema de IA contemplado en el anexo III no es de alto riesgo documentará su evaluación antes de que dicho sistema sea introducido en el mercado o puesto en servicio. Dicho proveedor estará sujeto a la obligación de registro establecida en el artículo 49, apartado 2. A petición de las autoridades nacionales competentes, el proveedor facilitará la documentación de la evaluación.

5.   La Comisión, previa consulta al Consejo Europeo de Inteligencia Artificial (en lo sucesivo, «Consejo de IA»), y a más tardar el 2 de febrero de 2026, proporcionará directrices que especifiquen la aplicación práctica del presente artículo en consonancia con el artículo 96, junto con una lista exhaustiva de ejemplos prácticos de casos de uso de sistemas de IA que sean de alto riesgo y que no sean de alto riesgo.

6.   La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 97 al objeto de modificar el apartado 3, párrafo segundo, del presente artículo, añadiendo nuevas condiciones a las establecidas en dicho apartado, o modificando estas, cuando existan pruebas concretas y fiables de la existencia de sistemas de IA que entren en el ámbito de aplicación del anexo III, pero que no planteen un riesgo importante de causar un perjuicio a la salud, la seguridad o los derechos fundamentales de las personas físicas.

7.   La Comisión adoptará actos delegados con arreglo al artículo 97 al objeto de modificar el apartado 3, párrafo segundo, del presente artículo, suprimiendo cualquiera de las condiciones establecidas en él, cuando existan pruebas concretas y fiables de que es necesario para mantener el nivel de protección de la salud, la seguridad y los derechos fundamentales previsto en el presente Reglamento.

8.   Ninguna modificación de las condiciones establecidas en el apartado 3, párrafo segundo, adoptada de conformidad con los apartados 6 y 7 del presente artículo, reducirá el nivel global de protección de la salud, la seguridad y los derechos fundamentales previsto en el presente Reglamento, y cualquier modificación garantizará la coherencia con los actos delegados adoptados con arreglo al artículo 7, apartado 1, y tendrá en cuenta la evolución tecnológica y del mercado.

Artículo 7. Modificaciones del anexo III

1.   La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 97 al objeto de modificar el anexo III mediante la adición o modificación de casos de uso de sistemas de IA de alto riesgo cuando se reúnan las dos condiciones siguientes:

a) que los sistemas de IA estén destinados a ser utilizados en cualquiera de los ámbitos que figuran en el anexo III, y

b) que los sistemas de IA planteen un riesgo de perjudicar la salud y la seguridad o de tener repercusiones negativas en los derechos fundamentales, y que dicho riesgo sea equivalente a, o mayor que, el riesgo de perjuicio o de repercusiones negativas que plantean los sistemas de IA de alto riesgo que ya se mencionan en el anexo III.

2.   Cuando evalúe la condición prevista en el apartado 1, letra b), la Comisión tendrá en cuenta los criterios siguientes:

a) la finalidad prevista del sistema de IA;

b) la medida en que se haya utilizado o sea probable que se utilice un sistema de IA;

c) la naturaleza y la cantidad de los datos tratados y utilizados por el sistema de IA, en particular si se tratan categorías especiales de datos personales;

d) el grado de autonomía con el que actúa el sistema de IA y la posibilidad de que un ser humano anule una decisión o recomendaciones que puedan dar lugar a un perjuicio;

e) la medida en que la utilización de un sistema de IA ya haya causado un perjuicio a la salud y la seguridad, haya tenido repercusiones negativas en los derechos fundamentales o haya dado lugar a problemas importantes en relación con la probabilidad de dicho perjuicio o dichas repercusiones negativas, según demuestren, por ejemplo, los informes o las alegaciones documentadas que se presenten a las autoridades nacionales competentes o cualquier otro informe, según proceda;

f) el posible alcance de dicho perjuicio o dichas repercusiones negativas, en particular en lo que respecta a su intensidad y su capacidad para afectar a varias personas o afectar de manera desproporcionada a un determinado colectivo de personas;

g) la medida en que las personas que podrían sufrir dicho perjuicio o dichas repercusiones negativas dependan del resultado generado por un sistema de IA, en particular porque, por motivos prácticos o jurídicos, no sea razonablemente posible renunciar a dicho resultado;

h) la medida en que exista un desequilibrio de poder o las personas que podrían sufrir dicho perjuicio o dichas repercusiones negativas se encuentren en una posición de vulnerabilidad respecto del responsable del despliegue de un sistema de IA, en particular debido a su situación, autoridad, conocimientos, circunstancias económicas o sociales, o edad;

i) la medida en que sea fácil corregir o revertir el resultado generado utilizando un sistema de IA, teniendo en cuenta las soluciones técnicas disponibles para corregirlo o revertirlo y sin que deba considerarse que los resultados que afectan negativamente a la salud, la seguridad o los derechos fundamentales son fáciles de corregir o revertir;

j) la probabilidad de que el despliegue del sistema de IA resulte beneficioso para las personas, los colectivos o la sociedad en general, y la magnitud de este beneficio, incluidas posibles mejoras en la seguridad de los productos;

k) la medida en que el Derecho de la Unión vigente establezca:

i) vías de recurso efectivas en relación con los riesgos que plantea un sistema de IA, con exclusión de las acciones por daños y perjuicios,

ii) medidas efectivas para prevenir o reducir notablemente esos riesgos.

3.   La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 97 al objeto de modificar la lista del anexo III mediante la supresión de sistemas de IA de alto riesgo cuando se reúnan las dos condiciones siguientes:

a) que los sistemas de IA de alto riesgo de que se trate ya no planteen riesgos considerables para los derechos fundamentales, la salud o la seguridad, teniendo en cuenta los criterios enumerados en el apartado 2;

b) que la supresión no reduzca el nivel general de protección de la salud, la seguridad y los derechos fundamentales con arreglo al Derecho de la Unión.

SECCIÓN 2. Requisitos de los sistemas de IA de alto riesgo

Artículo 8. Cumplimiento de los requisitos

1.   Los sistemas de IA de alto riesgo cumplirán los requisitos establecidos en la presente sección, teniendo en cuenta sus finalidades previstas, así como el estado actual de la técnica generalmente reconocido en materia de IA y tecnologías relacionadas con la IA. A la hora de garantizar el cumplimiento de dichos requisitos se tendrá en cuenta el sistema de gestión de riesgos a que se refiere el artículo 9.

2.   Cuando un producto contenga un sistema de IA al que se apliquen los requisitos del presente Reglamento, así como los requisitos de los actos legislativos de armonización de la Unión enumerados en el anexo I, sección A, los proveedores serán responsables de garantizar que su producto cumpla plenamente todos los requisitos aplicables en virtud de los actos legislativos de armonización de la Unión que sean aplicables. Para garantizar el cumplimiento de los sistemas de IA de alto riesgo a que se refiere el apartado 1 de los requisitos establecidos en la presente sección, y con el fin de garantizar la coherencia, evitar duplicidades y reducir al mínimo las cargas adicionales, los proveedores podrán optar por integrar, según proceda, los procesos de prueba y presentación de información necesarios, y la información y la documentación que faciliten con respecto a su producto en documentación y procedimientos que ya existan y exijan los actos legislativos de armonización de la Unión enumerados en el anexo I, sección A.

Artículo 9. Sistema de gestión de riesgos

1.   Se establecerá, implantará, documentará y mantendrá un sistema de gestión de riesgos en relación con los sistemas de IA de alto riesgo.

2.   El sistema de gestión de riesgos se entenderá como un proceso iterativo continuo planificado y ejecutado durante todo el ciclo de vida de un sistema de IA de alto riesgo, que requerirá revisiones y actualizaciones sistemáticas periódicas. Constará de las siguientes etapas:

a) la determinación y el análisis de los riesgos conocidos y previsibles que el sistema de IA de alto riesgo pueda plantear para la salud, la seguridad o los derechos fundamentales cuando el sistema de IA de alto riesgo se utilice de conformidad con su finalidad prevista;

b) la estimación y la evaluación de los riesgos que podrían surgir cuando el sistema de IA de alto riesgo se utilice de conformidad con su finalidad prevista y cuando se le dé un uso indebido razonablemente previsible;

c) la evaluación de otros riesgos que podrían surgir, a partir del análisis de los datos recogidos con el sistema de vigilancia poscomercialización a que se refiere el artículo 72;

d) la adopción de medidas adecuadas y específicas de gestión de riesgos diseñadas para hacer frente a los riesgos detectados con arreglo a la letra a).

3.   Los riesgos a que se refiere el presente artículo son únicamente aquellos que pueden mitigarse o eliminarse razonablemente mediante el desarrollo o el diseño del sistema de IA de alto riesgo o el suministro de información técnica adecuada.

4.   Las medidas de gestión de riesgos mencionadas en el apartado 2, letra d), tendrán debidamente en cuenta los efectos y la posible interacción derivados de la aplicación combinada de los requisitos establecidos en la presente sección, con vistas a reducir al mínimo los riesgos de manera más eficaz al tiempo que se logra un equilibrio adecuado en la aplicación de las medidas para cumplir dichos requisitos.

5.   Las medidas de gestión de riesgos mencionadas en el apartado 2, letra d), considerarán aceptables los riesgos residuales pertinentes asociados a cada peligro, así como el riesgo residual general de los sistemas de IA de alto riesgo.

A la hora de determinar las medidas de gestión de riesgos más adecuadas, se procurará:

a) eliminar o reducir los riesgos detectados y evaluados de conformidad con el apartado 2 en la medida en que sea técnicamente viable mediante un diseño y un desarrollo adecuados del sistema de IA de alto riesgo;

b) implantar, cuando proceda, unas medidas de mitigación y control apropiadas que hagan frente a los riesgos que no puedan eliminarse;

c) proporcionar la información requerida conforme al artículo 13 y, cuando proceda, impartir formación a los responsables del despliegue.

Con vistas a eliminar o reducir los riesgos asociados a la utilización del sistema de IA de alto riesgo, se tendrán debidamente en cuenta los conocimientos técnicos, la experiencia, la educación y la formación que se espera que posea el responsable del despliegue, así como el contexto en el que está previsto que se utilice el sistema.

6.   Los sistemas de IA de alto riesgo serán sometidos a pruebas destinadas a determinar cuáles son las medidas de gestión de riesgos más adecuadas y específicas. Dichas pruebas comprobarán que los sistemas de IA de alto riesgo funcionan de manera coherente con su finalidad prevista y cumplen los requisitos establecidos en la presente sección.

7.   Los procedimientos de prueba podrán incluir pruebas en condiciones reales de conformidad con el artículo 60.

8.   Las pruebas de los sistemas de IA de alto riesgo se realizarán, según proceda, en cualquier momento del proceso de desarrollo y, en todo caso, antes de su introducción en el mercado o puesta en servicio. Las pruebas se realizarán utilizando parámetros y umbrales de probabilidades previamente definidos que sean adecuados para la finalidad prevista del sistema de IA de alto riesgo.

9.   Cuando se implante el sistema de gestión de riesgos previsto en los apartados 1 a 7, los proveedores prestarán atención a si, en vista de su finalidad prevista, es probable que el sistema de IA de alto riesgo afecte negativamente a las personas menores de dieciocho años y, en su caso, a otros colectivos vulnerables.

10.   En el caso de los proveedores de sistemas de IA de alto riesgo que estén sujetos a requisitos relativos a procesos internos de gestión de riesgos con arreglo a otras disposiciones pertinentes del Derecho de la Unión, los aspectos previstos en los apartados 1 a 9 podrán formar parte de los procedimientos de gestión de riesgos establecidos con arreglo a dicho Derecho, o combinarse con ellos.

Artículo 10. Datos y gobernanza de datos

1.   Los sistemas de IA de alto riesgo que utilizan técnicas que implican el entrenamiento de modelos de IA con datos se desarrollarán a partir de conjuntos de datos de entrenamiento, validación y prueba que cumplan los criterios de calidad a que se refieren los apartados 2 a 5 siempre que se utilicen dichos conjuntos de datos.

2.   Los conjuntos de datos de entrenamiento, validación y prueba se someterán a prácticas de gobernanza y gestión de datos adecuadas para la finalidad prevista del sistema de IA de alto riesgo. Dichas prácticas se centrarán, en particular, en lo siguiente:

a) las decisiones pertinentes relativas al diseño;

b) los procesos de recogida de datos y el origen de los datos y, en el caso de los datos personales, la finalidad original de la recogida de datos;

c) las operaciones de tratamiento oportunas para la preparación de los datos, como la anotación, el etiquetado, la depuración, la actualización, el enriquecimiento y la agregación;

d) la formulación de supuestos, en particular en lo que respecta a la información que se supone que miden y representan los datos;

e) una evaluación de la disponibilidad, la cantidad y la adecuación de los conjuntos de datos necesarios;

f) el examen atendiendo a posibles sesgos que puedan afectar a la salud y la seguridad de las personas, afectar negativamente a los derechos fundamentales o dar lugar a algún tipo de discriminación prohibida por el Derecho de la Unión, especialmente cuando las salidas de datos influyan en las informaciones de entrada de futuras operaciones;

g) medidas adecuadas para detectar, prevenir y mitigar posibles sesgos detectados con arreglo a la letra f);

h) la detección de lagunas o deficiencias pertinentes en los datos que impidan el cumplimiento del presente Reglamento, y la forma de subsanarlas.

3.   Los conjuntos de datos de entrenamiento, validación y prueba serán pertinentes, suficientemente representativos y, en la mayor medida posible, carecerán de errores y estarán completos en vista de su finalidad prevista. Asimismo, tendrán las propiedades estadísticas adecuadas, por ejemplo, cuando proceda, en lo que respecta a las personas o los colectivos de personas en relación con los cuales está previsto que se utilice el sistema de IA de alto riesgo. Los conjuntos de datos podrán reunir esas características para cada conjunto de datos individualmente o para una combinación de estos.

4.   Los conjuntos de datos tendrán en cuenta, en la medida necesaria para la finalidad prevista, las características o elementos particulares del entorno geográfico, contextual, conductual o funcional específico en el que está previsto que se utilice el sistema de IA de alto riesgo.

5.   En la medida en que sea estrictamente necesario para garantizar la detección y corrección de los sesgos asociados a los sistemas de IA de alto riesgo de conformidad con lo dispuesto en el apartado 2, letras f) y g), del presente artículo, los proveedores de dichos sistemas podrán tratar excepcionalmente las categorías especiales de datos personales siempre que ofrezcan las garantías adecuadas en relación con los derechos y las libertades fundamentales de las personas físicas. Además de las disposiciones establecidas en los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y la Directiva (UE) 2016/680, para que se produzca dicho tratamiento deben cumplirse todas las condiciones siguientes:

a) que el tratamiento de otros datos, como los sintéticos o los anonimizados, no permita efectuar de forma efectiva la detección y corrección de sesgos;

b) que las categorías especiales de datos personales estén sujetas a limitaciones técnicas relativas a la reutilización de los datos personales y a medidas punteras en materia de seguridad y protección de la intimidad, incluida la seudonimización;

c) que las categorías especiales de datos personales estén sujetas a medidas para garantizar que los datos personales tratados estén asegurados, protegidos y sujetos a garantías adecuadas, incluidos controles estrictos y documentación del acceso, a fin de evitar el uso indebido y garantizar que solo las personas autorizadas tengan acceso a dichos datos personales con obligaciones de confidencialidad adecuadas;

d) que las categorías especiales de datos personales no se transmitan ni transfieran a terceros y que estos no puedan acceder de ningún otro modo a ellos;

e) que las categorías especiales de datos personales se eliminen una vez que se haya corregido el sesgo o los datos personales hayan llegado al final de su período de conservación, si esta fecha es anterior;

f) que los registros de las actividades de tratamiento con arreglo a los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y la Directiva (UE) 2016/680 incluyan las razones por las que el tratamiento de categorías especiales de datos personales era estrictamente necesario para detectar y corregir sesgos, y por las que ese objetivo no podía alcanzarse mediante el tratamiento de otros datos.

6.   Para el desarrollo de sistemas de IA de alto riesgo que no empleen técnicas que impliquen el entrenamiento de modelos de IA, los apartados 2 a 5 se aplicarán únicamente a los conjuntos de datos de prueba.

Artículo 11. Documentación técnica

1.   La documentación técnica de un sistema de IA de alto riesgo se elaborará antes de su introducción en el mercado o puesta en servicio, y se mantendrá actualizada.

La documentación técnica se redactará de modo que demuestre que el sistema de IA de alto riesgo cumple los requisitos establecidos en la presente sección y que proporcione de manera clara y completa a las autoridades nacionales competentes y a los organismos notificados la información necesaria para evaluar la conformidad del sistema de IA con dichos requisitos. Contendrá, como mínimo, los elementos contemplados en el anexo IV. Las pymes, incluidas las empresas emergentes, podrán facilitar los elementos de la documentación técnica especificada en el anexo IV de manera simplificada. A tal fin, la Comisión establecerá un formulario simplificado de documentación técnica orientado a las necesidades de las pequeñas empresas y las microempresas. Cuando una pyme, incluidas las empresas emergentes, opte por facilitar la información exigida en el anexo IV de manera simplificada, utilizará el formulario a que se refiere el presente apartado. Los organismos notificados aceptarán dicho formulario a efectos de la evaluación de la conformidad.

2.   Cuando se introduzca en el mercado o se ponga en servicio un sistema de IA de alto riesgo asociado a un producto que entre en el ámbito de aplicación de los actos legislativos de armonización de la Unión mencionados en el anexo I, sección A, se elaborará un único conjunto de documentos técnicos que contenga toda la información mencionada en el apartado 1, así como la información que exijan dichos actos legislativos.

3.   La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 97 al objeto de modificar el anexo IV, cuando sea necesario, para garantizar que, en vista de los avances técnicos, la documentación técnica proporcione toda la información necesaria para evaluar si el sistema cumple los requisitos establecidos en la presente sección.

Artículo 12. Conservación de registros

1.   Los sistemas de IA de alto riesgo permitirán técnicamente el registro automático de acontecimientos (en lo sucesivo, «archivos de registro») a lo largo de todo el ciclo de vida del sistema.

2.   Para garantizar un nivel de trazabilidad del funcionamiento del sistema de IA de alto riesgo que resulte adecuado para la finalidad prevista del sistema, las capacidades de registro permitirán que se registren acontecimientos pertinentes para:

a) la detección de situaciones que puedan dar lugar a que el sistema de IA de alto riesgo presente un riesgo en el sentido del artículo 79, apartado 1, o a una modificación sustancial;

b) la facilitación de la vigilancia poscomercialización a que se refiere el artículo 72, y

c) la vigilancia del funcionamiento de los sistemas de IA de alto riesgo a que se refiere el artículo 26, apartado 5.

3.   En el caso de los sistemas de IA de alto riesgo mencionados en el anexo III, punto 1, letra a), las capacidades de registro incluirán, como mínimo:

a) un registro del período de cada uso del sistema (la fecha y la hora de inicio y la fecha y la hora de finalización de cada uso);

b) la base de datos de referencia con la que el sistema ha cotejado los datos de entrada;

c) los datos de entrada con los que la búsqueda ha arrojado una correspondencia;

d) la identificación de las personas físicas implicadas en la verificación de los resultados que se mencionan en el artículo 14, apartado 5.

Artículo 13. Transparencia y comunicación de información a los responsables del despliegue

1.   Los sistemas de IA de alto riesgo se diseñarán y desarrollarán de un modo que se garantice que funcionan con un nivel de transparencia suficiente para que los responsables del despliegue interpreten y usen correctamente sus resultados de salida. Se garantizará un tipo y un nivel de transparencia adecuados para que el proveedor y el responsable del despliegue cumplan las obligaciones pertinentes previstas en la sección 3.

2.   Los sistemas de IA de alto riesgo irán acompañados de las instrucciones de uso correspondientes en un formato digital o de otro tipo adecuado, las cuales incluirán información concisa, completa, correcta y clara que sea pertinente, accesible y comprensible para los responsables del despliegue.

3.   Las instrucciones de uso contendrán al menos la siguiente información:

a)la identidad y los datos de contacto del proveedor y, en su caso, de su representante autorizado;

b) las características, capacidades y limitaciones del funcionamiento del sistema de IA de alto riesgo, con inclusión de:

i) su finalidad prevista,

ii) el nivel de precisión (incluidos los parámetros para medirla), solidez y ciberseguridad mencionado en el artículo 15 con respecto al cual se haya probado y validado el sistema de IA de alto riesgo y que puede esperarse, así como cualquier circunstancia conocida y previsible que pueda afectar al nivel de precisión, solidez y ciberseguridad esperado,

iii) cualquier circunstancia conocida o previsible, asociada a la utilización del sistema de IA de alto riesgo conforme a su finalidad prevista o a un uso indebido razonablemente previsible, que pueda dar lugar a riesgos para la salud y la seguridad o los derechos fundamentales a que se refiere el artículo 9, apartado 2,

iv) en su caso, las capacidades y características técnicas del sistema de IA de alto riesgo para proporcionar información pertinente para explicar sus resultados de salida,

v) cuando proceda, su funcionamiento con respecto a determinadas personas o determinados colectivos de personas en relación con los que esté previsto utilizar el sistema,

vi) cuando proceda, especificaciones relativas a los datos de entrada, o cualquier otra información pertinente en relación con los conjuntos de datos de entrenamiento, validación y prueba usados, teniendo en cuenta la finalidad prevista del sistema de IA de alto riesgo,

vii) en su caso, información que permita a los responsables del despliegue interpretar los resultados de salida del sistema de IA de alto riesgo y utilizarla adecuadamente;

c) los cambios en el sistema de IA de alto riesgo y su funcionamiento predeterminados por el proveedor en el momento de efectuar la evaluación de la conformidad inicial, en su caso;

d) las medidas de supervisión humana a que se hace referencia en el artículo 14, incluidas las medidas técnicas establecidas para facilitar la interpretación de los resultados de salida de los sistemas de IA de alto riesgo por parte de los responsables del despliegue;

e) los recursos informáticos y de hardware necesarios, la vida útil prevista del sistema de IA de alto riesgo y las medidas de mantenimiento y cuidado necesarias (incluida su frecuencia) para garantizar el correcto funcionamiento de dicho sistema, también en lo que respecta a las actualizaciones del software;

f) cuando proceda, una descripción de los mecanismos incluidos en el sistema de IA de alto riesgo que permita a los responsables del despliegue recabar, almacenar e interpretar correctamente los archivos de registro de conformidad con el artículo 12.

Artículo 14. Supervisión humana

1.   Los sistemas de IA de alto riesgo se diseñarán y desarrollarán de modo que puedan ser vigilados de manera efectiva por personas físicas durante el período que estén en uso, lo que incluye dotarlos de herramientas de interfaz humano-máquina adecuadas.

2.   El objetivo de la supervisión humana será prevenir o reducir al mínimo los riesgos para la salud, la seguridad o los derechos fundamentales que pueden surgir cuando se utiliza un sistema de IA de alto riesgo conforme a su finalidad prevista o cuando se le da un uso indebido razonablemente previsible, en particular cuando dichos riesgos persistan a pesar de la aplicación de otros requisitos establecidos en la presente sección.

3.   Las medidas de supervisión serán proporcionales a los riesgos, al nivel de autonomía y al contexto de uso del sistema de IA de alto riesgo, y se garantizarán bien mediante uno de los siguientes tipos de medidas, bien mediante ambos:

a) las medidas que el proveedor defina y que integre, cuando sea técnicamente viable, en el sistema de IA de alto riesgo antes de su introducción en el mercado o su puesta en servicio;

b) las medidas que el proveedor defina antes de la introducción del sistema de IA de alto riesgo en el mercado o de su puesta en servicio y que sean adecuadas para que las ponga en práctica el responsable del despliegue.

4.   A efectos de la puesta en práctica de lo dispuesto en los apartados 1, 2 y 3, el sistema de IA de alto riesgo se ofrecerá al responsable del despliegue de tal modo que las personas físicas a quienes se encomiende la supervisión humana puedan, según proceda y de manera proporcionada a:

a) entender adecuadamente las capacidades y limitaciones pertinentes del sistema de IA de alto riesgo y poder vigilar debidamente su funcionamiento, por ejemplo, con vistas a detectar y resolver anomalías, problemas de funcionamiento y comportamientos inesperados;

b) ser conscientes de la posible tendencia a confiar automáticamente o en exceso en los resultados de salida generados por un sistema de IA de alto riesgo («sesgo de automatización»), en particular con aquellos sistemas que se utilizan para aportar información o recomendaciones con el fin de que personas físicas adopten una decisión;

c) interpretar correctamente los resultados de salida del sistema de IA de alto riesgo, teniendo en cuenta, por ejemplo, los métodos y herramientas de interpretación disponibles;

d) decidir, en cualquier situación concreta, no utilizar el sistema de IA de alto riesgo o descartar, invalidar o revertir los resultados de salida que este genere;

e) intervenir en el funcionamiento del sistema de IA de alto riesgo o interrumpir el sistema pulsando un botón de parada o mediante un procedimiento similar que permita que el sistema se detenga de forma segura.

5.   En el caso de los sistemas de IA de alto riesgo mencionados en el anexo III, punto 1, letra a), las medidas a que se refiere el apartado 3 del presente artículo garantizarán, además, que el responsable del despliegue no actúe ni tome ninguna decisión basándose en la identificación generada por el sistema, salvo si al menos dos personas físicas con la competencia, formación y autoridad necesarias han verificado y confirmado por separado dicha identificación.

El requisito de la verificación por parte de al menos dos personas físicas por separado no se aplicará a los sistemas de IA de alto riesgo utilizados con fines de garantía del cumplimiento del Derecho, de migración, de control fronterizo o de asilo cuando el Derecho nacional o de la Unión considere que la aplicación de este requisito es desproporcionada.

Artículo 15. Precisión, solidez y ciberseguridad

1.   Los sistemas de IA de alto riesgo se diseñarán y desarrollarán de modo que alcancen un nivel adecuado de precisión, solidez y ciberseguridad y funcionen de manera uniforme en esos sentidos durante todo su ciclo de vida.

2.   Para abordar los aspectos técnicos sobre la forma de medir los niveles adecuados de precisión y solidez establecidos en el apartado 1 y cualquier otro parámetro de rendimiento pertinente, la Comisión, en cooperación con las partes interesadas y organizaciones pertinentes, como las autoridades de metrología y de evaluación comparativa, fomentará, según proceda, el desarrollo de parámetros de referencia y metodologías de medición.

3.   En las instrucciones de uso que acompañen a los sistemas de IA de alto riesgo se indicarán los niveles de precisión de dichos sistemas, así como los parámetros pertinentes para medirla.

4.   Los sistemas de IA de alto riesgo serán lo más resistentes posible en lo que respecta a los errores, fallos o incoherencias que pueden surgir en los propios sistemas o en el entorno en el que funcionan, en particular a causa de su interacción con personas físicas u otros sistemas. Se adoptarán medidas técnicas y organizativas a este respecto.

La solidez de los sistemas de IA de alto riesgo puede lograrse mediante soluciones de redundancia técnica, tales como copias de seguridad o planes de prevención contra fallos.

Los sistemas de IA de alto riesgo que continúan aprendiendo tras su introducción en el mercado o puesta en servicio se desarrollarán de tal modo que se elimine o reduzca lo máximo posible el riesgo de que los resultados de salida que pueden estar sesgados influyan en la información de entrada de futuras operaciones (bucles de retroalimentación) y se garantice que dichos bucles se subsanen debidamente con las medidas de reducción de riesgos adecuadas.

5.   Los sistemas de IA de alto riesgo serán resistentes a los intentos de terceros no autorizados de alterar su uso, sus resultados de salida o su funcionamiento aprovechando las vulnerabilidades del sistema.

Las soluciones técnicas encaminadas a garantizar la ciberseguridad de los sistemas de IA de alto riesgo serán adecuadas a las circunstancias y los riesgos pertinentes.

Entre las soluciones técnicas destinadas a subsanar vulnerabilidades específicas de la IA figurarán, según corresponda, medidas para prevenir, detectar, combatir, resolver y controlar los ataques que traten de manipular el conjunto de datos de entrenamiento («envenenamiento de datos»), o los componentes entrenados previamente utilizados en el entrenamiento («envenenamiento de modelos»), la información de entrada diseñada para hacer que el modelo de IA cometa un error («ejemplos adversarios» o «evasión de modelos»), los ataques a la confidencialidad o los defectos en el modelo.

SECCIÓN 3. Obligaciones de los proveedores y responsables del despliegue de sistemas de IA de alto riesgo y de otras partes

Artículo 16. Obligaciones de los proveedores de sistemas de IA de alto riesgo

Los proveedores de sistemas de IA de alto riesgo:

a) velarán por que sus sistemas de IA de alto riesgo cumplan los requisitos definidos en la sección 2;

b) indicarán en el sistema de IA de alto riesgo o, cuando no sea posible, en el embalaje del sistema o en la documentación que lo acompañe, según proceda, su nombre, su nombre comercial registrado o marca registrada y su dirección de contacto;

c) contarán con un sistema de gestión de la calidad que cumpla lo dispuesto en el artículo 17;

d) conservarán la documentación a que se refiere el artículo 18;

e) cuando estén bajo su control, conservarán los archivos de registro generados automáticamente por sus sistemas de IA de alto riesgo a que se refiere el artículo 19;

f) se asegurarán de que los sistemas de IA de alto riesgo sean sometidos al procedimiento pertinente de evaluación de la conformidad a que se refiere el artículo 43 antes de su introducción en el mercado o puesta en servicio;

g) elaborarán una declaración UE de conformidad en virtud de lo dispuesto en el artículo 47;

h) colocará el marcado CE en el sistema de IA de alto riesgo o, cuando no sea posible, en su embalaje o en la documentación que lo acompañe, para indicar la conformidad con el presente Reglamento, de acuerdo con lo dispuesto en el artículo 48;

i) cumplirán las obligaciones de registro a que se refiere el artículo 49, apartado 1;

j) adoptarán las medidas correctoras necesarias y facilitarán la información exigida en el artículo 20;

k) demostrarán, previa solicitud motivada de la autoridad nacional competente, la conformidad del sistema de IA de alto riesgo con los requisitos establecidos en la sección 2;

l) velarán por que el sistema de IA de alto riesgo cumpla requisitos de accesibilidad de conformidad con las Directivas (UE) 2016/2102 y (UE) 2019/882.

Artículo 17. Sistema de gestión de la calidad

1.   Los proveedores de sistemas de IA de alto riesgo establecerán un sistema de gestión de la calidad que garantice el cumplimiento del presente Reglamento. Dicho sistema deberá consignarse de manera sistemática y ordenada en documentación en la que se recojan las políticas, los procedimientos y las instrucciones e incluirá, al menos, los siguientes aspectos:

a) una estrategia para el cumplimiento de la normativa, incluido el cumplimiento de los procedimientos de evaluación de la conformidad y de los procedimientos de gestión de las modificaciones de los sistemas de IA de alto riesgo;

b) las técnicas, los procedimientos y las actuaciones sistemáticas que se utilizarán en el diseño y el control y la verificación del diseño del sistema de IA de alto riesgo;

c) las técnicas, los procedimientos y las actuaciones sistemáticas que se utilizarán en el desarrollo del sistema de IA de alto riesgo y en el control y el aseguramiento de la calidad de este;

d) los procedimientos de examen, prueba y validación que se llevarán a cabo antes, durante y después del desarrollo del sistema de IA de alto riesgo, así como la frecuencia con que se ejecutarán;

e) las especificaciones técnicas, incluidas las normas, que se aplicarán y, cuando las normas armonizadas pertinentes no se apliquen en su totalidad o no cubran todos los requisitos pertinentes establecidos en la sección 2, los medios que se utilizarán para velar por que el sistema de IA de alto riesgo cumpla dichos requisitos;

f) los sistemas y procedimientos de gestión de datos, lo que incluye su adquisición, recopilación, análisis, etiquetado, almacenamiento, filtrado, prospección, agregación, conservación y cualquier otra operación relacionada con los datos que se lleve a cabo antes de la introducción en el mercado o puesta en servicio de sistemas de IA de alto riesgo y con esa finalidad;

g) el sistema de gestión de riesgos que se menciona en el artículo 9;

h) el establecimiento, aplicación y mantenimiento de un sistema de vigilancia poscomercialización de conformidad con el artículo 72;

i) los procedimientos asociados a la notificación de un incidente grave con arreglo al artículo 73;

j) la gestión de la comunicación con las autoridades nacionales competentes, otras autoridades pertinentes, incluidas las que permiten acceder a datos o facilitan el acceso a ellos, los organismos notificados, otros operadores, los clientes u otras partes interesadas;

k) los sistemas y procedimientos para llevar un registro de toda la documentación e información pertinente;

l) la gestión de los recursos, incluidas medidas relacionadas con la seguridad del suministro;

m) un marco de rendición de cuentas que defina las responsabilidades del personal directivo y de otra índole en relación con todos los aspectos enumerados en este apartado.

2.   La aplicación de los aspectos mencionados en el apartado 1 será proporcional al tamaño de la organización del proveedor. Los proveedores respetarán, en todo caso, el grado de rigor y el nivel de protección requerido para garantizar la conformidad de sus sistemas de IA de alto riesgo con el presente Reglamento.

3.   Los proveedores de sistemas de IA de alto riesgo que estén sujetos a obligaciones relativas a los sistemas de gestión de la calidad o una función equivalente con arreglo al Derecho sectorial pertinente de la Unión podrán incluir los aspectos enumerados en el apartado 1 como parte de los sistemas de gestión de la calidad con arreglo a dicho Derecho.

4.   En el caso de los proveedores que sean entidades financieras sujetas a requisitos relativos a su gobernanza, sus sistemas o sus procesos internos en virtud del Derecho de la Unión en materia de servicios financieros, se considerará que se ha cumplido la obligación de establecer un sistema de gestión de la calidad, salvo en relación con lo dispuesto en el apartado 1, letras g), h) e i), del presente artículo cuando se respeten las normas sobre los sistemas o procesos de gobernanza interna de acuerdo con el Derecho pertinente de la Unión en materia de servicios financieros. A tal fin, se tendrán en cuenta todas las normas armonizadas que se mencionan en el artículo 40.

Artículo 18. Conservación de la documentación

1.   Durante un período de diez años a contar desde la introducción en el mercado o la puesta en servicio del sistema de IA de alto riesgo, el proveedor mantendrá a disposición de las autoridades nacionales competentes:

a) la documentación técnica a que se refiere el artículo 11;

b) la documentación relativa al sistema de gestión de la calidad a que se refiere el artículo 17;

c) la documentación relativa a los cambios aprobados por los organismos notificados, si procede;

d) las decisiones y otros documentos expedidos por los organismos notificados, si procede;

e) la declaración UE de conformidad contemplada en el artículo 47.

2.   Cada Estado miembro determinará las condiciones en las que la documentación a que se refiere el apartado 1 permanecerá a disposición de las autoridades nacionales competentes durante el período indicado en dicho apartado en los casos en que un proveedor o su representante autorizado establecido en su territorio quiebre o cese en su actividad antes del final de dicho período.

3.   Los proveedores que sean entidades financieras sujetas a requisitos relativos a su gobernanza, sus sistemas o sus procesos internos en virtud del Derecho de la Unión en materia de servicios financieros mantendrán la documentación técnica como parte de la documentación conservada en virtud del Derecho pertinente de la Unión en materia de servicios financieros.

Artículo 19. Archivos de registro generados automáticamente

1.   Los proveedores de sistemas de IA de alto riesgo conservarán los archivos de registro a que se refiere el artículo 12, apartado 1, que los sistemas de IA de alto riesgo generen automáticamente en la medida en que dichos archivos estén bajo su control. Sin perjuicio del Derecho aplicable de la Unión o nacional, los archivos de registro se conservarán durante un período de tiempo adecuado para la finalidad prevista del sistema de IA de alto riesgo, de al menos seis meses, salvo que el Derecho de la Unión o nacional aplicable, en particular el Derecho de la Unión en materia de protección de datos personales, disponga otra cosa.

2.   Los proveedores que sean entidades financieras sujetas a requisitos relativos a su gobernanza, sus sistemas o sus procesos internos en virtud del Derecho de la Unión en materia de servicios financieros mantendrán los archivos de registro generados automáticamente por sus sistemas de IA de alto riesgo como parte de la documentación conservada en virtud del Derecho pertinente en materia de servicios financieros.

Artículo 20. Medidas correctoras y obligación de información

1.   Los proveedores de sistemas de IA de alto riesgo que consideren o tengan motivos para considerar que un sistema de IA de alto riesgo que han introducido en el mercado o puesto en servicio no es conforme con el presente Reglamento adoptarán inmediatamente las medidas correctoras necesarias para que sea conforme, para retirarlo del mercado, desactivarlo o recuperarlo, según proceda. Informarán de ello a los distribuidores del sistema de IA de alto riesgo de que se trate y, en su caso, a los responsables del despliegue, al representante autorizado y a los importadores.

2.   Cuando un sistema de IA de alto riesgo presente un riesgo en el sentido del artículo 79, apartado 1, y el proveedor tenga conocimiento de dicho riesgo, este investigará inmediatamente las causas, en colaboración con el responsable del despliegue que lo haya notificado, en su caso, e informará a las autoridades de vigilancia del mercado competentes respecto al sistema de IA de alto riesgo de que se trate y, cuando proceda, al organismo notificado que haya expedido un certificado para dicho sistema de conformidad con lo dispuesto en el artículo 44, en particular sobre la naturaleza del incumplimiento y sobre cualquier medida correctora adoptada.

Artículo 21. Cooperación con las autoridades competentes

1.   Los proveedores de sistemas de IA de alto riesgo, previa solicitud motivada de una autoridad competente, proporcionarán a dicha autoridad toda la información y la documentación necesarias para demostrar la conformidad del sistema de IA de alto riesgo con los requisitos establecidos en la sección 2, en una lengua que la autoridad pueda entender fácilmente y que sea una de las lenguas oficiales de las instituciones de la Unión, indicada por el Estado miembro de que se trate.

2.   Previa solicitud motivada de una autoridad competente, los proveedores darán también a dicha autoridad, cuando proceda, acceso a los archivos de registro generados automáticamente del sistema de IA de alto riesgo a que se refiere el artículo 12, apartado 1, en la medida en que dichos archivos estén bajo su control.

3.   Toda información obtenida por una autoridad competente con arreglo al presente artículo se tratará de conformidad con las obligaciones de confidencialidad establecidas en el artículo 78.

Artículo 22. Representantes autorizados de los proveedores de sistemas de IA de alto riesgo

1.   Antes de comercializar sus sistemas de IA de alto riesgo en el mercado de la Unión, los proveedores establecidos en terceros países tendrán que nombrar, mediante un mandato escrito, a un representante autorizado que esté establecido en la Unión.

2.   Los proveedores permitirán que su representante autorizado pueda efectuar las tareas especificadas en el mandato recibido del proveedor.

3.   Los representantes autorizados efectuarán las tareas especificadas en el mandato recibido del proveedor. Facilitarán a las autoridades de vigilancia del mercado, cuando lo soliciten, una copia del mandato en una de las lenguas oficiales de las instituciones de la Unión según lo indicado por la autoridad de competente. A los efectos del presente Reglamento, el mandato habilitará al representante autorizado para realizar las tareas siguientes:

a) verificar que se han elaborado la declaración UE de conformidad a que se refiere el artículo 47 y la documentación técnica a que se refiere el artículo 11 y que el proveedor ha llevado a cabo un procedimiento de evaluación de la conformidad adecuado;

b) conservar a disposición de las autoridades competentes y de las autoridades u organismos nacionales a que se refiere el artículo 74, apartado 10, durante un período de diez años a contar desde la introducción en el mercado o la puesta en servicio del sistema de IA de alto riesgo, los datos de contacto del proveedor que haya nombrado al representante autorizado, una copia de la declaración UE de conformidad a que se refiere el artículo 47, la documentación técnica y, en su caso, el certificado expedido por el organismo notificado;

c) proporcionar a una autoridad competente, previa solicitud motivada, toda la información y la documentación, incluida la mencionada en el presente párrafo, letra b), que sean necesarias para demostrar la conformidad de un sistema de IA de alto riesgo con los requisitos establecidos en la sección 2, incluido el acceso a los archivos de registro a que se refiere el artículo 12, apartado 1, generados automáticamente por ese sistema, en la medida en que dichos archivos estén bajo el control del proveedor;

d) cooperar con las autoridades competentes, previa solicitud motivada, en todas las acciones que estas emprendan en relación con el sistema de IA de alto riesgo, en particular para reducir y mitigar los riesgos que este presente;

e) cuando proceda, cumplir las obligaciones de registro a que se refiere el artículo 49, apartado 1, o si el registro lo lleva a cabo el propio proveedor, garantizar que la información a que se refiere el anexo VIII, sección A, punto 3, es correcta.

El mandato habilitará al representante autorizado para que las autoridades competentes se pongan en contacto con él, además de con el proveedor o en lugar de con el proveedor, con referencia a todas las cuestiones relacionadas con la garantía del cumplimiento del presente Reglamento.

4.   El representante autorizado pondrá fin al mandato si considera o tiene motivos para considerar que el proveedor contraviene las obligaciones que le atañen con arreglo al presente Reglamento. En tal caso, además, informará de inmediato de la terminación del mandato y de los motivos de esta medida a la autoridad de vigilancia del mercado pertinente, así como, cuando proceda, al organismo notificado pertinente.

Artículo 23. Obligaciones de los importadores

1.   Antes de introducir un sistema de IA de alto riesgo en el mercado, los importadores se asegurarán de que el sistema sea conforme con el presente Reglamento verificando que:

a) el proveedor del sistema de IA de alto riesgo haya llevado a cabo el procedimiento de evaluación de la conformidad pertinente a que se refiere el artículo 43;

b) el proveedor haya elaborado la documentación técnica de conformidad con el artículo 11 y el anexo IV;

c) el sistema lleve el marcado CE exigido y vaya acompañado de la declaración UE de conformidad a que se refiere el artículo 47 y de las instrucciones de uso;

d) el proveedor haya designado a un representante autorizado de conformidad con el artículo 22, apartado 1.

2.   Si el importador tiene motivos suficientes para considerar que un sistema de IA de alto riesgo no es conforme con el presente Reglamento, ha sido falsificado o va acompañado de documentación falsificada, no lo introducirá en el mercado hasta que se haya conseguido la conformidad de dicho sistema. Si el sistema de IA de alto riesgo presenta un riesgo en el sentido del artículo 79, apartado 1, el importador informará de ello al proveedor del sistema, a los representantes autorizados y a las autoridades de vigilancia del mercado.

3.   Los importadores indicarán, en el embalaje del sistema de IA de alto riesgo o en la documentación que lo acompañe, cuando proceda, su nombre, su nombre comercial registrado o marca registrada y su dirección de contacto.

4.   Mientras sean responsables de un sistema de IA de alto riesgo, los importadores se asegurarán de que las condiciones de almacenamiento o transporte, cuando proceda, no comprometan el cumplimiento de los requisitos establecidos en la sección 2 por parte de dicho sistema.

5.   Los importadores conservarán, durante un período de diez años a contar desde la introducción en el mercado o la puesta en servicio del sistema de IA de alto riesgo, una copia del certificado expedido por el organismo notificado, en su caso, de las instrucciones de uso y de la declaración UE de conformidad a que se refiere el artículo 47.

6.   Los importadores proporcionarán a las autoridades competentes pertinentes, previa solicitud motivada, toda la información y la documentación, incluidas las referidas en el apartado 5, que sean necesarias para demostrar la conformidad de un sistema de IA de alto riesgo con los requisitos establecidos en la sección 2 en una lengua que estas puedan entender fácilmente. A tal efecto, velarán asimismo por que la documentación técnica pueda ponerse a disposición de esas autoridades.

7.   Los importadores cooperarán con las autoridades competentes pertinentes en cualquier medida que estas adopten en relación con un sistema de IA de alto riesgo introducido en el mercado por los importadores, en particular para reducir y mitigar los riesgos que este presente.

Artículo 24. Obligaciones de los distribuidores

1.   Antes de comercializar un sistema de IA de alto riesgo, los distribuidores verificarán que este lleve el marcado CE exigido, que vaya acompañado de una copia de la declaración UE de conformidad a que se refiere el artículo 47 y de las instrucciones de uso, y que el proveedor y el importador de dicho sistema, según corresponda, hayan cumplido sus obligaciones establecidas en el artículo 16, letras b) y c), y el artículo 23, apartado 3, respectivamente.

2.   Si un distribuidor considera o tiene motivos para considerar, con arreglo a la información en su poder, que un sistema de IA de alto riesgo no es conforme con los requisitos establecidos en la sección 2, no lo comercializará hasta que se haya conseguido esa conformidad. Además, si el sistema de IA de alto riesgo presenta un riesgo en el sentido del artículo 79, apartado 1, el distribuidor informará de ello al proveedor o importador del sistema, según corresponda.

3.   Mientras sean responsables de un sistema de IA de alto riesgo, los distribuidores se asegurarán de que las condiciones de almacenamiento o transporte, cuando proceda, no comprometen el cumplimiento por parte del sistema de los requisitos establecidos en la sección 2.

4.   Los distribuidores que consideren o tengan motivos para considerar, con arreglo a la información en su poder, que un sistema de IA de alto riesgo que han comercializado no es conforme con los requisitos establecidos en la sección 2 adoptarán las medidas correctoras necesarias para que sea conforme, para retirarlo del mercado o recuperarlo, o velarán por que el proveedor, el importador u otro operador pertinente, según proceda, adopte dichas medidas correctoras. Cuando un sistema de IA de alto riesgo presente un riesgo en el sentido del artículo 79, apartado 1, su distribuidor informará inmediatamente de ello al proveedor o al importador del sistema y a las autoridades competentes respecto al sistema de IA de alto riesgo de que se trate y dará detalles, en particular, sobre la no conformidad y las medidas correctoras adoptadas.

5.   Previa solicitud motivada de una autoridad competente pertinente, los distribuidores de un sistema de IA de alto riesgo proporcionarán a esa autoridad toda la información y la documentación relativas a sus actuaciones con arreglo a los apartados 1 a 4 que sean necesarias para demostrar que dicho sistema cumple los requisitos establecidos en la sección 2.

6.   Los distribuidores cooperarán con las autoridades competentes pertinentes en cualquier medida que estas adopten en relación con un sistema de IA de alto riesgo comercializado por los distribuidores, en particular para reducir o mitigar los riesgos que este presente.

Artículo 25. Responsabilidades a lo largo de la cadena de valor de la IA

1.   Cualquier distribuidor, importador, responsable del despliegue o tercero será considerado proveedor de un sistema de IA de alto riesgo a los efectos del presente Reglamento y estará sujeto a las obligaciones del proveedor previstas en el artículo 16 en cualquiera de las siguientes circunstancias:

a) cuando ponga su nombre o marca en un sistema de IA de alto riesgo previamente introducido en el mercado o puesto en servicio, sin perjuicio de los acuerdos contractuales que estipulen que las obligaciones se asignan de otro modo;

b) cuando modifique sustancialmente un sistema de IA de alto riesgo que ya haya sido introducido en el mercado o puesto en servicio de tal manera que siga siendo un sistema de IA de alto riesgo con arreglo al artículo 6;

c) cuando modifique la finalidad prevista de un sistema de IA, incluido un sistema de IA de uso general, que no haya sido considerado de alto riesgo y ya haya sido introducido en el mercado o puesto en servicio, de tal manera que el sistema de IA de que se trate se convierta en un sistema de IA de alto riesgo de conformidad con el artículo 6.

2.   Cuando se den las circunstancias mencionadas en el apartado 1, el proveedor que inicialmente haya introducido en el mercado el sistema de IA o lo haya puesto en servicio dejará de ser considerado proveedor de ese sistema de IA específico a efectos del presente Reglamento. Ese proveedor inicial cooperará estrechamente con los nuevos proveedores y facilitará la información necesaria, el acceso técnico u otra asistencia razonablemente previstos que sean necesarios para el cumplimiento de las obligaciones establecidas en el presente Reglamento, en particular en lo que respecta al cumplimiento de la evaluación de la conformidad de los sistemas de IA de alto riesgo. El presente apartado no se aplicará en los casos en que el proveedor inicial haya indicado claramente que su sistema de IA no debe ser transformado en un sistema de IA de alto riesgo y, por lo tanto, no está sujeto a la obligación de facilitar la documentación.

3.   En el caso de los sistemas de IA de alto riesgo que sean componentes de seguridad de productos contemplados en los actos legislativos de armonización de la Unión enumerados en el anexo I, sección A, el fabricante del producto será considerado proveedor del sistema de IA de alto riesgo y estará sujeto a las obligaciones previstas en el artículo 16 en alguna de las siguientes circunstancias:

a) que el sistema de IA de alto riesgo se introduzca en el mercado junto con el producto bajo el nombre o la marca del fabricante del producto;

b) que el sistema de IA de alto riesgo se ponga en servicio bajo el nombre o la marca del fabricante del producto después de que el producto haya sido introducido en el mercado.

4.   El proveedor de un sistema de IA de alto riesgo y el tercero que suministre un sistema de IA de alto riesgo, herramientas, servicios, componentes o procesos que se utilicen o integren en un sistema de IA de alto riesgo especificarán, mediante acuerdo escrito, la información, las capacidades, el acceso técnico y otra asistencia que sean necesarios, sobre la base del estado de la técnica generalmente reconocido, para que el proveedor del sistema de IA de alto riesgo pueda cumplir plenamente las obligaciones establecidas en el presente Reglamento. El presente apartado no se aplicará a terceros que pongan a disposición del público herramientas, servicios, procesos o componentes distintos de modelos de IA de uso general, en el marco de una licencia libre y de código abierto.

La Oficina de IA podrá elaborar y recomendar cláusulas contractuales tipo, de carácter voluntario, entre los proveedores de sistemas de IA de alto riesgo y terceros que suministren herramientas, servicios, componentes o procesos que se utilicen o integren en los sistemas de IA de alto riesgo. Cuando elabore esas cláusulas contractuales tipo de carácter voluntario, la Oficina de IA tendrá en cuenta los posibles requisitos contractuales aplicables en determinados sectores o modelos de negocio. Las cláusulas contractuales tipo de carácter voluntario se publicarán y estarán disponibles gratuitamente en un formato electrónico fácilmente utilizable.

5.   Los apartados 2 y 3 se entenderán sin perjuicio de la necesidad de observar y proteger los derechos de propiedad intelectual e industrial, la información empresarial confidencial y los secretos comerciales, de conformidad con el Derecho de la Unión y nacional.

Artículo 26. Obligaciones de los responsables del despliegue de sistemas de IA de alto riesgo

1.   Los responsables del despliegue de sistemas de IA de alto riesgo adoptarán medidas técnicas y organizativas adecuadas para garantizar que utilizan dichos sistemas con arreglo a las instrucciones de uso que los acompañen, de acuerdo con los apartados 3 y 6.

2.   Los responsables del despliegue encomendarán la supervisión humana a personas físicas que tengan la competencia, la formación y la autoridad necesarias.

3.   Las obligaciones previstas en los apartados 1 y 2 no afectan a otras obligaciones que el Derecho nacional o de la Unión imponga a los responsables del despliegue ni a su libertad para organizar sus propios recursos y actividades con el fin de poner en práctica las medidas de supervisión humana que indique el proveedor.

4.   Sin perjuicio de lo dispuesto en los apartados 1 y 2, el responsable del despliegue se asegurará de que los datos de entrada sean pertinentes y suficientemente representativos en vista de la finalidad prevista del sistema de IA de alto riesgo, en la medida en que ejerza el control sobre dichos datos.

5.   Los responsables del despliegue vigilarán el funcionamiento del sistema de IA de alto riesgo basándose en las instrucciones de uso y, cuando proceda, informarán a los proveedores con arreglo al artículo 72. Cuando los responsables del despliegue tengan motivos para considerar que utilizar el sistema de IA de alto riesgo conforme a sus instrucciones puede dar lugar a que ese sistema de AI presente un riesgo en el sentido del artículo 79, apartado 1, informarán, sin demora indebida, al proveedor o distribuidor y a la autoridad de vigilancia del mercado pertinente y suspenderán el uso de ese sistema. Cuando los responsables del despliegue detecten un incidente grave, informarán asimismo inmediatamente de dicho incidente, en primer lugar, al proveedor y, a continuación, al importador o distribuidor y a la autoridad de vigilancia del mercado pertinente. En el caso de que el responsable del despliegue no consiga contactar con el proveedor, el artículo 73 se aplicará mutatis mutandis. Esta obligación no comprenderá los datos operativos sensibles de los responsables del despliegue de sistemas de IA que sean autoridades garantes del cumplimiento del Derecho.

En el caso de los responsables del despliegue que sean entidades financieras sujetas a requisitos relativos a su gobernanza, sus sistemas o sus procesos internos en virtud del Derecho de la Unión en materia de servicios financieros, se considerará que se ha cumplido la obligación de vigilancia prevista en el párrafo primero cuando se respeten las normas sobre sistemas, procesos y mecanismos de gobernanza interna de acuerdo con el Derecho pertinente en materia de servicios financieros.

6.   Los responsables del despliegue de sistemas de IA de alto riesgo conservarán los archivos de registro que los sistemas de IA de alto riesgo generen automáticamente en la medida en que dichos archivos estén bajo su control, durante un período de tiempo adecuado para la finalidad prevista del sistema de IA de alto riesgo, de al menos seis meses, salvo que se disponga otra cosa en el Derecho de la Unión o nacional aplicable, en particular en el Derecho de la Unión en materia de protección de datos personales.

Los responsables del despliegue que sean entidades financieras sujetas a requisitos relativos a su gobernanza, sus sistemas o sus procesos internos en virtud del Derecho de la Unión en materia de servicios financieros mantendrán los archivos de registro como parte de la documentación conservada en virtud del Derecho de la Unión en materia de servicios financieros.

7.   Antes de poner en servicio o utilizar un sistema de IA de alto riesgo en el lugar de trabajo, los responsables del despliegue que sean empleadores informarán a los representantes de los trabajadores y a los trabajadores afectados de que estarán expuestos a la utilización del sistema de IA de alto riesgo. Esta información se facilitará, cuando proceda, con arreglo a las normas y procedimientos establecidos en el Derecho de la Unión y nacional y conforme a las prácticas en materia de información a los trabajadores y sus representantes.

8.   Los responsables del despliegue de sistemas de IA de alto riesgo que sean autoridades públicas o instituciones, órganos y organismos de la Unión cumplirán las obligaciones de registro a que se refiere el artículo 49. Cuando dichos responsables del despliegue constaten que el sistema de IA de alto riesgo que tienen previsto utilizar no ha sido registrado en la base de datos de la UE a que se refiere el artículo 71, no utilizarán dicho sistema e informarán al proveedor o al distribuidor.

9.   Cuando proceda, los responsables del despliegue de sistemas de IA de alto riesgo utilizarán la información facilitada conforme al artículo 13 del presente Reglamento para cumplir la obligación de llevar a cabo una evaluación de impacto relativa a la protección de datos que les imponen el artículo 35 del Reglamento (UE) 2016/679 o el artículo 27 de la Directiva (UE) 2016/680.

10.   No obstante lo dispuesto en la Directiva (UE) 2016/680, en el marco de una investigación cuya finalidad sea la búsqueda selectiva de una persona sospechosa de haber cometido un delito o condenada por ello, el responsable del despliegue de un sistema de IA de alto riego de identificación biométrica remota en diferido solicitará, ex ante o sin demora indebida y a más tardar en un plazo de cuarenta y ocho horas, a una autoridad judicial o administrativa cuyas decisiones sean vinculantes y estén sujetas a revisión judicial, una autorización para utilizar ese sistema, salvo cuando se utilice para la identificación inicial de un posible sospechoso sobre la base de hechos objetivos y verificables vinculados directamente al delito. Cada utilización deberá limitarse a lo que resulte estrictamente necesario para investigar un delito concreto.

En caso de que se deniegue la autorización contemplada en el párrafo primero, dejará de utilizarse el sistema de identificación biométrica remota en diferido objeto de la solicitud de autorización con efecto inmediato y se eliminarán los datos personales asociados al uso del sistema de IA de alto riesgo para el que se solicitó la autorización.

Dicho sistema de IA de alto riego de identificación biométrica remota en diferido no se utilizará en ningún caso a los efectos de la garantía del cumplimiento del Derecho de forma indiscriminada, sin que exista relación alguna con un delito, un proceso penal, una amenaza real y actual o real y previsible de delito, o con la búsqueda de una persona desaparecida concreta. Se velará por que las autoridades garantes del cumplimiento del Derecho no puedan adoptar ninguna decisión que produzca efectos jurídicos adversos para una persona exclusivamente sobre la base de los resultados de salida de dichos sistemas de identificación biométrica remota en diferido.

El presente apartado se entiende sin perjuicio del artículo 9 del Reglamento (UE) 2016/679 y del artículo 10 de la Directiva (UE) 2016/680 para el tratamiento de los datos biométricos.

Con independencia de la finalidad o del responsable del despliegue, se documentará toda utilización de tales sistemas de IA de alto riesgo en el expediente policial pertinente y se pondrá a disposición, previa solicitud, de la autoridad de vigilancia del mercado pertinente y de la autoridad nacional de protección de datos, quedando excluida la divulgación de datos operativos sensibles relacionados con la garantía del cumplimiento del Derecho. El presente párrafo se entenderá sin perjuicio de los poderes conferidas por la Directiva (UE) 2016/680 a las autoridades de control.

Los responsables del despliegue presentarán informes anuales a la autoridad de vigilancia del mercado pertinente y a la autoridad nacional de protección de datos sobre el uso que han hecho de los sistemas de identificación biométrica remota en diferido, quedando excluida la divulgación de datos operativos sensibles relacionados con la garantía del cumplimiento del Derecho. Los informes podrán agregarse de modo que cubran más de un despliegue.

Los Estados miembros podrán adoptar, de conformidad con el Derecho de la Unión, leyes más restrictivas sobre el uso de sistemas de identificación biométrica remota en diferido.

11.   Sin perjuicio de lo dispuesto en el artículo 50 del presente Reglamento, los responsables del despliegue de los sistemas de IA de alto riesgo a que se refiere el anexo III que tomen decisiones o ayuden a tomar decisiones relacionadas con personas físicas informarán a las personas físicas de que están expuestas a la utilización de los sistemas de IA de alto riesgo. En el caso de los sistemas de IA de alto riesgo que se utilicen a los efectos de la garantía del cumplimiento del Derecho, se aplicará el artículo 13 de la Directiva (UE) 2016/680.

12.   Los responsables del despliegue cooperarán con las autoridades competentes pertinentes en cualquier medida que estas adopten en relación con el sistema de IA de alto riesgo con el objetivo de aplicar el presente Reglamento.

Artículo 27. Evaluación de impacto relativa a los derechos fundamentales para los sistemas de IA de alto riesgo

1.   Antes de desplegar uno de los sistemas de IA de alto riesgo a que se refiere el artículo 6, apartado 2, con excepción de los sistemas de IA de alto riesgo destinados a ser utilizados en el ámbito enumerado en el anexo III, punto 2, los responsables del despliegue que sean organismos de Derecho público, o entidades privadas que prestan servicios públicos, y los responsable del despliegue de sistemas de IA de alto riesgo a que se refiere el anexo III, punto 5, letras b) y c), llevarán a cabo una evaluación del impacto que la utilización de dichos sistemas puede tener en los derechos fundamentales. A tal fin, los responsables del despliegue llevarán a cabo una evaluación que consistirá en:

a) una descripción de los procesos del responsable del despliegue en los que se utilizará el sistema de IA de alto riesgo en consonancia con su finalidad prevista;

b) una descripción del período de tiempo durante el cual se prevé utilizar cada sistema de IA de alto riesgo y la frecuencia con la que está previsto utilizarlo;

c) las categorías de personas físicas y colectivos que puedan verse afectados por su utilización en el contexto específico;

d) los riesgos de perjuicio específicos que puedan afectar a las categorías de personas físicas y colectivos determinadas con arreglo a la letra c) del presente apartado, teniendo en cuenta la información facilitada por el proveedor con arreglo al artículo 13;

e) una descripción de la aplicación de medidas de supervisión humana, de acuerdo con las instrucciones de uso;

f) las medidas que deben adoptarse en caso de que dichos riesgos se materialicen, incluidos los acuerdos de gobernanza interna y los mecanismos de reclamación.

2.   La obligación descrita con arreglo al apartado 1 se aplicará al primer uso del sistema de IA de alto riesgo. En casos similares, el responsable del despliegue podrá basarse en evaluaciones de impacto relativas a los derechos fundamentales realizadas previamente o a evaluaciones de impacto existentes realizadas por los proveedores. Si, durante el uso del sistema de IA de alto riesgo, el responsable del despliegue considera que alguno de los elementos enumerados en el apartado 1 ha cambiado o ha dejado de estar actualizado, adoptará las medidas necesarias para actualizar la información.

3.   Una vez realizada la evaluación a que se refiere el apartado 1 del presente artículo, el responsable del despliegue notificará sus resultados a la autoridad de vigilancia del mercado, presentando el modelo cumplimentado a que se refiere el apartado 5 del presente artículo. En el caso contemplado en el artículo 46, apartado 1, los responsables del despliegue podrán quedar exentos de esta obligación de notificación.

4.   Si ya se cumple cualquiera de las obligaciones establecidas en el presente artículo mediante la evaluación de impacto relativa a la protección de datos realizada con arreglo al artículo 35 del Reglamento (UE) 2016/679 o del artículo 27 de la Directiva (UE) 2016/680, la evaluación de impacto relativa a los derechos fundamentales a que se refiere el apartado 1 del presente artículo complementará dicha evaluación de impacto relativa a la protección de datos.

5.   La Oficina de IA elaborará un modelo de cuestionario, también mediante una herramienta automatizada, a fin de facilitar que los responsables del despliegue cumplan sus obligaciones en virtud del presente artículo de manera simplificada.

SECCIÓN 4. Autoridades notificantes y organismos notificados

Artículo 28. Autoridades notificantes

1.   Cada Estado miembro nombrará o constituirá al menos una autoridad notificante que será responsable de establecer y llevar a cabo los procedimientos necesarios para la evaluación, designación y notificación de los organismos de evaluación de la conformidad, así como de su supervisión. Dichos procedimientos se desarrollarán por medio de la cooperación entre las autoridades notificantes de todos los Estados miembros.

2.   Los Estados miembros podrán decidir que la evaluación y la supervisión contempladas en el apartado 1 sean realizadas por un organismo nacional de acreditación en el sentido del Reglamento (CE) nº 765/2008 y con arreglo a este.

3.   Las autoridades notificantes se constituirán, se organizarán y funcionarán de forma que no surjan conflictos de intereses con los organismos de evaluación de la conformidad y que se garantice la imparcialidad y objetividad de sus actividades.

4.   Las autoridades notificantes se organizarán de forma que las decisiones relativas a la notificación de los organismos de evaluación de la conformidad sean adoptadas por personas competentes distintas de las que llevaron a cabo la evaluación de dichos organismos.

5.   Las autoridades notificantes no ofrecerán ni ejercerán ninguna actividad que efectúen los organismos de evaluación de la conformidad, ni ningún servicio de consultoría de carácter comercial o competitivo.

6.   Las autoridades notificantes preservarán la confidencialidad de la información obtenida, de conformidad con lo dispuesto en el artículo 78.

7.   Las autoridades notificantes dispondrán de suficiente personal competente para efectuar adecuadamente sus tareas. Cuando proceda, el personal competente tendrá los conocimientos especializados necesarios para ejercer sus funciones, en ámbitos como las tecnologías de la información, la IA y el Derecho, incluida la supervisión de los derechos fundamentales.

Artículo 29. Solicitud de notificación por parte de un organismo de evaluación de la conformidad

1.   Los organismos de evaluación de la conformidad presentarán una solicitud de notificación ante la autoridad notificante del Estado miembro en el que estén establecidos.

2.   La solicitud de notificación irá acompañada de una descripción de las actividades de evaluación de la conformidad, del módulo o módulos de evaluación de la conformidad y los tipos de sistemas de IA en relación con los cuales el organismo de evaluación de la conformidad se considere competente, así como de un certificado de acreditación, si lo hay, expedido por un organismo nacional de acreditación, que declare que el organismo de evaluación de la conformidad cumple los requisitos establecidos en el artículo 31.

Se añadirá cualquier documento válido relacionado con las designaciones existentes del organismo notificado solicitante en virtud de cualquier otro acto de la legislación de armonización de la Unión.

3.   Si el organismo de evaluación de la conformidad de que se trate no puede facilitar un certificado de acreditación, entregará a la autoridad notificante todas las pruebas documentales necesarias para verificar, reconocer y supervisar periódicamente que cumple los requisitos establecidos en el artículo 31.

4.   En lo que respecta a los organismos notificados designados de conformidad con cualquier otro acto legislativo de armonización de la Unión, todos los documentos y certificados vinculados a dichas designaciones podrán utilizarse para apoyar su procedimiento de designación en virtud del presente Reglamento, según proceda. El organismo notificado actualizará la documentación a que se refieren los apartados 2 y 3 del presente artículo cuando se produzcan cambios pertinentes, para que la autoridad responsable de los organismos notificados pueda supervisar y verificar que se siguen cumpliendo todos los requisitos establecidos en el artículo 31.

Artículo 30. Procedimiento de notificación

1.   Las autoridades notificantes solo podrán notificar organismos de evaluación de la conformidad que hayan cumplido los requisitos establecidos en el artículo 31.

2.   Las autoridades notificantes notificarán a la Comisión y a los demás Estados miembros, mediante el sistema de notificación electrónica desarrollado y gestionado por la Comisión, cada organismo de evaluación de la conformidad a que se refiere el apartado 1.

3.   La notificación a que se refiere el apartado 2 del presente artículo incluirá información detallada de las actividades de evaluación de la conformidad, el módulo o módulos de evaluación de la conformidad y los tipos de sistemas de IA afectados, así como la certificación de competencia pertinente. Si la notificación no está basada en el certificado de acreditación a que se refiere el artículo 29, apartado 2, la autoridad notificante facilitará a la Comisión y a los demás Estados miembros las pruebas documentales que demuestren la competencia del organismo de evaluación de la conformidad y las disposiciones existentes destinadas a garantizar que se supervisará periódicamente al organismo y que este continuará satisfaciendo los requisitos establecidos en el artículo 31.

4.   El organismo de evaluación de la conformidad de que se trate únicamente podrá realizar las actividades de un organismo notificado si la Comisión o los demás Estados miembros no formulan ninguna objeción en el plazo de dos semanas tras la notificación de una autoridad notificante cuando esta incluya el certificado de acreditación a que se refiere el artículo 29, apartado 2, o de dos meses tras la notificación de la autoridad notificante cuando esta incluya las pruebas documentales a que se refiere el artículo 29, apartado 3.

5.   Cuando se formulen objeciones, la Comisión iniciará sin demora consultas con los Estados miembros pertinentes y el organismo de evaluación de la conformidad. En vista de todo ello, la Comisión enviará su decisión al Estado miembro afectado y al organismo de evaluación de la conformidad pertinente.

Artículo 31. Requisitos relativos a los organismos notificados

1.   Los organismos notificados se establecerán de conformidad con el Derecho nacional de los Estados miembros y tendrán personalidad jurídica.

2.   Los organismos notificados satisfarán los requisitos organizativos, de gestión de la calidad, recursos y procesos, necesarios para el desempeño de sus funciones, así como los requisitos adecuados en materia de ciberseguridad.

3.   La estructura organizativa, la distribución de las responsabilidades, la línea jerárquica y el funcionamiento de los organismos notificados ofrecerán confianza en su desempeño y en los resultados de las actividades de evaluación de la conformidad que realicen los organismos notificados.

4.   Los organismos notificados serán independientes del proveedor de un sistema de IA de alto riesgo en relación con el cual lleven a cabo actividades de evaluación de la conformidad. Los organismos notificados serán independientes de cualquier otro operador con un interés económico en los sistemas de IA de alto riesgo que se evalúen, así como de cualquier competidor del proveedor. Ello no será óbice para el uso de sistemas de IA de alto riesgo evaluados que sean necesarios para las actividades del organismo de evaluación de la conformidad o para el uso de tales sistemas de alto riesgo con fines personales.

5.   Los organismos de evaluación de la conformidad, sus máximos directivos y el personal responsable de la realización de las tareas de evaluación de la conformidad no intervendrán directamente en el diseño, el desarrollo, la comercialización o el uso de dichos sistemas de IA de alto riesgo, ni tampoco representarán a las partes que llevan a cabo estas actividades. Además, no efectuarán ninguna actividad que pudiera entrar en conflicto con su independencia de criterio o su integridad en relación con las actividades de evaluación de la conformidad para las que han sido notificados. Ello se aplicará especialmente a los servicios de consultoría.

6.   Los organismos notificados estarán organizados y gestionados de modo que se garantice la independencia, objetividad e imparcialidad de sus actividades. Los organismos notificados documentarán e implantarán una estructura y procedimientos que garanticen la imparcialidad y permitan promover y poner en práctica los principios de imparcialidad aplicables en toda su organización, a todo su personal y en todas sus actividades de evaluación.

7.   Los organismos notificados contarán con procedimientos documentados que garanticen que su personal, sus comités, sus filiales, sus subcontratistas y todos sus organismos asociados o personal de organismos externos mantengan, de conformidad con el artículo 78, la confidencialidad de la información que llegue a su poder en el desempeño de las actividades de evaluación de la conformidad, excepto en aquellos casos en que la ley exija su divulgación. El personal de los organismos notificados estará sujeto al secreto profesional en lo que respecta a toda la información obtenida en el ejercicio de las funciones que les hayan sido encomendadas en virtud del presente Reglamento, salvo en relación con las autoridades notificantes del Estado miembro en el que desarrollen sus actividades.

8.   Los organismos notificados contarán con procedimientos para desempeñar sus actividades que tengan debidamente en cuenta el tamaño de los proveedores, el sector en que operan, su estructura y el grado de complejidad del sistema de IA de que se trate.

9.   Los organismos notificados suscribirán un seguro de responsabilidad adecuado para sus actividades de evaluación de la conformidad, salvo que la responsabilidad la asuma el Estado miembro en que estén establecidos con arreglo al Derecho nacional o que el propio Estado miembro sea directamente responsable de la evaluación de la conformidad.

10.   Los organismos notificados serán capaces de llevar a cabo todas sus tareas con arreglo al presente Reglamento con el máximo grado de integridad profesional y la competencia técnica necesaria en el ámbito específico, tanto si dichas tareas las efectúan los propios organismos notificados como si se realizan en su nombre y bajo su responsabilidad.

11.   Los organismos notificados contarán con competencias técnicas internas suficientes para poder evaluar de manera eficaz las tareas que lleven a cabo agentes externos en su nombre. El organismo notificado dispondrá permanentemente de suficiente personal administrativo, técnico, jurídico y científico que tenga experiencia y conocimientos relativos a los tipos de sistemas de IA, los datos y la computación de datos pertinentes y a los requisitos establecidos en la sección 2.

12.   Los organismos notificados participarán en las actividades de coordinación según lo previsto en el artículo 38. Asimismo, tomarán parte directamente o mediante representación en organizaciones europeas de normalización, o se asegurarán de mantenerse al corriente de la situación actualizada de las normas pertinentes.

Artículo 32. Presunción de conformidad con los requisitos relativos a los organismos notificados

Cuando un organismo de evaluación de la conformidad demuestre que cumple los criterios establecidos en las normas armonizadas pertinentes, o en partes de estas, cuyas referencias estén publicadas en el Diario Oficial de la Unión Europea, se presumirá que cumple los requisitos establecidos en el artículo 31 en la medida en que las normas armonizadas aplicables contemplen esos mismos requisitos.

Artículo 33. Filiales de organismos notificados y subcontratación

1.   Cuando un organismo notificado subcontrate tareas específicas relacionadas con la evaluación de la conformidad o recurra a una filial, se asegurará de que el subcontratista o la filial cumplan los requisitos establecidos en el artículo 31 e informará a la autoridad notificante en consecuencia.

2.   Los organismos notificados asumirán la plena responsabilidad de las tareas realizadas por cualesquiera subcontratistas o filiales.

3.   Las actividades solo podrán subcontratarse o delegarse en una filial previo consentimiento del proveedor. Los organismos notificados pondrán a disposición del público una lista de sus filiales.

4.   Los documentos pertinentes sobre la evaluación de las cualificaciones del subcontratista o de la filial y el trabajo que estos realicen en virtud del presente Reglamento se mantendrán a disposición de la autoridad notificante durante un período de cinco años a partir de la fecha de finalización de la subcontratación.

Artículo 34. Obligaciones operativas de los organismos notificados

1.   Los organismos notificados verificarán la conformidad de los sistemas de IA de alto riesgo siguiendo los procedimientos de evaluación de la conformidad establecidos en el artículo 43.

2.   Los organismos notificados evitarán cargas innecesarias para los proveedores cuando desempeñen sus actividades, y tendrán debidamente en cuenta el tamaño del proveedor, el sector en que opera, su estructura y el grado de complejidad del sistema de IA de alto riesgo de que se trate, en particular con vistas a reducir al mínimo las cargas administrativas y los costes del cumplimiento para las microempresas y pequeñas empresas en el sentido de la Recomendación 2003/361/CE. El organismo notificado respetará, sin embargo, el grado de rigor y el nivel de protección requeridos para que el sistema de IA de alto riesgo cumpla los requisitos del presente Reglamento.

3.   Los organismos notificados pondrán a disposición de la autoridad notificante mencionada en el artículo 28, y le presentarán cuando se les pida, toda la documentación pertinente, incluida la documentación de los proveedores, a fin de que dicha autoridad pueda llevar a cabo sus actividades de evaluación, designación, notificación y supervisión, y de facilitar la evaluación descrita en la presente sección.

Artículo 35. Números de identificación y listas de organismos notificados

1.   La Comisión asignará un número de identificación único a cada organismo notificado, incluso cuando un organismo sea notificado con arreglo a más de un acto de la Unión.

2.   La Comisión hará pública la lista de organismos notificados con arreglo al presente Reglamento, incluidos sus números de identificación y las actividades para las que hayan sido notificados. La Comisión se asegurará de que la lista se mantenga actualizada.

Artículo 36. Cambios en las notificaciones

1.   La autoridad notificante notificará a la Comisión y a los demás Estados miembros cualquier cambio pertinente en la notificación de un organismo notificado a través del sistema de notificación electrónica a que se refiere el artículo 30, apartado 2.

2.   Los procedimientos establecidos en los artículos 29 y 30 se aplicarán a las ampliaciones del ámbito de aplicación de la notificación.

Para modificaciones de la notificación distintas de las ampliaciones de su ámbito de aplicación, se aplicarán los procedimientos establecidos en los apartados 3 a 9.

3.   Cuando un organismo notificado decida poner fin a sus actividades de evaluación de la conformidad, informará de ello a la autoridad notificante y a los proveedores afectados tan pronto como sea posible y, cuando se trate de un cese planeado, al menos un año antes de poner fin a sus actividades. Los certificados del organismo notificado podrán seguir siendo válidos durante un plazo de nueve meses después del cese de las actividades del organismo notificado, siempre que otro organismo notificado haya confirmado por escrito que asumirá la responsabilidad de los sistemas de IA de alto riesgo cubiertos por dichos certificados. Este último organismo notificado realizará una evaluación completa de los sistemas de IA de alto riesgo afectados antes del vencimiento de ese plazo de nueve meses y antes de expedir nuevos certificados para esos sistemas. Si el organismo notificado ha puesto fin a sus actividades, la autoridad notificante retirará la designación.

4.   Si una autoridad notificante tiene motivo suficiente para considerar que un organismo notificado ya no cumple los requisitos establecidos en el artículo 31 o no está cumpliendo sus obligaciones, la autoridad notificante investigará el asunto sin demora y con la máxima diligencia. En ese contexto, informará al organismo notificado de que se trate acerca de las objeciones formuladas y le ofrecerá la posibilidad de exponer sus puntos de vista. Si la autoridad notificante llega a la conclusión de que el organismo notificado ya no cumple los requisitos establecidos en el artículo 31 o no está cumpliendo sus obligaciones, dicha autoridad limitará, suspenderá o retirará la designación, según el caso, dependiendo de la gravedad del incumplimiento de dichos requisitos u obligaciones. Asimismo, informará de ello inmediatamente a la Comisión y a los demás Estados miembros.

5.   Cuando su designación haya sido suspendida, limitada o retirada total o parcialmente, el organismo notificado informará a los proveedores afectados a más en un plazo de diez días.

6.   En caso de la limitación, suspensión o retirada de una designación, la autoridad notificante adoptará las medidas oportunas para garantizar que los archivos del organismo notificado de que se trate se conserven, y para ponerlos a disposición de las autoridades notificantes de otros Estados miembros y de las autoridades de vigilancia del mercado, a petición de estas.

7.   En caso de la limitación, suspensión o retirada de una designación, la autoridad notificante:

a) evaluará las repercusiones en los certificados expedidos por el organismo notificado;

b) presentará a la Comisión y a los demás Estados miembros un informe con sus conclusiones en un plazo de tres meses a partir de la notificación de los cambios en la designación;

c) exigirá al organismo notificado que suspenda o retire, en un plazo razonable determinado por la autoridad, todo certificado indebidamente expedido, a fin de garantizar la conformidad continua de los sistemas de IA de alto riesgo en el mercado;

d) informará a la Comisión y a los Estados miembros de los certificados cuya suspensión o retirada haya exigido;

e) facilitará a las autoridades nacionales competentes del Estado miembro en el que el proveedor tenga su domicilio social toda la información pertinente sobre los certificados cuya suspensión o retirada haya exigido; dicha autoridad tomará las medidas oportunas, cuando sea necesario, para evitar un riesgo para la salud, la seguridad o los derechos fundamentales.

8.   Salvo en el caso de los certificados expedidos indebidamente, y cuando una designación haya sido suspendida o limitada, los certificados mantendrán su validez en una de las circunstancias siguientes:

a) cuando, en el plazo de un mes a partir de la suspensión o la limitación, la autoridad notificante haya confirmado que no existe riesgo alguno para la salud, la seguridad o los derechos fundamentales en relación con los certificados afectados por la suspensión o la limitación y haya fijado un calendario de acciones para subsanar la suspensión o la limitación, o

b) cuando la autoridad notificante haya confirmado que no se expedirán, modificarán ni volverán a expedir certificados relacionados con la suspensión mientras dure la suspensión o limitación, y declare si el organismo notificado tiene o no la capacidad, durante el período de la suspensión o limitación, de seguir supervisando los certificados expedidos y siendo responsable de ellos; cuando la autoridad notificante determine que el organismo notificado no tiene la capacidad de respaldar los certificados expedidos, el proveedor del sistema cubierto por el certificado deberá confirmar por escrito a las autoridades nacionales competentes del Estado miembro en que tenga su domicilio social, en un plazo de tres meses a partir de la suspensión o limitación, que otro organismo notificado cualificado va a asumir temporalmente las funciones del organismo notificado para supervisar los certificados y ser responsable de ellos durante el período de la suspensión o limitación.

9.   Salvo en el caso de los certificados expedidos indebidamente, y cuando se haya retirado una designación, los certificados mantendrán su validez durante nueve meses en las circunstancias siguientes:

a) la autoridad nacional competente del Estado miembro en el que tiene su domicilio social el proveedor del sistema de IA de alto riesgo cubierto por el certificado ha confirmado que no existe ningún riesgo para la salud, la seguridad o los derechos fundamentales asociado al sistema de IA de alto riesgo de que se trate, y

b) otro organismo notificado ha confirmado por escrito que asumirá la responsabilidad inmediata de dichos sistemas de IA y completa su evaluación en el plazo de doce meses a partir de la retirada de la designación.

En las circunstancias a que se refiere el párrafo primero, la autoridad nacional competente del Estado miembro en el que tenga su domicilio social el proveedor del sistema cubierto por el certificado podrá prorrogar la validez provisional de los certificados por plazos adicionales de tres meses, sin exceder de doce meses en total.

La autoridad nacional competente o el organismo notificado que asuman las funciones del organismo notificado afectado por el cambio de la designación informarán de ello inmediatamente a la Comisión, a los demás Estados miembros y a los demás organismos notificados.

Artículo 37. Cuestionamiento de la competencia de los organismos notificados

1.   La Comisión investigará, cuando sea necesario, todos los casos en los que existan razones para dudar de la competencia de un organismo notificado o del cumplimiento continuo, por parte de un organismo notificado, de los requisitos establecidos en el artículo 31 y de sus responsabilidades aplicables.

2.   La autoridad notificante facilitará a la Comisión, a petición de esta, toda la información pertinente relativa a la notificación o el mantenimiento de la competencia del organismo notificado de que se trate.

3.   La Comisión garantizará el tratamiento confidencial de acuerdo con el artículo 78 de toda la información delicada recabada en el transcurso de sus investigaciones en virtud del presente artículo.

4.   Cuando la Comisión determine que un organismo notificado no cumple o ha dejado de cumplir los requisitos para su notificación, informará al Estado miembro notificante en consecuencia y le solicitará que adopte las medidas correctoras necesarias, incluidas la suspensión o la retirada de la designación en caso necesario. Si el Estado miembro no adopta las medidas correctoras necesarias, la Comisión, mediante un acto de ejecución, podrá suspender, limitar o retirar la designación. Dicho acto de ejecución se adoptará con arreglo al procedimiento de examen contemplado en el artículo 98, apartado 2.

Artículo 38. Coordinación de los organismos notificados

1.   La Comisión se asegurará de que se instaure y se mantenga convenientemente, en relación con los sistemas de IA de alto riesgo, una adecuada coordinación y cooperación entre los organismos notificados activos en los procedimientos de evaluación de la conformidad en virtud del presente Reglamento, en forma de grupo sectorial de organismos notificados.

2.   Cada autoridad notificante se asegurará de que los organismos notificados por ella participen en el trabajo del grupo a que se refiere el apartado 1, directamente o por medio de representantes designados.

3.   La Comisión dispondrá que se organicen intercambios de conocimientos y mejores prácticas entre autoridades notificantes.

Artículo 39. Organismos de evaluación de la conformidad de terceros países

Los organismos de evaluación de la conformidad establecidos en virtud del Derecho de un tercer país con el que la Unión haya celebrado un acuerdo podrán ser autorizados a desempeñar las actividades de los organismos notificados con arreglo al presente Reglamento, siempre que cumplan los requisitos establecidos en el artículo 31 o garanticen un nivel equivalente de cumplimiento.

SECCIÓN 5. Normas, evaluación de la conformidad, certificados, registro

Artículo 40. Normas armonizadas y documentos de normalización

1.   Los sistemas de IA de alto riesgo o los modelos de IA de uso general que sean conformes con normas armonizadas, o partes de estas, cuyas referencias estén publicadas en el Diario Oficial de la Unión Europea de conformidad con el Reglamento (UE) nº 1025/2012 se presumirá que son conformes con los requisitos establecidos en la sección 2 del presente capítulo o, en su caso, con las obligaciones establecidas en el capítulo V, secciones 2 y 3, del presente Reglamento, en la medida en que dichas normas contemplen estos requisitos u obligaciones.

2.   De conformidad con el artículo 10 del Reglamento (UE) nº 1025/2012, la Comisión formulará, sin demora indebida, peticiones de normalización que contemplen todos los requisitos establecidos en la sección 2 del presente capítulo y, según proceda, las peticiones de normalización que contemplen las obligaciones establecidas en el capítulo V, secciones 2 y 3, del presente Reglamento. La petición de normalización también incluirá la solicitud de documentos sobre los procesos de presentación de información y documentación a fin de mejorar el funcionamiento de los de los sistemas de IA desde el punto de vista de los recursos, como la reducción del consumo de energía y de otros recursos del sistema de IA de alto riesgo durante su ciclo de vida, así como sobre el desarrollo eficiente desde el punto de vista energético de los modelos de IA de uso general. Cuando prepare una petición de normalización, la Comisión consultará al Consejo de IA y a las partes interesadas pertinentes, incluido el foro consultivo.

Cuando dirija una petición de normalización a las organizaciones europeas de normalización, la Comisión especificará que las normas deben ser claras, coherentes —también con las normas elaboradas en diversos sectores para los productos regulados por los actos legislativos de armonización de la Unión vigentes enumerados en el anexo I— y destinadas a garantizar que los sistemas de IA de alto riesgo o los modelos de IA de uso general introducidos en el mercado o puestos en servicio en la Unión cumplan los requisitos u obligaciones pertinentes establecidos en el presente Reglamento.

La Comisión solicitará a las organizaciones europeas de normalización que aporten pruebas de que han hecho todo lo posible por cumplir los objetivos a que se refieren los párrafos primero y segundo del presente apartado, de conformidad con el artículo 24 del Reglamento (UE) nº 1025/2012.

3.   Los participantes en el proceso de normalización tratarán de promover la inversión y la innovación en IA, también incrementando la seguridad jurídica, así como la competitividad y el crecimiento del mercado de la Unión, de contribuir al refuerzo de la cooperación mundial en pro de la normalización, teniendo en cuenta las normas internacionales existentes en el ámbito de la IA que son coherentes con los valores, derechos fundamentales e intereses de la Unión, y de mejorar la gobernanza multilateral, garantizando una representación equilibrada de los intereses y la participación efectiva de todas las partes interesadas pertinentes de conformidad con los artículos 5, 6 y 7 del Reglamento (UE) nº 1025/2012.

Artículo 41. Especificaciones comunes

1.   La Comisión podrá adoptar actos de ejecución por los que se establezcan especificaciones comunes para los requisitos establecidos en la sección 2 del presente capítulo o, según corresponda, para las obligaciones establecidas en el capítulo V, secciones 2 y 3, siempre que se hayan cumplido las siguientes condiciones:

a) la Comisión ha solicitado, de conformidad con el artículo 10, apartado 1, del Reglamento (UE) nº 1025/2012, a una o varias organizaciones europeas de normalización que elaboren una norma armonizada para los requisitos establecidos en la sección 2 del presente capítulo, o según corresponda, para las obligaciones establecidas en el capítulo V, secciones 2 y 3, y:

i) la solicitud no ha sido aceptada por ninguna de las organizaciones europeas de normalización, o

ii) las normas armonizadas que responden a dicha solicitud no se han entregado en el plazo establecido de conformidad con el artículo 10, apartado 1, del Reglamento (UE) nº 1025/2012, o

iii) las normas armonizadas pertinentes responden de forma insuficiente a las preocupaciones en materia de derechos fundamentales, o

iv) las normas armonizadas no se ajustan a la solicitud, y

b) no se ha publicado en el Diario Oficial de la Unión Europea ninguna referencia a normas armonizadas que regulen los requisitos establecidos en la sección 2 del presente capítulo, o según proceda, las obligaciones a que se refiere el capítulo V, secciones 2 y 3, de conformidad con el Reglamento (UE) nº 1025/2012 y no se prevé la publicación de tal referencia en un plazo razonable.

Al elaborar las disposiciones comunes, la Comisión consultará al foro consultivo a que se refiere el artículo 67.

Los actos de ejecución a que se refiere el párrafo primero del presente apartado se adoptarán de conformidad con el procedimiento de examen contemplado en el artículo 98, apartado 2.

2.   Antes de elaborar un proyecto de acto de ejecución, la Comisión informará al comité a que se refiere el artículo 22 del Reglamento (UE) nº 1025/2012 de que considera que se cumplen las condiciones establecidas en el apartado 1 del presente artículo.

3.   Se presumirá que los sistemas de IA de alto riesgo o los modelos de IA de uso general que sean conformes con las especificaciones comunes a que se refiere el apartado 1, o partes de dichas especificaciones, son conformes con los requisitos establecidos en la sección 2 del presente capítulo o, según corresponda, para cumplir con las obligaciones a que se refiere el capítulo V, secciones 2 y 3, en la medida en que dichas especificaciones comunes contemplen esos requisitos o esas obligaciones.

4.   Cuando una norma armonizada sea adoptada por una organización europea de normalización y propuesta a la Comisión con el fin de publicar su referencia en el Diario Oficial de la Unión Europea, la Comisión evaluará la norma armonizada de conformidad con el Reglamento (UE) nº 1025/2012. Cuando la referencia a una norma armonizada se publique en el Diario Oficial de la Unión Europea, la Comisión derogará los actos de ejecución a que se refiere el apartado 1, o las partes de dichos actos que contemplen los mismos requisitos establecidos en la sección 2 del presente capítulo o, según corresponda, las mismas obligaciones establecidas en el capítulo V, secciones 2 y 3.

5.   Cuando los proveedores de sistemas de IA de alto riesgo o los modelos de IA de uso general no cumplan las especificaciones comunes mencionadas en el apartado 1, justificarán debidamente que han adoptado soluciones técnicas que cumplan los requisitos a que se refiere la sección 2 del presente capítulo o, según corresponda, cumplan con las obligaciones establecidas en el capítulo V, secciones 2 y 3, en un nivel como mínimo equivalente a aquellos.

6.   Cuando un Estado miembro considere que una especificación común no cumple plenamente los requisitos establecidos en la sección 2, o, según corresponda, no cumple con las obligaciones establecidas en el capítulo V, secciones 2 y 3, informará de ello a la Comisión con una explicación detallada. La Comisión evaluará dicha información y, en su caso, modificará el acto de ejecución por el que se establece la especificación común de que se trate.

Artículo 42. Presunción de conformidad con determinados requisitos

1.   Se presumirá que los sistemas de IA de alto riesgo que hayan sido entrenados y probados con datos que reflejan el entorno geográfico, conductual, contextual o funcional específico en el que esté previsto su uso cumplen los requisitos pertinentes establecidos en el artículo 10, apartado 4.

2.   Se presumirá que los sistemas de IA de alto riesgo que cuenten con un certificado o una declaración de conformidad en virtud de un esquema de ciberseguridad con arreglo al Reglamento (UE) 2019/881 cuyas referencias estén publicadas en el Diario Oficial de la Unión Europea cumplen los requisitos de ciberseguridad establecidos en el artículo 15 del presente Reglamento en la medida en que el certificado de ciberseguridad o la declaración de conformidad, o partes de estos, contemplen dichos requisitos.

Artículo 43. Evaluación de la conformidad

1.   En el caso de los sistemas de IA de alto riesgo enumerados en el anexo III, punto 1, cuando, al demostrar el cumplimiento de los requisitos establecidos en la sección 2 por parte de un sistema de IA de alto riesgo, el proveedor haya aplicado las normas armonizadas a que se refiere el artículo 40, o bien, en su caso, las especificaciones comunes a que se refiere el artículo 41, el proveedor optará por uno de los procedimientos de evaluación de la conformidad siguientes:

a) el fundamentado en el control interno, mencionado en el anexo VI, o

b) el fundamentado en la evaluación del sistema de gestión de la calidad y la evaluación de la documentación técnica, con la participación de un organismo notificado, mencionado en el anexo VII.

Al demostrar el cumplimiento de los requisitos establecidos en la sección 2 por parte de un sistema de IA de alto riesgo, el proveedor se atendrá al procedimiento de evaluación de la conformidad establecido en el anexo VII cuando:

a) las normas armonizadas a que se refiere el artículo 40 no existan, y no se disponga de las especificaciones comunes a que se refiere el artículo 41;

b) el proveedor no haya aplicado la norma armonizada, o solo haya aplicado parte de esta;

c) existan las especificaciones comunes a que se refiere la letra a), pero el proveedor no las haya aplicado;

d) una o varias de las normas armonizadas a que se refiere la letra a) se hayan publicado con una limitación, y únicamente en la parte de la norma objeto de la limitación.

A efectos del procedimiento de evaluación de la conformidad mencionado en el anexo VII, el proveedor podrá escoger cualquiera de los organismos notificados. No obstante, cuando se prevea la puesta en servicio del sistema de IA de alto riesgo por parte de las autoridades garantes del cumplimiento del Derecho, las autoridades de inmigración o las autoridades de asilo, o por las instituciones, órganos u organismos de la Unión, la autoridad de vigilancia del mercado mencionada en el artículo 74, apartado 8 o 9, según proceda, actuará como organismo notificado.

2.   En el caso de los sistemas de IA de alto riesgo mencionados en el anexo III, puntos 2 a 8, los proveedores se atendrán al procedimiento de evaluación de la conformidad fundamentado en un control interno a que se refiere el anexo VI, que no contempla la participación de un organismo notificado.

3.   En el caso de los sistemas de IA de alto riesgo regulados por los actos legislativos de armonización de la Unión enumerados en el anexo I, sección A, el proveedor se atendrá al procedimiento de evaluación de la conformidad pertinente exigida por dichos actos legislativos. Los requisitos establecidos en la sección 2 del presente capítulo se aplicarán a dichos sistemas de IA de alto riesgo y formarán parte de dicha evaluación. Asimismo, se aplicarán los puntos 4.3, 4.4 y 4.5 del anexo VII, así como el punto 4.6, párrafo quinto, de dicho anexo.

A efectos de dicha evaluación, los organismos notificados que hayan sido notificados con arreglo a dichos actos legislativos dispondrán de la facultad de controlar la conformidad de los sistemas de IA de alto riesgo con los requisitos establecidos en la sección 2, a condición de que se haya evaluado el cumplimiento por parte de dichos organismos notificados de los requisitos establecidos en el artículo 31, apartados 4, 5, 10 y 11, en el contexto del procedimiento de notificación con arreglo a dichos actos legislativos.

Cuando un acto legislativo enumerado en el anexo I, sección A, permita al fabricante del producto prescindir de una evaluación de la conformidad de terceros, a condición de que el fabricante haya aplicado todas las normas armonizadas que contemplan todos los requisitos pertinentes, dicho fabricante solamente podrá recurrir a esta opción si también ha aplicado las normas armonizadas o, en su caso, las especificaciones comunes a que se refiere el artículo 41 que contemplan todos los requisitos establecidos en la sección 2 del presente capítulo.

4.   Los sistemas de IA de alto riesgo que ya hayan sido objeto de un procedimiento de evaluación de la conformidad se someterán a un nuevo procedimiento de evaluación de la conformidad en caso de modificación sustancial, con independencia de si está prevista una distribución posterior del sistema modificado o de si este continúa siendo utilizado por el responsable del despliegue actual.

En el caso de los sistemas de IA de alto riesgo que continúen aprendiendo tras su introducción en el mercado o su puesta en servicio, los cambios en el sistema de IA de alto riesgo y su funcionamiento que hayan sido predeterminados por el proveedor en el momento de la evaluación inicial de la conformidad y figuren en la información recogida en la documentación técnica mencionada en el anexo IV, punto 2, letra f), no constituirán modificaciones sustanciales.

5.   La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 97 al objeto de modificar los anexos VI y VII actualizándolos a la luz del progreso técnico.

6.   La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 97 al objeto de modificar los apartados 1 y 2 del presente artículo a fin de someter a los sistemas de IA de alto riesgo mencionados en el anexo III, puntos 2 a 8, al procedimiento de evaluación de la conformidad a que se refiere el anexo VII o a partes de este. La Comisión adoptará dichos actos delegados teniendo en cuenta la eficacia del procedimiento de evaluación de la conformidad fundamentado en un control interno mencionado en el anexo VI para prevenir o reducir al mínimo los riesgos para la salud, la seguridad y la protección de los derechos fundamentales que plantean estos sistemas, así como la disponibilidad de capacidades y recursos adecuados por parte de los organismos notificados.

Artículo 44. Certificados

1.   Los certificados expedidos por los organismos notificados con arreglo al anexo VII se redactarán en una lengua que las autoridades pertinentes del Estado miembro en el que esté establecido el organismo notificado puedan entender fácilmente.

2.   Los certificados serán válidos para el período que indiquen, que no excederá de cinco años para los sistemas de IA contemplados en el anexo I, y cuatro años para los sistemas de IA contemplados en el anexo III. A solicitud del proveedor, la validez de un certificado podrá prorrogarse por períodos adicionales no superiores a cinco años para los sistemas de IA contemplados en el anexo I, y cuatro años para los sistemas de IA contemplados en el anexo III, sobre la base de una nueva evaluación con arreglo a los procedimientos de evaluación de la conformidad aplicables. Todo suplemento de un certificado mantendrá su validez a condición de que el certificado al que complementa sea válido.

3.   Si un organismo notificado observa que un sistema de IA ya no cumple los requisitos establecidos en la sección 2, suspenderá o retirará, teniendo en cuenta el principio de proporcionalidad, el certificado expedido o le impondrá restricciones, a menos que se garantice el cumplimiento de dichos requisitos mediante medidas correctoras adecuadas adoptadas por el proveedor del sistema en un plazo adecuado determinado por el organismo notificado. El organismo notificado motivará su decisión.

Existirá un procedimiento de recurso frente a las decisiones de los organismos notificados, también respecto a los certificados de conformidad expedidos.

Artículo 45. Obligaciones de información de los organismos notificados

1.   Los organismos notificados informarán a la autoridad notificante:

a) de cualquier certificado de la Unión de evaluación de la documentación técnica, de cualquier suplemento a dichos certificados y de cualesquiera aprobaciones de sistemas de gestión de la calidad expedidas con arreglo a los requisitos establecidos en el anexo VII;

b) de cualquier denegación, restricción, suspensión o retirada de un certificado de la Unión de evaluación de la documentación técnica o de una aprobación de un sistema de gestión de la calidad expedida con arreglo a los requisitos establecidos en el anexo VII;

c) de cualquier circunstancia que afecte al ámbito de aplicación o a las condiciones de notificación;

d) de cualquier solicitud de información sobre las actividades de evaluación de la conformidad que hayan recibido de las autoridades de vigilancia del mercado;

e) previa solicitud, de las actividades de evaluación de la conformidad realizadas dentro del ámbito de aplicación de su notificación y de cualquier otra actividad realizada, incluidas las actividades transfronterizas y las subcontrataciones.

2.   Cada organismo notificado informará a los demás organismos notificados:

a) de las aprobaciones de sistemas de gestión de la calidad que haya rechazado, suspendido o retirado y, previa solicitud, de las aprobaciones de sistemas de gestión de la calidad que haya expedido;

b) de los certificados de la Unión de evaluación de la documentación técnica o los suplementos a dichos certificados que haya rechazado, retirado, suspendido o restringido de cualquier otro modo y, previa solicitud, de los certificados o los suplementos a estos que haya expedido.

3.   Cada organismo notificado proporcionará a los demás organismos notificados que realicen actividades de evaluación de la conformidad similares y relativas a los mismos tipos de sistemas de IA información pertinente sobre cuestiones relacionadas con resultados negativos y, previa solicitud, con resultados positivos de las evaluaciones de la conformidad.

4.   Los organismos notificados preservarán la confidencialidad de la información obtenida, de conformidad con lo dispuesto en el artículo 78.

Artículo 46. Exención del procedimiento de evaluación de la conformidad

1.   Como excepción a lo dispuesto en el artículo 43 y previa solicitud debidamente motivada, cualquier autoridad de vigilancia del mercado podrá autorizar la introducción en el mercado o la puesta en servicio de sistemas de IA de alto riesgo específicos en el territorio del Estado miembro de que se trate por motivos excepcionales de seguridad pública o con el fin de proteger la vida y la salud de las personas, el medio ambiente o activos fundamentales de la industria y de las infraestructuras. Dicha autorización se concederá por un período limitado, mientras se lleven a cabo los procedimientos de evaluación de la conformidad necesarios, teniendo en cuenta los motivos excepcionales que justifiquen la exención. La conclusión de los procedimientos de que se trate se alcanzará sin demora indebida.

2.   En una situación de urgencia debidamente justificada por motivos excepcionales de seguridad pública o en caso de amenaza específica, importante e inminente para la vida o la seguridad física de las personas físicas, las autoridades garantes del cumplimiento del Derecho o las autoridades de protección civil podrán poner en servicio un sistema de IA de alto riesgo específico sin la autorización a que se refiere el apartado 1, siempre que se solicite dicha autorización durante o después de la utilización sin demora indebida. Si se deniega la autorización a que se refiere el apartado 1, se suspenderá el uso del sistema de IA de alto riesgo con efecto inmediato y se desecharán inmediatamente todos los resultados y toda la información de salida producidos por dicho uso.

3.   La autorización a que se refiere el apartado 1 solo se expedirá si la autoridad de vigilancia del mercado llega a la conclusión de que el sistema de IA de alto riesgo cumple los requisitos establecidos en la sección 2. La autoridad de vigilancia del mercado informará a la Comisión y a los demás Estados miembros de toda autorización expedida de conformidad con los apartados 1 y 2. Esta obligación no comprenderá los datos operativos sensibles relativos a las actividades de las autoridades garantes del cumplimiento del Derecho.

4.   Si, en el plazo de quince días naturales tras la recepción de la información indicada en el apartado 3, ningún Estado miembro ni la Comisión presentan objeción alguna sobre una autorización expedida por una autoridad de vigilancia del mercado de un Estado miembro con arreglo al apartado 1, la autorización se considerará justificada.

5.   Si, en el plazo de quince días naturales tras la recepción de la notificación a que se refiere el apartado 3, un Estado miembro formula objeciones contra una autorización expedida por una autoridad de vigilancia del mercado de otro Estado miembro, o si la Comisión considera que la autorización vulnera el Derecho de la Unión o que la conclusión de los Estados miembros relativa al cumplimiento del sistema a que se refiere el apartado 3 es infundada, la Comisión celebrará consultas con el Estado miembro pertinente sin demora. Se consultará a los operadores de que se trate y se les ofrecerá la posibilidad de exponer sus puntos de vista. En vista de todo ello, la Comisión decidirá si la autorización está justificada o no. La Comisión enviará su decisión al Estado miembro afectado y a los operadores pertinentes.

6.   Si la Comisión considera que la autorización no está justificada, la autoridad de vigilancia del mercado del Estado miembro de que se trate la retirará.

7.   En el caso de los sistemas de IA de alto riesgo asociados a productos regulados por los actos legislativos de armonización de la Unión enumerados en el anexo I, sección A, solo se aplicarán las exenciones de la evaluación de la conformidad establecidas en dichos actos legislativos de armonización de la Unión.

Artículo 47. Declaración UE de conformidad

1.   El proveedor redactará una declaración UE de conformidad por escrito en un formato legible por máquina, con firma electrónica o manuscrita, para cada sistema de IA de alto riesgo y la mantendrá a disposición de las autoridades nacionales competentes durante un período de diez años a contar desde la introducción del sistema de IA de alto riesgo en el mercado o su puesta en servicio. En la declaración UE de conformidad se especificará el sistema de IA de alto riesgo para el que ha sido redactada. Se entregará una copia de la declaración UE de conformidad a las autoridades nacionales competentes pertinentes que lo soliciten.

2.   En la declaración UE de conformidad constará que el sistema de IA de alto riesgo de que se trate cumple los requisitos establecidos en la sección 2. La declaración UE de conformidad contendrá la información indicada en el anexo V y se traducirá a una lengua que puedan entender fácilmente las autoridades nacionales competentes del Estado o Estados miembros en que se introduzca en el mercado o comercialice el sistema de IA de alto riesgo.

3.   Cuando los sistemas de IA de alto riesgo estén sujetos a otros actos legislativos de armonización de la Unión que también exijan una declaración UE de conformidad, se elaborará una única declaración UE de conformidad con respecto a todos el Derecho de la Unión aplicable al sistema de IA de alto riesgo. La declaración contendrá toda la información necesaria para determinar los actos legislativos de armonización de la Unión a los que se refiere la declaración.

4.   Al elaborar la declaración UE de conformidad, el proveedor asumirá la responsabilidad del cumplimiento de los requisitos establecidos en la sección 2. El proveedor mantendrá actualizada la declaración UE de conformidad según proceda.

5.   La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 97 al objeto de modificar el anexo V actualizando el contenido de la declaración UE de conformidad establecida en dicho anexo, con el fin de introducir elementos que resulten necesarios a la luz del progreso técnico.

Artículo 48. Marcado CE

1.   El marcado CE estará sujeto a los principios generales establecidos en el artículo 30 del Reglamento (CE) nº 765/2008.

2.   En el caso de los sistemas de IA de alto riesgo que se proporcionan digitalmente, se utilizará un marcado CE digital, únicamente si es fácilmente accesible a través de la interfaz desde la que se accede a dicho sistema o mediante un código fácilmente accesible legible por máquina u otros medios electrónicos.

3.   El marcado CE se colocará de manera visible, legible e indeleble en los sistemas de IA de alto riesgo. Cuando esto no sea posible o no pueda garantizarse debido a la naturaleza del sistema de IA de alto riesgo, se colocará en el embalaje o en los documentos adjuntos, según proceda.

4.   En su caso, el marcado CE irá seguido del número de identificación del organismo notificado responsable de los procedimientos de evaluación de la conformidad establecidos en el artículo 43. El número de identificación del organismo notificado lo colocará él mismo o, siguiendo sus instrucciones, el proveedor o el representante autorizado del proveedor. El número de identificación figurará también en todo el material publicitario en el que se mencione que el sistema de IA de alto riesgo cumple los requisitos de marcado CE.

5.   Cuando los sistemas de IA de alto riesgo estén sujetos a otras disposiciones del Derecho de la Unión que también requieran la colocación del marcado CE, este indicará que los sistemas de IA de alto riesgo también cumplen los requisitos de esas otras disposiciones.

Artículo 49. Registro

1.   Antes de introducir en el mercado o de poner en servicio un sistema de IA de alto riesgo enumerado en el anexo III, con excepción de los sistemas de IA de alto riesgo mencionados en el anexo III, punto 2, el proveedor o, en su caso, el representante autorizado, registrarán su sistema y a ellos mismos en la base de datos de la UE a que se refiere el artículo 71.

2.   Antes de introducir en el mercado o poner en servicio un sistema de IA sobre el que el proveedor haya llegado a la conclusión de que no es de alto riesgo de conformidad con el artículo 6, apartado 3, dicho proveedor o, en su caso, el representante autorizado, registrarán ese sistema y a ellos mismos en la base de datos de la UE a que se refiere el artículo 71.

3.   Antes de poner en servicio o utilizar un sistema de IA de alto riesgo enumerado en el anexo III, con excepción de los sistemas de IA de alto riesgo mencionados en el anexo III, punto 2, los responsables del despliegue de sistemas de IA de alto riesgo que sean autoridades públicas, instituciones, órganos u organismos de la Unión, o personas que actúen en su nombre, se registrarán, seleccionarán el sistema y registrarán su utilización en la base de datos de la UE a que se refiere el artículo 71.

4.   En el caso de los sistemas de IA de alto riesgo mencionados en el anexo III, puntos 1, 6 y 7, en los ámbitos de la garantía del cumplimiento del Derecho, la migración, el asilo y la gestión del control fronterizo, el registro a que se refieren los apartados 1, 2 y 3 del presente artículo se efectuará en una sección segura no pública de la base de datos de la UE a que se refiere el artículo 71 e incluirá únicamente la información, según proceda, a la que se hace referencia en:

a) el anexo VIII, sección A, puntos 1 a 10, con excepción de los puntos 6, 8 y 9;

b) el anexo VIII, sección B, puntos 1 a 5 y puntos 8 y 9;

c) el anexo VIII, sección C, puntos 1 a 3;

d) el anexo IX, puntos 1, 2, 3 y 5.

Únicamente la Comisión y las autoridades nacionales a que se refiere el artículo 74, apartado 8, tendrán acceso a las secciones restringidas respectivas de la base de datos de la UE enumeradas en el párrafo primero del presente apartado.

5.   Los sistemas de IA de alto riesgo a que se refiere el anexo III, punto 2, se registrarán a nivel nacional.

CAPÍTULO IV. OBLIGACIONES DE TRANSPARENCIA DE LOS PROVEEDORES Y RESPONSABLES DEL DESPLIEGUE DE DETERMINADOS SISTEMAS DE IA

Artículo 50. Obligaciones de transparencia de los proveedores y responsables del despliegue de determinados sistemas de IA

1.   Los proveedores garantizarán que los sistemas de IA destinados a interactuar directamente con personas físicas se diseñen y desarrollen de forma que las personas físicas de que se trate estén informadas de que están interactuando con un sistema de IA, excepto cuando resulte evidente desde el punto de vista de una persona física razonablemente informada, atenta y perspicaz, teniendo en cuenta las circunstancias y el contexto de utilización. Esta obligación no se aplicará a los sistemas de IA autorizados por ley para detectar, prevenir, investigar o enjuiciar delitos, con sujeción a las garantías adecuadas para los derechos y libertades de terceros, salvo que estos sistemas estén a disposición del público para denunciar un delito penal.

2.   Los proveedores de sistemas de IA, entre los que se incluyen los sistemas de IA de uso general, que generen contenido sintético de audio, imagen, vídeo o texto, velarán por que los resultados de salida del sistema de IA estén marcados en un formato legible por máquina y que sea posible detectar que han sido generados o manipulados de manera artificial. Los proveedores velarán por que sus soluciones técnicas sean eficaces, interoperables, sólidas y fiables en la medida en que sea técnicamente viable, teniendo en cuenta las particularidades y limitaciones de los diversos tipos de contenido, los costes de aplicación y el estado actual de la técnica generalmente reconocido, según se refleje en las normas técnicas pertinentes. Esta obligación no se aplicará en la medida en que los sistemas de IA desempeñen una función de apoyo a la edición estándar o no alteren sustancialmente los datos de entrada facilitados por el responsable del despliegue o su semántica, o cuando estén autorizados por ley para detectar, prevenir, investigar o enjuiciar delitos.

3.   Los responsables del despliegue de un sistema de reconocimiento de emociones o de un sistema de categorización biométrica informarán del funcionamiento del sistema a las personas físicas expuestas a él y tratarán sus datos personales de conformidad con los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y con la Directiva (UE) 2016/680, según corresponda. Esta obligación no se aplicará a los sistemas de IA utilizados para la categorización biométrica y el reconocimiento de emociones que hayan sido autorizados por ley para detectar, prevenir e investigar delitos, con sujeción a las garantías adecuadas para los derechos y libertades de terceros y de conformidad con el Derecho de la Unión.

4.   Los responsables del despliegue de un sistema de IA que genere o manipule imágenes o contenidos de audio o vídeo que constituyan una ultrasuplantación harán público que estos contenidos o imágenes han sido generados o manipulados de manera artificial. Esta obligación no se aplicará cuando la ley autorice su uso para para detectar, prevenir, investigar o enjuiciar delitos. Cuando el contenido forme parte de una obra o programa manifiestamente creativos, satíricos, artísticos, de ficción o análogos, las obligaciones de transparencia establecidas en el presente apartado se limitarán a la obligación de hacer pública la existencia de dicho contenido generado o manipulado artificialmente de una manera adecuada que no dificulte la exhibición o el disfrute de la obra.

Los responsables del despliegue de un sistema de IA que genere o manipule texto que se publique con el fin de informar al público sobre asuntos de interés público divulgarán que el texto se ha generado o manipulado de manera artificial. Esta obligación no se aplicará cuando el uso esté autorizado por ley para detectar, prevenir, investigar o enjuiciar delitos, o cuando el contenido generado por IA haya sido sometido a un proceso de revisión humana o de control editorial y cuando una persona física o jurídica tenga la responsabilidad editorial por la publicación del contenido.

5.   La información a que se refieren los apartados 1 a 4 se facilitará a las personas físicas de que se trate de manera clara y distinguible a más tardar con ocasión de la primera interacción o exposición. La información se ajustará a los requisitos de accesibilidad aplicables.

6.   Los apartados 1 a 4 no afectarán a los requisitos y obligaciones establecidos en el capítulo III y se entenderán sin perjuicio de otras obligaciones de transparencia establecidas en el Derecho nacional o de la Unión para los responsables del despliegue de sistemas de IA.

7.   La Oficina de IA fomentará y facilitará la elaboración de códigos de buenas prácticas a escala de la Unión para promover la aplicación efectiva de las obligaciones relativas a la detección y el etiquetado de contenidos generados o manipulados de manera artificial. La Comisión podrá adoptar actos de ejecución a fin de aprobar dichos códigos de buenas prácticas, de conformidad con el procedimiento establecido en el artículo 56, apartado 6. Si considera que el código no es adecuado, la Comisión podrá adoptar un acto de ejecución que especifique normas comunes para el cumplimiento de las citadas obligaciones de conformidad con el procedimiento de examen establecido en el artículo 98, apartado 2.

CAPÍTULO V. MODELOS DE IA DE USO GENERAL

SECCIÓN 1. Reglas de clasificación

Artículo 51. Reglas de clasificación de los modelos de IA de uso general como modelos de IA de uso general con riesgo sistémico

1.   Un modelo de IA de uso general se clasificará como modelo de IA de uso general con riesgo sistémico si reúne alguna de las siguientes condiciones:

a) tiene capacidades de gran impacto evaluadas a partir de herramientas y metodologías técnicas adecuadas, como indicadores y parámetros de referencia;

b) con arreglo a una decisión de la Comisión, adoptada de oficio o a raíz de una alerta cualificada del grupo de expertos científicos, tiene capacidades o un impacto equivalente a los establecidos en la letra a), teniendo en cuenta los criterios establecidos en el anexo XIII.

2.   Se presumirá que un modelo de IA de uso general tiene capacidades de gran impacto con arreglo al apartado 1, letra a), cuando la cantidad acumulada de cálculo utilizada para su entrenamiento, medida en operaciones de coma flotante, sea superior a 1025.

3.   La Comisión adoptará actos delegados de conformidad con el artículo 97 para modificar los umbrales a que se refieren los apartados 1 y 2 del presente artículo, así como para complementar los parámetros de referencia e indicadores en función de los avances tecnológicos, como las mejoras algorítmicas o la mayor eficiencia del hardware, cuando sea necesario, para que los umbrales reflejen el estado actual de la técnica.

Artículo 52. Procedimiento

1.   Cuando un modelo de IA de uso general cumpla la condición a que se refiere el artículo 51, apartado 1, letra a), el proveedor pertinente lo notificará a la Comisión sin demora y, en cualquier caso, antes de transcurridas dos semanas desde que se cumpla dicho requisito o desde que se sepa que va a cumplirse. Dicha notificación incluirá la información necesaria para demostrar que se cumple el requisito pertinente. Si la Comisión tiene conocimiento de un modelo de IA de uso general que presenta riesgos sistémicos y que no ha sido notificado, podrá decidir designarlo como modelo con riesgo sistémico.

2.   El proveedor de un modelo de IA de uso general que cumpla la condición a que se refiere el artículo 51, apartado 1, letra a), podrá presentar, junto con su notificación, argumentos suficientemente fundamentados que demuestren que, excepcionalmente, aunque el modelo de IA de uso general cumple dicho requisito, no presenta riesgos sistémicos, debido a sus características específicas, y no debe clasificarse, por tanto, como modelo de IA de uso general con riesgo sistémico.

3.   Cuando la Comisión concluya que los argumentos presentados con arreglo al apartado 2 no están suficientemente fundamentados y que el proveedor pertinente no ha sido capaz de demostrar que el modelo de IA de uso general no presenta, debido a sus características específicas, riesgos sistémicos, rechazará dichos argumentos y el modelo de IA de uso general se considerará un modelo de IA de uso general con riesgo sistémico.

4.   La Comisión podrá determinar que un modelo de IA de uso general presenta riesgos sistémicos, de oficio o a raíz de una alerta cualificada del grupo de expertos científicos con arreglo al artículo 90, apartado 1, letra a), a partir de los criterios establecidos en el anexo XIII.

La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 97 al objeto de modificar el anexo XIII especificando y actualizando los criterios establecidos en dicho anexo.

5.   Previa solicitud motivada de un proveedor cuyo modelo haya sido designado como modelo de IA de uso general con riesgo sistémico con arreglo al apartado 4, la Comisión tendrá en cuenta la solicitud y podrá decidir reevaluar si puede seguir considerándose que el modelo de IA de uso general presenta riesgos sistémicos con arreglo a los criterios establecidos en el anexo XIII. Dicha solicitud contendrá motivos objetivos, detallados y nuevos que hayan surgido desde la decisión de designación. Los proveedores no podrán solicitar la reevaluación antes de transcurridos seis meses desde la decisión de designación. Si tras la reevaluación la Comisión decide mantener la designación como modelo de IA de uso general con riesgo sistémico, los proveedores no podrán solicitar otra reevaluación hasta transcurridos seis meses desde dicha decisión.

6.   La Comisión velará por que se publique una lista de modelos de IA de uso general con riesgo sistémico, que mantendrá actualizada, sin perjuicio de la necesidad de respetar y proteger los derechos de propiedad intelectual e industrial y la información empresarial confidencial o los secretos comerciales de conformidad con el Derecho de la Unión y nacional.

SECCIÓN 2. Obligaciones de los proveedores de modelos de IA de uso general

Artículo 53. Obligaciones de los proveedores de modelos de IA de uso general

1.   Los proveedores de modelos de IA de uso general:

a) elaborarán y mantendrán actualizada la documentación técnica del modelo, incluida la información relativa al proceso de entrenamiento y realización de pruebas y los resultados de su evaluación, que contendrá, como mínimo, la información establecida en el anexo XI con el fin de facilitarla, previa solicitud, a la Oficina de IA y a las autoridades nacionales competentes;

b) elaborarán y mantendrán actualizada información y documentación y la pondrán a disposición de los proveedores de sistemas de IA que tengan la intención de integrar el modelo de IA de uso general en sus sistemas de IA. Sin perjuicio de la necesidad de observar y proteger los derechos de propiedad intelectual e industrial y la información empresarial confidencial o los secretos comerciales de conformidad con el Derecho de la Unión y nacional, dicha información y documentación:

i) permitirá a los proveedores de sistemas de IA entender bien las capacidades y limitaciones del modelo de IA de uso general y cumplir sus obligaciones en virtud del presente Reglamento, y

ii) contendrá, como mínimo, los elementos previstos en el anexo XII;

c) establecerán directrices para cumplir el Derecho de la Unión en materia de derechos de autor y derechos afines, y en particular, para detectar y cumplir, por ejemplo, a través de tecnologías punta, una reserva de derechos expresada de conformidad con el artículo 4, apartado 3, de la Directiva (UE) 2019/790;

d) elaborarán y pondrán a disposición del público un resumen suficientemente detallado del contenido utilizado para el entrenamiento del modelo de IA de uso general, con arreglo al modelo facilitado por la Oficina de IA.

2.   Las obligaciones establecidas en el apartado 1, letras a) y b), no se aplicarán a los proveedores de modelos de IA que se divulguen con arreglo a una licencia libre y de código abierto que permita el acceso, la utilización, la modificación y la distribución del modelo y cuyos parámetros, incluidos los pesos, la información sobre la arquitectura del modelo y la información sobre el uso del modelo, se pongan a disposición del público. Esta excepción no se aplicará a los modelos de IA de uso general con riesgo sistémico.

3.   Los proveedores de modelos de IA de uso general cooperarán con la Comisión y las autoridades nacionales competentes, según sea necesario, en el ejercicio de sus competencias y facultades en virtud del presente Reglamento.

4.   Los proveedores de modelos de IA de uso general podrán recurrir a códigos de buenas prácticas en el sentido de lo dispuesto en el artículo 56 para demostrar el cumplimiento de las obligaciones establecidas en el apartado 1 del presente artículo, hasta que se publique una norma armonizada. El cumplimiento de las normas armonizadas europeas otorga a los proveedores presunción de conformidad en la medida en que tales normas regulen dichas obligaciones. Los proveedores de modelos de IA de uso general que no se adhieran a un código de buenas prácticas aprobado o no cumplan una norma armonizada europea deberán demostrar que cumplen sus obligaciones por medios alternativos adecuados para su evaluación por parte de la Comisión.

5.   A fin de facilitar el cumplimiento de lo dispuesto en el anexo XI, en particular en su punto 2, letras d) y e), la Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 97 para detallar las metodologías de medición y cálculo con vistas a que la documentación sea comparable y verificable.

6.   La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 97, apartado 2, para modificar los anexos XI y XII en función de los avances tecnológicos.

7.   Toda información o documentación obtenida en virtud del presente artículo, incluidos los secretos comerciales, se tratarán de conformidad con las obligaciones de confidencialidad establecidas en el artículo 78.

Artículo 54. Representantes autorizados de los proveedores de modelos de IA de uso general

1.   Antes de introducir en el mercado de la Unión un modelo de IA de uso general, los proveedores establecidos en terceros países tendrán que nombrar, mediante un mandato escrito, a un representante autorizado que esté establecido en la Unión.

2.   Los proveedores permitirán que su representante autorizado pueda efectuar las tareas especificadas en el mandato recibido del proveedor.

3.   Los representantes autorizados efectuarán las tareas especificadas en el mandato recibido del proveedor. Facilitarán a la Oficina de IA, cuando lo solicite, una copia del mandato en una de las lenguas oficiales de las instituciones de la Unión. A los efectos del presente Reglamento, el mandato habilitará al representante autorizado para realizar las tareas siguientes:

a) comprobar que se ha elaborado la documentación técnica que se indica en el anexo XI y que el proveedor cumple todas las obligaciones a que se refiere el artículo 53 y, en su caso, el artículo 55;

b) conservar una copia de la documentación técnica que se indica en el anexo XI a disposición de la Oficina de IA y de las autoridades nacionales competentes por un período de diez años a partir de la introducción en el mercado del modelo de IA de uso general, y de los datos de contacto del proveedor que haya designado al representante autorizado;

c) facilitar a la Oficina de IA, previa solicitud motivada, toda la información y documentación, incluidas la información y documentación mencionadas en la letra b), que sean necesarias para demostrar el cumplimiento de las obligaciones establecidas en el presente capítulo;

d) cooperar con la Oficina de IA y las autoridades competentes, previa solicitud motivada, en cualquier acción que emprendan en relación con el modelo de IA de uso general, también cuando el modelo esté integrado en un sistema de IA introducido en el mercado o puesto en servicio en la Unión.

4.   El mandato habilitará al representante autorizado para que la Oficina de IA o las autoridades competentes se pongan en contacto con él, además de con el proveedor o en lugar de con el proveedor, con referencia a todas las cuestiones relacionadas con la garantía del cumplimiento del presente Reglamento.

5.   El representante autorizado pondrá fin al mandato si considera o tiene motivos para considerar que el proveedor contraviene sus obligaciones en virtud del presente Reglamento. En tal caso, también informará inmediatamente a la Oficina de IA del fin del mandato y de los motivos para ello.

6.   La obligación establecida en el presente artículo no se aplicará a los proveedores de modelos de IA de uso general que se divulguen con arreglo a una licencia libre y de código abierto que permita el acceso, la utilización, la modificación y la distribución del modelo y cuyos parámetros, incluidos los pesos, la información sobre la arquitectura del modelo y la información sobre el uso del modelo, se pongan a disposición del público, salvo si los citados modelos de IA de uso general presentan riesgos sistémicos.

SECCIÓN 3. Obligaciones de los proveedores de modelos de IA de uso general con riesgo sistémico

Artículo 55. Obligaciones de los proveedores de modelos de IA de uso general con riesgo sistémico

1.   Además de las obligaciones enumeradas en los artículos 53 y 54, los proveedores de modelos de IA de uso general con riesgo sistémico:

a) evaluarán los modelos de conformidad con protocolos y herramientas normalizados que reflejen el estado de la técnica, lo que incluye la realización y documentación de pruebas de simulación de adversarios con el modelo con vistas a detectar y mitigar riesgos sistémicos;

b) evaluarán y mitigarán los posibles riesgos sistémicos a escala de la Unión que puedan derivarse del desarrollo, la introducción en el mercado o el uso de modelos de IA de uso general con riesgo sistémico, así como el origen de dichos riesgos;

c) vigilarán, documentarán y comunicarán, sin demora indebida, a la Oficina de IA y, en su caso, a las autoridades nacionales competentes, la información pertinente sobre incidentes graves y las posibles medidas correctoras para resolverlos;

d) velarán por que se establezca un nivel adecuado de protección de la ciberseguridad para el modelo de IA de uso general con riesgo sistémico y la infraestructura física del modelo.

2.   Los proveedores de modelos de IA de uso general con riesgo sistémico podrán recurrir a códigos de buenas prácticas en el sentido de lo dispuesto en el artículo 56 para demostrar el cumplimiento de las obligaciones establecidas en el apartado 1 del presente artículo, hasta que se publique una norma armonizada. El cumplimiento de las normas armonizadas europeas otorga a los proveedores presunción de conformidad en la medida en que tales normas regulen dichas obligaciones. Los proveedores de modelos de IA de uso general que no se adhieran a un código de buenas prácticas aprobado o no cumplan una norma armonizada europea deberán demostrar que cumplen sus obligaciones por medios alternativos adecuados para su evaluación por parte de la Comisión.

3.   Toda información o documentación obtenida en virtud del presente artículo, incluidos los secretos comerciales, se tratarán de conformidad con las obligaciones de confidencialidad establecidas en el artículo 78.

SECCIÓN 4. Códigos de buenas prácticas

Artículo 56. Códigos de buenas prácticas

1.   La Oficina de IA fomentará y facilitará la elaboración de códigos de buenas prácticas a escala de la Unión a fin de contribuir a la correcta aplicación del presente Reglamento, teniendo en cuenta los planteamientos internacionales.

2.   La Oficina de IA y el Consejo de IA velarán por que los códigos de buenas prácticas comprendan al menos las obligaciones establecidas en los artículos 53 y 55, entre las que se incluyen las cuestiones siguientes:

a) los medios para garantizar que la información a que se refiere el artículo 53, apartado 1, letras a) y b), se mantenga actualizada con respecto a la evolución del mercado y los avances tecnológicos;

b) el nivel adecuado de detalle por lo que respecta al resumen sobre el contenido utilizado para el entrenamiento;

c) la determinación del tipo y la naturaleza de los riesgos sistémicos a escala de la Unión, incluido su origen, cuando proceda;

d) las medidas, procedimientos y modalidades de evaluación y gestión de los riesgos sistémicos a escala de la Unión, incluida su documentación, que serán proporcionales a los riesgos y tendrán en cuenta su gravedad y probabilidad y las dificultades específicas para hacerles frente, habida cuenta de la manera en que dichos riesgos pueden surgir y materializarse a lo largo de la cadena de valor de la IA.

3.   La Oficina de IA podrá invitar a todos los proveedores de modelos de IA de uso general, así como a las autoridades nacionales competentes pertinentes, a participar en la elaboración de códigos de buenas prácticas. Las organizaciones de la sociedad civil, la industria, el mundo académico y otras partes interesadas pertinentes, como los proveedores posteriores y los expertos independientes, podrán contribuir al proceso.

4.   La Oficina de IA y el Consejo de IA velarán por que los códigos de buenas prácticas establezcan claramente sus objetivos específicos y contengan compromisos o medidas, como, por ejemplo, indicadores clave de rendimiento, si procede, para garantizar la consecución de dichos objetivos, y que tengan debidamente en cuenta las necesidades e intereses de todas las partes interesadas, incluidas las personas afectadas, a escala de la Unión.

5.   La Oficina de IA velará por que los participantes en los códigos de buenas prácticas informen periódicamente a la Oficina de IA sobre la aplicación de los compromisos y las medidas adoptadas y sus resultados, lo que incluye su evaluación con respecto a los indicadores clave de rendimiento, si procede. Los indicadores clave de rendimiento y los compromisos de presentación de información reflejarán las diferencias de tamaño y capacidad entre los distintos participantes.

6.   La Oficina de IA y el Consejo de IA supervisarán y evaluarán periódicamente la consecución de los objetivos de los códigos de buenas prácticas por parte de los participantes y su contribución a la correcta aplicación del presente Reglamento. La Oficina de IA y el Consejo de IA evaluarán si los códigos de buenas prácticas incluyen las obligaciones establecidas en los artículos 53 y 55, y supervisarán y evaluarán periódicamente la consecución de sus objetivos. Publicarán su evaluación de la adecuación de los códigos de buenas prácticas.

La Comisión podrá, mediante un acto de ejecución, aprobar un código de buenas prácticas y conferirle una validez general dentro de la Unión. Dicho acto de ejecución se adoptará con arreglo al procedimiento de examen contemplado en el artículo 98, apartado 2.

7.   La Oficina de IA podrá invitar a todos los proveedores de modelos de IA de uso general a adherirse a los códigos de buenas prácticas. En el caso de los proveedores de modelos de IA de uso general que no presenten riesgos sistémicos, esta adhesión podrá limitarse a las obligaciones previstas en el artículo 53, salvo que declaren expresamente su interés en adherirse al código completo.

8.   La Oficina de IA también fomentará y facilitará, según proceda, la revisión y la adaptación de los códigos de buenas prácticas, en particular teniendo en cuenta las normas emergentes. La Oficina de IA asistirá en la evaluación de las normas disponibles.

9.   Los códigos de buenas prácticas estarán finalizados a más tardar el 2 de mayo de 2025. La Oficina de IA adoptará las medidas necesarias, lo que incluye invitar a los proveedores a adherirse a los códigos de buenas prácticas con arreglo a lo dispuesto en el apartado 7.

Si un código de buenas prácticas no se ha podido finalizar a más tardar el 2 de agosto de 2025, o si la Oficina de IA lo considera inadecuado tras su evaluación con arreglo al apartado 6 del presente artículo, la Comisión podrá establecer, mediante actos de ejecución, normas comunes para el cumplimiento de las obligaciones establecidas en los artículos 53 y 55, que incluyan las cuestiones establecidas en el apartado 2 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 98, apartado 2.

CAPÍTULO VI. MEDIDAS DE APOYO A LA INNOVACIÓN

Artículo 57. Espacios controlados de pruebas para la IA

1.   Los Estados miembros velarán por que sus autoridades competentes establezcan al menos un espacio controlado de pruebas para la IA a escala nacional, que estará operativo a más tardar el 2 de agosto de 2026. Dicho espacio controlado de pruebas también podrá establecerse conjuntamente con las autoridades competentes de otros Estados miembros. La Comisión podrá proporcionar apoyo técnico, asesoramiento y herramientas para el establecimiento y el funcionamiento de los espacios controlados de pruebas para la IA.

La obligación prevista en el párrafo primero también podrá cumplirse mediante la participación en un espacio controlado de pruebas existente en la medida en que dicha participación proporcione un nivel de cobertura nacional equivalente a los Estados miembros participantes.

2.   También podrán establecerse espacios controlados de pruebas para la IA adicionales a escala regional o local o conjuntamente con las autoridades competentes de otros Estados miembros.

3.   El Supervisor Europeo de Protección de Datos también podrá establecer un espacio controlado de pruebas para la IA para las instituciones, órganos y organismos de la Unión, y podrá ejercer las funciones y tareas de las autoridades nacionales competentes de conformidad con el presente capítulo.

4.   Los Estados miembros velarán por que las autoridades competentes a que se refieren los apartados 1 y 2 asignen recursos suficientes para cumplir lo dispuesto en el presente artículo de manera efectiva y oportuna. Cuando proceda, las autoridades nacionales competentes cooperarán con otras autoridades pertinentes y podrán permitir la participación de otros agentes del ecosistema de la IA. El presente artículo no afectará a otros espacios controlados de pruebas establecidos en virtud del Derecho de la Unión o nacional. Los Estados miembros garantizarán un nivel adecuado de cooperación entre las autoridades que supervisan esos otros espacios controlados de pruebas y las autoridades nacionales competentes.

5.   Los espacios controlados de pruebas para la IA establecidos de conformidad con el apartado 1 proporcionarán un entorno controlado que fomente la innovación y facilite el desarrollo, el entrenamiento, la prueba y la validación de sistemas innovadores de IA durante un período limitado antes de su introducción en el mercado o su puesta en servicio, con arreglo a un plan del espacio controlado de pruebas específico acordado entre los proveedores o proveedores potenciales y la autoridad competente. Tales espacios controlados de pruebas podrán incluir pruebas en condiciones reales supervisadas dentro de ellos.

6.   Las autoridades competentes proporcionarán, en su caso, orientación, supervisión y apoyo dentro del espacio controlado de pruebas para la IA con vistas a determinar los riesgos, en particular para los derechos fundamentales, la salud y la seguridad, a las pruebas y a las medidas de reducción y su eficacia en relación con las obligaciones y los requisitos del presente Reglamento y, cuando proceda, de otras disposiciones de Derecho de la Unión y nacional cuya observancia se supervise en el espacio controlado de pruebas.

7.   Las autoridades competentes proporcionarán a los proveedores y proveedores potenciales que participen en el espacio controlado de pruebas para la IA orientaciones sobre las expectativas en materia de regulación y la manera de cumplir los requisitos y obligaciones establecidos en el presente Reglamento.

A petición del proveedor o proveedor potencial del sistema de IA, la autoridad competente aportará una prueba escrita de las actividades llevadas a cabo con éxito en el espacio controlado de pruebas. La autoridad competente también proporcionará un informe de salida en el que se detallen las actividades llevadas a cabo en el espacio controlado de pruebas y los resultados y resultados del aprendizaje correspondientes. Los proveedores podrán utilizar esta documentación para demostrar su cumplimiento del presente Reglamento mediante el proceso de evaluación de la conformidad o las actividades de vigilancia del mercado pertinentes. A este respecto, las autoridades de vigilancia del mercado y los organismos notificados tendrán en cuenta positivamente los informes de salida proporcionados y las pruebas escritas aportadas por la autoridad nacional competente, con vistas a acelerar los procedimientos de evaluación de la conformidad en una medida razonable.

8.   Con sujeción a las disposiciones de confidencialidad del artículo 78 y con el acuerdo del proveedor o proveedor potencial, la Comisión y el Consejo de IA estarán autorizados a acceder a los informes de salida y los tendrán en cuenta, según proceda, en el ejercicio de sus funciones en virtud del presente Reglamento. Si tanto el proveedor o proveedor potencial como la autoridad nacional competente dan expresamente su acuerdo para ello, el informe de salida podrá hacerse público a través de la plataforma única de información a que se refiere el presente artículo.

9.   El establecimiento de espacios controlados de pruebas para la IA tendrá por objeto contribuir a los siguientes objetivos:

a) mejorar la seguridad jurídica para lograr el cumplimiento del presente Reglamento o, en su caso, de otras disposiciones de Derecho de la Unión y nacional aplicable;

b) apoyar el intercambio de mejores prácticas mediante la cooperación con las autoridades que participan en el espacio controlado de pruebas para la IA;

c) fomentar la innovación y la competitividad y facilitar el desarrollo de un ecosistema de la IA;

d) contribuir a un aprendizaje normativo basado en datos contrastados;

e) facilitar y acelerar el acceso al mercado de la Unión de los sistemas de IA, en particular cuando los proporcionen pymes, incluidas las empresas emergentes.

10.   Las autoridades nacionales competentes velarán por que, en la medida en que los sistemas innovadores de IA impliquen el tratamiento de datos personales o estén comprendidos dentro del ámbito de supervisión de otras autoridades nacionales o autoridades competentes que proporcionen o respalden el acceso a los datos, las autoridades nacionales de protección de datos y las demás autoridades nacionales o competentes estén ligadas al funcionamiento del espacio controlado de pruebas para la IA e involucradas en la supervisión de dichos aspectos en la medida en que lo permitan sus respectivas funciones y competencias.

11.   Los espacios controlados de pruebas para la IA no afectarán a las facultades de supervisión o correctoras de las autoridades competentes que supervisan los espacios controlados de pruebas, tampoco a escala regional o local. Cualquier riesgo considerable para la salud, la seguridad y los derechos fundamentales detectado durante el proceso de desarrollo y prueba de estos sistemas de IA dará lugar a una reducción adecuada. Las autoridades nacionales competentes estarán facultadas para suspender temporal o permanentemente el proceso de prueba, o la participación en el espacio controlado de pruebas si no es posible una reducción efectiva, e informarán a la Oficina de IA de dicha decisión. Con el objetivo de apoyar la innovación en materia de IA en la Unión, las autoridades nacionales competentes ejercerán sus facultades de supervisión dentro de los límites del Derecho pertinente y harán uso de su potestad discrecional a la hora de aplicar disposiciones jurídicas en relación con un proyecto específico de espacio controlado de pruebas para la IA.

12.   Los proveedores y proveedores potenciales que participen en el espacio controlado de pruebas para la IA responderán, con arreglo al Derecho de la Unión y nacional en materia de responsabilidad, de cualquier daño infligido a terceros como resultado de la experimentación realizada en el espacio controlado de pruebas. Sin embargo, siempre que los proveedores potenciales respeten el plan específico y las condiciones de su participación y sigan de buena fe las orientaciones proporcionadas por la autoridad nacional competente, las autoridades no impondrán multas administrativas por infracciones del presente Reglamento. En los casos en que otras autoridades competentes responsables de otras disposiciones del Derecho de la Unión y nacional hayan participado activamente en la supervisión del sistema de IA en el espacio controlado de pruebas y hayan proporcionado orientaciones para el cumplimiento, no se impondrán multas administrativas en relación con dichas disposiciones.

13.   Los espacios controlados de pruebas para la IA serán diseñados y puestos en práctica de tal manera que, cuando proceda, faciliten la cooperación transfronteriza entre las autoridades nacionales competentes.

14.   Las autoridades nacionales competentes coordinarán sus actividades y cooperarán en el marco del Consejo de IA.

15.   Las autoridades nacionales competentes informarán a la Oficina de IA y al Consejo de IA del establecimiento de un espacio controlado de pruebas y podrán solicitarles apoyo y orientación. La Oficina de IA pondrá a disposición del público una lista de los espacios controlados de pruebas previstos y existentes y la mantendrá actualizada con el fin de fomentar una mayor interacción en los espacios controlados de pruebas para la IA, así como la cooperación transfronteriza.

16.   Las autoridades nacionales competentes presentarán informes anuales a la Oficina de IA y al Consejo de IA, por primera vez un año después del establecimiento del espacio controlado de pruebas para la IA y, posteriormente, cada año hasta su terminación, así como un informe final. Dichos informes proporcionarán información sobre el progreso y los resultados de la puesta en práctica de dichos espacios controlados de pruebas, incluidos mejores prácticas, incidentes, enseñanzas extraídas y recomendaciones acerca de su configuración y, en su caso, acerca de la aplicación y posible revisión del presente Reglamento, incluidos sus actos delegados y de ejecución, y sobre la aplicación de otras disposiciones de Derecho de la Unión, supervisada por las autoridades competentes en el marco del espacio controlado de pruebas. Las autoridades nacionales competentes pondrán dichos informes anuales, o resúmenes de estos, a disposición del público, en línea. La Comisión tendrá en cuenta, cuando proceda, los informes anuales en el ejercicio de sus funciones en virtud del presente Reglamento.

17.   La Comisión desarrollará una interfaz única y específica que contenga toda la información pertinente relacionada con los espacios controlados de pruebas para la IA para que las partes interesadas puedan interactuar con los espacios controlados de pruebas para la IA y plantear consultas a las autoridades competentes, así como pedir orientaciones no vinculantes sobre la conformidad de productos, servicios y modelos de negocio innovadores que incorporen tecnologías de IA, de conformidad con el artículo 62, apartado 1, letra c). La Comisión se coordinará de forma proactiva con las autoridades nacionales competentes, cuando proceda.

Artículo 58. Disposiciones detalladas relativas a los espacios controlados de pruebas para la IA y al funcionamiento de dichos espacios

1.   A fin de evitar que se produzca una fragmentación en la Unión, la Comisión adoptará actos de ejecución que especifiquen las disposiciones detalladas para el establecimiento, el desarrollo, la puesta en práctica, el funcionamiento y la supervisión de los espacios controlados de pruebas para la IA. Los actos de ejecución incluirán principios comunes sobre las siguientes cuestiones:

a) los criterios de admisibilidad y selección para participar en el espacio controlado de pruebas para la IA;

b) los procedimientos para la solicitud, la participación, la supervisión, la salida y la terminación del espacio controlado de pruebas para la IA, incluidos el plan del espacio controlado de pruebas y el informe de salida;

c) las condiciones aplicables a los participantes.

Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 98, apartado 2.

2.   Los actos de ejecución mencionados en el apartado 1 garantizarán:

a) que los espacios controlados de pruebas para la IA estén abiertos a cualquier proveedor o proveedor potencial de un sistema de IA que presente una solicitud y cumpla los criterios de admisibilidad y selección, que serán transparentes y equitativos, y también que las autoridades nacionales competentes informen a los solicitantes de su decisión en un plazo de tres meses a partir de la presentación de la solicitud;

b) que los espacios controlados de pruebas para la IA permitan un acceso amplio e igualitario y se adapten a la demanda de participación; los proveedores y proveedores potenciales también podrán presentar solicitudes en asociación con responsables del despliegue y con otros terceros pertinentes;

c) que las disposiciones detalladas y las condiciones relativas a los espacios controlados de pruebas para la IA propicien, en la medida de lo posible, que las autoridades nacionales competentes dispongan de flexibilidad para establecer y gestionar sus espacios controlados de pruebas para la IA;

d) que el acceso a los espacios controlados de pruebas para la IA sea gratuito para las pymes, incluidas las empresas emergentes, sin perjuicio de los costes excepcionales que las autoridades nacionales competentes puedan recuperar de una forma justa y proporcionada;

e) que se facilite a los proveedores y proveedores potenciales, mediante los resultados del aprendizaje de los espacios controlados de pruebas para la IA, el cumplimiento de las obligaciones de evaluación de la conformidad en virtud del presente Reglamento y la aplicación voluntaria de los códigos de conducta a que se refiere el artículo 95;

f) que los espacios controlados de pruebas para la IA faciliten la participación de otros agentes pertinentes del ecosistema de la IA, como los organismos notificados y los organismos de normalización, las pymes, incluidas las empresas emergentes, las empresas, los agentes innovadores, las instalaciones de ensayo y experimentación, los laboratorios de investigación y experimentación y los centros europeos de innovación digital, los centros de excelencia y los investigadores, a fin de permitir y facilitar la cooperación con los sectores público y privado;

g) que los procedimientos, procesos y requisitos administrativos para la solicitud, la selección, la participación y la salida del espacio controlado de pruebas para la IA sean sencillos y fácilmente inteligibles y se comuniquen claramente, a fin de facilitar la participación de las pymes, incluidas las empresas emergentes, con capacidades jurídicas y administrativas limitadas, y se racionalicen en toda la Unión, a fin de evitar la fragmentación y de que la participación en un espacio controlado de pruebas para la IA establecido por un Estado miembro o por el Supervisor Europeo de Protección de Datos esté reconocida mutua y uniformemente y tenga los mismos efectos jurídicos en toda la Unión;

h) que la participación en el espacio controlado de pruebas para la IA se limite a un período que se ajuste a la complejidad y la escala del proyecto, y que podrá ser prorrogado por la autoridad nacional competente;

i) que los espacios controlados de pruebas para la IA faciliten el desarrollo de herramientas e infraestructuras para la prueba, la evaluación comparativa, la evaluación y la explicación de las dimensiones de los sistemas de IA pertinentes para el aprendizaje normativo, como la precisión, la solidez y la ciberseguridad, así como de medidas para mitigar los riesgos para los derechos fundamentales y la sociedad en su conjunto.

3.   Se ofrecerán a los proveedores potenciales que participen en los espacios controlados de pruebas para la IA, en particular a las pymes y las empresas emergentes, cuando proceda, servicios previos al despliegue, como orientaciones sobre la aplicación del presente Reglamento, otros servicios que aportan valor añadido, como ayuda con los documentos de normalización y la certificación, y acceso a las instalaciones de ensayo y experimentación, los centros europeos de innovación digital y los centros de excelencia.

4.   Cuando las autoridades nacionales competentes estudien autorizar la realización de pruebas en condiciones reales supervisadas en el marco de un espacio controlado de pruebas para la IA que se establecerá en virtud del presente artículo, acordarán específicamente las condiciones de dichas pruebas y, en particular, las garantías adecuadas con los participantes, con vistas a proteger los derechos fundamentales, la salud y la seguridad. Cuando proceda, cooperarán con otras autoridades nacionales competentes con el fin de garantizar la coherencia de las prácticas en toda la Unión.

Artículo 59. Tratamiento ulterior de datos personales para el desarrollo de determinados sistemas de IA en favor del interés público en el espacio controlado de pruebas para la IA

1.   En el espacio controlado de pruebas, los datos personales recabados lícitamente con otros fines podrán tratarse únicamente con el objetivo de desarrollar, entrenar y probar determinados sistemas de IA en el espacio controlado de pruebas cuando se cumplan todas las condiciones siguientes:

a) que los sistemas de IA se desarrollen para que una autoridad pública u otra persona física o jurídica proteja un interés público esencial en uno o varios de los siguientes ámbitos:

i) la seguridad y la salud públicas, incluidos la detección, el diagnóstico, la prevención, el control y el tratamiento de enfermedades y la mejora de los sistemas sanitarios,

ii) un elevado nivel de protección y mejora de la calidad del medio ambiente, la protección de la biodiversidad, la protección contra la contaminación, las medidas de transición ecológica, la mitigación del cambio climático y las medidas de adaptación a este,

iii) la sostenibilidad energética,

iv) la seguridad y la resiliencia de los sistemas de transporte y la movilidad, las infraestructuras críticas y las redes,

v) la eficiencia y la calidad de la administración pública y de los servicios públicos;

b) que los datos tratados resulten necesarios para cumplir uno o varios de los requisitos mencionados en el capítulo III, sección 2, cuando dichos requisitos no puedan cumplirse efectivamente mediante el tratamiento de datos anonimizados o sintéticos o de otro tipo de datos no personales;

c) que existan mecanismos de supervisión eficaces para detectar si pueden producirse durante la experimentación en el espacio controlado de pruebas riesgos elevados para los derechos y libertades de los interesados, mencionados en el artículo 35 del Reglamento (UE) 2016/679 y en el artículo 39 del Reglamento (UE) 2018/1725, así como mecanismos de respuesta para mitigar sin demora dichos riesgos y, en su caso, detener el tratamiento;

d) que los datos personales que se traten en el contexto del espacio controlado de pruebas se encuentren en un entorno de tratamiento de datos funcionalmente separado, aislado y protegido, bajo el control del proveedor potencial, y que únicamente las personas autorizadas tengan acceso a dichos datos;

e) que los proveedores solo puedan compartir los datos recabados originalmente de conformidad con el Derecho de la Unión en materia de protección de datos; los datos personales creados en el espacio controlado de pruebas no pueden salir del espacio controlado de pruebas;

f) que el tratamiento de datos personales en el contexto del espacio controlado de pruebas no dé lugar a medidas o decisiones que afecten a los interesados ni afecte a la aplicación de sus derechos establecidos en el Derecho de la Unión en materia de protección de datos personales;

g) que los datos personales tratados en el contexto del espacio controlado de pruebas se protejan mediante medidas técnicas y organizativas adecuadas y se eliminen una vez concluida la participación en dicho espacio o cuando los datos personales lleguen al final de su período de conservación;

h) que los archivos de registro del tratamiento de datos personales en el contexto del espacio controlado de pruebas se conserven mientras dure la participación en el espacio controlado de pruebas, salvo que se disponga otra cosa en el Derecho de la Unión o el Derecho nacional;

i) que se conserve una descripción completa y detallada del proceso y la lógica subyacentes al entrenamiento, la prueba y la validación del sistema de IA junto con los resultados del proceso de prueba como parte de la documentación técnica a que se refiere el anexo IV;

j) que se publique una breve síntesis del proyecto de IA desarrollado en el espacio controlado de pruebas, junto con sus objetivos y resultados previstos, en el sitio web de las autoridades competentes; esta obligación no comprenderá los datos operativos sensibles relativos a las actividades de las autoridades garantes del cumplimiento del Derecho, del control fronterizo, de la inmigración o del asilo.

2.   Cuando se lleve a cabo con fines de prevención, investigación, detección o enjuiciamiento de delitos o de ejecución de sanciones penales, incluidas la protección frente a amenazas para la seguridad pública y la prevención de dichas amenazas, y bajo el control y la responsabilidad de las autoridades garantes del cumplimiento del Derecho, el tratamiento de datos personales en los espacios controlados de pruebas para la IA se basará en un Derecho específico, de la Unión o nacional y cumplirá las condiciones acumulativas que se indican en el apartado 1.

3.   El apartado 1 se entiende sin perjuicio del Derecho de la Unión o nacional que proscriba el tratamiento de datos personales con fines distintos de los expresamente mencionados en dichos actos, así como sin perjuicio del Derecho de la Unión o nacional que establezca las bases para el tratamiento de datos personales necesario para desarrollar, probar o entrenar sistemas innovadores de IA o de cualquier otra base jurídica, de conformidad con el Derecho de la Unión en materia de protección de datos personales.

Artículo 60. Pruebas de sistemas de IA de alto riesgo en condiciones reales fuera de los espacios controlados de pruebas para la IA

1.   Los proveedores o proveedores potenciales de sistemas de IA de alto riesgo enumerados en el anexo III podrán realizar pruebas de sistemas de IA de alto riesgo en condiciones reales fuera de los espacios controlados de pruebas para la IA de conformidad el presente artículo y con el plan de la prueba en condiciones reales a que se refiere el presente artículo, sin perjuicio de las prohibiciones establecidas en el artículo 5.

La Comisión adoptará, mediante un acto de ejecución, los elementos detallados del plan de la prueba en condiciones reales. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 98, apartado 2.

El presente apartado se entiende sin perjuicio del Derecho de la Unión o nacional en materia de pruebas en condiciones reales de sistemas de IA de alto riesgo asociados a productos regulados por los actos legislativos de armonización de la Unión enumerados en el anexo I.

2.   Los proveedores o proveedores potenciales podrán realizar pruebas de los sistemas de IA de alto riesgo mencionados en el anexo III en condiciones reales en cualquier momento antes de la introducción en el mercado o la puesta en servicio del sistema de IA por cuenta propia o en asociación con uno o varios responsables del despliegue o responsables del despliegue potenciales.

3.   Las pruebas de sistemas de IA de alto riesgo en condiciones reales con arreglo al presente artículo se entenderán sin perjuicio de cualquier revisión ética que se exija en el Derecho de la Unión o nacional.

4.   Los proveedores o proveedores potenciales podrán realizar pruebas en condiciones reales solamente cuando se cumplan todas las condiciones siguientes:

a) el proveedor o proveedor potencial ha elaborado un plan de la prueba en condiciones reales y lo ha presentado a la autoridad de vigilancia del mercado del Estado miembro en que se vayan a realizar las pruebas en condiciones reales;

b) la autoridad de vigilancia del mercado del Estado miembro en que se vayan a realizar las pruebas en condiciones reales ha aprobado las pruebas en condiciones reales y el plan de la prueba en condiciones reales; si la autoridad de vigilancia del mercado no responde en un plazo de treinta días, se entenderá que las pruebas en condiciones reales y el plan de la prueba en condiciones reales han sido aprobados; cuando el Derecho nacional no contemple una aprobación tácita, las pruebas en condiciones reales estarán sujetas a una autorización también en este caso;

c) el proveedor o proveedor potencial, con excepción de los proveedores o proveedores potenciales de sistemas de IA de alto riesgo mencionados en el anexo III, puntos 1, 6 y 7, en los ámbitos de la garantía del cumplimiento del Derecho, la migración, el asilo y la gestión del control fronterizo, así como de los sistemas de IA de alto riesgo mencionados en el punto 2 del anexo III ha registrado las pruebas en condiciones reales de conformidad con el artículo 71, apartado 4, con un número de identificación único para toda la Unión y la información indicada en el anexo IX; el proveedor o proveedor potencial de sistemas de IA de alto riesgo a que se refiere el anexo III, puntos 1, 6 y 7, en los ámbitos de la garantía del cumplimiento del Derecho, la migración, el asilo y la gestión del control fronterizo, ha registrado las pruebas en condiciones reales en la parte no pública de la base de datos de la UE de conformidad con el artículo 49, apartado 4, letra d), con un número de identificación único para toda la Unión y la información indicada en este; el proveedor o proveedor potencial de sistemas de IA de alto riesgo a que se refiere el anexo III, punto 2, ha registrado las pruebas en condiciones reales de conformidad con el artículo 49, apartado 5;

d) el proveedor o proveedor potencial que realiza las pruebas en condiciones reales está establecido en la Unión o ha designado a un representante legal que está establecido en la Unión;

e) los datos recabados y tratados a efectos de las pruebas en condiciones reales únicamente se transferirán a terceros países si se aplican las garantías adecuadas y aplicables en virtud del Derecho de la Unión;

f) las pruebas en condiciones reales no duran más de lo necesario para lograr sus objetivos y, en cualquier caso, no más de seis meses, que podrán prorrogarse por un período adicional de seis meses, con sujeción al envío de una notificación previa por parte del proveedor o proveedor potencial a la autoridad de vigilancia del mercado, acompañada por una explicación de la necesidad de dicha prórroga;

g) los sujetos de las pruebas en condiciones reales que sean personas pertenecientes a colectivos vulnerables debido a su edad o a una discapacidad cuentan con protección adecuada;

h) cuando un proveedor o proveedor potencial organice las pruebas en condiciones reales en cooperación con uno o varios responsables del despliegue o responsables del despliegue potenciales, estos últimos habrán sido informados de todos los aspectos de las pruebas que resulten pertinentes para su decisión de participar y habrán recibido las instrucciones de uso pertinentes del sistema de IA a que se refiere el artículo 13; el proveedor o proveedor potencial y el responsable del despliegue o responsable del despliegue potencial alcanzarán un acuerdo en que se detallen sus funciones y responsabilidades con vistas a garantizar el cumplimiento de las disposiciones relativas a las pruebas en condiciones reales con arreglo al presente Reglamento y a otras disposiciones de Derecho de la Unión y nacional aplicable;

i) los sujetos de las pruebas en condiciones reales han dado su consentimiento informado de conformidad con el artículo 61 o, en el ámbito de la garantía del cumplimiento del Derecho, en el que intentar obtener el consentimiento informado impediría que se probara el sistema de IA, las pruebas en sí y los resultados de las pruebas en condiciones reales no tendrán ningún efecto negativo sobre los sujetos, cuyos datos personales se suprimirán una vez realizada la prueba;

j) las pruebas en condiciones reales son supervisadas de manera efectiva por el proveedor o el proveedor potencial y por los responsables del despliegue o los responsables del despliegue potenciales mediante personas adecuadamente cualificadas en el ámbito pertinente y con la capacidad, formación y autoridad necesarias para realizar sus tareas;

k) se pueden revertir y descartar de manera efectiva las predicciones, recomendaciones o decisiones del sistema de IA.

5.   Cualquier sujeto de las pruebas en condiciones reales o su representante legalmente designado, según proceda, podrá, sin sufrir por ello perjuicio alguno y sin tener que proporcionar ninguna justificación, abandonar las pruebas en cualquier momento retirando su consentimiento informado y solicitar la supresión inmediata y permanente de sus datos personales. La retirada del consentimiento informado no afectará a las actividades ya completadas.

6.   De conformidad con el artículo 75, los Estados miembros conferirán a sus autoridades de vigilancia del mercado poderes para exigir a los proveedores y proveedores potenciales que faciliten información, realizar sin previo aviso inspecciones a distancia o in situ y controlar la realización de las pruebas en condiciones reales y los sistemas de IA de alto riesgo relacionados. Las autoridades de vigilancia del mercado harán uso de dichos poderes para garantizar que las pruebas en condiciones reales se desarrollen de manera segura.

7.   Se informará de cualquier incidente grave detectado en el transcurso de las pruebas en condiciones reales a la autoridad nacional de vigilancia del mercado de conformidad con el artículo 73. El proveedor o proveedor potencial adoptará medidas de reducción inmediatas o, en su defecto, suspenderá las pruebas en condiciones reales hasta que se produzca dicha reducción o pondrá fin a las pruebas. El proveedor o proveedor potencial establecerá un procedimiento para la rápida recuperación del sistema de IA en caso de que se ponga fin a las pruebas en condiciones reales.

8.   El proveedor o proveedor potencial notificará a la autoridad nacional de vigilancia del mercado del Estado miembro en que se vayan a realizar las pruebas en condiciones reales la suspensión o la terminación de las pruebas en condiciones reales y los resultados finales.

9.   El proveedor o proveedor potencial será responsable, conforme al Derecho de la Unión y nacional en materia de responsabilidad aplicable, de cualquier daño causado en el transcurso de sus pruebas en condiciones reales.

Artículo 61. Consentimiento informado para participar en pruebas en condiciones reales fuera de los espacios controlados de pruebas para la IA

1.   A los efectos de las pruebas en condiciones reales con arreglo al artículo 60, se obtendrá de los sujetos de las pruebas un consentimiento informado dado libremente antes de participar en dichas pruebas y después de haber recibido información concisa, clara, pertinente y comprensible en relación con:

a) la naturaleza y los objetivos de las pruebas en condiciones reales y los posibles inconvenientes asociados a su participación;

b) las condiciones en las que se van a llevar a cabo las pruebas en condiciones reales, incluida la duración prevista de la participación del sujeto o los sujetos;

c) sus derechos y las garantías relativas a su participación, en particular su derecho a negarse a participar y el derecho a abandonar las pruebas en condiciones reales en cualquier momento sin sufrir por ello perjuicio alguno y sin tener que proporcionar ninguna justificación;

d) las disposiciones para solicitar la reversión o el descarte de las predicciones, recomendaciones o decisiones del sistema de IA;

e) el número de identificación único para toda la Unión de la prueba en condiciones reales de conformidad con el artículo 60, apartado 4, letra c), y la información de contacto del proveedor o de su representante legal, de quien se puede obtener más información.

2.   El consentimiento informado estará fechado y documentado, y se entregará una copia a los sujetos de la prueba o a sus representantes legales.

Artículo 62. Medidas dirigidas a proveedores y responsables del despliegue, en particular pymes, incluidas las empresas emergentes

1.   Los Estados miembros adoptarán las medidas siguientes:

a) proporcionarán a las pymes, incluidas las empresas emergentes, que tengan un domicilio social o una sucursal en la Unión un acceso prioritario a los espacios controlados de pruebas para la IA, siempre que cumplan las condiciones de admisibilidad y los criterios de selección; el acceso prioritario no impedirá que otras pymes, incluidas las empresas emergentes, distintas de las mencionadas en el presente apartado accedan al espacio controlado de pruebas para la IA, siempre que también cumplan las condiciones de admisibilidad y los criterios de selección;

b) organizarán actividades de sensibilización y formación específicas sobre la aplicación del presente Reglamento adaptadas a las necesidades de las pymes, incluidas las empresas emergentes, los responsables del despliegue y, en su caso, las autoridades públicas locales;

c) utilizarán canales específicos existentes y establecerán, en su caso, nuevos canales para la comunicación con las pymes, incluidas las empresas emergentes, los responsables del despliegue y otros agentes innovadores, así como, en su caso, las autoridades públicas locales, a fin de proporcionar asesoramiento y responder a las dudas planteadas acerca de la aplicación del presente Reglamento, también en relación con la participación en los espacios controlados de pruebas para la IA;

d) fomentarán la participación de las pymes y otras partes interesadas pertinentes en el proceso de desarrollo de la normalización.

2.   Se tendrán en cuenta los intereses y necesidades específicos de los proveedores que sean pymes, incluidas las empresas emergentes, a la hora de fijar las tasas para la evaluación de la conformidad en virtud del artículo 43, y se reducirán dichas tasas en proporción a su tamaño, al tamaño del mercado y a otros indicadores pertinentes.

3.   La Oficina de IA adoptará las medidas siguientes:

a) proporcionará modelos normalizados para los ámbitos regulados por el presente Reglamento, tal como especifique el Consejo de IA en su solicitud;

b) desarrollará y mantendrá una plataforma única de información que proporcione información fácil de usar en relación con el presente Reglamento destinada a todos los operadores de la Unión;

c) organizará campañas de comunicación adecuadas para sensibilizar sobre las obligaciones derivadas del presente Reglamento;

d) evaluará y fomentará la convergencia de las mejores prácticas en los procedimientos de contratación pública en relación con los sistemas de IA.

Artículo 63. Excepciones para operadores específicos

1.   Las microempresas en el sentido de la Recomendación 2003/361/CE podrán cumplir determinados elementos del sistema de gestión de la calidad exigido por el artículo 17 del presente Reglamento de manera simplificada, siempre que no tengan empresas asociadas o empresas vinculadas en el sentido de dicha Recomendación. A tal fin, la Comisión elaborará directrices sobre los elementos del sistema de gestión de la calidad que puedan cumplirse de manera simplificada teniendo en cuenta las necesidades de las microempresas sin que ello afecte al nivel de protección ni a la necesidad de cumplir los requisitos relativos a los sistemas de IA de alto riesgo.

2.   El apartado 1 del presente artículo no se interpretará en el sentido de que exime a dichos operadores de cumplir cualquier otro requisito u obligación establecidos en el presente Reglamento, incluidos aquellos que figuran en los artículos 9, 10, 11, 12, 13, 14, 15, 72 y 73.

CAPÍTULO VII. GOBERNANZA

SECCIÓN 1. Gobernanza a escala de la Unión

Artículo 64. Oficina de IA

1.   La Comisión desarrollará los conocimientos especializados y las capacidades de la Unión en el ámbito de la IA mediante la Oficina de IA.

2.   Los Estados miembros facilitarán las tareas encomendadas a la Oficina de IA, que están reflejadas en el presente Reglamento.

Artículo 65. Creación y estructura del Consejo Europeo de Inteligencia Artificial

1.   Se crea un Consejo Europeo de Inteligencia Artificial (en lo sucesivo, «Consejo de IA»).

2.   El Consejo de IA estará compuesto de un representante por Estado miembro. El Supervisor Europeo de Protección de Datos participará en calidad de observador. La Oficina de IA también asistirá a las reuniones del Consejo de IA sin participar en las votaciones. El Consejo de IA podrá invitar a otras autoridades, organismos o expertos nacionales y de la Unión a las reuniones en función de cada situación concreta, cuando los temas tratados sean relevantes para ellos.

3.   Cada representante será designado por su Estado miembro por un período de tres años, renovable una vez.

4.   Los Estados miembros se asegurarán de que sus representantes en el Consejo de IA:

a) tengan las competencias y los poderes pertinentes en su Estado miembro para poder contribuir activamente al cumplimiento de las funciones del Consejo de IA a que se refiere el artículo 66;

b) sean designados como punto de contacto único respecto del Consejo de IA y, en su caso, teniendo en cuenta las necesidades de los Estados miembros, como punto de contacto único para las partes interesadas;

c) estén facultados para facilitar la coherencia y la coordinación entre las autoridades nacionales competentes en su Estado miembro en relación con la aplicación del presente Reglamento, también mediante la recopilación de datos e información pertinentes para cumplir sus funciones en el Consejo de IA.

5.   Los representantes designados de los Estados miembros adoptarán el Reglamento Interno del Consejo de IA por mayoría de dos tercios. El Reglamento Interno establecerá, en particular, los procedimientos para el proceso de selección, la duración del mandato y las especificaciones de las funciones de la presidencia, las modalidades de votación detalladas y la organización de las actividades del Consejo de IA y de sus subgrupos.

6.   El Consejo de IA establecerá dos subgrupos permanentes a fin de proporcionar una plataforma de cooperación e intercambio entre las autoridades de vigilancia del mercado y de notificar a las autoridades cuestiones relacionadas con la vigilancia del mercado y los organismos notificados, respectivamente.

El subgrupo permanente de vigilancia del mercado debe actuar como grupo de cooperación administrativa (ADCO) para el presente Reglamento en el sentido del artículo 30 del Reglamento (UE) 2019/1020.

El Consejo de IA puede establecer otros subgrupos de carácter permanente o temporal, según proceda, para examinar asuntos específicos. Cuando proceda, se podrá invitar a representantes del foro consultivo a que se refiere el artículo 67 a dichos subgrupos o a reuniones específicas de dichos subgrupos en calidad de observadores.

7.   El Consejo de IA se organizará y gestionará de manera que se preserve la objetividad e imparcialidad de sus actividades.

8.   El Consejo de IA estará presidido por uno de los representantes de los Estados miembros. La Oficina de IA asumirá las labores de secretaría del Consejo de IA, convocará las reuniones a petición de la presidencia y elaborará el orden del día de conformidad con las funciones del Consejo de IA en virtud del presente Reglamento y de su Reglamento Interno.

Artículo 66. Funciones del Consejo de IA

El Consejo de IA prestará asesoramiento y asistencia a la Comisión y a los Estados miembros para facilitar la aplicación coherente y eficaz del presente Reglamento. A tal fin, el Consejo de IA podrá, en particular:

a) contribuir a la coordinación entre las autoridades nacionales competentes responsables de la aplicación del presente Reglamento y, en cooperación con las autoridades de vigilancia del mercado de que se trate y previo acuerdo de estas, apoyar las actividades conjuntas de las autoridades de vigilancia del mercado a que se refiere el artículo 74, apartado 11;

b) recopilar y compartir conocimientos técnicos y reglamentarios y mejores prácticas entre los Estados miembros;

c) ofrecer asesoramiento sobre la aplicación del presente Reglamento, en particular en lo relativo al cumplimiento de las normas sobre modelos de IA de uso general;

d) contribuir a la armonización de las prácticas administrativas en los Estados miembros, también en relación con la exención de los procedimientos de evaluación de la conformidad a que se refiere el artículo 46, el funcionamiento de los espacios controlados de pruebas para la IA y las pruebas en condiciones reales a que se refieren los artículos 57, 59 y 60;

e) previa solicitud de la Comisión o por iniciativa propia, emitir recomendaciones y dictámenes por escrito en relación con cualquier asunto pertinente relacionado con la ejecución del presente Reglamento y con su aplicación coherente y eficaz, por ejemplo:

i) sobre la elaboración y aplicación de códigos de conducta y códigos de buenas prácticas con arreglo al presente Reglamento, así como de las directrices de la Comisión,

ii) sobre la evaluación y revisión del presente Reglamento con arreglo al artículo 112, también en lo que respecta a los informes de incidentes graves a que se refiere el artículo 73, y el funcionamiento de la base de datos de la UE a que se refiere el artículo 71, la preparación de los actos delegados o de ejecución, y en lo que respecta a las posibles adaptaciones del presente Reglamento a los actos legislativos de armonización de la Unión enumerados en el anexo I,

iii) sobre especificaciones técnicas o normas existentes relativas a los requisitos establecidos en el capítulo III, sección 2,

iv) sobre el uso de normas armonizadas o especificaciones comunes a que se refieren los artículos 40 y 41,

v) sobre tendencias, como la competitividad de Europa a escala mundial en materia de IA, la adopción de la IA en la Unión y el desarrollo de capacidades digitales,

vi) sobre tendencias en la tipología cambiante de las cadenas de valor de la IA, en particular sobre las implicaciones resultantes en términos de rendición de cuentas,

vii) sobre la posible necesidad de modificar el anexo III de conformidad con el artículo 7 y sobre la posible necesidad de revisar el artículo 5 con arreglo al artículo 112, teniendo en cuenta las pruebas disponibles pertinentes y los últimos avances tecnológicos;

f) apoyar a la Comisión en la promoción de la alfabetización en materia de IA, la sensibilización del público y la comprensión de las ventajas, los riesgos, las salvaguardias y los derechos y obligaciones en relación con la utilización de sistemas de IA;

g) facilitar el desarrollo de criterios comunes y la comprensión compartida entre los operadores del mercado y las autoridades competentes de los conceptos pertinentes previstos en el presente Reglamento, por ejemplo, contribuyendo al desarrollo de parámetros de referencia;

h) cooperar, en su caso, con otras instituciones, órganos y organismos de la Unión, así como con grupos de expertos y redes pertinentes de la Unión, en particular en los ámbitos de la seguridad de los productos, la ciberseguridad, la competencia, los servicios digitales y de medios de comunicación, los servicios financieros, la protección de los consumidores, y la protección de datos y de los derechos fundamentales;

i) contribuir a la cooperación efectiva con las autoridades competentes de terceros países y con organizaciones internacionales;

j) asistir a las autoridades nacionales competentes y a la Comisión en el desarrollo de los conocimientos técnicos y organizativos necesarios para la aplicación del presente Reglamento, por ejemplo, contribuyendo a la evaluación de las necesidades de formación del personal de los Estados miembros que participe en dicha aplicación;

k) asistir a la Oficina de IA en el apoyo a las autoridades nacionales competentes para el establecimiento y el desarrollo de espacios controlados de pruebas para la IA, y facilitar la cooperación y el intercambio de información entre espacios controlados de pruebas para la IA;

l) contribuir a la elaboración de documentos de orientación y proporcionar el asesoramiento pertinente al respecto;

m) proporcionar asesoramiento a la Comisión en relación con asuntos internacionales en materia de IA;

n) emitir dictámenes para la Comisión sobre las alertas cualificadas relativas a modelos de IA de uso general;

o) recibir dictámenes de los Estados miembros sobre alertas cualificadas relativas a modelos de IA de uso general y sobre las experiencias y prácticas nacionales en materia de supervisión y ejecución de los sistemas de IA, en particular los sistemas que integran los modelos de IA de uso general.

Artículo 67. Foro consultivo

1.   Se creará un foro consultivo para proporcionar conocimientos técnicos y asesorar al Consejo de IA y a la Comisión, así como para contribuir a las funciones de estos en virtud del presente Reglamento.

2.   La composición del foro consultivo representará una selección equilibrada de partes interesadas, incluidos la industria, las empresas emergentes, las pymes, la sociedad civil y el mundo académico. La composición del foro consultivo estará equilibrada en lo que respecta a los intereses comerciales y los no comerciales y, dentro de la categoría de los intereses comerciales, en lo que respecta a las pymes y otras empresas.

3.   La Comisión nombrará a los miembros del foro consultivo, de conformidad con los criterios establecidos en el apartado 2, de entre las partes interesadas con conocimientos especializados reconocidos en el ámbito de la IA.

4.   El mandato de los miembros del foro consultivo será de dos años y podrá prorrogarse hasta un máximo de cuatro años.

5.   La Agencia de los Derechos Fundamentales de la Unión Europea, la Agencia de la Unión Europea para la Ciberseguridad, el Comité Europeo de Normalización (CEN), el Comité Europeo de Normalización Electrotécnica (Cenelec) y el Instituto Europeo de Normas de Telecomunicaciones (ETSI) serán miembros permanentes del foro consultivo.

6.   El foro consultivo establecerá su reglamento interno. Elegirá dos copresidentes de entre sus miembros, de conformidad con los criterios establecidos en el apartado 2. El mandato de los copresidentes será de dos años, renovable una sola vez.

7.   El foro consultivo celebrará reuniones al menos dos veces al año. Podrá invitar a expertos y otras partes interesadas a sus reuniones.

8.   El foro consultivo podrá elaborar dictámenes, recomendaciones y contribuciones por escrito a petición del Consejo de IA o de la Comisión.

9.   El foro consultivo podrá crear subgrupos permanentes o temporales, según proceda, para examinar cuestiones específicas relacionadas con los objetivos del presente Reglamento.

10.   El foro consultivo redactará un informe anual de sus actividades. Dicho informe se pondrá a disposición del público.

Artículo 68. Grupo de expertos científicos independientes

1.   La Comisión adoptará, mediante un acto de ejecución, disposiciones sobre la creación de un grupo de expertos científicos independientes (en lo sucesivo, «grupo de expertos científicos») destinado a apoyar las actividades de garantía del cumplimiento previstas en el presente Reglamento. Dicho acto de ejecución se adoptará de conformidad con el procedimiento de examen a que se refiere el artículo 98, apartado 2.

2.   El grupo de expertos científicos estará compuesto por expertos seleccionados por la Comisión sobre la base de conocimientos científicos o técnicos actualizados en el ámbito de la IA necesarios para las funciones establecidas en el apartado 3, y será capaz de demostrar que cumple todas las condiciones siguientes:

a) conocimientos especializados y competencias particulares, y conocimientos científicos o técnicos en el ámbito de la IA;

b) independencia de cualquier proveedor de sistemas de IA o de modelos de IA de uso general;

c) capacidad para llevar a cabo actividades con diligencia, precisión y objetividad.

La Comisión, en consulta con el Consejo de IA, determinará el número de expertos del grupo de acuerdo con las necesidades requeridas y garantizará una representación geográfica y de género justa.

3.   El grupo de expertos científicos asesorará y apoyará a la Oficina de IA, en particular en lo que respecta a las siguientes funciones:

a) apoyar la aplicación y el cumplimiento del presente Reglamento en lo que respecta a los sistemas y modelos de IA de uso general, en particular:

i) alertando a la Oficina de IA de los posibles riesgos sistémicos a escala de la Unión de modelos de IA de uso general, de conformidad con el artículo 90,

ii) contribuyendo al desarrollo de herramientas y metodologías para evaluar las capacidades de los sistemas y modelos de IA de uso general, también a través de parámetros de referencia,

iii) asesorando sobre la clasificación de modelos de IA de uso general con riesgo sistémico,

iv) asesorando sobre la clasificación de diversos sistemas y modelos de IA de uso general,

v) contribuyendo al desarrollo de herramientas y modelos;

b) apoyar la labor de las autoridades de vigilancia del mercado, a petición de estas;

c) apoyar las actividades transfronterizas de vigilancia del mercado a que se refiere el artículo 74, apartado 11, sin perjuicio de los poderes de las autoridades de vigilancia del mercado;

d) apoyar a la Oficina de IA en el ejercicio de sus funciones en el contexto del procedimiento de salvaguardia de la Unión con arreglo al artículo 81.

4.   Los expertos del grupo desempeñarán sus funciones con imparcialidad y objetividad y garantizarán la confidencialidad de la información y los datos obtenidos en el ejercicio de sus funciones y actividades. No solicitarán ni aceptarán instrucciones de nadie en el ejercicio de sus funciones previstas en el apartado 3. Cada experto cumplimentará una declaración de intereses que se hará pública. La Oficina de IA establecerá sistemas y procedimientos para gestionar y prevenir activamente los posibles conflictos de intereses.

5.   El acto de ejecución a que se refiere el apartado 1 incluirá disposiciones sobre las condiciones, los procedimientos y las disposiciones detalladas para que el grupo de expertos científicos y sus miembros emitan alertas y soliciten la asistencia de la Oficina de IA para el desempeño de las funciones del grupo de expertos científicos.

Artículo 69. Acceso a expertos por parte de los Estados miembros

1.   Los Estados miembros podrán recurrir a expertos del grupo de expertos científicos para que apoyen sus actividades de garantía del cumplimiento previstas en el presente Reglamento.

2.   Se podrá exigir a los Estados miembros que paguen tasas por el asesoramiento y el apoyo prestado por los expertos. La estructura y el importe de las tasas, así como la escala y la estructura de los costes recuperables, se establecerán en el acto de ejecución a que se refiere el artículo 68, apartado 1, teniendo en cuenta los objetivos de la correcta aplicación del presente Reglamento, la rentabilidad y la necesidad de garantizar que todos los Estados miembros tengan un acceso efectivo a los expertos.

3.   La Comisión facilitará el acceso oportuno de los Estados miembros a los expertos, según sea necesario, y garantizará que la combinación de las actividades de apoyo llevadas a cabo por las estructuras de apoyo a los ensayos de IA de la Unión con arreglo al artículo 84 y por expertos con arreglo al presente artículo se organice de manera eficiente y ofrezca el mayor valor añadido posible.

SECCIÓN 2. Autoridades nacionales competentes

Artículo 70. Designación de las autoridades nacionales competentes y de los puntos de contacto único

1.   Cada Estado miembro establecerá o designará al menos una autoridad notificante y al menos una autoridad de vigilancia del mercado como autoridades nacionales competentes a los efectos del presente Reglamento. Dichas autoridades nacionales competentes ejercerán sus poderes de manera independiente, imparcial y sin sesgos, a fin de preservar la objetividad de sus actividades y funciones y de garantizar la aplicación y ejecución del presente Reglamento. Los miembros de dichas autoridades se abstendrán de todo acto incompatible con sus funciones. Siempre que se respeten esos principios, tales actividades y funciones podrán ser realizadas por una o varias autoridades designadas, de conformidad con las necesidades organizativas del Estado miembro.

2.   Los Estados miembros comunicarán a la Comisión la identidad de las autoridades notificantes y de las autoridades de vigilancia del mercado y las funciones de dichas autoridades, así como cualquier cambio posterior al respecto. Los Estados miembros pondrán a disposición del público, por medios de comunicación electrónica, información sobre la forma de contactar con las autoridades competentes y los puntos de contacto únicos a más tardar el 2 de agosto de 2025. Los Estados miembros designarán una autoridad de vigilancia del mercado que actúe como punto de contacto único para el presente Reglamento y notificarán a la Comisión la identidad de dicho punto. La Comisión pondrá a disposición del público la lista de puntos de contacto únicos.

3.   Los Estados miembros garantizarán que sus autoridades nacionales competentes dispongan de recursos técnicos, financieros y humanos adecuados, y de infraestructuras para el desempeño de sus funciones de manera efectiva con arreglo al presente Reglamento. En concreto, las autoridades nacionales competentes dispondrán permanentemente de suficiente personal cuyas competencias y conocimientos técnicos incluirán un conocimiento profundo de las tecnologías de IA, datos y computación de datos; la protección de los datos personales, la ciberseguridad, los riesgos para los derechos fundamentales, la salud y la seguridad, y conocimientos acerca de las normas y requisitos legales vigentes. Los Estados miembros evaluarán y, en caso necesario, actualizarán anualmente los requisitos en materia de competencias y recursos a que se refiere el presente apartado.

4.   Las autoridades nacionales competentes adoptarán las medidas adecuadas para garantizar un nivel adecuado de ciberseguridad.

5.   En el desempeño de sus funciones, las autoridades nacionales competentes actuarán de conformidad con las obligaciones de confidencialidad establecidas en el artículo 78.

6.   A más tardar el 2 de agosto de 2025 y cada dos años a partir de entonces, los Estados miembros presentarán a la Comisión un informe acerca del estado de los recursos financieros y humanos de las autoridades nacionales competentes, que incluirá una evaluación de su idoneidad. La Comisión remitirá dicha información al Consejo de IA para que mantenga un debate sobre ella y, en su caso, formule recomendaciones.

7.   La Comisión facilitará el intercambio de experiencias entre las autoridades nacionales competentes.

8.   Las autoridades nacionales competentes podrán proporcionar orientaciones y asesoramiento sobre la aplicación del presente Reglamento, en particular a las pymes —incluidas las empresas emergentes—, teniendo en cuenta las orientaciones y el asesoramiento del Consejo de IA y de la Comisión, según proceda. Siempre que una autoridad nacional competente tenga la intención de proporcionar orientaciones y asesoramiento en relación con un sistema de IA en ámbitos regulados por otros actos del Derecho de la Unión, se consultará a las autoridades nacionales competentes con arreglo a lo dispuesto en dichos actos, según proceda.

9.   Cuando las instituciones, órganos y organismos de la Unión entren en el ámbito de aplicación del presente Reglamento, el Supervisor Europeo de Protección de Datos actuará como autoridad competente para su supervisión.

CAPÍTULO VIII. BASE DE DATOS DE LA UE PARA SISTEMAS DE IA DE ALTO RIESGO

Artículo 71. Base de datos de la UE para los sistemas de IA de alto riesgo enumerados en el ANEXO III

1.   La Comisión, en colaboración con los Estados miembros, creará y mantendrá una base de datos de la UE que contendrá la información mencionada en los apartados 2 y 3 del presente artículo en relación con los sistemas de IA de alto riesgo a que se refiere el artículo 6, apartado 2, que estén registrados con arreglo a los artículos 49 y 60 y los sistemas de IA que no se consideren de alto riesgo en virtud del artículo 6, apartado 3, y que estén registrados con arreglo al artículo 6, apartado 4, y al artículo 49. La Comisión consultará a los expertos pertinentes a la hora de fijar las especificaciones funcionales de dicha base de datos y al Consejo de IA a la hora de actualizarlas.

2.   Los datos enumerados en el anexo VIII, secciones A y B, serán introducidos en la base de datos de la UE por el proveedor o, en su caso, por el representante autorizado.

3.   Los datos enumerados en el anexo VIII, sección C, serán introducidos en la base de datos de la UE por el responsable del despliegue que sea una autoridad pública, órgano u organismo, o actúe en su nombre, de conformidad con el artículo 49, apartados 3 y 4.

4.   A excepción de la sección a que se refieren el artículo 49, apartado 4, y el artículo 60, apartado 4, letra c), la información presente en la base de datos de la UE y registrada de conformidad con lo dispuesto en el artículo 49 será accesible y estará a disposición del público de manera sencilla. Debe ser fácil navegar por la información y esta ha de ser legible por máquina. Únicamente podrán acceder a la información registrada de conformidad con el artículo 60 las autoridades de vigilancia de mercado y la Comisión, a menos que el proveedor potencial o el proveedor hayan dado su consentimiento a que la información también esté accesible para el público.

5.   La base de datos de la UE únicamente contendrá datos personales en la medida en que sean necesarios para la recogida y el tratamiento de información de conformidad con el presente Reglamento. Dicha información incluirá los nombres y datos de contacto de las personas físicas responsables del registro de sistema y que cuenten con autoridad legal para representar al proveedor o al responsable del despliegue, según proceda.

6.   La Comisión será la responsable del tratamiento de la base de datos de la UE, y proporcionará apoyo técnico y administrativo adecuado a los proveedores, proveedores potenciales y responsables del despliegue. La base de datos de la UE cumplirá los requisitos de accesibilidad aplicables.

CAPÍTULO IX. VIGILANCIA POSCOMERCIALIZACIÓN, INTERCAMBIO DE INFORMACIÓN Y VIGILANCIA DEL MERCADO

SECCIÓN 1. Vigilancia poscomercialización

Artículo 72. Vigilancia poscomercialización por parte de los proveedores y plan de vigilancia poscomercialización para sistemas de IA de alto riesgo

1.   Los proveedores establecerán y documentarán un sistema de vigilancia poscomercialización de forma proporcionada a la naturaleza de las tecnologías de IA y a los riesgos de los sistemas de IA de alto riesgo.

2.   El sistema de vigilancia poscomercialización recopilará, documentará y analizará de manera activa y sistemática los datos pertinentes que pueden facilitar los responsables del despliegue o que pueden recopilarse a través de otras fuentes sobre el funcionamiento de los sistemas de IA de alto riesgo durante toda su vida útil, y que permiten al proveedor evaluar el cumplimiento permanente de los requisitos establecidos en el capítulo III, sección 2, por parte de los sistemas de IA. Cuando proceda, la vigilancia poscomercialización incluirá un análisis de la interacción con otros sistemas de IA. Esta obligación no comprenderá los datos operativos sensibles de los responsables del despliegue que sean autoridades garantes del cumplimiento del Derecho.

3.   El sistema de vigilancia poscomercialización se basará en un plan de vigilancia poscomercialización. El plan de vigilancia poscomercialización formará parte de la documentación técnica a que se refiere el anexo IV. La Comisión adoptará un acto de ejecución en el que se establecerán disposiciones detalladas que constituyan un modelo para el plan de vigilancia poscomercialización y la lista de elementos que deberán incluirse en él a más tardar el 2 de febrero de 2026. Dicho acto de ejecución se adoptará de conformidad con el procedimiento de examen a que se refiere el artículo 98, apartado 2.

4.   En el caso de los sistemas de IA de alto riesgo regulados por los actos legislativos de armonización de la Unión enumerados en el anexo I, sección A, cuando ya se hayan establecido un sistema y un plan de vigilancia poscomercialización con arreglo a dichos actos, con el fin de garantizar la coherencia, evitar duplicidades y reducir al mínimo las cargas adicionales, los proveedores podrán optar por integrar, según proceda, los elementos necesarios descritos en los apartados 1, 2 y 3, utilizando el modelo a que se refiere el apartado 3, en los sistemas y planes que ya existan en virtud de dicha legislación, siempre que alcance un nivel de protección equivalente.

El párrafo primero del presente apartado también se aplicará a los sistemas de IA de alto riesgo a que se refiere el anexo III, punto 5, introducidos en el mercado o puestos en servicio por entidades financieras sujetas a requisitos relativos a su gobernanza, sus sistemas o sus procesos internos en virtud del Derecho de la Unión en materia de servicios financieros.

SECCIÓN 2. Intercambio de información sobre incidentes graves

Artículo 73. Notificación de incidentes graves

1.   Los proveedores de sistemas de IA de alto riesgo introducidos en el mercado de la Unión notificarán cualquier incidente grave a las autoridades de vigilancia del mercado de los Estados miembros en los que se haya producido dicho incidente.

2.   La notificación a que se refiere el apartado 1 se efectuará inmediatamente después de que el proveedor haya establecido un vínculo causal entre el sistema de IA y el incidente grave o la probabilidad razonable de que exista dicho vínculo y, en cualquier caso, a más tardar quince días después de que el proveedor o, en su caso, el responsable del despliegue, tengan conocimiento del incidente grave.

El plazo para la notificación a que se refiere el párrafo primero tendrá en cuenta la magnitud del incidente grave.

3.   No obstante lo dispuesto en el apartado 2 del presente artículo, en caso de una infracción generalizada o de un incidente grave tal como se define en el artículo 3, punto 49, letra b), la notificación a que se refiere el apartado 1 del presente artículo se realizará de manera inmediata y a más tardar dos días después de que el proveedor o, en su caso, el responsable del despliegue tenga conocimiento del incidente.

4.   No obstante lo dispuesto en el apartado 2, en caso de fallecimiento de una persona, la notificación se efectuará de manera inmediata después de que el proveedor o el responsable del despliegue haya establecido —o tan pronto como sospeche— una relación causal entre el sistema de IA de alto riesgo y el incidente grave, en un plazo no superior a diez días a contar de la fecha en la que el proveedor o, en su caso, el responsable del despliegue tenga conocimiento del incidente grave.

5.   Cuando sea necesario para garantizar la notificación en tiempo oportuno, el proveedor o, en su caso, el responsable del despliegue podrá presentar inicialmente una notificación incompleta, seguida de una notificación completa.

6.   Después de notificar un incidente grave con arreglo al apartado 1, el proveedor realizará sin demora las investigaciones necesarias en relación con el incidente grave y el sistema de IA afectado. Esto incluirá una evaluación de riesgos del incidente y las medidas correctoras.

El proveedor cooperará con las autoridades competentes y, en su caso, con el organismo notificado afectado durante las investigaciones a que se refiere el párrafo primero, y no emprenderá acción alguna que suponga la modificación del sistema de IA afectado de un modo que pueda repercutir en cualquier evaluación posterior de las causas del incidente sin haber informado antes de dicha acción a las autoridades competentes.

7.   Tras la recepción de una notificación relativa a un incidente grave a que se refiere el artículo 3, punto 49, letra c), la autoridad de vigilancia del mercado pertinente informará a las autoridades u organismos públicos nacionales a que se refiere el artículo 77, apartado 1. La Comisión elaborará orientaciones específicas para facilitar el cumplimiento de las obligaciones establecidas en el apartado 1 del presente artículo. Dichas orientaciones se publicarán a más tardar el 2 de agosto de 2025 y se evaluarán periódicamente.

8.   La autoridad de vigilancia del mercado adoptará medidas adecuadas tal como se establece en el artículo 19 del Reglamento (UE) 2019/1020, en un plazo de siete días a partir de la fecha en que reciba la notificación a que se refiere el apartado 1 del presente artículo, y seguirá los procedimientos de notificación previstos en dicho Reglamento.

9.   En el caso de los sistemas de IA de alto riesgo a que se refiere el anexo III, introducidos en el mercado o puestos en servicio por proveedores que estén sujetos a instrumentos legislativos de la Unión por los que se establezcan obligaciones de información equivalentes a las establecidas en el presente Reglamento, la notificación de incidentes graves se limitará a los mencionados en el artículo 3, punto 49, letra c).

10.   En el caso de los sistemas de IA de alto riesgo que sean componentes de seguridad de dispositivos, o que en sí mismos sean dispositivos, regulados por los Reglamento (UE) 2017/745 y (UE) 2017/746, la notificación de incidentes graves se limitará a los mencionados en el artículo 3, punto 49, letra c), del presente Reglamento, y se hará a la autoridad nacional competente elegida para tal fin por los Estados miembros en los que se haya producido el incidente.

11.   Las autoridades nacionales competentes informarán de inmediato a la Comisión de todo incidente grave, independientemente de han adoptado medidas al respecto, de conformidad con el artículo 20 del Reglamento (UE) 2019/1020.

SECCIÓN 3. Garantía del cumplimiento

Artículo 74. Vigilancia del mercado y control de los sistemas de IA en el mercado de la Unión

1.   El Reglamento (UE) 2019/1020 se aplicará a los sistemas de IA regulados por el presente Reglamento. A efectos de garantía del cumplimiento efectivo del presente Reglamento:

a) se entenderá que toda referencia a un operador económico con arreglo al Reglamento (UE) 2019/1020 incluye a todos los operadores mencionados en el artículo 2, apartado 1, del presente Reglamento;

b) se entenderá que toda referencia a un producto con arreglo al Reglamento (UE) 2019/1020 incluye todos los sistemas de IA que estén comprendidos en el ámbito de aplicación del presente Reglamento.

2.   Como parte de sus obligaciones de presentación de información en virtud del artículo 34, apartado 4, del Reglamento (UE) 2019/1020, las autoridades de vigilancia del mercado informarán anualmente a la Comisión y a las autoridades nacionales de competencia pertinentes de cualquier información recabada en el transcurso de las actividades de vigilancia del mercado que pueda ser de interés potencial para la aplicación del Derecho de la Unión en materia de normas de competencia. Asimismo, informarán anualmente a la Comisión sobre el recurso a prácticas prohibidas que se hayan producido durante ese año y sobre las medidas adoptadas.

3.   En el caso de los sistemas de IA de alto riesgo asociados a productos regulados por los actos legislativos de armonización de la Unión enumerados en el anexo I, sección A, la autoridad de vigilancia del mercado a efectos del presente Reglamento será la autoridad responsable de las actividades de vigilancia del mercado designada en virtud de dichos actos legislativos.

Como excepción a lo dispuesto en el párrafo primero, en circunstancias adecuadas, los Estados miembros podrán designar otra autoridad pertinente como autoridad de vigilancia del mercado, siempre que se garantice la coordinación con las autoridades sectoriales de vigilancia del mercado pertinentes responsables de la ejecución de los actos legislativos de armonización de la Unión enumerados en el anexo I.

4.   Los procedimientos a que se refieren los artículos 79 a 83 del presente Reglamento no se aplicarán a los sistemas de IA asociados a productos regulados por los actos legislativos de armonización de la Unión enumerados en el anexo I, sección A, cuando dichos actos legislativos ya prevean procedimientos que garanticen un nivel equivalente de protección que tengan el mismo objetivo. En dichos casos, se aplicarán los procedimientos sectoriales pertinentes.

5.   Sin perjuicio de los poderes de las autoridades de vigilancia del mercado en virtud del artículo 14 del Reglamento (UE) 2019/1020, a efectos de garantizar la ejecución efectiva del presente Reglamento, las autoridades de vigilancia del mercado podrán ejercer a distancia los poderes a que se refiere el artículo 14, apartado 4, letras d) y j), de dicho Reglamento, según proceda.

6.   En el caso de los sistemas de IA de alto riesgo introducidos en el mercado, puestos en servicio o utilizados por entidades financieras reguladas por el Derecho de la Unión en materia de servicios financieros, la autoridad de vigilancia del mercado a efectos del presente Reglamento será la autoridad nacional pertinente responsable de la supervisión financiera de dichas entidades con arreglo a la mencionada legislación, en la medida en que la introducción en el mercado, la puesta en servicio o la utilización del sistema de IA esté directamente relacionada con la prestación de dichos servicios financieros.

7.   Como excepción a lo dispuesto en el apartado 6, en las circunstancias apropiadas y siempre que se garantice la coordinación, el Estado miembro podrá designar otra autoridad pertinente como autoridad de vigilancia del mercado a efectos del presente Reglamento.

Las autoridades nacionales de vigilancia del mercado que supervisen las entidades de crédito reguladas por la Directiva 2013/36/UE y que participen en el Mecanismo Único de Supervisión establecido por el Reglamento (UE) nº 1024/2013 deberán comunicar sin demora al Banco Central Europeo toda información obtenida en el transcurso de sus actividades de vigilancia del mercado que pueda ser de interés para las funciones de supervisión prudencial del Banco Central Europeo especificadas en dicho Reglamento.

8.   En el caso de los sistemas de IA de alto riesgo enumerados en el anexo III del presente Reglamento, punto 1, en la medida en que los sistemas se utilicen a los efectos de la garantía del cumplimiento del Derecho, la gestión de fronteras y la justicia y la democracia, y en el caso de los sistemas de IA de alto riesgo enumerados en el anexo III, puntos 6, 7 y 8, del presente Reglamento, los Estados miembros designarán como autoridades de vigilancia del mercado a efectos del presente Reglamento bien a las autoridades de control encargadas de la protección de datos competentes con arreglo al Reglamento (UE) 2016/679 o a la Directiva (UE) 2016/680, bien a cualquier otra autoridad designada con arreglo a las mismas condiciones establecidas en los artículos 41 a 44 de la Directiva (UE) 2016/680. Las actividades de vigilancia del mercado no afectarán en modo alguno a la independencia de las autoridades judiciales ni interferirán de otro modo en sus actividades en el ejercicio de su función judicial.

9.   Cuando las instituciones, órganos y organismos de la Unión entren en el ámbito de aplicación del presente Reglamento, el Supervisor Europeo de Protección de Datos actuará como su autoridad de vigilancia del mercado, salvo en relación con el Tribunal de Justicia de la Unión Europea cuando actúe en el ejercicio de su función judicial.

10.   Los Estados miembros facilitarán la coordinación entre las autoridades de vigilancia del mercado designadas con arreglo al presente Reglamento y otras autoridades u organismos nacionales pertinentes responsables de supervisar la aplicación de la legislación de armonización de la Unión indicada en el anexo I o en otras disposiciones de Derecho de la Unión que pudieran resultar pertinente para los sistemas de IA de alto riesgo a que se refiere el anexo III.

11.   Las autoridades de vigilancia del mercado y la Comisión podrán proponer actividades conjuntas, incluidas investigaciones conjuntas, que deben llevar a cabo bien las autoridades de vigilancia del mercado, bien las autoridades de vigilancia del mercado junto con la Comisión, con el objetivo de fomentar el cumplimiento, detectar incumplimientos, sensibilizar u ofrecer orientaciones en relación con el presente Reglamento con respecto a las categorías específicas de sistemas de IA de alto riesgo que presentan un riesgo grave en dos o más Estados miembros de conformidad con el artículo 9 del Reglamento (UE) 2019/1020. La Oficina de IA prestará apoyo de coordinación a las investigaciones conjuntas.

12.   Sin perjuicio de los poderes previstos en el Reglamento (UE) 2019/1020, y cuando proceda y se limite a lo necesario para el desempeño de sus funciones, los proveedores concederán a las autoridades de vigilancia del mercado pleno acceso a la documentación, así como a los conjuntos de datos de entrenamiento, validación y prueba utilizados para el desarrollo de los sistemas de IA de alto riesgo, también, cuando proceda y con sujeción a garantías de seguridad, a través de interfaces de programación de aplicaciones (API) o de otras herramientas y medios técnicos pertinentes que permitan el acceso a distancia.

13.   Se concederá a las autoridades de vigilancia del mercado acceso al código fuente del sistema de IA de alto riesgo, previa solicitud motivada y solo si se cumplen las dos siguientes condiciones:

a) el acceso al código fuente es necesario para evaluar la conformidad de un sistema de IA de alto riesgo con los requisitos establecidos en el capítulo III, sección 2, y

b) se han agotado todos los procedimientos de prueba o auditoría y todas las comprobaciones basadas en los datos y la documentación facilitados por el proveedor, o han resultado insuficientes.

14.   Cualesquiera información o documentación obtenidas por las autoridades de vigilancia del mercado se tratarán de conformidad con las obligaciones de confidencialidad establecidas en el artículo 78.

Artículo 75. Asistencia mutua, vigilancia del mercado y control de sistemas de IA de uso general

1.   Cuando un sistema de IA se base en un modelo de IA de uso general y un mismo proveedor desarrolle tanto el modelo como el sistema, la Oficina de IA estará facultada para vigilar y supervisar el cumplimiento por parte de dicho sistema de IA de las obligaciones en virtud del presente Reglamento. Para llevar a cabo estas tareas de vigilancia y supervisión, la Oficina de IA tendrá todos los poderes de una autoridad prevista en la presente sección y en el Reglamento (UE) 2019/1020.

2.   Cuando las autoridades de vigilancia del mercado pertinentes tengan motivos suficientes para considerar que los sistemas de IA de uso general que pueden ser utilizados directamente por los responsables del despliegue al menos para una de las finalidades clasificadas como de alto riesgo con arreglo al presente Reglamento no cumplen los requisitos establecidos en el presente Reglamento, cooperarán con la Oficina de IA para llevar a cabo evaluaciones del cumplimiento e informarán al respecto al Consejo de IA y las demás autoridades de vigilancia del mercado.

3.   Cuando una autoridad de vigilancia del mercado no pueda concluir su investigación sobre el sistema de IA de alto riesgo por no poder acceder a determinada información relativa al modelo de IA de uso general, a pesar de haber realizado todos los esfuerzos adecuados para obtener esa información, podrá presentar una solicitud motivada a la Oficina de IA para que se imponga el acceso a dicha información. En tal caso, la Oficina de IA facilitará a la autoridad solicitante sin demora y, en cualquier caso en un plazo de treinta días, toda la información que la Oficina de IA considere pertinente para determinar si un sistema de IA de alto riesgo no es conforme. Las autoridades de vigilancia del mercado preservarán la confidencialidad de la información obtenida de conformidad con lo dispuesto en el artículo 78 del presente Reglamento. Se aplicará mutatis mutandis el procedimiento previsto en el capítulo VI del Reglamento (UE) 2019/1020.

Artículo 76. Supervisión de las pruebas en condiciones reales por las autoridades de vigilancia del mercado

1.   Las autoridades de vigilancia del mercado tendrán las competencias y los poderes necesarios para garantizar que las pruebas en condiciones reales se ajusten a lo dispuesto en el presente Reglamento.

2.   Cuando se realicen pruebas en condiciones reales de sistemas de IA supervisadas dentro de un espacio controlado de pruebas para la IA con arreglo al artículo 58, las autoridades de vigilancia del mercado verificarán el cumplimiento de del artículo 60 como parte de su función supervisora en el espacio controlado de pruebas para la IA. Dichas autoridades podrán permitir, según proceda, que el proveedor o proveedor potencial lleve a cabo pruebas en condiciones reales, como excepción a las condiciones establecidas en el artículo 60, apartado 4, letras f) y g).

3.   Cuando una autoridad de vigilancia del mercado haya sido informada por el proveedor potencial, el proveedor o un tercero de un incidente grave o tenga otros motivos para pensar que no se cumplen las condiciones establecidas en los artículos 60 y 61, podrá adoptar una de las decisiones siguientes en su territorio, según proceda:

a) suspender o poner fin a las pruebas en condiciones reales;

b) exigir al proveedor o proveedor potencial y al responsable del despliegue o responsable del despliegue potencial que modifiquen cualquier aspecto de las pruebas en condiciones reales.

4.   Cuando una autoridad de vigilancia del mercado haya adoptado una decisión mencionada en el apartado 3 del presente artículo o haya formulado una objeción en el sentido del artículo 60, apartado 4, letra b), la decisión o la objeción deberá estar motivada e indicar las vías de que dispone el proveedor o proveedor potencial para poder impugnar la decisión o la objeción.

5.   En su caso, cuando una autoridad de vigilancia del mercado haya adoptado una decisión mencionada en el apartado 3, comunicará los motivos de dicha decisión a las autoridades de vigilancia del mercado de los demás Estados miembros en que se haya probado el sistema de IA de conformidad con el plan de la prueba.

Artículo 77. Poderes de las autoridades encargadas de proteger los derechos fundamentales

1.   Las autoridades u organismos públicos nacionales encargados de supervisar o hacer respetar las obligaciones contempladas en el Derecho de la Unión en materia de protección de los derechos fundamentales, incluido el derecho a la no discriminación, con respecto al uso de sistemas de IA de alto riesgo mencionados en el anexo III tendrán la facultad de solicitar cualquier documentación creada o conservada con arreglo al presente Reglamento y de acceder a ella, en un lenguaje y formato accesibles, cuando el acceso a dicha documentación sea necesario para el cumplimiento efectivo de sus mandatos, dentro de los límites de su jurisdicción. La autoridad u organismo público pertinente informará sobre cualquier solicitud de este tipo a la autoridad de vigilancia del mercado del Estado miembro que corresponda.

2.   A más tardar el 2 de noviembre de 2024, cada Estado miembro designará las autoridades u organismos públicos a que se refiere el apartado 1 y los incluirá en una lista que pondrá a disposición del público. Los Estados miembros notificarán dicha lista a la Comisión y a los demás Estados miembros y la mantendrán actualizada.

3.   Cuando la documentación mencionada en el apartado 1 no baste para determinar si se ha producido un incumplimiento de las obligaciones previstas en el Derecho de la Unión en materia de protección de los derechos fundamentales, la autoridad u organismo público a que se refiere el apartado 1 podrá presentar una solicitud motivada a la autoridad de vigilancia del mercado para organizar pruebas del sistema de IA de alto riesgo a través de medios técnicos. La autoridad de vigilancia del mercado organizará las pruebas con la estrecha colaboración de la autoridad u organismo público solicitante en un plazo razonable tras la presentación de la solicitud.

4.   Cualquier información o documentación obtenidas por las autoridades u organismos públicos nacionales a que se refiere el apartado 1 del presente artículo con arreglo al presente artículo se tratará de conformidad con las obligaciones de confidencialidad dispuestas en el artículo 78.

Artículo 78. Confidencialidad

1.   La Comisión, las autoridades de vigilancia del mercado, los organismos notificados y cualquier otra persona física o jurídica que participe en la aplicación del presente Reglamento, de conformidad con el Derecho de la Unión o nacional, respetarán la confidencialidad de la información y los datos obtenidos en el ejercicio de sus funciones y actividades de modo que se protejan, en particular:

a) los derechos de propiedad intelectual e industrial y la información empresarial confidencial o los secretos comerciales de una persona física o jurídica, incluido el código fuente, salvo en los casos mencionados en el artículo 5 de la Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo (57);

b) la aplicación eficaz del presente Reglamento, en particular a efectos de investigaciones, inspecciones o auditorías;

c) los intereses de seguridad pública y nacional;

d) el desarrollo de las causas penales o los procedimientos administrativos;

e) la información clasificada con arreglo al Derecho de la Unión o nacional.

2.   Las autoridades involucradas en la aplicación del presente Reglamento de conformidad con el apartado 1 solo solicitarán los datos que sean estrictamente necesarios para la evaluación del riesgo que presentan los sistemas de IA y para el ejercicio de sus competencias de conformidad con el presente Reglamento y con el Reglamento (UE) 2019/1020. Establecerán medidas adecuadas y eficaces en materia de ciberseguridad a fin de proteger la seguridad y la confidencialidad de la información y los datos obtenidos, y suprimirán los datos recopilados tan pronto como dejen de ser necesarios para los fines para los que se obtuvieron, de conformidad con el Derecho de la Unión y nacional aplicable.

3.   Sin perjuicio de lo dispuesto en los apartados 1 y 2, la información intercambiada de forma confidencial entre las autoridades nacionales competentes o entre estas y la Comisión no se revelará sin consultar previamente a la autoridad nacional competente de origen y al responsable del despliegue cuando las autoridades garantes del cumplimiento del Derecho, del control de fronteras, de la inmigración o del asilo utilicen los sistemas de IA de alto riesgo a que se refiere el anexo III, puntos 1, 6 o 7, y dicha divulgación comprometería los intereses de seguridad pública y nacional. Este intercambio de información no comprenderá los datos operativos sensibles relativos a las actividades de las autoridades garantes del cumplimiento del Derecho, del control de fronteras, de la inmigración o del asilo.

Cuando las autoridades garantes del cumplimiento del Derecho, de la inmigración o del asilo sean proveedores de sistemas de IA de alto riesgo a que se refiere el anexo III, puntos 1, 6 o 7, la documentación técnica mencionada en el anexo IV permanecerá dentro de las instalaciones de dichas autoridades. Dichas autoridades velarán por que las autoridades de vigilancia del mercado a que se refiere el artículo 74, apartados 8 y 9, según proceda, puedan, previa solicitud, acceder inmediatamente a la documentación u obtener una copia de esta. Tan solo se permitirá acceder a dicha documentación o a cualquier copia de esta al personal de la autoridad de vigilancia del mercado que disponga de una habilitación de seguridad del nivel adecuado.

4.   Los apartados 1, 2 y 3 no afectarán a los derechos u obligaciones de la Comisión, los Estados miembros y sus autoridades pertinentes, ni a los derechos u obligaciones de los organismos notificados en lo que se refiere al intercambio de información y la difusión de advertencias, también en el contexto de la cooperación transfronteriza, ni a las obligaciones de facilitar información en virtud del Derecho penal de los Estados miembros que incumban a las partes interesadas.

5.   Cuando sea necesario y con arreglo a las disposiciones pertinentes de los acuerdos internacionales y comerciales, la Comisión y los Estados miembros podrán intercambiar información confidencial con autoridades reguladoras de terceros países con las que hayan celebrado acuerdos de confidencialidad bilaterales o multilaterales que garanticen un nivel de confidencialidad adecuado.

Artículo 79. Procedimiento aplicable a escala nacional a los sistemas de IA que presenten un riesgo

1.   Los sistemas de IA que presentan un riesgo se entenderán como «productos que presentan un riesgo» tal como se definen en el artículo 3, punto 19, del Reglamento (UE) 2019/1020, en la medida en que presenten riegos que afecten a la salud, la seguridad o los derechos fundamentales de las personas.

2.   Cuando la autoridad de vigilancia del mercado de un Estado miembro tenga motivos suficientes para considerar que un sistema de IA presenta un riesgo mencionado en el apartado 1 del presente artículo, efectuará una evaluación del sistema de IA de que se trate para verificar su cumplimiento de todos los requisitos y obligaciones establecidos en el presente Reglamento. Debe prestarse una especial atención a los sistemas de IA que presenten un riesgo para los colectivos vulnerables. Cuando se detecten riesgos para los derechos fundamentales, la autoridad de vigilancia del mercado informará también a las autoridades u organismos públicos nacionales pertinentes a que se refiere el artículo 77, apartado 1, y cooperará plenamente con ellos. Los operadores pertinentes cooperarán en lo necesario con la autoridad de vigilancia del mercado y con las demás autoridades u organismos públicos nacionales a que se refiere el artículo 77, apartado 1.

Cuando, en el transcurso de tal evaluación, la autoridad de vigilancia del mercado o, cuando proceda, la autoridad de vigilancia del mercado en cooperación con la autoridad nacional pública a que se refiere el artículo 77, apartado 1, constate que el sistema de IA no cumple los requisitos y obligaciones establecidos en el presente Reglamento, exigirá sin demora indebida al operador pertinente que adopte todas las medidas correctoras oportunas para adaptar el sistema de IA a los citados requisitos y obligaciones, retirarlo del mercado o recuperarlo, dentro de un plazo que dicha autoridad podrá determinar y, en cualquier caso, en un plazo de quince días hábiles a más tardar o en el plazo que prevean los actos legislativos de armonización de la Unión pertinentes según corresponda.

La autoridad de vigilancia del mercado informará al organismo notificado correspondiente en consecuencia. El artículo 18 del Reglamento (UE) 2019/1020 será de aplicación a las medidas mencionadas en el párrafo segundo del presente apartado.

3.   Cuando la autoridad de vigilancia del mercado considere que el incumplimiento no se limita a su territorio nacional, informará a la Comisión y a los demás Estados miembros sin demora indebida de los resultados de la evaluación y de las medidas que haya instado al operador a adoptar.

4.   El operador se asegurará de que se adopten todas las medidas correctoras adecuadas en relación con todos los sistemas de IA afectados que haya comercializado en la Unión.

5.   Si el operador de un sistema de IA no adopta las medidas correctoras adecuadas en el plazo a que hace referencia el apartado 2, la autoridad de vigilancia del mercado adoptará todas las medidas provisionales adecuadas para prohibir o restringir la comercialización del sistema de IA en su mercado nacional o su puesta en servicio, para retirar el producto o el sistema de IA independiente de dicho mercado o recuperarlo. Dicha autoridad notificará estas medidas sin demora indebida a la Comisión y a los demás Estados miembros.

6.   La notificación a que se refiere el apartado 5 incluirá todos los detalles disponibles, en particular la información necesaria para la identificación del sistema de IA no conforme, el origen del sistema de IA y la cadena de suministro, la naturaleza de la presunta no conformidad y el riesgo planteado, la naturaleza y duración de las medidas nacionales adoptadas y los argumentos expresados por el operador correspondiente. En concreto, las autoridades de vigilancia del mercado indicarán si la no conformidad se debe a uno o varios de los motivos siguientes:

a) el no respeto de la prohibición de las prácticas de IA a que se refiere el artículo 5;

b) el incumplimiento de los requisitos establecidos en el capítulo III, sección 2, por parte de un sistema de IA de alto riesgo;

c) deficiencias en las normas armonizadas o especificaciones comunes mencionadas en los artículos 40 y 41 que confieren la presunción de conformidad;

d) el incumplimiento del artículo 50.

7.   Las autoridades de vigilancia del mercado distintas de la autoridad de vigilancia del mercado del Estado miembro que inició el procedimiento comunicarán sin demora indebida a la Comisión y a los demás Estados miembros toda medida que adopten y cualquier información adicional de que dispongan en relación con la no conformidad del sistema de IA de que se trate y, en caso de desacuerdo con la medida nacional notificada, sus objeciones al respecto.

8.   Si, en el plazo de tres meses desde la recepción de la notificación mencionada en el apartado 5 del presente artículo, ninguna autoridad de vigilancia del mercado de un Estado miembro ni la Comisión presentan objeción alguna sobre una medida provisional adoptada por una autoridad de vigilancia del mercado de otro Estado miembro, la medida se considerará justificada. Esto se entiende sin perjuicio de los derechos procedimentales del operador correspondiente con arreglo al artículo 18 del Reglamento (UE) 2019/1020. El plazo de tres meses a que se refiere el presente apartado se reducirá a treinta días en caso de no respeto de la prohibición de las prácticas de IA a que se refiere el artículo 5 del presente Reglamento.

9.   Las autoridades de vigilancia del mercado velarán por que se adopten sin demora indebida las medidas restrictivas adecuadas respecto del producto o del sistema de IA de que se trate, tales como la retirada del producto o del sistema de IA de su mercado.

Artículo 80. Procedimiento aplicable a los sistemas de IA clasificados por el proveedor como no de alto riesgo en aplicación del anexo III

1.   Cuando una autoridad de vigilancia del mercado tenga motivos suficientes para considerar que un sistema de IA que el proveedor haya clasificado como no de alto riesgo con arreglo al artículo 6, apartado 3, sí lo es, dicha autoridad realizará una evaluación del sistema de IA de que se trate por cuanto se refiere a su clasificación como sistema de IA de alto riesgo en función de las condiciones establecidas en el artículo 6, apartado 3, y las directrices de la Comisión.

2.   Cuando, al realizar dicha evaluación, la autoridad de vigilancia del mercado constate que el sistema de IA afectado es de alto riesgo, pedirá sin demora indebida al proveedor correspondiente que adopte todas las medidas necesarias para que el sistema de IA cumpla los requisitos y obligaciones establecidos en el presente Reglamento, así como que adopte las medidas correctoras adecuadas en el plazo que la autoridad de vigilancia del mercado podrá determinar.

3.   Cuando la autoridad de vigilancia del mercado considere que la utilización del sistema de IA afectado no se circunscribe a su territorio nacional, informará a la Comisión y a los demás Estados miembros sin demora indebida de los resultados de la evaluación y de las medidas que haya exigido al proveedor que adopte.

4.   El proveedor se asegurará de que se adopten todas las medidas necesarias para que el sistema de IA cumpla los requisitos y obligaciones que se establecen en el presente Reglamento. Cuando el proveedor de un sistema de IA afectado no haga lo necesario para que cumpla dichos requisitos y obligaciones en el plazo a que se refiere el apartado 2 del presente artículo, se le impondrán multas de conformidad con el artículo 99.

5.   El proveedor se asegurará de que se adopten todas las medidas correctoras adecuadas para todos los sistemas de IA afectados que haya comercializado en toda la Unión.

6.   Cuando el proveedor del sistema de IA afectado no adopte las medidas correctoras adecuadas en el plazo a que se refiere el apartado 2 del presente artículo, se aplicará el artículo 79, apartados 5 a 9.

7.   Cuando, al realizar la evaluación con arreglo al apartado 1 del presente artículo, la autoridad de vigilancia del mercado determine que el proveedor había clasificado erróneamente el sistema de IA como de no alto riesgo con el fin de eludir la aplicación de los requisitos establecidos en el capítulo III, sección 2, se impondrán multas al proveedor de conformidad con el artículo 99.

8.   En el ejercicio de su facultad de supervisión de la aplicación del presente artículo, y de conformidad con el artículo 11 del Reglamento (UE) 2019/1020, las autoridades de vigilancia del mercado podrán realizar los controles pertinentes, teniendo en cuenta, en particular, la información almacenada en la base de datos de la UE a que se refiere el artículo 71 del presente Reglamento.

Artículo 81. Procedimiento de salvaguardia de la Unión

1.   Cuando, en el plazo de tres meses desde la recepción de la notificación a que se refiere el artículo 79, apartado 5, o en el plazo de treinta días en caso de que no se respete la prohibición de las prácticas de IA a que se refiere el artículo 5, la autoridad de vigilancia del mercado de un Estado miembro formule objeciones sobre una medida adoptada por otra autoridad de vigilancia del mercado, o cuando la Comisión considere que la medida es contraria al Derecho de la Unión, la Comisión entablará consultas sin demora indebida con la autoridad de vigilancia del mercado del Estado miembro pertinente y el operador u operadores, y evaluará la medida nacional. Basándose en los resultados de la mencionada evaluación, la Comisión decidirá, en un plazo de seis meses a partir de la notificación a que se refiere el artículo 79, apartado 5, o de sesenta días en caso de que no se respete la prohibición de las prácticas de IA a que se refiere el artículo 5, si la medida nacional está justificada y notificará su decisión a la autoridad de vigilancia del mercado del Estado miembro interesado. La Comisión informará también a las demás autoridades de vigilancia del mercado de su decisión.

2.   Cuando la Comisión considere que la medida adoptada por el Estado miembro correspondiente está justificada, todos los Estados miembros se asegurarán de adoptar las medidas restrictivas adecuadas con respecto al sistema de IA de que se trate, como exigir la retirada del sistema de IA de su mercado sin demora indebida, e informarán de ello a la Comisión. Cuando la Comisión considere que la medida nacional no está justificada, el Estado miembro correspondiente retirará la medida e informará de ello a la Comisión.

3.   Cuando se considere que la medida nacional está justificada y la no conformidad del sistema de IA se atribuya a deficiencias de las normas armonizadas o especificaciones comunes a las que se refieren los artículos 40 y 41 del presente Reglamento, la Comisión aplicará el procedimiento previsto en el artículo 11 del Reglamento (UE) nº 1025/2012.

Artículo 82. Sistemas de IA conformes que presenten un riesgo

1.   Si, tras efectuar una evaluación con arreglo a lo dispuesto en el artículo 79 y consultar a la autoridad pública nacional a que se refiere el artículo 77, apartado 1, la autoridad de vigilancia del mercado de un Estado miembro concluye que un sistema de IA de alto riesgo, a pesar de cumplir con el presente Reglamento, presenta sin embargo un riesgo para la salud o la seguridad de las personas, para los derechos fundamentales o para otros aspectos de protección del interés público, pedirá al operador interesado que adopte todas las medidas adecuadas para garantizar que el sistema de IA de que se trate ya no presente ese riesgo cuando se introduzca en el mercado o se ponga en servicio sin demora indebida, dentro de un plazo que dicha autoridad podrá determinar.

2.   El proveedor u otro operador pertinente se asegurará de que se adoptan medidas correctoras con respecto a todos los sistemas de IA afectados que haya comercializado en el mercado de la Unión en el plazo determinado por la autoridad de vigilancia del mercado del Estado miembro a que se refiere el apartado 1.

3.   Los Estados miembros informarán inmediatamente a la Comisión y a los demás Estados miembros cuando se llegue a una conclusión en virtud del apartado 1. La información facilitada incluirá todos los detalles disponibles, en particular los datos necesarios para detectar el sistema de IA afectado y para determinar su origen y cadena de suministro, la naturaleza del riesgo planteado y la naturaleza y duración de las medidas nacionales adoptadas.

4.   La Comisión entablará sin demora indebida consultas con los Estados miembros afectados y los operadores pertinentes y evaluará las medidas nacionales adoptadas. Basándose en los resultados de esta evaluación, la Comisión decidirá si la medida está justificada y, en su caso, propondrá otras medidas adecuadas.

5.   La Comisión comunicará inmediatamente su decisión a los Estados miembros afectados y a los operadores pertinentes. Informará asimismo a los demás Estados miembros.

Artículo 83. Incumplimiento formal

1.   Cuando la autoridad de vigilancia del mercado de un Estado miembro constate una de las situaciones indicadas a continuación, exigirá al proveedor correspondiente que subsane el incumplimiento de que se trate, dentro de un plazo que dicha autoridad podrá determinar:

a) se ha colocado el marcado CE contraviniendo el artículo 48;

b) no se ha colocado el marcado CE;

c) no se ha elaborado la declaración UE de conformidad con el artículo 47;

d) no se ha elaborado correctamente la declaración UE de conformidad con el artículo 47;

e) no se ha efectuado el registro en la base de datos de la UE de conformidad con el artículo 71;

f) cuando proceda, no se ha designado a un representante autorizado;

g) no se dispone de documentación técnica.

2.   Si el incumplimiento a que se refiere el apartado 1 persiste, la autoridad de vigilancia del mercado del Estado miembro de que se trate adoptará medidas adecuadas y proporcionadas para restringir o prohibir la comercialización del sistema de IA de alto riesgo o para asegurarse de que se recupera o retira del mercado sin demora.

Artículo 84. Estructuras de apoyo a los ensayos de IA de la Unión

1.   La Comisión designará una o varias estructuras de apoyo a los ensayos de IA de la Unión para realizar las actividades enumeradas en el artículo 21, apartado 6, del Reglamento (UE) 2019/1020 en el ámbito de la IA.

2.   Sin perjuicio de las actividades a que se refiere el apartado 1, las estructuras de apoyo a los ensayos de IA de la Unión también proporcionarán asesoramiento técnico o científico independiente a petición del Consejo de IA, la Comisión o de las autoridades de vigilancia del mercado.

SECCIÓN 4. Vías de recurso

Artículo 85. Derecho a presentar una reclamación ante una autoridad de vigilancia del mercado

Sin perjuicio de otras vías administrativas o judiciales de recurso, toda persona física o jurídica que tenga motivos para considerar que se ha infringido lo dispuesto en el presente Reglamento podrá presentar reclamaciones ante la autoridad de vigilancia del mercado pertinente.

De conformidad con el Reglamento (UE) 2019/1020, tales reclamaciones se tendrán en cuenta a la hora de llevar a cabo actividades de vigilancia del mercado y se tramitarán de conformidad con los procedimientos específicos establecidos con este fin por las autoridades de vigilancia del mercado.

Artículo 86. Derecho a explicación de decisiones tomadas individualmente

1.   Toda persona que se vea afectada por una decisión que el responsable del despliegue adopte basándose en los resultados de salida de un sistema de IA de alto riesgo que figure en el anexo III, con excepción de los sistemas enumerados en su punto 2, y que produzca efectos jurídicos o le afecte considerablemente del mismo modo, de manera que considere que tiene un efecto perjudicial para su salud, su seguridad o sus derechos fundamentales, tendrá derecho a obtener del responsable del despliegue explicaciones claras y significativas acerca del papel que el sistema de IA ha tenido en el proceso de toma de decisiones y los principales elementos de la decisión adoptada.

2.   No se aplicará el apartado 1 a la utilización de sistemas de IA para los que existan excepciones o restricciones a la obligación prevista en dicho apartado derivadas del Derecho de la Unión o nacional de conformidad con el Derecho de la Unión.

3.   El presente artículo se aplicará únicamente en la medida en que el derecho a que se refiere el apartado 1 no esté previsto de otro modo en el Derecho de la Unión.

Artículo 87. Denuncia de infracciones y protección de los denunciantes

La Directiva (UE) 2019/1937 se aplicará a la denuncia de infracciones del presente Reglamento y a la protección de las personas que denuncien tales infracciones.

SECCIÓN 5. Supervisión, investigación, cumplimiento y seguimiento respecto de proveedores de modelos de IA de uso general

Artículo 88. Cumplimiento de las obligaciones de los proveedores de modelos de IA de uso general

1.   La Comisión tendrá competencias exclusivas para supervisar y hacer cumplir el capítulo V, teniendo en cuenta las garantías procedimentales previstas en el artículo 94. La Comisión debe confiar la ejecución de estas tareas a la Oficina de IA, sin perjuicio de las competencias de organización de la Comisión y del reparto de competencias entre los Estados miembros y la Unión en virtud de los Tratados.

2.   Sin perjuicio de lo dispuesto en el artículo 75, apartado 3, las autoridades de vigilancia del mercado podrán solicitar a la Comisión que ejerza las facultades previstas en la presente sección, cuando resulte necesario y proporcionado para ayudar a que se lleven a cabo las actividades de su competencia en virtud del presente Reglamento.

Artículo 89. Medidas de seguimiento

1.   Con el fin de llevar a cabo los cometidos que se le atribuyen en la presente sección, la Oficina de IA podrá tomar las medidas necesarias para supervisar la aplicación y cumplimiento efectivos del presente Reglamento por parte de los proveedores de modelos de IA de uso general, incluida su observancia de los códigos de buenas prácticas aprobados.

2.   Los proveedores posteriores tendrán derecho a presentar reclamaciones alegando infracciones del presente Reglamento. Las reclamaciones deberán motivarse debidamente e indicar, como mínimo:

a) el punto de contacto del proveedor del modelo de IA de uso general de que se trate;

b) una descripción de los hechos, las disposiciones del presente Reglamento afectadas y los motivos por los que el proveedor posterior considera que el proveedor del modelo de IA de uso general de que se trate ha infringido el presente Reglamento;

c) cualquier otra información que el proveedor posterior que presente la reclamación considere pertinente, como, por ejemplo, en su caso, información que haya recopilado por iniciativa propia.

Artículo 90. Alertas del grupo de expertos científicos sobre riesgos sistémicos

1.   El grupo de expertos científicos podrá proporcionar alertas cualificadas a la Oficina de IA cuando tenga motivos para sospechar que:

a) un modelo de IA de uso general plantea un riesgo concreto reconocible a escala de la Unión, o

b) un modelo de IA de uso general reúne las condiciones a que se refiere el artículo 51.

2.   Tras recibir dicha alerta cualificada, la Comisión podrá ejercer, a través de la Oficina de IA y tras haber informado al Consejo de IA, las facultades previstas en la presente sección con el fin de evaluar la cuestión. La Oficina de IA informará al Consejo de IA de cualquier medida que se adopte de conformidad con los artículos 91 a 94.

3.   Las alertas cualificadas deberán motivarse debidamente e indicar, como mínimo:

a) el punto de contacto del proveedor del modelo de IA de uso general con riesgo sistémico de que se trate;

b) una descripción de los hechos y los motivos por los que el grupo de expertos científicos proporciona la alerta;

c) cualquier otra información que el grupo de expertos científicos considere pertinente, como, por ejemplo, en su caso, información que haya recopilado por iniciativa propia.

Artículo 91. Poderes para solicitar documentación e información

1.   La Comisión podrá solicitar al proveedor del modelo de IA de uso general interesado que facilite la documentación preparada por el proveedor de conformidad con los artículos 53 y 55, o cualquier otra información que sea necesaria para evaluar el cumplimiento del presente Reglamento por parte del proveedor.

2.   Antes de enviar la solicitud de información, la Oficina de IA podrá entablar un diálogo estructurado con el proveedor del modelo de IA de uso general.

3.   Cuando el grupo de expertos científicos presente la correspondiente solicitud debidamente motivada, la Comisión podrá dirigir al proveedor de un modelo de IA de uso general una solicitud de información si el acceso a dicha información resulta necesario y proporcionado para que el grupo de expertos científicos pueda llevar a cabo sus cometidos en virtud del artículo 68, apartado 2.

4.   La solicitud de información indicará la base jurídica y la finalidad de la solicitud, precisará qué información se requiere, fijará el plazo en el que deberá facilitarse la información e indicará las multas que se establecen en el artículo 101 por facilitar información incorrecta, incompleta o engañosa.

5.   El proveedor del modelo de IA de uso general interesado, o su representante, facilitará la información solicitada. De tratarse de personas jurídicas, sociedades o empresas, o cuando el proveedor carezca de personalidad jurídica, las personas habilitadas por ley o por sus estatutos para representarlas facilitarán la información solicitada en nombre del proveedor del modelo de IA de uso general interesado. Los abogados debidamente habilitados podrán facilitar la información en nombre de sus representados. Los representados seguirán siendo, no obstante, plenamente responsables, si la información facilitada es incompleta, incorrecta o engañosa.

Artículo 92. Poderes para realizar evaluaciones

1.   La Oficina de IA, previa consulta al Consejo de IA, podrá realizar evaluaciones del modelo de IA de uso general de que se trate con el fin de:

a) evaluar si el proveedor cumple sus obligaciones en virtud del presente Reglamento, cuando la información recabada con arreglo al artículo 91 resulte insuficiente, o

b) investigar riesgos sistémicos a escala de la Unión de modelos de IA de uso general con riesgo sistémico, en particular a raíz de una alerta cualificada del grupo de expertos científicos de conformidad con el artículo 90, apartado 1, letra a).

2.   La Comisión podrá decidir nombrar a expertos independientes para que realicen las evaluaciones en su nombre, también expertos científicos del grupo establecido de conformidad con el artículo 68. Los expertos independientes que se nombren para realizar estas tareas cumplirán los criterios establecidos en el artículo 68, apartado 2.

3.   A los efectos del apartado 1, la Comisión podrá solicitar el acceso al modelo de IA de uso general de que se trate a través de API o de otros medios y herramientas técnicos adecuados, como, por ejemplo, el código fuente.

4.   La solicitud de acceso indicará la base jurídica, la finalidad y los motivos de la solicitud, y fijará el plazo durante el que deberá facilitarse el acceso y las multas que se establecen en el artículo 101 por no facilitarlo.

5.   Los proveedores del modelo de IA de uso general interesados o su representante facilitarán la información solicitada. En caso de que se trate de personas jurídicas, sociedades o empresas, o cuando el proveedor carezca de personalidad jurídica, las personas habilitadas por ley o por sus estatutos para representarlas, facilitarán el acceso solicitado en nombre del proveedor del modelo de IA de uso general interesado.

6.   La Comisión adoptará actos de ejecución en los que se establezcan las modalidades detalladas y las condiciones de las evaluaciones, incluidas las disposiciones detalladas para la participación de expertos independientes y el procedimiento para su selección. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 98, apartado 2.

7.   Antes de solicitar el acceso al modelo de IA de uso general de que se trate, la Oficina de IA podrá entablar un diálogo estructurado con el proveedor del modelo de IA de uso general para recabar más información sobre los ensayos internos del modelo, las salvaguardias internas para prevenir los riesgos sistémicos y otros procedimientos y medidas internos que el proveedor haya adoptado para mitigar tales riesgos.

Artículo 93. Poderes para solicitar la adopción de medidas

1.   Cuando resulte necesario y conveniente, la Comisión podrá solicitar a los proveedores que:

a) adopten las medidas oportunas para cumplir las obligaciones establecidas en los artículos 53 y 54;

b) apliquen medidas de reducción de riesgos cuando la evaluación realizada de conformidad con el artículo 92 apunte a que existen motivos serios y fundados de preocupación por la existencia de un riesgo sistémico a escala de la Unión;

c) restrinjan la comercialización del modelo, lo retiren o lo recuperen.

2.   Antes de solicitar que se adopten medidas, la Oficina de IA podrá entablar un diálogo estructurado con el proveedor del modelo de IA de uso general.

3.   Si, durante el diálogo estructurado a que se refiere el apartado 2, el proveedor del modelo de IA de uso general con riesgo sistémico se compromete a adoptar medidas de reducción para hacer frente a un riesgo sistémico a escala de la Unión, la Comisión podrá, mediante una decisión, hacer dichos compromisos vinculantes y declarar que no hay ya motivos para actuar.

Artículo 94. Garantías procesales de los operadores económicos del modelo de IA de uso general

El artículo 18 del Reglamento (UE) 2019/1020 se aplicará mutatis mutandis a los proveedores del modelo de IA de uso general, sin perjuicio de las garantías procesales más específicas previstas en el presente Reglamento.

CAPÍTULO X. CÓDIGOS DE CONDUCTA Y DIRECTRICES

Artículo 95. Códigos de conducta para la aplicación voluntaria de requisitos específicos

1.   La Oficina de IA y los Estados miembros fomentarán y facilitarán la elaboración de códigos de conducta, con los correspondientes mecanismos de gobernanza, destinados a fomentar la aplicación voluntaria de alguno o de todos los requisitos establecidos en el capítulo III, sección 2, a los sistemas de IA que no sean de alto riesgo, teniendo en cuenta las soluciones técnicas disponibles y las mejores prácticas del sector que permitan la aplicación de dichos requisitos.

2.   La Oficina de IA y los Estados miembros facilitarán la elaboración de códigos de conducta relativos a la aplicación voluntaria, también por parte de los responsables del despliegue, de requisitos específicos para todos los sistemas de IA, sobre la base de objetivos claros e indicadores clave de resultados para medir la consecución de dichos objetivos, incluidos, entre otros pero no exclusivamente, elementos como:

a) los elementos aplicables establecidos en las Directrices éticas de la Unión para una IA fiable;

b) la evaluación y reducción al mínimo de las repercusiones de los sistemas de IA en la sostenibilidad medioambiental, también por cuanto se refiere a la programación eficiente desde el punto de vista energético y las técnicas para diseñar, entrenar y utilizar la IA de manera eficiente;

c) la promoción de la alfabetización en materia de IA, en particular en el caso de las personas que se ocupan del desarrollo, funcionamiento y utilización de la IA;

d) la facilitación de un diseño inclusivo y diverso de los sistemas de IA, por ejemplo mediante la creación de equipos de desarrollo inclusivos y diversos y la promoción de la participación de las partes interesadas en dicho proceso;

e) la evaluación y prevención de los perjuicios de los sistemas de IA para las personas vulnerables o los colectivos de personas vulnerables, también por cuanto se refiere a accesibilidad para las personas con discapacidad, así como para la igualdad de género.

3.   Los códigos de conducta podrán ser elaborados por proveedores o responsables del despliegue de sistemas de IA particulares, por las organizaciones que los representen o por ambos, también con la participación de cualquier parte interesada y sus organizaciones representativas, como, por ejemplo, las organizaciones de la sociedad civil y el mundo académico. Los códigos de conducta podrán comprender uno o varios sistemas de IA en función de la similitud de la finalidad prevista de los distintos sistemas.

4.   La Oficina de IA y los Estados miembros tendrán en cuenta los intereses y necesidades específicos de las pymes, incluidas las empresas emergentes, a la hora de fomentar y facilitar la elaboración de códigos de conducta.

Artículo 96. Directrices de la Comisión sobre la aplicación del presente Reglamento

1.   La Comisión elaborará directrices sobre la aplicación práctica del presente Reglamento y, en particular, sobre:

a) la aplicación de los requisitos y obligaciones a que se refieren los artículos 8 a 15 y el artículo 25;

b) las prácticas prohibidas a que se refiere el artículo 5;

c) la aplicación práctica de las disposiciones relacionadas con modificaciones sustanciales;

d) la aplicación práctica de las obligaciones de transparencia establecidas en el artículo 50;

e) información detallada sobre la relación entre el presente Reglamento y la lista de actos legislativos de armonización de la Unión enumerados en el anexo I, así como otras disposiciones de Derecho de la Unión pertinentes, también por cuanto se refiere a la coherencia en su aplicación;

f) la aplicación de la definición de sistema de IA que figura en el artículo 3, punto 1.

Al publicar estas directrices, la Comisión prestará especial atención a las necesidades de las pymes, incluidas las empresas emergentes, de las autoridades públicas locales y de los sectores que tengan más probabilidades de verse afectados por el presente Reglamento.

Las directrices a que se refiere el párrafo primero del presente apartado tendrán debidamente en cuenta el estado de la técnica generalmente reconocido en materia de IA, así como las normas armonizadas y especificaciones comunes pertinentes a que se refieren los artículos 40 y 41, o las normas armonizadas o especificaciones técnicas que se establezcan con arreglo al Derecho de armonización de la Unión.

2.   A petición de los Estados miembros o de la Oficina de IA, o por propia iniciativa, la Comisión actualizará las directrices anteriormente adoptadas cuando se considere necesario.

CAPÍTULO XI. DELEGACIÓN DE PODERES Y PROCEDIMIENTO DE COMITÉ

Artículo 97. Ejercicio de la delegación

1.   Se otorgan a la Comisión los poderes para adoptar actos delegados en las condiciones establecidas en el presente artículo.

2.   Los poderes para adoptar actos delegados mencionados en el artículo 6, apartado 6 y 7, el artículo 7, apartados 1 y 3, el artículo 11, apartado 3, el artículo 43, apartados 5 y 6, el artículo 47, apartado 5, el artículo 51, apartado 3, el artículo 52, apartado 4, y el artículo 53, apartados 5 y 6, se otorgan a la Comisión por un período de cinco años a partir del 1 de agosto de 2024. La Comisión elaborará un informe sobre la delegación de poderes a más tardar nueve meses antes de que finalice el período de cinco años. La delegación de poderes se prorrogará tácitamente por períodos de idéntica duración, excepto si el Parlamento Europeo o el Consejo se oponen a dicha prórroga a más tardar tres meses antes del final de cada período.

3.   La delegación de poderes mencionada en el artículo 6, apartados 6 y 7, el artículo 7, apartados 1 y 3, el artículo 11, apartado 3, el artículo 43, apartados 5 y 6, el artículo 47, apartado 5, el artículo 51, apartado 3, el artículo 52, apartado 4, y el artículo 53, apartados 5 y 6, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada ella. No afectará a la validez de los actos delegados que ya estén en vigor.

4.   Antes de la adopción de un acto delegado, la Comisión consultará a los expertos designados por cada Estado miembro de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación.

5.   Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.

6.   Los actos delegados adoptados en virtud del artículo 6, apartados 6 o 7, el artículo 7, apartados 1 o 3, el artículo 11, apartado 3, el artículo 43, apartados 5 o 6, el artículo 47, apartado 5, el artículo 51, apartado 3, el artículo 52, apartado 4, o el artículo 53, apartados 5 o 6, entrarán en vigor únicamente si, en un plazo de tres meses a partir de su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará tres meses a iniciativa del Parlamento Europeo o del Consejo.

Artículo 98. Procedimiento de comité

1.   La Comisión estará asistida por un comité. Dicho comité será un comité en el sentido del Reglamento (UE) nº 182/2011.

2.   En los casos en que se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) nº 182/2011.

CAPÍTULO XII. SANCIONES

Artículo 99. Sanciones

1.   De conformidad con las condiciones previstas en el presente Reglamento, los Estados miembros establecerán el régimen de sanciones y otras medidas de ejecución, como advertencias o medidas no pecuniarias, aplicable a las infracciones del presente Reglamento que cometan los operadores y adoptarán todas las medidas necesarias para garantizar que se aplican de forma adecuada y efectiva y teniendo así en cuenta las directrices emitidas por la Comisión con arreglo al artículo 96. Tales sanciones serán efectivas, proporcionadas y disuasorias. Tendrán en cuenta los intereses de las pymes, incluidas las empresas emergentes, así como su viabilidad económica.

2.   Los Estados miembros comunicarán a la Comisión, sin demora y, como muy tarde, en la fecha de aplicación las normas referentes a las sanciones y otras medidas de ejecución mencionadas en el apartado 1 y la informará, sin demora, de toda modificación de dichas normas.

3.   El no respeto de la prohibición de las prácticas de IA a que se refiere el artículo 5 estará sujeto a multas administrativas de hasta 35 000 000 EUR o, si el infractor es una empresa, de hasta el 7 % de su volumen de negocios mundial total correspondiente al ejercicio financiero anterior, si esta cuantía fuese superior.

4.   El incumplimiento de cualquiera de las disposiciones que figuran a continuación en relación con los operadores o los organismos notificados, distintas de los mencionados en el artículo 5, estará sujeto a multas administrativas de hasta 15 000 000 EUR o, si el infractor es una empresa, de hasta el 3 % de su volumen de negocios mundial total correspondiente al ejercicio financiero anterior, si esta cuantía fuese superior:

a) las obligaciones de los proveedores con arreglo al artículo 16;

b) las obligaciones de los representantes autorizados con arreglo al artículo 22;

c) las obligaciones de los importadores con arreglo al artículo 23;

d) las obligaciones de los distribuidores con arreglo al artículo 24;

e) las obligaciones de los responsables del despliegue con arreglo al artículo 26;

f) los requisitos y obligaciones de los organismos notificados con arreglo al artículo 31, al artículo 33, apartados 1, 3 y 4, o al artículo 34;

g) las obligaciones de transparencia de los proveedores y responsables del despliegue con arreglo al artículo 50.

5.   La presentación de información inexacta, incompleta o engañosa a organismos notificados o a las autoridades nacionales competentes en respuesta a una solicitud estará sujeta a multas administrativas de hasta 7 500 000 EUR o, si el infractor es una empresa, de hasta el 1 % del volumen de negocios mundial total correspondiente al ejercicio financiero anterior, si esta cuantía fuese superior.

6.   En el caso de las pymes, incluidas las empresas emergentes, cada una de las multas a que se refiere el presente artículo podrá ser por el porcentaje o el importe a que se refieren los apartados 3, 4 y 5, según cuál de ellos sea menor.

7.   Al decidir la imposición de una multa administrativa y su cuantía en cada caso concreto se tomarán en consideración todas las circunstancias pertinentes de la situación de que se trate y, en su caso, se tendrá en cuenta lo siguiente:

a) la naturaleza, la gravedad y la duración de la infracción y de sus consecuencias, teniendo en cuenta la finalidad del sistema de IA y, cuando proceda, el número de personas afectadas y el nivel de los daños que hayan sufrido;

b) si otras autoridades de vigilancia del mercado han impuesto ya multas administrativas al mismo operador por la misma infracción;

c) si otras autoridades han impuesto ya multas administrativas al mismo operador por infracciones de otros actos legislativos nacionales o de la Unión, cuando dichas infracciones se deriven de la misma actividad u omisión que constituya una infracción pertinente del presente Reglamento;

d) el tamaño, el volumen de negocios anual y la cuota de mercado del operador que comete la infracción;

e) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción;

f) el grado de cooperación con las autoridades nacionales competentes con el fin de subsanar la infracción y mitigar sus posibles efectos adversos;

g) el grado de responsabilidad del operador, teniendo en cuenta las medidas técnicas y organizativas aplicadas por este;

h) la forma en que las autoridades nacionales competentes tuvieron conocimiento de la infracción, en particular si el operador notificó la infracción y, en tal caso, en qué medida;

i) la intencionalidad o negligencia en la infracción;

j) las acciones emprendidas por el operador para mitigar los perjuicios sufridos por las personas afectadas.

8.   Cada Estado miembro establecerá normas que determinen en qué medida es posible imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.

9.   En función del ordenamiento jurídico de los Estados miembros, las normas relativas a las multas administrativas podrán aplicarse de tal modo que las multas las impongan órganos jurisdiccionales nacionales competentes u otros organismos, según proceda en dichos Estados miembros. La aplicación de dichas normas en estos Estados miembros tendrá un efecto equivalente.

10.   El ejercicio de poderes en virtud del presente artículo estará sujeto a garantías procesales adecuadas de conformidad con el Derecho de la Unión y nacional, entre ellas la tutela judicial efectiva y el respeto de las garantías procesales.

11.   Los Estados miembros informarán anualmente a la Comisión de las multas administrativas que hayan impuesto durante ese año de conformidad con el presente artículo y de cualquier litigio o proceso judicial relacionados.

Artículo 100. Multas administrativas a instituciones, órganos y organismos de la Unión

1.   El Supervisor Europeo de Protección de Datos podrá imponer multas administrativas a las instituciones, órganos y organismos de la Unión comprendidos en el ámbito de aplicación del presente Reglamento. Al decidir la imposición de una multa administrativa y su cuantía en cada caso concreto se tomarán en consideración todas las circunstancias pertinentes de la situación de que se trate y se tendrá debidamente en cuenta lo siguiente:

a) la naturaleza, la gravedad y la duración de la infracción y de sus consecuencias, teniendo en cuenta la finalidad del sistema de IA de que se trate, así como, cuando proceda, el número de personas afectadas y el nivel de los daños que hayan sufrido;

b) el grado de responsabilidad de la institución, órgano u organismo de la Unión, teniendo en cuenta las medidas técnicas y organizativas aplicadas;

c) las acciones emprendidas por la institución, órgano u organismo de la Unión para mitigar los perjuicios sufridos por las personas afectadas;

d) el grado de cooperación con el Supervisor Europeo de Protección de Datos con el fin de subsanar la infracción y mitigar sus posibles efectos adversos, incluido el cumplimiento de cualquiera de las medidas que el propio Supervisor Europeo de Protección de Datos haya ordenado previamente contra la institución, órgano u organismo de la Unión de que se trate en relación con el mismo asunto;

e) toda infracción anterior similar cometida por la institución, órgano u organismo de la Unión;

f) la forma en que el Supervisor Europeo de Protección de Datos tuvo conocimiento de la infracción, en particular si la institución, órgano u organismo de la Unión notificó la infracción y, en tal caso, en qué medida;

g) el presupuesto anual de la institución, órgano u organismo de la Unión.

2.   El no respeto de la prohibición de las prácticas de IA a que se refiere el artículo 5 estará sujeto a multas administrativas de hasta 1 500 000 EUR.

3.   El incumplimiento por parte del sistema de IA de cualquiera de los requisitos u obligaciones establecidos en el presente Reglamento, distintos de los previstos en el artículo 5, estará sujeto a multas administrativas de hasta 750 000 EUR.

4.   Antes de tomar ninguna decisión en virtud del presente artículo, el Supervisor Europeo de Protección de Datos ofrecerá a la institución, órgano u organismo de la Unión sometida al procedimiento instruido por el Supervisor Europeo de Protección de Datos la oportunidad de ser oída en lo que respecta a la posible infracción. El Supervisor Europeo de Protección de Datos basará sus decisiones únicamente en los elementos y las circunstancias sobre los que las partes afectadas hayan podido manifestarse. Los denunciantes, si los hay, participarán estrechamente en el procedimiento.

5.   Los derechos de defensa de las partes estarán garantizados plenamente en el curso del procedimiento. Tendrán derecho a acceder al expediente del Supervisor Europeo de Protección de Datos, sin perjuicio del interés legítimo de las personas físicas y las empresas en la protección de sus datos personales o secretos comerciales.

6.   La recaudación proveniente de la imposición de multas con arreglo al presente artículo contribuirá al presupuesto general de la Unión. Las multas no afectarán al funcionamiento efectivo de la institución, órgano u organismo de la Unión sancionado.

7.   El Supervisor Europeo de Protección de Datos informará anualmente a la Comisión de las multas administrativas que haya impuesto en virtud del presente artículo y de cualquier litigio o proceso judicial que haya iniciado.

Artículo 101. Multas a proveedores de modelos de IA de uso general

1.   La Comisión podrá imponer multas a los proveedores de modelos de IA de uso general que no superen el 3 % de su volumen de negocios mundial total anual correspondiente al ejercicio financiero anterior o de 15 000 000 EUR, si esta cifra es superior, cuando la Comisión considere que, de forma deliberada o por negligencia:

a) infringieron las disposiciones pertinentes del presente Reglamento;

b) no atendieron una solicitud de información o documentos con arreglo al artículo 91, o han facilitado información inexacta, incompleta o engañosa;

c) incumplieron una medida solicitada en virtud del artículo 93;

d) no dieron acceso a la Comisión al modelo de IA de uso general o al modelo de IA de uso general con riesgo sistémico para que se lleve a cabo una evaluación con arreglo al artículo 92.

Al fijar el importe de la multa o de la multa coercitiva, se tomarán en consideración la naturaleza, gravedad y duración de la infracción, teniendo debidamente en cuenta los principios de proporcionalidad y adecuación. La Comisión también tendrá en cuenta los compromisos contraídos de conformidad con el artículo 93, apartado 3, y en los códigos de buenas prácticas pertinentes previstos en el artículo 56.

2.   Antes de adoptar una decisión con arreglo al apartado 1, la Comisión comunicará sus conclusiones preliminares al proveedor del modelo de IA de uso general o del modelo de IA y le dará la oportunidad de ser oído.

3.   Las multas impuestas de conformidad con el presente artículo serán efectivas, proporcionadas y disuasorias.

4.   La información sobre las multas impuestas en virtud del presente artículo también se comunicará al Consejo de IA, según proceda.

5.   El Tribunal de Justicia de la Unión Europea tendrá plena competencia jurisdiccional para examinar las decisiones de imposición de una multa adoptadas por la Comisión en virtud del presente artículo. Podrá anular, reducir o incrementar la cuantía de la multa impuesta.

6.   La Comisión adoptará actos de ejecución que contengan disposiciones detalladas y garantías procesales para los procedimientos con vistas a la posible adopción de decisiones con arreglo al apartado 1 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 98, apartado 2.

CAPÍTULO XIII. DISPOSICIONES FINALES

Artículo 102. Modificación del Reglamento (CE) nº 300/2008

En el artículo 4, apartado 3, del Reglamento (CE) nº 300/2008, se añade el párrafo siguiente:

«Al adoptar medidas detalladas relativas a las especificaciones técnicas y los procedimientos de aprobación y utilización del equipo de seguridad en relación con sistemas de inteligencia artificial en el sentido del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (*1), se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.

Artículo 103. Modificación del Reglamento (UE) nº 167/2013

En el artículo 17, apartado 5, del Reglamento (UE) nº 167/2013, se añade el párrafo siguiente:

«Al adoptar actos delegados en virtud del párrafo primero relativos a sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (*2), se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.

Artículo 104. Modificación del Reglamento (UE) nº 168/2013

En el artículo 22, apartado 5, del Reglamento (UE) nº 168/2013, se añade el párrafo siguiente:

«Al adoptar actos delegados en virtud del párrafo primero relativos a sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (*3), se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.

Artículo 105. Modificación de la Directiva 2014/90/UE

En el artículo 8 de la Directiva 2014/90/UE, se añade el apartado siguiente:

«5.   En el caso de los sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (*4), la Comisión tendrá en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento al desempeñar sus actividades con arreglo al apartado 1 y al adoptar especificaciones técnicas y normas de ensayo de conformidad con los apartados 2 y 3.

Artículo 106. Modificación de la Directiva (UE) 2016/797

En el artículo 5 de la Directiva (UE) 2016/797, se añade el apartado siguiente:

«12.   Al adoptar actos delegados en virtud del apartado 1 y actos de ejecución en virtud del apartado 11 relativos a sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (*5), se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.

Artículo 107. Modificación del Reglamento (UE) 2018/858

En el artículo 5 del Reglamento (UE) 2018/858, se añade el apartado siguiente:

«4.   Al adoptar actos delegados en virtud del apartado 3 relativos a sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/… del Parlamento Europeo y del Consejo (*6), se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.

Artículo 108. Modificación del Reglamento (UE) 2018/1139

El Reglamento (UE) 2018/1139 se modifica como sigue:

1) En el artículo 17, se añade el apartado siguiente:

«3.   Sin perjuicio de lo dispuesto en el apartado 2, al adoptar actos de ejecución en virtud del apartado 1 relativos a sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (*7), se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.

——————————————–

(*7)  Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) nº 300/2008, (UE) nº 167/2013, (UE) nº 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial) (DO L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).».”

—————————————————–

2) En el artículo 19, se añade el apartado siguiente:

«4.   Al adoptar actos delegados en virtud de los apartados 1 y 2 relativos a sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/1689, se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.».

3) En el artículo 43, se añade el apartado siguiente:

«4.   Al adoptar actos de ejecución en virtud del apartado 1 relativos a sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/1689, se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.».

4) En el artículo 47, se añade el apartado siguiente:

«3.   Al adoptar actos delegados en virtud de los apartados 1 y 2 relativos a sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/1689, se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.».

5) En el artículo 57, se añade el párrafo siguiente:

«Al adoptar dichos actos de ejecución relativos a sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/1689, se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.».

6) En el artículo 58, se añade el apartado siguiente:

«3.   Al adoptar actos delegados en virtud de los apartados 1 y 2 relativos a sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/1689, se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.».

Artículo 109. Modificación del Reglamento (UE) 2019/2144

En el artículo 11 del Reglamento (UE) 2019/2144, se añade el párrafo siguiente:

«3.   Al adoptar actos de ejecución en virtud del apartado 2 relativos a sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (*8), se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.

Artículo 110. Modificación de la Directiva (UE) 2020/1828

En el anexo I de la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo (58) se añade el punto siguiente:

«68) Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 1689, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) nº 300/2008, (UE) nº 167/2013, (UE) nº 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial) (DO L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).».

Artículo 111. Sistemas de IA ya introducidos en el mercado o puestos en servicio y modelos de IA de uso general ya introducidos en el mercado

1.   Sin perjuicio de que se aplique el artículo 5 con arreglo a lo dispuesto en el artículo 113, apartado 3, letra a), los sistemas de IA que sean componentes de los sistemas informáticos de gran magnitud establecidos en virtud de los actos legislativos enumerados en el anexo X que se hayan introducido en el mercado o se hayan puesto en servicio antes del 2 de agosto de 2027 deberán estar en conformidad con el presente Reglamento a más tardar el 31 de diciembre de 2030.

Los requisitos establecidos en el presente Reglamento se tendrán en cuenta en la evaluación de cada sistema informático de gran magnitud establecido en virtud de los actos jurídicos enumerados en el anexo X que se efectúe de conformidad con lo dispuesto en dichos actos jurídicos y cuando dichos actos jurídicos hayan sido sustituidos o modificados.

2.   Sin perjuicio de que se aplique el artículo 5 con arreglo a lo dispuesto en el artículo 113, apartado 3, letra a), el presente Reglamento se aplicará a los operadores de sistemas de IA de alto riesgo, distintos de los mencionados en el apartado 1 del presente artículo, que se hayan introducido en el mercado o se hayan puesto en servicio antes del 2 de agosto de 2026 únicamente si, a partir de esa fecha, dichos sistemas se ven sometidos a cambios significativos en su diseño. En cualquier caso, los proveedores y los responsables del despliegue de los sistemas de IA de alto riesgo destinados a ser utilizados por las autoridades públicas adoptarán las medidas necesarias para cumplir los requisitos y obligaciones del presente Reglamento a más tardar el 2 de agosto de 2030.

3.   Los proveedores de modelos de IA de uso general que se hayan introducido en el mercado antes del 2 de agosto de 2025 adoptarán las medidas necesarias para cumplir las obligaciones establecidas en el presente Reglamento a más tardar el 2 de agosto de 2027.

Artículo 112. Evaluación y revisión

1.   La Comisión evaluará la necesidad de modificar la lista del anexo III y la lista de prácticas de IA prohibidas previstas en el artículo 5 una vez al año a partir de la entrada en vigor del presente Reglamento y hasta el final del período de delegación de poderes previsto en el artículo 97. La Comisión presentará las conclusiones de dicha evaluación al Parlamento Europeo y al Consejo.

2.   A más tardar el 2 de agosto de 2028, y posteriormente cada cuatro años, la Comisión evaluará los puntos siguientes e informará de ello al Parlamento Europeo y al Consejo:

a) la necesidad de ampliar los ámbitos enumerados en el anexo III o de añadir nuevos ámbitos;

b) la necesidad de modificar la lista de sistemas de IA que requieren medidas de transparencia adicionales con arreglo al artículo 50;

c) la necesidad de mejorar la eficacia del sistema de supervisión y gobernanza.

3.   A más tardar el 2 de agosto de 2029, y posteriormente cada cuatro años, la Comisión presentará al Parlamento Europeo y al Consejo un informe sobre la evaluación y revisión del presente Reglamento. El informe incluirá una evaluación de la estructura de control del cumplimiento y de la posible necesidad de que una agencia de la Unión resuelva las deficiencias detectadas. En función de sus conclusiones, dicho informe irá acompañado, en su caso, de una propuesta de modificación del presente Reglamento. Los informes se harán públicos.

4.   En los informes mencionados en el apartado 2 se prestará una atención especial a lo siguiente:

a) el estado de los recursos financieros, técnicos y humanos de las autoridades nacionales competentes para desempeñar de forma eficaz las funciones que les hayan sido asignadas en virtud del presente Reglamento;

b) el estado de las sanciones, en particular, de las multas administrativas a que se refiere el artículo 99, apartado 1, aplicadas por los Estados miembros a las infracciones de las disposiciones del presente Reglamento;

c) las normas armonizadas adoptadas y las especificaciones comunes desarrolladas en apoyo del presente Reglamento;

d) el número de empresas que entran en el mercado después de que se empiece a aplicar el presente Reglamento y, de entre ellas, el número de pymes.

5.   A más tardar el 2 de agosto de 2028, la Comisión evaluará el funcionamiento de la Oficina de IA, si se le han otorgado poderes y competencias suficientes para desempeñar sus funciones, y si sería pertinente y necesario para la correcta aplicación y ejecución del presente Reglamento mejorar la Oficina de IA y sus competencias de ejecución, así como aumentar sus recursos. La Comisión presentará un informe sobre su evaluación al Parlamento Europeo y al Consejo.

6.   A más tardar el 2 de agosto de 2028 y posteriormente cada cuatro años, la Comisión presentará un informe sobre la revisión de los avances en la elaboración de documentos de normalización sobre el desarrollo eficiente desde el punto de vista energético de modelos de IA de uso general y evaluará la necesidad de medidas o acciones adicionales, incluidas medidas o acciones vinculantes. Este informe se remitirá al Parlamento Europeo y al Consejo y se hará público.

7.   A más tardar el 2 de agosto de 2028 y posteriormente cada tres años, la Comisión evaluará la incidencia y la eficacia de los códigos de conducta voluntarios por lo que respecta a promover la aplicación de los requisitos establecidos en el capítulo III, sección 2, a sistemas de IA que no sean de alto riesgo y, en su caso, de otros requisitos adicionales aplicables a los sistemas de IA que no sean sistemas de IA de alto riesgo, como, por ejemplo, requisitos relativos a la sostenibilidad medioambiental.

8.   A efectos de lo dispuesto en los apartados 1 a 7, el Consejo de IA, los Estados miembros y las autoridades nacionales competentes facilitarán información a la Comisión, cuando así lo solicite, y sin demora indebida.

9.   Al llevar a cabo las evaluaciones y revisiones mencionadas en los apartados 1 a 7, la Comisión tendrá en cuenta las posiciones y conclusiones del Consejo de IA, el Parlamento Europeo, el Consejo y los demás organismos o fuentes pertinentes.

10.   La Comisión presentará, en caso necesario, las propuestas oportunas de modificación del presente Reglamento, en particular teniendo en cuenta la evolución de la tecnología y el efecto de los sistemas de IA en la salud y la seguridad y en los derechos fundamentales, y a la vista de los avances en la sociedad de la información.

11.   Para orientar las evaluaciones y revisiones a que se refieren los apartados 1 a 7 del presente artículo, la Oficina de IA se encargará de desarrollar una metodología objetiva y participativa para la evaluación de los niveles de riesgo a partir de los criterios expuestos en los artículos pertinentes y la inclusión de nuevos sistemas en:

a) la lista establecida en el anexo III, incluida la ampliación de los ámbitos existentes o la inclusión de nuevos ámbitos en dicho anexo;

b) la lista de prácticas prohibidas establecida en el artículo 5, y

c) la lista de sistemas de IA que requieren medidas de transparencia adicionales con arreglo al artículo 50.

12.   Las modificaciones del presente Reglamento con arreglo al apartado 10, o los actos delegados o de ejecución pertinentes, que afecten a los actos legislativos de armonización de la Unión sectoriales que se enumeran en el anexo I, sección B, tendrán en cuenta las particularidades normativas de cada sector y los mecanismos de gobernanza, evaluación de la conformidad y ejecución vigentes, así como las autoridades establecidas en ellos.

13.   A más tardar el 2 de agosto de 2031, la Comisión evaluará la ejecución del presente Reglamento e informará al respecto al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo, teniendo en cuenta los primeros años de aplicación del presente Reglamento. En función de sus conclusiones, dicho informe irá acompañado, en su caso, de una propuesta de modificación del presente Reglamento en lo que respecta a la estructura de ejecución y a la necesidad de que una agencia de la Unión resuelva las deficiencias detectadas.

Artículo 113. Entrada en vigor y aplicación

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Será aplicable a partir del 2 de agosto de 2026.

No obstante:

a) los capítulos I y II serán aplicables a partir del 2 de febrero de 2025;

b) el capítulo III, sección 4, el capítulo V, el capítulo VII y el capítulo XII y el artículo 78 serán aplicables a partir del 2 de agosto de 2025, a excepción del artículo 101;

c) el artículo 6, apartado 1, y las obligaciones correspondientes del presente Reglamento serán aplicables a partir del 2 de agosto de 2027.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 13 de junio de 2024.

Por el Parlamento Europeo, La Presidenta, R. METSOLA

Por el Consejo, El Presidente, M. MICHEL

———————————————————-

(1)   DO C 517 de 22.12.2021, p. 56.

(2)   DO C 115 de 11.3.2022, p. 5.

(3)   DO C 97 de 28.2.2022, p. 60.

(4)  Posición del Parlamento Europeo de 13 de marzo de 2024 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 21 de mayo de 2024.

(5)  Consejo Europeo, Reunión extraordinaria del Consejo Europeo (1 y 2 de octubre de 2020) – Conclusiones, EUCO 13/20, 2020, p. 6.

(6)  Resolución del Parlamento Europeo, de 20 de octubre de 2020, con recomendaciones destinadas a la Comisión sobre un marco de los aspectos éticos de la inteligencia artificial, la robótica y las tecnologías conexas [2020/2012(INL)].

(7)  Reglamento (CE) nº 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen los requisitos de acreditación y por el que se deroga el Reglamento (CEE) nº 339/93 (DO L 218 de 13.8.2008, p. 30).

(8)  Decisión nº 768/2008/CE del Parlamento Europeo y del Consejo, de 9 de julio de 2008, sobre un marco común para la comercialización de los productos y por la que se deroga la Decisión 93/465/CEE del Consejo (DO L 218 de 13.8.2008, p. 82).

(9)  Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativo a la vigilancia del mercado y la conformidad de los productos y por el que se modifican la Directiva 2004/42/CE y los Reglamentos (CE) nº 765/2008 y (UE) nº 305/2011 (DO L 169 de 25.6.2019, p. 1).

(10)  Directiva 85/374/CEE del Consejo, de 25 de julio de 1985, relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros en materia de responsabilidad por los daños causados por productos defectuosos (DO L 210 de 7.8.1985, p. 29).

(11)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(12)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) nº 45/2001 y la Decisión nº 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(13)  Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).

(14)  Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(15)  Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales) (DO L 277 de 27.10.2022, p. 1).

(16)  Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios (DO L 151 de 7.6.2019, p. 70).

(17)  Directiva 2005/29/CE del Parlamento Europeo y del Consejo, de 11 de mayo de 2005, relativa a las prácticas comerciales desleales de las empresas en sus relaciones con los consumidores en el mercado interior, que modifica la Directiva 84/450/CEE del Consejo, las Directivas 97/7/CE, 98/27/CE y 2002/65/CE del Parlamento Europeo y del Consejo y el Reglamento (CE) nº 2006/2004 del Parlamento Europeo y del Consejo («Directiva sobre las prácticas comerciales desleales») (DO L 149 de 11.6.2005, p. 22).

(18)  Decisión Marco 2002/584/JAI del Consejo, de 13 de junio de 2002, relativa a la orden de detención europea y a los procedimientos de entrega entre Estados miembros (DO L 190 de 18.7.2002, p. 1).

(19)  Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo (DO L 333 de 27.12.2022, p. 164).

(20)   DO C 247 de 29.6.2022, p. 1.

(21)  Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios, por el que se modifican la Directiva 2001/83/CE, el Reglamento (CE) nº 178/2002 y el Reglamento (CE) nº 1223/2009 y por el que se derogan las Directivas 90/385/CEE y 93/42/CEE del Consejo (DO L 117 de 5.5.2017, p. 1).

(22)  Reglamento (UE) 2017/746 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios para diagnóstico in vitro y por el que se derogan la Directiva 98/79/CE y la Decisión 2010/227/UE de la Comisión (DO L 117 de 5.5.2017, p. 176).

(23)  Directiva 2006/42/CE del Parlamento Europeo y del Consejo, de 17 de mayo de 2006, relativa a las máquinas y por la que se modifica la Directiva 95/16/CE (DO L 157 de 9.6.2006, p. 24).

(24)  Reglamento (CE) nº 300/2008 del Parlamento Europeo y del Consejo, de 11 de marzo de 2008, sobre normas comunes para la seguridad de la aviación civil y por el que se deroga el Reglamento (CE) nº 2320/2002 (DO L 97 de 9.4.2008, p. 72).

(25)  Reglamento (UE) nº 167/2013 del Parlamento Europeo y del Consejo, de 5 de febrero de 2013, relativo a la homologación de los vehículos agrícolas o forestales, y a la vigilancia del mercado de dichos vehículos (DO L 60 de 2.3.2013, p. 1).

(26)  Reglamento (UE) nº 168/2013 del Parlamento Europeo y del Consejo, de 15 de enero de 2013, relativo a la homologación de los vehículos de dos o tres ruedas y los cuatriciclos, y a la vigilancia del mercado de dichos vehículos (DO L 60 de 2.3.2013, p. 52).

(27)  Directiva 2014/90/UE del Parlamento Europeo y del Consejo, de 23 de julio de 2014, sobre equipos marinos, y por la que se deroga la Directiva 96/98/CE del Consejo (DO L 257 de 28.8.2014, p. 146).

(28)  Directiva (UE) 2016/797 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, sobre la interoperabilidad del sistema ferroviario dentro de la Unión Europea (DO L 138 de 26.5.2016, p. 44).

(29)  Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo, de 30 de mayo de 2018, sobre la homologación y la vigilancia del mercado de los vehículos de motor y sus remolques y de los sistemas, los componentes y las unidades técnicas independientes destinados a dichos vehículos, por el que se modifican los Reglamentos (CE) nº 715/2007 y (CE) nº 595/2009 y por el que se deroga la Directiva 2007/46/CE (DO L 151 de 14.6.2018, p. 1).

(30)  Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo, de 4 de julio de 2018, sobre normas comunes en el ámbito de la aviación civil y por el que se crea una Agencia de la Unión Europea para la Seguridad Aérea y por el que se modifican los Reglamentos (CE) nº 2111/2005, (CE) nº 1008/2008, (UE) nº 996/2010 y (UE) nº 376/2014 y las Directivas 2014/30/UE y 2014/53/UE del Parlamento Europeo y del Consejo y se derogan los Reglamentos (CE) nº 552/2004 y (CE) nº 216/2008 del Parlamento Europeo y del Consejo y el Reglamento (CEE) nº 3922/91 del Consejo (DO L 212 de 22.8.2018, p. 1).

(31)  Reglamento (UE) 2019/2144 del Parlamento Europeo y del Consejo, de 27 de noviembre de 2019, relativo a los requisitos de homologación de tipo de los vehículos de motor y de sus remolques, así como de los sistemas, componentes y unidades técnicas independientes destinados a esos vehículos, en lo que respecta a su seguridad general y a la protección de los ocupantes de los vehículos y de los usuarios vulnerables de la vía pública, por el que se modifica el Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo y se derogan los Reglamentos (CE) nº 78/2009, (CE) nº 79/2009 y (CE) nº 661/2009 del Parlamento Europeo y del Consejo y los Reglamentos (CE) nº 631/2009, (UE) nº 406/2010, (UE) nº 672/2010, (UE) nº 1003/2010, (UE) nº 1005/2010, (UE) nº 1008/2010, (UE) nº 1009/2010, (UE) nº 19/2011, (UE) nº 109/2011, (UE) nº 458/2011, (UE) nº 65/2012, (UE) nº 130/2012, (UE) nº 347/2012, (UE) nº 351/2012, (UE) nº 1230/2012 y (UE) 2015/166 de la Comisión (DO L 325 de 16.12.2019, p 1).

(32)  Reglamento (CE) nº 810/2009 del Parlamento Europeo y del Consejo, de 13 de julio de 2009, por el que se establece un Código comunitario sobre visados (Código de visados) (DO L 243 de 15.9.2009, p. 1).

(33)  Directiva 2013/32/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, sobre procedimientos comunes para la concesión o la retirada de la protección internacional (DO L 180 de 29.6.2013, p. 60).

(34)  Reglamento (UE) 2024/900 del Parlamento Europeo y del Consejo, de 13 de marzo de 2024, sobre transparencia y segmentación en la publicidad política (DO L, 2024/900, 20.3.2024, ELI: http://data.europa.eu/eli/reg/2024/900/oj).

(35)  Directiva 2014/31/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, sobre la armonización de las legislaciones de los Estados miembros en materia de comercialización de instrumentos de pesaje de funcionamiento no automático (DO L 96 de 29.3.2014, p. 107).

(36)  Directiva 2014/32/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, sobre la armonización de las legislaciones de los Estados miembros en materia de comercialización de instrumentos de medida (DO L 96 de 29.3.2014, p. 149).

(37)  Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) nº 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).

(38)  Directiva (UE) 2016/2102 del Parlamento Europeo y del Consejo, de 26 de octubre de 2016, sobre la accesibilidad de los sitios web y aplicaciones para dispositivos móviles de los organismos del sector público (DO L 327 de 2.12.2016, p. 1).

(39)  Directiva 2002/14/CE del Parlamento Europeo y del Consejo, de 11 de marzo de 2002, por la que se establece un marco general relativo a la información y a la consulta de los trabajadores en la Comunidad Europea (DO L 80 de 23.3.2002, p. 29).

(40)  Directiva (UE) 2019/790 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los derechos de autor y derechos afines en el mercado único digital y por la que se modifican las Directivas 96/9/CE y 2001/29/CE (DO L 130 de 17.5.2019, p. 92).

(41)  Reglamento (UE) nº 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre la normalización europea, por el que se modifican las Directivas 89/686/CEE y 93/15/CEE del Consejo y las Directivas 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE y 2009/105/CE del Parlamento Europeo y del Consejo y por el que se deroga la Decisión 87/95/CEE del Consejo y la Decisión nº 1673/2006/CE del Parlamento Europeo y del Consejo (DO L 316 de 14.11.2012, p. 12).

(42)  Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022, relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (Reglamento de Gobernanza de Datos) (DO L 152 de 3.6.2022, p. 1).

(43)  Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (Reglamento de Datos) (DO L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).

(44)  Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124 de 20.5.2003, p. 36).

(45)  Decisión de la Comisión, de 24 de enero de 2024, por la que se crea la Oficina Europea de Inteligencia Artificial (C/2024/390).

(46)  Reglamento (UE) nº 575/2013 del Parlamento Europeo y del Consejo, de 26 de junio de 2013, sobre los requisitos prudenciales de las entidades de crédito, y por el que se modifica el Reglamento (UE) nº 648/2012 (DO L 176 de 27.6.2013, p. 1).

(47)  Directiva 2008/48/CE del Parlamento Europeo y del Consejo, de 23 de abril de 2008, relativa a los contratos de crédito al consumo y por la que se deroga la Directiva 87/102/CEE del Consejo (DO L 133 de 22.5.2008, p. 66).

(48)  Directiva 2009/138/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, sobre el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II) (DO L 335 de 17.12.2009, p. 1).

(49)  Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito, por la que se modifica la Directiva 2002/87/CE y se derogan las Directivas 2006/48/CE y 2006/49/CE (DO L 176 de 27.6.2013, p. 338).

(50)  Directiva 2014/17/UE del Parlamento Europeo y del Consejo, de 4 de febrero de 2014, sobre los contratos de crédito celebrados con los consumidores para bienes inmuebles de uso residencial y por la que se modifican las Directivas 2008/48/CE y 2013/36/UE y el Reglamento (UE) nº 1093/2010 (DO L 60 de 28.2.2014, p. 34).

(51)  Directiva (UE) 2016/97 del Parlamento Europeo y del Consejo, de 20 de enero de 2016, sobre la distribución de seguros (DO L 26 de 2.2.2016, p. 19).

(52)  Reglamento (UE) nº 1024/2013 del Consejo, de 15 de octubre de 2013, que encomienda al Banco Central Europeo tareas específicas respecto de políticas relacionadas con la supervisión prudencial de las entidades de crédito (DO L 287 de 29.10.2013, p. 63).

(53)  Reglamento (UE) 2023/988 del Parlamento Europeo y del Consejo, de 10 de mayo de 2023, relativo a la seguridad general de los productos, por el que se modifican el Reglamento (UE) nº 1025/2012 del Parlamento Europeo y del Consejo y la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo, y se derogan la Directiva 2001/95/CE del Parlamento Europeo y del Consejo y la Directiva 87/357/CEE del Consejo (DO L 135 de 23.5.2023, p. 1).

(54)  Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (DO L 305 de 26.11.2019, p. 17).

(55)   DO L 123 de 12.5.2016, p. 1.

(56)  Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

(57)  Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas (DO L 157 de 15.6.2016, p. 1).

(58)  Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2020, relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores, y por la que se deroga la Directiva 2009/22/CE (DO L 409 de 4.12.2020, p. 1).

ANEXO I. Lista de actos legislativos de armonización de la Unión

Sección A — Lista de actos legislativos de armonización de la Unión basados en el nuevo marco legislativo

1. Directiva 2006/42/CE del Parlamento Europeo y del Consejo, de 17 de mayo de 2006, relativa a las máquinas y por la que se modifica la Directiva 95/16/CE (DO L 157 de 9.6.2006, p. 24)

2. Directiva 2009/48/CE del Parlamento Europeo y del Consejo, de 18 de junio de 2009, sobre la seguridad de los juguetes (DO L 170 de 30.6.2009, p. 1)

3. Directiva 2013/53/UE del Parlamento Europeo y del Consejo, de 20 de noviembre de 2013, relativa a las embarcaciones de recreo y a las motos acuáticas, y por la que se deroga la Directiva 94/25/CE (DO L 354 de 28.12.2013, p. 90)

4. Directiva 2014/33/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, sobre la armonización de las legislaciones de los Estados miembros en materia de ascensores y componentes de seguridad para ascensores (DO L 96 de 29.3.2014, p. 251)

5. Directiva 2014/34/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, sobre la armonización de las legislaciones de los Estados miembros en materia de aparatos y sistemas de protección para uso en atmósferas potencialmente explosivas (DO L 96 de 29.3.2014, p. 309)

6. Directiva 2014/53/UE del Parlamento Europeo y del Consejo, de 16 de abril de 2014, relativa a la armonización de las legislaciones de los Estados miembros sobre la comercialización de equipos radioeléctricos, y por la que se deroga la Directiva 1999/5/CE (DO L 153 de 22.5.2014, p. 62)

7. Directiva 2014/68/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativa a la armonización de las legislaciones de los Estados miembros sobre la comercialización de equipos a presión (DO L 189 de 27.6.2014, p. 164)

8. Reglamento (UE) 2016/424 del Parlamento Europeo y del Consejo, de 9 de marzo de 2016, relativo a las instalaciones de transporte por cable y por el que se deroga la Directiva 2000/9/CE (DO L 81 de 31.3.2016, p. 1)

9. Reglamento (UE) 2016/425 del Parlamento Europeo y del Consejo, de 9 de marzo de 2016, relativo a los equipos de protección individual y por el que se deroga la Directiva 89/686/CEE del Consejo (DO L 81 de 31.3.2016, p. 51)

10. Reglamento (UE) 2016/426 del Parlamento Europeo y del Consejo, de 9 de marzo de 2016, sobre los aparatos que queman combustibles gaseosos y por el que se deroga la Directiva 2009/142/CE (DO L 81 de 31.3.2016, p. 99)

11. Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios, por el que se modifican la Directiva 2001/83/CE, el Reglamento (CE) nº 178/2002 y el Reglamento (CE) nº 1223/2009 y por el que se derogan las Directivas 90/385/CEE y 93/42/CEE del Consejo (DO L 117 de 5.5.2017, p. 1)

12. Reglamento (UE) 2017/746 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios para diagnóstico in vitro y por el que se derogan la Directiva 98/79/CE y la Decisión 2010/227/UE de la Comisión (DO L 117 de 5.5.2017, p. 176)

Sección B — Lista de otros actos legislativos de armonización de la Unión

13. Reglamento (CE) nº 300/2008 del Parlamento Europeo y del Consejo, de 11 de marzo de 2008, sobre normas comunes para la seguridad de la aviación civil y por el que se deroga el Reglamento (CE) nº 2320/2002 (DO L 97 de 9.4.2008, p. 72)

14. Reglamento (UE) nº 168/2013 del Parlamento Europeo y del Consejo, de 15 de enero de 2013, relativo a la homologación de los vehículos de dos o tres ruedas y los cuatriciclos, y a la vigilancia del mercado de dichos vehículos (DO L 60 de 2.3.2013, p. 52)

15. Reglamento (UE) nº 167/2013 del Parlamento Europeo y del Consejo, de 5 de febrero de 2013, relativo a la homologación de los vehículos agrícolas o forestales, y a la vigilancia del mercado de dichos vehículos (DO L 60 de 2.3.2013, p. 1)

16. Directiva 2014/90/UE del Parlamento Europeo y del Consejo, de 23 de julio de 2014, sobre equipos marinos, y por la que se deroga la Directiva 96/98/CE del Consejo (DO L 257 de 28.8.2014, p. 146)

17. Directiva (UE) 2016/797 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, sobre la interoperabilidad del sistema ferroviario dentro de la Unión Europea (DO L 138 de 26.5.2016, p. 44)

18. Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo, de 30 de mayo de 2018, sobre la homologación y la vigilancia del mercado de los vehículos de motor y sus remolques y de los sistemas, los componentes y las unidades técnicas independientes destinados a dichos vehículos, por el que se modifican los Reglamentos (CE) nº 715/2007 y (CE) nº 595/2009 y por el que se deroga la Directiva 2007/46/CE (DO L 151 de 14.6.2018, p. 1)

19. Reglamento (UE) 2019/2144 del Parlamento Europeo y del Consejo, de 27 de noviembre de 2019, relativo a los requisitos de homologación de tipo de los vehículos de motor y de sus remolques, así como de los sistemas, componentes y unidades técnicas independientes destinados a esos vehículos, en lo que respecta a su seguridad general y a la protección de los ocupantes de los vehículos y de los usuarios vulnerables de la vía pública, por el que se modifica el Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo y se derogan los Reglamentos (CE) nº 78/2009, (CE) nº 79/2009 y (CE) nº 661/2009 del Parlamento Europeo y del Consejo y los Reglamentos (CE) nº 631/2009, (UE) nº 406/2010, (UE) nº 672/2010, (UE) nº 1003/2010, (UE) nº 1005/2010, (UE) nº 1008/2010, (UE) nº 1009/2010, (UE) nº 19/2011, (UE) nº 109/2011, (UE) nº 458/2011, (UE) nº 65/2012, (UE) nº 130/2012, (UE) nº 347/2012, (UE) nº 351/2012, (UE) nº 1230/2012 y (UE) 2015/166 de la Comisión (DO L 325 de 16.12.2019, p. 1)

20. Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo, de 4 de julio de 2018, sobre normas comunes en el ámbito de la aviación civil y por el que se crea una Agencia de la Unión Europea para la Seguridad Aérea y por el que se modifican los Reglamentos (CE) nº 2111/2005, (CE) nº 1008/2008, (UE) nº 996/2010 y (UE) nº 376/2014 y las Directivas 2014/30/UE y 2014/53/UE del Parlamento Europeo y del Consejo y se derogan los Reglamentos (CE) nº 552/2004 y (CE) nº 216/2008 del Parlamento Europeo y del Consejo y el Reglamento (CEE) nº 3922/91 del Consejo (DO L 212 de 22.8.2018, p. 1), en la medida en que afecte al diseño, la producción y la introducción en el mercado de aeronaves a que se refiere el artículo 2, apartado 1, letras a) y b), por lo que respecta a las aeronaves no tripuladas y sus motores, hélices, componentes y equipos para controlarlas a distancia

ANEXO II. Lista de los delitos a que se refiere el artículo 5, apartado 1, párrafo primero, letra h), inciso iii)

Delitos a que se refiere el artículo 5, apartado 1, párrafo primero, letra h), inciso iii):

—terrorismo,

—trata de seres humanos,

—explotación sexual de menores y pornografía infantil,

—tráfico ilícito de estupefacientes o sustancias psicotrópicas,

—tráfico ilícito de armas, municiones y explosivos,

—homicidio voluntario, agresión con lesiones graves,

—tráfico ilícito de órganos o tejidos humanos,

—tráfico ilícito de materiales nucleares o radiactivos,

—secuestro, detención ilegal o toma de rehenes,

—delitos que son competencia de la Corte Penal Internacional,

—secuestro de aeronaves o buques,

—violación,

—delitos contra el medio ambiente,

—robo organizado o a mano armada,

—sabotaje,

—participación en una organización delictiva implicada en uno o varios de los delitos enumerados en esta lista.

ANEXO III. Sistemas de IA de alto riesgo a que se refiere el artículo 6, apartado 2

Los sistemas de IA de alto riesgo con arreglo al artículo 6, apartado 2, son los sistemas de IA que formen parte de cualquiera de los ámbitos siguientes:

1. Biometría, en la medida en que su uso esté permitido por el Derecho de la Unión o nacional aplicable:

a) Sistemas de identificación biométrica remota

Quedan excluidos los sistemas de IA destinados a ser utilizados con fines de verificación biométrica cuya única finalidad sea confirmar que una persona física concreta es la persona que afirma ser

b) Sistemas de IA destinados a ser utilizados para la categorización biométrica en función de atributos o características sensibles o protegidos basada en la inferencia de dichos atributos o características

c) Sistemas de IA destinados a ser utilizados para el reconocimiento de emociones

2. Infraestructuras críticas: Sistemas de IA destinados a ser utilizados como componentes de seguridad en la gestión y el funcionamiento de las infraestructuras digitales críticas, del tráfico rodado o del suministro de agua, gas, calefacción o electricidad

3. Educación y formación profesional:

a) Sistemas de IA destinados a ser utilizados para determinar el acceso o la admisión de personas físicas a centros educativos y de formación profesional a todos los niveles o para distribuir a las personas físicas entre dichos centros

b) Sistemas de IA destinados a ser utilizados para evaluar los resultados del aprendizaje, también cuando dichos resultados se utilicen para orientar el proceso de aprendizaje de las personas físicas en centros educativos y de formación profesional a todos los niveles

c) Sistemas de IA destinados a ser utilizados para evaluar el nivel de educación adecuado que recibirá una persona o al que podrá acceder, en el contexto de los centros educativos y de formación profesional o dentro de estos a todos los niveles

d) Sistemas de IA destinados a ser utilizados para el seguimiento y la detección de comportamientos prohibidos por parte de los estudiantes durante los exámenes en el contexto de los centros educativos y de formación profesional o dentro de estos a todos los niveles

4. Empleo, gestión de los trabajadores y acceso al autoempleo:

a) Sistemas de IA destinados a ser utilizados para la contratación o la selección de personas físicas, en particular para publicar anuncios de empleo específicos, analizar y filtrar las solicitudes de empleo y evaluar a los candidatos

b) Sistemas de IA destinados a ser utilizados para tomar decisiones que afecten a las condiciones de las relaciones de índole laboral o a la promoción o rescisión de relaciones contractuales de índole laboral, para la asignación de tareas a partir de comportamientos individuales o rasgos o características personales o para supervisar y evaluar el rendimiento y el comportamiento de las personas en el marco de dichas relaciones

5. Acceso a servicios privados esenciales y a servicios y prestaciones públicos esenciales y disfrute de estos servicios y prestaciones:

a) Sistemas de IA destinados a ser utilizados por las autoridades públicas o en su nombre para evaluar la admisibilidad de las personas físicas para beneficiarse de servicios y prestaciones esenciales de asistencia pública, incluidos los servicios de asistencia sanitaria, así como para conceder, reducir o retirar dichos servicios y prestaciones o reclamar su devolución

b) Sistemas de IA destinados a ser utilizados para evaluar la solvencia de personas físicas o establecer su calificación crediticia, salvo los sistemas de IA utilizados al objeto de detectar fraudes financieros

c) Sistemas de IA destinados a ser utilizados para la evaluación de riesgos y la fijación de precios en relación con las personas físicas en el caso de los seguros de vida y de salud

d) Sistemas de IA destinados a ser utilizados para la evaluación y la clasificación de las llamadas de emergencia realizadas por personas físicas o para el envío o el establecimiento de prioridades en el envío de servicios de primera intervención en situaciones de emergencia, por ejemplo, policía, bomberos y servicios de asistencia médica, y en sistemas de triaje de pacientes en el contexto de la asistencia sanitaria de urgencia

6. Garantía del cumplimiento del Derecho, en la medida en que su uso esté permitido por el Derecho de la Unión o nacional aplicable:

a) Sistemas de IA destinados a ser utilizados por las autoridades garantes del cumplimiento del Derecho, o en su nombre, o por las instituciones, órganos y organismos de la Unión en apoyo de las autoridades garantes del cumplimiento del Derecho, o en su nombre, para evaluar el riesgo de que una persona física sea víctima de delitos

b) Sistemas de IA destinados a ser utilizados por las autoridades garantes del cumplimiento del Derecho, o en su nombre, o por las instituciones, órganos y organismos de la Unión en apoyo de las autoridades garantes del cumplimiento del Derecho como polígrafos o herramientas similares

c) Sistemas de IA destinados a ser utilizados por las autoridades garantes del cumplimiento del Derecho, o en su nombre, o por las instituciones, órganos y organismos de la Unión en apoyo de las autoridades garantes del cumplimiento del Derecho para evaluar la fiabilidad de las pruebas durante la investigación o el enjuiciamiento de delitos

d) Sistemas de IA destinados a ser utilizados por las autoridades garantes del cumplimiento del Derecho, o en su nombre, o por las instituciones, órganos y organismos de la Unión en apoyo de las autoridades garantes del cumplimiento del Derecho para evaluar el riesgo de que una persona física cometa un delito o reincida en la comisión de un delito atendiendo no solo a la elaboración de perfiles de personas físicas mencionada en el artículo 3, punto 4, de la Directiva (UE) 2016/680 o para evaluar rasgos y características de la personalidad o comportamientos delictivos pasados de personas físicas o colectivos

e) Sistemas de IA destinados a ser utilizados por las autoridades garantes del cumplimiento del Derecho, o en su nombre, o por las instituciones, órganos y organismos de la Unión en apoyo de las autoridades garantes del cumplimiento del Derecho para elaborar perfiles de personas físicas, como se menciona en el artículo 3, punto 4, de la Directiva (UE) 2016/680, durante la detección, la investigación o el enjuiciamiento de delitos

7. Migración, asilo y gestión del control fronterizo, en la medida en que su uso esté permitido por el Derecho de la Unión o nacional aplicable:

a) Sistemas de IA destinados a ser utilizados por las autoridades públicas competentes, o en su nombre, o por las instituciones, órganos y organismos de la Unión, como polígrafos o herramientas similares

b) Sistemas de IA destinados a ser utilizados por las autoridades públicas competentes, o en su nombre, o por las instituciones, órganos y organismos de la Unión para evaluar un riesgo, por ejemplo, un riesgo para la seguridad, la salud o de migración irregular, que plantee una persona física que tenga la intención de entrar en el territorio de un Estado miembro o haya entrado en él

c) Sistemas de IA destinados a ser utilizados por las autoridades públicas competentes, o en su nombre, o por las instituciones, órganos y organismos de la Unión para ayudar a las autoridades públicas competentes a examinar las solicitudes de asilo, visado o permiso de residencia y las reclamaciones conexas con el fin de determinar si las personas físicas solicitantes reúnen los requisitos necesarios para que se conceda su solicitud, con inclusión de la evaluación conexa de la fiabilidad de las pruebas

d) Sistemas de IA destinados a ser utilizados por las autoridades públicas competentes, o en su nombre, o por las instituciones, órganos y organismos de la Unión, en el contexto de la migración, el asilo o la gestión del control fronterizo, con el fin de detectar, reconocer o identificar a personas físicas, con excepción de la verificación de documentos de viaje

8. Administración de justicia y procesos democráticos:

a) Sistemas de IA destinados a ser utilizados por una autoridad judicial, o en su nombre, para ayudar a una autoridad judicial en la investigación e interpretación de hechos y de la ley, así como en la garantía del cumplimiento del Derecho a un conjunto concreto de hechos, o a ser utilizados de forma similar en una resolución alternativa de litigios;

b) Sistemas de IA destinados a ser utilizados para influir en el resultado de una elección o referéndum o en el comportamiento electoral de personas físicas que ejerzan su derecho de voto en elecciones o referendos. Quedan excluidos los sistemas de IA a cuyos resultados de salida no estén directamente expuestos las personas físicas, como las herramientas utilizadas para organizar, optimizar o estructurar campañas políticas desde un punto de vista administrativo o logístico.

ANEXO IV. Documentación técnica a que se refiere el artículo 11, apartado 1

La documentación técnica a que se refiere el artículo 11, apartado 1, incluirá como mínimo la siguiente información, aplicable al sistema de IA pertinente:

1. Una descripción general del sistema de IA que incluya:

a) su finalidad prevista, el nombre del proveedor y la versión del sistema de tal manera que se refleje su relación con versiones anteriores;

b) la manera en que el sistema de IA interactúa o puede utilizarse para interactuar con hardware o software, también con otros sistemas de IA, que no formen parte del propio sistema de IA, cuando proceda;

c) las versiones de software o firmware pertinentes y todo requisito relacionado con la actualización de versiones;

d) la descripción de todas las formas en que el sistema de IA se introduce en el mercado o se pone en servicio, como paquetes de software integrados en el hardware, descargas o API;

e) la descripción del hardware en el que está previsto que se ejecute el sistema de IA;

f) en el caso de que el sistema de IA sea un componente de un producto, fotografías o ilustraciones de las características exteriores, el marcado y la configuración interna de dicho producto;

g) una descripción básica de la interfaz de usuario facilitada al responsable del despliegue;

h) instrucciones de uso para el responsable del despliegue y una descripción básica de la interfaz de usuario facilitada al responsable del despliegue, cuando proceda.

2. Una descripción detallada de los elementos del sistema de IA y de su proceso de desarrollo, incluidos:

a) los métodos y las medidas adoptados para el desarrollo del sistema de IA, incluido, en su caso, el recurso a sistemas o herramientas previamente entrenados facilitados por terceros y la manera en que han sido utilizados, integrados o modificados por el proveedor;

b) las especificaciones de diseño del sistema, a saber, la lógica general del sistema de IA y de los algoritmos; las decisiones clave de diseño, incluidos la lógica y los supuestos de los que se ha partido, también con respecto a las personas o colectivos de personas en relación con los que está previsto que se utilice el sistema; las principales decisiones de clasificación; aquello que el sistema está diseñado para optimizar y la pertinencia de los diversos parámetros; la descripción de los resultados de salida esperados del sistema y la calidad de dichos resultados; las decisiones adoptadas acerca de cualquier posible concesión con respecto a las soluciones técnicas adoptadas para dar cumplimiento a los requisitos establecidos en el capítulo III, sección 2;

c) la arquitectura del sistema, con una explicación de la manera en que los componentes del software se utilizan o enriquecen mutuamente y de la manera en que se integran en el procesamiento general; los recursos informáticos utilizados para desarrollar, entrenar, probar y validar el sistema de IA;

d) cuando proceda, los requisitos en materia de datos, en forma de fichas técnicas que describan las metodologías y técnicas de entrenamiento, así como los conjuntos de datos de entrenamiento utilizados, e incluyan una descripción general de dichos conjuntos de datos e información acerca de su procedencia, su alcance y sus características principales; la manera en que se obtuvieron y seleccionaron los datos; los procedimientos de etiquetado (p. ej., para el aprendizaje supervisado) y las metodologías de depuración de datos (p. ej., la detección de anomalías);

e) una evaluación de las medidas de supervisión humana necesarias de conformidad con el artículo 14, incluida una evaluación de las medidas técnicas necesarias para facilitar la interpretación de los resultados de salida de los sistemas de IA por parte de los responsables del despliegue, con arreglo al artículo 13, apartado 3, letra d);

f) en su caso, una descripción detallada de los cambios predeterminados en el sistema de IA y su funcionamiento, junto con toda la información pertinente relativa a las soluciones técnicas adoptadas con el objetivo de garantizar la conformidad permanente del sistema de IA con los requisitos pertinentes establecidos en el capítulo III, sección 2;

g) los procedimientos de validación y prueba utilizados, incluida la información acerca de los datos de validación y prueba empleados y sus características principales; los parámetros utilizados para medir la precisión, la solidez y el cumplimiento de otros requisitos pertinentes establecidos en el capítulo III, sección 2, así como los efectos potencialmente discriminatorios; los archivos de registro de las pruebas y todos los informes de las pruebas fechados y firmados por las personas responsables, también en lo que respecta a los cambios predeterminados a que se refiere la letra f);

h) las medidas de ciberseguridad adoptadas.

3. Información detallada acerca de la supervisión, el funcionamiento y el control del sistema de IA, en particular con respecto a sus capacidades y limitaciones de funcionamiento, incluidos los niveles de precisión para las personas o colectivos de personas específicos en relación con los que está previsto que se utilice el sistema y el nivel general de precisión esperado en relación con su finalidad prevista; los resultados no deseados previsibles y las fuentes de riesgo para la salud y la seguridad, los derechos fundamentales y la discriminación, en vista de la finalidad prevista del sistema de IA; las medidas de supervisión humana necesarias de conformidad con el artículo 14, incluidas las medidas técnicas establecidas para facilitar la interpretación de los resultados de salida de los sistemas de IA por parte de los responsables del despliegue; las especificaciones de los datos de entrada, según proceda.

4. Una descripción de la idoneidad de los parámetros de rendimiento para el sistema de IA concreto.

5. Una descripción detallada del sistema de gestión de riesgos con arreglo al artículo 9.

6. Una descripción de los cambios pertinentes realizados por el proveedor en el sistema a lo largo de su ciclo de vida.

7. Una lista de las normas armonizadas, aplicadas total o parcialmente, cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea; cuando no se hayan aplicado normas armonizadas, una descripción detallada de las soluciones adoptadas para cumplir los requisitos establecidos en el capítulo III, sección 2, incluida una lista de otras normas y especificaciones técnicas pertinentes que se hayan aplicado.

8. Una copia de la declaración UE de conformidad de conformidad con el artículo 47.

9. Una descripción detallada del sistema establecido para evaluar el funcionamiento del sistema de IA en la fase posterior a la comercialización, de conformidad con el artículo 72, incluido el plan de vigilancia poscomercialización a que se refiere el artículo 72, apartado 3.

ANEXO V. Declaración UE de conformidad

La declaración UE de conformidad a que se hace referencia en el artículo 47 contendrá toda la información siguiente:

1. El nombre y tipo del sistema de IA, y toda referencia inequívoca adicional que permita la identificación y trazabilidad del sistema de IA.

2. El nombre y la dirección del proveedor o, en su caso, de su representante autorizado.

3. La afirmación de que la declaración UE de conformidad con el artículo 47 se expide bajo la exclusiva responsabilidad del proveedor.

4. La declaración de que el sistema de IA es conforme con el presente Reglamento y, en su caso, con cualquier otra disposición de Derecho de la Unión pertinente que disponga la expedición de la declaración UE de conformidad con el artículo 47.

5. Cuando un sistema de IA implique el tratamiento de datos personales, la declaración de que el sistema de IA se ajusta al Reglamento (UE) 2016/679, al Reglamento (UE) 2018/1725 y a la Directiva (UE) 2016/680.

6. Referencias a todas las normas armonizadas pertinentes que se hayan aplicado o a cualquier otra especificación común respecto de la que se declara la conformidad.

7. En su caso, el nombre y el número de identificación del organismo notificado, una descripción del procedimiento de evaluación de la conformidad que se haya seguido y la identificación del certificado expedido.

8. El lugar y la fecha de expedición de la declaración, el nombre y el cargo de la persona que la firme, la indicación de la persona en cuyo nombre o por cuya cuenta firma la declaración y la firma.

ANEXO VI. Procedimiento de evaluación de la conformidad fundamentado en un control interno

1.    El procedimiento de evaluación de la conformidad fundamentado en un control interno es el procedimiento de evaluación de la conformidad basado en los puntos 2, 3 y 4.

2.    El proveedor comprueba que el sistema de gestión de la calidad establecido cumple los requisitos establecidos en el artículo 17.

3.    El proveedor examina la información de la documentación técnica para evaluar la conformidad del sistema de IA con los requisitos esenciales pertinentes establecidos en el capítulo III, sección 2.

4.    Asimismo, el proveedor comprueba que el proceso de diseño y desarrollo del sistema de IA y la vigilancia poscomercialización del mismo a que se refiere el artículo 72 son coherentes con la documentación técnica.

ANEXO VII. Conformidad fundamentada en la evaluación del sistema de gestión de la calidad y la evaluación de la documentación técnica

1.   Introducción

La conformidad fundamentada en la evaluación del sistema de gestión de la calidad y la evaluación de la documentación técnica es el procedimiento de evaluación de la conformidad basado en los puntos 2 a 5.

2.   Presentación general

El sistema de gestión de la calidad aprobado en relación con el diseño, el desarrollo y las pruebas de los sistemas de IA con arreglo al artículo 17 se examinará de conformidad con el punto 3 y será objeto de vigilancia con arreglo a lo establecido en el punto 5. La documentación técnica del sistema de IA se examinará de conformidad con el punto 4.

3.   Sistema de gestión de la calidad

3.1. La solicitud del proveedor incluirá:

a) el nombre y la dirección del proveedor y, si es el representante autorizado quien presenta la solicitud, también su nombre y dirección;

b) la lista de los sistemas de IA a los que se aplica el mismo sistema de gestión de la calidad;

c) la documentación técnica de cada sistema de IA al que se aplica el mismo sistema de gestión de la calidad;

d) la documentación relativa al sistema de gestión de la calidad, que cubrirá todos los aspectos enumerados en el artículo 17;

e) una descripción de los procedimientos establecidos para garantizar que el sistema de gestión de la calidad sigue siendo adecuado y eficaz;

f) una declaración por escrito de que no se ha presentado la misma solicitud ante ningún otro organismo notificado.

3.2. El sistema de gestión de la calidad será evaluado por el organismo notificado, que determinará si cumple los requisitos especificados en el artículo 17.

La decisión se notificará al proveedor o a su representante autorizado.

La notificación incluirá las conclusiones de la evaluación del sistema de gestión de la calidad y una decisión motivada sobre la evaluación.

3.3. El proveedor continuará aplicando y manteniendo el sistema de gestión de la calidad aprobado de forma que siga siendo adecuado y eficaz.

3.4. El proveedor comunicará al organismo notificado toda modificación prevista del sistema de gestión de la calidad aprobado o de la lista de sistemas de IA a los que este se aplica.

El organismo notificado examinará los cambios propuestos y decidirá si el sistema de gestión de la calidad modificado sigue cumpliendo los requisitos mencionados en el punto 3.2 o si es necesario realizar una nueva evaluación.

El organismo notificado notificará su decisión al proveedor. La notificación incluirá las conclusiones del examen de los cambios y una decisión motivada sobre la evaluación.

4.   Control de la documentación técnica

4.1. Además de la solicitud a que se refiere el punto 3, el proveedor presentará una solicitud ante el organismo notificado de su elección para la evaluación de la documentación técnica relativa al sistema de IA que el proveedor pretenda introducir en el mercado o poner en servicio y al que se aplique el sistema de gestión de la calidad mencionado en el punto 3.

4.2. La solicitud incluirá:

a) el nombre y la dirección del proveedor;

b) una declaración por escrito de que no se ha presentado la misma solicitud ante ningún otro organismo notificado;

c) la documentación técnica prevista en el anexo IV.

4.3. El organismo notificado examinará la documentación técnica. Cuando proceda, y en la medida en que sea necesario para el desempeño de sus tareas, se concederá al organismo notificado pleno acceso a los conjuntos de datos de entrenamiento, validación y prueba utilizados, también, cuando proceda y con sujeción a garantías de seguridad, a través de API u otras herramientas y medios técnicos pertinentes que permitan el acceso a distancia.

4.4. Al examinar la documentación técnica, el organismo notificado podrá exigir que el proveedor facilite más pruebas justificativas o que lleve a cabo pruebas adicionales para que pueda evaluarse adecuadamente la conformidad del sistema de IA con los requisitos establecidos en el capítulo III, sección 2. Cuando el organismo notificado no quede satisfecho con las pruebas realizadas por el proveedor, efectuará él mismo directamente las pruebas adecuadas, según proceda.

4.5.  Asimismo, se concederá al organismo notificado acceso al modelo de entrenamiento y al modelo entrenado del sistema de IA, con sus correspondientes parámetros, para, en caso necesario, una vez se hayan agotado y hayan demostrado ser insuficientes todas las demás vías razonables para verificar la conformidad, y previa solicitud motivada, evaluar la conformidad del sistema de IA de alto riesgo con los requisitos establecidos en el capítulo III, sección 2. Dicho acceso estará sujeto al Derecho de la Unión vigente relativo a la protección de la propiedad intelectual e industrial y los secretos comerciales.

4.6. Se notificará la decisión del organismo notificado al proveedor o a su representante autorizado. La notificación incluirá las conclusiones de la evaluación de la documentación técnica y una decisión motivada sobre la evaluación.

Cuando el sistema de IA cumpla los requisitos establecidos en el capítulo III, sección 2, el organismo notificado expedirá un certificado de la Unión de evaluación de la documentación técnica. Dicho certificado indicará el nombre y la dirección del proveedor, las conclusiones del examen, las condiciones de validez (en su caso) y los datos necesarios para identificar el sistema de IA.

El certificado y sus anexos contendrán toda la información pertinente para poder evaluar la conformidad del sistema de IA y permitir el control del sistema de IA mientras esté en uso, cuando proceda.

Cuando el sistema de IA no cumpla los requisitos establecidos en el capítulo III, sección 2, el organismo notificado denegará la expedición del certificado de la Unión de evaluación de la documentación técnica e informará de ello al solicitante, motivando detalladamente su decisión.

Cuando el sistema de IA no cumpla los requisitos relativos a los datos utilizados para su entrenamiento, será necesario llevar a cabo un nuevo entrenamiento del sistema antes de solicitar una nueva evaluación de la conformidad. En este caso, la decisión motivada sobre la evaluación del organismo notificado que deniegue la expedición del certificado de la Unión de evaluación de la documentación técnica contendrá consideraciones específicas relativas a la calidad de los datos utilizados para entrenar el sistema de IA, en particular acerca de los motivos del incumplimiento.

4.7. Todo cambio del sistema de IA que pueda afectar a su cumplimiento de los requisitos o su finalidad prevista será evaluado por el organismo notificado que haya expedido el certificado de la Unión de evaluación de la documentación técnica. El proveedor informará a dicho organismo notificado de su intención de introducir cualquiera de los cambios previamente mencionados o de si tiene constancia de que se hayan producido tales cambios. El organismo notificado evaluará los cambios previstos y decidirá si estos requieren una nueva evaluación de la conformidad con arreglo al artículo 43, apartado 4, o si pueden ser objeto de un suplemento al certificado de la Unión de evaluación de la documentación técnica. En este último caso, el organismo notificado evaluará los cambios, notificará su decisión al proveedor y, si aprueba los cambios, expedirá un suplemento al certificado de la Unión de evaluación de la documentación técnica.

5.   Vigilancia del sistema de gestión de la calidad aprobado

5.1. La finalidad de la vigilancia por parte del organismo notificado a que se refiere el punto 3 es asegurarse de que el proveedor cumple debidamente las condiciones del sistema de gestión de la calidad aprobado.

5.2. A efectos de la evaluación, el proveedor dará acceso al organismo notificado a las instalaciones donde se estén diseñando, desarrollando o probando los sistemas de IA. Además, el proveedor facilitará al organismo notificado toda la información necesaria.

5.3. El organismo notificado realizará auditorías periódicas para asegurarse de que el proveedor mantiene y aplica el sistema de gestión de la calidad, y le entregará un informe de la auditoría. En el marco de dichas auditorías, el organismo notificado podrá efectuar más pruebas de los sistemas de IA para los que se hayan expedido certificados de la Unión de evaluación de la documentación técnica.

ANEXO VIII. Información que debe presentarse para la inscripción en el registro de sistemas de IA de alto riesgo de conformidad con el artículo 49

Sección A — Información que deben presentar los proveedores de sistemas de IA de alto riesgo de conformidad con el artículo 49, apartado 1

Con respecto a los sistemas de IA de alto riesgo que vayan a inscribirse en el registro de conformidad con el artículo 49, apartado 1, se facilitará y se actualizará debidamente la información siguiente:

1. El nombre, la dirección y los datos de contacto del proveedor.

2. Cuando sea otra persona la que presente la información en nombre del proveedor, el nombre, dirección y datos de contacto de dicha persona.

3. El nombre, la dirección y los datos de contacto del representante autorizado, en su caso.

4. El nombre comercial del sistema de IA y toda referencia inequívoca adicional que permita su identificación y trazabilidad.

5. La descripción de la finalidad prevista del sistema de IA y de los componentes y funciones que se apoyan a través del mismo.

6. Una descripción sencilla y concisa de la información que utiliza el sistema (datos, entradas) y su lógica de funcionamiento.

7. La situación del sistema de IA (comercializado o puesto en servicio, ha dejado de comercializarse o de estar en servicio, recuperado).

8. El tipo, el número y la fecha de caducidad del certificado expedido por el organismo notificado y el nombre o número de identificación de dicho organismo notificado, cuando proceda.

9. Una copia escaneada del certificado a que se refiere el punto 8, cuando proceda.

10. Todo Estado miembro en el que el sistema de IA se haya introducido en el mercado, puesto en servicio o comercializado en la Unión.

11.Una copia de la declaración UE de conformidad a que se refiere el artículo 47.

12.Las instrucciones de uso electrónicas. No se facilitará esta información en el caso de los sistemas de IA de alto riesgo en los ámbitos de la garantía del cumplimiento del Derecho o la migración, el asilo y la gestión del control fronterizo a que se refiere el anexo III, puntos 1, 6 y 7.

13. Una URL para obtener información adicional (opcional).

Sección B — Información que deben presentar los proveedores de sistemas de IA de alto riesgo de conformidad con el artículo 49, apartado 2

Con respecto a los sistemas de IA que vayan a inscribirse en el registro de conformidad con el artículo 49, apartado 2, se facilitará y se actualizará debidamente la información siguiente:

1. El nombre, la dirección y los datos de contacto del proveedor.

2. Cuando sea otra persona la que presente la información en nombre del proveedor, el nombre, dirección y datos de contacto de dicha persona.

3. El nombre, la dirección y los datos de contacto del representante autorizado, en su caso.

4. El nombre comercial del sistema de IA y toda referencia inequívoca adicional que permita su identificación y trazabilidad.

5. La descripción de la finalidad prevista del sistema de IA.

6. La condición o condiciones previstas en el artículo 6, apartado 3, con arreglo a las cuales se considera que el sistema de IA no es de alto riesgo.

7. Un breve resumen de los motivos por los que se considera que el sistema de IA no es de alto riesgo en aplicación del procedimiento previsto en el artículo 6, apartado 3.

8. La situación del sistema de IA (comercializado o puesto en servicio, ha dejado de comercializarse o de estar en servicio, recuperado).

9. Todo Estado miembro en el que el sistema de IA se haya introducido en el mercado, puesto en servicio o comercializado en la Unión.

Sección C — Información que deben presentar los responsables del despliegue de sistemas de IA de alto riesgo de conformidad con el artículo 49, apartado 3

Con respecto a los sistemas de IA de alto riesgo que vayan a inscribirse en el registro de conformidad con el artículo 49, apartado 3, se facilitará y se actualizará debidamente la información siguiente:

1. El nombre, la dirección y los datos de contacto del responsable del despliegue.

2. El nombre, la dirección y los datos de contacto de la persona que presente la información en nombre del responsable del despliegue.

3. La URL de entrada del sistema de IA en la base de datos de la UE por parte de su proveedor.

4. Un resumen de las conclusiones de la evaluación de impacto relativa a los derechos fundamentales realizada de conformidad con el artículo 27.

5. Un resumen de la evaluación de impacto relativa a la protección de datos realizada de conformidad con el artículo 35 del Reglamento (UE) 2016/679 o el artículo 27 de la Directiva (UE) 2016/680, tal como se especifica en el artículo 26, apartado 8, del presente Reglamento, cuando proceda.

ANEXO IX. Información que debe presentarse para la inscripción en el registro de los sistemas de IA de alto riesgo enumerados en el anexo III en relación con las pruebas en condiciones reales de conformidad con el artículo 60

Con respecto a las pruebas en condiciones reales que vayan a inscribirse en el registro de conformidad con el artículo 60, se facilitará y se actualizará debidamente la información siguiente:

1. El número de identificación único para toda la Unión de la prueba en condiciones reales.

2. El nombre y los datos de contacto del proveedor o proveedor potencial y de los responsables del despliegue que participen en la prueba en condiciones reales.

3. Una breve descripción del sistema de IA, su finalidad prevista y demás información necesaria para la identificación del sistema.

4. Un resumen de las principales características del plan de la prueba en condiciones reales.

5. Información sobre la suspensión o la conclusión de la prueba en condiciones reales.

ANEXO X. Actos legislativos de la Unión relativos a sistemas informáticos de gran magnitud en el espacio de libertad, seguridad y justicia

1.   Sistema de Información de Schengen

a) Reglamento (UE) 2018/1860 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, sobre la utilización del Sistema de Información de Schengen para el retorno de nacionales de terceros países en situación irregular (DO L 312 de 7.12.2018, p. 1).

b) Reglamento (UE) 2018/1861 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen (SIS) en el ámbito de las inspecciones fronterizas, por el que se modifica el Convenio de aplicación del Acuerdo de Schengen y se modifica y deroga el Reglamento (CE) nº 1987/2006 (DO L 312 de 7.12.2018, p. 14).

c) Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen (SIS) en el ámbito de la cooperación policial y de la cooperación judicial en materia penal, por el que se modifica y deroga la Decisión 2007/533/JAI del Consejo, y se derogan el Reglamento (CE) nº 1986/2006 del Parlamento Europeo y del Consejo y la Decisión 2010/261/UE de la Comisión (DO L 312 de 7.12.2018, p. 56).

2.   Sistema de Información de Visados

a) Reglamento (UE) 2021/1133 del Parlamento Europeo y del Consejo, de 7 de julio de 2021, por el que se modifican los Reglamentos (UE) nº 603/2013, (UE) 2016/794, (UE) 2018/1862, (UE) 2019/816 y (UE) 2019/818 en lo que respecta al establecimiento de las condiciones para acceder a otros sistemas de información de la UE a efectos del Sistema de Información de Visados (DO L 248 de 13.7.2021, p. 1).

b) Reglamento (UE) 2021/1134 del Parlamento Europeo y del Consejo, de 7 de julio de 2021, por el que se modifican los Reglamentos (CE) nº 767/2008, (CE) nº 810/2009, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1860, (UE) 2018/1861, (UE) 2019/817 y (UE) 2019/1896 del Parlamento Europeo y del Consejo y por el que se derogan las Decisiones 2004/512/CE y 2008/633/JAI del Consejo, a fin de reformar el Sistema de Información de Visados (DO L 248 de 13.7.2021, p. 11).

3.   Eurodac

a) Reglamento (UE) 2024/1358 del Parlamento Europeo y del Consejo, de 14 de mayo de 2024, sobre la creación del sistema «Eurodac» para la comparación de datos biométricos a efectos de la aplicación efectiva de los Reglamentos (UE) 2024/1315y (UE) 2024/1350 del Parlamento Europeo y del Consejo y de la Directiva 2001/55/CE del Consejo y de la identificación de nacionales de terceros países y apátridas en situación irregular, y sobre las solicitudes de comparación con los datos de Eurodac presentadas por los servicios de seguridad de los Estados miembros y Europol a efectos de garantía de cumplimiento del Derecho, por el que se modifican los Reglamentos (UE) 2018/1240 y (UE) 2019/818 del Parlamento Europeo y del Consejo y se deroga el Reglamento (UE) nº 603/2013 del Parlamento Europeo y del Consejo (DO L, 2024/1358, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1358/oj).

4.   Sistema de Entradas y Salidas

a) Reglamento (UE) 2017/2226 del Parlamento Europeo y del Consejo, de 30 de noviembre de 2017, por el que se establece un Sistema de Entradas y Salidas (SES) para registrar los datos de entrada y salida y de denegación de entrada relativos a nacionales de terceros países que crucen las fronteras exteriores de los Estados miembros, se determinan las condiciones de acceso al SES con fines policiales y se modifican el Convenio de aplicación del Acuerdo de Schengen y los Reglamentos (CE) nº 767/2008 y (UE) nº 1077/2011 (DO L 327 de 9.12.2017, p. 20).

5.   Sistema Europeo de Información y Autorización de Viajes

a) Reglamento (UE) 2018/1240 del Parlamento Europeo y del Consejo, de 12 de septiembre de 2018, por el que se establece un Sistema Europeo de Información y Autorización de Viajes (SEIAV) y por el que se modifican los Reglamentos (UE) nº 1077/2011, (UE) nº 515/2014, (UE) 2016/399, (UE) 2016/1624 y (UE) 2017/2226 (DO L 236 de 19.9.2018, p. 1).

b) Reglamento (UE) 2018/1241 del Parlamento Europeo y del Consejo, de 12 de septiembre de 2018, por el que se modifica el Reglamento (UE) 2016/794 con objeto de establecer el Sistema Europeo de Información y Autorización de Viajes (SEIAV) (DO L 236 de 19.9.2018, p. 72).

6.   Sistema Europeo de Información de Antecedentes Penales en relación con los nacionales de terceros países y apátridas

Reglamento (UE) 2019/816 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, por el que se establece un sistema centralizado para la identificación de los Estados miembros que poseen información sobre condenas de nacionales de terceros países y apátridas (ECRIS-TCN) a fin de complementar el Sistema Europeo de Información de Antecedentes Penales, y por el que se modifica el Reglamento (UE) 2018/1726 (DO L 135 de 22.5.2019, p. 1).

7.   Interoperabilidad

a) Reglamento (UE) 2019/817 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativo al establecimiento de un marco para la interoperabilidad de los sistemas de información de la UE en el ámbito de las fronteras y los visados y por el que se modifican los Reglamentos (CE) nº 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 y (UE) 2018/1861 del Parlamento Europeo y del Consejo, y las Decisiones 2004/512/CE y 2008/633/JAI del Consejo (DO L 135 de 22.5.2019, p. 27).

b) Reglamento (UE) 2019/818 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativo al establecimiento de un marco para la interoperabilidad entre los sistemas de información de la UE en el ámbito de la cooperación policial y judicial, el asilo y la migración y por el que se modifican los Reglamentos (UE) 2018/1726, (UE) 2018/1862 y (UE) 2019/816 (DO L 135 de 22.5.2019, p. 85).

ANEXO XI. Documentación técnica a que se refiere el artículo 53, apartado 1, letra a) — documentación técnica para proveedores de modelos de IA de uso general

Sección 1. Información que deben presentar los proveedores de modelos de IA de uso general

La documentación técnica a que se refiere el artículo 53, apartado 1, letra a), incluirá como mínimo la siguiente información en función del tamaño y perfil de riesgo del modelo:

1.Una descripción general del modelo de IA de uso general que incluya:

a) las tareas que el modelo vaya a realizar y el tipo y la naturaleza de los sistemas de IA en los que puede integrarse;

b) las políticas de usos aceptables aplicables;

c) la fecha de lanzamiento y los métodos de distribución;

d) la arquitectura y el número de parámetros;

e) la modalidad (por ejemplo, texto, imagen) y el formato de las entradas y salidas;

f) la licencia.

2. Una descripción detallada de los elementos del modelo a que se refiere el punto 1 e información pertinente sobre el proceso de desarrollo que incluya los siguientes elementos:

a) los medios técnicos (por ejemplo, instrucciones de uso, infraestructura, herramientas) necesarios para integrar el modelo de IA de uso general en los sistemas de IA;

b) las especificaciones de diseño del modelo y el proceso de entrenamiento, incluidos los métodos y las técnicas de entrenamiento, las decisiones clave de diseño, incluidas la justificación lógica y los supuestos de los que se ha partido; aquello que el modelo está diseñado para optimizar y la pertinencia de los diversos parámetros, según proceda;

c) información sobre los datos utilizados para el entrenamiento, las pruebas y la validación, cuando proceda, incluidos el tipo y la procedencia de los datos y los métodos de gestión (por ejemplo, limpieza, filtrado, etc.), el número de puntos de datos, su alcance y sus principales características; cómo se obtuvieron y seleccionaron los datos, así como cualquier otra medida que permita detectar que las fuentes de datos no son idóneas y los métodos para detectar sesgos identificables, cuando proceda;

d) los recursos computacionales utilizados para entrenar el modelo (por ejemplo, número de operaciones de coma flotante, el tiempo de entrenamiento y otros detalles pertinentes relacionados con el mismo;

e) el consumo de energía conocido o estimado del modelo.

A propósito de la letra e), cuando se desconozca el consumo de energía del modelo, podrá hacerse una estimación del consumo de energía a partir de la información relativa a los recursos computacionales utilizados.

Sección 2. Información adicional que deben presentar los proveedores de modelos de IA de uso general con riesgo sistémico

1. Una descripción detallada de las estrategias de evaluación, con los resultados de la misma, sobre la base de los protocolos y herramientas de evaluación públicos disponibles o de otros métodos de evaluación. Las estrategias de evaluación incluirán los criterios de evaluación, los parámetros y el método de detección de limitaciones.

2. Cuando proceda, una descripción detallada de las medidas adoptadas para realizar pruebas adversarias internas o externas (por ejemplo, utilización de «equipos rojos») y adaptaciones de los modelos, incluida su alineación y puesta a punto.

3. Cuando proceda, una descripción detallada de la arquitectura del sistema, con una explicación de la manera en que se incorporan o enriquecen mutuamente los componentes del software y de la manera en que se integran en el procesamiento general.

ANEXO XII. Información sobre transparencia a que se refiere el artículo 53, apartado 1, letra b) — documentación técnica de los proveedores de modelos de IA de uso general para los proveedores posteriores que integren el modelo en su sistema de IA

La información a que se refiere el artículo 53, apartado 1, letra b), incluirá como mínimo la siguiente información:

1. Una descripción general del modelo de IA de uso general que incluya:

a) las tareas que el modelo vaya a realizar y el tipo y la naturaleza de los sistemas de IA en los que puede integrarse;

b) las políticas de usos aceptables aplicables;

c) la fecha de lanzamiento y los métodos de distribución;

d) la manera en que el modelo interactúa o puede utilizarse para interactuar con el hardware o el software que no formen parte del propio modelo, cuando proceda;

e) las versiones del software pertinente relacionadas con el uso del modelo de IA de uso general, cuando proceda;

f) la arquitectura y el número de parámetros;

g) la modalidad (por ejemplo, texto, imagen) y el formato de las entradas y salidas;

h) la licencia del modelo.

2. Una descripción de los elementos del modelo y de su proceso de desarrollo, incluidos:

a) los medios técnicos (por ejemplo, instrucciones de uso, infraestructura, herramientas) necesarios para integrar el modelo de IA de uso general en los sistemas de IA;

b) la modalidad (por ejemplo, texto, imagen, etc.) y el formato de las entradas y salidas y su tamaño máximo (por ejemplo, longitud de la ventana de contexto, etc.);

c) información sobre los datos utilizados para el entrenamiento, las pruebas y la validación, cuando proceda, incluidos el tipo y la procedencia de los datos y los métodos de gestión.

ANEXO XIII. Criterios para la clasificación de los modelos de IA de uso general con riesgo sistémico a que se refiere el artículo 51

Con el fin de determinar si un modelo de IA de uso general tiene unas capacidades o unos efectos equivalentes a los contemplados en el artículo 51, apartado 1, letra a), la Comisión tendrá en cuenta los siguientes criterios:

a) el número de parámetros del modelo;

b) la calidad o el tamaño del conjunto de datos, por ejemplo medidos a través de criptofichas;

c) la cantidad de cálculo utilizada para entrenar el modelo, medida en operaciones de coma flotante o indicada con una combinación de otras variables, como el coste estimado del entrenamiento, el tiempo estimado necesario o el consumo de energía estimado para el mismo;

d) las modalidades de entrada y salida del modelo, como la conversión de texto a texto (grandes modelos de lenguaje), la conversión de texto a imagen, la multimodalidad y los umbrales punteros para determinar las capacidades de gran impacto de cada modalidad, y el tipo concreto de entradas y salidas (por ejemplo, secuencias biológicas);

e) los parámetros de referencia y las evaluaciones de las capacidades del modelo, también teniendo en cuenta el número de tareas sin entrenamiento adicional, la adaptabilidad para aprender tareas nuevas distintas, su nivel de autonomía y capacidad de ampliación y las herramientas a las que tiene acceso;

f) si sus repercusiones para el mercado interior son importantes debido a su alcance, lo que se dará por supuesto cuando se haya puesto a disposición de al menos 10 000 usuarios profesionales registrados establecidos en la Unión;

g) el número de usuarios finales registrados.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

ISSN 1977-0685 (electronic edition)

25Ene/24

Directiva (UE) 2023/1544 del Parlamento Europeo y del Consejo, de 12 de julio de 2023

Directiva (UE) 2023/1544 del Parlamento Europeo y del Consejo, de 12 de julio de 2023, por la que se establecen normas armonizadas para la designación de establecimientos designados y de representantes legales a efectos de recabar pruebas electrónicas en procesos penales (DO L 191 de 28.7.2023).

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular sus artículos 53 y 62,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1),

De conformidad con el procedimiento legislativo ordinario (2),

Considerando lo siguiente:

(1) Los servicios basados en la red pueden prestarse desde cualquier lugar y no requieren infraestructura física, instalaciones ni personal en el país en que se ofrece el servicio en cuestión, ni en el mercado interior. Como consecuencia de ello, puede resultar difícil aplicar y hacer cumplir las obligaciones establecidas en el Derecho nacional y de la Unión dirigidas a los prestadores de servicios afectados, y en particular la obligación de cumplir una orden o una resolución de una autoridad judicial. Este es el caso, en particular, del Derecho penal, en que las autoridades de los Estados miembros se enfrentan a dificultades para notificar, garantizar el respeto y hacer cumplir sus decisiones, sobre todo cuando los servicios en cuestión se prestan desde un lugar situado fuera de su territorio. En este contexto, los Estados miembros han adoptado una serie de medidas dispares para aplicar y hacer cumplir su legislación de forma más efectiva. Esto incluye medidas para dirigirse a los prestadores de servicios a fin de obtener pruebas electrónicas pertinentes a efectos de un proceso penal. A tal fin, algunos Estados miembros han adoptado, o están estudiando adoptar, legislación que establezca la representación legal obligatoria en su propio territorio, para una serie de prestadores de servicios que ofrezcan servicios en dicho territorio. Tales requisitos crean obstáculos a la libre prestación de servicios en el mercado interior.

(2) Existe un riesgo de que, a falta de un planteamiento a escala de la Unión, los Estados miembros traten de subsanar las deficiencias existentes en cuanto a recabar pruebas electrónicas en procesos penales, imponiendo obligaciones nacionales dispares. Esa disparidad de obligaciones nacionales crearía mayores obstáculos a la libre prestación de servicios en el mercado interior.

(3) La falta de un planteamiento a escala de la Unión se traduce en inseguridad jurídica que afecta tanto a los prestadores de servicios como a las autoridades nacionales. Se aplican obligaciones dispares que pueden entrar en conflicto a los prestadores de servicios establecidos en distintos Estados miembros o que ofrecen servicios en ellos, lo que se traduce en que esos prestadores de servicios estén sometidos a diferentes regímenes de sanciones en caso de infracción. Esas divergencias en el marco para procesos penales tenderán a ampliarse, dada la creciente importancia de los servicios de la sociedad de la información y la comunicación en nuestras sociedades y vidas cotidianas. Dichas divergencias no solo constituyen un obstáculo para el buen funcionamiento del mercado interior, sino que también suponen problemas para el establecimiento y el buen funcionamiento del espacio de libertad, seguridad y justicia de la Unión.

(4) Para evitar divergencias en el marco jurídico y garantizar que las empresas que operan en el mercado interior estén sujetas a obligaciones idénticas o similares, la Unión ha adoptado una serie de actos jurídicos en ámbitos relacionados, como la protección de datos, a saber, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (3) y la Directiva 2002/58/CE del Parlamento y del Consejo (4). Con el fin de aumentar el nivel de protección de los interesados, el Reglamento (UE) 2016/679 prevé la designación de un representante legal en la Unión por los responsables o encargados del tratamiento que no estén establecidos en la Unión, pero que ofrezcan productos o servicios a los interesados en el territorio de la Unión o que controlen su conducta en caso de que esta conducta tenga lugar en la Unión, a menos que el tratamiento de datos sea ocasional, no incluya el tratamiento a gran escala de categorías especiales de datos personales o el tratamiento de datos personales relativos a condenas e infracciones penales, y sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, el contexto, el alcance y los fines del tratamiento, o si el responsable o el encargado del tratamiento es una autoridad u organismo público.

(5) Al establecer normas armonizadas sobre la designación de establecimientos designados y de representantes legales de determinados prestadores de servicios en la Unión para la recepción, el cumplimiento y la ejecución de las resoluciones y órdenes emitidas por las autoridades competentes de los Estados miembros a efectos de recabar pruebas electrónicas en procesos penales, deben suprimirse los obstáculos existentes a la libre prestación de servicios y debe evitarse la imposición de enfoques nacionales divergentes a este respecto en el futuro. Deben establecerse, por lo tanto, condiciones de competencia equitativas para los prestadores de servicios. Dependiendo de si los prestadores de servicios están o no establecidos en la Unión, los Estados miembros deben velar por que los prestadores de servicios designen un establecimiento designado o un representante legal. Estas normas armonizadas sobre la designación de los establecimientos designados y de representantes legales no deben afectar a las obligaciones que incumban a los prestadores de servicios en virtud de otros actos legislativos de la Unión. Asimismo, debe facilitarse una aplicación más efectiva de las normas penales en el espacio de libertad, seguridad y justicia de la Unión.

(6) Los establecimientos designados y los representantes legales previstos en la presente Directiva deben servir de destinatarios de las resoluciones y órdenes a efectos de recabar pruebas electrónicas sobre la base del Reglamento (UE) 2023/1543 del Parlamento Europeo y del Consejo (5), de la Directiva 2014/41/UE del Parlamento Europeo y del Consejo (6) y del Convenio celebrado por el Consejo, de conformidad con el artículo 34 del Tratado de la Unión Europea, relativo a la asistencia judicial en materia penal entre los Estados miembros de la Unión Europea (7), también cuando dichas resoluciones y órdenes se transmitan en forma de certificado.

El recurso al establecimiento designado o al representante legal debe ser conforme a los procedimientos establecidos en los instrumentos y la legislación aplicables a los procedimientos judiciales, también cuando los instrumentos permitan la notificación directa de órdenes en situaciones transfronterizas al establecimiento designado o al representante legal del prestador de servicios, o se basen en la cooperación entre las autoridades judiciales competentes. Las autoridades competentes del Estado miembro en el que el establecimiento designado esté establecido o el representante legal resida deben actuar de conformidad con el papel que se les asigne en el instrumento respectivo en caso de que se prevea una participación. Los Estados miembros también deben poder dirigir las resoluciones y órdenes con el fin de recabar pruebas electrónicas sobre la base del Derecho nacional a una persona física o jurídica que actúe como representante legal o como establecimiento designado de un prestador de servicios en su territorio.

(7) Los Estados miembros deben velar por que los prestadores de servicios que ofrezcan servicios en la Unión a 18 de febrero de 2026 tengan la obligación de designar al menos un establecimiento designado o un representante legal a más tardar el 18 de agosto de 2026 y por que los prestadores de servicios que comiencen a ofrecer servicios en la Unión después de esa fecha designen al menos un establecimiento designado o un representante legal en el plazo de seis meses a partir de la fecha en que comiencen a ofrecer servicios en la Unión. Sin perjuicio de las garantías de protección de datos, dicho establecimiento designado o representante legal podría ser compartido entre varios prestadores de servicios, en particular por prestadores de servicios que sean pequeñas o medianas empresas.

(8) La obligación de designar un establecimiento designado o un representante legal debe aplicarse a los prestadores que ofrezcan servicios en la Unión, lo que significa en uno o más Estados miembros. La presente Directiva no debe aplicarse a las situaciones en las que un prestador de servicios esté establecido en el territorio de un Estado miembro y ofrezca servicios exclusivamente en el territorio de dicho Estado miembro.

(9) A efectos de recabar pruebas electrónicas en procesos penales, los Estados miembros deben poder seguir dirigiéndose a los prestadores de servicios establecidos en su territorio para situaciones puramente internas de conformidad con el Derecho de la Unión y su Derecho nacional respectivo. No obstante las posibilidades que actualmente ofrece el Derecho nacional para dirigirse a los prestadores de servicios en su propio territorio, los Estados miembros no deben eludir los principios subyacentes a la presente Directiva o al Reglamento (UE) 2023/1543.

(10) La determinación de si un prestador ofrece servicios en la Unión requiere una valoración de si el prestador de servicios permite a las personas físicas o jurídicas que se encuentren en uno o más Estados miembros utilizar sus servicios. No obstante, la mera accesibilidad de una interfaz en línea en la Unión (como, por ejemplo, la accesibilidad de una página web o una dirección de correo electrónico u otros datos de contacto de un prestador de servicios o de un intermediario), tomada aisladamente, debe considerarse insuficiente para determinar que un prestador de servicios ofrece servicios en la Unión en el sentido de la presente Directiva.

(11) La determinación de si un prestador de servicios ofrece servicios en la Unión requiere, además de valorar si el prestador permite a las personas físicas o jurídicas que se encuentren en uno o más Estados miembros utilizar sus servicios, establecer si existe una conexión sustancial con la Unión. Debe considerarse que existe tal conexión sustancial con la Unión cuando el prestador de servicios tenga un establecimiento en la Unión. A falta de tal establecimiento, el criterio de la conexión sustancial debe basarse en criterios fácticos específicos como la existencia de un número significativo de usuarios en uno o más Estados miembros, o la orientación de las actividades hacia uno o más Estados miembros. La orientación de las actividades hacia uno o más Estados miembros ha de determinarse en función de todas las circunstancias pertinentes, incluidos factores como el uso de una lengua o una moneda utilizada generalmente en ese Estado miembro, o la posibilidad de encargar productos o servicios.

La orientación de las actividades hacia un Estado miembro también puede derivarse de la disponibilidad de una aplicación para móvil en la tienda de aplicaciones nacional correspondiente, de la existencia de publicidad local o publicidad en la lengua comúnmente utilizada en dicho Estado miembro, o de una gestión de las relaciones con los clientes que incluya, por ejemplo, la prestación de servicios a los clientes en la lengua comúnmente utilizada en ese Estado miembro. También debe considerarse que existe una conexión sustancial cuando un prestador de servicios dirige su actividad hacia uno o varios Estados miembros con arreglo a los establecido en el Reglamento (UE) nº 1215/2012 del Parlamento Europeo y del Consejo (8). Por otro lado, la prestación de un servicio con el fin de un mero cumplimiento de la prohibición de discriminación establecida en el Reglamento (UE) 2018/302 del Parlamento Europeo y del Consejo (9) no debe, sin motivos adicionales, considerarse que dirige u orienta las actividades hacia un territorio determinado de la Unión. Las mismas consideraciones deben aplicarse a la hora de determinar si un prestador de servicios ofrece sus servicios en el territorio de un Estado miembro.

(12) En la cooperación entre los Estados miembros, al recabar pruebas en procesos penales, se aplican instrumentos distintos que entran en el ámbito de aplicación del título V, capítulo 4, del Tratado de Funcionamiento de la Unión Europea. Como consecuencia de la geometría variable que existe en el espacio de libertad, seguridad y justicia de la Unión, es preciso asegurar que la presente Directiva no facilite la creación de nuevas disparidades u obstáculos a la prestación de servicios en el mercado interior al permitir que los prestadores de servicios que ofrecen servicios en el territorio de los Estados miembros designen establecimientos o representantes legales en los Estados miembros que no participan en los instrumentos jurídicos pertinentes. Por tanto, debe designarse al menos un establecimiento designado o un representante legal en un Estado miembro que participe en los instrumentos jurídicos pertinentes de la Unión, para evitar el riesgo de que se debilite la efectividad de la designación a que se refiere la presente Directiva y para hacer uso de las sinergias de contar con un establecimiento designado o un representante legal para la recepción, el cumplimiento y la ejecución de las resoluciones y órdenes comprendidas en el ámbito de aplicación de la presente Directiva, también en virtud del Reglamento (UE) 2023/1543, la Directiva 2014/41/UE y el Convenio celebrado por el Consejo de conformidad con el artículo 34 del Tratado de la Unión Europea, relativo a la asistencia judicial en materia penal entre los Estados miembros de la Unión. Además, la designación de un establecimiento designado o de un representante legal, que puede servir también para garantizar el cumplimiento de las obligaciones jurídicas nacionales, permitiría beneficiarse de las sinergias de contar con un punto de acceso claro para dirigirse a los prestadores de servicios a efectos de recabar pruebas en procesos penales.

(13) Los prestadores de servicios deben poder tener la libertad de elegir en qué Estado miembro designan a su establecimiento designado o, en su caso, a su representante legal, y los Estados miembros no deben poder limitar tal libertad de elección, por ejemplo, imponiendo la obligación de designar el establecimiento designado o al representante legal en su territorio. No obstante, la presente Directiva debe establecer también determinadas restricciones con respecto a esa libertad de elección de los prestadores de servicios, en particular en lo que se refiere al hecho de que el establecimiento designado deba estar establecido, o en su caso, el representante legal deba residir, en un Estado miembro donde el prestador preste servicios o esté establecido, así como establecer una obligación de designar un establecimiento designado o un representante legal en uno de los Estados miembros que participen en un instrumento jurídico mencionado en la presente Directiva. No debe considerarse que la mera designación de un representante legal constituya un establecimiento del prestador de servicios.

(14) Los prestadores de servicios más importantes a efectos de obtener pruebas en procesos penales son los proveedores de servicios de comunicaciones electrónicas y los prestadores de servicios de la sociedad de la información específicos que facilitan la interacción entre usuarios. Así pues, la presente Directiva debe aplicarse a ambos grupos. Los servicios de comunicaciones electrónicas se definen en la Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo (10) e incluyen servicios de comunicaciones interpersonales tales como los servicios de voz sobre IP, servicios de mensajería instantánea y servicios de correo electrónico. La presente Directiva debe aplicarse también a prestadores de servicios de la sociedad de la información en el sentido de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (11) que no puedan calificarse como proveedores de servicios de comunicaciones electrónicas, pero que ofrezcan a sus usuarios la capacidad de comunicarse entre sí o les ofrezcan servicios que puedan utilizar para almacenar o tratar datos de otro modo en su nombre. Ello estaría en consonancia con el Convenio del Consejo de Europa sobre la Ciberdelincuencia (STE nº 185), hecho en Budapest el 23 de noviembre de 2001, también denominado Convenio de Budapest. El tratamiento de datos debe entenderse en un sentido técnico, como creación o manipulación de datos, es decir, operaciones técnicas destinadas a producir o modificar datos mediante la capacidad de procesamiento de un ordenador.

Las categorías de prestadores de servicios a los que se aplica la presente Directiva han de incluir, por ejemplo, los mercados en línea que proporcionan a los consumidores y las empresas la capacidad de comunicarse entre sí y otros servicios de alojamiento de datos, también en los casos en que el servicio se presta a través de la computación en nube, así como las plataformas de juegos y de juegos de apuestas en línea. Cuando un prestador de servicios de la sociedad de la información no proporcione a sus usuarios la capacidad de comunicarse entre sí, sino únicamente con el prestador de servicios, o no proporcione la capacidad de almacenar o tratar datos de otro modo, o cuando el almacenamiento de datos no sea un componente definitorio, esto es, una parte esencial, del servicio prestado a los usuarios, como los servicios jurídicos, de arquitectura, de ingeniería y de contabilidad prestados en línea a distancia, no debe entrar dentro del alcance de la definición de «prestador de servicios» establecida en la presente Directiva, aun cuando los servicios prestados por dicho prestador de servicios sean servicios de la sociedad de la información en el sentido de la Directiva (UE) 2015/1535.

(15) Los prestadores de servicios de infraestructura de internet relacionados con la asignación de nombres y números, como los registradores y los registros de nombres de dominio y los prestadores de servicios de privacidad y representación, o los registros regionales de direcciones de protocolo de internet (direcciones IP), revisten especial importancia en lo que respecta a la identificación de quienes están detrás de las páginas web maliciosas o comprometidas. Estos prestadores disponen de datos que podrían hacer posible la identificación de una persona física o jurídica responsable de un sitio web utilizado en actividades delictivas o la identificación de la víctima de una actividad delictiva.

(16) Los Estados miembros deben velar por que los prestadores de servicios establecidos en su territorio o que ofrezcan servicios en él, doten a sus establecimientos designados y a sus representantes legales de las competencias y los recursos necesarios para cumplir las resoluciones y órdenes comprendidas en el ámbito de aplicación de la presente Directiva, recibidas de cualquier Estado miembro. Los Estados miembros deben verificar también que los establecimientos designados o los representantes legales que residan en su territorio hayan recibido de los prestadores de servicios las competencias y recursos necesarios para cumplir las resoluciones y órdenes comprendidas en el ámbito de aplicación de la presente Directiva, recibidas de cualquier Estado miembro, y que cooperen con las autoridades competentes en la recepción de dichas resoluciones y órdenes, de conformidad con el marco jurídico aplicable. La ausencia de dichas medidas o deficiencias en dichas medidas no debe servir para justificar el incumplimiento de las resoluciones u órdenes comprendidas en el ámbito de aplicación de la presente Directiva.

Además, los prestadores de servicios no deben poder justificar su incumplimiento de las obligaciones derivadas del marco jurídico aplicable cuando reciban resoluciones u órdenes comprendidas en el ámbito de aplicación de la presente Directiva por la falta de procedimientos internos, o por su ineficacia, ya que son responsables de proporcionar los recursos y competencias necesarios para garantizar el cumplimiento de dichas resoluciones y órdenes nacionales. Los establecimientos designados o los representantes legales tampoco deben poder justificar tal incumplimiento alegando, por ejemplo, que no están facultados para entregar datos. A tal fin, los Estados miembros deben velar por que tanto el establecimiento designado o el representante legal como el prestador de servicios puedan ser considerados responsables solidariamente del incumplimiento de las obligaciones derivadas del marco jurídico aplicable cuando reciban resoluciones y órdenes comprendidas en el ámbito de aplicación de la presente Directiva que tengan cabida dentro del ámbito de aplicación de la presente Directiva, con el fin de que cada uno de ellos pueda ser sancionado por el incumplimiento de cualquiera de ellos. En particular, el prestador de servicios o el establecimiento designado, o el representante legal, en su caso, no debe poder utilizar la falta de procedimientos internos adecuados entre el prestador de servicios y el establecimiento designado o el representante legal como justificación del incumplimiento de esas obligaciones. La responsabilidad solidaria no debe ser aplicable a las acciones u omisiones del prestador de servicios o del establecimiento designado, o del representante legal, en su caso, que constituyan una infracción penal en el Estado miembro que aplique las sanciones.

(17) Los Estados miembros deben velar por que cada prestador de servicios establecido o que ofrezca servicios en su territorio notifique por escrito a la autoridad central, designada con arreglo a la presente Directiva, el Estado miembro en el que esté establecido su establecimiento designado o en el que resida su representante legal, los datos de contacto de dicho establecimiento designado o representante legal y cualquier cambio al respecto. La notificación también debe proporcionar información sobre las lenguas en las que se puede dirigir al establecimiento designado o al representante legal, que deben incluir una o más de las lenguas oficiales tal como se establezca en el Derecho nacional del Estado miembro en el que el establecimiento designado esté establecido o el representante legal resida, pudiéndose incluir también otras lenguas oficiales de la Unión, como por ejemplo la lengua del Estado miembro donde se encuentre su sede. Cuando un prestador de servicios designe varios establecimientos designados o varios representantes legales de conformidad con la presente Directiva, los Estados miembros deben velar por que dicho prestador de servicios indique, para cada establecimiento designado o representante legal, el ámbito territorial exacto de su designación. Debe incluirse el territorio de todos los Estados miembros que participan en los instrumentos incluidos en el ámbito de aplicación de la presente Directiva. Los Estados miembros deben velar por que sus respectivas autoridades competentes remitan todas sus resoluciones y órdenes con arreglo a la presente Directiva al establecimiento designado o al representante legal del prestador de servicios que se indique. Los Estados miembros deben velar por que la información que se les notifique de conformidad con la presente Directiva esté a disposición del público en una página web específica de la Red Judicial Europea en materia penal, al objeto de facilitar la coordinación entre los Estados miembros y el recurso al establecimiento designado o al representante legal por las autoridades de otro Estado miembro. Los Estados miembros deben velar por que dicha información se actualice periódicamente. También debe ser posible seguir difundiendo dicha información para facilitar el acceso a ella por parte de las autoridades competentes, por ejemplo a través de sitios intranet o foros y plataformas específicos.

(18) Los Estados miembros deben establecer el régimen de sanciones aplicables a cualquier infracción de las disposiciones nacionales adoptadas al amparo de la presente Directiva y adoptar todas las medidas necesarias para garantizar su ejecución. Tales sanciones deben ser efectivas, proporcionadas y disuasorias. Los Estados miembros deben comunicar a la Comisión el régimen establecido y las medidas adoptadas, a más tardar en la fecha fijada en la presente Directiva, y le deben notificar sin demora toda modificación posterior. Los Estados miembros deben informar asimismo a la Comisión con una periodicidad anual acerca de los prestadores de servicios que incurran en incumplimiento, de las medidas de ejecución adoptadas al respecto y de las sanciones impuestas. En ningún caso las sanciones deben dar lugar a una prohibición, permanente o temporal, de la prestación de servicios. Los Estados miembros deben coordinar sus medidas de ejecución cuando un prestador ofrezca servicios en varios Estados miembros. Las autoridades centrales deben coordinarse para garantizar un planteamiento coherente y proporcionado. La Comisión debe facilitar dicha coordinación en caso necesario y debe ser informada, en toda circunstancia, de los casos de infracción. La presente Directiva no regula las disposiciones contractuales para la transferencia o traslado de las consecuencias financieras, entre prestadores de servicios, establecimientos designados y representantes legales, de las sanciones que se les impongan.

(19) Al determinar las sanciones correspondientes aplicables a las infracciones de los prestadores de servicios, las autoridades competentes deben tener en cuenta todas las circunstancias pertinentes, como por ejemplo la capacidad financiera del prestador de servicios, la naturaleza, la gravedad y la duración de la infracción, si se ha cometido intencionadamente o por negligencia y si el prestador de servicios ha sido considerado responsable de infracciones similares previas. A este respecto, debe prestarse especial atención a las microempresas.

(20) La presente Directiva se entiende sin perjuicio de las competencias de las autoridades nacionales en procedimientos administrativos o civiles, también cuando dichos procedimientos puedan dar lugar a sanciones.

(21) Con el fin de garantizar que la presente Directiva se aplica de una manera coherente, deben establecerse mecanismos adicionales de coordinación entre Estados miembros. A tal fin, los Estados miembros deben designar una o más autoridades centrales que puedan facilitar a las autoridades centrales de los demás Estados miembros información y asistencia en la aplicación de la presente Directiva, en particular cuando se trate de medidas de ejecución en virtud de la presente Directiva. Ese mecanismo de coordinación debe garantizar que se informe a los Estados miembros interesados de la intención de un Estado miembro de llevar a cabo una medida de ejecución. Además, los Estados miembros deben garantizar que las autoridades centrales puedan facilitarse cualquier información pertinente y asistencia en estas circunstancias, y cooperen entre ellas cuando proceda. La cooperación entre autoridades centrales en el caso de una medida de ejecución podría implicar la coordinación de una medida de ejecución entre las autoridades competentes de distintos Estados miembros. Esa cooperación debe tener por objeto evitar conflictos de competencia positivos o negativos. Para la coordinación de una medida de ejecución, las autoridades centrales deben recurrir también a la participación de la Comisión cuando proceda. La obligación de esas autoridades de cooperar se debe entender sin perjuicio del derecho de cada Estado miembro a imponer sanciones a los prestadores de servicios que incumplan sus obligaciones conforme a la presente Directiva. La designación y publicación de información sobre las autoridades centrales facilitaría la notificación por parte de los prestadores de servicios de la designación y los datos de contacto de su establecimiento designado o de su representante legal al Estado miembro en el que su establecimiento designado esté establecido o su representante legal resida. A tal fin, los Estados miembros deben informar a la Comisión de su autoridad o autoridades centrales designadas, y la Comisión debe remitir una lista de autoridades centrales designadas a los Estados miembros y publicarla.

(22) Dado que el objetivo de la presente Directiva, a saber, eliminar los obstáculos a la libre prestación de servicios a efectos de recabar pruebas electrónicas en procesos penales, no puede ser alcanzado de manera suficiente por los Estados miembros, sino que, debido a la naturaleza sin fronteras de tales servicios, puede lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, la presente Directiva no excede de lo necesario para alcanzar dicho objetivo.

(23) El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (12), emitió su dictamen el 6 de noviembre de 2019 (13).

(24) La Comisión debe realizar una evaluación de la presente Directiva basada en los cinco criterios de eficiencia, eficacia, pertinencia, coherencia y valor añadido de la Unión, y esa evaluación debe servir de base para las evaluaciones de impacto de posibles nuevas medidas. La evaluación debe quedar finalizada a más tardar el 18 de agosto de 2029, a fin de permitir recabar datos suficientes sobre su aplicación práctica. La información debe recabarse periódicamente y con el fin de contribuir a la evaluación de la presente Directiva.

HAN ADOPTADO LA PRESENTE DIRECTIVA:

Artículo 1. Objeto y ámbito de aplicación

1.   La presente Directiva establece las normas relativas a la designación de establecimientos designados y de representantes legales de determinados prestadores de servicios que ofrezcan servicios en la Unión para la recepción, el cumplimiento y la ejecución de las resoluciones y órdenes emitidas por las autoridades competentes de los Estados miembros a efectos de recabar pruebas electrónicas en procesos penales.

2.   La presente Directiva se aplica a las resoluciones y órdenes a efectos de recabar pruebas electrónicas sobre la base del Reglamento (UE) 2023/1543, la Directiva 2014/41/UE y el Convenio celebrado por el Consejo, de conformidad con el artículo 34 del Tratado de la Unión Europea, relativo a la asistencia judicial en materia penal entre los Estados miembros de la Unión. La presente Directiva se aplica asimismo a las resoluciones y órdenes a efectos de recabar pruebas electrónicas sobre la base del Derecho nacional dirigidas por un Estado miembro a una persona física o jurídica que actúe como representante legal o como establecimiento designado de un prestador de servicios en el territorio de dicho Estado miembro.

3.   La presente Directiva se entiende sin perjuicio de las competencias atribuidas por el Derecho nacional y el Derecho de la Unión a las autoridades competentes para dirigirse a los prestadores de servicios establecidos en su territorio directamente, a efectos de recabar pruebas electrónicas en procesos penales.

4.   Los Estados miembros no impondrán a los prestadores de servicios obligaciones adicionales a las derivadas de la presente Directiva, en particular en lo que se refiere a la designación de establecimientos designados o de representantes legales, para los fines a que se refiere el apartado 1.

5.   La presente Directiva se aplica a los prestadores de servicios tal como se definen en el artículo 2, punto 1, que ofrezcan sus servicios en la Unión. No se aplica a los prestadores de servicios establecidos en el territorio de un único Estado miembro que ofrezcan servicios exclusivamente en el territorio de dicho Estado miembro.

Artículo 2. Definiciones

A los efectos de la presente Directiva, se entenderá por:

1) «prestador de servicios»: toda persona física o jurídica que presta uno o más de los tipos de servicios siguientes, con excepción de los servicios financieros a que se refiere el artículo 2, apartado 2, letra b), de la Directiva 2006/123/CE del Parlamento Europeo y del Consejo (14):

a) servicios de comunicaciones electrónicas, tal como se definen en el artículo 2, punto 4, de la Directiva (UE) 2018/1972;

b) servicios de nombre de dominio de internet y de direcciones IP, tales como asignación de direcciones IP, registro de nombres de dominio, registrador de nombres de dominio y servicios de privacidad y representación relacionados con nombres de dominio;

c) otros servicios de la sociedad de la información a que se refiere el artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535, que:

i) permitan a sus usuarios comunicarse entre sí, o

ii) hagan posible el tratamiento o el almacenamiento de datos en nombre de los usuarios a los que se presta el servicio, cuando el almacenamiento de datos sea un componente esencial del servicio prestado al usuario;

2) «ofrecer servicios en el territorio de un Estado miembro»:

a) permitir que personas físicas o jurídicas en un Estado miembro utilicen los servicios enumerados en el punto 1, y

b) tener una conexión sustancial basada en criterios fácticos específicos con el Estado miembro a que se refiere la letra a); debe considerarse que existe tal conexión sustancial cuando el prestador de servicios disponga de un establecimiento en dicho Estado miembro o, a falta de tal establecimiento, cuando exista un número significativo de usuarios en dicho Estado miembro, o se orienten actividades hacia dicho Estado miembro;

3) «ofrecer servicios en la Unión»:

a) permitir que personas físicas o jurídicas en un Estado miembro utilicen los servicios enumerados en el punto 1, y

b) tener una conexión sustancial basada en criterios fácticos específicos con el Estado miembro a que se refiere la letra a); debe considerarse que existe tal conexión sustancial cuando el prestador de servicios disponga de un establecimiento en un Estado miembro o, a falta de tal establecimiento, cuando exista un número significativo de usuarios en uno o más Estados miembros, o se orienten actividades hacia uno o más Estados miembros;

4) «establecimiento»: una entidad que ejerce efectivamente una actividad económica por tiempo indefinido a través de una infraestructura estable a partir de la cual se lleva a cabo el negocio de prestar servicios o se gestiona el negocio;

5) «establecimiento designado»: un establecimiento con personalidad jurídica designado por escrito por un prestador de servicios establecido en un Estado miembro que participe en un instrumento jurídico contemplado en el artículo 1, apartado 2, a los efectos contemplados en el artículo 1, apartado 1, y en el artículo 3, apartado 1;

6) «representante legal»: una persona física o jurídica designada por escrito por un prestador de servicios no establecido en un Estado miembro que participe en un instrumento jurídico contemplado en el artículo 1, apartado 2, a los efectos contemplados en el artículo 1, apartado 1, y en el artículo 3, apartado 1.

Artículo 3. Establecimientos designados y representantes legales

1.   Los Estados miembros velarán por que los prestadores de servicios que ofrezcan servicios en la Unión designen al menos un destinatario para la recepción, el cumplimiento y la ejecución de las resoluciones y órdenes que entren en el ámbito de aplicación establecido en el artículo 1, apartado 2 (en lo sucesivo, «resoluciones y órdenes comprendidas en el ámbito de aplicación establecido en el artículo 1, apartado 2»), emitidas por las autoridades competentes de los Estados miembros a efectos de recabar pruebas en procesos penales, como sigue:

a) en el caso de los prestadores de servicios establecidos en la Unión con personalidad jurídica, los Estados miembros en los que estén establecidos velarán por que dichos prestadores de servicios designen el establecimiento designado o los establecimientos designados responsables de las actividades descritas en la parte introductoria del presente apartado;

b) en el caso de los prestadores de servicios que no estén establecidos en la Unión, con personalidad jurídica, los Estados miembros velarán por que tales prestadores de servicios que ofrezcan servicios en su territorio designen el representante o representantes legales responsables de las actividades descritas en la parte introductoria del presente apartado en los Estados miembros que participen en los instrumentos a que se refiere el artículo 1, apartado 2;

c) en el caso de los prestadores de servicios establecidos en Estados miembros que no participen en los instrumentos a que se refiere el artículo 1, apartado 2, los Estados miembros velarán por que dichos prestadores de servicios que ofrezcan servicios en su territorio designen el representante o representantes legales responsables de las actividades descritas en la parte introductoria del presente apartado en los Estados miembros que participen en dichos instrumentos.

2.   Los Estados miembros velarán por que los destinatarios a que se refiere el apartado 1:

a) estén establecidos o residan en un Estado miembro en el que los prestadores de servicios ofrezcan sus servicios, y

b) puedan ser objeto de procedimientos de ejecución.

3.   Los Estados miembros velarán por que las resoluciones y órdenes comprendidas en el ámbito de aplicación establecido en el artículo 1, apartado 2, se dirijan al establecimiento designado o al representante legal designado a tal efecto de conformidad con el apartado 1.

4.   Los Estados miembros velarán por que los prestadores de servicios establecidos en su territorio o que ofrezcan servicios en él, doten a sus establecimientos designados y a sus representantes legales de las competencias y los recursos necesarios para cumplir las resoluciones y órdenes comprendidas en el ámbito de aplicación establecido en el artículo 1, apartado 2, recibidas de un Estado miembro. Los Estados miembros verificarán también que los establecimientos designados establecidos en su territorio o los representantes legales que residan en él hayan recibido de los prestadores de servicios las competencias y recursos necesarios para cumplir dichas resoluciones y órdenes recibidas de un Estado miembro y que cooperen con las autoridades competentes en la recepción de dichas resoluciones y órdenes, de conformidad con el marco jurídico aplicable.

5.   Los Estados miembros velarán por que tanto el establecimiento designado o el representante legal como el prestador de servicios puedan ser considerados responsables solidariamente del incumplimiento de las obligaciones derivadas del marco jurídico aplicable cuando reciban las resoluciones y órdenes comprendidas en el ámbito de aplicación establecido en el artículo 1, apartado 2, con el fin de que cada uno de ellos pueda ser sancionado por el incumplimiento de cualquiera de ellas. En particular, los Estados miembros velarán por que el prestador de servicios o el establecimiento designado, o el representante legal, en su caso, no pueda utilizar la falta de procedimientos internos adecuados entre el prestador de servicios y el establecimiento designado o el representante legal como justificación del incumplimiento de esas obligaciones. La responsabilidad solidaria no será aplicable a las acciones u omisiones del prestador de servicios, del establecimiento designado o del representante legal, en su caso, que constituyan una infracción penal en el Estado miembro que aplique las sanciones.

6.   Los Estados miembros velarán por que los prestadores que ofrezcan servicios en la Unión a 18 de febrero de 2026 tengan la obligación de designar establecimientos designados o representantes legales a más tardar el 18 de agosto de 2026 y los prestadores de servicios que empiecen a ofrecer servicios en la Unión después del18 de febrero de 2026 tengan la obligación de designar establecimientos designados o representantes legales en el plazo de seis meses a partir de la fecha en que comiencen a ofrecer servicios en la Unión.

Artículo 4. Notificaciones y lenguas

1.   Los Estados miembros velarán por que cada prestador de servicios establecido en su territorio o que ofrezca servicios en él notifique por escrito a la autoridad central, designada con arreglo al artículo 6, del Estado miembro en el que su establecimiento designado esté establecido o su representante legal resida, los datos de contacto de dicho establecimiento o representante legal y cualquier cambio al respecto.

2.   En la notificación a que se refiere el apartado 1 se indicarán la lengua o lenguas oficiales de la Unión, según lo dispuesto en el Reglamento nº 1 del Consejo (15), que pueden utilizarse para dirigirse al representante legal o al establecimiento designado. Esas lenguas incluirán una o más lenguas oficiales tal como se establezca en el Derecho nacional del Estado miembro en el que esté establecido el establecimiento designado o resida el representante legal.

3.   Cuando un prestador de servicios designe varios establecimientos designados o varios representantes legales de conformidad con el artículo 3, apartado 1, los Estados miembros velarán por que dicho prestador de servicios especifique, en la notificación a que se refiere el apartado 1 del presente artículo, el ámbito territorial exacto de la designación de dichos establecimientos designados o representantes legales. La notificación especificará la lengua o lenguas oficiales de la Unión o de los Estados miembros que pueden utilizarse para dirigirse a los establecimientos designados o al representante legal.

4.   Los Estados miembros velarán por que la información que se les notifique de conformidad con el presente artículo se publique en una página web específica de la Red Judicial Europea en materia penal. Los Estados miembros velarán por que esa información se actualice periódicamente. Esa información podrá difundirse para facilitar el acceso de las autoridades competentes.

Artículo 5. Sanciones

Los Estados miembros establecerán el régimen de sanciones aplicables a cualquier infracción de las disposiciones nacionales adoptadas al amparo de los artículos 3 y 4 y adoptarán todas las medidas necesarias para garantizar su ejecución. Tales sanciones serán efectivas, proporcionadas y disuasorias. Los Estados miembros comunicarán a la Comisión el régimen establecido y las medidas adoptadas, a más tardar el 18 de febrero de 2026, y le notificarán sin demora toda modificación posterior. Los Estados miembros informarán asimismo a la Comisión con una periodicidad anual acerca de los prestadores de servicios que incurran en incumplimiento, de las medidas de ejecución adoptadas al respecto y de las sanciones impuestas.

Artículo 6. Autoridades centrales

1.   De conformidad con sus ordenamientos jurídicos, los Estados miembros designarán una o varias autoridades centrales para garantizar la aplicación de la presente Directiva de manera coherente y proporcionada.

2.   Los Estados miembros comunicarán a la Comisión la autoridad o autoridades centrales que designan con arreglo al apartado 1. La Comisión enviará a los Estados miembros una lista de las autoridades centrales designadas y la publicará.

3.   Los Estados miembros velarán por que sus autoridades centrales se coordinen y cooperen entre sí y, cuando proceda, con la Comisión, y por que las autoridades centrales se faciliten mutuamente toda la información y asistencia adecuadas para la aplicación de la presente Directiva de forma coherente y proporcionada. Tales coordinación, cooperación y suministro de información y asistencia comprenderán, en particular, las medidas de ejecución.

Artículo 7. Transposición

1.   Los Estados miembros pondrán en vigor a más tardar el 18 de febrero de 2026 las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva. Comunicarán inmediatamente a la Comisión el texto de dichas disposiciones.

2.   Cuando los Estados miembros adopten dichas disposiciones, estas incluirán una referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.

3.   Los Estados miembros comunicarán a la Comisión el texto de las disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.

Artículo 8. Evaluación

A más tardar el 18 de agosto de 2029, la Comisión evaluará la presente Directiva. La Comisión transmitirá el informe de evaluación al Parlamento Europeo y al Consejo. La evaluación se efectuará de conformidad con las directrices de la Comisión para la mejora de la legislación. Los Estados miembros facilitarán a la Comisión la información necesaria para la preparación del informe.

Artículo 9. Entrada en vigor

La presente Directiva entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Artículo 10. Destinatarios

Los destinatarios de la presente Directiva son los Estados miembros de conformidad con los Tratados.

Hecho en Estrasburgo, el 12 de julio de 2023.

Por el Parlamento Europeo, La Presidenta, R. METSOLA

Por el Consejo, El Presidente, P. NAVARRO RÍOS

 ———————————–

(1)  DO C 367 de 10.10.2018, p. 88.

(2)  Posición del Parlamento Europeo de 13 de junio de 2023 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 27 de junio de 2023.

(3)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(4)  Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(5)  Reglamento (UE) 2023/1543 del Parlamento Europeo y del Consejo, de 12 de julio de 2023, sobre las órdenes europeas de producción y las órdenes europeas de conservación a efectos de prueba electrónica en procesos penales y de ejecución de penas privativas de libertad a raíz de procesos penales (véase la página 118 del presente Diario Oficial).

(6)  Directiva 2014/41/UE del Parlamento Europeo y del Consejo, de 3 de abril de 2014, relativa a la orden europea de investigación en materia penal (DO L 130 de 1.5.2014, p. 1).

(7)  Convenio celebrado por el Consejo, de conformidad con el artículo 34 del Tratado de la Unión Europea, relativo a la asistencia judicial en materia penal entre los Estados miembros de la Unión Europea (DO C 197 de 12.7.2000, p. 3) y su Protocolo (DO C 326 de 21.11.2001, p. 2).

(8)  Reglamento (UE) nº 1215/2012 del Parlamento Europeo y del Consejo, de 12 de diciembre de 2012, relativo a la competencia judicial, el reconocimiento y la ejecución de resoluciones judiciales en materia civil y mercantil (DO L 351 de 20.12.2012, p. 1).

(9)  Reglamento (UE) 2018/302 del Parlamento Europeo y del Consejo, de 28 de febrero de 2018, sobre medidas destinadas a impedir el bloqueo geográfico injustificado y otras formas de discriminación por razón de la nacionalidad, del lugar de residencia o del lugar de establecimiento de los clientes en el mercado interior y por el que se modifican los Reglamentos (CE) nº 2006/2004 y (UE) 2017/2394 y la Directiva 2009/22/CE (DO L 60 I de 2.3.2018, p. 1).

(10)  Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, por la que se establece el Código Europeo de las Comunicaciones Electrónicas (DO L 321 de 17.12.2018, p. 36).

(11)  Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información (DO L 241 de 17.9.2015, p. 1).

(12)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) nº 45/2001 y la Decisión nº 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(13)  DO C 32 de 31.1.2020, p. 11.

(14)  Directiva 2006/123/CE del Parlamento Europeo y del Consejo, de 12 de diciembre de 2006, relativa a los servicios en el mercado interior (DO L 376 de 27.12.2006, p. 36).

(15)  Reglamento nº 1 del Consejo por el que se fija el régimen lingüístico de la Comunidad Económica Europea (DO 17 de 6.10.1958, p. 385).

22Ene/24

COM(2022) 496 final. de 28 de septiembre de 2022

COM(2022) 496 final. de 28 de septiembre de 2022. Propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la adaptación de las normas de responsabilidad civil extra contractual a la Inteligencia Artificial (Directiva sobre responsabilidad en materia de IA)

Bruselas, 28.9.2022

COM(2022) 496 final 2022/0303(COD)

EXPOSICIÓN DE MOTIVOS

1. CONTEXTO DE LA PROPUESTA

* Razones y objetivos de la propuesta

La presente exposición de motivos acompaña a la propuesta de Directiva relativa a la adaptación de las normas de responsabilidad civil extracontractual a la inteligencia artificial (IA). En una encuesta representativa realizada en 2020 (1) , la cuestión de la responsabilidad civil figuraba entre los tres principales obstáculos a la utilización de la IA por parte de las empresas europeas. Se citó como el obstáculo externo más importante (43 %) en el caso de las empresas que tienen previsto recurrir a la IA, pero que aún no lo han hecho.

En sus orientaciones políticas, la presidenta de la Comisión, Ursula von der Leyen, estableció un enfoque europeo coordinado en materia de IA (2). En su Libro Blanco sobre la IA, de 19 de febrero de 2020 (3), la Comisión se comprometió a promover la adopción de la IA y a abordar los riesgos asociados a algunos de sus usos fomentando la excelencia y la confianza. En el Informe sobre responsabilidad en materia de IA (4) que acompaña al Libro Blanco, la Comisión señaló los retos específicos que plantea la IA con respecto a las normas vigentes en materia de responsabilidad. En sus Conclusiones sobre la configuración del futuro digital de Europa, de 9 de junio de 2020, el Consejo acogió con satisfacción la consulta sobre las propuestas políticas del Libro Blanco sobre la IA y pidió a la Comisión que presentase propuestas concretas. El 20 de octubre de 2020, el Parlamento Europeo adoptó una resolución legislativa de propia iniciativa en virtud del artículo 225 del TFUE en la que pedía a la Comisión que adoptase una propuesta relativa a un régimen de responsabilidad civil para la IA basado en el artículo 114 del Tratado de Funcionamiento de la Unión Europea (TFUE) (5) .

Las normas nacionales en vigor en materia de responsabilidad civil, particularmente las que se basan en la culpa, no son adecuadas para tramitar las denuncias de responsabilidad civil por daños causados por productos y servicios en los que se recurre a la IA. Con arreglo a dichas normas, las víctimas deben demostrar que ha habido una acción u omisión ilícita por parte de una persona que ha causado el daño. Las características específicas de la IA, incluidas su complejidad, su autonomía y su opacidad (el denominado efecto de «caja negra»), pueden dificultar o hacer excesivamente costoso para las víctimas determinar cuál es la persona responsable y probar que se cumplen los requisitos para una demanda de responsabilidad civil admisible. En particular, al reclamar una indemnización, las víctimas podrían tener que soportar unos costes iniciales muy elevados y enfrentarse a procedimientos judiciales mucho más largos, en comparación con los casos sin relación alguna con la inteligencia artificial. Por lo tanto, las víctimas pueden verse disuadidas de intentar siquiera obtener una indemnización. Estas preocupaciones también han sido señaladas por el Parlamento Europeo en su resolución de 3 de mayo de 2022 sobre la inteligencia artificial en la era digital.  (6)

Si una víctima presenta una demanda, los órganos jurisdiccionales nacionales, al verse confrontados con las características específicas de la IA, pueden adaptar el modo en que aplican las normas en vigor de forma ad hoc con el fin de llegar a un resultado justo para la víctima. Esto generará inseguridad jurídica. Las empresas tendrán dificultades para predecir cómo se aplicarán las normas de responsabilidad civil vigentes y, por tanto, para evaluar y asegurar su exposición a dicha responsabilidad. Este problema se verá agravado en el caso de las empresas que practiquen el comercio transfronterizo, ya que la incertidumbre abarcará diferentes jurisdicciones. Afectará especialmente a las pymes, que no pueden recurrir a los conocimientos de servicios jurídicos propios ni cuentan con reservas de capital.

Las estrategias nacionales de IA ponen de manifiesto que varios Estados miembros están estudiando, o incluso planificando de manera concreta, medidas legislativas sobre la responsabilidad civil en los casos en que medie IA. Por lo tanto, se espera que, si la UE no actúa, los Estados miembros adapten sus normas nacionales de responsabilidad civil a los retos que plantea la IA. Esto dará lugar a una mayor fragmentación y a un aumento de los costes para las empresas que operan en la UE.

La consulta pública abierta que sirvió de base para la evaluación de impacto de la presente propuesta confirmó la existencia los problemas explicados. En opinión del público, el efecto de «caja negra» puede dificultar a la víctima la prueba de la culpa y de la causalidad, y puede generarse incertidumbre sobre la manera en que los tribunales interpretarán y aplicarán las normas nacionales de responsabilidad civil en vigor en aquellos casos en que medie IA. Además, se puso de manifiesto una preocupación por parte del público en cuanto a la manera en que la acción legislativa para la adaptación de las normas de responsabilidad civil iniciada por los distintos Estados miembros y la consiguiente fragmentación afectarían a los costes de las empresas, especialmente a los de las pymes, impidiendo así la adopción de la IA en toda la Unión.

Así pues, el objetivo de la presente propuesta es promover la introducción generalizada de una IA fiable a fin de aprovechar plenamente sus beneficios para el mercado interior. Lo hace garantizando que las víctimas de daños causados por la IA obtengan una protección equivalente a la de las víctimas de daños causados por los demás productos. También reduce la inseguridad jurídica de las empresas que desarrollan o utilizan la IA en relación con su posible exposición a responsabilidad civil y evita la aparición de adaptaciones a la IA específicas fragmentadas de las normas nacionales en materia de responsabilidad civil.

* Coherencia con las disposiciones existentes en la misma política sectorial

La presente propuesta forma parte de un paquete de medidas para apoyar la adopción de la IA en Europa mediante el fomento de la excelencia y la confianza. Este paquete consta de tres líneas de trabajo complementarias:

–una propuesta legislativa por la que se establecen normas horizontales sobre los sistemas de inteligencia artificial (Ley de IA) (7) ;

–una revisión de las normas sectoriales y horizontales en materia de seguridad de los productos;

–normas de la UE para abordar las cuestiones de responsabilidad civil relacionadas con los sistemas de IA.

En la propuesta de Ley de IA, la Comisión ha propuesto normas destinadas a reducir los riesgos para la seguridad y proteger los derechos fundamentales. La seguridad y la responsabilidad son las dos caras de la misma moneda: intervienen en momentos diferentes y se refuerzan mutuamente. Si bien las normas para garantizar la seguridad y proteger los derechos fundamentales reducirán los riesgos, no los eliminan por completo (8) . En caso de que se materialice tal riesgo, sigue existiendo la posibilidad de que se produzcan daños. En tales casos, se aplicarán las normas sobre responsabilidad civil de la presente propuesta.

Unas normas eficaces en materia de responsabilidad también ofrecen un incentivo económico para cumplir las normas de seguridad y, por lo tanto, contribuyen a evitar que se produzcan daños (9) . Además, la presente propuesta contribuye al cumplimiento de los requisitos para sistemas de IA de alto riesgo impuestos por la Ley de IA, ya que el incumplimiento de dichos requisitos constituye un elemento importante de los que dan lugar al aligeramiento de la carga de la prueba. La presente propuesta también es coherente con las normas generales (10) y sectoriales propuestas en materia de seguridad de los productos aplicables a las máquinas y a sus partes y accesorios (11) y a los equipos radioeléctricos (12) que emplean IA.

La Comisión adopta un enfoque holístico en su política de responsabilidad en materia de IA, proponiendo adaptaciones de la responsabilidad del productor por productos defectuosos en virtud de la Directiva sobre responsabilidad por los daños causados por productos defectuosos, y la armonización específica en el marco de la presente propuesta. Estas dos iniciativas políticas están estrechamente vinculadas y forman un paquete, ya que las demandas que entran en sus ámbitos de aplicación se refieren a diferentes tipos de responsabilidad. La Directiva sobre responsabilidad por los daños causados por productos defectuosos cubre la responsabilidad objetiva del productor por productos defectuosos, lo que da lugar a una indemnización por determinados tipos de daños, principalmente sufridos por particulares. La presente propuesta cubre las demandas nacionales de responsabilidad fundamentadas principalmente en la culpa de cualquier persona con el fin de indemnizar por cualquier tipo de daño y a cualquier tipo de víctima. Se complementan entre sí para formar un sistema general de responsabilidad civil eficaz.

Juntas, estas normas promoverán la confianza en la IA (y otras tecnologías digitales) garantizando que las víctimas reciban una indemnización efectiva si, a pesar de los requisitos preventivos de la Ley de IA y otras normas de seguridad, se producen daños.

*Coherencia con otras políticas de la Unión

La propuesta es coherente con la estrategia digital general de la Unión, ya que contribuye a promover una tecnología al servicio de las personas, uno de los tres pilares principales de las orientaciones políticas y los objetivos anunciados en la Comunicación titulada «Configurar el futuro digital de Europa» (13).

En este contexto, la presente propuesta pretende generar confianza en la IA y promover su adopción. Esto generará sinergias y es complementario con la [Ley de ciberresiliencia] (14), que también tiene por objeto fortalecer la confianza en los productos con elementos digitales reduciendo las vulnerabilidades cibernéticas y proteger mejor a las empresas y a los usuarios consumidores.

La presente propuesta no afecta a las normas establecidas por la [Ley de Servicios Digitales], que establecen un marco integral y plenamente armonizado para las obligaciones de diligencia debida para la toma de decisiones algorítmica por parte de las plataformas en línea, incluida su exención de responsabilidad para los prestadores de servicios intermediarios.

Además, al promover la adopción de la IA, la presente propuesta está vinculada a las iniciativas de la Estrategia de Datos de la UE (15) . También refuerza el papel de la Unión para ayudar a configurar las normas y estándares mundiales y promover una IA fiable que sea coherente con los valores e intereses de la Unión.

La propuesta también tiene vínculos indirectos con el «Pacto Verde Europeo» (16). En particular, las tecnologías digitales, incluida la IA, son un factor fundamental para alcanzar los objetivos de sostenibilidad del Pacto Verde en muchos sectores diferentes (como la asistencia sanitaria, el transporte, el medio ambiente y la agricultura).

* Principales consecuencias económicas, sociales y ambientales

La Directiva contribuirá a la introducción generalizada de la IA. Las condiciones para la introducción generalizada y el desarrollo de tecnologías de IA en el mercado interior pueden mejorarse significativamente evitando la fragmentación y aumentando la seguridad jurídica a través de medidas armonizadas a escala de la UE, en contraposición con las posibles adaptaciones de las normas de responsabilidad a nivel nacional. El estudio económico (17) en que se basa la evaluación de impacto de la presente propuesta concluyó —como estimación conservadora— que las medidas de armonización específicas de la responsabilidad civil por IA tendrían un impacto positivo del 5 al 7 % en el valor de producción del comercio transfronterizo pertinente en comparación con la hipótesis de referencia. Este valor añadido se generaría, en particular, gracias a la reducción de la fragmentación y a una mayor seguridad jurídica con respecto a la exposición de las partes interesadas a la responsabilidad civil. Esto reduciría los costes de información y representación jurídicas de las partes interesadas, así como los costes de gestión interna de riesgos y los costes de cumplimiento, facilitaría la planificación financiera y las estimaciones de riesgos a efectos de aseguramiento, y permitiría a las empresas —en particular a las pymes— explorar nuevos mercados más allá de sus fronteras. Sobre la base del valor global del mercado de la IA en la UE afectado por los problemas relacionados con la responsabilidad civil que aborda la presente Directiva, se estima que esta última generará un valor de mercado adicional de entre 500 y 1 100 millones EUR.

En términos de impacto social, la Directiva aumentará la confianza de la sociedad en las tecnologías de IA y promoverá el acceso a un sistema judicial eficaz. Contribuirá a un régimen de responsabilidad civil eficiente, adaptado a las especificidades de la IA, en el que las demandas fundamentadas de indemnización por daños y perjuicios sean estimadas. El aumento de la confianza social también beneficiaría a todas las empresas de la cadena de valor de la IA, ya que el aumento de la confianza de los ciudadanos contribuirá a una adopción más rápida de la IA. Debido al efecto incentivador de las normas sobre responsabilidad, evitar las lagunas en materia de responsabilidad también beneficiaría indirectamente a todos los ciudadanos mediante un mayor nivel de protección de la salud y la seguridad (artículo 114, apartado 3, del TFUE) y la evitación de fuentes de riesgo para la salud (artículo 168, apartado 1, del TFUE).

Por lo que se refiere a los impactos medioambientales, también se espera que la Directiva contribuya a la consecución de los Objetivos de Desarrollo Sostenible (ODS) y de las metas correspondientes. La adopción de aplicaciones de IA es beneficiosa para el medio ambiente. Por ejemplo, los sistemas de IA utilizados en la optimización de procesos reducen el despilfarro de estos (por ejemplo, reduciendo la cantidad de fertilizantes y plaguicidas necesaria, reduciendo el consumo de agua a igualdad de rendimiento, etc.). La Directiva también repercutiría positivamente en los ODS, ya que una legislación eficaz en materia de transparencia, rendición de cuentas y derechos fundamentales orientará el potencial de la IA en beneficio de las personas y de la sociedad hacia la consecución de los ODS.

2. BASE JURÍDICA, SUBSIDIARIEDAD Y PROPORCIONALIDAD

*  Base jurídica

La base jurídica de la propuesta es el artículo 114 del TFUE, que prevé la adopción de medidas para garantizar el establecimiento y el funcionamiento del mercado interior.

Los problemas que la presente propuesta pretende abordar, en particular, la inseguridad jurídica y la fragmentación jurídica, dificultan el desarrollo del mercado interior y, por lo tanto, suponen obstáculos significativos al comercio transfronterizo de productos y servicios basados en la IA.

La propuesta aborda los obstáculos derivados del hecho de que las empresas que desean producir, difundir y explotar productos y servicios basados en la IA más allá de sus fronteras no pueden saber si los regímenes de responsabilidad civil en vigor se aplican a los daños causados por la IA, ni tampoco de qué manera se aplican. Esta incertidumbre se refiere, en particular, a los Estados miembros a los que las empresas van a exportar productos y servicios, o a aquellos en los que los van a explotar. En un contexto transfronterizo, la ley aplicable a un caso de responsabilidad extracontractual derivada de un hecho dañoso es, por defecto, la del país en el que se produce el daño. Para estas empresas resulta esencial conocer los riesgos de responsabilidad civil pertinentes y poder asegurarse contra ellos.

Además, hay indicios concretos de que varios Estados miembros están estudiando la posibilidad de adoptar medidas legislativas unilaterales para abordar los retos específicos que plantea la IA en materia de responsabilidad. Por ejemplo, las estrategias de IA adoptadas en Chequia (18), Italia (19) , Malta (20) , Polonia (21) y Portugal (22) mencionan iniciativas para aclarar la cuestión de la responsabilidad. Dada la gran divergencia entre las normas vigentes en materia de responsabilidad civil de los Estados miembros, es probable que cualquier medida nacional relacionada específicamente con la IA en materia de responsabilidad siga los diferentes enfoques nacionales existentes y, por tanto, aumente el grado de fragmentación.

Por lo tanto, las adaptaciones de las normas de responsabilidad adoptadas de forma estrictamente nacional incrementarían los obstáculos a la introducción generalizada de productos y servicios basados en la IA en todo el mercado interior y contribuirían aún más a la fragmentación.

* Subsidiariedad

Los objetivos de la presente propuesta no pueden alcanzarse adecuadamente a nivel nacional, ya que la aparición de normas nacionales divergentes incrementaría la inseguridad jurídica y la fragmentación, creando obstáculos a la introducción generalizada de productos y servicios basados en la IA en todo el mercado interior. La inseguridad jurídica afectaría especialmente a las empresas con actividades transfronterizas, al imponer la necesidad de información o representación jurídica adicional, costes de gestión de riesgos y causar pérdidas de ingresos. Al mismo tiempo, las diferentes normas nacionales sobre las demandas de indemnización por daños causados por la IA aumentarían los costes de transacción para las empresas, especialmente en el comercio transfronterizo, lo que conllevaría importantes barreras al mercado interior. Además, la inseguridad jurídica y la fragmentación afectan de manera desproporcionada a las empresas emergentes y a las pymes, que representan una mayoría de las empresas y la mayor parte de las inversiones en los mercados pertinentes.

En ausencia de normas armonizadas a escala de la UE para indemnizar los daños causados por los sistemas de IA, los proveedores, operadores y usuarios de sistemas de IA, por una parte, y, por otra, las personas perjudicadas, se verían confrontadas a 27 regímenes de responsabilidad diferentes, lo que daría lugar a distintos niveles de protección y falsearía la competencia entre las empresas de los distintos Estados miembros.

Unas medidas armonizadas a escala de la UE mejorarían significativamente las condiciones para la introducción generalizada y el desarrollo de tecnologías de IA en el mercado interior, al evitar la fragmentación y aumentar la seguridad jurídica. Este valor añadido se generaría, en particular, gracias a la reducción de la fragmentación y a una mayor seguridad jurídica con respecto a la exposición de las partes interesadas a la responsabilidad civil. Además, solo la acción de la UE puede lograr de manera coherente el efecto deseado de promover la confianza de los consumidores en los productos y servicios basados en la IA evitando las lagunas en materia de responsabilidad civil vinculadas a las características específicas de la IA en todo el mercado interior. Esto garantizaría un nivel (mínimo) de protección uniforme para todas las víctimas (particulares y empresas) y unos incentivos uniformes para prevenir daños y garantizar la rendición de cuentas.

* Proporcionalidad

La propuesta se basa en un enfoque por fases. En la primera fase, los objetivos se alcanzan con un enfoque mínimamente invasivo; la segunda fase consiste en reevaluar la necesidad de medidas más estrictas o amplias.

La primera fase se limita a las medidas relativas a la carga de la prueba para hacer frente a los problemas propios de la IA detectados. Se basa en las condiciones sustantivas de responsabilidad civil que existen actualmente en las normas nacionales, como la causalidad o la culpa, pero se centra en medidas específicas relacionadas con la prueba, garantizando que las víctimas tengan el mismo nivel de protección que en los casos en los que no medien sistemas de IA. Además, de entre los diversos instrumentos disponibles en la legislación nacional para aliviar la carga de la prueba (23), la presente propuesta ha optado por recurrir a las presunciones refutables (iuris tantum) por ser esta la herramienta menos intervencionista. Este tipo de presunciones se encuentra con frecuencia en los sistemas nacionales de responsabilidad y ponderan los intereses de demandantes y demandados. Al mismo tiempo, están diseñadas para incentivar el cumplimiento de las obligaciones de diligencia en vigor establecidas a escala nacional o de la Unión. La propuesta no conduce a una inversión de la carga de la prueba para evitar exponer a los proveedores, operadores y usuarios de sistemas de IA a mayores riesgos de responsabilidad civil, lo cual podría obstaculizar la innovación y reducir la adopción de productos y servicios basados en la IA.

La segunda fase incluida en la propuesta garantiza que, a la hora de evaluar el efecto de la primera fase en términos de protección de las víctimas y adopción de la IA, se tengan en cuenta los futuros cambios tecnológicos, normativos y jurisprudenciales a la hora de reevaluar la necesidad de armonizar otros elementos de las demandas de indemnización u otros instrumentos relacionados con las demandas de responsabilidad civil, incluido en aquellas situaciones en que la responsabilidad objetiva sería más adecuada, según lo solicitado por el Parlamento Europeo. Esta evaluación también consideraría, probablemente, la posibilidad de que tal armonización vaya acompañada de un seguro obligatorio para garantizar la eficacia.

* Elección del instrumento

Una directiva es el instrumento más adecuado para esta propuesta, ya que proporciona el efecto de armonización y la seguridad jurídica deseados al tiempo que ofrece la flexibilidad necesaria para que los Estados miembros puedan integrar las medidas armonizadas sin fricciones en sus regímenes nacionales de responsabilidad.

Un instrumento obligatorio evitaría las lagunas de protección derivadas de una aplicación parcial o nula. Aunque un instrumento no vinculante sería menos intrusivo, es poco probable que pueda dar respuesta a los problemas detectados de manera eficaz. El porcentaje de aplicación de los instrumentos no vinculantes es difícil de predecir y no hay indicios suficientes de que el efecto persuasivo de una recomendación sea lo suficientemente fuerte como para dar lugar a una adaptación coherente de las legislaciones nacionales.

Este efecto es aún más improbable en el caso de las medidas de Derecho privado, del que forman parte las normas de responsabilidad extracontractual. Este ámbito se caracteriza por tradiciones jurídicas arraigadas, lo cual hace que los Estados miembros sean reacios a llevar a cabo reformas coordinadas a menos que estén movidos por una perspectiva clara de beneficios en el mercado interior gracias a un instrumento vinculante de la UE, o por la necesidad de adaptarse a las nuevas tecnologías de la economía digital.

Las importantes divergencias existentes entre los marcos de responsabilidad de los Estados miembros son otra razón por la que es poco probable que una recomendación se aplique de manera coherente.

1. RESULTADOS DE LAS EVALUACIONES EX POST, DE LAS CONSULTAS CON LAS PARTES INTERESADAS Y DE LAS EVALUACIONES DE IMPACTO

* Consultas con las partes interesadas

Se ha aplicado una estrategia de grandes consultas para garantizar una amplia participación de las partes interesadas a lo largo de todo el ciclo político de la presente propuesta. La estrategia de consulta estuvo fundamentada tanto en consultas públicas como en varias consultas específicas (seminarios web, debates bilaterales con empresas y diversas organizaciones).

Tras las preguntas iniciales sobre la responsabilidad que formaban parte de la consulta pública relativa al Libro Blanco sobre la IA y el informe de la Comisión sobre seguridad y responsabilidad, del 18 de octubre de 2021 al 10 de enero de 2022 se abrió una consulta pública específica en línea para recabar las opiniones de una amplia variedad de partes interesadas, incluidos los consumidores, las organizaciones de la sociedad civil, las asociaciones industriales, las empresas —incluidas las pymes— y las autoridades públicas. Tras analizar todas las respuestas recibidas, la Comisión publicó un resumen de resultados y las respuestas individuales en su sitio web (24).

En total, se recibieron 233 respuestas de encuestados de veintiún Estados miembros, así como de terceros países. En general, la mayoría de las partes interesadas confirmaron los problemas relacionados con la carga de la prueba, la inseguridad jurídica y la fragmentación, y apoyaron la acción a escala de la UE.

Los ciudadanos de la UE, las organizaciones de consumidores y las instituciones académicas confirmaron mayoritariamente la necesidad de que la UE actuase para mitigar los problemas de las víctimas en relación con la carga de la prueba. Las empresas, aun reconociendo los efectos negativos de la incertidumbre en torno a la aplicación de las normas de responsabilidad, fueron más cautas y pidieron medidas específicas para evitar que se obstaculice la innovación.

Sucedió algo similar en cuanto a las opciones políticas. Los ciudadanos de la UE, las organizaciones de consumidores y las instituciones académicas apoyaron decididamente las medidas relativas a la carga de la prueba y a la armonización de la responsabilidad sin culpa (denominada «responsabilidad objetiva») junto con un seguro obligatorio. Las empresas estaban más divididas en cuanto a las opciones políticas, y las diferencias dependían, en parte, de su tamaño. La mayoría de las empresas encuestadas consideraron que la responsabilidad objetiva era desproporcionada. La armonización del aligeramiento de la carga de la prueba obtuvo más apoyos, en particular entre las pymes. Sin embargo, las empresas advirtieron contra un traslado total de la carga de la prueba.

Por lo tanto, la opción política preferida se desarrolló y perfeccionó a la luz de las observaciones recibidas de las partes interesadas a lo largo de todo el proceso de evaluación de impacto, a fin de lograr un equilibrio entre las necesidades manifestadas y las preocupaciones planteadas por todos los grupos de partes interesadas pertinentes.

* Obtención y uso de asesoramiento especializado

La propuesta se basa en cuatro años de análisis y en la estrecha participación de las partes interesadas, incluidos el mundo académico, las empresas, las asociaciones de consumidores, los Estados miembros y los ciudadanos. Los trabajos preparatorios comenzaron en 2018 con la creación del Grupo de Expertos sobre Responsabilidad y Nuevas Tecnologías (formación sobre nuevas tecnologías). El grupo de expertos elaboró un informe en noviembre de 2019 (25) en el que se evaluaban los retos que plantean algunas características de la IA en relación con las normas nacionales en materia de responsabilidad civil.

Las aportaciones del informe del grupo de expertos se complementaron con tres estudios externos adicionales:

–un estudio de Derecho comparado basado en un análisis jurídico comparativo de las leyes europeas en materia de responsabilidad civil centrado en cuestiones clave relacionadas con la IA (26);

–un estudio de economía del comportamiento sobre los efectos de las adaptaciones específicas del régimen de responsabilidad civil en la toma de decisiones por parte de los consumidores, especialmente sobre su confianza y su voluntad de adoptar productos y servicios basados en la IA (27);

–un estudio económico (28) que abarca una serie de cuestiones: los retos a los que se enfrentan las víctimas de aplicaciones de la IA en comparación con las víctimas de dispositivos que no emplean IA cuando intentan obtener una indemnización por los perjuicios sufridos; si —y en qué medida— las empresas tienen dudas sobre la aplicación de las normas en vigor en materia de responsabilidad a sus operaciones relacionadas con la IA, y si la incidencia de la inseguridad jurídica puede obstaculizar la inversión en IA; si una mayor fragmentación de las legislaciones nacionales en materia de responsabilidad reduciría la eficacia del mercado interior de aplicaciones y servicios de IA, y si —y en qué medida— la armonización de determinados aspectos de la responsabilidad civil nacional a través de la legislación de la UE mitigaría estos problemas y facilitaría la adopción general de la tecnología de IA por parte de las empresas de la UE.

* Evaluación de impacto

En consonancia con su política de «legislar mejor», la Comisión sometió la presente propuesta a una evaluación de impacto que fue examinada por su Comité de Control Reglamentario. La reunión del Comité de Control Reglamentario del 6 de abril de 2022 dio lugar a un dictamen favorable con observaciones.

Se evaluaron tres opciones de actuación:

Opción política 1. tres medidas para aliviar la carga de la prueba que recae sobre las víctimas que intentan presentar pruebas que apoyen su demanda de responsabilidad civil.

Opción política 2. las medidas de la opción 1 + armonizar las normas de responsabilidad objetiva en los casos de uso de IA con un perfil de riesgo particular, junto con un seguro obligatorio.

Opción política 3. un enfoque por fases consistente en:

–primera fase: las medidas de la opción 1;

–segunda fase: un mecanismo de revisión para reevaluar, en particular, la necesidad de armonizar la responsabilidad objetiva en los casos de uso de IA con un perfil de riesgo particular (posiblemente acompañado de un seguro obligatorio).

Las opciones políticas se compararon mediante un análisis multicriterio que tenía en cuenta su eficacia, eficiencia, coherencia y proporcionalidad. Los resultados del análisis multicriterio y de sensibilidad muestran que la opción política 3, que prevé el alivio de la carga de la prueba en las demandas relacionadas con la IA y la revisión específica en relación con la responsabilidad objetiva, posiblemente acompañada de un seguro obligatorio, ocupa el lugar más alto y es, por tanto, la opción política preferida para la presente propuesta.

La opción política preferida garantizaría que las víctimas de productos y servicios basados en la IA (personas físicas, empresas y cualquier otra entidad pública o privada) no estén menos protegidas que las víctimas de las tecnologías tradicionales. Aumentaría el nivel de confianza en la IA y fomentaría su adopción.

Además, reduciría la inseguridad jurídica y evitaría la fragmentación normativa, ayudando así a las empresas —y sobre todo a las pymes— que deseen aprovechar todo el potencial del mercado único de la UE mediante el introducción generalizada y transfronteriza de productos y servicios basados en la IA. La opción política preferida también crea mejores condiciones para que las aseguradoras ofrezcan cobertura para actividades relacionadas con la IA, lo cual resulta crucial para que las empresas, y especialmente las pymes, gestionen sus riesgos. En concreto, se estima que la opción preferida generaría un aumento del valor de mercado de la IA en la EU-27 de entre 500 millones EUR y 1 100 millones EUR en 2025.

* Derechos fundamentales

Una de las funciones más importantes de las normas de responsabilidad civil es garantizar que las víctimas de daños puedan reclamar una indemnización. Al garantizar una indemnización efectiva, estas normas contribuyen a la protección del derecho a la tutela judicial efectiva y a un juez imparcial (artículo 47 de la Carta de los Derechos Fundamentales de la Unión Europea, denominada en lo sucesivo «la Carta»), al tiempo que incentivan a las personas que, potencialmente, puedan incurrir en responsabilidad civil a prevenir los daños y perjuicios con el fin de evitar que se genere la responsabilidad.

Con esta propuesta, la Comisión pretende garantizar que las víctimas de daños causados por la IA gocen de un nivel de protección equivalente en virtud de las normas de responsabilidad civil al de las víctimas de daños causados sin que medie IA. La propuesta permitirá una aplicación privada efectiva de los derechos fundamentales y protegerá el derecho a la tutela judicial efectiva cuando se materialicen los riesgos específicos de la IA. En particular, la propuesta contribuirá a proteger los derechos fundamentales, como el derecho a la vida (artículo 2 de la Carta), el derecho a la integridad física y mental (artículo 3) y el derecho a la propiedad (artículo 17). Además, en función del sistema y las tradiciones de Derecho civil de cada Estado miembro, las víctimas podrán reclamar una indemnización por los daños causados a otros intereses jurídicos, como las violaciones de la dignidad personal (artículos 1 y 4 de la Carta), el respeto de la vida privada y familiar (artículo 7), el derecho a la igualdad (artículo 20) y la no discriminación (artículo 21).

Además, la presente propuesta complementa otras vertientes de la política de IA de la Comisión basadas en requisitos preventivos normativos y de supervisión destinados directamente a evitar violaciones de los derechos fundamentales (como la discriminación), a saber: la Ley de IA, el Reglamento General de Protección de Datos, la Ley de Servicios Digitales y la legislación de la UE sobre no discriminación e igualdad de trato. Al mismo tiempo, la presente propuesta no crea ni armoniza los deberes de diligencia ni la responsabilidad civil de las distintas entidades cuya actividad está regulada por dichos actos jurídicos y, por lo tanto, no crea nuevos tipos de demandas de responsabilidad ni afecta a las exenciones de responsabilidad previstas en esos otros actos jurídicos. La presente propuesta solo introduce aligeramientos de la carga de la prueba para las víctimas de daños causados por sistemas de IA en las demandas que pueden fundamentarse en la legislación nacional o en estas otras leyes de la UE. Al complementar estas otras vertientes, la presente propuesta protege el derecho de la víctima a una indemnización en virtud del Derecho privado, incluidas las indemnizaciones por violaciones de los derechos fundamentales.

4. REPERCUSIONES PRESUPUESTARIAS

La presente propuesta no tendrá incidencia en el presupuesto de la Unión Europea.

5. OTROS ELEMENTOS

* Planes de ejecución y seguimiento, evaluación, programa de seguimiento y revisión específica

La presente propuesta propone un enfoque por fases. A fin de garantizar que se dispone de elementos suficientes para la revisión específica en la segunda fase, la Comisión elaborará un plan de seguimiento en el que se detallará cómo y con qué frecuencia se reunirán los datos y demás elementos de prueba necesarios.

El mecanismo de seguimiento podría abarcar los siguientes tipos de datos y elementos de prueba:

–la presentación de informes y el intercambio de información entre Estados miembros en relación con la aplicación de medidas para aligerar la carga de la prueba en los procedimientos judiciales o extrajudiciales nacionales;

–la información reunida por la Comisión o las autoridades de vigilancia del mercado en virtud de la Ley de IA (en particular su artículo 62) u otros instrumentos pertinentes;

–información y análisis en apoyo de la evaluación de la Ley de IA y de los informes que deba elaborar la Comisión sobre la aplicación de dicha Ley;

–información y análisis que respalden la evaluación de las futuras medidas políticas pertinentes con arreglo al «antiguo enfoque» de la legislación en materia de seguridad para garantizar que los productos introducidos en el mercado de la Unión cumplan unos requisitos elevados en materia de salud, seguridad y medio ambiente;

–información y análisis en apoyo del informe de la Comisión sobre la aplicación de la Directiva sobre el seguro de vehículos automóviles a los avances tecnológicos (en particular, a los vehículos autónomos y semiautónomos) de conformidad con su artículo 28 quater, apartado 2, letra a).

* Explicación detallada de las disposiciones específicas de la propuesta

1. Objeto y ámbito de aplicación (artículo 1)

El objetivo de la presente Directiva es mejorar el funcionamiento del mercado interior mediante el establecimiento de requisitos uniformes para determinados aspectos de la responsabilidad civil extracontractual por los daños causados con mediación de sistemas de IA. Da continuidad a la Resolución del Parlamento Europeo 2020/2014 (INL) y adapta el Derecho privado a las necesidades de la transición a la economía digital.

La elección de instrumentos jurídicos adecuados es limitada, dada la naturaleza de la cuestión de la carga de la prueba y las características específicas de la IA, que plantean un problema con respecto a las normas de responsabilidad existentes. A este respecto, la presente Directiva aligera la carga de la prueba de manera muy específica y proporcionada mediante el uso de la exhibición y las presunciones refutables (iuris tantum). Establece, para aquellos que soliciten una indemnización por daños y perjuicios, la posibilidad de obtener información sobre los sistemas de IA de alto riesgo que debe registrarse o documentarse de conformidad con la Ley de IA. Además, las presunciones refutables ofrecerán a quienes soliciten una indemnización por los daños causados por sistemas de IA una carga de la prueba más razonable y una oportunidad de que sus demandas de responsabilidad fundadas prosperen.

Estas herramientas no son nuevas; pueden encontrarse en los sistemas legislativos nacionales. Por lo tanto, estas herramientas nacionales constituyen puntos de referencia útiles sobre cómo abordar las cuestiones planteadas por la IA en relación con las normas de responsabilidad en vigor de manera que se interfiera lo menos posible en los diferentes regímenes jurídicos nacionales.

Además, cuando se les preguntó sobre cambios de mayor alcance, como una inversión de la carga de la prueba o una presunción irrefutable (iuris et de iure), las empresas respondieron de forma negativa en las consultas. Se eligieron medidas específicas para aligerar la carga de la prueba en forma de presunciones refutables por tratarse de medios pragmáticos y adecuados para ayudar a las víctimas a soportar la carga de la prueba de la manera más específica y proporcionada posible.

El artículo 1 indica el objeto y el ámbito de aplicación de la presente Directiva: se aplica a las demandas civiles de responsabilidad extracontractual por daños y perjuicios causados por un sistema de IA, cuando dichas demandas se interpongan en el marco de regímenes de responsabilidad subjetiva (por culpa). Esto se refiere, en particular, a los regímenes que establecen la responsabilidad legal de indemnizar los daños causados de forma deliberada o por un acto u omisión negligente. Las medidas previstas en la presente Directiva pueden encajar sin problemas en los sistemas de responsabilidad civil en vigor, ya que reflejan un enfoque que no depende de la definición de conceptos fundamentales como «culpa» o «daño», dado que el significado de estos conceptos varía considerablemente entre los Estados miembros de la UE. Así pues, más allá de las presunciones que establece, la presente Directiva no afecta a las normas nacionales o de la Unión que determinan, por ejemplo, qué parte ha de soportar la carga de la prueba, qué grado de certeza es necesario para que haya fuerza probatoria o cómo se define la culpa.

Además, la presente Directiva no afecta a las normas vigentes que regulan las condiciones de responsabilidad en el sector del transporte ni a las establecidas por la Ley de Servicios Digitales.

Aunque la presente Directiva no se aplica a la responsabilidad penal, puede resultar aplicable a la responsabilidad del Estado. Las autoridades estatales también están cubiertas por las disposiciones de la Ley de IA como sujetos de las obligaciones que en ella se establecen.

La presente Directiva no se aplica retroactivamente, sino únicamente a las demandas de indemnización por daños y perjuicios que se produzcan a partir de la fecha de su transposición.

La propuesta de la presente Directiva se ha adoptado junto con la propuesta de revisión de la Directiva 85/374/CEE sobre responsabilidad por los daños causados por productos defectuosos, en un paquete destinado a adaptar las normas de responsabilidad a la era digital y a la IA, garantizando la necesaria armonización entre estos dos instrumentos jurídicos complementarios.

2. Definiciones (artículo 2)

Las definiciones del artículo 2 siguen las de la Ley de IA a fin de garantizar la coherencia.

El artículo 2, apartado 6, letra b), establece que las demandas por daños y perjuicios pueden ser interpuestas no solo por el perjudicado, sino también por las personas que lo hayan sucedido o se hayan subrogado en sus derechos. La subrogación es la asunción por un tercero (como una compañía de seguros) del derecho legal de otra parte a cobrar una deuda o una indemnización por daños y perjuicios. De este modo, una persona tiene derecho a hacer valer los derechos de otra en beneficio propio. La subrogación también abarcaría a los herederos de una víctima fallecida.

Además, el artículo 2, apartado 6, letra c), establece que también puede interponer una demanda por daños y perjuicios una persona que actúe en nombre de una o varias partes perjudicadas, de conformidad con el Derecho de la Unión o nacional. Esta disposición tiene por objeto brindar más posibilidades a las personas perjudicadas por un sistema de IA de que un tribunal conozca de su demanda, incluido en aquellos casos en interponer una demanda individual pueda parecer demasiado costoso o engorroso, o cuando una demanda conjunta pueda conllevar beneficios de escala. Para que las víctimas de daños causados por sistemas de IA puedan hacer valer sus derechos en relación con la presente Directiva mediante acciones de representación, el artículo 6 modifica el anexo I de la Directiva (UE) 2020/1828.

3. Exhibición de pruebas (artículo 3)

La presente Directiva pretende proporcionar a las personas que soliciten una indemnización por los daños causados por sistemas de IA de alto riesgo medios eficaces para determinar las personas potencialmente responsables y las pruebas pertinentes de cara a una demanda. Al mismo tiempo, estos medios sirven para excluir a posibles demandados determinados erróneamente, ahorrando tiempo y costes a las partes implicadas y reduciendo la carga de trabajo de los tribunales.

A este respecto, el artículo 3, apartado 1, de la Directiva establece que un órgano jurisdiccional puede ordenar la exhibición de pruebas pertinentes relativas a sistemas de IA de alto riesgo específicos de los que se sospeche que han causado daños. Las solicitudes de pruebas se dirigen al proveedor de un sistema de IA, a una persona sujeta a las obligaciones del proveedor establecidas en el artículo 24 o el artículo 28, apartado 1, de la Ley de IA, o a un usuario con arreglo a la Ley de IA. Las solicitudes deben estar respaldadas por hechos y pruebas suficientes para acreditar la viabilidad de la demanda por daños y perjuicios prevista y las pruebas solicitadas deben estar a disposición de los destinatarios. Las solicitudes no pueden dirigirse a partes que no estén sujetas a obligaciones en virtud de la Ley de IA y que, por tanto, no tengan acceso a las pruebas.

De conformidad con el artículo 3, apartado 2, el demandante solo puede solicitar la exhibición de pruebas a proveedores o usuarios que no sean demandados en caso de que se hayan realizado sin éxito todos los intentos proporcionados de obtener las pruebas del demandado.

Para que los medios judiciales sean eficaces, el artículo 3, apartado 3, de la Directiva establece que un órgano jurisdiccional también puede ordenar la conservación de tales pruebas.

De conformidad con el artículo 3, apartado 4, párrafo primero, el órgano jurisdiccional únicamente puede ordenar dicha exhibición en la medida necesaria para sustentar la demanda, dado que la información podría constituir una prueba fundamental para la demanda de la persona perjudicada en caso de daños en los que hayan mediado sistemas de IA.

Al limitar la obligación de exhibición o conservación a las pruebas necesarias y proporcionadas, el artículo 3, apartado 4, párrafo primero, pretende garantizar la proporcionalidad en la exhibición de las pruebas, es decir, limitar la exhibición al mínimo necesario e impedir solicitudes genéricas.

El artículo 3, apartado 4, párrafos segundo y tercero, tiene también por objeto lograr un equilibrio entre los derechos del demandante y la necesidad de garantizar que dicha exhibición esté sujeta a garantías que protejan los intereses legítimos de todas las partes interesadas, como los secretos comerciales o la información confidencial.

En el mismo contexto, el artículo 3, apartado 4, párrafo cuarto, tiene por objeto garantizar que la persona sujeta a la orden de exhibición o conservación tenga remedios procesales a su disposición.

El artículo 3, apartado 5, introduce una presunción de incumplimiento de un deber de diligencia. Se trata de una herramienta procesal, pertinente únicamente en aquellos casos en que sea el propio demandado en una demanda por daños y perjuicios quien soporte las consecuencias del incumplimiento de una solicitud de exhibición o conservación de pruebas. Al demandado le asistirá el derecho de refutar esa presunción. La medida establecida en este apartado tiene por objeto promover la exhibición, pero también acelerar los procedimientos judiciales.

4. Presunción de relación de causalidad en caso de culpa (artículo 4)

En lo que respecta a los daños causados por sistemas de IA, la presente Directiva pretende proporcionar un fundamento eficaz para reclamar una indemnización en relación con la culpa consistente en el incumplimiento de un deber de diligencia en virtud del Derecho de la Unión o nacional.

Puede resultar difícil para los demandantes probar que existe un nexo causal entre dicho incumplimiento y la información de salida producida por el sistema de IA o la no producción de una información de salida por parte del sistema de IA que haya dado lugar a los daños en cuestión. Por lo tanto, en el artículo 4, apartado 1, se ha establecido una presunción refutable de causalidad específica en relación con este nexo causal. Esta presunción es la medida menos gravosa para dar respuesta a la necesidad de una indemnización justa para la víctima.

El demandante debe demostrar la culpa del demandado con arreglo a las normas nacionales o de la Unión aplicables. Esta culpa puede determinarse, por ejemplo, por incumplimiento de un deber de diligencia en virtud de la Ley de IA o de otras normas establecidas a escala de la Unión, como las que regulan el uso de la supervisión y la toma de decisiones automatizadas para el trabajo en plataformas o las que regulan el funcionamiento de aeronaves no tripuladas. El órgano jurisdiccional también puede presumir la culpa sobre la base del incumplimiento de una orden judicial de exhibición o conservación de pruebas con arreglo al artículo 3, apartado 5. No obstante, solo procede introducir una presunción de causalidad cuando pueda considerarse probable que la culpa en cuestión haya influido en la información de salida del sistema de IA pertinente —o en la ausencia de la información de salida—, lo cual puede evaluarse en función de las circunstancias generales del caso. Al mismo tiempo, el demandante aún tiene que demostrar que el sistema de IA (es decir, su información de salida o la no producción de una información de salida) ha causado los daños.

Los apartados 2 y 3 distinguen entre, por una parte, las demandas interpuestas contra el proveedor de un sistema de IA de alto riesgo o contra una persona sujeta a las obligaciones del proveedor en virtud de la Ley de IA y, por otra parte, las demandas interpuestas contra el usuario de dichos sistemas. A este respecto, sigue las disposiciones respectivas y las condiciones pertinentes de la Ley de IA. En el caso de las demandas fundadas en el artículo 4, apartado 2, el cumplimiento por parte de los demandados de las obligaciones enumeradas en dicho apartado debe evaluarse también a la luz del sistema de gestión de riesgos y sus resultados, es decir, las medidas de gestión de riesgos, con arreglo a la Ley de IA.

En el caso de los sistemas de IA de alto riesgo, tal como se definen en la Ley de IA, el artículo 4, apartado 4, establece una excepción a la presunción de causalidad cuando el demandado demuestre que el demandante puede acceder razonablemente a pruebas y conocimientos especializados suficientes para demostrar el nexo causal. Esta posibilidad puede incentivar a los demandados a cumplir sus obligaciones de exhibición, las medidas establecidas por la Ley de IA para garantizar un alto nivel de transparencia de la IA o los requisitos de documentación y registro.

En el caso de los sistemas de IA de riesgo no elevado, el artículo 4, apartado 5, establece una condición para la aplicabilidad de la presunción de causalidad en virtud de la cual esta última está sujeta a que el órgano jurisdiccional determine que es excesivamente difícil para el demandante demostrar el nexo causal. Tales dificultades deben evaluarse a la luz de las características de determinados sistemas de IA, como la autonomía y la opacidad, que hacen muy difícil en la práctica la explicación del funcionamiento interno del sistema de IA, lo que afecta negativamente a la capacidad del demandante para demostrar el nexo causal entre la culpa del demandado y la información de salida de IA.

En los casos en que el demandado utilice el sistema de IA en el transcurso de una actividad personal y no profesional, el artículo 4, apartado 6, establece que la presunción de causalidad solo debe aplicarse si el demandado ha interferido sustancialmente en las condiciones de funcionamiento del sistema de IA o si el demandado tenía la obligación y estaba en condiciones de determinar las condiciones de funcionamiento del sistema de IA y no lo hizo. Esta condición se justifica por la necesidad de ponderar los intereses de los perjudicados y de los usuarios no profesionales, eximiendo de la aplicación de la presunción de causalidad aquellos casos en que los usuarios no profesionales no incrementen el riesgo a través de su comportamiento.

Por último, el artículo 4, apartado 7, establece que el demandado tiene derecho a refutar la presunción de causalidad basada en el artículo 4, apartado 1.

Estas normas eficaces en materia de responsabilidad civil tienen la ventaja añadida de ofrecer a todos los que participan en actividades relacionadas con sistemas de IA un incentivo adicional para cumplir sus obligaciones en relación con la conducta que se espera de ellos.

5. Evaluación y revisión específica (artículo 5)

Varios ordenamientos jurídicos nacionales prevén diferentes regímenes de responsabilidad objetiva. En su Resolución de propia iniciativa de 20 de octubre de 2020, el Parlamento Europeo también propuso elementos para un régimen de este tipo a escala de la UE, consistentes en un régimen de responsabilidad objetiva limitada para determinadas tecnologías basadas en la IA y en una carga de la prueba facilitada en virtud de normas de responsabilidad subjetiva. Las consultas públicas también pusieron de relieve la preferencia por un régimen de este tipo entre los encuestados (excepto en el caso de las empresas que no son pymes), acompañado o no de un seguro obligatorio.

Sin embargo, la propuesta tiene en cuenta las diferencias entre las tradiciones jurídicas nacionales y el hecho de que el tipo de productos y servicios equipados con sistemas de IA que podrían afectar al público en general y poner en peligro importantes derechos —como el derecho a la vida, a la salud y a la propiedad— y que, por tanto, podrían estar sujetos a un régimen de responsabilidad estricta, todavía no están ampliamente disponibles en el mercado.

Se ha puesto en marcha un programa de seguimiento para proporcionar a la Comisión información sobre incidentes relacionados con sistemas de IA. La revisión específica evaluará si serían necesarias medidas adicionales, como la introducción de un régimen de responsabilidad objetiva o un seguro obligatorio.

6. Incorporación al Derecho nacional (artículo 7)

Al notificar a la Comisión las medidas nacionales de transposición para dar cumplimiento a la presente Directiva, los Estados miembros también deben facilitar documentos explicativos que proporcionen información suficientemente clara y precisa e indiquen, para cada disposición de la presente Directiva, la disposición o disposiciones nacionales que garanticen su transposición. Esto es necesario para que la Comisión pueda determinar, con respecto de cada disposición de la Directiva que requiere transposición, la parte pertinente de las medidas nacionales de transposición que crea la obligación legal correspondiente en el ordenamiento jurídico nacional, independientemente de la forma elegida por los Estados miembros.

2022/0303 (COD) Propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la adaptación de las normas de responsabilidad civil extracontractual a la inteligencia artificial (Directiva sobre responsabilidad en materia de IA)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo ( ,)

Visto el dictamen del Comité de las Regiones (30),

De conformidad con el procedimiento legislativo ordinario,

Considerando lo siguiente:

(1) La inteligencia artificial («IA») es un conjunto de tecnologías facilitadoras que puede aportar una amplia gama de beneficios en todo el espectro de la economía y la sociedad. Alberga un gran potencial para el progreso tecnológico y permite nuevos modelos de negocio en muchos sectores de la economía digital.

(2) Al mismo tiempo, dependiendo de las circunstancias de su aplicación y uso específicos, la IA puede generar riesgos y perjudicar intereses y derechos protegidos por el Derecho de la Unión o nacional. Por ejemplo, el uso de la IA puede incidir negativamente en una serie de derechos fundamentales, como la vida, la integridad física, la no discriminación y la igualdad de trato. El Reglamento (UE)…/… del Parlamento Europeo y del Consejo [Ley de IA] (31) establece requisitos destinados a reducir los riesgos para la seguridad y los derechos fundamentales, mientras que otros instrumentos del Derecho de la Unión regulan las normas generales (32) y sectoriales de seguridad de los productos aplicables también a las máquinas y sus partes y accesorios (33) y a los equipos radioeléctricos (34) basados en IA. Si bien estos requisitos destinados a reducir los riesgos para la seguridad y los derechos fundamentales tienen por objeto prevenir, hacer un seguimiento y abordar los riesgos para, así, hacer frente a las preocupaciones sociales, no ofrecen ayuda individual a quienes han sufrido daños causados por la IA. Los requisitos existentes prevén, en particular, autorizaciones, controles, seguimiento y sanciones administrativas en relación con los sistemas de IA con el fin de evitar daños. No prevén la indemnización de la persona perjudicada por los daños causados por una información de salida producida por un sistema de IA, o por la no producción de una información de salida.

(3) Cuando un perjudicado solicita la indemnización del perjuicio sufrido, las normas generales de los Estados miembros en materia de responsabilidad subjetiva exigen normalmente al perjudicado que demuestre que ha habido un acto u omisión negligente o intencionadamente perjudicial («culpa») por parte de la persona potencialmente responsable de dicho daño, así como el nexo causal entre dicha culpa y el daño en cuestión. Sin embargo, cuando la IA se interpone entre el acto u omisión de una persona y el daño, las características específicas de determinados sistemas de IA, como la opacidad, el comportamiento autónomo y la complejidad, pueden hacer excesivamente difícil, si no imposible, que el perjudicado satisfaga la carga de la prueba. En particular, puede resultar excesivamente difícil demostrar que un dato de entrada concreto del que es responsable la persona potencialmente responsable ha dado lugar a una información de salida específica de un sistema de IA que, a su vez, ha provocado el daño en cuestión.

(4) En tales casos, el grado de resarcimiento que ofrecen las normas nacionales en materia de responsabilidad civil puede ser menor que en los casos en que las tecnologías que mediaron en la causación del daño son distintas de la IA. Estas diferencias en la indemnización pueden contribuir a reducir el nivel de aceptación social de la IA y la confianza en los productos y servicios basados en la IA.

(5) A fin de aprovechar los beneficios económicos y sociales de la IA y de promover la transición a la economía digital, es necesario adaptar de manera específica determinadas normas nacionales de responsabilidad civil a las características específicas de determinados sistemas de IA. Estas adaptaciones deben contribuir a la confianza de la sociedad y de los consumidores y, de este modo, promover la introducción generalizada de la IA. Estas adaptaciones también deben mantener la confianza en el sistema judicial, garantizando que las víctimas de daños causados en cuya causación haya mediado la IA reciban la misma indemnización efectiva que las víctimas de daños causados por otras tecnologías.

(6) Las partes interesadas — los perjudicados que sufren daños, las personas potencialmente responsables, las aseguradoras — se enfrentan a una inseguridad jurídica en cuanto a la manera en que los órganos jurisdiccionales nacionales podrían, al verse confrontados a los retos característicos de la IA, aplicar las normas vigentes en materia de responsabilidad a casos concretos con el fin de lograr resultados justos. A falta de actuación por parte de la Unión, es probable que al menos algunos Estados miembros adapten sus normas de responsabilidad civil para acometer los problemas de las discrepancias en materia de indemnización y de la inseguridad jurídica relacionados con las características específicas de determinados sistemas de IA. Esto crearía fragmentación jurídica y obstáculos al mercado interior para las empresas que desarrollen o suministren productos o servicios innovadores basados en la IA. Las pymes se verían especialmente afectadas.

(7) La finalidad de la presente Directiva es contribuir al correcto funcionamiento del mercado interior mediante la armonización de determinadas normas nacionales de responsabilidad extracontractual basada en la culpa (subjetiva), a fin de garantizar que las personas que reclamen una indemnización por los daños y perjuicios que les cause un sistema de IA disfruten de un nivel de protección equivalente al de las personas que reclaman una indemnización por los daños causados sin la mediación de un sistema de IA. Este objetivo no puede ser alcanzado de manera suficiente por los Estados miembros porque los obstáculos pertinentes del mercado interior están vinculados al riesgo de medidas normativas unilaterales y fragmentadas a nivel nacional. Dada la naturaleza digital de los productos y servicios comprendidos en el ámbito de aplicación de la presente Directiva, esta última es especialmente pertinente en los contextos transfronterizos.

(8) Por tanto, el objetivo de garantizar la seguridad jurídica y evitar las discrepancias en la indemnización en aquellos casos en que medien sistemas de IA puede lograrse mejor a escala de la Unión. Por consiguiente, la Unión puede adoptar medidas con arreglo al principio de subsidiariedad contemplado en el artículo 5 del TUE. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, la presente Directiva no excede de lo necesario para alcanzar dichos objetivos.

(9) Por lo tanto, es necesario armonizar de manera específica aspectos específicos de las normas sobre responsabilidad subjetiva a escala de la Unión. Dicha armonización debe aumentar la seguridad jurídica y crear unas condiciones de competencia equitativas para los sistemas de IA, mejorando así el funcionamiento del mercado interior en lo que respecta a la producción y difusión de productos y servicios basados en la IA.

(10) Para garantizar la proporcionalidad, conviene armonizar de manera específica únicamente las normas de responsabilidad subjetiva que rigen la carga de la prueba para las personas que reclamen una indemnización por daños y perjuicios causados por sistemas de IA. La presente Directiva no debe armonizar los aspectos generales de la responsabilidad civil que estén regulados de diferentes maneras por las normas nacionales de responsabilidad civil, como la definición de la culpa o la causalidad, los diferentes tipos de daños que dan lugar a demandas por daños y perjuicios, la distribución de la responsabilidad entre varios causantes de los daños, la concurrencia de culpas, el cálculo de los daños y perjuicios o los plazos de prescripción.

(11) Las leyes de los Estados miembros relativas a la responsabilidad de los productores por los daños causados por el carácter defectuoso de sus productos ya están armonizadas a escala de la Unión mediante la Directiva 85/374/CEE del Consejo (35) . Sin embargo, dichas leyes no afectan a las normas de los Estados miembros en materia de responsabilidad contractual o extracontractual sobre aspectos como la garantía, la culpa o la responsabilidad objetiva, basada en motivos distintos de los defectos del producto. Si bien, al mismo tiempo, la revisión de la Directiva 85/374/CEE del Consejo pretende aclarar y garantizar que el perjudicado pueda reclamar una indemnización por los daños causados por productos defectuosos basados en la IA, debe aclararse, por tanto, que las disposiciones de la presente Directiva no afectan a los derechos que el perjudicado pueda tener en virtud de las normas nacionales de transposición de la Directiva 85/374/CEE. Además, en el ámbito del transporte, el Derecho de la Unión que regula la responsabilidad de los transportistas no debe verse afectado por la presente directiva.

(12) [La Ley de Servicios Digitales (LSD) (36)] armoniza plenamente las normas aplicables a los prestadores de servicios intermediarios en el mercado interior, cubriendo los riesgos sociales derivados de los servicios ofrecidos por dichos proveedores, incluido en lo que respecta a los sistemas de IA que utilizan. La presente Directiva no afecta a las disposiciones de la [Ley de Servicios Digitales (LSD)] que proporcionan un marco integral y plenamente armonizado respecto de las obligaciones de diligencia debida para la toma de decisiones algorítmica por parte de los prestadores de servicios de alojamiento de datos, incluida la exención de responsabilidad por la difusión de contenidos ilícitos cargados por los destinatarios de sus servicios cuando se cumplan las condiciones de dicho Reglamento.

(13) Salvo en lo que se refiere a las presunciones que establece, la presente Directiva no armoniza las legislaciones nacionales en lo relativo a la parte sobre la que recae la carga de la prueba o al grado de certeza necesario para que haya fuerza probatoria.

(14) La presente Directiva debe seguir un enfoque de armonización mínima, ya que así se permite a los demandantes en casos de daños causados por sistemas de IA invocar normas más favorables del Derecho nacional. Así pues, las legislaciones nacionales podrían, por ejemplo, mantener la inversión de la carga de la prueba en el contexto de regímenes nacionales de responsabilidad subjetiva (basada en la culpa) o de regímenes nacionales de responsabilidad sin culpa (conocida como «responsabilidad objetiva») —de los que ya existe una gran variedad en las legislaciones nacionales— que puedan resultar de aplicación a los daños causados por sistemas de IA.

(15) También debe garantizarse la coherencia con [la Ley de IA]. Procede, por tanto, que la presente Directiva utilice las mismas definiciones con respecto a los sistemas de IA, los proveedores y los usuarios. Además, la presente Directiva solo debe abarcar las demandas por daños y perjuicios que hayan sido causados por una información de salida —o por la no producción de una información de salida— imputable a un sistema de IA cuando medie culpa de una persona, por ejemplo, el proveedor o el usuario con arreglo a la [Ley de IA]. No es necesario abarcar las demandas de responsabilidad cuando los daños hayan sido causados por una evaluación humana seguida de una acción u omisión humana y el sistema de IA se haya limitado a proporcionar información o asesoramiento que fue tenido en cuenta por el agente humano de que se trate. En este último caso, es posible atribuir los daños causados a una acción u omisión humana, ya que la información de salida del sistema de IA no se interpone entre la acción u omisión humana y el daño, por lo que establecer la causalidad no es más difícil que en situaciones en las que no interviene un sistema de IA.

(16) El acceso a información sobre sistemas de IA de alto riesgo específicos de los que se sospecha que han causado daños y perjuicios es un factor importante a la hora de determinar si procede reclamar una indemnización y de fundamentar las demandas de indemnización. Además, en el caso de los sistemas de IA de alto riesgo, [la Ley de IA] establece requisitos específicos de documentación, información y registro, pero no otorga al perjudicado el derecho a acceder a dicha información. Procede, por tanto, establecer normas sobre la exhibición de los medios de prueba pertinentes por parte de quienes los tengan a su disposición a efectos de determinar la responsabilidad. Esto también debe ofrecer un incentivo adicional para cumplir los requisitos pertinentes establecidos en la [Ley de IA] para documentar o registrar la información pertinente.

(17) El gran número de personas que suele participar en el diseño, el desarrollo, la introducción generalizada y el funcionamiento de sistemas de IA de alto riesgo hace difícil que los perjudicados identifiquen a la persona potencialmente responsable de los daños causados y demuestren que se cumplen las condiciones para interponer una demanda por daños y perjuicios. Para que los perjudicados puedan determinar si una demanda por daños y perjuicios es fundada, conviene conceder a los demandantes potenciales el derecho a solicitar a un órgano jurisdiccional que ordene la exhibición de las pruebas pertinentes antes de presentar una demanda por daños y perjuicios. Dicha exhibición solo debe ordenarse cuando el demandante potencial presente hechos e información suficientes para acreditar la viabilidad de una demanda por daños y perjuicios y haya presentado previamente una solicitud al proveedor, a la persona sujeta a las obligaciones de un proveedor o al usuario para que exhiba dichas pruebas que obran en su poder sobre sistemas de IA de alto riesgo específicos de los que se sospeche que han causado daños y perjuicios, y que esta solicitud haya sido denegada. La orden de exhibición debe llevar a una reducción de los litigios innecesarios y evitar costes a los posibles litigantes causados por demandas sin fundamento o con pocas posibilidades de prosperar. La negativa del proveedor, de la persona sujeta a las obligaciones de un proveedor o del usuario previa a la solicitud de exhibición de pruebas al órgano jurisdiccional no debe dar lugar a la presunción de incumplimiento de las obligaciones de diligencia pertinentes por parte de la persona que deniegue dicha exhibición.

(18) La limitación de la exhibición de pruebas en lo que respecta a los sistemas de IA de alto riesgo es coherente con la [Ley de IA], que establece determinadas obligaciones específicas en materia de documentación, conservación de registros e información para los operadores que participan en el diseño, el desarrollo y la introducción de sistemas de IA de alto riesgo. Esta coherencia también garantiza la proporcionalidad necesaria al evitar que los operadores de sistemas de IA que planteen un riesgo menor o nulo tengan que documentar la información con un grado de detalle similar al exigido en el caso de los sistemas de IA de alto riesgo en virtud de la [Ley de IA].

(19) Los órganos jurisdiccionales nacionales deben poder ordenar, en el transcurso de un proceso civil, la exhibición o conservación de pruebas pertinentes relacionadas con los daños causados por sistemas de IA de alto riesgo a personas que ya estén obligadas a documentar o registrar información en virtud de la [Ley de IA], ya se trate de proveedores, de personas sujetas a las mismas obligaciones que los proveedores o de usuarios de un sistema de IA, y ya sean estos demandados o terceros con respecto a la demanda. Podrían darse situaciones en las que las pruebas pertinentes para el asunto obren en poder de entidades que no sean parte en la demanda por daños y perjuicios, pero que estén obligadas a documentar o registrar dichas pruebas de conformidad con la [Ley de IA]. Por lo tanto, es necesario fijar las condiciones en que se puede ordenar a tales terceros con respecto a la demanda que exhiban las pruebas pertinentes.

(20) Para mantener el equilibrio entre los intereses de las partes en la demanda por daños y perjuicios y los de los terceros afectados, los órganos jurisdiccionales deben ordenar la exhibición de pruebas únicamente cuando sea necesario y proporcionado para sustentar la demanda real o potencial por daños y perjuicios. A este respecto, la exhibición solo debe referirse a las pruebas que sean necesarias para adoptar una decisión sobre la correspondiente demanda por daños y perjuicios, por ejemplo, solo las partes de los registros o conjuntos de datos pertinentes necesarias para demostrar el incumplimiento de un requisito fijado por la [Ley de IA]. Para garantizar la proporcionalidad de tales medidas de exhibición o conservación, los órganos jurisdiccionales nacionales deben disponer de medios eficaces para salvaguardar los intereses legítimos de todas las partes implicadas, por ejemplo la protección de los secretos comerciales en el sentido de la Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo (37) y de la información confidencial como, por ejemplo, la relacionada con la seguridad pública o nacional. Por lo que respecta a los secretos comerciales o a los presuntos secretos comerciales que el órgano jurisdiccional haya considerado como confidenciales en el sentido de la Directiva (UE) 2016/943, los órganos jurisdiccionales nacionales deben estar facultados para adoptar medidas específicas que garanticen la confidencialidad de los secretos comerciales durante y después del proceso, al tiempo que se logra un equilibrio justo y proporcionado entre el interés del poseedor del secreto comercial en mantener el secreto y el interés de la persona perjudicada. Esto debe incluir medidas para restringir el acceso a los documentos que contengan secretos comerciales y el acceso a las audiencias o los documentos y sus transcripciones a un número limitado de personas. Al decidir sobre tales medidas, los órganos jurisdiccionales nacionales deben tener en cuenta la necesidad de garantizar el derecho a la tutela judicial efectiva y a un juez imparcial, los intereses legítimos de las partes y, en su caso, de terceros, así como el perjuicio que pudiera ocasionarse a cualquiera de las partes o, en su caso, a terceros, como consecuencia de que se acuerden o no dichas medidas. Por otra parte, a fin de garantizar una aplicación proporcionada de las medidas de exhibición dirigidas a terceros en las demandas por daños y perjuicios, los órganos jurisdiccionales nacionales deben ordenar la exhibición por parte de terceros únicamente si las pruebas no pueden obtenerse del demandado.

(21) Si bien los órganos jurisdiccionales nacionales disponen de medios para hacer ejecutar sus órdenes de exhibición a través de diversas medidas, tales medidas de ejecución podrían retrasar las demandas por daños y perjuicios y, por tanto, generar gastos adicionales para los litigantes. Para los perjudicados, tales retrasos y gastos adicionales pueden dificultar su acceso a la tutela judicial efectiva. Por lo tanto, cuando un demandado en una demanda de indemnización por daños y perjuicios no exhibe las pruebas a su disposición según lo ordenado por un órgano jurisdiccional, procede establecer una presunción de incumplimiento de las obligaciones de diligencia que dichas pruebas debían demostrar. Esta presunción refutable reducirá la duración de los litigios y redundará en una mayor eficiencia de los procedimientos judiciales. El demandado debe poder refutar esta presunción presentando pruebas en contrario.

(22) A fin de hacer frente a las dificultades para demostrar que un dato de entrada concreto del que es responsable la persona potencialmente responsable dio lugar a una información de salida específica de un sistema de IA que, a su vez, provocó el daño en cuestión, procede establecer, en determinadas condiciones, una presunción de causalidad. Si bien, en las demandas basadas en la culpa, el demandante normalmente tiene que probar el daño, la acción u omisión humana que determina la culpa del demandado y el vínculo de causalidad entre ambos, la presente Directiva no armoniza las condiciones en las que los órganos jurisdiccionales nacionales establecen la culpa. Siguen rigiéndose por el Derecho nacional aplicable y, cuando haya habido armonización, por el Derecho de la Unión aplicable. Del mismo modo, la presente Directiva no armoniza las condiciones relacionadas con los daños, por ejemplo, la cuestión de qué daños son indemnizables, que también están regulados por la legislación nacional y de la Unión aplicable. Para que se aplique la presunción de causalidad en virtud de la presente Directiva, la culpa del demandado debe establecerse como una acción u omisión humana que no se ajuste a un deber de diligencia derivado del Derecho de la Unión o nacional directamente destinado a proteger contra los daños que se hayan producido. Así pues, esta presunción puede aplicarse, por ejemplo, en demandas de indemnización por lesiones corporales cuando el órgano jurisdiccional establezca la culpa del demandado por incumplimiento de las instrucciones de uso destinadas a evitar daños a personas físicas. El incumplimiento de deberes de diligencia no destinados directamente a proteger contra los daños producidos no da lugar a la aplicación de la presunción; así, por ejemplo, el hecho de que un proveedor no presentase la documentación requerida ante las autoridades competentes no daría lugar a la aplicación de la presunción en las demandas de indemnización por lesiones corporales. También debe ser necesario establecer que puede considerarse razonablemente probable, basándose en las circunstancias del caso, que la culpa haya influido en la información de salida producida por el sistema de IA o en que el sistema de IA no haya producido una información de salida. Por último, debe exigirse al demandante que demuestre que la información de salida o la no producción de información de salida dio lugar al daño.

(23) Esta culpa puede establecerse en relación con el incumplimiento de las normas de la Unión que regulan específicamente los sistemas de IA de alto riesgo, como los requisitos introducidos para determinados sistemas de IA de alto riesgo por la [Ley de IA], los requisitos que pueden introducirse mediante la futura legislación sectorial para otros sistemas de IA de alto riesgo de conformidad con el [artículo 2, apartado 2, de la Ley de IA], o los deberes de diligencia vinculados a determinadas actividades y que son aplicables con independencia de que la IA se utilice o no para esa actividad. Al mismo tiempo, la presente Directiva ni crea ni armoniza los requisitos o la responsabilidad de las entidades cuya actividad está regulada por dichos actos jurídicos y, por tanto, no da lugar a nuevas demandas de responsabilidad. La prueba del incumplimiento de tales requisitos determinantes de la culpa se llevará a cabo de conformidad con las disposiciones de dichas normas aplicables del Derecho de la Unión, ya que la presente Directiva ni introduce nuevos requisitos ni afecta a los vigentes. Por ejemplo, la exención de responsabilidad de los prestadores de servicios intermediarios y las obligaciones de diligencia debida a las que están sujetos en virtud de la [Ley de Servicios Digitales] no se ven afectadas por la presente Directiva. Del mismo modo, el cumplimiento de los requisitos impuestos a las plataformas en línea para evitar la comunicación no autorizada al público de obras protegidas por derechos de autor debe establecerse en virtud de la Directiva (UE) 2019/790 sobre los derechos de autor y derechos afines en el mercado único digital y otra legislación pertinente de la Unión en materia de derechos de autor.

(24) En los ámbitos no armonizados por el Derecho de la Unión, sigue siendo de aplicación el Derecho nacional y la existencia de culpa se determina en virtud de la legislación nacional aplicable. Todos los regímenes nacionales de responsabilidad establecen obligaciones de diligencia y adoptan como norma de conducta diferentes expresiones del principio de que se debe actuar como una persona razonable, que también garantizan el funcionamiento seguro de los sistemas de IA con el fin de evitar el menoscabo de los intereses jurídicos protegidos. Estos deberes de diligencia podrían, por ejemplo, exigir a los usuarios de sistemas de IA que elijan para determinadas tareas un sistema de IA concreto con características determinadas o que excluyan a determinados segmentos de una población de la exposición a un sistema de IA concreto. La legislación nacional también puede introducir obligaciones específicas destinadas a prevenir los riesgos de determinadas actividades que sean de aplicación con independencia de que la IA se utilice o no para esa actividad, por ejemplo, normas de tráfico u obligaciones diseñadas específicamente para los sistemas de IA como, por ejemplo, requisitos nacionales adicionales para los usuarios de sistemas de IA de alto riesgo de conformidad con el artículo 29, apartado 2, de la [Ley de IA]. La presente Directiva no introduce tales requisitos ni afecta a las condiciones para determinar la existencia de culpa en caso de incumplimiento de dichos requisitos.

(25) Aun cuando se demuestre la existencia de una culpa consistente en el incumplimiento de un deber de diligencia destinado directamente a proteger contra los daños sufridos, no toda culpa debe dar lugar a la aplicación de la presunción refutable que la vincula a la información de salida de la IA. Tal presunción solo debe aplicarse cuando pueda considerarse razonablemente probable, en función de las circunstancias en las que se produjo el daño, que dicha culpa ha influido en la información de salida producida por el sistema de IA o en la no producción de la información de salida por parte del sistema de IA que haya dado lugar al daño. Por ejemplo, puede considerarse razonablemente probable que la culpa ha influido en la información de salida o en la no producción de una información de salida cuando dicha culpa consista en el incumplimiento de un deber de diligencia con respecto a la limitación del perímetro de funcionamiento del sistema de IA y los daños se hayan producido fuera del perímetro de funcionamiento. Por el contrario, no puede considerarse razonablemente probable que el incumplimiento de la obligación de presentar determinados documentos o de registrarse ante una autoridad determinada —aunque ello pueda estar previsto para esa actividad concreta o incluso ser expresamente aplicable al funcionamiento de un sistema de IA— ha influido en la información de salida producida por el sistema de IA o en la no producción de dicha información de salida por sistema de IA.

(26) La presente Directiva cubre la culpa constitutiva de incumplimiento de determinados requisitos enumerados en los capítulos 2 y 3 de la [Ley de IA] para los proveedores y usuarios de sistemas de IA de alto riesgo, cuyo incumplimiento puede dar lugar, en determinadas condiciones, a una presunción de causalidad. La Ley de IA prevé la plena armonización de los requisitos aplicables a los sistemas de IA, a menos que en ella se establezca expresamente lo contrario. Armoniza los requisitos específicos para los sistemas de IA de alto riesgo. Por lo tanto, a efectos de las demandas por daños y perjuicios en las que se aplica una presunción de causalidad con arreglo a la presente Directiva, la posible culpa de los proveedores o de las personas sujetas a las obligaciones de un proveedor en virtud de la [Ley de IA] solo se establece mediante el incumplimiento de dichos requisitos. Dado que, en la práctica, puede resultar difícil para el demandante demostrar dicho incumplimiento cuando el demandado es un proveedor del sistema de IA, y en plena coherencia con la lógica de la [Ley de IA], la presente Directiva también debe establecer que las medidas adoptadas por el proveedor en el marco del sistema de gestión de riesgos y los resultados del sistema de gestión de riesgos, es decir, la decisión de adoptar o no determinadas medidas de gestión de riesgos, deben tenerse en cuenta a la hora de determinar si el proveedor ha cumplido los requisitos pertinentes de la Ley de IA a que se refiere la presente Directiva. El sistema de gestión de riesgos adoptado por el proveedor de conformidad con la [Ley de IA] es un proceso iterativo continuo que se aplica a lo largo de todo el ciclo de vida del sistema de IA de alto riesgo mediante el cual el proveedor garantiza el cumplimiento de los requisitos obligatorios destinados a mitigar los riesgos y, por tanto, puede ser un elemento útil a efectos de la evaluación de dicho cumplimiento. La presente Directiva también abarca los casos de culpa de los usuarios cuando dicha culpa consista en el incumplimiento de determinadas exigencias específicas establecidas por la [Ley de IA]. Además, la culpa de los usuarios de sistemas de IA de alto riesgo puede determinarse a raíz del incumplimiento de otras obligaciones de diligencia establecidas en el Derecho de la Unión o nacional, a la luz del artículo 29, apartado 2, de la [Ley de IA].

(27) Si bien las características específicas de determinados sistemas de IA, como la autonomía y la opacidad, podrían dificultar excesivamente al demandante la satisfacción de la carga de la prueba, podrían darse situaciones en las que no se den tales dificultades por disponer el demandante de suficientes pruebas y conocimientos especializados para demostrar el nexo causal. Este podría ser el caso, por ejemplo, de los sistemas de IA de alto riesgo respecto de los cuales el demandante podría tener un acceso razonable a pruebas y conocimientos especializados suficientes mediante requisitos de documentación y registro de conformidad con la [Ley de IA]. En tales situaciones, el órgano jurisdiccional no debe aplicar la presunción.

(28) La presunción de causalidad también podría aplicarse a los sistemas de IA que no sean de alto riesgo, ya que podría haber dificultades de prueba excesivas para el demandante. Por ejemplo, tales dificultades podrían evaluarse a la luz de las características de determinados sistemas de IA, como la autonomía y la opacidad, que hacen muy difícil en la práctica la explicación del funcionamiento interno del sistema de IA, lo que afecta negativamente a la capacidad del demandante para demostrar el nexo causal entre la culpa del demandado y la información de salida de IA. Los órganos jurisdiccionales nacionales deben aplicar la presunción cuando el demandante se encuentre en una situación excesivamente difícil para demostrar la causalidad por verse en la obligación de explicar la manera en que el acto u omisión humano determinante de la culpa llevó al sistema de IA a producir la información de salida que dio lugar al daño o a no producir la información de salida cuya ausencia dio lugar al daño. Sin embargo, no debe exigirse al demandante que explique las características del sistema de IA de que se trate ni el modo en que estas características dificultan la determinación del nexo causal.

(29) La aplicación de la presunción de causalidad tiene por objeto garantizar al perjudicado un nivel de protección similar al existente en aquellas situaciones en las que no interviene la IA y en las que, por tanto, la causalidad puede ser más fácil de demostrar. No obstante, el aligeramiento de la carga de probar la causalidad no siempre es apropiado en virtud de la presente Directiva cuando el demandado no sea un usuario profesional, sino una persona que utiliza el sistema de IA para sus actividades privadas. En tales circunstancias, a fin de lograr un equilibrio entre los intereses de los perjudicados y los de los usuarios no profesionales, ha de tenerse en cuenta si dichos usuarios no profesionales pueden aumentar, mediante su comportamiento, el riesgo de que un sistema de IA cause daños. Si el proveedor de un sistema de IA ha cumplido todas sus obligaciones y, en consecuencia, se ha considerado que dicho sistema es suficientemente seguro para ser comercializado con vistas a un uso determinado por usuarios no profesionales y, a continuación, se utiliza con dicha finalidad, no debe aplicarse una presunción de causalidad por la mera puesta en funcionamiento de dicho sistema por parte de tales usuarios no profesionales. A los usuarios no profesionales que compren sistemas de IA y simplemente lo pongan en funcionamiento con arreglo a su finalidad, sin interferir sustancialmente en las condiciones de funcionamiento, no se les debe aplicar la presunción de causalidad establecida en la presente Directiva. No obstante, si un órgano jurisdiccional nacional determina que un usuario no profesional ha interferido sustancialmente en las condiciones de funcionamiento de un sistema de IA o que este tenía la obligación y estaba en condiciones de determinar las condiciones de funcionamiento del sistema de IA y no lo hizo, entonces debe aplicarse la presunción de causalidad, siempre y cuando se cumplan todas las demás condiciones. Este podría ser el caso, por ejemplo, cuando el usuario no profesional no respeta las instrucciones de uso u otras obligaciones de diligencia aplicables a la hora de elegir el ámbito de operación o de fijar las condiciones de funcionamiento del sistema de IA. Esto se entiende sin perjuicio del hecho de que el proveedor debe determinar la finalidad prevista de los sistemas de IA, incluidos el contexto y las condiciones específicas de uso, y eliminar o minimizar los riesgos de dicho sistema según convenga en el momento del diseño y el desarrollo, teniendo en cuenta los conocimientos y la experiencia de los usuarios previstos.

(30) Dado que la presente Directiva introduce una presunción refutable (iuris tantum), el demandado debe tener la posibilidad de refutarla, en particular demostrando que su culpa no puede haber sido la causa del daño.

(31) Es necesario prever una revisión de la presente Directiva [cinco años] después de la finalización del período de transposición. En particular, mediante dicha revisión debe examinarse si es necesario adoptar normas de responsabilidad objetiva (sin culpa) para las demandas contra el operador —siempre que estas no estén ya cubiertas por otras normas de responsabilidad de la Unión, en particular la Directiva 85/374/CEE— combinadas con un seguro obligatorio para la explotación de determinados sistemas de IA, tal como ha sugerido el Parlamento Europeo (38) . De conformidad con el principio de proporcionalidad, procede evaluar dicha necesidad a la luz de la evolución tecnológica y normativa pertinente en los próximos años, teniendo en cuenta el efecto y la incidencia en la introducción generalizada y la adopción de los sistemas de IA, especialmente para las pymes. Dicha revisión debe tener en cuenta, entre otras cosas, los riesgos que conlleven daños a bienes jurídicos importantes como la vida, la salud y la propiedad de terceros ajenos a estos riesgos a través de la utilización de productos o servicios basados en la IA. Dicha revisión también debe analizar la eficacia de las medidas previstas en la presente Directiva para hacer frente a tales riesgos, así como el desarrollo de soluciones adecuadas por parte del mercado de seguros. Para garantizar la disponibilidad de la información necesaria para llevar a cabo dicha revisión, es menester reunir los datos y demás elementos de prueba necesarios sobre las cuestiones pertinentes.

(32) Habida cuenta de la necesidad de realizar adaptaciones en las normas nacionales de responsabilidad civil y procesales con el fin de fomentar la introducción generalizada de productos y servicios basados en la IA en condiciones beneficiosas para el mercado interior, de aceptación social y de confianza de los consumidores en la tecnología de la IA y en el sistema judicial, conviene fijar un plazo máximo de [dos años desde la entrada en vigor] de la presente Directiva para que los Estados miembros adopten las medidas de transposición necesarias.

(33) De conformidad con la Declaración política conjunta, de 28 de septiembre de 2011, de los Estados miembros y de la Comisión sobre los documentos explicativos (39) , en casos justificados, los Estados miembros se comprometen a adjuntar a la notificación de las medidas de transposición uno o varios documentos que expliquen la relación entre los componentes de una directiva y las partes correspondientes de los instrumentos nacionales de transposición. Por lo que respecta a la presente Directiva, el legislador considera que la transmisión de tales documentos está justificada.

HAN ADOPTADO LA PRESENTE DIRECTIVA:

Artículo 1. Objeto y ámbito de aplicación

1. La presente Directiva establece normas comunes sobre:

a) la exhibición de pruebas relativas a sistemas de inteligencia artificial (IA) de alto riesgo con el fin de permitir a los demandantes fundamentar sus demandas de responsabilidad civil extracontractual subjetiva (basada en la culpa) por daños y perjuicios;

b) la carga de la prueba en el caso de demandas de responsabilidad civil extracontractual subjetiva (basada en la culpa) interpuestas ante tribunales nacionales por daños y perjuicios causados por sistemas de IA.

2. La presente Directiva se aplica a las demandas de responsabilidad civil extracontractual subjetiva (basada en la culpa) en aquellos casos en que los daños y perjuicios causados por un sistema de IA se produzcan después de [el final del período de transposición].

La presente Directiva no es aplicable a la responsabilidad penal.

3. La presente Directiva no afectará a:

a) las normas del Derecho de la Unión que regulan las condiciones de responsabilidad en el ámbito del transporte;

b) los derechos que puedan asistir a un perjudicado en virtud de las normas nacionales de transposición de la Directiva 85/374/CEE;

c) las exenciones de responsabilidad y las obligaciones de diligencia debida establecidas en [la Ley de servicios digitales], y

d) las normas nacionales que determinen qué parte ha de soportar la carga de la prueba, qué grado de certeza se exige para que haya fuerza probatoria o cómo se define la culpa, con excepción de lo previsto en los artículos 3 y 4.

4. Los Estados miembros podrán adoptar o mantener normas nacionales más favorables para que los demandantes fundamenten sus demandas civiles de responsabilidad extracontractual por daños y perjuicios causados por sistemas de IA, siempre que dichas normas sean compatibles con el Derecho de la Unión.

Artículo 2. Definiciones

A los efectos de la presente Directiva, se entenderá por:

1) «sistema de IA»: un sistema de IA tal como se define en [el artículo 3, apartado 1, de la Ley de IA];

2)«sistema de IA de alto riesgo»: un sistema de IA de alto riesgo de los mencionados en [el artículo 6 de la Ley de IA];

3) «proveedor»: un proveedor tal como se define en [el artículo 3, apartado 2, de la Ley de IA];

4) «usuario»: un usuario tal como se define en [el artículo 3, apartado 4, de la Ley de IA];

5) «demanda por daños y perjuicios»: una demanda de responsabilidad civil extracontractual subjetiva (basada en la culpa) por la que se solicita una indemnización por los daños y perjuicios causados por una información de salida de un sistema de IA o por la no producción por parte de dicho sistema de una información de salida que debería haber producido;

6) «demandante»: persona que interpone una demanda por daños y perjuicios y que:

a) se ha visto perjudicada por la información de salida de un sistema de IA o por la no producción por parte de dicho sistema de una información de salida que debería haber producido;

b) ha sucedido a una persona perjudicada o se ha subrogado en su derecho en virtud de una ley o contrato; o

c) actúa en nombre de uno o varios perjudicados, de conformidad con el Derecho de la Unión o nacional;

7) «demandante potencial»: persona física o jurídica que está considerando la posibilidad de presentar una demanda por daños y perjuicios, pero que aún no lo ha hecho;

8) «demandado»: la persona contra la que se interpone una demanda por daños y perjuicios;

9) «deber de diligencia»: norma de conducta exigida establecida por el Derecho nacional o de la Unión con el fin de evitar daños a bienes jurídicos reconocidos a nivel nacional o de la Unión, incluidos la vida, la integridad física, la propiedad y la protección de los derechos fundamentales.

Artículo 3. Exhibición de pruebas y presunción refutable de incumplimiento

1. Los Estados miembros velarán por que los órganos jurisdiccionales nacionales estén facultados, ya sea a petición de un demandante potencial que haya solicitado previamente a un proveedor, a una persona sujeta a las obligaciones de un proveedor con arreglo al [artículo 24 o al artículo 28, apartado 1, de la Ley de IA], o a un usuario, que exhiba las pruebas pertinentes que obran en su poder sobre un determinado sistema de IA de alto riesgo del que se sospeche que ha causado daños, pero cuya solicitud haya sido denegada, o a petición de un demandante, para ordenar la exhibición de dichas pruebas a estas personas.

En apoyo de esta solicitud, el demandante potencial deberá presentar hechos y pruebas suficientes para sustentar la viabilidad de una demanda de indemnización por daños y perjuicios.

2. En el contexto de una demanda por daños y perjuicios, el órgano jurisdiccional nacional solo ordenará la exhibición de las pruebas por parte de una de las personas enumeradas en el apartado 1 cuando el demandante haya realizado todos los intentos proporcionados de obtener del demandado las pruebas pertinentes.

3. Los Estados miembros velarán por que los órganos jurisdiccionales nacionales, a solicitud de un demandante, estén facultados para ordenar medidas específicas con el fin de conservar las pruebas mencionadas en el apartado 1.

4. Los órganos jurisdiccionales nacionales limitarán la exhibición de las pruebas y las medidas para su conservación a lo necesario y proporcionado para sustentar una demanda potencial o una demanda por daños y perjuicios.

A la hora de determinar si una orden de exhibición o conservación de pruebas es proporcionada, los órganos jurisdiccionales nacionales tendrán en cuenta los intereses legítimos de todas las partes, incluidos los terceros afectados, en particular los relativos a la protección de secretos comerciales en el sentido del artículo 2, apartado 1, de la Directiva (UE) 2016/943 y de la información confidencial como, por ejemplo, la relacionada con la seguridad pública o nacional.

Los Estados miembros velarán por que, cuando se ordene la revelación de un secreto comercial o de un supuesto secreto comercial que el órgano jurisdiccional haya declarado confidencial en el sentido del artículo 9, apartado 1, de la Directiva (UE) 2016/943, los órganos jurisdiccionales nacionales estén facultados, previa solicitud debidamente motivada de una parte o por iniciativa propia, para adoptar las medidas específicas necesarias a fin de preservar la confidencialidad cuando dicha prueba se utilice o se mencione en procedimientos judiciales.

Los Estados miembros velarán también por que la persona que reciba la orden de exhibir o conservar las pruebas mencionadas en los apartados 1 o 2 disponga de remedios procesales adecuados en respuesta a dichas órdenes.

5. Cuando un demandado incumpla la orden de un órgano jurisdiccional nacional en una demanda por daños y perjuicios de exhibir o conservar las pruebas que obran en su poder con arreglo a los apartados 1 o 2, el órgano jurisdiccional nacional presumirá el incumplimiento por parte del demandado de un deber de diligencia pertinente, en particular en las circunstancias a que se refiere el artículo 4, apartados 2 o 3, que las pruebas solicitadas estaban destinadas a probar a efectos de la correspondiente demanda por daños y perjuicios.

Al demandado le asistirá el derecho de refutar esa presunción.

Artículo 4. Presunción refutable de relación de causalidad en caso de culpa

1. Sin perjuicio de los requisitos establecidos en el presente artículo, los órganos jurisdiccionales nacionales presumirán, a efectos de la aplicación de las normas de responsabilidad a demandas por daños y perjuicios, el nexo causal entre la culpa del demandado y los resultados producidos por el sistema de IA o la no producción de resultados por parte del sistema de IA, siempre y cuando se cumplan todas las condiciones siguientes:

a) que el demandante haya demostrado o el órgano jurisdiccional haya supuesto, de conformidad con el artículo 3, apartado 5, la culpa del demandado o de una persona de cuyo comportamiento sea responsable el demandado, consistente en el incumplimiento de un deber de diligencia establecido por el Derecho de la Unión o nacional destinado directamente a proteger frente a los daños que se hayan producido;

b) que pueda considerarse razonablemente probable, basándose en las circunstancias del caso, que la culpa ha influido en los resultados producidos por el sistema de IA o en la no producción de resultados por parte del sistema de IA;

c) que el demandante haya demostrado que la información de salida producida por el sistema de IA o la no producción de una información de salida por parte del sistema de IA causó los daños.

2. En caso de demandas por daños y perjuicios contra proveedores de sistemas de IA de alto riesgo sujetos a los requisitos establecidos en los capítulos 2 y 3 del título III de la [Ley de IA] o contra personas sujetas a las obligaciones del proveedor con arreglo al [artículo 24 o al artículo 28, apartado 1, de la Ley de IA], la condición del apartado 1, letra a), solo se cumplirá cuando el demandante haya demostrado que el proveedor o, en su caso, la persona sujeta a las obligaciones del proveedor, ha incumplido cualquiera de los siguientes requisitos establecidos en dichos capítulos, teniendo en cuenta las medidas adoptadas y los resultados del sistema de gestión de riesgos con arreglo al [artículo 9 y el artículo 16, letra a), de la Ley de IA]:

a) el sistema de IA es un sistema que utiliza técnicas que implican el entrenamiento de modelos con datos y que no se ha desarrollado a partir de conjuntos de datos de entrenamiento, validación y prueba que cumplen los criterios de calidad expuestos en el [artículo 10, apartados 2 a 4, de la Ley de IA];

b) el sistema de IA no ha sido diseñado ni desarrollado de modo que cumpla los requisitos de transparencia establecidos en [el artículo 13 de la Ley de IA];

c) el sistema de IA no ha sido diseñado ni desarrollado de modo que permita una vigilancia efectiva por personas físicas durante el período de utilización del sistema de IA de conformidad con el [artículo 14 de la Ley de IA];

d) el sistema de IA no ha sido diseñado ni desarrollado de modo que, a la luz de su finalidad prevista, alcance un nivel adecuado de precisión, solidez y ciberseguridad de conformidad con [el artículo 15 y el artículo 16, letra a), de la Ley de IA]; o

e) no se han adoptado de forma inmediata las medidas correctoras necesarias para poner el sistema de IA en conformidad con las obligaciones establecidas en el [título III, capítulo 2, de la Ley de IA] o para retirar del mercado o recuperar el sistema, según proceda, de conformidad con el [artículo 16, letra g), y artículo 21 de la Ley de IA].

3. En caso de demandas por daños y perjuicios contra usuarios de sistemas de IA de alto riesgo sujetos a los requisitos establecidos en los capítulos 2 y 3 del título III de la [Ley de IA], la condición del apartado 1, letra a), se cumplirá cuando el demandante demuestre que el usuario:

a) no cumplió con sus obligaciones de utilizar o supervisar el sistema de IA de conformidad con las instrucciones de uso adjuntas o, en su caso, de suspender o interrumpir su uso con arreglo al [artículo 29 de la Ley de IA]; o

b) expuso al sistema de IA a datos de entrada bajo su control que no eran pertinentes habida cuenta de la finalidad prevista del sistema con arreglo al [artículo 29, apartado 3, de la Ley].

4. En el caso de las demandas por daños y perjuicios relacionadas con sistemas de IA de alto riesgo, los órganos jurisdiccionales nacionales no aplicarán la presunción establecida en el apartado 1 cuando el demandado demuestre que el demandante puede acceder razonablemente a pruebas y conocimientos especializados suficientes para demostrar el nexo causal mencionado en el apartado 1.

5. En el caso de las demandas por daños y perjuicios relacionadas con sistemas de IA que no sean de alto riesgo, la presunción establecida en el apartado 1 solo se aplicará cuando el órgano jurisdiccional nacional considere excesivamente difícil para el demandante demostrar el nexo causal mencionado en el apartado 1.

6. En el caso de las demandas por daños y perjuicios contra un demandado que haya utilizado el sistema de IA en el transcurso de una actividad personal de carácter no profesional, la presunción establecida en el apartado 1 solo se aplicará cuando el demandado haya interferido sustancialmente en las condiciones de funcionamiento del sistema de IA o cuando el demandado tuviese la obligación y estuviese en condiciones de determinar las condiciones de funcionamiento del sistema de IA y no lo haya hecho.

7. Al demandado le asistirá el derecho de refutar la presunción establecida en el apartado 1.

Artículo 5. Evaluación y revisión específica

1. A más tardar el [FECHA cinco años después del final del período de transposición], la Comisión revisará la aplicación de la presente Directiva y presentará un informe al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo, acompañado, en su caso, de una propuesta legislativa.

2. El informe examinará los efectos de los artículos 3 y 4 en la consecución de los objetivos perseguidos por la presente Directiva. En particular, deberá evaluar la idoneidad de las normas de responsabilidad objetiva (sin culpa) para las demandas contra los operadores de determinados sistemas de IA —siempre que estas no estén ya reguladas por otras normas de responsabilidad de la Unión— y la necesidad de aseguramiento, teniendo en cuenta al mismo tiempo el efecto y el impacto en la introducción general y la adopción de los sistemas de IA, especialmente para las pymes.

3. La Comisión establecerá un programa de seguimiento para la preparación del informe con arreglo a los apartados 1 y 2, en el que se establecerá cómo y con qué periodicidad se recopilarán los datos y demás elementos de prueba necesarios. El programa especificará las medidas que deban adoptar la Comisión y los Estados miembros para recopilar y analizar los datos y demás elementos de prueba. A efectos de dicho programa, los Estados miembros comunicarán a la Comisión los datos y elementos de prueba pertinentes, a más tardar el [31 de diciembre del segundo año completo siguiente al final del período de transposición] y al final de cada año posterior.

Artículo 6. Modificación de la Directiva (UE) 2020/1828

En el anexo I de la Directiva (UE) 2020/1828 (40), se añade el punto 67 siguiente:

«(67) Directiva (UE) …/… del Parlamento Europeo y del Consejo, de …, relativa a la adaptación de las normas de responsabilidad civil extracontractual a la inteligencia artificial (Directiva sobre responsabilidad en materia de IA) (DO L… de…, p. …).».

Artículo 7. Transposición

1. Los Estados miembros adoptarán las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a la presente Directiva a más tardar el [dos años después de su entrada en vigor]. Comunicarán inmediatamente a la Comisión el texto de dichas disposiciones.

Cuando los Estados miembros adopten dichas disposiciones, estas incluirán una referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.

2. Los Estados miembros comunicarán a la Comisión el texto de las principales disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.

Artículo 8. Entrada en vigor

La presente Directiva entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Artículo 9. Destinatarios

Los destinatarios de la presente Directiva son los Estados miembros.

Hecho en Bruselas, el

Por el Parlamento Europeo, La Presidenta    Por el Consejo, El Presidente

——————————————-

(1)   European enterprise survey on the use of technologies based on AI (Encuesta empresarial europea sobre el uso de tecnologías basadas en la IA), Ipsos 2020, Final report, p. 58.

( https://op.europa.eu/en/publication-detail/-/publication/f089bbae-f0b0-11ea-991b-01aa75ed71a1 )

(2)    https://ec.europa.eu/commission/sites/beta-political/files/political-guidelines-next-commission_en.pdf

(3)   Libro Blanco sobre la inteligencia artificial — un enfoque europeo orientado a la excelencia y la confianza, 19.2.2020, [COM(2020) 65 final].

(4)   Informe de la Comisión al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo sobre las repercusiones en materia de seguridad y responsabilidad civil de la inteligencia artificial, el internet de las cosas y la robótica, 19.2.2020 [COM(2020) 64 final].

(5)   Resolución del Parlamento Europeo, de 20 de octubre de 2020, con recomendaciones destinadas a la Comisión sobre un régimen de responsabilidad civil en materia de inteligencia artificial [2020/2014(INL)].

(6)   Resolución del Parlamento Europeo, de 3 de mayo de 2022, sobre la inteligencia artificial en la era digital [2020/2266 (INI)].

(7)   Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial (Ley de Inteligencia Artificial) [COM(2021) 206 final].

(8)   Solo un reducido número de casos de uso de la IA están expresamente prohibidos por la Ley de IA.

(9)   Documento de trabajo de los servicios de la Comisión SWD(2021) 84 final, Evaluación de impacto que acompaña a la Ley de Inteligencia Artificial, p. 88.

(10)   Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la seguridad general de los productos [COM(2021) 346 final].

(11)   Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a las máquinas y sus partes y accesorios [COM(2021) 202 final].

(12)   Reglamento Delegado (UE) 2022/30 de la Comisión que completa la Directiva 2014/53/UE del Parlamento Europeo y del Consejo en lo que respecta a la aplicación de los requisitos esenciales contemplados en el artículo 3, apartado 3, letras d), e) y f), de dicha Directiva (DO L 7 de 12.1.2022, p. 6).

(13)   Comunicación de la Comisión «Configurar el futuro digital de Europa» [COM(2020) 67 final].

(14)   [Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para productos con elementos digitales) — COM(2022) 454 final]

(15)   Comunicación de la Comisión «Una Estrategia Europea de Datos» [COM(2020) 66 final].

(16)   Comunicación de la Comisión al Parlamento Europeo, al Consejo Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones: El Pacto Verde Europeo [COM(2019) 640 final].

(17)   Deloitte, Study to support the Commission’s IA on liability for artificial intelligence, 2021 («Estudio económico»).

(18)   Estrategia Nacional de Inteligencia Artificial de la República Checa, 2019: https://www.mpo.cz/assets/en/guidepost/for-the-media/press-releases/2019/5/NAIS_eng_web.pdf ; AI Watch, «National strategies on Artificial Intelligence — A European perspective» (Estrategias nacionales para la inteligencia artificial: una perspectiva europea), edición de 2021, informe del JRC y la OCDE: https://op.europa.eu/es/publication-detail/-/publication/619fd0b5-d3ca-11eb-895a-01aa75ed71a1 , p. 41.

(19)   2025 Strategia per l’innovazione técnica e la digitalizzazione del Paese: https://assets.innovazione.gov.it/1610546390-midbook2025.pdf ;

(20)   Deloitte, Study to support the Commission’s IA on liability for artificial intelligence, 2021, p. 96.

(21)   Véase Polityka Rozwoju Sztucznej. Inteligencji w Polsce na lata 2019 – 2027 (Política para el desarrollo de la inteligencia artificial en Polonia, 2019-2027) ( www.gov.pl/attachment/0aa51cd5-b934-4bcb-8660-bfecb20ea2a9 ), 102.

(22)   AI Portugal 2030: https://www.incode2030.gov.pt/sites/default/files/julho_incode_brochura.pdf ; AI Watch, op. cit., p. 113.

(23)   Principalmente, responsabilidad objetiva, inversión de la carga de la prueba o atenuación de la carga de la prueba en forma de presunciones irrefutables o refutables (absolutas o relativas).

(24)   Este resumen puede encontrarse en < https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12979-Civil-liability-adapting-liability-rules-to-the-digital-age-and-artificial-intelligence/public-consultation_es >

(25)   Liability for artificial intelligence and other emerging digital technologies (Responsabilidad en materia de inteligencia artificial y otras tecnologías digitales emergentes), noviembre de 2019, https://op.europa.eu/en/publication-detail/-/publication/1c5e30be-1197-11ea-8c1f-01aa75ed71a1/language-en 

(26)   Karner/Koch/Geistfeld, Comparative Law Study on Civil Liability for Artificial Intelligence (Estudio de Derecho comparado sobre responsabilidad civil por inteligencia artificial), 2021, https://op.europa.eu/en/publication-detail/-/publication/8a32ccc3-0f83-11ec-9151-01aa75ed71a1/language-en .

(27)   Kantar, Behavioural Study on the link between challenges of Artificial Intelligence for Member States’ civil liability rules and consumer attitudes towards AI-enabled products and services («Estudio de conducta sobre el vínculo entre los retos de la inteligencia artificial para las normas de los Estados miembros en materia de responsabilidad civil y las actitudes de los consumidores respecto a los productos y servicios en los que se emplea IA», documento en inglés), informe final de 2021.

(28)   Deloitte, Study to support the Commission’s Impact Assessment on liability for artificial intelligence, 2021.

(29)   DO C de , p. .

(30)   DO C de , p. .

(31)   [Propuesta de Reglamento por el que se establecen normas armonizadas en materia de inteligencia artificial (Ley de Inteligencia Artificial) – COM(2021) 206 final].

(32)   [Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la seguridad general de los productos (COM[2021] 346 final)].

(33)   [Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a las máquinas y sus partes y accesorios (COM[2021] 202 final)].

(34)   Reglamento Delegado (UE) 2022/30 de la Comisión que completa la Directiva 2014/53/UE del Parlamento Europeo y del Consejo en lo que respecta a la aplicación de los requisitos esenciales contemplados en el artículo 3, apartado 3, letras d), e) y f), de dicha Directiva (DO L 7 de 12.1.2022, p. 6).

(35)   Directiva 85/374/CEE del Consejo, de 25 de julio de 1985, relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros en materia de responsabilidad por los daños causados por productos defectuosos (DO L 210 de 7.8.1985, p. 29).

(36)   [Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a un mercado único de servicios digitales (Ley de servicios digitales) — COM(2020) 825 final]

(37)   Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas (DO L 157 de 15.6.2016, p. 1).

(38)   Resolución del Parlamento Europeo, de 20 de octubre de 2020, con recomendaciones destinadas a la Comisión sobre un régimen de responsabilidad civil en materia de inteligencia artificial [2020/2014(INL)] (DO C 404 de 6.10.2021, p. 107).

(39)   DO C 369 de 17.12.2011, p. 14.

(40)   Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2020, relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores, y por la que se deroga la Directiva 2009/22/CE (DO L 409 de 4.12.2020, p. 1).

16Ene/24

Resolución del Parlamento Europeo, de 20 de octubre de 2020

Resolución del Parlamento Europeo, de 20 de octubre de 2020, con recomendaciones destinadas a la Comisión sobre un régimen de responsabilidad civil en materia de inteligencia artificial (2020/2014(INL))

(2021/C 404/05)

El Parlamento Europeo,

— Visto el artículo 225 del Tratado de Funcionamiento de la Unión Europea,

— Vistos los artículos 114 y 169 del Tratado de Funcionamiento de la Unión Europea,

— Vista la Directiva 85/374/CEE del Consejo, de 25 de julio de 1985, relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros en materia de responsabilidad por los daños causados por productos defectuosos (1),

— Vista la Directiva 2005/29/CE del Parlamento Europeo y del Consejo, de 11 de mayo de 2005, relativa a las prácticas comerciales desleales de las empresas en sus relaciones con los consumidores en el mercado interior («Directiva sobre las prácticas comerciales desleales») (2) y la Directiva 2011/83/UE del Parlamento Europeo y del Consejo, de 25 de octubre de 2011, sobre los derechos de los consumidores (3), así como otras normas de protección del consumidor,

— Visto el Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios (4),

— Visto el Reglamento (UE) 2018/1488 del Consejo, de 28 de septiembre de 2018, por el que se crea la Empresa Común de Informática de Alto Rendimiento Europea (5),

— Vista la Directiva (UE) 2019/770 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales (6),

— Vistos el Acuerdo interinstitucional, de 13 de abril de 2016, sobre la mejora de la legislación y las directrices para la mejora de la legislación (7),

— Vista la propuesta de Reglamento del Parlamento Europeo y del Consejo, de 6 de junio de 2018, por el que se establece el programa Europa Digital para el período 2021-2027 (COM(2018)0434),

— Vista la Comunicación de la Comisión, de 25 de abril de 2018, titulada «Inteligencia artificial para Europa» (COM(2018)0237),

— Vista la Comunicación de la Comisión, de 7 de diciembre de 2018, titulada «Plan coordinado sobre la inteligencia artificial» (COM(2018)0795),

— Vista la Comunicación de la Comisión, de 8 de abril de 2019, titulada «Generar confianza en la inteligencia artificial centrada en el ser humano» (COM(2019)0168),

— Visto el Informe de la Comisión al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo, de 19 de febrero de 2020, sobre las repercusiones en materia de seguridad y responsabilidad civil de la inteligencia artificial, el internet de las cosas y la robótica (COM(2020)0064),

— Visto el Libro Blanco de la Comisión, de 19 de febrero de 2020, sobre la inteligencia artificial

— un enfoque europeo orientado a la excelencia y la confianza (COM(2020)0065),

— Vista su Resolución, de 16 de febrero de 2017, con recomendaciones destinadas a la Comisión sobre normas de Derecho civil sobre robótica (8),

— Vista su Resolución, de 1 de junio de 2017, sobre la digitalización de la industria europea (9),

— Vista su Resolución, de 12 de septiembre de 2018, sobre los sistemas armamentísticos autónomos (10),

— Vista su Resolución, de 12 de febrero de 2019, sobre una política industrial global europea en materia de inteligencia artificial y robótica (11),

— Vista su Resolución, de 12 de febrero de 2020, sobre los procesos automatizados de toma de decisiones: garantizar la protección de los consumidores y la libre circulación de bienes y servicios (12),

— Visto el informe, de 8 de abril de 2019, del Grupo de expertos de alto nivel sobre inteligencia artificial titulado «Directrices éticas para una IA fiable»,

— Visto el informe, de 8 de abril de 2019, del Grupo de expertos de alto nivel sobre inteligencia artificial titulado «Una definición de la inteligencia artificial: principales capacidades y disciplinas científicas»,

— Visto el informe, de 26 de junio de 2019, del Grupo de expertos de alto nivel sobre inteligencia artificial titulado «Recomendaciones estratégicas y de inversión para una IA fiable»,

— Visto el informe, de 21 de noviembre de 2019, del Grupo de expertos sobre responsabilidad y nuevas tecnologías

 —Formación sobre nuevas tecnologías, titulado «Liability for artificial intelligence and other emerging digital technologies» (Responsabilidad civil sobre inteligencia artificial y otras tecnologías digitales emergentes),

— Visto el estudio de evaluación del valor añadido europeo realizado por el Servicio de Estudios Parlamentarios (EPRS) titulado «Civil liability regime for artificial intelligence: European added value assessment» (Régimen de responsabilidad civil en materia de inteligencia artificial: valor añadido europeo) (13),

— Vista el documento informativo de STOA del Servicio de Estudios del Parlamento Europeo, de junio de 2016, sobre reflexiones éticas y jurídicas en materia de robótica (14),

— Visto el estudio de la Dirección General de Políticas Interiores del Parlamento Europeo, de octubre de 2016, para la Comisión de Asuntos Jurídicos, sobre normas de Derecho civil europeo en materia de robótica (15),

— Vistos los artículos 47 y 54 de su Reglamento interno,

— Vistas las opiniones de la Comisión de Mercado Interior y Protección del Consumidor y de la Comisión de Transportes y Turismo,

— Visto el informe de la Comisión de Asuntos Jurídicos (A9-0178/2020),

A. Considerando que el concepto de «responsabilidad civil» desempeña un importante doble papel en nuestra vida cotidiana: por una parte, garantiza que una persona que haya sufrido un daño o perjuicio tenga derecho a reclamar y recibir una indemnización a quien se haya demostrado que es responsable de dicho daño o perjuicio y, por otra parte, proporciona incentivos económicos para que las personas físicas o jurídicas eviten en primer lugar causar daños o perjuicios o consideren en su comportamiento el riesgo de tener que pagar una indemnización;

B. Considerando que cualquier marco jurídico en materia de responsabilidad civil orientado al futuro debe infundir confianza en la seguridad, fiabilidad y coherencia de los productos y servicios, incluidas las tecnologías digitales, a fin de lograr un equilibrio entre la protección eficaz y equitativa de las potenciales víctimas de daños o perjuicios y, al mismo tiempo, ofrecer un margen de maniobra suficiente para posibilitar a las empresas, y en particular a las pequeñas y medianas empresas, el desarrollo de nuevas tecnologías, productos o servicios; que esto ayudará a generar confianza ya crear estabilidad para la inversión; que, en última instancia, el objetivo de cualquier marco de responsabilidad civil debe ser ofrecer seguridad jurídica a todas las partes, ya sea el productor, el operador, la persona afectada o cualquier otro tercero;

C. Considerando que el ordenamiento jurídico de un Estado miembro puede modular sus normas sobre responsabilidad civil para determinados agentes o hacerlas más estrictas para determinadas actividades; que la responsabilidad objetiva significa que una parte puede ser considerada responsable pese a la ausencia de culpa; que, en muchas legislaciones nacionales en materia de responsabilidad civil, la parte demandada es considerada objetivamente responsable si un riesgo que dicha parte haya creado para el público, por ejemplo, mediante automóviles o actividades peligrosas, o un riesgo que no pueda controlar, como el originado por animales, resulta en un daño o perjuicio;

D. Considerando que cualquier legislación futura de la Unión que tenga por objeto la atribución expresa de responsabilidad en lo que se refiere a sistemas de inteligencia artificial (IA) debe ir precedida de un análisis y una consulta con los Estados miembros sobre el cumplimiento de condiciones económicas, jurídicas y sociales por parte del acto legislativo propuesto;

E. Considerando que la cuestión de un régimen de responsabilidad civil en materia de IA debe someterse a un amplio debate público que tenga en cuenta todos los intereses en juego, en particular los aspectos éticos, jurídicos, económicos y sociales, a fin de evitar las confusiones y los temores injustificados que esa tecnología pueda causar entre los ciudadanos; que el estudio cuidadoso de las consecuencias de cualquier nuevo marco normativo para todos los agentes en una evaluación de impacto debe ser un requisito previo para adoptar nuevas medidas legislativas;

F. Considerando que el concepto de sistemas de IA comprende un amplio grupo de tecnologías distintas, incluidos la simple estadística, el aprendizaje automático y el aprendizaje profundo;

G. Considerando que la utilización del término «toma de decisiones automatizada» podría evitar la posible ambigüedad del término IA; que la «toma de decisiones automatizada» implica que un usuario delegue inicialmente una decisión, en su totalidad o en parte, en una entidad mediante la utilización de un programa informático o de un servicio; que dicha entidad, a su vez, utiliza modelos de toma de decisiones ejecutados automáticamente para llevar a cabo una acción en nombre de un usuario o para informar las decisiones del usuario a la hora de realizar una acción;

H. Considerando que ciertos sistemas de IA presentan importantes retos jurídicos para el actual marco de responsabilidad civil y podrían dar lugar a situaciones en las que su opacidad podría hacer extremadamente costoso, o incluso imposible, determinar quién controlaba el riesgo asociado al sistema de IA o qué código, entrada o datos han provocado en última instancia el funcionamiento lesivo; que este factor podría dificultar la identificación de la relación entre el daño o perjuicio y el comportamiento que lo causa, con el resultado de que las víctimas podrían no recibir una indemnización adecuada;

I. Considerando que los retos jurídicos se derivan también de la conectividad entre un sistema de IA y otros sistemas ya sean o no de IA, su dependencia de los datos externos, su vulnerabilidad frente a las violaciones de la ciberseguridad y el diseño de sistemas de IA cada vez más autónomos que usan, entre otras, técnicas de aprendizaje automático y de aprendizaje profundo;

J. Considerando que unas normas éticas firmes para los sistemas de IA combinadas con procedimientos de indemnización sólidos y justos pueden ayudar a abordar estos retos jurídicos y eliminar el riesgo de que los usuarios se muestren reticentes a aceptar la tecnología emergente; que un procedimiento de indemnización justo supone que cada persona que sufra un daño causado por sistemas de IA o que sufra un menoscabo al patrimonio causado por sistemas de IA debe tener el mismo nivel de protección que en aquellos casos en que no haya implicación de un sistema de IA; que el usuario necesita estar seguro de que el posible perjuicio causado por sistemas que utilicen IA está cubierto por un seguro adecuado y de que existe una vía jurídica definida para el resarcimiento;

K. Considerando que la seguridad jurídica es también una condición esencial para el desarrollo dinámico y la innovación de la tecnología basada en la IA, en particular para las empresas emergentes, las microempresas y las pequeñas y medianas empresas, así como para su aplicación práctica en la vida cotidiana; que el papel fundamental de las empresas emergentes, las microempresas y las pequeñas y medianas empresas, en especial en la economía europea, justifica un enfoque estrictamente proporcionado que les permita desarrollarse e innovar;

L. Considerando que la diversidad de los sistemas de IA y la amplia gama de riesgos que la tecnología plantea dificultan los esfuerzos para hallar una solución única adecuada para todo el espectro de riesgos; que, a este respecto, debe adoptarse un enfoque en el que se utilicen experimentos, proyectos piloto y espacios limitados regulatorios para elaborar soluciones proporcionadas y con base empírica que aborden situaciones y sectores específicos cuando sea necesario;

Introducción

1. Considera que el reto relacionado con la introducción de sistemas de IA en la sociedad, el lugar de trabajo y la economía es una de las cuestiones más importantes de la agenda política actual; que las tecnologías basadas en la IA podrían y deberían procurar mejorar nuestras vidas en casi todos los sectores, desde la esfera personal (por ejemplo, sector de los transportes, educación personalizada, asistencia a personas vulnerables, programas de preparación física y concesión de créditos) al entorno de trabajo (por ejemplo, reducción de tareas tediosas y repetitivas) y a los retos mundiales (por ejemplo, la emergencia climática, la asistencia sanitaria, la nutrición y la logística);

2. Cree firmemente que, para aprovechar eficazmente las ventajas e impedir posibles malos usos de los sistemas de IA, así como para evitar la fragmentación normativa en la Unión, es fundamental una legislación uniforme, basada en principios y preparada para el futuro en toda la Unión para todos los sistemas de IA; opina que, si bien son preferibles reglamentaciones sectoriales específicas para la amplia gama de posibles aplicaciones, parece necesario contar con un marco jurídico horizontal y armonizado basado en principios comunes con el fin de garantizar la seguridad jurídica, establecer una igualdad de normas en toda la Unión y proteger eficazmente nuestros valores europeos y los derechos de los ciudadanos;

3. Afirma que el mercado único digital necesita una armonización plena puesto que el ámbito digital se caracteriza por una rápida dinámica transfronteriza y flujos de datos internacionales; considera que la Unión solo alcanzará los objetivos de mantener su soberanía digital y de impulsar la innovación digital en Europa con normas coherentes y comunes en consonancia con una cultura de innovación;

4. Observa que la carrera mundial de la IA ya está en marcha y que la Unión debe asumir el liderazgo en ella explotando su potencial científico y tecnológico; hace especial hincapié en que el desarrollo de tecnología no debe socavar la protección de los usuarios contra el perjuicio que puedan causar dispositivos y sistemas que utilicen IA; alienta la promoción de las normas de la Unión en materia de responsabilidad civil a escala internacional;

5. Cree firmemente que las nuevas normas comunes para los sistemas de IA solo deben adoptar la forma de un reglamento; considera que la cuestión de la responsabilidad civil en caso de daño o perjuicio causado por un sistema de IA es uno de los aspectos clave que deben abordarse en este contexto;

Responsabilidad civil e inteligencia artificial

6. Cree que no es necesaria una revisión completa de los regímenes de responsabilidad civil que funcionan bien, pero que, no obstante, la complejidad, la conectividad, la opacidad, la vulnerabilidad, la capacidad de ser modificados mediante actualizaciones, la capacidad de autoaprendizaje y la autonomía potencial de los sistemas de IA, así como la multitud de agentes involucrados representan un reto importante para la eficacia de las disposiciones del marco de responsabilidad civil de la Unión y nacional; considera que es necesario realizar adaptaciones específicas y coordinadas de los regímenes de responsabilidad civil para evitar situaciones en las que personas que sufran un daño o un menoscabo a su patrimonio acaben sin indemnización;

7. Observa que todas las actividades, dispositivos o procesos físicos o virtuales gobernados por sistemas de IA pueden ser técnicamente la causa directa o indirecta de un daño o un perjuicio, pero casi siempre son el resultado de que alguien ha construido o desplegado los sistemas o interferido en ellos; observa, a este respecto, que no es necesario atribuir personalidad jurídica a los sistemas de IA; opina que la opacidad, la conectividad y la autonomía de los sistemas de IA podrían dificultar o incluso imposibilitar en la práctica la trazabilidad de acciones perjudiciales específicas de los sistemas de IA hasta una intervención humana específica o decisiones de diseño; recuerda que, de conformidad con conceptos de responsabilidad civil ampliamente aceptados, se puede eludir, no obstante, este obstáculo haciendo responsables a las diferentes personas de toda la cadena de valor que crean, mantienen o controlan el riesgo asociado al sistema de IA;

8. Considera que la Directiva sobre responsabilidad por los daños causados por productos defectuosos ha demostrado ser, durante más de treinta años, un medio eficaz para obtener una indemnización por un daño causado por un producto defectuoso, pero que, no obstante, debe revisarse para adaptarla al mundo digital y abordar los retos que plantean las tecnologías digitales emergentes, para así garantizar un elevado nivel de protección efectiva de los consumidores y de seguridad jurídica para los consumidores y las empresas, a la vez que se evitan elevados costes y riesgos para las pymes y las empresas emergentes; insta a la Comisión a que evalúe si la Directiva sobre responsabilidad por los daños causados por productos defectuosos debe transformarse en un reglamento, a que aclare la definición de «productos», determinando para ello si el contenido digital y los servicios digitales entran dentro de su ámbito de aplicación, y a que considere la posibilidad de adaptar conceptos como «daño», «defecto» y «productor»; opina que, en aras de la seguridad jurídica en toda la Unión, tras la revisión de la Directiva, el concepto de «productor» debe incluir a fabricantes, desarrolladores, programadores, prestadores de servicios y operadores finales; pide a la Comisión que considere la posibilidad de revertir las normas que rigen la carga de la prueba para los daños ocasionados por las tecnologías digitales emergentes en casos claramente definidos y tras una adecuada evaluación; señala la importancia de garantizar que el acto de la Unión actualizado se limite a problemas claramente identificados para los que ya existen soluciones viables y, al mismo tiempo, permita la inclusión de futuros avances tecnológicos, incluidos los avances basados en programas informáticos libres y de código abierto; señala que la Directiva sobre responsabilidad por los daños causados por productos defectuosos debe seguir utilizándose en relación con las reclamaciones por responsabilidad civil contra el productor de un sistema de IA defectuoso, cuando el sistema de IA cumpla los requisitos para ser considerado un producto con arreglo a dicha Directiva; subraya que cualquier actualización del marco de responsabilidad por los productos debe ir de la mano de la actualización de la Directiva 2001/95/CE del Parlamento Europeo y del Consejo, de 3 de diciembre de 2001, relativa a la seguridad general de los productos (16), a fin de garantizar que los sistemas de IA incorporen los principios de seguridad y protección desde el diseño;

9. Considera que la legislación vigente de los Estados miembros en materia de responsabilidad subjetiva ofrece, en la mayoría de los casos, un nivel de protección suficiente a las personas que sufren perjuicios causados por un tercero interferidor como un pirata informático o a las personas que sufren menoscabo al patrimonio por ese tercero, ya que esta interferencia por regla general constituye una acción de responsabilidad civil subjetiva; observa que solo en casos específicos, incluidos aquellos en los que el tercero no sea rastreable o sea insolvente, parece necesario añadir normas en materia de responsabilidad civil para complementar la legislación nacional en materia de responsabilidad civil existente;

10. Considera, por consiguiente, que el presente informe debe centrarse en las reclamaciones por responsabilidad civil contra el operador de un sistema de IA; afirma que la responsabilidad civil del operador se justifica por el hecho de que controla un riesgo asociado al sistema de IA, comparable al del propietario de un automóvil; considera que, debido a la complejidad y conectividad de un sistema de IA, el operador será, en muchos casos, el primer punto de contacto visible para la persona afectada;

Responsabilidad civil del operador

11. Opina que las normas en materia de responsabilidad civil que afecten al operador deben cubrir todas las operaciones de los sistemas de IA, independientemente de dónde se lleve a cabo la operación y de que esta sea física o virtual; observa que las operaciones en espacios públicos que exponen a muchas personas a un riesgo constituyen, sin embargo, casos que requieren una consideración más profunda; considera que a menudo las víctimas potenciales de daños o perjuicios no son conscientes de la operación y no suelen disponer de derechos a reclamar por responsabilidad contractual contra el operador; señala que, si se produce un daño o perjuicio, esas personas solo tendrían una pretensión por responsabilidad subjetiva y podrían tener dificultades para demostrar la culpa del operador del sistema de IA, por lo que podrían fracasar las correspondientes demandas por responsabilidad civil;

12. Considera adecuado que por «operador» se entienda tanto al operador final como al operador inicial, siempre que a este último no se le aplique la Directiva sobre responsabilidad por los daños causados por productos defectuosos; señala que por «operador final» debe entenderse la persona física o jurídica que ejerce un grado de control sobre un riesgo asociado a la operación y el funcionamiento del sistema de IA y se beneficia de su funcionamiento; afirma que por «operador inicial» debe entenderse la persona física o jurídica que define, de forma continuada, las características de la tecnología, proporciona datos y un servicio de apoyo final de base esencial y, por tanto, ejerce también un grado de control sobre un riesgo asociado a la operación y el funcionamiento del sistema de IA; considera que por «ejercicio del control» se entiende cualquier acción del operador que influya en el funcionamiento del sistema de IA y, por consiguiente, en la medida en que expone a terceros a sus potenciales riesgos; considera que esas acciones podrían afectar al funcionamiento de un sistema de IA desde el inicio al fin, al determinar la entrada, la salida o los resultados, o podrían cambiar las funciones o procesos específicos dentro del sistema de IA;

13. Señala que podrían darse situaciones en las que haya más de un operador, por ejemplo, un operador final y un operador inicial; considera que, en ese caso, todos los operadores deben ser responsables civiles solidarios, aunque teniendo al mismo tiempo derecho a reclamar en la vía de regreso unos de otros de forma proporcional; opina que los porcentajes de responsabilidad deben venir determinados por los respectivos niveles de control que tengan los operadores sobre el riesgo relacionado con la operación y el funcionamiento del sistema de IA; considera que debe mejorarse la trazabilidad de los productos con el fin de identificar mejor a los que intervienen en las distintas fases;

Normas en materia de responsabilidad civil diferentes para riesgos diferentes

14. Reconoce que el tipo de sistema de IA sobre el que el operador ejerce control es un factor determinante en lo que respecta a la responsabilidad; observa que un sistema de IA que conlleve un alto riesgo inherente y actúe de manera autónoma potencialmente pone en peligro en mucha mayor medida al público en general; considera que, habida cuenta de los retos jurídicos que plantean los sistemas de IA para los regímenes de responsabilidad civil existentes, parece razonable establecer un régimen común de responsabilidad objetiva para los sistemas de IA autónomos de alto riesgo; subraya que este enfoque basado en el riesgo, que puede incluir varios niveles de riesgo, debe basarse en criterios claros y una definición adecuada de «alto riesgo», así como ofrecer seguridad jurídica;

15. Cree que un sistema de IA presenta un alto riesgo cuando su funcionamiento autónomo conlleva un potencial significativo de causar daño a una o más personas, de forma aleatoria y yendo más allá de lo que cabe esperar razonablemente; considera que, a la hora de determinar si un sistema de IA es de alto riesgo, también debe tenerse en cuenta el sector en el que cabe esperar que surjan riesgos importantes y la naturaleza de las actividades realizadas; considera que la magnitud del potencial depende de la relación entre la gravedad del posible daño, la probabilidad de que el riesgo cause un daño o un perjuicio y el modo en que se utiliza el sistema de IA;

16. Recomienda que todos los sistemas de IA de alto riesgo se enumeren de forma exhaustiva en un anexo del Reglamento propuesto; reconoce que, dado el rápido desarrollo tecnológico y los conocimientos técnicos necesarios, la Comisión debe revisar dicho anexo sin demoras injustificadas y, a más tardar, cada seis meses y, en caso necesario, modificarlo mediante un acto delegado; cree que la Comisión debe cooperar estrechamente con un comité permanente de nueva creación, similar al Comité Permanente sobre Precursores o al Comité Técnico sobre Vehículos de Motor ya existentes, que incluyen a expertos nacionales de los Estados miembros y a las partes interesadas; considera que la composición equilibrada del Grupo de expertos de alto nivel sobre la inteligencia artificial podría servir de ejemplo para la formación del grupo de partes interesadas, con la suma de expertos en ética, antropólogos, sociólogos y especialistas en salud mental; opina también que el Parlamento Europeo debe nombrar expertos consultivos para asesorar al comité permanente de nueva creación;

17. Señala que el desarrollo de tecnologías basadas en la IA es muy dinámico y está en continua aceleración; subraya que, a fin de garantizar una protección adecuada a los usuarios, se necesita un enfoque acelerado para analizar los potenciales riesgos de nuevos dispositivos y sistemas que utilicen los sistemas de IA que surjan en el mercado europeo; recomienda una simplificación en la mayor medida posible de todos los procedimientos en este sentido; propone, además, que la evaluación por parte de la Comisión de si un sistema de IA presenta un alto riesgo debe comenzar al mismo tiempo que la evaluación de la seguridad de los productos a fin de evitar una situación en la que un sistema de IA de alto riesgo ya esté aprobado para su comercialización pero aún no esté clasificado como de alto riesgo y, por tanto, funcione sin cobertura de seguro obligatoria;

18. Señala que la Comisión debe evaluar de qué manera la autoridad investigadora podría acceder a los datos recogidos, registrados o almacenados en sistemas de IA de alto riesgo y hacer uso de ellos a efectos de recabar pruebas en caso de daño o perjuicio causado por dicho sistema, y cómo podría mejorarse la trazabilidad y auditabilidad de dichos datos, teniendo en cuenta al mismo tiempo los derechos fundamentales y el derecho a la intimidad;

19. Afirma que, en consonancia con los sistemas de responsabilidad objetiva de los Estados miembros, la propuesta de Reglamento debe ser de aplicación a las violaciones de derechos importantes, jurídicamente protegidos, a la vida, la salud, la integridad física y la propiedad, y establecer los importes y el alcance de la indemnización, así como el plazo de prescripción; opina que el Reglamento propuesto debe incluir también los daños inmateriales significativos que den lugar a una pérdida económica comprobable por encima de un umbral, armonizado en el Derecho de la Unión en materia de responsabilidad civil, que equilibre el acceso a la justicia de las personas afectadas y los intereses de otras personas interesadas; insta a la Comisión a que revalúe y ajuste en el Derecho de la Unión los umbrales relativos a los daños y perjuicios; considera que la Comisión debe analizar en profundidad las tradiciones jurídicas de todos los Estados miembros y sus legislaciones nacionales vigentes que conceden una indemnización por daños inmateriales, a fin de evaluar si la inclusión de los daños inmateriales en actos legislativos específicos sobre IA es necesaria y si contradice el marco jurídico vigente de la Unión o socava el Derecho nacional de los Estados miembros;

20. Precisa que todas las actividades, dispositivos o procesos gobernados por sistemas de IA que ocasionen un daño o perjuicio pero no estén incluidos en el anexo del Reglamento propuesto deben seguir estando sujetos a la responsabilidad subjetiva; cree, no obstante, que la persona afectada debe poder acogerse a una presunción de culpa del operador, quien debe poder quedar eximido de culpa demostrando que ha observado el deber de diligencia;

21. Considera que un sistema de IA que aún no haya sido evaluado por la Comisión y el comité permanente de nueva creación y que, por lo tanto, todavía no esté clasificado como de alto riesgo ni incluido en la lista que figura en el anexo del Reglamento propuesto, debe, no obstante, quedar sujeto, como excepción al sistema previsto en el apartado 20, a una responsabilidad objetiva si ha causado incidentes reiterados que den lugar a un daño o un perjuicio grave; señala que, de ser ese el caso, la Comisión también debe evaluar, sin demora indebida, la necesidad de revisar dicho anexo para añadir el sistema de IA en cuestión a la lista; opina que, si, a raíz de dicha evaluación, la Comisión decide incluir dicho sistema de IA en la lista, dicha inclusión debe tener efecto retroactivo a partir del momento del primer incidente probado causado por dicho sistema que haya ocasionado un daño o un perjuicio grave;

22. Pide a la Comisión que evalúe la necesidad de disposiciones jurídicas a escala de la Unión en materia de contratos para evitar la inclusión de cláusulas contractuales de exención de la responsabilidad, también en las relaciones entre empresas y entre empresas y la administración;

Seguros y sistemas de IA

23. Considera que la cobertura de la responsabilidad civil es uno de los factores clave que define el éxito de las nuevas tecnologías, productos y servicios; observa que una cobertura de la responsabilidad civil adecuada es también esencial para garantizar que el público pueda confiar en la nueva tecnología, a pesar de las posibilidades de sufrir un daño o de hacer frente a demandas judiciales por parte de las personas afectadas; observa, al mismo tiempo, que este sistema regulador se centra en la necesidad de explotar y potenciar las ventajas de los sistemas de IA, a la vez que se establecen sólidas salvaguardias;

24. Opina que, sobre la base del potencial significativo para causar un daño o un perjuicio y teniendo en cuenta la Directiva 2009/103/CE del Parlamento Europeo y del Consejo, de 16 de septiembre de 2009, relativa al seguro de la responsabilidad civil que resulta de la circulación de vehículos automóviles, así como al control de la obligación de asegurar esta responsabilidad (17), todos los operadores de sistemas de IA de alto riesgo enumerados en el anexo del Reglamento propuesto deben ser titulares de un seguro de responsabilidad civil; considera que ese régimen de seguro obligatorio para los sistemas de IA de alto riesgo debe cubrir los importes y el alcance de la indemnización establecidos por el Reglamento propuesto; es consciente de que actualmente dicha tecnología es todavía muy inusual, ya que presupone un alto grado de toma de decisiones autónoma, y de que, por consiguiente, los debates actuales están orientados sobre todo al futuro; cree, no obstante, que la incertidumbre relacionada con los riesgos no debe hacer que las primas de seguro sean prohibitivamente elevadas y convertirse así en un obstáculo para la investigación y la innovación;

25. Cree que un mecanismo de indemnización a escala de la Unión, financiado con fondos públicos, no es la manera adecuada de colmar posibles lagunas en materia de seguros; considera que la falta de datos sobre los riesgos asociados a los sistemas de IA, unida a la incertidumbre sobre su evolución en el futuro, dificulta al sector de los seguros elaborar productos de seguro nuevos o adaptados; considera que es probable que dejar el desarrollo de un seguro obligatorio plenamente al mercado resulte en un enfoque de «talla única» con primas desproporcionadamente elevadas y los incentivos equivocados, alentando a los operadores a optar por el seguro más barato en lugar de por la mejor cobertura, lo que podría convertirse en un obstáculo para la investigación y la innovación; considera que la Comisión debe colaborar estrechamente con el sector de los seguros para estudiar la forma de poder utilizar datos y modelos innovadores para crear pólizas de seguro que ofrezcan una cobertura adecuada a un precio asequible;

Aspectos finales

26. Pide a la Comisión que le someta, sobre la base del artículo 225 del Tratado de Funcionamiento de la Unión Europea, una propuesta de Reglamento sobre la responsabilidad civil por el funcionamiento de los sistemas de inteligencia artificial, siguiendo las recomendaciones que se recogen en el anexo;

27. Considera que la propuesta solicitada carece de repercusiones financieras;

28. Encarga a su presidente que transmita la presente Resolución y las recomendaciones que se recogen en el anexo a la Comisión y al Consejo.

ANEXO A LA RESOLUCIÓN:

RECOMENDACIONES DETALLADAS PARA LA ELABORACIÓN DE UN REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO RELATIVO A LA RESPONSABILIDAD CIVIL POR EL FUNCIONAMIENTO DE LOS SISTEMAS DE INTELIGENCIA ARTIFICIAL

A. PRINCIPIOS Y OBJETIVOS DE LA PROPUESTA SOLICITADA

El presente informe aborda un aspecto importante de la digitalización que viene configurado por las actividades transfronterizas, la competencia mundial y consideraciones sociales básicas. Los siguientes principios deben servir de orientación:

1. Un mercado único digital genuino requiere una armonización completa mediante un reglamento.

2. Los nuevos retos jurídicos que plantea el desarrollo de sistemas de inteligencia artificial (IA) deben abordarse estableciendo la máxima seguridad jurídica a lo largo de la cadena de responsabilidad, en particular para el productor, el operador, la persona afectada y cualquier otro tercero.

3. No debe haber una sobrerregulación y debe evitarse la carga burocrática, ya que, de lo contrario, se obstaculizaría la innovación europea en materia de IA, especialmente en caso de que la tecnología, los productos o los servicios sean desarrollados por pymes o empresas emergentes.

4. Las normas de responsabilidad civil para la IA deben tratar de lograr un equilibrio entre la protección del público, por una parte, y los incentivos empresariales para invertir en innovación, especialmente en sistemas de IA, por otra.

5. En lugar de sustituir los regímenes de responsabilidad civil existentes, que funcionan correctamente, deben realizar algunos ajustes necesarios mediante la introducción de ideas nuevas y orientadas al futuro.

6. La futura propuesta de Reglamento y la Directiva sobre responsabilidad por los daños causados por productos defectuosos constituyen los dos pilares de un marco común de responsabilidad civil para los sistemas de IA y requieren una estrecha coordinación y concertación entre todos los agentes políticos, a nivel nacional y de la Unión.

7. Los ciudadanos deben tener derecho al mismo nivel de protección y de derechos, independientemente de si el daño es causado por un sistema de IA o no, o de si tiene lugar física o virtualmente, de tal forma que aumente su confianza en la nueva tecnología.

8. En la futura propuesta de Reglamento deben tenerse en cuenta tanto el daño material como el daño inmaterial. Sobre la base, entre otros documentos, de su Informe de 19 de febrero de 2020 sobre las repercusiones en materia de seguridad y responsabilidad civil de la inteligencia artificial, el internet de las cosas y la robótica, se pide a la Comisión Europea que analice en profundidad las tradiciones jurídicas de todos los Estados miembros, así como las disposiciones legislativas vigentes que conceden una indemnización por daños inmateriales, a fin de evaluar si la inclusión de los daños inmateriales en la futura propuesta de Reglamento es jurídicamente sólida y necesaria desde el punto de vista de la persona afectada. De acuerdo con la información actualmente disponible, el Parlamento considera que debe incluirse el daño inmaterial significativo si la persona afectada sufre una pérdida económica apreciable, es decir, una pérdida económica comprobable.

B. TEXTO DE LA PROPUESTA SOLICITADA

Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la responsabilidad civil por el funcionamiento de los sistemas de inteligencia artificial

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, en particular, su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1),

De conformidad con el procedimiento legislativo ordinario (2),

Considerando lo siguiente:

(1) El concepto de «responsabilidad civil» desempeña un importante doble papel en nuestra vida cotidiana: por una parte, garantiza que una persona que haya sufrido un daño o perjuicio tenga derecho a reclamar una indemnización a quien se haya considerado responsable de dicho daño o perjuicio y, por otra parte, proporciona incentivos económicos para que las personas eviten en primer lugar causar daños o perjuicios. Cualquier marco en materia de responsabilidad civil debe aspirar a infundir confianza en la seguridad, fiabilidad y coherencia de los productos y servicios, incluidas las tecnologías digitales emergentes, como la inteligencia artificial (IA), el internet de las cosas o la robótica, a fin de lograr un equilibrio entre la protección eficaz de las potenciales víctimas de un daño o un perjuicio y, al mismo tiempo, ofrecer un margen de maniobra suficiente para posibilitar el desarrollo de nuevas tecnologías, productos o servicios.

(2) En particular al principio del ciclo de vida de los nuevos productos y servicios, tras haber sido probados previamente, existe cierto nivel de riesgo para el usuario, así como para terceras personas, de que algo no funcione correctamente. Este proceso de prueba y error también es, al mismo tiempo, un factor clave para el progreso técnico, sin el cual la mayor parte de nuestras tecnologías no existirían. Hasta ahora, los riesgos asociados a nuevos productos y servicios se han visto atenuados adecuadamente por la sólida legislación en materia de seguridad de los productos y las normas sobre responsabilidad civil.

(3) El auge de la IA plantea, sin embargo, un reto importante para los actuales marcos de responsabilidad civil. La utilización de sistemas de IA en nuestra vida cotidiana lleva a situaciones en las que su opacidad (el elemento «caja negra») y el gran número de agentes que intervienen en su ciclo de vida podrían hacer extremadamente costoso, o incluso imposible, determinar quién controlaba el riesgo asociado al uso del sistema de IA en cuestión o qué código o entrada ha provocado en última instancia el funcionamiento lesivo. Esta dificultad se ve agravada por la conectividad entre un sistema de IA y otros sistemas ya sean o no de IA, por su dependencia de los datos externos, por su vulnerabilidad frente a las violaciones de la ciberseguridad y por la creciente autonomía de los sistemas de IA debido a las capacidades de aprendizaje automático y de aprendizaje profundo. Además de estas características complejas y las posibles vulnerabilidades, los sistemas de IA también podrían utilizarse para causar daños graves, por ejemplo, poniendo en peligro la dignidad humana y los valores y libertades europeos mediante el seguimiento de las personas contra su voluntad, la introducción de sistemas de crédito social o la toma de decisiones sesgadas en materia de seguro de enfermedad, concesión de crédito, autos judiciales, contratación o empleo o mediante la construcción de sistemas armamentísticos autónomos letales.

(4) Es importante señalar que las ventajas del despliegue de sistemas de IA compensarán con creces sus desventajas. Ayudarán a combatir el cambio climático de manera más eficaz, a mejorar los exámenes médicos y las condiciones de trabajo, a integrar mejor a las personas con discapacidad y las personas mayores en la sociedad y a ofrecer cursos de educación a medida para todo tipo de estudiantes. Para aprovechar las distintas oportunidades tecnológicas e impulsar la confianza de los ciudadanos en el uso de los sistemas de IA, al mismo tiempo que se evitan situaciones perjudiciales, la mejor manera de avanzar son unas normas éticas firmes combinadas con procedimientos de indemnización justos y sólidos.

(5) También es necesario un régimen de responsabilidad civil adecuado para contrarrestar la infracción de las normas de seguridad. No obstante, el régimen de responsabilidad civil establecido en el presente Reglamento debe tener en cuenta todos los intereses en juego. El estudio cuidadoso de las consecuencias de cualquier nuevo marco normativo  para las pequeñas y medianas empresas (pymes) y las empresas emergentes es un requisito previo a la adopción de cualquier nueva medida legislativa. El papel fundamental que esas empresas desempeñan en la economía europea justifica un enfoque estrictamente proporcionado para permitirles desarrollarse e innovar. Por otra parte, las víctimas de daños o perjuicios causados por sistemas de IA deben tener derecho a resarcimiento y a la plena indemnización de los daños o perjuicios que hayan sufrido.

(6) Cualquier cambio necesario del marco jurídico vigente debe comenzar con la aclaración de que los sistemas de IA no tienen personalidad jurídica ni conciencia humana, y que su única función es servir a la humanidad. Muchos sistemas de IA tampoco son tan diferentes de otras tecnologías basadas, a veces, en programas informáticos aún más complejos. En última instancia, la gran mayoría de los sistemas de IA se utiliza para efectuar tareas triviales, sin riesgo o con riesgos mínimos para la sociedad. La utilización del término «toma de decisiones automatizada» podría evitar la posible ambigüedad del término IA. Ese término describe una situación en la que un usuario delega inicialmente una decisión, en su totalidad o en parte, en una entidad mediante un programa informático o un servicio. Esa entidad, a su vez, utiliza modelos de toma de decisiones ejecutados automáticamente para llevar a cabo una acción en nombre de un usuario o para informar la decisión del usuario a la hora de realizar una acción;

(7) Sin embargo, existen también sistemas de IA que se desarrollan y despliegan de manera crítica y se basan en tecnologías como redes neuronales y procesos de aprendizaje profundo. Su opacidad y autonomía podrían dificultar la trazabilidad de acciones específicas hasta decisiones humanas específicas en su diseño o en su funcionamiento. Un operador de un sistema de IA de este tipo podría, por ejemplo, argumentar que la actividad, el dispositivo o el proceso físico o virtual que causa el daño o perjuicio se encontraba fuera de su control debido a que fue causado por un funcionamiento autónomo de su sistema de IA. Además, el mero funcionamiento de un sistema de IA autónomo no debe constituir un motivo suficiente para admitir una demanda por responsabilidad civil. Por consiguiente, puede haber casos de responsabilidad civil en los que la atribución de la responsabilidad puede ser injusta o ineficiente, o en los que una persona que sufra un daño o perjuicio causado por un sistema de IA no pueda demostrar la culpa del productor, de un tercero interferidor o del operador y acabe sin indemnización alguna.

(8) No obstante, debe quedar siempre claro que la persona que cree el sistema de IA, lo mantenga, lo controle o interfiera en él debe ser responsable del daño o perjuicio que cause la actividad, el dispositivo o el proceso. Esto se desprende de conceptos de justicia en materia de responsabilidad civil ampliamente aceptados y de carácter general en virtud de los cuales la persona que crea o mantiene un riesgo para el público es responsable si dicho riesgo causa un daño o un perjuicio y, por lo tanto, debe minimizar ex ante o indemnizar ex post dicho riesgo. Por consiguiente, el auge de los sistemas de IA no implica la necesidad de revisar completamente las normas en materia de responsabilidad civil en toda la Unión. Unos ajustes concretos de la legislación vigente y la introducción de nuevas disposiciones bien ponderadas y orientadas serían suficientes para hacer frente a los retos que plantea la IA, a fin de evitar la fragmentación normativa y garantizar la armonización de la legislación en materia de responsabilidad civil en toda la Unión en relación con la IA.

(9) La Directiva 85/374/CEE del Consejo sobre responsabilidad por los daños causados por productos defectuosos (3) ha demostrado ser durante más de treinta años un medio eficaz para obtener una indemnización por los perjuicios causados por un producto defectuoso. Por lo tanto, también debe utilizarse en relación con las reclamaciones por responsabilidad civil presentadas contra el productor de un sistema de IA defectuoso por una parte que sufra un daño o perjuicio. En consonancia con los principios de mejora de la legislación de la Unión, todo ajuste legislativo necesario debe debatirse durante la revisión necesaria de dicha Directiva. La legislación vigente de los Estados miembros en materia de responsabilidad subjetiva también ofrece, en la mayoría de los casos, un nivel de protección suficiente a las personas que sufren un daño o un perjuicio causado por un tercero interferidor, ya que esta interferencia por regla general constituye una acción de responsabilidad subjetiva en la que el tercero utiliza el sistema de IA para causar daños. Por consiguiente, el presente Reglamento debe centrarse en las reclamaciones contra el operador de un sistema de IA.

(10) En el marco del presente Reglamento, la responsabilidad civil del operador se basa en el hecho de que ejerce un grado de control sobre un riesgo asociado al funcionamiento y la operación de un sistema de IA, comparable al del propietario de un vehículo. Cuanto mayor sea el grado de sofisticación y de autonomía de un sistema, mayor será el impacto de la definición y la alteración de los algoritmos, por ejemplo a través de actualizaciones constantes. Dado

que a menudo podría considerarse, de manera significativa, que hay más de una persona «operando» el sistema de IA, con arreglo al presente Reglamento el término «operador» debe entenderse que comprende tanto al operador final como al final. Aunque en general el operador final parece ser la persona que decide «principalmente» el uso del sistema de IA, el operador inicial podría, de hecho, tener un grado de control más elevado sobre los riesgos operativos. Si el operador inicial también tiene la condición de «productor» en el sentido del artículo 3 de la Directiva sobre responsabilidad por los daños causados por productos defectuosos, debe aplicársele dicha Directiva. Si solo hay un operador y dicho operador es también el productor del sistema de IA, el presente Reglamento debe prevalecer sobre la Directiva sobre responsabilidad por los daños causados por productos defectuosos.

(11) Si un usuario, es decir, la persona que utiliza el sistema de IA, está involucrado en el incidente que causa el daño, solo debe ser considerado responsable en virtud del presente Reglamento si el usuario también tiene la condición de operador. En caso contrario, el grado de contribución manifiestamente imprudente o dolosa del usuario al riesgo podría conducir a la responsabilidad subjetiva del usuario ante el demandante. Los derechos del consumidor aplicables del usuario no deben verse afectados.

(12) El presente Reglamento debe permitir a la persona afectada presentar demandas por responsabilidad civil a lo largo de la cadena de responsabilidad y de todo el ciclo de vida de un sistema de IA. También debe abarcar todos los sistemas de IA, independientemente del lugar de operación y de si esta es de carácter físico o virtual. Sin embargo, la mayoría de las demandas por responsabilidad civil en virtud del presente Reglamento deben abordar casos de responsabilidad ante terceros en los que un sistema de IA funciona en un espacio público y expone a numerosas personas a un riesgo. En este tipo de situaciones, las personas afectadas a menudo no estarán al tanto del sistema de IA que se utiliza ni tendrán una relación contractual o jurídica con el operador. Por consiguiente, la utilización del sistema de IA los coloca en una situación en la que, en caso de daño o perjuicio, solo pueden pretender reclamar la responsabilidad subjetiva del operador del sistema de IA, al tiempo que se enfrentan a graves dificultades para demostrar la culpa del operador.

(13) El tipo de sistema de IA sobre el que el operador ejerce el control es un factor determinante. Un sistema de IA que implique un alto riesgo puede poner en peligro al usuario o al público en un grado mucho más elevado y de manera aleatoria y yendo más allá de lo que cabe esperar razonablemente. Esto significa que, al inicio del funcionamiento autónomo del sistema de IA, la mayoría de las personas potencialmente afectadas no son ni conocidas ni identificables (por ejemplo, las personas que se encuentren en una plaza pública o en una casa vecina), a diferencia de lo que ocurre en el caso del funcionamiento de un sistema de IA en el que participan personas concretas, que han dado regularmente su consentimiento previo para su despliegue, por ejemplo, una intervención quirúrgica en un hospital o una demostración comercial en una tienda pequeña. La definición de la importancia del potencial de un sistema de IA de alto riesgo de causar daños o perjuicios depende de la interacción entre la finalidad de uso para la que se comercializa el sistema de IA, la forma en que se usa el sistema de IA, la gravedad del daño o perjuicio potencial, el grado de autonomía de la toma de decisiones que puede resultar en daños y de la probabilidad de que el riesgo se materialice. El grado de gravedad debe determinarse sobre la base de factores relevantes como la magnitud del daño potencial resultante del funcionamiento en las personas afectadas, incluido, en particular, el efecto en los derechos fundamentales, el número de personas afectadas, el valor total del posible perjuicio y el daño a la sociedad en su conjunto. La probabilidad del daño o perjuicio debe determinarse sobre la base de factores relevantes como el papel de los cálculos algorítmicos en el proceso de toma de decisiones, la complejidad de la decisión y la reversibilidad de los efectos. En última instancia, la forma de uso debe depender de factores relevantes como el contexto y el sector en el que opera el sistema de IA, si puede tener efectos jurídicos o fácticos sobre derechos importantes de la persona afectada jurídicamente protegidos y de si los efectos pueden evitarse razonablemente.

(14) En un anexo al Reglamento presente deben enumerarse exhaustivamente todos los sistemas de IA de alto riesgo. Habida cuenta de la rápida evolución técnica y del mercado a escala mundial, así como de los conocimientos técnicos que se necesitan para una revisión adecuada de los sistemas de IA, deben delegarse en la Comisión poderes para adoptar actos delegados con arreglo al artículo 290 del Tratado de Funcionamiento de la Unión Europea con el fin de modificar el presente Reglamento en lo que se refiere a los tipos de sistemas de IA que entrañan un alto riesgo y los sectores críticos en los que se usan. Sobre la base de las definiciones y disposiciones recogidas en el presente Reglamento, la Comisión debe revisar el anexo en el plazo más breve posible y, en todo caso cada seis meses y, si procede, modificarlo mediante actos delegados. La evaluación por parte de la Comisión de si un sistema de IA presenta un riesgo elevado debe comenzar al mismo tiempo que la evaluación de la seguridad de los productos a fin de evitar una situación en la que un sistema de IA de alto riesgo ya esté aprobado para su comercialización pero aún no esté clasificado como de alto riesgo y, por tanto, funcione sin cobertura de seguro obligatoria. Para que las empresas y los organismos de investigación dispongan de seguridad suficiente en términos de planificación e inversión, los cambios en los sectores críticos solo deben realizarse cada doce meses. Debe instarse a los operadores a que informen a la Comisión de si están trabajando en una nueva tecnología, productos o servicios que se inscriban en uno de los sectores críticos existentes previstos en el anexo y que posteriormente podrían clasificarse como sistema de IA de alto riesgo.

(15) Reviste especial importancia que la Comisión lleve a cabo consultas periódicas adecuadas con todas las partes interesadas pertinentes durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional, de 13 de abril de 2016, sobre la mejora de la legislación (4). La Comisión debe ser apoyada en su revisión periódica por un comité permanente denominado «Comité técnico — sistemas de IA de alto riesgo» (TCRAI, por sus siglas en inglés), de conformidad con el presente Reglamento. Este comité permanente debe incluir representantes de los Estados miembros, así como una selección equilibrada de las partes interesadas, incluidas asociaciones de consumidores, asociaciones que representan a las personas afectadas, representantes de empresas de distintos sectores y tamaños, así como investigadores y científicos. En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión y del Comité mencionado anteriormente que se ocupen de la preparación de actos delegados.

(16) El presente Reglamento debe cubrir los daños o perjuicios a la vida, la salud, la integridad física, la propiedad y los daños morales significativos que den lugar a una pérdida económica comprobable por encima de un umbral, armonizado en el Derecho de la Unión en materia de responsabilidad civil, que equilibre el acceso a la justicia de las personas afectadas con los intereses de otras personas implicadas. La Comisión debe reevaluar y ajustar en el Derecho de la Unión los umbrales relativos a los perjuicios. Por daño moral significativo debe entenderse un daño como consecuencia del cual la persona afectada sufre un perjuicio considerable, un menoscabo objetivo y demostrable de sus intereses personales y una pérdida económica calculada teniendo en cuenta, por ejemplo, las cifras medias anuales de ingresos anteriores y otras circunstancias pertinentes. El presente Reglamento también debe determinar el importe y el alcance de la indemnización, así como el plazo de prescripción para presentar demandas en materia de responsabilidad civil. El presente Reglamento debe establecer un límite máximo de indemnización significativamente inferior que el recogido en la Directiva sobre responsabilidad por los daños causados por productos defectuosos, ya que el Reglamento solo se refiere al daño o perjuicio de una sola persona resultante de una única utilización de un sistema de IA, mientras que dicha Directiva se refiere a una serie de productos o, incluso, a una línea de productos con el mismo defecto.

(17) Todas las actividades, dispositivos o procesos físicos o virtuales gobernados por los sistemas de IA que no se incluyan en la lista del anexo del presente Reglamento como sistemas de IA de alto riesgo deben seguir estando sujetos a la responsabilidad subjetiva, a menos que estén en vigor leyes nacionales o legislación en materia de protección de los consumidores más estrictas. Deben seguir aplicándose las legislaciones nacionales de los Estados miembros, incluida cualquier jurisprudencia pertinente, en relación con el importe y el alcance de la indemnización, así como el plazo de prescripción. No obstante, una persona que sufra un daño o perjuicio causado por un sistema de IA y que no se incluya en la lista como sistema de IA de alto riesgo debe acogerse a la presunción de culpa del operador.

(18) La diligencia debida que cabe esperar de un operador debe ser acorde con i) la naturaleza del sistema de IA; ii) el derecho jurídicamente protegido potencialmente afectado; iii) el daño o perjuicio potencial que podría causar el sistema de IA; y iv) la probabilidad de dicho perjuicio. Por consiguiente, debe tenerse en cuenta que el operador podría tener un conocimiento limitado de los algoritmos y datos utilizados en el sistema de IA. Se debe suponer que el operador ha prestado la debida atención que cabe esperar razonablemente de él al seleccionar un sistema de IA adecuado si ha seleccionado un sistema de IA que ha sido certificado conforme a un sistema similar al sistema de etiquetado voluntario previsto por la Comisión (5). Se debe suponer que el operador ha prestado la debida atención que cabe esperar razonablemente de él durante el funcionamiento del sistema de IA, si el operador puede demostrar que ha supervisado real y periódicamente el sistema de IA durante su funcionamiento y si ha informado al fabricante sobre posibles irregularidades durante el mismo. Se debe suponer que el operador ha prestado la debida atención que cabe esperar razonablemente de él en lo que se refiere al mantenimiento de la fiabilidad operativa si ha instalado todas las actualizaciones disponibles proporcionadas por el productor del sistema de IA. Dado que el grado de sofisticación de los operadores puede variar en función de si son meros consumidores o profesionales, los deberes de diligencia deben adaptarse en consecuencia.

(19) Para que el operador pueda demostrar que no es responsable o para permitir que la persona afectada pueda demostrar la existencia de culpa, los productores han de tener el deber de colaborar con las dos partes interesadas, también mediante la facilitación de información bien documentada. Tanto los productores establecidos en la Unión como fuera de ella deben tener, además, la obligación de designar a un representante en materia de responsabilidad civil de la IA en la Unión como punto de contacto para responder a todas las solicitudes de los operadores, de modo similar a los delegados de protección de datos de conformidad con el artículo 37 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (6), a los representantes del fabricante definidos en el artículo 3, punto 41, del Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo (7), o al representante autorizado mencionado en el artículo 4, apartado 2, y en el artículo 5 del Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo (8).

(20) El legislador debe tener en cuenta los riesgos en materia de responsabilidad civil relacionados con los sistemas de IA durante todo su ciclo de vida, desde el desarrollo, pasando por su uso hasta el fin de su vida útil, incluida la gestión de residuos y del reciclado. La inclusión de sistemas de IA en un producto o servicio representa un riesgo financiero para las empresas y, por consiguiente, va a tener un fuerte impacto en la capacidad y las opciones de las pymes, así como de las empresas emergentes, en materia de seguros y de financiación de sus proyectos de investigación ydesarrollo basados en nuevas tecnologías. El objetivo de la responsabilidad civil, por lo tanto, no es solo salvaguardar importantes derechos de las personas que están jurídicamente protegidos sino también determinar si las empresas, en particular las pymes y las empresas emergentes, son capaces de reunir capital, innovar, investigar y, en última instancia, ofrecer productos y servicios nuevos, así como si los clientes confían en esos productos y servicios y están dispuestos a usarlos a pesar de los riesgos potenciales y de las demandas judiciales que se presenten en relación con dichos productos o servicios.

(21) El seguro puede garantizar que las víctimas perciban una indemnización efectiva y mutualizar los riesgos de todas las personas aseguradas. Uno de los factores en los que las compañías de seguros basan su oferta de productos y servicios de seguros es la evaluación de riesgos basada en el acceso a datos históricos suficientes en relación con las reclamaciones. Un acceso deficiente a datos de calidad elevada o una cantidad insuficiente de este tipo de datos podría ser una de las razones por las que en un principio resulta difícil crear productos de seguro para las tecnologías nuevas y emergentes. Sin embargo, un mayor acceso y la optimización del uso de los datos generados por las nuevas tecnologías, combinados con la obligación de facilitar información bien documentada, aumentaría la capacidad de las aseguradoras para modelar el riesgo emergente y fomentar el desarrollo de una cobertura más innovadora.

(22) Debido a la ausencia de datos históricos sobre las reclamaciones, debe investigarse cómo y en qué condiciones es asegurable la responsabilidad, con vistas a establecer un vínculo entre el seguro y el producto y no con la persona responsable. Ya existen productos de seguro que se desarrollan por ámbito y cobertura a medida que se desarrolla la tecnología. Numerosas compañías de seguros se especializan en determinados segmentos del mercado (por ejemplo, las pymes) o en brindar cobertura a determinados tipos de productos (por ejemplo, los aparatos eléctricos), lo que significa que, por lo general, el asegurado tendrá a su disposición un producto de seguro. Sin embargo, es difícil concebir una solución de «talla única» y el mercado de los seguros necesitará tiempo para adaptarse. La Comisión debe colaborar estrechamente con el mercado de los seguros para desarrollar productos de seguro innovadores que podrían colmar esa laguna en la materia. En casos excepcionales, como en el caso de que se produzcan daños colectivos, en los que la indemnización exceda de modo significativo los importes máximos establecidos en el presente Reglamento, debe alentarse a los Estados miembros a crear un fondo especial de indemnización para un período de tiempo limitado que responda a las necesidades específicas de esos casos. También podrían crearse fondos especiales de indemnización para cubrir aquellos casos excepcionales en los que un sistema de IA, que aún no esté clasificado como sistema de IA de alto riesgo y que, por tanto, todavía no está asegurado, cause daños o perjuicios. A fin de garantizar la seguridad jurídica y cumplir la obligación de informar a todas las personas potencialmente afectadas, la existencia del fondo especial de indemnización, así como las condiciones para acogerse a él, deben hacerse públicas de manera clara y exhaustiva.

(23) Reviste gran importancia que los posibles cambios al presente Reglamento que se introduzcan en el futuro vayan acompañados de la necesaria revisión de la Directiva sobre responsabilidad por los daños causados por productos defectuosos a fin de revisarla de manera integral y coherente y garantizar los derechos y obligaciones de todas las partes interesadas a lo largo de la cadena de responsabilidad civil. La introducción de un nuevo régimen de responsabilidad civil en relación con el operador de sistemas de la IA requiere que las disposiciones del presente Reglamento y la revisión de la Directiva sobre responsabilidad por los daños causados por productos defectuosos se coordinen estrechamente, tanto en términos de fondo como de enfoque, de modo que, juntas, constituyan un marco de responsabilidad civil coherente para los sistemas de IA, que equilibre los intereses del productor, del operador, del consumidor y de la persona afectada en lo que respecta al riesgo de responsabilidad civil y los regímenes de indemnización relevantes. Por lo tanto, adaptar y racionalizar las definiciones de sistemas de IA, operador final e inicial, productor, defecto, producto y servicio en todas las disposiciones legislativas parece necesario y debe contemplarse al mismo tiempo.

(24) Los objetivos que persigue el presente Reglamento, a saber, la adopción de un enfoque orientado hacia el futuro y unificado a escala de la Unión que establezca normas europeas comunes para los ciudadanos y empresas europeos y que garantice la coherencia de los derechos y la seguridad jurídica en el conjunto de la Unión, a fin de evitar la fragmentación del mercado único digital, lo que obstaculizaría el objetivo de mantener la soberanía digital, de fomentar la innovación digital en Europa y de garantizar un nivel elevado de protección de los derechos de los ciudadanos y los consumidores, exigen una armonización plena de los regímenes de responsabilidad civil aplicables a los sistemas de IA. Los Estados miembros no pueden lograr los objetivos perseguidos en la medida adecuada, debido a la velocidad de los cambios de carácter tecnológico, al desarrollo transfronterizo así como al uso de los sistemas de IA y, en última instancia, a los enfoques legislativos contradictorios en el conjunto de la Unión, sino que, debido a la dimensión o a los efectos de la acción, esos objetivos pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de conformidad con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos,

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I. DISPOSICIONES GENERALES

Artículo 1. Objeto

El presente Reglamento establece normas en relación con las demandas por responsabilidad civil de las personas físicas y jurídicas contra los operadores de sistemas de IA.

Artículo 2. Ámbito de aplicación

1. El presente Reglamento se aplica en el territorio de la Unión a aquellos casos en que una actividad física o virtual, un dispositivo o un proceso gobernado por un sistema de IA haya causado daños o perjuicios a la vida, la salud, la integridad física de una persona física y los bienes de una persona física o jurídica, o bien haya causado daños morales considerables que den lugar a una pérdida económica comprobable.

2. Todo acuerdo celebrado entre un operador de un sistema de IA y una persona física o jurídica que sufra un daño o perjuicio como consecuencia de un sistema de IA, que eluda o limite los derechos y obligaciones establecidos en el presente Reglamento, celebrado bien antes o después de haberse causado el daño o perjuicio, será considerado nulo por lo que respecta a los derechos y obligaciones estipulados en virtud del presente Reglamento.

3. El presente Reglamento se entiende sin perjuicio de cualquier otra demanda en materia de responsabilidad civil derivada de las relaciones contractuales, así como de la normativa sobre responsabilidad por los daños causados por productos defectuosos, la protección de los consumidores, la lucha contra la discriminación y la protección laboral y del medio ambiente, entre el operador y la persona física o jurídica que haya sufrido un daño o perjuicio a causa del sistema de IA y de que se pueda presentar contra el operador de conformidad con el Derecho de la Unión o nacional

Artículo 3. Definiciones

A efectos del presente Reglamento, se entenderá por:

a) «sistema de inteligencia artificial»: todo sistema basado en programas informáticos o incorporado en dispositivos físicos que muestra un comportamiento que simula la inteligencia, entre otras cosas, mediante la recopilación y el tratamiento de datos, el análisis y la interpretación de su entorno y la actuación, con cierto grado de autonomía, para lograr objetivos específicos;

b) «autónomo»: todo sistema de inteligencia artificial que funciona interpretando determinados datos de entrada y utilizando un conjunto de instrucciones predeterminadas, sin limitarse a ellas, a pesar de que el comportamiento del sistema esté limitado y orientado a cumplir el objetivo que se le haya asignado y otras decisiones pertinentes de diseño tomadas por su desarrollador;

c) «alto riesgo»: el potencial significativo en un sistema de IA que funciona de forma autónoma para causar daños o perjuicios a una o más personas de manera aleatoria y que excede lo que cabe esperar razonablemente; la magnitud del potencial depende de la relación entre la gravedad del posible daño o perjuicio, el grado de autonomía de la toma de decisiones, la probabilidad de que el riesgo se materialice y el modo y el contexto en que se utiliza el sistema de IA;

d) «operador»: tanto el operador final como el inicial, siempre que la responsabilidad civil de este último no esté ya cubierta por la Directiva 85/374/CEE;

e) «operador final»: toda persona física o jurídica que ejerce un grado de control sobre un riesgo asociado a la operación y el funcionamiento del sistema de IA y se beneficia de su funcionamiento;

f) «operador inicial»: toda persona física o jurídica que define, de forma continuada, las características de la tecnología y proporciona datos y un servicio de apoyo final de base esencial y, por tanto, ejerce también grado de control sobre un riesgo asociado a la operación y el funcionamiento del sistema de IA;

g) «control»: toda acción de un operador que influya en el funcionamiento de un sistema de IA y, por consiguiente, la medida en que el operador expone a terceros a los potenciales riesgos asociados a la operación y al funcionamiento del sistema de IA; esa acción puede afectar al funcionamiento en cualquier fase al determinar la entrada, la salida o resultados o pueden cambiar funciones o procesos específicos dentro del sistema de IA; el grado en que estos aspectos del funcionamiento del sistema de IA están determinados por la acción depende del nivel de influencia que el operador tenga sobre el riesgo relacionado con la operación y el funcionamiento del sistema de IA;

h) «persona afectada»: toda persona que sufre daños o perjuicios por una actividad física o virtual, un dispositivo o un proceso gobernado por un sistema de IA, y que no sea su operador;

i) «daño o perjuicio»: impacto adverso que afecta a la vida, la salud, la integridad física de una persona física, los bienes de una persona física o jurídica o bien que produce daños morales significativos que resultan en una pérdida económica comprobable;

j) «productor»: el productor tal como se define en el artículo 3 de la Directiva 85/374/CEE.

CAPÍTULO II. SISTEMAS DE IA DE ALTO RIESGO

Artículo 4. Responsabilidad objetiva de los sistemas de IA de alto riesgo

1. El operador de un sistema de IA de alto riesgo será objetivamente responsable de cualquier daño o perjuicio causado por una actividad física o virtual, un dispositivo o un proceso gobernado por dicho sistema de IA.

2. En el anexo al presente Reglamento se enumerarán todos los sistemas de IA de alto riesgo y los sectores críticos en los que se utilizan. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 13 bis para modificar la lista exhaustiva:

a) mediante la inclusión de nuevos tipos de sistemas de IA de alto riesgo y de los sectores críticos en los que se han desplegado;

b) suprimiendo los tipos de sistemas de IA que ya no se considera que presentan un alto riesgo; o

c) modificando los sectores críticos para los sistemas de IA de alto riesgo existentes. Todo acto delegado por el que se modifique el anexo entrará en vigor seis meses después de su adopción. Al determinar la inclusión en el anexo de nuevos sistemas de IA de alto riesgo o sectores críticos mediante actos delegados, la Comisión tendrá plenamente en cuenta los criterios establecidos en el presente Reglamento, en particular los recogidos en el artículo 3, letra c).

3. Los operadores de un sistema de IA de alto riesgo no podrán eludir su responsabilidad civil alegando que actuaron con la diligencia debida o que el daño o perjuicio fue causado por una actividad, un dispositivo o un proceso autónomos gobernados por su sistema de IA. Los operadores no serán responsables si el daño o perjuicio ha sido provocado por un caso de fuerza mayor.

4. El operador final de un sistema de IA de alto riesgo garantizará que las operaciones de dicho sistema de IA estén cubiertas por un seguro de responsabilidad civil adecuado en relación con los importes y el alcance de la indemnización previstos en los artículos 5 y 6 del presente Reglamento. El operador inicial garantizará que sus servicios estén cubiertos por un seguro de responsabilidad empresarial o de responsabilidad civil de productos adecuado en relación con los importes y el alcance de la indemnización previstos en los artículos 5 y 6 del presente Reglamento. Si se considera que los regímenes de seguro obligatorio del operador final o inicial ya vigentes con arreglo a otra legislación de la Unión o nacional o los fondos voluntarios existentes de seguros de empresas cubren el funcionamiento del sistema de IA o el servicio prestado, la obligación de suscribir un seguro en relación con el sistema de IA o el servicio prestado con arreglo al presente Reglamento se considerará cumplida siempre que el correspondiente seguro obligatorio existente o los fondos voluntarios existentes de seguros de empresas cubran los importes y el alcance de la indemnización previstos en los artículos 5 y 6 del presente Reglamento.

5. El presente Reglamento prevalecerá sobre los regímenes nacionales de responsabilidad civil en caso de clasificación divergente por responsabilidad objetiva de los sistemas de IA.

Artículo 5. Importe de la indemnización

1. Un operador de un sistema de IA de alto riesgo que haya sido considerado responsable de un daño o perjuicio con arreglo al presente Reglamento indemnizará:

a) hasta un importe máximo de dos millones de euros en caso de fallecimiento o de daños causados a la salud o a la integridad física de una persona afectada como resultado del funcionamiento de un sistema de IA de alto riesgo;

b) hasta un importe máximo de un millón de euros en caso de daños morales significativos que resulten en una pérdida económica comprobable o en daños a bienes, también cuando distintos bienes propiedad de una persona afectada resulten dañados como resultado de un único funcionamiento de un único sistema de IA de alto riesgo; cuando la persona afectada también disponga de un derecho a reclamar por responsabilidad contractual contra el operador, no se abonará ninguna indemnización en virtud del presente Reglamento si el importe total de los perjuicios materiales o el daño moral es de un valor inferior a [500 euros] (9).

2. Cuando la indemnización combinada que deba abonarse a varias personas que sufran daños o perjuicios causados por el mismo funcionamiento de un mismo sistema de IA de alto riesgo supere los importes totales máximos previstos en el apartado 1, los importes que deban abonarse a cada persona se reducirán proporcionalmente de forma que la indemnización combinada no supere los importes máximos establecidos en el apartado 1.

Artículo 6. Alcance de la indemnización

1. Dentro de los límites para el importe establecidos en el artículo 5, apartado 1, letra a), la indemnización que abonará el operador considerado responsable en caso de daños físicos seguidos de la muerte de la persona afectada se calculará sobre la base de los costes del tratamiento médico que haya seguido la persona afectada antes de su muerte, así como del perjuicio económico sufrido antes del fallecimiento como consecuencia del cese o la reducción de la capacidad de generar ingresos o el aumento de sus necesidades mientras durase el daño antes del fallecimiento. El operador será además responsable de reembolsar los gastos funerarios de la persona afectada fallecida a la parte responsable de sufragar dichos gastos.

Si en el momento del incidente que causó el daño que condujo a su muerte, la persona afectada mantenía una relación con un tercero y tenía la obligación jurídica de asistir a ese tercero, el operador responsable indemnizará al tercero mediante el pago de una pensión alimenticia proporcional a la que la persona afectada se habría visto obligada a pagar, durante un período equivalente a la esperanza de vida media de una persona de su edad y teniendo en cuenta su estado general. El operador también indemnizará al tercero si, en el momento del incidente que provocó la muerte, el tercero había sido concebido, pero todavía no había nacido.

2. Dentro de los límites para el importe establecidos en el artículo 5, apartado 1, letra b), la indemnización que pagará el operador considerado responsable en caso de daño para la salud o para la integridad física de la persona afectada incluirá el reembolso de los gastos del tratamiento médico correspondiente, así como el pago del perjuicio económico sufrido por la persona afectada como consecuencia de la suspensión temporal, la reducción o el cese definitivo de su capacidad de generar ingresos o del aumento consiguiente de sus necesidades acreditado mediante certificado médico.

Artículo 7. Plazo de prescripción

1. Las demandas por responsabilidad civil presentadas de conformidad con lo dispuesto en el artículo 4, apartado 1, relativas a daños a la vida, la salud o la integridad física estarán sujetas a un plazo de prescripción especial de treinta años a partir de la fecha en que se produjo el daño.

2. Las demandas por responsabilidad civil presentadas de conformidad con lo dispuesto en el artículo 4, apartado 1, relativas a perjuicios materiales o daños morales considerables que resulten en una pérdida económica comprobable estarán sujetas a un plazo de prescripción especial de:

a) diez años a partir de la fecha en que se produjo el menoscabo a los bienes o la pérdida económica comprobable resultante del daño moral significativo, respectivamente, o

b) treinta años a partir de la fecha en que tuvo lugar la operación del sistema de IA de alto riesgo que causó posteriormente el menoscabo a los bienes o el daño moral.

De los plazos contemplados en el párrafo primero, será aplicable aquel que venza antes.

3. El presente artículo se entenderá sin perjuicio de la legislación nacional que regule la suspensión o la interrupción de los plazos de prescripción.

CAPÍTULO III. OTROS SISTEMAS DE IA

Artículo 8. Responsabilidad subjetiva para otros sistemas de IA

1. El operador de un sistema de IA que no constituya un sistema de IA de alto riesgo, tal y como se define en el artículo 3, letra c), y en el artículo 4, apartado 2, y que, en consecuencia, no figure en el anexo del presente Reglamento, estará sujeto a responsabilidad subjetiva respecto de todo daño o perjuicio causado por una actividad física o virtual, un dispositivo o un proceso gobernados por el sistema de IA.

2. El operador no será responsable si puede demostrar que no tuvo culpa en el daño o perjuicio causado, basándose en uno de los siguientes motivos:

a) el sistema de IA se activó sin su conocimiento, al tiempo que se tomaron todas las medidas razonables y necesarias para evitar dicha activación fuera del control del operador, o

b) se observó la diligencia debida a través de la realización de las siguientes acciones: la selección de un sistema de IA adecuado para las tareas y las capacidades pertinentes, la correcta puesta en funcionamiento del sistema de IA, el control de las actividades y el mantenimiento de la fiabilidad operativa mediante la instalación periódica de todas las actualizaciones disponibles.

El operador no podrá eludir su responsabilidad alegando que el daño o perjuicio fue causado por una actividad, un dispositivo o un proceso autónomos gobernados por su sistema de IA. El operador no será responsable si el daño o perjuicio ha sido provocado por un caso de fuerza mayor.

3. Cuando el daño o perjuicio haya sido causado por un tercero que haya interferido en el sistema de IA por medio de una modificación de su funcionamiento o sus efectos, el operador será, no obstante, responsable del pago de una indemnización en caso de que dicho tercero esté ilocalizable o sea insolvente.

4. A petición del operador o de la persona afectada, el productor de un sistema de IA tendrá la obligación de cooperar con ellos y de facilitarles información en la medida que lo justifique la relevancia de la demanda, a fin de permitir que se determinen las responsabilidades.

Artículo 9. Disposiciones nacionales sobre indemnización y plazo de prescripción

Las demandas por responsabilidad civil presentadas de conformidad con el artículo 8, apartado 1, estarán sujetas, en relación con los plazos de prescripción, así como con los importes y el alcance de la indemnización, a la legislación del Estado miembro en el que se haya producido el daño o perjuicio.

CAPÍTULO IV. IMPUTACIÓN DE LA RESPONSABILIDAD CIVIL

Artículo 10. Negligencia concurrente

1. Si el daño o perjuicio es causado por una actividad física o virtual, un dispositivo o un proceso gobernados por un sistema de IA o por la actuación de una persona afectada o de una persona de la que la persona afectada sea responsable, el alcance de la responsabilidad civil del operador con arreglo al presente Reglamento se reducirá en consecuencia. El operador no será responsable si la persona afectada o la persona de la que esta es responsable es la única a la que se le puede achacar el daño o perjuicio causado.

2. Un operador considerado responsable podrá utilizar los datos generados por el sistema de IA para demostrar la negligencia concurrente de la persona afectada, de conformidad con el Reglamento (UE) 2016/679 y otras leyes en materia de protección de datos relevantes. La persona afectada también podrá usar esos datos con fines probatorios o aclaratorios en la demanda por responsabilidad civil.

Artículo 11. Responsabilidad solidaria

En caso de que haya más de un operador de un sistema de IA, estos serán responsables solidarios. Si un operador final es también el productor del sistema de IA, el presente Reglamento prevalecerá sobre la Directiva sobre responsabilidad por los daños causados por productos defectuosos. Si el operador inicial también tiene la condición de productor en el sentido del artículo 3 de la Directiva sobre responsabilidad por los daños causados por productos defectuosos, deberá aplicársele dicha Directiva. Si solo hay un operador y dicho operador es también el productor del sistema de IA, el presente Reglamento prevalecerá sobre la Directiva sobre responsabilidad por los daños causados por productos defectuosos.

Artículo 12. Indemnización por la vía de regreso

1. El operador no estará facultado para ejercitar una acción en la vía de regreso a menos que a la persona afectada se le haya abonado la totalidad de la indemnización a la que esa persona tenga derecho a recibir en virtud del presente Reglamento.

2. El operador que sea considerado responsable solidario con otros operadores en relación con una persona afectada y haya indemnizado íntegramente a esa persona afectada, de conformidad con el artículo 4, apartado 1, o el artículo 8, apartado 1, podrá recuperar parte de la indemnización de otros operadores, en proporción a su responsabilidad.

Los porcentajes de responsabilidad se basarán en los respectivos niveles de control por parte de los operadores sobre el riesgo relacionado con la operación y el funcionamiento del sistema de IA. Si no puede obtenerse de un operador responsable solidariamente la contribución que le sea atribuible, el déficit será asumido por los demás operadores. En la medida en que un operador solidariamente responsable indemnice a la persona afectada y solicite un ajuste de los anticipos a los demás operadores responsables, el operador quedará subrogado en el crédito de la persona afectada frente a los demás operadores. No se invocará la subrogación de créditos en perjuicio de la demanda inicial.

3. En caso de que el operador de un sistema de IA defectuoso indemnice íntegramente a la persona afectada por daños o perjuicios con arreglo a lo dispuesto en el artículo 4, apartado 1, o en el artículo 8, apartado 1, del presente Reglamento, podrá ejercitar una acción de resarcimiento frente al productor del sistema de IA defectuoso de conformidad con la Directiva 85/374/CEE y las disposiciones nacionales en materia de responsabilidad por los daños causados por productos defectuosos.

4. En caso de que el asegurador del operador indemnice a la persona afectada por daños o perjuicios con arreglo a lo dispuesto en el artículo 4, apartado 1, o en el artículo 8, apartado 1, el asegurador del operador se subrogará en el crédito que la persona afectada tenga frente a otra persona por responsabilidad civil por el mismo daño hasta el importe con el que el asegurador del operador haya indemnizado a la persona afectada.

CAPÍTULO V. DISPOSICIONES FINALES

Artículo 13. Ejercicio de la delegación

1. Se otorgan a la Comisión los poderes para adoptar actos delegados en las condiciones establecidas en el presente artículo.

2. Los poderes para adoptar actos delegados mencionados en el artículo 4, apartado 2, se otorgan a la Comisión por un período de cinco años a partir de [fecha de aplicación del presente Reglamento].

3. La delegación de poderes mencionada en el artículo 4, apartado 2, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en ella. No afectará a la validez de los actos delegados que ya estén en vigor.

4. Antes de la adopción de un acto delegado, la Comisión consultará al Comité técnico permanente — sistemas de IA de alto riesgo (Comité TCRAI), de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación.

5. Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.

6. Los actos delegados adoptados en virtud del artículo 4, apartado 2, entrarán en vigor únicamente si, en un plazo de dos meses a partir de su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará dos meses a iniciativa del Parlamento Europeo o del Consejo.

Artículo 14. Revisión

A más tardar el 1 de enero de 202X [tres años después de la fecha de aplicación del presente Reglamento], y posteriormente cada tres años, la Comisión presentará al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo un informe detallado en el que se revise el presente Reglamento a la luz del desarrollo ulterior de la inteligencia artificial.

Al elaborar el informe a que se refiere el párrafo primero, la Comisión solicitará la información pertinente a los Estados miembros sobre la jurisprudencia, los acuerdos judiciales y las estadísticas sobre accidentes, tales como el número de accidentes, los daños sufridos, las aplicaciones de IA involucradas o las indemnizaciones abonadas por las compañías de seguros, así como una evaluación de la cantidad de demandas presentadas por las personas afectadas, ya sea de forma individual o colectiva, y de los plazos dentro de los cuales se tramitaron esas demandas en los tribunales.

El informe de la Comisión irá acompañado, en su caso, de propuestas legislativas destinadas a suplir las lagunas identificadas en el informe.

Artículo 15. Entrada en vigor

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea. Será aplicable a partir del 1 de enero de 202X.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en ,

Por el Parlamento Europeo, El Presidente

Por el Consejo, El Presidente

—————————————–

(1) DO L 210 de 7.8.1985, p. 29.

(2) DO L 149 de 11.6.2005, p. 22.

(3) DO L 304 de 22.11.2011, p. 64.

(4) DO L 117 de 5.5.2017, p. 1.

(5) DO L 252 de 8.10.2018, p. 1.

(6) DO L 136 de 22.5.2019, p. 1.

(7) DO L 123 de 12.5.2016, p. 1.

(8) DO C 252 de 18.7.2018, p. 239.

(9) DO C 307 de 30.8.2018, p. 163.

(10) DO C 433 de 23.12.2019, p. 86.

(11) Textos Aprobados, P8_TA(2019)0081.

(12) Textos Aprobados, P9_TA(2020)0032.

(13) https://www.europarl.europa.eu/RegData/etudes/STUD/2020/654178/EPRS_STU(2020)654178_EN.pdf

(14) https://www.europarl.europa.eu/RegData/etudes/STUD/2016/563501/EPRS_STU(2016)563501(ANN)_EN.pdf

(15) https://www.europarl.europa.eu/RegData/etudes/STUD/2016/571379/IPOL_STU(2016)571379_EN.pdf

(16) DO L 11 de 15.1.2002, p. 4.

(17) DO L 263 de 7.10.2009, p. 11.

———————————–

(1) DO…

(2) DO…

(3) Directiva 85/374/CEE del Consejo, de 25 de julio de 1985, relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros en materia de responsabilidad por los daños causados por productos defectuosos (DO L 210 de 7.8.1985, p. 29).

(4) DO L 123 de 12.5.2016, p. 1.

(5) Véase la página 24 del Libro Blanco de la Comisión, de 19 de febrero de 2020, titulado «Inteligencia artificial — Un enfoque europeo orientado a la excelencia y la confianza» (COM(2020)0065).

(6) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(7) Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo, de 30 de mayo de 2018, sobre la homologación y la vigilancia del mercado de los vehículos de motor y sus remolques y de los sistemas, los componentes y las unidades técnicas independientes destinados a dichos vehículos, por el que se modifican los Reglamentos (CE) nº 715/2007 y (CE) nº 595/2009 y por el que se deroga la Directiva 2007/46/CE (DO L 151 de 14.6.2018, p. 1).

(8) Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativo a la vigilancia del mercado y la conformidad de los productos y por el que se modifican la Directiva 2004/42/CE y los Reglamentos (CE) nº 765/2008 y (UE) nº 305/2011 (DO L 169 de 25.6.2019, p. 1).

(9) Pendiente de revisión por parte de la Comisión Europea tal y como se establece en el apartado 19 de la resolución.

23Feb/22

Resolución del Parlamento Europeo, de 20 de octubre de 2020

Resolución del Parlamento Europeo, de 20 de octubre de 2020, con recomendaciones destinadas a la Comisión sobre una Ley de Servicios Digitales: adaptación de las normas de Derecho mercantil y civil a las entidades comerciales que operan en línea [2020/2019(INL)].

Resolución del Parlamento Europeo, de 20 de octubre de 2020, con recomendaciones destinadas a la Comisión sobre una Ley de Servicios Digitales: adaptación de las normas de Derecho mercantil y civil a las entidades comerciales que operan en línea [2020/2019(INL)]           

El Parlamento Europeo,

Visto el artículo 225 del Tratado de Funcionamiento de la Unión Europea,

Vistos el artículo 11 de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 10 del Convenio Europeo de Derechos Humanos,

Visto el Reglamento (UE) 2019/1150 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, sobre el fomento de la equidad y la transparencia para los usuarios profesionales de servicios de intermediación en línea (1),

Vista la Directiva (UE) 2019/790 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los derechos de autor y derechos afines en el mercado único digital y por la que se modifican las Directivas 96/9/CE y 2001/29/CE (2),

Visto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por la que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (3) (en lo sucesivo, «Reglamento General de Protección de Datos»),

Vista la Directiva 2010/13/UE del Parlamento Europeo y del Consejo, de 10 de marzo de 2010, sobre la coordinación de determinadas disposiciones legales, reglamentarias y administrativas de los Estados miembros relativas a la prestación de servicios de comunicación audiovisual (Directiva de servicios de comunicación audiovisual) (4),

Vista la Directiva 2008/52/CE del Parlamento Europeo y del Consejo, de 21 de mayo de 2008, sobre ciertos aspectos de la mediación en asuntos civiles y mercantiles (5),

Vista la propuesta de Reglamento del Parlamento Europeo y del Consejo, de 6 de junio de 2018, por el que se establece el programa Europa Digital para el período 2021-2027 (COM(2018)0434),

Vista la Recomendación (UE) 2018/334 de la Comisión, de 1 de marzo de 2018, sobre medidas para combatir eficazmente los contenidos ilícitos en línea (6),

Visto el Convenio relativo a la competencia judicial, el reconocimiento y la ejecución de resoluciones judiciales en materia civil y mercantil (7) y la Convención sobre el reconocimiento y la ejecución de las sentencias arbitrales extranjeras, firmado el 10 de junio de 1958 en Nueva York,

Vista su Resolución, de 3 de octubre de 2018, sobre las tecnologías de registros distribuidos y las cadenas de bloques: fomentar la confianza con la desintermediación (8),

Vista la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, de 19 de febrero de 2020, titulada «Una Estrategia Europea de Datos» (COM(2020)0066),

Vista la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, de 19 de febrero de 2020, titulada «Configurar el futuro digital de Europa» (COM(2020)0067),

Vista la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, de 25 de mayo de 2016, titulada «Las plataformas en línea y el mercado único digital – Retos y oportunidades para Europa» (COM(2016)0288),

Visto el estudio de evaluación del valor añadido europeo realizado por el Servicio de Estudios Parlamentarios (EPRS) titulado «Digital Services Act: European added value assessment» (9) (Ley de servicios digitales: valor añadido europeo),

Vistos los artículos 47 y 54 de su Reglamento interno,

Vistas las opiniones de la Comisión de Mercado Interior y Protección del Consumidor y de la Comisión de Cultura y Educación,

Visto el informe de la Comisión de Asuntos Jurídicos (A9-0177/2020),

A.  Considerando que los servicios digitales, que son una piedra angular de la economía de la Unión y el medio de subsistencia de un gran número de sus ciudadanos, deben regularse de manera que se garanticen los derechos fundamentales y otros derechos de los ciudadanos, al tiempo que se respalda el desarrollo y el progreso económico, el entorno digital y se fomenta la confianza en línea, teniendo en cuenta los intereses de los usuarios y de todos los participantes en el mercado, incluidas las pymes y las empresas emergentes;

B.  Considerando que recientemente se han actualizado algunas normas relativas a los prestadores de servicios para compartir contenidos en línea y a los servicios de comunicación audiovisual, en particular mediante la Directiva (UE) 2018/1808 y la Directiva (UE) 2019/790, que una serie de aspectos clave del Derecho civil y mercantil no se han abordado satisfactoriamente en el Derecho de la Unión o nacional, y que la importancia de esta cuestión se ha visto acentuada por un rápido y acelerado desarrollo en las últimas décadas en el ámbito de los servicios digitales, en particular la aparición de nuevos modelos de negocio, tecnologías y realidades sociales; que, en este contexto, se requiere una completa actualización de las disposiciones esenciales del Derecho civil y mercantil aplicables a las entidades comerciales en línea;

C.  Considerando que algunas empresas que ofrecen servicios digitales disfrutan, debido a unos potentes efectos de red basados en datos, de un poder de mercado significativo que les permite imponer sus prácticas comerciales a los usuarios y dificulta cada vez más que otros agentes, en especial las empresas emergentes y las pymes, puedan competir e incluso, en el caso de nuevos negocios, acceder al mercado;

D.  Considerando que la aplicación ex post de la legislación en materia de competencia no puede abordar eficazmente por sí sola las repercusiones del poder de mercado de determinadas plataformas en línea sobre la competencia justa en el mercado único digital;

E.  Considerando que las plataformas de alojamiento de contenidos han evolucionado desde la mera presentación de contenidos a órganos sofisticados y agentes del mercado, en particular las redes sociales que recopilan y explotan datos de uso; que los usuarios tienen motivos razonables para esperar unas condiciones equitativas en lo que se refiere al acceso, la transparencia, la fijación de precios y la resolución de conflictos en el uso de estas plataformas y el uso que las plataformas hacen de los datos de los usuarios; que la transparencia puede contribuir a aumentar significativamente la confianza en los servicios digitales;

F.  Considerando que las plataformas de alojamiento de contenidos pueden determinar qué contenido se muestra a sus usuarios, influyendo así de forma significativa en la manera de obtener y comunicar la información, hasta el punto de que esas plataformas se han convertido de facto en espacios públicos en la esfera digital; que los espacios públicos deben gestionarse protegiendo los intereses públicos y respetando los derechos fundamentales y los derechos civiles de los usuarios, en particular el derecho a la libertad de expresión y de información;

G.  Considerando que la defensa de la ley en el mundo digital no solo implica el respeto efectivo de los derechos fundamentales, en particular la libertad de expresión y de información, la intimidad, la protección y la seguridad, la no discriminación, el respeto de la propiedad y los derechos de propiedad intelectual, sino también el acceso a la justicia y a la tutela judicial efectiva; que delegar en empresas privadas decisiones sobre la legalidad de los contenidos o de las competencias en materia de aplicación del Derecho socava la transparencia y el respeto de las garantías procesales, lo que conduce a un enfoque fragmentado; que, por lo tanto, es necesario un procedimiento judicial acelerado con las garantías adecuadas a fin de asegurar la existencia de vías de recurso eficaces;

H.  Considerando que las herramientas automatizadas son actualmente incapaces de diferenciar de forma fiable los contenidos ilegales de aquellos que son legales en un contexto dado y que, por tanto, los mecanismos para la detección y retirada automáticas de contenidos pueden suscitar cuestiones jurídicas legítimas, en particular en lo que se refiere a posibles restricciones de la libertad de expresión y de información, protegidas en virtud del artículo 11 de la Carta de los Derechos Fundamentales de la Unión Europea; que, por consiguiente, el uso de mecanismos automatizados debe ser proporcionado, cubriendo únicamente casos justificados y siguiendo procedimientos transparentes;

I.  Considerando que el artículo 11 de la Carta de los Derechos Fundamentales de la Unión Europea protege también la libertad y el pluralismo de los medios de comunicación, que dependen cada vez más de las plataformas en línea para llegar a su público;

J.  Considerando que la mayoría de los europeos utiliza los servicios digitales a diario, pero está sujetos a un conjunto cada vez más amplio de normas dentro de la Unión, lo que conduce a una fragmentación significativa del mercado y, por consiguiente, genera inseguridad jurídica para los usuarios y los servicios europeos transfronterizos; que los regímenes de Derecho civil que rigen las prácticas de las plataformas de alojamiento de contenidos en cuanto a la moderación de contenidos se basan en determinadas disposiciones sectoriales a escala de la Unión y nacional, con diferencias notables en cuanto a las obligaciones impuestas y a los mecanismos de aplicación previstos; que esta situación ha dado lugar a un conjunto fragmentado de normas para el mercado único digital, lo que requiere una respuesta a escala de la Unión;

K.  Considerando que el actual modelo de negocio de determinadas plataformas de alojamiento de contenidos consiste en la promoción de contenidos que se espera atraigan la atención de los usuarios y, por tanto, generen más datos para la elaboración de perfiles, con el fin de ofrecer una publicidad personalizada más eficaz y aumentar así los beneficios; que esta elaboración de perfiles asociada a publicidad personalizada puede llevar a menudo a la amplificación de contenidos dirigida a la explotación de las emociones, lo que a menudo alienta y facilita el sensacionalismo en las fuentes web y en los sistemas de recomendación, lo que a su vez desemboca en la posible manipulación de los usuarios;

L.  Considerando que el ofrecimiento de publicidad contextual a los usuarios requiere menos datos del usuario que la publicidad comportamental personalizada, por lo que resulta menos intrusiva;

M.  Considerando que la elección de la lógica algorítmica detrás de los sistemas de recomendación, los servicios de comparación, la curación de contenidos o la colocación de anuncios publicitarios sigue quedando a la discreción de las plataformas de alojamiento de contenidos, con escasas posibilidades de supervisión pública, lo que suscita cuestiones en cuanto a la rendición de cuentas y la transparencia;

N.  Considerando que las plataformas de alojamiento de contenidos con un poder de mercado significativo posibilitan que sus usuarios utilicen sus perfiles para acceder a sitios web de terceros, lo que les permite realizar un seguimiento de sus actividades incluso fuera del entorno de su plataforma, que constituye una ventaja competitiva en el acceso a datos para los algoritmos de curación de contenidos;

O.  Considerando que los denominados «contratos inteligentes», basados en tecnologías de registros distribuidos, incluidas las cadenas de bloques, que facilitan un registro descentralizado y totalmente rastreable y la realización de autoejecuciones, se están utilizando en una serie de ámbitos sin un marco jurídico adecuado; que existe cierta incertidumbre sobre la legalidad de dichos contratos y su aplicabilidad en situaciones transfronterizas;

P.  Considerando que las condiciones no negociables de las plataformas suelen remitirse tanto a legislación aplicable como a órganos jurisdiccionales competentes de fuera de la Unión, lo que imposibilita el acceso a la justicia; que el Reglamento (UE) n.º 1215/2012 del Parlamento Europeo y del Consejo, de 12 de diciembre de 2012, relativo a la competencia judicial, el reconocimiento y la ejecución de resoluciones judiciales en materia civil y mercantil (10) establece normas sobre competencia judicial; que en el Reglamento General de Protección de Datos se clarifica el derecho del interesado a ejercitar acciones privadas directamente en contra del responsable o del encargado del tratamiento, independientemente de que el tratamiento tenga lugar en la Unión o no, y de que el responsable del tratamiento esté establecido en la Unión o no; que en el artículo 79 del Reglamento General de Protección de Datos se dispone que las acciones deberán ejercitarse ante los tribunales del Estado miembro en el que el responsable o encargado tenga un establecimiento, o bien del Estado miembro en el que el interesado tenga su residencia habitual;

Q.  Considerando que el acceso a los datos no personales y su minería es un factor importante para el crecimiento de la economía digital; que unas normas jurídicas adecuadas y unas salvaguardias de protección de datos en lo que respecta a la interoperabilidad de los datos, al eliminar efectos de bloqueo, puede desempeñar un papel importante a la hora de garantizar la existencia de unas condiciones de mercado equitativas;

R.  Considerando que es importante evaluar la posibilidad de asignar a una entidad europea la responsabilidad de garantizar un enfoque armonizado de la aplicación de la Ley de Servicios Digitales en toda la Unión, facilitando la coordinación a nivel nacional, así como abordando las nuevas oportunidades y desafíos, en particular de carácter transfronterizo, que se derivan de los continuos avances tecnológicos;

Ley de Servicios Digitales

1.  Pide a la Comisión que presente sin demora indebida un conjunto de propuestas legislativas que constituya una Ley de Servicios Digitales que cuente con un adecuado ámbito de aplicación material, personal y territorial, que defina los conceptos clave e incluya las recomendaciones que figuran en el anexo de la presente Resolución; opina que, sin perjuicio de los detalles de las futuras propuestas legislativas, el artículo 114 del Tratado de Funcionamiento de la Unión Europea debe constituir la base jurídica;

2.  Propone que la Ley de Servicios Digitales incluya un reglamento que establezca derechos contractuales en materia de gestión de contenidos, fije normas y procedimientos transparentes, equitativos vinculantes y uniformes para la moderación de contenidos, y garantice unas vías de recurso judicial accesibles e independientes; destaca que las propuestas legislativas deben disponer de una base empírica y tener por objeto eliminar las barreras ya existentes, así como evitar posibles nuevas barreras injustificadas en relación con la prestación de servicios digitales por parte de las plataformas en línea, mejorando al mismo tiempo la protección de los consumidores y los ciudadanos; cree que estas propuestas legislativas deben perseguir el logro de un crecimiento inteligente y sostenible, abordar los desafíos tecnológicos y garantizar que el mercado único digital es justo y seguro para todos;

3.  Propone, además, que las medidas propuestas para la moderación de los contenidos solo se apliquen a los contenidos ilegales y no a los contenidos meramente nocivos; sugiere, a tal fin, que el reglamento incluya criterios universales para determinar el poder de mercado de las plataformas, a fin de proporcionar una definición clara de lo que constituye una plataforma con poder de mercado significativo y concluir de esta forma si ciertas plataformas de alojamiento de contenidos que no tienen un poder de mercado significativo pueden quedar exentas de determinadas disposiciones; subraya que el marco establecido en la Ley de Servicios Digitales debe ser gestionable para las pequeñas empresas, las pymes y las empresas emergentes, y debe incluir, por tanto, obligaciones proporcionadas para todos los sectores;

4.  Propone que la Ley de Servicios Digitales imponga a los prestadores de servicios digitales establecidos fuera de la Unión la obligación de designar un representante legal en interés de los usuarios dentro de la Unión —al que podrían dirigirse las solicitudes con el fin, por ejemplo, de permitir el resarcimiento de los consumidores en caso de publicidad falsa o engañosa— y de hacer visible y accesible la información de contacto de dicho representante en el sitio web del prestador de servicios digitales;

Derechos sobre la moderación de contenidos

5.  Subraya que la responsabilidad de hacer cumplir la ley debe recaer en las autoridades públicas; considera que la decisión final sobre la legalidad de los contenidos generados por los usuarios debe ser adoptada por un órgano judicial independiente y no por una entidad comercial privada;

6.  Insiste en que el reglamento debe prohibir las prácticas de moderación de contenidos que sean discriminatorias o comporten una explotación o exclusión, especialmente con respecto a las personas más vulnerables, y que debe respetar siempre los derechos y libertades fundamentales de los usuarios, en particular la libertad de expresión;

7.  Destaca la necesidad de proteger mejor a los consumidores proporcionando información fiable y transparente sobre ejemplos de malas prácticas, como la presentación de declaraciones engañosas y las estafas;

8.  Recomienda que la aplicación del reglamento sea objeto de un estrecho seguimiento por parte de una entidad europea encargada de garantizar el cumplimiento por parte de las plataformas de alojamiento de contenidos de las disposiciones del reglamento, en particular mediante el control del cumplimiento de las normas establecidas para la gestión de contenidos sobre la base de informes de transparencia, y a través de la supervisión de los algoritmos empleados para la gestión de contenidos por dichas plataformas; pide a la Comisión que evalúe las opciones de designar una agencia europea u órgano europeo existente o nuevo o de coordinar ella misma una red de autoridades nacionales a fin de llevar a cabo estas tareas (en lo sucesivo, «entidad europea»);

9.  Sugiere que las plataformas de alojamiento de contenidos presenten periódicamente a la entidad europea informes exhaustivos de transparencia basados en una metodología coherente y evaluados de acuerdo con unos indicadores de rendimiento pertinentes, también sobre sus políticas de contenidos y la conformidad de sus condiciones con las disposiciones de la Ley de Servicios Digitales; propone, además, que las plataformas de alojamiento de contenidos publiquen y faciliten el acceso a esos informes de manera fácil y accesible, así como sus políticas de gestión de contenidos, en una base de datos de acceso público;

10.  Pide que las plataformas de alojamiento de contenidos con un poder de mercado significativo evalúen el riesgo que sus políticas de gestión de contenidos jurídicos plantean a la sociedad, en particular por lo que se refiere a su impacto en los derechos fundamentales, y que entablen un diálogo bianual con la entidad europea y las autoridades nacionales pertinentes sobre la base de una presentación de informes de transparencia;

11.  Recomienda que los Estados miembros establezcan órganos independientes de resolución de litigios, encargados de resolver los litigios relativos a la moderación de contenidos; estima que, a fin de proteger las publicaciones anónimas y el interés general, no solo el usuario que haya cargado el contenido que es objeto de un litigio, sino también un tercero, como un mediador, con un interés legítimo en la actuación deben poder impugnar las decisiones de moderación de contenidos; reafirma el derecho de los usuarios a recurrir además a la justicia;

12.  Adopta una posición firme en el sentido de que la Ley de Servicios Digitales no debe obligar a las plataformas de alojamiento de contenidos a emplear ningún tipo de control ex ante de los contenidos totalmente automatizado, a menos que se especifique de otro modo en el Derecho de la Unión vigente, y considera que los mecanismos utilizados voluntariamente por las plataformas no deben conducir a mecanismos de control ex ante basados en herramientas automatizadas ni al filtrado de los contenidos cargados y que deben estar sujetos a auditorías por parte de la entidad europea al objeto de garantizar el cumplimiento de la Ley de Servicios Digitales;

13.  Subraya que las plataformas de alojamiento de contenidos deben ser transparentes en lo que se refiere al tratamiento de los algoritmos y de los datos utilizados en su formación;

Derechos sobre la curación de contenidos, los datos y la publicidad en línea

14.  Opina que la amplificación de contenidos en función del usuario basada en las visualizaciones o en las posiciones presentadas en tales contenidos es una de las prácticas más perjudiciales de la sociedad digital, especialmente en los casos en que la visibilidad de dichos contenidos se incrementa en función de la interacción previa del usuario con otros contenidos amplificados y con el fin de optimizar los perfiles de usuario al objeto de crear publicidad personalizada; expresa su preocupación por que estas prácticas se basen en un seguimiento generalizado y en la minería de datos; pide a la Comisión que analice el impacto de estas prácticas y adopte las medidas legislativas adecuadas;

15.  Estima que el uso de publicidad personalizada debe regularse de manera más estricta en favor de formas menos intrusivas de publicidad que no requieran un seguimiento exhaustivo de la interacción del usuario con los contenidos y que la exposición de publicidad comportamental debe condicionarse al consentimiento libre, específico, informado e inequívoco del usuario;

16.  Toma nota de las disposiciones vigentes que abordan la publicidad personalizada en el Reglamento General de Protección de Datos y en la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (11);

17.  Recomienda, por tanto, que la Ley de Servicios Digitales establezca límites claros e introduzca normas de transparencia en lo que respecta a las condiciones de acumulación de datos destinados al ofrecimiento de publicidad personalizada y al funcionamiento y rendición de cuentas de dicha publicidad personalizada, especialmente cuando los datos sean recopilados cuando se navega en sitios web de terceros; sostiene que hacen falta nuevas medidas que establezcan un marco sobre las relaciones entre las plataformas y los consumidores en lo que respecta a las disposiciones en materia de transparencia relativas a la publicidad, los incentivos digitales y el trato preferente; invita a la Comisión a que evalúe las opciones para regular la publicidad personalizada, incluida una eliminación progresiva que conduzca a una prohibición;

18.  Subraya que, en consonancia con el principio de minimización de datos y con el fin de evitar la divulgación no autorizada, la usurpación de identidad y otras formas de abuso de los datos personales, la Ley de Servicios Digitales debe prever el derecho a utilizar los servicios digitales de forma anónima siempre que sea técnicamente posible; pide a la Comisión que exija a las plataformas de alojamiento de contenidos que verifiquen la identidad de los anunciantes con los que mantengan relaciones comerciales en aras de garantizar la rendición de cuentas de los anunciantes en caso de que los contenidos promocionados sean ilegales; recomienda, por tanto, que la Ley de Servicios Digitales incluya disposiciones legales que impidan a las plataformas explotar comercialmente datos de terceros en situaciones de competencia con dichos terceros;

19.  Lamenta la asimetría de información existente entre las plataformas de alojamiento de contenidos y las autoridades públicas y pide un intercambio racionalizado de la información necesaria; destaca que, de acuerdo a la jurisprudencia sobre los metadatos de comunicaciones, debe darse acceso a las autoridades públicas a los metadatos de un usuario únicamente para investigar a los sospechosos de delitos graves y con autorización judicial previa;

20.  Recomienda que se exija a los prestadores de servicios que prestan apoyo a un servicio de autenticación única con un poder de mercado significativo que apoyen también al menos un sistema de identificación abierto y descentralizado basado en un marco genérico; pide a la Comisión que proponga unas normas comunes de la Unión para los sistemas nacionales facilitados por los Estados miembros, especialmente en lo que se refiere a las normas de protección de datos y la interoperabilidad transfronteriza;

21.  Pide a la Comisión que evalúe la posibilidad de definir condiciones contractuales equitativas para facilitar la puesta en común de datos e incrementar la transparencia, con el fin de corregir los desequilibrios en el poder de mercado; sugiere, a tal efecto, que se exploren opciones para favorecer la interoperabilidad, la interconectividad y la portabilidad de los datos; señala que el intercambio de datos debe ir acompañado de las salvaguardias adecuadas y apropiadas, incluida la anonimización efectiva de los datos personales;

22.  Recomienda que la Ley de Servicios Digitales exija a las plataformas con un poder de mercado significativo que faciliten una interfaz de programación de aplicaciones a través de la cual las plataformas de terceros y sus usuarios puedan interoperar con las principales funciones y usuarios de la plataforma que ofrece la interfaz de programación de aplicaciones, incluidos los servicios de terceros diseñados para mejorar y personalizar la experiencia de los usuarios, especialmente mediante servicios que adaptan los parámetros de privacidad y las preferencias de curación de contenidos; sugiere que las plataformas documenten públicamente todas las interfaces de programación de aplicaciones que facilitan con el fin de permitir la interoperabilidad y la interconectividad de los servicios;

23.  Expresa su firme opinión, por otra parte, de que las plataformas con un poder de mercado significativo que proporcionen una interfaz de programación de aplicaciones no deben compartir, retener, monetizar o utilizar ninguno de los datos que reciban de los servicios prestados por terceros;

24.  Hace hincapié en que las obligaciones de interoperabilidad e interconectividad descritas anteriormente no pueden limitar, obstaculizar o retrasar la capacidad de las plataformas de alojamiento de contenidos de resolver los problemas de seguridad, ni la necesidad de resolver los problemas de seguridad debe conducir a una suspensión indebida de la interfaz de programación de aplicaciones que facilita la interoperabilidad y la interconectividad;

25.  Recuerda que las disposiciones sobre interoperabilidad e interconectividad deben respetar toda la legislación pertinente en materia de protección de datos; recomienda, a este respecto, que la Ley de Servicios Digitales exija a las plataformas que garanticen la viabilidad técnica de las disposiciones sobre portabilidad de datos establecidas en el artículo 20, apartado 2, del Reglamento General de Protección de Datos;

26.  Solicita que las plataformas de alojamiento de contenidos ofrezcan a los usuarios una opción real de dar o no su consentimiento previo a que se les presente publicidad personalizada basada en la interacción previa del usuario con contenidos en la misma plataforma de alojamiento de contenidos o en sitios web de terceros; subraya que esta opción debe presentarse de manera clara y comprensible y que su rechazo no debe conducir a la desactivación del acceso a las funciones de la plataforma; pone de relieve que el consentimiento en la publicidad personalizada no debe considerarse libre y válido si el acceso al servicio está condicionado al tratamiento de datos; confirma nuevamente que la Directiva 2002/58/CE supedita la publicidad personalizada a una decisión de participación voluntaria y que, de lo contrario, está prohibida; señala que, puesto que las actividades en línea de una persona permiten conocer en profundidad su personalidad y manipularla, la recopilación general e indiscriminada de datos personales en relación con cada uso de un servicio digital interfiere desproporcionadamente en el derecho a la intimidad; confirma que los usuarios tienen derecho a no ser objeto de un seguimiento generalizado cuando utilizan servicios digitales;

27.  Pide a la Comisión que garantice que, en ese mismo espíritu, los consumidores puedan seguir utilizando todas las funciones de un dispositivo conectado, incluso en caso de que un consumidor retire o no preste su consentimiento para compartir datos no operativos con el fabricante del dispositivo o con terceros; reitera la necesidad de transparencia en las condiciones contractuales en lo que respecta a la posibilidad de poner en común datos con terceros y al alcance de dicha puesta en común;

28.  Pide asimismo que se garantice a los usuarios un grado de transparencia e influencia adecuado sobre los criterios con arreglo a los cuales se cuidan y se les hacen visibles los contenidos; afirma que esto también debe incluir la opción de ser excluidos de cualquier curación de contenidos distinta del orden cronológico; señala que las interfaces de programación de aplicaciones proporcionadas por las plataformas han de permitir que los usuarios tengan contenidos curados con el software o los servicios de su elección;

29.  Subraya la importancia de que la Ley de Servicios Digitales sea jurídicamente sólida y proteja eficazmente a los menores en el entorno en línea, y de que se abstenga, al mismo tiempo, de imponer obligaciones generales de control o filtrado y garantice la plena coordinación y evite las duplicaciones con el Reglamento General de Protección de Datos y con la Directiva de servicios de comunicación audiovisual.

30.  Recuerda que deberían identificarse de forma clara, concisa e inteligente los anuncios retribuidos o la colocación retribuida de contenidos patrocinados; sugiere que las plataformas revelen el origen de los anuncios de pago y de los contenidos patrocinados; propone, a tal fin, que las plataformas de alojamiento de contenidos publiquen todos los contenidos y anuncios patrocinados y los hagan claramente visibles a sus usuarios en un archivo publicitario de acceso público, indicando quién ha pagado por ellos y, en su caso, en nombre de quién; hace hincapié en que esto incluye tanto los pagos directos como los indirectos o cualquier otra remuneración percibida por los prestadores de servicios;

31.  Considera que, si los datos pertinentes muestran una divergencia importante en las prácticas de publicidad engañosa y en la aplicación de las normas entre las plataformas con base en la Unión y las plataformas con base en terceros países, es razonable examinar otras opciones para velar por el cumplimiento de la legislación vigente en el seno de la Unión; destaca que es necesaria la igualdad de condiciones entre los anunciantes de la Unión y los anunciantes de terceros países;

Disposiciones relativas a las condiciones, los contratos inteligentes y las cadenas de bloques y el Derecho internacional privado

32.  Constata el aumento de los denominados «contratos inteligentes», como los basados en tecnologías de registros distribuidos, sin un marco jurídico claro;

33.  Pide a la Comisión que evalúe el desarrollo y el uso de las tecnologías de registros distribuidos, incluidas las cadenas de bloques y, en particular, de los denominados contratos inteligentes, que proporcione orientaciones para garantizar seguridad jurídica a las empresas y los consumidores, en especial sobre las cuestiones de legalidad, aplicación de los contratos inteligentes en las situaciones transfronterizas, y los requisitos de certificación notarial, en su caso, y que presente propuestas acerca del marco jurídico adecuado;

34.  Subraya que la equidad y el cumplimiento de las normas relativas a los derechos fundamentales de las condiciones impuestas por los intermediarios a los usuarios de sus servicios deben estar sujetos a control judicial; resalta que las condiciones que restrinjan indebidamente los derechos fundamentales de los usuarios, como el derecho a la intimidad y a la libertad de expresión, no deben ser vinculantes;

35.  Pide a la Comisión que examine las modalidades para garantizar un equilibrio adecuado y la igualdad entre las partes de los contratos inteligentes teniendo en cuenta las preocupaciones privadas de la parte más débil o las preocupaciones públicas, como las relacionadas con los acuerdos de cártel; hace hincapié en la necesidad de garantizar el respeto de los derechos de los acreedores en los procedimientos de insolvencia y reestructuración; recomienda encarecidamente que los contratos inteligentes incluyan mecanismos que puedan detener e invertir su ejecución y los pagos correspondientes;

36.  Pide, en particular, a la Comisión que actualice su documento de orientación sobre la Directiva 2011/83/UE del Parlamento Europeo y del Consejo, de 25 de octubre de 2011, sobre los derechos de los consumidores (12) con el fin de aclarar si considera que los contratos inteligentes quedan incluidos en la exención prevista en el artículo 3, apartado 3, letra l), y, en ese caso, en qué circunstancias, así como que aclare la cuestión del derecho de desistimiento;

37.  Hace hincapié en la necesidad de que las tecnologías de cadena de bloques y, en particular, los contratos inteligentes se utilicen de conformidad con las normas y los requisitos antimonopolio, incluidos los que prohíban los acuerdos de cártel o las prácticas concertadas;

38.  Considera que las cláusulas tipo no deben ni impedir el acceso efectivo a la justicia en los tribunales de la Unión ni privar de derechos a los ciudadanos o las empresas de la Unión; pide a la Comisión que evalúe si la protección de los derechos de acceso a los datos en virtud del Derecho internacional privado es incierta y genera desventajas para los ciudadanos y las empresas de la Unión;

39.  Pone de relieve la importancia de garantizar que el uso de servicios digitales en la Unión se rija plenamente por el Derecho de la Unión bajo la jurisdicción de los tribunales de la Unión;

40.  Concluye, además, que las soluciones legislativas a estas cuestiones deberían encontrarse a escala de la Unión, si no parece viable una acción a nivel internacional o si existe el riesgo de que esa acción se materialice en un plazo demasiado largo;

41.  Destaca que no debe exigirse a los prestadores de servicios de alojamiento en la Unión que retiren o inhabiliten el acceso a información que sea legal en su país de origen;

42.  Encarga a su presidente que transmita la presente Resolución y las recomendaciones detalladas que se recogen en el anexo a la Comisión y al Consejo.

————————————————-

(1) DO L 186 de 11.7.2019, p. 57.

(2) DO L 130 de 17.5.2019, p. 92.

(3) DO L 119 de 4.5.2016, p. 1.

(4) DO L 95 de 15.4.2010, p. 1.

(5) DO L 136 de 24.5.2008, p. 3.

(6) DO L 63 de 6.3.2018, p. 50.

(7) DO L 339 de 21.12.2007, p. 3.

(8) DO C 11 de 13.1.2020, p. 7.

(9) https://www.europarl.europa.eu/RegData/etudes/STUD/2020/654180/EPRS_STU(2020)654180_EN.pdf

(10) DO L 351 de 20.12.2012, p. 1.

(11) DO L 201 de 31.7.2002, p. 37.

(12) DO L 304 de 22.11.2011, p. 64.

———————————————

 ANEXO A LA RESOLUCIÓN:        

RECOMENDACIONES DETALLADAS RESPECTO AL CONTENIDO DE LA PROPUESTA SOLICITADA

A.  PRINCIPIOS Y OBJETIVOS DE LA PROPUESTA SOLICITADA

PRINCIPIOS CLAVE Y OBJETIVOS DE LA PROPUESTA:

—  La propuesta establece tanto actos que deben incluirse en la Ley de Servicios Digitales como actos accesorios a la Ley de Servicios Digitales.

—  La propuesta tiene por objeto reforzar las normas de Derecho civil y mercantil aplicables a las entidades comerciales que operan en línea con respecto a los servicios digitales.

—  La propuesta tiene por objeto reforzar y aclarar los derechos contractuales de los usuarios en relación con la moderación y la curación de contenidos.

—  La propuesta tiene por objeto hacer frente a condiciones contractuales inadmisibles e injustas que se utilizan para los servicios digitales.

—  La propuesta plantea la cuestión de los aspectos relativos a la recopilación de datos en contravención de los derechos contractuales equitativos de los usuarios, así como de las normas de protección de datos y de confidencialidad en línea.

—  La propuesta aborda la importancia de una aplicación justa de los derechos de los usuarios en materia de interoperabilidad y portabilidad.

—  La propuesta plantea la importancia de normas de Derecho internacional privado que proporcionen claridad jurídica en cuanto a las cláusulas predispuestas utilizadas por las plataformas en línea, así como de asegurar el derecho al acceso a los datos y garantizar el acceso a la justicia.

—  La propuesta no aborda aspectos relacionados con la regulación de los mercados en línea, que, no obstante, deben tenerse en cuenta en el paquete de la Ley de Servicios Digitales que proponga la Comisión.

—  La propuesta plantea la pertinencia de evaluar la necesidad de regular adecuadamente los aspectos de Derecho civil y mercantil en el ámbito de las tecnologías de registros distribuidos, incluidas las cadenas de bloques, y, en particular, aborda la necesidad de regular adecuadamente los aspectos de Derecho civil y mercantil de los contratos inteligentes.

I.  PROPUESTAS QUE DEBEN INCLUIRSE EN LA LEY DE SERVICIOS DIGITALES

Los elementos clave de las propuestas que deben incluirse en la Ley de Servicios Digitales han de ser:

Un reglamento sobre los derechos contractuales por lo que respecta a la gestión de contenidos y que contenga los elementos siguientes:

—  Debe aplicarse a la gestión de contenidos, incluidas la moderación y la curación de contenidos, en relación con contenidos accesibles en la Unión.

—  Debe establecer principios proporcionados para la moderación de contenidos.

—  Debe proporcionar normas formales y procedimentales sobre un mecanismo de aviso y acción que sean eficaces, estén preparadas para el futuro y guarden proporción con la plataforma y con la naturaleza y el impacto del daño.

—  Debe prever un mecanismo independiente de resolución de litigios en los Estados miembros sin limitar el acceso a la tutela judicial.

—  Debe establecer un conjunto de indicadores claros para definir el poder de mercado de las plataformas de alojamiento de contenidos, a fin de determinar si determinadas plataformas de alojamiento de contenidos que no tienen un poder de mercado significativo pueden quedar exentas de determinadas disposiciones. Estos indicadores podrían incluir las dimensiones de su red (número de usuarios), su solidez financiera, el acceso a los datos, el grado de integración vertical o la existencia de un efecto de bloqueo.

—  Debe establecer normas sobre la responsabilidad de las plataformas de alojamiento de contenidos por los productos vendidos o anunciados en ellas, teniendo en cuenta las actividades de apoyo para las pymes con el fin de reducir al mínimo el peso que recaiga sobre ellas a la hora de adaptarse a esta responsabilidad.

—  Debe distinguir claramente entre los contenidos ilegales y nocivos a la hora de elegir la opción de actuación idónea. A este respecto, cualquier medida de la Ley de Servicios Digitales debe referirse únicamente a los contenidos ilegales tal como se definen en el Derecho de la Unión y nacional.

—  Debe basarse en principios establecidos para determinar la ley aplicable al cumplimiento del Derecho administrativo y, a la luz de la creciente convergencia de los derechos de los usuarios, debe indicar claramente que todos los aspectos de su ámbito de aplicación se rigen por dichos principios.

—  Debe respetar plenamente la Carta de los Derechos Fundamentales de la Unión Europea y las normas de la Unión que protegen a los usuarios y su seguridad, intimidad y datos personales, así como otros derechos fundamentales.

—   Debe prever un diálogo entre las plataformas de alojamiento de contenidos con un poder de mercado significativo y la entidad europea sobre la gestión de riesgos a la hora de gestionar contenidos jurídicos.

La Comisión debe estudiar opciones acerca de una entidad europea encargada de garantizar el cumplimiento de las disposiciones de la propuesta a través de las siguientes medidas:

—  controlar periódicamente los algoritmos empleados por las plataformas de alojamiento de contenidos para la gestión de contenidos;

—  revisar periódicamente el cumplimiento de las disposiciones del reglamento por parte de las plataformas de alojamiento de contenidos, sobre la base de los informes de transparencia facilitados por las plataformas de alojamiento de contenidos y la base de datos pública de decisiones sobre la retirada de contenidos que debe establecer la Ley de Servicios Digitales;

—  trabajar con las plataformas de alojamiento de contenidos en las mejores prácticas para el cumplimiento de los requisitos de transparencia y rendición de cuentas en relación con las condiciones contractuales, así como las mejores prácticas en cuanto a la moderación de contenidos y los procedimientos de aviso y acción;

—  cooperar y coordinarse con las autoridades nacionales de los Estados miembros en lo que respecta a la aplicación de la Ley de Servicios Digitales;

—  gestionar un fondo específico para ayudar a los Estados miembros a financiar los costes de funcionamiento de los organismos independientes de resolución de litigios descritos en el reglamento, financiados mediante multas impuestas a las plataformas de alojamiento de contenidos por incumplimiento de las disposiciones de la Ley de Servicios Digitales, así como una contribución de las plataformas de alojamiento de contenidos con un poder de mercado significativo;

—  imponer multas por el incumplimiento de la Ley de Servicios Digitales. Las multas deben contribuir a un fondo específico especial destinado a ayudar a los Estados miembros a la hora de financiar los costes de funcionamiento de los órganos de resolución de litigios descritos en el reglamento. Los incumplimientos deben incluir:

–  no aplicar las disposiciones del reglamento;

–  no facilitar condiciones transparentes, accesibles, justas y no discriminatorias;

–  no proporcionar a la entidad europea acceso a los algoritmos de gestión de contenidos para su revisión;

–  no presentar informes de transparencia a la entidad europea;

—  publicar informes semestrales sobre todas sus actividades e informar a las instituciones de la Unión.

Los informes de transparencia sobre a la gestión de contenidos deben establecerse del siguiente modo:

La Ley de Servicios Digitales debe recoger disposiciones que obliguen a las plataformas de alojamiento de contenidos a facilitar periódicamente informes de transparencia al comité. Estos informes deben ser exhaustivos y seguir una metodología coherente, y ofrecerán, en particular:

—  información sobre los avisos tratados por la plataforma de alojamiento de contenidos, incluidos los siguientes puntos:

–  el número total de avisos recibidos, los tipos de contenidos a que se refieren y las medidas adoptadas a raíz de ellos;

–  el número de avisos recibidos por categoría de entidad remitente, como particulares, autoridades públicas o empresas privadas,

–  el número total de solicitudes de retirada atendidas y el número total de remisiones de contenidos a las autoridades competentes;

–  el número total de contraavisos o impugnaciones recibidas, así como información sobre cómo se han resuelto,

–  el plazo medio transcurrido entre la publicación, el aviso, el contraaviso y la acción,

—  información sobre el número de empleados dedicados a la moderación de contenidos, su localización, formación y competencias lingüísticas, así como cualquier algoritmo utilizado en la toma de decisiones,

—  información sobre las solicitudes de información por parte de las autoridades públicas, como las responsables de la aplicación de la ley, incluidos los números de las solicitudes satisfechas por completo y de las solicitudes no atendidas o que se atendieron solo parcialmente,

—  información sobre la aplicación de las condiciones contractuales e información sobre las resoluciones judiciales por las que se ordena la anulación o la modificación de las condiciones consideradas ilegales por un Estado miembro.

Las plataformas de alojamiento de contenidos deben publicar, además, sus decisiones sobre la retirada de contenidos en una base de datos de acceso público a fin de aumentar la transparencia para los usuarios.

Los órganos independientes de resolución de litigios que establezca el Reglamento deben publicar informes sobre el número de asuntos que se les han remitido, indicando el número de remisiones que tomaron en consideración.

II.  PROPUESTAS ACCESORIAS A LA LEY DE SERVICIOS DIGITALES

Las medidas relativas a la curación de contenidos, los datos y la publicidad en línea que violen los derechos contractuales equitativos de los usuarios deben incluir:

—  Medidas para reducir al mínimo los datos recopilados por las plataformas de alojamiento de contenidos, basados, en particular, en la interacción de los usuarios con contenidos alojados en plataformas de alojamiento de contenidos, con el fin de completar perfiles para publicidad personalizada, en particular mediante la imposición de condiciones estrictas para el uso de la publicidad personalizada y exigiendo el consentimiento previo, libre, específico, informado e inequívoco del usuario. El consentimiento dado a la publicidad personalizada no se considerará libre y válido si el acceso al servicio está supeditado al tratamiento de datos.

—  Se informará a los usuarios de plataformas de alojamiento de contenidos si son objeto de publicidad personalizada, se les dará acceso al perfil elaborado por las plataformas de alojamiento de contenidos y la posibilidad de modificarlo, y se les dará la opción de elegir si reciben o no publicidad personalizada y de retirar su consentimiento a ser objeto de la misma.

—  Las plataformas de alojamiento de contenidos deben facilitar un archivo de los contenidos patrocinados y los anuncios mostrados a sus usuarios, que deberá indicar:

–  si el contenido patrocinado o patrocinio está activo o no en la actualidad,

–  el período durante el que el anuncio del contenido patrocinado ha estado activo,

–  el nombre y los datos de contacto del patrocinador o del anunciante y, si fueran diferentes, los de la persona en cuyo nombre ha sido colocado el contenido patrocinado o el anuncio,

–  el número total de usuarios a los que ha llegado,

–  información sobre el grupo de usuarios destinatarios.

El camino hacia una justa aplicación de los derechos de los usuarios en materia de interconectividad y portabilidad debe incluir:

—  una evaluación de la posibilidad de definir condiciones contractuales equitativas para facilitar la puesta en común de datos, con el fin de corregir los desequilibrios en el poder de mercado mediante la interoperabilidad, la interconectividad y la portabilidad de los datos.

—  la exigencia a las plataformas con poder de mercado significativo de que faciliten una interfaz de programación de aplicaciones a través de las cuales las plataformas de terceros y sus usuarios puedan interoperar con las principales funcionalidades y usuarios de la plataforma que ofrece la interfaz, incluidos los servicios de terceros diseñados para mejorar y personalizar la experiencia de los usuarios de la plataforma que ofrece la interfaz, especialmente a través de servicios que personalicen los parámetros de privacidad y las preferencias de curación de contenidos;

—  disposiciones que garanticen que las plataformas con un poder de mercado significativo que proporcionan una interfaz de programación de aplicaciones no puedan compartir, retener, monetizar o utilizar los datos que reciban de los servicios prestados por terceros;

—  disposiciones que garanticen que las obligaciones de interoperabilidad e interconectividad no limiten, obstaculicen o retrasen la capacidad de las plataformas de alojamiento de contenidos para subsanar problemas de seguridad, y que la necesidad de subsanar problemas de seguridad no conduzca a una suspensión indebida de la interfaz de programación de aplicaciones que facilita la interoperabilidad y la interconectividad;

—  disposiciones que garanticen que la Ley de Servicios Digitales exija a las plataformas cerciorarse de la viabilidad técnica de las disposiciones sobre portabilidad de datos establecidas en el artículo 20, apartado 2, del Reglamento General de Protección de Datos;

—  disposiciones que garanticen que las plataformas de alojamiento de contenidos con un poder de mercado significativo documenten públicamente todas las interfaces de programación de aplicaciones que facilitan con el propósito de permitir la interoperabilidad y la interconectividad de los servicios.

El camino hacia una regulación adecuada de los aspectos de Derecho civil y mercantil de las tecnologías de registros distribuidos, incluidas las cadenas de bloques y, en particular, los contratos inteligentes, debe comprender:

—  medidas que garanticen la existencia de un marco legislativo adecuado para el desarrollo y el despliegue de servicios digitales, incluidas las tecnologías de registros distribuidos, como las cadenas de bloques y los contratos inteligentes,

—  medidas que garanticen que los contratos inteligentes estén dotados de mecanismos que permitan detener y revertir su ejecución, en particular ante preocupaciones de índole privada de las partes más débiles o ante preocupaciones de índole pública relacionadas con la formación de carteles y con los derechos de los acreedores en caso de insolvencia y reestructuración,

—  medidas que garanticen un equilibrio adecuado y la igualdad entre las partes de contratos inteligentes, teniendo en cuenta, en particular, el interés de las pymes, para lo cual la Comisión debe estudiar las posibles modalidades;

—  una actualización del documento de orientación vigente sobre la Directiva 2011/83/UE con el fin de aclarar si los contratos inteligentes están comprendidos en el ámbito de la exención a que se refiere el artículo 3, apartado 3, letra i), de dicha Directiva, así como cuestiones relacionadas con las transacciones transfronterizas, los requisitos de la certificación notarial y el derecho de desistimiento;

El camino hacia unas normas de Derecho internacional privado equitativas que no priven a los usuarios del acceso a la justicia debe:

—  incluir medidas que garanticen que las cláusulas contractuales tipo no incluyan disposiciones que regulen cuestiones de Derecho internacional privado en detrimento del acceso a la justicia, en particular mediante el cumplimiento efectivo de medidas vigentes con este fin;

—  incluir medidas que aclaren las normas de Derecho internacional privado para que, en particular, contemplen las actividades de las plataformas en lo relativo a los datos, de manera que no vayan en detrimento de asuntos de la Unión,

—  basarse en el multilateralismo y, si es posible, acordarse en los foros internacionales adecuados.

Únicamente en caso de que resulte imposible alcanzar una solución basada en el multilateralismo en un plazo razonable debe proponerse la adopción de medidas que se apliquen en la Unión, a fin de garantizar que el uso de los servicios digitales en la Unión se rige plenamente por el Derecho de la Unión bajo la jurisdicción de los tribunales de la Unión.

B.  TEXTO DE LA PROPUESTA LEGISLATIVA SOLICITADA

Propuesta de

REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

sobre los derechos contractuales por lo que respecta a la gestión de contenidos

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo,

De conformidad con el procedimiento legislativo ordinario,

Considerando lo siguiente:

(1)  Las condiciones contractuales que los prestadores de servicios digitales aplican en las relaciones con los usuarios suelen ser innegociables y los prestadores pueden modificarlas de manera unilateral. Es necesaria una acción legislativa con miras a establecer unas normas mínimas sobre dichas condiciones, en particular por lo que se refiere a las normas procedimentales sobre la gestión de contenidos;

(2)  Los regímenes de Derecho civil que rigen las prácticas de las plataformas de alojamiento de contenidos en cuanto a la moderación de contenidos se basan en determinadas disposiciones sectoriales a escala de la Unión, así como en legislación adoptada por los Estados miembros a nivel nacional, y existen diferencias notables en las obligaciones impuestas por esos regímenes de Derecho civil a las plataformas de alojamiento de contenidos y en los mecanismos de aplicación.

(3)  La fragmentación resultante de los regímenes de Derecho civil que regulan la moderación de contenidos por las plataformas de alojamiento de contenidos no solo genera inseguridad jurídica, lo que podría llevar a tales plataformas a adoptar prácticas más estrictas de lo necesario con miras a minimizar los riesgos derivados de la utilización de sus servicios, sino también a una fragmentación del mercado único digital, lo que obstaculiza el crecimiento y la innovación y el desarrollo de las empresas europeas en el mercado único digital.

(4)  Habida cuenta de los efectos perjudiciales de la fragmentación del mercado único digital y la inseguridad jurídica resultante para empresas y consumidores, el carácter internacional del alojamiento de contenidos, la ingente cantidad de contenidos que precisan moderación y el poder de mercado significativo de un pequeño número de plataformas de alojamiento de contenidos situadas fuera de la Unión, las diversas cuestiones que surgen en relación con el alojamiento de contenidos deben regularse de un modo que conlleve una armonización plena y, por consiguiente, mediante un reglamento.

(5)  Con respecto a las relaciones con los usuarios, el presente Reglamento debe establecer normas mínimas en materia de equidad, transparencia y rendición de cuentas respecto de las condiciones contractuales de las plataformas de alojamiento de contenidos. Las condiciones contractuales deben ser claras, accesibles, inteligibles e inequívocas y deben incluir normas y procedimientos equitativos, transparentes, vinculantes y uniformes para la moderación de contenidos, que garanticen unas vías de recurso judicial accesibles e independientes y respeten los derechos fundamentales.

(6)  La amplificación de contenidos en función del usuario basada en las visualizaciones o en las posiciones presentadas en tales contenidos es una de las prácticas más perjudiciales de la sociedad digital, especialmente en los casos en que la visibilidad de dichos contenidos se incrementa en función de la interacción previa del usuario con otros contenidos amplificados y con el fin de optimizar los perfiles de usuario al objeto de crear publicidad personalizada.

(7)  Los algoritmos que deciden sobre la clasificación de los resultados de las búsquedas influyen en las comunicaciones e interacciones individuales y sociales y pueden determinar la formación de opinión, especialmente en el caso de contenidos de los medios de comunicación.

(8)  A fin de asegurar, entre otras cuestiones, que los usuarios puedan reivindicar sus derechos, debe dotárseles de un grado adecuado de transparencia e influencia en la curación del contenido que se les hace visible, incluida la posibilidad de renunciar completamente a toda curación de contenidos distinta del orden cronológico. En particular, los usuarios no deben estar sujetos a la curación de contenidos sin su consentimiento libre, específico, informado e inequívoco. El consentimiento dado a la publicidad personalizada no se considerará libre y válido si el acceso al servicio está supeditado al tratamiento de datos.

(9)  El consentimiento otorgado de manera general por un usuario a las condiciones contractuales de las plataformas de alojamiento de contenidos o a cualquier otra descripción general de las normas relacionadas con la gestión de contenidos por parte de las plataformas de alojamiento de contenidos no debe considerarse suficiente para presentar automáticamente al usuario contenidos curados.

(10)  El presente Reglamento no obliga a las plataformas de alojamiento de contenidos a recurrir a ninguna forma de control previo automatizado de los contenidos, a menos que se especifique de otro modo en la legislación vigente de la Unión, y dispone que los procedimientos de moderación de contenidos utilizados voluntariamente por las plataformas no deben dar lugar a medidas de control ex ante basadas en herramientas automatizadas o en el filtrado de la subida de contenidos.

(11)  El presente Reglamento debe incluir asimismo disposiciones contra las prácticas discriminatorias e inadmisibles de moderación de contenidos y contra la explotación o la exclusión para fines de moderación de contenidos, especialmente cuando se retiren contenidos creados por el usuario por razones de aspecto físico, origen étnico, género, orientación sexual, religión o creencias, discapacidad, edad, embarazo o crianza de los niños, lengua o clase social.

(12)  El derecho a emitir un aviso con arreglo al presente Reglamento debe seguir asociado a toda persona física o jurídica, incluidos los órganos públicos, a la que se faciliten contenidos a través de un sitio web o de una aplicación.

(13)  Tras la emisión de un aviso, la plataforma de alojamiento debe informar de él al cargador de contenidos, en particular del motivo del aviso y de la acción que se ha de tomar, y debe facilitarle información sobre el procedimiento —también sobre las vías de recurso y la remisión a órganos independientes de resolución de litigios— y sobre las vías de recurso disponibles en caso de falsos avisos. Sin embargo, esa información no debe facilitarse si la plataforma de alojamiento de contenidos ha sido informada por las autoridades públicas acerca de investigaciones en curso sobre el cumplimiento de la ley. En tal caso, corresponde a las autoridades pertinentes informar al cargador de contenidos de la emisión de un aviso, de conformidad con las normas aplicables.

(14)  Debe informarse a todas las partes interesadas de una decisión relativa a un aviso. La información facilitada a las partes interesadas debe incluir, además del resultado de la decisión, al menos el motivo de la decisión y si la decisión ha sido adoptada exclusivamente por un ser humano, así como la información pertinente relativa a revisiones o vías de recurso.

(15)  El contenido debe considerarse manifiestamente ilegal si, inequívocamente y sin necesidad de un examen en profundidad, infringe las disposiciones legales que regulan la legalidad de los contenidos en internet.

(16)  Habida cuenta de la naturaleza inmediata del alojamiento de contenidos y la finalidad a menudo efímera de la carga de contenidos, es necesario establecer órganos independientes de resolución de litigios con miras a garantizar un recurso extrajudicial rápido y eficiente. Estos órganos deben ser competentes para conocer de litigios relativos a la legalidad de los contenidos cargados por los usuarios y a la correcta aplicación de las condiciones contractuales. Sin embargo, este procedimiento no debe privar al usuario del derecho a acudir a la justicia e interponer un recurso judicial.

(17)  La creación de órganos independientes de resolución de litigios podría aliviar la carga que pesa sobre los tribunales al ofrecer una resolución rápida de los litigios sobre decisiones de gestión de contenidos, sin perjuicio del derecho de recurso judicial ante un tribunal. Dado que las plataformas de alojamiento de contenidos que disponen de un poder de mercado significativo pueden beneficiarse de manera especial de la creación de órganos independientes de resolución de litigios, es conveniente que contribuyan a financiarlos. Este fondo debe estar gestionado de forma independiente por la entidad europea a fin de ayudar a los Estados miembros a financiar los costes de funcionamiento de los órganos independientes de solución de diferencias. Los Estados miembros deben velar por que se dote a dichos órganos de los recursos adecuados para garantizar su competencia e independencia.

(18)  Los usuarios deben tener derecho a interponer recurso ante un órgano de resolución de litigios imparcial e independiente, como un mecanismo independiente de resolución de litigios, para impugnar una decisión adoptada por una plataforma de alojamiento de contenidos a raíz de un aviso sobre los contenidos que cargaron. Las personas que efectúen avisos deben tener este derecho si en un procedimiento civil en relación con los contenidos de que se trate habrían gozado de legitimidad procesal.

(19)  Por lo que se refiere a la competencia territorial, el órgano independiente de resolución de litigios competente debe ser el situado en el Estado miembro desde donde se haya cargado el contenido objeto del litigio. Las personas físicas siempre deben poder presentar reclamaciones ante el órgano independiente de resolución de litigios de su Estado miembro de residencia.

(20)  La denuncia de irregularidades contribuye a evitar infracciones del Derecho y a detectar amenazas o perjuicios para el interés general que de otro modo no serían advertidas. La protección de los denunciantes desempeña un papel importante en la protección de la libertad de expresión, la libertad de los medios de comunicación y el derecho del público a acceder a la información. Por consiguiente, la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo (1) debe aplicarse a las infracciones pertinentes del presente Reglamento. En consecuencia, debe modificarse dicha Directiva.

(21)  El presente Reglamento debe incluir obligaciones acerca de la información sobre su aplicación y de su revisión en un plazo razonable. A tal fin, los órganos independientes de solución de diferencias previstos por los Estados miembros en virtud del presente Reglamento deben presentar informes sobre el número de asuntos que se les remitan, las decisiones adoptadas — anonimizando los datos personales según convenga — incluido el número de asuntos remitidos que tramiten, datos sobre problemas sistémicos, tendencias e identificación de plataformas que no cumplen las decisiones de órganos independientes de resolución de litigios.

(22)  Dado que el objetivo del presente Reglamento, a saber, establecer un marco regulador para los derechos contractuales en materia de gestión de contenidos en la Unión, no puede ser alcanzado de manera suficiente por los Estados miembros, sino que, debido a su dimensión y efectos, puede lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.

(23)  La acción a nivel de la Unión tal como se establece en el presente Reglamento se vería sustancialmente reforzada con la creación de una entidad de la Unión encargada de la adecuada supervisión y de garantizar el cumplimiento de las disposiciones del presente Reglamento por parte de las plataformas de alojamiento de contenidos. A tal fin, la Comisión debe considerar la posibilidad de designar una agencia europea o un órgano europeo existentes o nuevos o de coordinar una red de autoridades nacionales, para revisar el cumplimiento de las normas establecidas para la gestión de contenidos sobre la base de informes de transparencia y el seguimiento de los algoritmos empleados por las plataformas de alojamiento de contenidos a efectos de gestión de contenidos (en lo sucesivo, «entidad europea»).

(24)  Con el fin de garantizar que se evalúan los riesgos que presenta la amplificación de contenidos, debe establecerse un diálogo semestral sobre el impacto de las políticas de gestión de contenidos legales sobre los derechos fundamentales entre las plataformas de alojamiento de contenidos con un poder de mercado significativo y la entidad europea, junto con las autoridades nacionales pertinentes.

(25)  El presente Reglamento respeta todos los derechos fundamentales y observa las libertades y principios reconocidos en la Carta de los Derechos Fundamentales de la Unión Europea consagrados en los Tratados, en particular la libertad de expresión y de información, así como el derecho a tutela judicial efectiva y a un proceso imparcial.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1.- Finalidad

La finalidad del presente Reglamento es contribuir al correcto funcionamiento del mercado interior mediante el establecimiento de normas para asegurar la existencia de unos derechos contractuales justos por lo que se refiere a la gestión de contenidos y proporcionar mecanismos independientes de resolución de litigios relativos a la gestión de contenidos.

Artículo 2.- Ámbito de aplicación

1.  El presente Reglamento se aplica a las plataformas de alojamiento de contenidos que alojan y gestionan contenidos públicamente accesibles en la Unión en sitios web o mediante aplicaciones de teléfonos inteligentes, con independencia del lugar de establecimiento o de registro de la plataforma de alojamiento de contenidos o de su centro de actividad principal.

2.  El presente Reglamento no se aplica a las plataformas de alojamiento de contenidos que:

a)  no tengan carácter comercial; o

b)  tengan menos de [100 000] (2) usuarios.

Artículo 3.- Definiciones

A efectos del presente Reglamento, se entenderá por:

1)  «plataforma de alojamiento de contenidos»: un servicio de la sociedad de la información en el sentido del artículo 1, punto 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (3), cuyo propósito principal o uno de cuyos propósitos principales es permitir que los usuarios registrados o no registrados suban contenidos para su presentación en un sitio web o una aplicación públicamente accesibles;

2)  «plataforma de alojamiento de contenidos con un poder de mercado significativo»: una plataforma de alojamiento de contenidos con al menos dos de las características siguientes:

a)  la capacidad de desarrollar o conservar su base de usuarios se debe a efectos de red que producen la cautividad de una parte significativa de sus usuarios, o a que su posicionamiento en las últimas fases del mercado le permite crear una dependencia económica;

b)  un tamaño considerable en el mercado, medido bien por el número de usuarios activos, bien por el volumen de negocios global anual de la plataforma;

c)  la integración en un entorno empresarial o de red controlado por su grupo o sociedad matriz, que permite que el poder de mercado se aproveche en un mercado adyacente;

d)  la función de guardián de acceso para toda una categoría de contenidos o información;

e)  el acceso a grandes cantidades de datos personales de alta calidad, facilitados por los usuarios o deducidos respecto de los usuarios sobre la base del seguimiento de su comportamiento en línea, siendo dichos datos indispensables para prestar y mejorar un servicio similar, además de ser difícil que competidores potenciales accedan a ellos o los repliquen;

3)  «contenido»: todo concepto, idea, forma de expresión o información en cualquier formato, como texto, imágenes, audio o vídeo;

4)  «contenidos ilegales»: cualquier información que no sea conforme con el Derecho de la Unión o del Estado miembro en el que esté alojado;

5)  «gestión de contenidos»: la moderación y la curación de contenidos en plataformas de gestión de contenidos;

6)  «moderación de contenidos»: la práctica de controlar y aplicar un conjunto predeterminado de reglas y directrices relativas al contenido generado, publicado o compartido por el usuario, a fin de garantizar que el contenido sea conforme a los requisitos legales y reglamentarios, a las directrices de la comunidad y a las condiciones contractuales, así como toda medida subsiguiente tomada por la plataforma, como la retirada del contenido o la supresión o suspensión de la cuenta del usuario, ya sea por medios automáticos o por intervención de operadores humanos;

7)  «curación de contenidos»: la práctica de seleccionar, optimizar, priorizar y recomendar contenidos sobre la base de los perfiles individuales de usuario para fines de su presentación en un sitio web o una aplicación;

8)  «condiciones contractuales»: todas las condiciones o especificaciones, con independencia de su denominación y su forma, que rigen la relación contractual entre la plataforma de alojamiento de contenidos y sus usuarios y que establece unilateralmente la plataforma de alojamiento de contenidos;

9)  «usuario»: la persona natural o jurídica que utiliza los servicios prestados por una plataforma de alojamiento de contenidos o interactúa con contenidos alojados en dicha plataforma;

10)  «cargador de contenidos»: la persona física o jurídica que incorpora contenido a una plataforma de alojamiento de contenidos, con independencia de su visibilidad para otros usuarios;

11)  «aviso»: el aviso formalizado por el que se impugna la conformidad del contenido con los requisitos legales y reglamentarios, las directrices de la comunidad y las condiciones contractuales.

Artículo 4.- Principios de gestión de contenidos

1.  La gestión de contenidos se llevará a cabo de manera justa, lícita y transparente. Las prácticas de gestión de contenidos serán adecuadas, proporcionadas al tipo de contenido y a su volumen y pertinentes, y se limitarán a lo necesario en relación con los fines para los que se gestiona el contenido. Las plataformas de alojamiento de contenidos serán responsables de garantizar que sus prácticas de gestión de contenidos sean equitativas, transparentes y proporcionadas.

2.  Los usuarios no serán objeto de prácticas discriminatorias, explotación o exclusión, a efectos de moderación de contenidos por parte de las plataformas de alojamiento de contenidos, como la retirada de contenidos generados por el usuario por razones de aspecto físico, origen étnico, género, orientación sexual, religión o creencias, discapacidad, edad, embarazo o crianza de los niños, lengua o clase social.

3.  Las plataformas de alojamiento de contenidos proporcionarán a los usuarios información suficiente sobre sus perfiles de curación de contenidos y los criterios individuales con arreglo a los que las plataformas de alojamiento de contenidos curan sus contenidos, incluida la información sobre si se utilizan algoritmos y sus objetivos.

4.  Las plataformas de alojamiento de contenidos proporcionarán a sus usuarios un grado adecuado de influencia en la curación del contenido que se les hace visible, incluida la posibilidad de renunciar completamente a la curación de contenidos. En particular, los usuarios no deben estar sujetos a la curación de contenidos sin su consentimiento libre, específico, informado e inequívoco.

Artículo 5.- Diálogo estructurado sobre riesgos en materia de gestión de contenidos

Como parte de un diálogo estructurado sobre riesgos con la entidad europea junto con las autoridades nacionales pertinentes, las plataformas de alojamiento de contenidos con un poder de mercado significativo presentarán a la entidad europea un informe semestral sobre el impacto en los derechos fundamentales y sobre la gestión de riesgos aplicada sus políticas de gestión de contenidos y cómo mitigan dichos riesgos.

Artículo 6.- Obligación de transparencia

1.  Los prestadores de servicios digitales adoptarán las medidas necesarias para permitir la revelación de la financiación de cualquier agrupación de intereses con la que estén asociados los usuarios de los servicios digitales de los prestadores, así como de los pormenores de la naturaleza de la relación entre dichas agrupaciones de intereses y los usuarios. Esta revelación permitirá identificar a la persona jurídicamente responsable.

2.  Los prestadores de servicios digitales comerciales establecidos fuera de la Unión designarán un representante legal a efectos de los intereses de los usuarios en el interior de la Unión y harán visible y accesible en sus plataformas en línea la información de contacto de dicho representante.

Artículo 7.- Elegibilidad para emitir avisos

1.  Toda persona física o jurídica u organismo público a los que se proporcione contenido a través de un sitio web, una aplicación u otro tipo de software tendrá derecho a emitir un aviso conforme al presente Reglamento.

2.  Los Estados miembros establecerán sanciones para el caso de que una persona que actúe con fines relacionados con su actividad comercial, negocio, oficio o profesión presente de forma sistemática y reiterada avisos abusivos. Tales sanciones serán efectivas, proporcionadas y disuasorias.

Artículo 8.- Procedimientos de aviso

Las plataformas de alojamiento de contenidos incluirán en sus condiciones contractuales información clara, accesible, inteligible e inequívoca sobre los procedimientos de aviso, en particular:

a)  el plazo máximo para informar al cargador del contenido de que se trate de un procedimiento de aviso;

b)  el plazo de que dispone el cargador del contenido para formular una impugnación;

c)  el plazo límite para que la plataforma de alojamiento de contenidos tramite con rapidez un aviso y adopte una decisión;

d)  el plazo límite para que la plataforma de alojamiento de contenidos informe a ambas partes del resultado de su decisión y motive la acción emprendida.

Artículo 9.- Contenido de los avisos

1.  Un aviso relativo a un contenido incluirá al menos la siguiente información:

a)  un enlace al contenido en cuestión y, si procede, por lo que respecta a los contenidos de vídeo, un sello de tiempo;

b)  el motivo del aviso;

c)  pruebas que justifiquen la reclamación formulada en el aviso;

d)  una declaración jurada de la persona que efectúe el aviso; y

e)  en caso de violación de derechos de la personalidad o de derechos de la propiedad intelectual, la identidad de la persona que efectúe el aviso.

2.  En el supuesto de las violaciones a que se refiere el apartado 1, letra e), la persona que efectúe el aviso será la persona afectada por la violación de los derechos de la personalidad o el titular de los derechos de la propiedad intelectual conculcados, o una persona que actúe en su nombre.

Artículo 10.- Información al cargador de contenidos

1.  En el momento de la emisión del aviso y antes de que se tome una decisión sobre el contenido, el cargador del contenido de que se trate recibirá la información siguiente:

a)  el motivo del aviso y de la acción que podría emprender la plataforma de alojamiento de contenidos;

b)  información suficiente sobre el procedimiento que debe seguirse;

c)  información sobre el derecho de réplica establecido en el apartado 3; y

d)  información sobre las vías de recurso disponibles en caso de falso aviso.

2.  La información solicitada en virtud del apartado 1 no se facilitará si la plataforma de alojamiento de contenidos ha sido informada por las autoridades públicas de las investigaciones de las autoridades con funciones coercitivas.

3.  El cargador de contenidos tendrá derecho a responder a la plataforma de alojamiento de contenidos en forma de contraaviso. La plataforma de alojamiento de contenidos tendrá en cuenta la respuesta del cargador de contenidos cuando adopte una decisión sobre las medidas que deben tomarse.

Artículo 11.- Decisiones sobre los avisos

1.  Las plataformas de alojamiento de contenidos velarán por que las decisiones sobre los avisos sean tomadas por personal cualificado y sin demora injustificada tras las investigaciones necesarias.

2.  A raíz de un aviso, las plataformas de alojamiento de contenidos decidirán sin dilación si retirar, suprimir o inhabilitar el acceso al contenido objeto del aviso, si dicho contenido no es conforme a los requisitos legales. Sin perjuicio de lo dispuesto en el artículo 14, apartado 2, el hecho de que una plataforma de alojamiento de contenidos haya considerado que un contenido específico no es conforme no dará lugar automáticamente en ningún caso a que se retire, suprima o haga inaccesible el contenido cargado por otro usuario.

Artículo 12.- Información sobre las decisiones

Cuando una plataforma de alojamiento de contenidos haya adoptado una decisión, informará del sentido de la decisión a todas las partes interesadas en el procedimiento de aviso y les facilitarán la información siguiente de manera clara y sencilla:

a)  los motivos de la decisión;

b)  si la decisión fue tomada exclusivamente por un ser humano o con el apoyo de un algoritmo;

c)  información acerca de la posibilidad de revisión a que se refiere el artículo 13 o de recurso judicial para cada una de las partes.

Artículo 13.- Revisión de las decisiones

1.  Las plataformas de alojamiento de contenidos pueden establecer un mecanismo que permita a los usuarios solicitar una revisión de las decisiones que adopten.

2.  Las plataformas de alojamiento de contenidos con un poder de mercado significativo establecerán el mecanismo de revisión a que se refiere el apartado 1.

3.  En todos los casos, la decisión final de la revisión será tomada por un ser humano.

Artículo 14.- Retirada de contenidos

1.  Sin perjuicio de eventuales órdenes judiciales o administrativas relativas al contenido en línea, el contenido que haya sido objeto de un aviso permanecerá visible mientras esté en curso el examen de su legalidad.

2.  Las plataformas de alojamiento de contenidos actuarán con prontitud para hacer inaccesibles o retirar contenidos manifiestamente ilegales.

Artículo 15.- Resolución de litigios independiente

1.  Los Estados miembros establecerán órganos independientes de resolución de litigios con la finalidad de ofrecer una vía de recurso extrajudicial rápida y eficiente cuando se impugnen decisiones en materia de moderación de contenidos.

2.  Los órganos independientes de resolución de litigios estarán compuestos por expertos jurídicos independientes con el mandato de conocer de las diferencias entre plataformas de alojamiento de contenidos y usuarios en cuanto a la conformidad del contenido de que se trate con los requisitos legales y administrativos, las directrices de la comunidad y las condiciones.

3.  La remisión de un litigio relacionado con la moderación de contenidos a un órgano independiente de resolución de litigios no será óbice para que el usuario acuda a los tribunales, a menos que la diferencia se resuelva de común acuerdo.

4.  Las plataformas de alojamiento de contenidos con un poder de mercado significativo contribuirán a financiar los costes de funcionamiento de los órganos independientes de resolución de litigios a través de un fondo específico gestionado por la entidad europea, con el fin de ayudar a los Estados miembros a financiar dichos órganos. Los Estados miembros garantizarán que los órganos independientes de resolución de litigios estén dotados de los recursos adecuados para garantizar su competencia e independencia.

Artículo 16.- Normas de procedimiento para una resolución de litigios independiente

1.  El cargador de contenidos así como un tercero, por ejemplo un mediador con un interés legítimo para actuar, tendrán derecho a remitir asuntos relacionados con la moderación de contenidos al órgano independiente de resolución de litigios cuando la plataforma de alojamiento de contenidos haya decidido retirar o suprimir un contenido o impedir el acceso al mismo, o actúe de manera contraria a las preferencias expresadas por el cargador de contenidos o de tal modo que conculque derechos fundamentales.

2.  Cuando la plataforma de alojamiento de contenidos decida no retirar un contenido objeto de un aviso, la persona que efectúe el aviso tendrá derecho a someter el asunto al órgano independiente de resolución de litigios competente, siempre que tenga legitimación procesal para ser parte en un procedimiento civil relativo al asunto en cuestión.

3.  Por lo que se refiere a la competencia territorial, el órgano independiente de resolución de litigios competente debe ser el situado en el Estado miembro desde donde se haya cargado el contenido objeto del litigio. Las personas físicas podrán presentar en todos los casos reclamaciones ante el órgano independiente de resolución de litigios de su Estado miembro de residencia.

4.  Cuando la persona que efectúe el aviso tenga derecho a someter un asunto de moderación de contenidos a un órgano independiente de resolución de litigios de conformidad con el apartado 2, la persona que efectúe el aviso podrá someter el asunto al órgano independiente de resolución de litigios situado en el Estado miembro de residencia habitual de la persona que efectúe el aviso o del cargador de contenidos si este último está utilizando el servicio para fines no comerciales.

5.  Cuando un caso de moderación de contenidos relacionado con la misma cuestión sea objeto de remisión a otro órgano independiente de resolución de litigios, el órgano independiente de resolución de litigios podrá suspender el procedimiento en lo que respecta a la remisión. Cuando una cuestión de moderación de contenidos haya sido objeto de recomendaciones por parte de un órgano independiente de resolución de litigios, el órgano independiente de resolución de litigios podrá denegar la tramitación de una remisión.

6.  Los Estados miembros establecerán todas las demás normas y los procedimientos necesarios para los órganos independientes de resolución de litigios de su territorio.

Artículo 17.- Datos personales

Todo tratamiento de datos personales en virtud del presente Reglamento debe ser conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (4) y a la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (5).

Artículo 18.- Denuncia de infracciones y condiciones de protección de los denunciantes

La Directiva (UE) 2019/1937 se aplicará a la denuncia de infracciones al presente Reglamento y a las personas que las denuncien.

Artículo 19.- Enmiendas a la Directiva (UE) 2019/1937

La Directiva (UE) 2019/1937 se modifica como sigue:

1)  En el artículo 2, apartado 1, letra a), se añade el inciso siguiente:

«xi) gestión de contenidos en línea;»;

2)  En la parte I del anexo, se añade la letra siguiente:

«K. Artículo 2, apartado 1, letra a), inciso xi) – Gestión de contenidos en línea.

Reglamento [XXX] del Parlamento Europeo y del Consejo relativo a los derechos contractuales en lo referente a la gestión de contenidos».

Artículo 20.- Información, evaluación y revisión

1.  Los Estados miembros proporcionarán a la Comisión toda la información pertinente relativa a la ejecución y aplicación del presente Reglamento. Sobre la base de la información facilitada y de la consulta pública, la Comisión, no más tarde del … [tres años después de la entrada en vigor del presente Reglamento], presentará un informe al Parlamento Europeo y al Consejo sobre la aplicación del presente Reglamento, y examinará la necesidad de tomar medidas adicionales, incluyendo, si procede, de modificar el presente Reglamento.

2.  Sin perjuicio de las obligaciones de información establecidas en otros actos legislativos de la Unión, los Estados miembros presentarán anualmente las siguientes estadísticas a la Comisión:

a)  el número de litigios remitidos a órganos independientes de resolución de litigios y los tipos de contenido que fueron objeto de litigio;

b)  el número de asuntos resueltos por los órganos independientes de resolución de litigios, clasificados según los resultados.

Artículo 21.- Entrada en vigor

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Será aplicable a partir del [XX].

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en …,

Por el Parlamento Europeo           Por el Consejo

El Presidente                                    El Presidente

——————————————–

(1) Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (DO L 305 de 26.11.2019, p. 17).

(2) Cuando determine el número de usuarios, la Comisión debe tener en cuenta la situación de las pymes y las empresas emergentes.

(3) Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información (DO L 241 de 17.9.2015, p. 1).

(4) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(5) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

20Feb/22

COM/2020/825 final. Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a un mercado único de servicios digitales

COM/2020/825 final. Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a un mercado único de servicios digitales (Ley de servicios digitales) y por el que se modifica la Directiva 2000/31/CE, 15 de diciembre de 2020.

Bruselas, 15.12.2020

REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a un mercado único de servicios digitales (Ley de servicios digitales) y por el que se modifica la Directiva 2000/31/CE

EXPOSICIÓN DE MOTIVOS

1. CONTEXTO DE LA PROPUESTA

• Razones y objetivos de la propuesta

Desde que se adoptó la Directiva 2000/31/CE (1) (la «Directiva sobre el comercio electrónico»), han aparecido nuevos e innovadores servicios (digitales) de la sociedad de la información que han transformado la vida cotidiana de los ciudadanos de la Unión y cambiado sus formas de comunicarse, conectarse, consumir y hacer negocios. Dichos servicios han contribuido en gran medida a las transformaciones sociales y económicas que se han producido en la Unión y en el mundo entero. Al mismo tiempo, esos servicios se han convertido en una fuente de nuevos riesgos y desafíos, tanto para la sociedad en su conjunto como para las personas que hacen uso de ellos. Los servicios digitales pueden coadyuvar al cumplimiento de los Objetivos de Desarrollo Sostenible al contribuir a la sostenibilidad económica, social y medioambiental. La crisis del coronavirus ha demostrado la importancia que tienen las tecnologías digitales en todos los aspectos de la vida moderna. Ha puesto claramente de relieve que nuestra economía y nuestra sociedad dependen de los servicios digitales, así como las ventajas y los riesgos que se derivan del actual marco de funcionamiento de dichos servicios.

En su Comunicación Shaping Europe’s Digital Future (2) (Configurar el futuro digital de Europa), la Comisión se comprometió a actualizar las normas horizontales que definen las responsabilidades y obligaciones de los prestadores de servicios digitales, especialmente de las plataformas en línea.

De este modo, la Comisión ha tenido en cuenta los problemas detectados en los informes de iniciativa propia del Parlamento Europeo y ha analizado las propuestas que contienen. El Parlamento Europeo adoptó dos resoluciones basadas en el artículo 225 del Tratado de Funcionamiento de la Unión Europea (TFUE): «Ley de servicios digitales: una mejora del funcionamiento del mercado único» (3) y «Ley de servicios digitales: adaptación de las normas de Derecho mercantil y civil a las entidades comerciales que operan en línea» (4). El Parlamento Europeo también adoptó una resolución en virtud del procedimiento no legislativo: «Ley de servicios digitales y cuestiones relacionadas con los derechos fundamentales» (5). En esencia, estas resoluciones son complementarias en muchos aspectos. Incluyen un firme llamamiento a mantener los principios básicos de la Directiva sobre el comercio electrónico y proteger los derechos fundamentales en el entorno en línea, así como el anonimato en línea siempre que sea técnicamente posible. Establecen obligaciones de transparencia, información y rendición de cuentas para los prestadores de servicios digitales y abogan por la imposición de obligaciones eficaces para actuar contra los contenidos ilícitos en línea. También abogan por la supervisión pública en el ámbito nacional y de la UE, así como por la cooperación entre las autoridades competentes de las distintas jurisdicciones para hacer cumplir la ley, especialmente en relación con asuntos transfronterizos.

La Resolución sobre la Ley de servicios digitales: una mejora del funcionamiento del mercado único exige una reforma ambiciosa del actual marco jurídico del comercio electrónico en la UE, así como el mantenimiento simultáneo de los principios esenciales de su régimen de responsabilidad, la prohibición de imponer una obligación general de supervisión y la cláusula de mercado interior, que considera que mantienen su validez hasta hoy. La resolución confirma los objetivos de la Directiva sobre el comercio electrónico y, a través de una sección dedicada a los mercados en línea, exige medidas cuya finalidad esencial sea la protección del consumidor y que garanticen la confianza de este en la economía digital, respetando al mismo tiempo los derechos fundamentales de los usuarios. La resolución también aboga por que se adopten normas que sustenten un entorno digital competitivo en Europa, y contempla la Ley de servicios digitales como un instrumento para establecer normas a escala mundial.

La Resolución sobre la Ley de servicios digitales: adaptación de las normas de Derecho mercantil y civil a las entidades comerciales que operan en línea exige mayor equidad, transparencia y rendición de cuentas en los procesos de moderación de contenidos de los servicios digitales, de modo que se asegure el respeto de los derechos fundamentales y se garanticen vías de recurso judicial independientes. La resolución también solicita un mecanismo de «notificación y acción» que permita actuar contra los contenidos ilícitos, unas normas exhaustivas en materia de publicidad en línea, incluida la publicidad personalizada, así como unas medidas que favorezcan la formulación y aplicación de contratos inteligentes.

La Resolución no legislativa sobre la Ley de servicios digitales y cuestiones relacionadas con los derechos fundamentales pone de manifiesto la necesidad de que exista claridad jurídica para las plataformas y los usuarios, así como respecto a los derechos fundamentales ante el rápido desarrollo de la tecnología. Requiere normas armonizadas para combatir los contenidos ilícitos en línea y para regular las exenciones de responsabilidad y la moderación de contenidos. La resolución también incluye unas responsabilidades claras de información y transparencia para las plataformas y las autoridades. Las Conclusiones del Consejo (6) también acogen con satisfacción el anuncio de una Ley de servicios digitales por parte de la Comisión, haciendo hincapié en «la necesidad de contar con unas normas sobre responsabilidades y rendición de cuentas para los servicios digitales que sean claras, armonizadas y basadas en hechos y que garanticen a los intermediarios de internet un nivel adecuado de seguridad jurídica» y destacando «la necesidad de potenciar las capacidades de Europa y la cooperación de las autoridades nacionales, preservando y reforzando los principios fundamentales del Mercado Único, así como de aumentar la seguridad de los ciudadanos y de proteger sus derechos en el entorno digital en todo el Mercado Único». Este llamamiento se reiteró en las Conclusiones del Consejo de 2 de octubre de 2020 (7).

Sobre la base de los principios esenciales establecidos en la Directiva sobre el comercio electrónico, que mantienen su validez hasta hoy, esta propuesta pretende garantizar las mejores condiciones para la prestación de servicios digitales innovadores en el mercado interior, contribuir a la seguridad en línea y la protección de los derechos fundamentales, y establecer una estructura de gobernanza robusta y duradera para la supervisión efectiva de los prestadores de servicios intermediarios.

La propuesta define unas responsabilidades claras, también en materia de rendición de cuentas, para los prestadores de servicios intermediarios, especialmente las plataformas en línea como los mercados y las redes sociales. Con la imposición de unas obligaciones claras de diligencia debida para determinados servicios intermediarios, como procedimientos de notificación y acción en relación con los contenidos ilícitos y la posibilidad de impugnar las decisiones de moderación de contenidos de las plataformas, la propuesta trata de mejorar la seguridad de los usuarios en línea en toda la Unión y reforzar la protección de sus derechos fundamentales. Además, imponer a determinadas plataformas en línea la obligación de recibir, conservar y en parte verificar y publicar información sobre los comerciantes usuarios de sus servicios garantizará un entorno en línea más seguro y transparente para los consumidores. En reconocimiento del especial impacto que tienen las plataformas en línea de mayor tamaño en nuestra economía y nuestra sociedad, la propuesta establece un nivel más alto de transparencia y rendición de cuentas para los procedimientos de moderación de contenidos utilizados por los prestadores de dichas plataformas, para la publicidad y para los procesos algorítmicos. Impone obligaciones de evaluar los riesgos que sus sistemas presentan para desarrollar herramientas de gestión de riesgos a fin de proteger la integridad de sus servicios frente al empleo de técnicas de manipulación. El umbral operativo de los prestadores de servicios sujetos a estas obligaciones incluye aquellas plataformas en línea que tienen un importante alcance en la Unión, estimado actualmente en más de cuarenta y cinco millones de destinatarios del servicio. Este umbral es proporcional a los riesgos que entraña el alcance de las plataformas en la Unión; cuando la población de la Unión varíe en un determinado porcentaje, la Comisión ajustará el número de destinatarios considerado para fijar el umbral, de modo que se corresponda sistemáticamente con el 10 % de la población de la Unión. Asimismo, la Ley de servicios digitales establecerá un mecanismo de protección de corregulación, que incluye el aprovechamiento de iniciativas voluntarias ya existentes.

La propuesta mantiene las normas de responsabilidad para los prestadores de servicios intermediarios estipuladas en la Directiva sobre el comercio electrónico, ya consolidada como fundamento de la economía digital y esencial para la protección de los derechos fundamentales en línea. Dichas normas han sido interpretadas por el Tribunal de Justicia de la Unión Europea, que ha proporcionado valiosas aclaraciones y orientaciones. No obstante, para garantizar una armonización efectiva en el conjunto de la Unión y evitar la fragmentación jurídica, es necesario incluir esas normas en un Reglamento. También es oportuno aclarar algunos de sus aspectos a fin de eliminar factores que desincentivan las investigaciones propias de carácter voluntario realizadas por los prestadores de servicios intermediarios para garantizar la seguridad de sus usuarios y aclarar su rol desde la perspectiva de los consumidores en determinadas circunstancias. Esas aclaraciones deben ayudar a los prestadores innovadores de menor tamaño a ampliar su escala y crecer, gracias a una mayor seguridad jurídica.

Un mercado único más profundo y sin fronteras para los servicios digitales requiere una mayor cooperación entre los Estados miembros para garantizar la eficacia en la supervisión y ejecución de las nuevas normas estipuladas en la propuesta de Reglamento. La propuesta determina unas responsabilidades claras para el Estado miembro que supervisa el cumplimiento de las obligaciones estipuladas en la propuesta de Reglamento por parte de los prestadores de servicios radicados en su territorio. De este modo se garantiza la máxima rapidez y eficacia en la ejecución de las normas y se protege a todos los ciudadanos de la Unión. Se trata de establecer unos procesos sencillos y claros para que tanto los ciudadanos como los prestadores de servicios encuentren alivio en sus interacciones con las autoridades supervisoras. La propuesta de Reglamento contempla medidas de supervisión y ejecución a escala de la Unión para el caso de que aparezcan riesgos sistémicos.

• Coherencia con las disposiciones existentes en la misma política sectorial

El marco jurídico que regula los servicios digitales en la UE se sustenta principalmente en la Directiva sobre el comercio electrónico. La presente propuesta de Reglamento ha de entenderse sin perjuicio de la Directiva sobre el comercio electrónico y se basa en las disposiciones que la misma contiene, en particular en relación con el principio del mercado interior establecido en su artículo 3. La propuesta de Reglamento establece un mecanismo de cooperación y coordinación para la supervisión de las obligaciones que impone. Con respecto al marco horizontal de la exención de responsabilidad para los prestadores de servicios intermediarios, el presente Reglamento suprime los artículos 12 a 15 de la Directiva sobre el comercio electrónico y los reproduce en el Reglamento, manteniendo las exenciones de responsabilidad de dichos prestadores, según la interpretación del Tribunal de Justicia de la Unión Europea.

En función del régimen jurídico de cada Estado miembro y el campo del derecho de que se trate, las autoridades judiciales o administrativas nacionales pueden ordenar a los prestadores de servicios intermediarios que actúen contra determinados contenidos ilícitos. Estas órdenes, especialmente cuando requieran que el prestador impida la reaparición de contenidos ilícitos, deben dictarse en cumplimiento del Derecho de la Unión, especialmente con la prohibición de imponer obligaciones generales de supervisión, según la interpretación del Tribunal de Justicia de la Unión Europea (8). Esta propuesta, en particular su artículo 8, no afecta a esta jurisprudencia. La presente propuesta debe constituir el fundamento apropiado para el desarrollo de tecnologías sólidas que impidan la reaparición de información ilícita, acompañadas de las salvaguardias más estrictas para evitar que se retiren contenidos lícitos por error; estas herramientas podrían desarrollarse en virtud de acuerdos voluntarios entre todas las partes afectadas con el apoyo de los Estados miembros; interesa a todas las partes implicadas en la prestación de servicios intermediarios adoptar y aplicar tales procedimientos; las disposiciones del presente Reglamento en materia de responsabilidad no deberían impedir el desarrollo y el uso efectivo, por las distintas partes interesadas, de sistemas técnicos de protección e identificación y de reconocimiento automático gracias a la tecnología digital dentro de los límites establecidos por el Reglamento 2016/679.

•Coherencia con otras políticas de la Unión

La presente propuesta de Reglamento introduce un marco horizontal para todas las categorías de contenidos, productos, servicios y actividades en servicios intermediarios. El carácter ilícito de tales contenidos, productos o servicios no se define en el presente Reglamento, sino que se deriva del Derecho de la Unión o de legislación nacional conforme al Derecho de la Unión.

Los instrumentos sectoriales no abarcan todas las carencias reglamentarias reflejadas en el informe de evaluación de impacto: no establecen normas totalmente desarrolladas sobre las obligaciones procedimentales relacionadas con los contenidos ilícitos y únicamente incluyen normas básicas de transparencia y rendición de cuentas de los prestadores de servicios y mecanismos de supervisión limitados. Además, las leyes sectoriales comprenden situaciones que necesitan enfoques adaptados. En cuanto a su alcance, están limitadas desde dos puntos de vista. Primero, las intervenciones sectoriales actúan sobre un pequeño subconjunto de problemas (por ejemplo, infracciones de derechos de autor, contenidos terroristas, materiales relacionados con el abuso sexual de menores o delitos de incitación al odio, algunos productos ilegales). Segundo, solo se refieren a la difusión de tales contenidos en determinados tipos de servicios (por ejemplo, un subconjunto de plataformas en línea para la infracción de derechos de autor, solo plataformas de intercambio de vídeos y solo en relación con contenidos audiovisuales terroristas o la incitación al odio). Sin embargo, es importante aclarar la relación que existe entre la nueva propuesta de Reglamento y los instrumentos sectoriales.

La propuesta de Reglamento es complementaria de la legislación sectorial existente y no afecta a la aplicación de las leyes de la UE que regulan determinados aspectos de la prestación de servicios de la sociedad de la información, que se aplican con carácter de lex specialis. A modo de ejemplo, seguirán aplicándose las obligaciones estipuladas en la Directiva 2010/13/CE, en su versión modificada por la Directiva (UE) 2018/1808, sobre los prestadores de plataformas de intercambio de vídeos (Directiva de servicios de comunicación audiovisual) en lo que respecta a contenidos audiovisuales y comunicación comercial audiovisual. Sin embargo, el presente Reglamento se aplica a esos prestadores en la medida en que la Directiva de servicios de comunicación audiovisual u otros actos jurídicos de la Unión, como la propuesta de Reglamento para la prevención de la difusión de contenidos terroristas en línea, no contengan disposiciones de carácter más específico que les sean aplicables.

El marco establecido en el Reglamento (UE) 2019/1150, sobre el fomento de la equidad y la transparencia para los usuarios profesionales de servicios de intermediación en línea, a fin de garantizar que los usuarios profesionales de dichos servicios y los usuarios de sitios web corporativos en relación con motores de búsqueda en línea dispongan de opciones apropiadas de transparencia, de equidad y de reclamación, será de aplicación con carácter de lex specialis.

Además, las disposiciones de la presente propuesta serán complementarias al acervo de protección del consumidor y, en concreto, en lo que respecta a la Directiva (UE) 2019/2161, por la que se modifica la Directiva 93/13/CEE del Consejo, y las Directivas 98/6/CE, 2005/29/CE y 2011/83/UE, que establecen normas concretas para aumentar la transparencia en algunas de las funciones ofrecidas por determinados servicios de la sociedad de la información.

Esta propuesta ha de entenderse sin perjuicio del Reglamento (UE) 2016/679 (el Reglamento General de Protección de Datos) y otras normas de la Unión sobre la protección de los datos personales y la privacidad de las comunicaciones. Por ejemplo, las medidas relativas a la publicidad en las plataformas en línea complementan, pero no modifican, las normas existentes sobre consentimiento y el derecho de oposición al tratamiento de los datos personales. Imponen obligaciones de transparencia para con los usuarios de las plataformas en línea, y esta información también les permitirá ejercer sus derechos como interesados. Además, permiten que autoridades e investigadores autorizados examinen la forma en que se presentan los anuncios y cómo se personalizan.

La presente propuesta se complementará con acciones adicionales en el marco del Plan de Acción para la Democracia Europea [COM(2020) 790 final], con el objetivo de empoderar a los ciudadanos y aumentar la resiliencia de las democracias de la Unión. En particular, las disposiciones del presente Reglamento en materia de códigos de conducta podrían servir de base para adoptar un Código de práctica sobre desinformación revisado y reforzado, a partir de las orientaciones de la Comisión, con el que se complementarían.

La propuesta también apoya y es plenamente coherente con las estrategias de igualdad adoptadas por la Comisión en el contexto de la Unión de la Igualdad. La propuesta ha de entenderse sin perjuicio de la iniciativa de la Comisión destinada a mejorar las condiciones laborales de las personas que trabajan en plataformas digitales.

Por último, la propuesta de Reglamento se basa en la Recomendación sobre contenidos ilícitos de 2018 (9). Tiene en cuenta la experiencia adquirida en las medidas de autorregulación apoyadas por la Comisión, como el compromiso de seguridad de los productos (10), el memorando de entendimiento contra los productos falsificados (11), el Código de conducta para combatir el delito de incitación al odio en internet (12), y el Foro de Internet de la UE sobre contenido terrorista en línea.

2.BASE JURÍDICA, SUBSIDIARIEDAD Y PROPORCIONALIDAD

• Base jurídica

La base jurídica de la propuesta es el artículo 114 del Tratado de Funcionamiento de la Unión Europea, que trata de la adopción de medidas para garantizar el funcionamiento del mercado interior.

El objetivo principal de la presente propuesta es garantizar el correcto funcionamiento del mercado interior, especialmente en relación con la prestación de servicios digitales transfronterizos (más concretamente, servicios intermediarios). En consonancia con este objetivo, la propuesta trata de establecer unas condiciones armonizadas para el desarrollo de servicios transfronterizos innovadores en la Unión, al abordar y prevenir la aparición de obstáculos para tal actividad económica a consecuencia de las distintas maneras de formular las leyes nacionales, teniendo en cuenta que varios Estados miembros han legislado o pretenden legislar cuestiones tales como la supresión de contenidos ilícitos en línea, la diligencia, procedimientos de notificación y acción, y la transparencia. Al mismo tiempo, la propuesta contempla la adecuada supervisión de los servicios digitales y la cooperación entre autoridades a escala de la Unión, para favorecer así la confianza, la innovación y el crecimiento en el mercado interior.

• Subsidiariedad

Teniendo en cuenta que internet es transfronteriza por naturaleza, las iniciativas legislativas de ámbito nacional antes mencionadas dificultan la prestación y recepción de los servicios en el territorio de la Unión y son ineficaces para garantizar la seguridad y la protección uniforme de los derechos de los ciudadanos y las empresas de la Unión en línea. La armonización de las condiciones para el desarrollo de servicios digitales transfronterizos innovadores en la Unión, a la vez que se mantiene un entorno en línea seguro, solo puede llevarse a cabo en el ámbito de la Unión.

Actuar en el ámbito de la Unión ofrece predictibilidad y seguridad jurídica, y reduce los costes de cumplimiento en toda la Unión. Al mismo tiempo, fomenta la protección de todos los ciudadanos de la Unión por igual, garantizando la coherencia en las actuaciones contra los contenidos ilícitos en línea por parte de los prestadores de servicios intermediarios, sea cual sea su lugar de establecimiento. Un sistema de supervisión bien coordinado, reforzado en el ámbito de la Unión, también garantiza un enfoque coherente aplicable a los prestadores de servicios intermediarios que operan en todos los Estados miembros.

Para proteger eficazmente a los usuarios en línea y evitar que los prestadores de servicios digitales radicados en la Unión sufran una desventaja competitiva, es necesario abarcar también a los prestadores de servicios pertinentes establecidos fuera de la Unión que operen en el mercado interior.

• Proporcionalidad

La propuesta pretende fomentar un comportamiento responsable y diligente por parte de los prestadores de servicios intermediarios para garantizar un entorno en línea seguro, que permita a los ciudadanos de la Unión y a otras partes ejercer libremente sus derechos fundamentales, en particular, la libertad de expresión e información. Las características principales de la propuesta limitan el Reglamento a lo estrictamente necesario para alcanzar esos objetivos.

En particular, la propuesta establece obligaciones asimétricas de diligencia debida para diferentes tipos de prestadores de servicios digitales en función de la naturaleza de sus servicios y su dimensión, al objeto de garantizar que sus servicios no se utilicen indebidamente para realizar actividades ilícitas y que los prestadores actúen de manera responsable. Este enfoque aborda determinados problemas detectados únicamente en el lugar en el que se materializan, sin sobrecargar a los prestadores no afectados por ellos. Ciertas obligaciones sustantivas se limitan exclusivamente a plataformas en línea de muy gran tamaño, que por su alcance han adquirido un papel esencial y sistémico para facilitar el debate público y las transacciones económicas. Los prestadores muy pequeños están completamente exentos de esas obligaciones.

En lo que respecta a los prestadores de servicios digitales establecidos fuera de la Unión pero que ofrecen servicios en su territorio, el Reglamento exige el nombramiento de un representante legal en la Unión que garantice la eficacia en la supervisión y, en su caso, en la ejecución.

En proporción a tales obligaciones, y teniendo en cuenta el carácter transfronterizo de los servicios digitales, la propuesta introducirá un mecanismo de cooperación entre los Estados miembros con una supervisión reforzada de las plataformas en línea de muy gran tamaño en el ámbito de la Unión. Además, la propuesta no modifica legislación sectorial ni los mecanismos de ejecución y gobernanza previstos en la misma, sino que establece un marco horizontal de base para aspectos que van más allá de contenidos específicos o subcategorías de servicios regulados en actos jurídicos de carácter sectorial.

Mediante el establecimiento de un marco claro, acompañado de la cooperación entre los Estados miembros y con estos, así como de la autorregulación, esta propuesta tiene por objeto reforzar la seguridad jurídica e incrementar los niveles de confianza, a la vez que mantiene su pertinencia y eficacia a largo plazo gracias a la flexibilidad del marco de cooperación.

• Elección del instrumento

El artículo 114 del Tratado de Funcionamiento de la Unión Europea otorga al legislador la posibilidad de adoptar reglamentos y directivas.

La Comisión ha decidido presentar una propuesta de Reglamento para asegurar un grado de protección coherente en toda la Unión y evitar divergencias que dificulten la libre prestación de los servicios pertinentes en el mercado interior, así como garantizar la protección uniforme de derechos y obligaciones uniformes para las empresas y los consumidores en todo el mercado interior. Esto es necesario para ofrecer seguridad jurídica y transparencia a los operadores económicos y los consumidores por igual. La propuesta de Reglamento también asegura una vigilancia sistemática de los derechos y las obligaciones, y establece sanciones equivalentes en todos los Estados miembros, así como una cooperación efectiva entre las autoridades de supervisión de distintos Estados miembros y en el ámbito de la Unión.

3. RESULTADOS DE LAS EVALUACIONES EX POST, LAS CONSULTAS CON LAS PARTES INTERESADAS Y LAS EVALUACIONES DE IMPACTO

• Evaluaciones ex post / controles de adecuación de la legislación existente

Esta propuesta se basa en la evaluación de la Directiva sobre el comercio electrónico, realizada de forma consecutiva a la evaluación de impacto que acompaña a la propuesta. La Directiva sobre el comercio electrónico tenía como objetivos específicos

i) el buen funcionamiento del mercado interior de servicios digitales,

ii) la eliminación efectiva de los contenidos ilícitos en línea con pleno respeto de los derechos fundamentales, y

iii) un nivel adecuado de información y transparencia para los consumidores.

En lo que respecta a la eficacia de la Directiva sobre el comercio electrónico, la evaluación demuestra que, si bien la Directiva ha supuesto un importante incentivo para el crecimiento del mercado interior de servicios digitales y ha facilitado el acceso y la expansión de nuevos prestadores de tales servicios, sus objetivos iniciales no se han alcanzado por completo.

En particular, el crecimiento dinámico de la economía digital y la aparición de nuevos tipos de prestadores de servicios plantean ciertos retos nuevos, que los Estados miembros gestionan de forma diferente y que hacen necesario clarificar los objetivos iniciales. Además, estos hechos ejercen una presión adicional sobre el cumplimiento de los objetivos ya existentes, tal como demuestra la creciente fragmentación jurídica.

La evaluación también demostró que, si bien varios instrumentos reglamentarios nuevos realizan contribuciones valiosas para el cumplimiento de algunos de los objetivos marcados en la Directiva sobre el comercio electrónico, estos solo ofrecen soluciones de carácter sectorial para algunos de los problemas subyacentes (por ejemplo, para frenar la proliferación de determinados tipos de actividades ilícitas). Por lo tanto, no abordan esta clase de problemas de forma coherente en todo el ecosistema digital, ya que se limitan a determinados tipos de servicios o determinados tipos de contenidos ilícitos. Además, aunque las iniciativas de autorregulación han mostrado resultados positivos en general, no se pueden hacer cumplir legalmente, ni abarcan a todos los participantes de la economía digital. En lo que respecta a la eficiencia de la Directiva sobre el comercio electrónico, esta solo imponía costes adicionales limitados a las administraciones de los Estados miembros y a los prestadores de servicios de la sociedad de la información. La evaluación no ha revelado unos costes particularmente elevados o desproporcionados y tampoco se han planteado preocupaciones sustanciales en cuanto a sus repercusiones para las pequeñas y medianas empresas. El principal problema, en este sentido, tiene que ver con la falta de claridad en el mecanismo de cooperación entre los Estados miembros, que genera cargas y duplicación de costes a pesar de que la Directiva se marcaba como objetivo lo contrario, en particular en lo que respecta a la supervisión de las plataformas en línea. Esto ha reducido esencialmente su eficiencia para mantener el funcionamiento del mercado interior.

En relación con las dudas acerca de si los objetivos perseguidos por la Directiva sobre el comercio electrónico continúan siendo pertinentes, la evaluación demuestra que estos objetivos siguen siendo válidos, aunque al mismo tiempo hay circunstancias nuevas que no están bien reflejadas en los objetivos de política pública existentes.

Primero, la consulta pública abierta, las comunicaciones específicas de las partes interesadas, los informes elaborados por el Parlamento Europeo (13), así como las conclusiones del Consejo (14), confirman que los principios y objetivos de la Directiva sobre el comercio electrónico siguen siendo válidos en la actualidad. Sin embargo, desde la entrada en vigor de la Directiva han surgido nuevos riesgos y asimetrías de información, relacionados concretamente con la aparición de las plataformas en línea, especialmente las de mayor tamaño, y la magnitud de la transformación digital. Así ocurre, por ejemplo, en el caso de las decisiones algorítmicas (que afectan a la intermediación de los flujos de información en línea) o de los sistemas de publicidad en línea.

La evaluación demostró que la Directiva sobre el comercio electrónico es coherente con otras intervenciones realizadas por la UE desde su adopción. La evaluación tampoco detectó ninguna incoherencia interna en la Directiva sobre el comercio electrónico.

Por último, al menos parte de las ventajas específicas de la Directiva sobre el comercio electrónico establecidas en la evaluación podrían considerarse valor añadido de la UE. Es probable que los Estados miembros hubieran continuado aplicando sus propios regímenes de regulación en ausencia de un conjunto de principios comunes y que algunos Estados miembros hubieran seguido sin aplicar ningún tipo de normas horizontales. Sin embargo, a falta de datos fehacientes, no es posible extraer conclusiones firmes en cuanto a la magnitud de este valor añadido de la UE.

• Consultas con las partes interesadas

Durante los cinco últimos años, la Comisión ha mantenido consultas con una gran variedad de partes interesadas, incluidos prestadores de servicios digitales como plataformas en línea y otros servicios intermediarios, empresas que operan en línea, editores de medios de comunicación, propietarios de marca y otros negocios, interlocutores sociales, usuarios de servicios digitales, organizaciones de la sociedad civil, autoridades nacionales, el mundo académico, la comunidad técnica, las organizaciones internacionales y el público en general. A través de una serie de iniciativas de consulta selectivas se han recabado opiniones detalladas de las partes interesadas sobre cuestiones relacionadas con los servicios y las plataformas digitales a lo largo de los últimos años.

La consulta pública sobre la Ley de servicios digitales permaneció abierta durante catorce semanas, entre el 2 de junio y el 8 de septiembre, y recibió 2863 respuestas y unos trescientos informes de posición de un grupo diverso de partes interesadas. La mayor parte de las opiniones fueron aportadas por el público en general (el 66 % ciudadanos de la Unión y el 8 % ciudadanos de terceros países), empresas u organizaciones empresariales (el 7,4 %), asociaciones de empresas (el 6 %) y ONG             (el 5,6 %), seguidos de autoridades públicas (el 2,2 %), instituciones académicas o de investigación (el 1,2 %), sindicatos (el 0,9 %) y organizaciones de consumidores y ecologistas (el 0,4 %).

En conjunto, existe un acuerdo general entre las partes interesadas sobre la necesidad de actuar, tanto para garantizar la seguridad en línea como para impulsar el mercado interior de servicios digitales.

Las partes interesadas coinciden en que los principios fundamentales de la Directiva sobre el comercio electrónico continúan siendo pertinentes y deben mantenerse, incluido el principio del mercado interior para la supervisión de los servicios digitales, el régimen de responsabilidad, y la prohibición de imponer obligaciones generales de supervisión.

Las partes interesadas también están básicamente de acuerdo en la necesidad de actualizar el marco a la luz de los retos actuales, mediante el establecimiento de obligaciones claras para los prestadores de servicios, armonizadas en el conjunto de la UE. La mayoría de los encuestados de todas las categorías dicen haber encontrado contenidos, productos o servicios nocivos e ilícitos en línea, y en particular han observado un pico alarmante durante la pandemia de COVID-19. Una parte importante de los encuestados que dicen haber notificado contenidos o productos ilícitos a los prestadores de servicios digitales expresan su descontento con la respuesta y la ineficacia de los mecanismos de información una vez realizada la denuncia. Además, los usuarios perciben que las políticas adoptadas por los prestadores no se corresponden con sus acciones concretas.

Existe un amplio consenso, también entre los prestadores de servicios que contestaron a la consulta, sobre la necesidad de establecer unas obligaciones sencillas, normalizadas y transparentes de notificación y acción, armonizadas para todo el mercado interior. Esto se considera esencial para dar una respuesta rápida a la presencia de contenidos ilícitos y reforzar la claridad jurídica para los usuarios de las plataformas y para las pequeñas plataformas que desean expandirse en el mercado interior. Los encuestados también coinciden en la importancia de contar con mecanismos de recurso.

En relación con los mercados en línea, varias partes interesadas señalaron la necesidad de adoptar medidas más específicas, como la identificación de los vendedores.

Los encuestados también están de acuerdo en general en que el ámbito territorial de estas obligaciones debería incluir a todos los operadores que ofrecen bienes, información o servicios en la Unión, sea cual sea su lugar de establecimiento. Una parte importante de los encuestados resalta además la importancia de estas cuestiones en particular en relación con las grandes plataformas.

Existe un acuerdo general entre las partes interesadas en que los contenidos «nocivos» (si bien no ilícitos, o al menos no necesariamente) no deberían estar definidos en la Ley de servicios digitales y no deberían estar sujetos a obligaciones de retirada, ya que esta es una cuestión delicada con graves implicaciones para la protección de la libertad de expresión.

Sin embargo, la forma en que los sistemas algorítmicos configuran los flujos de información en línea es un aspecto que preocupa a una amplia categoría de partes interesadas. Varias partes interesadas, en particular la sociedad civil y el mundo académico, señalan la necesidad de realizar auditorías algorítmicas de rendición de cuentas y transparencia, especialmente en relación con la forma de priorizar y personalizar la información. Del mismo modo, en relación con la publicidad en línea, las opiniones de las partes interesadas reflejan las preocupaciones generales sobre la falta de empoderamiento de los usuarios y de medidas significativas de supervisión y ejecución.

En lo que respecta a la ejecución, existe entre las partes interesadas la idea generalizada de que debería mejorarse la cooperación entre las autoridades, tanto en el ámbito transfronterizo como en el de cada Estado miembro. La supervisión por parte de la UE se considera crucial y la mayoría de los encuestados parecen mostrarse favorables a la existencia de una entidad de supervisión unificada.

• Obtención y uso de asesoramiento especializado

Los preparativos de la propuesta se basan en una amalgama de estudios y asesoramiento experto, incluidos algunos estudios jurídicos que se encargaron en relación con la aplicación de la Directiva sobre el comercio electrónico y la situación de fragmentación jurídica (15), estudios sobre la transparencia algorítmica y la rendición de cuentas (16), así como estudios internos sobre los costes de la moderación de contenidos, regímenes de responsabilidad de los intermediarios, y el coste de la no Europa, con el apoyo del Centro Común de Investigación de la Comisión Europea. Para recabar las opiniones y percepciones del público en general, la Comisión realizó un Eurobarómetro en 2018 con una muestra representativa de más de 33000 encuestados de todos los Estados miembros (17).

El análisis jurídico también se basa en abundante jurisprudencia, sentada en particular por el Tribunal de Justicia de la Unión Europea, en relación con varias disposiciones de la Directiva sobre el comercio electrónico y actos conexos, como las disposiciones relativas a la interpretación del concepto de «servicios de la sociedad de la información» (18) o las disposiciones relativas a la responsabilidad de los prestadores de servicios intermediarios (19). La Comisión también obtuvo asesoramiento especializado y opiniones a través de consultas selectivas y actividades de participación, incluida una serie de talleres, conferencias, entrevistas con expertos y jueces, consultas con el Grupo de Expertos sobre comercio electrónico, así como numerosas reuniones bilaterales y análisis de informes de posición e investigación específicos de organizaciones, representantes sectoriales, la sociedad civil y el mundo académico.

Por último, el análisis se basa en una revisión de bibliografía adicional, estudios e informes de investigación presentados por académicos en la consulta pública y otros estudios independientes, incluido el conjunto de estudios realizados para el Parlamento Europeo (20).

• Evaluación de impacto

El Comité de Control Reglamentario emitió un dictamen favorable con reservas sobre la evaluación de impacto, que incluía propuestas de mejora (21). El informe de evaluación de impacto se revisó en este sentido, concretamente para aclarar las conexiones existentes entre la Ley de servicios digitales y el marco reglamentario general, y aportó descripciones más detalladas de las opciones políticas y un análisis más detallado de los datos subyacentes analizados en el informe revisado de la evaluación de impacto.

La importancia de los servicios digitales para nuestra economía y nuestra sociedad seguirá en aumento, pero también los riesgos que entrañan. En el marco hipotético de referencia, la Comisión seguirá haciendo cumplir las normas vigentes, también en cuestiones sectoriales, y apoyará las iniciativas de autorregulación. Sin embargo, enfrentados a la evolución de los problemas, los Estados miembros continuarán legislando de manera independiente. La fragmentación jurídica y el consiguiente mosaico de medidas nacionales no solo se mostrarán ineficaces para combatir las actividades ilícitas y proteger los derechos fundamentales de los ciudadanos en el conjunto de la UE, sino que además dificultarán la expansión de nuevos servicios innovadores en el mercado interior, lo que contribuirá a cimentar la posición de los pocos operadores que puedan permitirse los costes de cumplimiento adicionales. Esto deja la fijación y ejecución de las normas principalmente en manos de empresas privadas de muy gran tamaño, con una asimetría de información cada vez mayor entre los servicios en línea, sus usuarios y las autoridades públicas.

Se evaluaron tres opciones políticas principales, además del marco de referencia. La opción 1 codificaría la Recomendación de 2018: establecería una serie de obligaciones procedimentales para las plataformas en línea, que deberían actuar contra las actividades ilícitas realizadas por sus usuarios. Estas obligaciones incluirán, además, las salvaguardias necesarias para proteger los derechos fundamentales de los usuarios y garantizar la transparencia. También reforzarían los mecanismos de cooperación administrativa para la resolución de los problemas transfronterizos por parte de las autoridades a través de una cámara de compensación digital, lo que facilitaría los flujos de información. La opción 2 —adicionalmente a las medidas de la opción 1— eliminaría los factores que disuaden a los prestadores de servicios de adoptar medidas voluntarias contra los contenidos ilícitos, e introduciría medidas para reforzar la transparencia de los sistemas de recomendación y la publicidad. El mecanismo de ejecución y cooperación se reforzaría con la designación de un coordinador central en cada Estado miembro. La opción 3 —que parte de las medidas descritas en las opciones anteriores— incluye medidas asimétricas selectivas con obligaciones más exigentes para las plataformas en línea de muy gran tamaño que tienden a entrañar los mayores niveles de riesgo para la sociedad y la economía de la UE, así como ciertas aclaraciones limitadas del régimen de responsabilidad de los prestadores de servicios intermediarios y un sistema de gobernanza de la UE con competencias reforzadas de supervisión y ejecución.

La evaluación de los impactos económicos y sociales detectados, y la comparación de su eficacia, eficiencia, coherencia y proporcionalidad demostraron que la opción 3 sería la que más eficazmente cumpliría los objetivos de la intervención al establecer un marco proporcionado y adecuado para adaptarse a los retos emergentes en el dinámico mundo digital. Los componentes incluidos en la opción 3 también reciben el apoyo general de las partes interesadas, incluidas las posiciones del Parlamento Europeo y los Estados miembros.

La opción preferida apoyaría el acceso de los prestadores de servicios intermediarios de la Unión Europea al mercado interior y su capacidad de expansión al reducir los costes relacionados con la fragmentación jurídica. Aunque cabe prever que el cumplimiento de las obligaciones de diligencia debida tenga costes, se calcula que estos se compensarán mediante la reducción de la fragmentación actual por medio de la armonización. Cabe esperar que ello tenga un impacto positivo en la competitividad, la innovación y la inversión en servicios digitales, en particular en empresas de la Unión Europea emergentes y en expansión que ofrezcan modelos de negocio de plataformas, pero también, en diversa medida, en sectores sustentados y amplificados por el comercio digital.

La opción preferida pretende definir el reparto apropiado de responsabilidades entre los servicios intermediarios, sus destinatarios y las autoridades en la lucha contra con los contenidos ilícitos en línea. Para ello, introduce un enfoque asimétrico de las obligaciones de diligencia debida que se imponen a las plataformas de muy gran tamaño: se trata de un enfoque de gestión de riesgos supervisada, que reserva un papel importante al sistema de gobernanza utilizado con fines de ejecución. Las obligaciones asimétricas solo se imponen a las plataformas de muy gran tamaño, las cuales, de acuerdo con los datos disponibles, no solo son las que tienen mayor alcance, sino también grandes empresas con una importante facturación. En consecuencia, aunque las medidas que se les aplican de manera específica son más restrictivas que para otras empresas, son proporcionadas a su capacidad de cumplimiento.

En cuanto a las autoridades públicas, la opción propuesta reduciría los costes ocasionados por las ineficiencias y duplicaciones existentes en el mecanismo establecido para la cooperación entre ellas. Aunque los Estados miembros soportarían los costes de la designación de una autoridad competente, nueva o ya establecida, cabe esperar que se compensen con el incremento de la eficiencia: para las distintas autoridades mediante la mutualización de los recursos, mejores flujos de información y procesos claros para interactuar con sus homólogas en el mercado interior, así como con los prestadores de servicios.

• Adecuación regulatoria y simplificación

La evaluación de impacto que acompaña a esta propuesta cifra el único valor añadido de la intervención de la Unión que aborda el riesgo de fragmentación jurídica ocasionado por las divergencias de reglamentación y supervisión (por tanto, sin tener en cuenta el aumento de la seguridad y la confianza en los servicios digitales) en un posible incremento del comercio digital transfronterizo del 1 % al 1,8 %, es decir, el equivalente de un incremento de facturación generado de carácter transfronterizo de 8600 millones EUR y de hasta 15500 millones EUR.

Con respecto al valor añadido en la ejecución de las medidas, la iniciativa genera importantes ventajas de eficiencia en la cooperación entre Estados miembros y la mutualización de algunos recursos de asistencia técnica a escala de la UE, para inspeccionar y auditar sistemas de moderación de contenidos, sistemas de recomendación y publicidad en línea en plataformas digitales de muy gran tamaño. Esto, a su vez, contribuye al incremento de la eficacia de las medidas de supervisión y ejecución, mientras que el sistema actual se basa en gran medida en la limitada capacidad de supervisión de un pequeño número de Estados miembros.

• Derechos fundamentales

Los ciudadanos de la Unión y de otros países están expuestos a crecientes riesgos y perjuicios en línea: desde la propagación de contenidos y actividades ilícitos, hasta limitaciones de su libertad de expresión y otros perjuicios sociales. Las medidas políticas contempladas en la presente propuesta legislativa mejorarán notablemente esta situación mediante la creación de un marco de gobernanza moderno y con garantías de futuro, que proteja de manera efectiva los derechos y los intereses legítimos de todas las partes implicadas, y sobre todo de los ciudadanos de la Unión. La propuesta introduce importantes salvaguardias para garantizar que los ciudadanos puedan expresarse con libertad, al tiempo que potencia la participación del usuario en el entorno en línea, así como el ejercicio de otros derechos fundamentales como el derecho a la tutela judicial efectiva, el derecho a no sufrir discriminación, los derechos del niño y la protección de los datos personales y la privacidad en línea.

La propuesta de Reglamento mitigará el riesgo de que se bloquee la libertad de palabra de forma errónea o injustificada, paliará los escalofriantes efectos sobre la misma y fomentará la libertad de recibir información y expresar opiniones, además de reforzar las posibilidades de recurso de los usuarios. Determinados grupos o personas pueden encontrarse en situación de vulnerabilidad o desventaja en el uso de los servicios en línea por razón de su género, raza u origen étnico, religión o convicciones, discapacidad, edad u orientación sexual. Pueden verse desproporcionadamente afectados por restricciones y medidas de retirada de contenidos a raíz de prejuicios (conscientes o no) que puedan incorporarse a los sistemas de notificación por los usuarios y por terceros, y reproducirse en las herramientas automatizadas de moderación de contenidos utilizadas por las plataformas. La propuesta mitigará el riesgo de discriminación, especialmente de aquellos grupos o personas, y contribuirá a la protección de los derechos del niño y del derecho a la dignidad humana en línea. La propuesta solo exigirá la retirada de contenidos ilícitos e impondrá salvaguardias obligatorias cuando se retire información de los usuarios, que incluirán ofrecer explicaciones al usuario, unos mecanismos de reclamación facilitados por los prestadores de servicios y un mecanismo de resolución extrajudicial de litigios. Además, garantizará que los ciudadanos de la UE también estén protegidos cuando utilicen los servicios prestados por prestadores no establecidos en la Unión pero activos en el mercado interior, dado que esos prestadores también están cubiertos.

Con respecto a la libertad de empresa de los prestadores de servicios, los costes ocasionados a las empresas se compensan mediante la reducción de la fragmentación en el mercado interior. La propuesta introduce salvaguardias para aliviar la carga que soportan los prestadores de servicios, incluidas medidas contra avisos reiterados injustificados y la verificación previa de los alertadores fiables por parte de las autoridades públicas. Asimismo, algunas obligaciones están dirigidas a las plataformas en línea de muy gran tamaño, que a menudo es donde se generan mayores riesgos y que tienen la capacidad de absorber la carga adicional.

La legislación propuesta mantendrá la prohibición de imponer obligaciones generales de supervisión recogida en la Directiva sobre el comercio electrónico, que en sí misma es crucial para lograr el justo y necesario equilibrio de los derechos fundamentales en el mundo digital. El nuevo Reglamento prohíbe imponer obligaciones generales de supervisión porque estas podrían limitar de forma desproporcionada la libertad de expresión y la libertad de recibir información, e imponer cargas excesivas a los prestadores de servicios y, de este modo, interferir indebidamente con su libertad de empresa. La prohibición también limita los incentivos para la vigilancia en línea y tiene implicaciones positivas para la protección de los datos personales y de la privacidad.

Todas las medidas recogidas en la propuesta cumplen y se corresponden plenamente con el alto nivel de protección de los datos personales y de la privacidad de las comunidades y la vida privada que garantiza la legislación de la Unión Europea.

4. REPERCUSIONES PRESUPUESTARIAS

El impacto presupuestario de la propuesta se cubrirá con las asignaciones previstas en el MFP 2021-2027 bajo las dotaciones financieras del programa Europa Digital y del Programa sobre el Mercado Único que se detallan en la ficha financiera legislativa que acompaña a la presente propuesta de Reglamento. Estas repercusiones también hacen necesario reprogramar la rúbrica 7 de las perspectivas financieras.

La ficha financiera legislativa que acompaña a esta propuesta de Reglamento comprende las implicaciones presupuestarias del propio Reglamento.

5. OTROS ELEMENTOS

•Planes de ejecución y disposiciones en materia de seguimiento, evaluación y notificación

La Comisión establecerá un marco integral de seguimiento constante de las realizaciones, los resultados y las repercusiones del presente instrumento legislativo a partir de la fecha de su aplicación. De acuerdo con el programa de seguimiento establecido, está previsto realizar una evaluación del instrumento antes de que se cumplan cinco años de su entrada en vigor.

• Explicación detallada de las disposiciones específicas de la propuesta

En el capítulo I se exponen las disposiciones generales, incluido el objeto y el ámbito de aplicación del Reglamento (artículo 1) y las definiciones de los principales términos utilizados (artículo 2).

El capítulo II contiene disposiciones sobre la exención de responsabilidad de los prestadores de servicios intermediarios. Más concretamente, incluye las condiciones en que los prestadores de servicios por mera transmisión (artículo 3), memoria tampón (artículo 4) y alojamiento de datos (artículo 5) quedan exentos de responsabilidad por la información de terceros que transmiten y almacenan. También establece que las exenciones de responsabilidad no deben invalidarse cuando los prestadores de servicios intermediarios realicen investigaciones voluntarias por iniciativa propia o cumplan la ley (artículo 6) y prohíbe la imposición de obligaciones generales de supervisión o de búsqueda activa de hechos a dichos prestadores (artículo 7). Por último, impone a los prestadores de servicios intermediarios una obligación con respecto a las órdenes de actuación contra contenidos ilícitos (artículo 8) y de entrega de información (artículo 9) dictadas por autoridades judiciales o administrativas nacionales.

En el capítulo III se establecen las obligaciones de diligencia debida para un entorno en línea transparente y seguro, en cinco secciones diferentes.

En la sección 1 se establecen obligaciones aplicables a todos los prestadores de servicios intermediarios, en particular: la obligación de establecer un punto único de contacto para facilitar la comunicación directa con las autoridades de los Estados miembros, con la Comisión y con la Junta (artículo 10); la obligación de los prestadores no establecidos en ningún Estado miembro, pero que ofrecen sus servicios en la Unión, de designar un representante legal en la Unión (artículo 11); la obligación de que sus condiciones recojan cualquier restricción que puedan imponer sobre el uso de sus servicios y de actuar con responsabilidad en la aplicación y ejecución de dichas restricciones (artículo 12); y obligaciones de transparencia informativa en relación con la retirada de información, o la inhabilitación del acceso a la misma, que se considere contenido ilícito o contraria a las condiciones de los prestadores (artículo 13).

En la sección 2 se establecen obligaciones aplicables a los prestadores de servicios de alojamiento, adicionales a las recogidas en la sección 1. En particular, esta sección obliga a dichos prestadores a establecer mecanismos que permitan a terceros notificar la presencia de contenidos presuntamente ilícitos (artículo 14). Además, si uno de esos prestadores decide retirar o inhabilitar el acceso a determinada información facilitada por un destinatario del servicio, impone la obligación de proporcionar a dicho destinatario una exposición de motivos (artículo 15).

En la sección 3 se establecen obligaciones aplicables a todas las plataformas en línea, adicionales a las recogidas en las secciones 1 y 2. Esta sección especifica que no se aplica a las plataformas que sean microempresas o pequeñas empresas en el sentido del anexo de la Recomendación 2003/361/CE (artículo 16). Esta sección obliga a las plataformas en línea a establecer un sistema interno de tramitación de reclamaciones con respecto a las decisiones adoptadas en relación con presuntos contenidos ilícitos o información incompatible con sus condiciones (artículo 17). También obliga a las plataformas en línea a trabajar con organismos certificados de resolución extrajudicial de litigios para resolver cualquier diferencia con los usuarios de sus servicios (artículo 18). Por otra parte, obliga a las plataformas en línea a asegurarse de que los avisos enviados por las entidades a las que se haya otorgado la condición de alertadores fiables se traten de forma prioritaria (artículo 19) y establece las medidas que las plataformas en línea han de adoptar contra los usos indebidos (artículo 20). Además, en esta sección se incluye el requisito de que las plataformas en línea informen a las autoridades policiales en el caso de que llegue a su conocimiento información que levante sospechas de la existencia de delitos graves que amenacen la vida o la seguridad de las personas (artículo 21). En esta sección también se obliga a las plataformas en línea a recibir, almacenar y realizar esfuerzos razonables para valorar la fiabilidad de información específica sobre los comerciantes que utilicen sus servicios, así como publicar dicha información, cuando esas plataformas en línea permitan a los consumidores formalizar contratos a distancia con dichos comerciantes (artículo 22). Dichas plataformas en línea también están obligadas a organizar su interfaz de manera que permita a los comerciantes respetar el Derecho de la Unión en materia de consumo y seguridad de los productos (artículo 22 bis). Las plataformas en línea también tienen la obligación de publicar informes sobre sus actividades en relación con la retirada de información, y la inhabilitación del acceso a la misma, que se considere contenido ilegal o contraria a sus condiciones (artículo 23). En esta sección también se incluyen obligaciones de transparencia para las plataformas en línea con respecto a la publicidad en línea (artículo 24).

En la sección 4 se establecen obligaciones de gestión de riesgos sistémicos —adicionales a las obligaciones recogidas en las secciones 1 a 3— para las plataformas en línea de muy gran tamaño (según la definición del artículo 25). Las plataformas en línea de muy gran tamaño están obligadas a realizar evaluaciones de los riesgos sistémicos generados por el funcionamiento y uso de sus servicios, o relacionados con ellos (artículo 26), y a adoptar medidas razonables y efectivas dirigidas a reducir dichos riesgos (artículo 27). También deben someterse a auditorías externas e independientes (artículo 28). En esta sección se incluye también una obligación específica en el caso de que las plataformas en línea de muy gran tamaño utilicen sistemas de recomendación (artículo 29) o presenten anuncios en línea en su interfaz en línea (artículo 30). Además, en la sección se establecen las condiciones en que las plataformas en línea de muy gran tamaño proporcionan acceso a los datos al coordinador de servicios digitales de establecimiento o a la Comisión y los investigadores autorizados (artículo 31), la obligación de designar uno o varios encargados de cumplimiento para que velen por que se cumplan las obligaciones estipuladas en el Reglamento (artículo 32) y obligaciones específicas adicionales de transparencia informativa (artículo 33).

La sección 5 contiene disposiciones transversales relativas a las obligaciones de diligencia debida, en concreto los procesos que serán objeto de la formulación y aplicación de normas europeas armonizadas apoyadas y promovidas por la Comisión (artículo 34); el marco de formulación de códigos de conducta (artículo 35); y el marco de formulación de códigos de conducta específicos de la publicidad en línea (artículo 36). También existe una disposición sobre protocolos de crisis para hacer frente a circunstancias extraordinarias que afecten a la seguridad pública o a la salud pública (artículo 37).

El capítulo IV contiene las disposiciones relativas a la aplicación y ejecución del presente Reglamento.

En la sección 1 se establecen disposiciones relativas a las autoridades competentes nacionales, incluidos los coordinadores de servicios digitales, que son las autoridades nacionales principales designadas por los Estados miembros para la aplicación coherente del presente Reglamento (artículo 38). Los coordinadores de servicios digitales, al igual que otras autoridades competentes designadas, son independientes y realizan sus tareas de manera imparcial, transparente y oportuna (artículo 39). Los Estados miembros donde se encuentra el establecimiento principal del prestador tienen jurisdicción para hacer cumplir el presente Reglamento (artículo 40). Los coordinadores de servicios digitales poseen competencias específicas (artículo 41). Los Estados miembros deben regular las sanciones aplicables a los incumplimientos de las obligaciones que tienen los prestadores de servicios intermediarios de conformidad con el presente Reglamento (artículo 42). Los coordinadores de servicios digitales pueden recibir reclamaciones contra prestadores de servicios intermediarios por incumplimientos de las obligaciones recogidas en el presente Reglamento (artículo 43). Los coordinadores de servicios digitales están obligados a publicar informes anuales de sus actividades (artículo 44) y a colaborar con los coordinadores de servicios digitales de otros Estados miembros (artículo 45). Los coordinadores de servicios digitales también pueden participar en investigaciones conjuntas con respecto a las materias reguladas por el presente Reglamento (artículo 46).

La sección 2 contiene disposiciones relativas a la Junta Europea de Servicios Digitales, un grupo consultivo independiente integrado por coordinadores de servicios digitales (artículo 47). También se establecen la estructura de esa Junta (artículo 48) y sus funciones (artículo 49).

La sección 3 se refiere a las labores de supervisión, investigación, ejecución y vigilancia de las plataformas en línea de muy gran tamaño. Contempla una supervisión reforzada en el caso de que dichas plataformas infrinjan las disposiciones del capítulo III, sección 4 (artículo 50). También contempla la posibilidad de que la Comisión intervenga con respecto a las plataformas en línea de muy gran tamaño en el caso de que las infracciones persistan (artículo 51). En estos casos, la Comisión puede llevar a cabo investigaciones, por ejemplo, a través de solicitudes de información (artículo 52), entrevistas (artículo 53) e inspecciones sobre el terreno (artículo 54), puede adoptar medidas provisionales (artículo 55) y declarar vinculantes los compromisos adquiridos por las plataformas en línea de muy gran tamaño (artículo 56), así como vigilar que cumplan con el Reglamento (artículo 57). En caso de incumplimiento, la Comisión puede adoptar decisiones de apremio (artículo 58), así como fijar multas (artículo 59) y multas coercitivas (artículo 60) en relación con las infracciones del Reglamento cometidas por las plataformas en línea de muy gran tamaño, así como por proporcionar información incorrecta, incompleta o engañosa en el contexto de la investigación. El Reglamento también establece un período de limitación para la imposición de sanciones (artículo 61) y para su ejecución (artículo 62). Por último, el Reglamento establece las garantías procesales ante la Comisión, en particular el derecho a ser oído y tener acceso al expediente (artículo 63) y la publicación de las decisiones (artículo 64). Esta sección también contempla la cooperación de la Comisión con los tribunales nacionales (artículo 65) y la adopción de actos de ejecución sobre las modalidades prácticas de los procedimientos (artículo 66).

La sección 4 contiene las disposiciones comunes sobre ejecución. Primero regula un sistema de intercambio de información en apoyo de las comunicaciones entre los coordinadores de servicios digitales, la Comisión y la Junta (artículo 67). También contempla el derecho de los destinatarios de servicios intermediarios a mandatar a un organismo, una organización o una asociación para que ejerza sus derechos en su nombre (artículo 68).

La sección 5 se refiere a la adopción de actos delegados y actos de ejecución en virtud de los artículos 290 y 291, respectivamente, del Tratado de Funcionamiento de la Unión Europea (artículos 69 y 70).

Por último, el capítulo V contiene las disposiciones finales del presente Reglamento, que se refieren a la supresión de los artículos 12 a 15 de la Directiva sobre el comercio electrónico dado que se han incorporado al Reglamento (artículo 71), las modificaciones de la Directiva 2020/XX/CE (artículo 72), la evaluación del Reglamento (artículo 73), y su entrada en vigor y aplicación (artículo 74).

2020/0361 (COD)

Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a un mercado único de servicios digitales (Ley de servicios digitales) y por el que se modifica la Directiva 2000/31/CE

(Texto pertinente a efectos del EEE)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,

Vista la propuesta de la Comisión Europea, Previa transmisión del proyecto de acto legislativo a los parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (22),

Visto el dictamen del Comité de las Regiones (23),

Visto el dictamen del Supervisor Europeo de Protección de Datos (24),

De conformidad con el procedimiento legislativo ordinario,

Considerando lo siguiente:

(1) Los servicios de la sociedad de la información y especialmente los servicios intermediarios se han convertido en una parte importante de la economía de la Unión y de la vida cotidiana de sus ciudadanos. Veinte años después de la adopción del marco jurídico vigente aplicable a dichos servicios establecido en la Directiva 2000/31/CE del Parlamento Europeo y del Consejo (25) , han aparecido nuevos e innovadores modelos de negocio y servicios, como las redes sociales y los mercados en línea, que han permitido a los usuarios profesionales y a los consumidores comunicar información y acceder a ella, y efectuar transacciones de formas novedosas. La mayoría de los ciudadanos de la Unión utiliza ahora este tipo de servicios a diario. Sin embargo, la transformación digital y el creciente uso de tales servicios también entraña nuevos riesgos y desafíos, tanto para los usuarios a título individual como para la sociedad en su conjunto.

(2) Los Estados miembros están adoptando, o considerando adoptar, cada vez más leyes nacionales sobre las materias que regula el presente Reglamento, imponiendo en particular requisitos de diligencia a los prestadores de servicios intermediarios. Las divergencias entre esas leyes nacionales afectan negativamente al mercado interior, el cual, en virtud del artículo 26 del Tratado, comprende un espacio sin fronteras interiores donde se garantiza la libre circulación de bienes y servicios y la libertad de establecimiento, teniendo en cuenta el carácter intrínsecamente transfronterizo de internet, que es el medio utilizado en general para la prestación de dichos servicios. Deben armonizarse las condiciones para la prestación de servicios intermediarios en el mercado interior, a fin de que las empresas tengan acceso a nuevos mercados y oportunidades para aprovechar las ventajas del mercado interior, a la vez que se permite que los consumidores y otros destinatarios de los servicios tengan mayores posibilidades de elección.

(3) Es esencial que los prestadores de servicios intermediarios se comporten de modo responsable y diligente para crear un entorno en línea seguro, predecible y confiable, y para que los ciudadanos de la Unión y otras personas puedan ejercer los derechos garantizados por la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «la Carta»), en particular la libertad de expresión e información y la libertad de empresa, así como el derecho a la no discriminación.

(4) Por tanto, a fin de salvaguardar y mejorar el funcionamiento del mercado interior, debe adoptarse un conjunto específico de normas uniformes, eficaces y proporcionadas de obligado cumplimiento en el ámbito de la Unión. En el presente Reglamento se establecen las condiciones para que aparezcan servicios digitales innovadores y se expandan en el mercado interior. Es necesario aproximar las disposiciones reglamentarias nacionales en el ámbito de la Unión en relación con los requisitos aplicables a los prestadores de servicios intermediarios a fin de evitar la fragmentación del mercado interior y ponerla fin, y garantizar la seguridad jurídica, de modo que se reduzca la incertidumbre para los desarrolladores y se fomente la interoperabilidad. Si se aplican requisitos tecnológicamente neutros, la innovación no debería verse obstaculizada sino estimulada.

(5) El presente Reglamento debe aplicarse a los prestadores de determinados servicios de la sociedad de la información definidos en la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (26), es decir, cualquier servicio prestado normalmente a cambio de una remuneración, a distancia, por vía electrónica y a petición de un destinatario a título individual. En concreto, el presente Reglamento debe aplicarse a los prestadores de servicios intermediarios, y en particular servicios intermediarios integrados por los servicios conocidos como de «mera transmisión», de «memoria tampón» y de «alojamiento de datos», dado que el crecimiento exponencial del uso que se hace de dichos servicios, principalmente con todo tipo de fines legítimos y beneficiosos para la sociedad, también ha incrementado su importancia en la intermediación y propagación de información y actividades ilícitas o de otro modo nocivas.

(6) En la práctica, algunos prestadores de servicios intermediarios intermedian en relación con servicios que pueden prestarse o no por vía electrónica, como servicios de tecnologías de la información remotos, de transporte, de hospedaje o de reparto. El presente Reglamento solo debe aplicarse a los servicios intermediarios y no afectar a los requisitos estipulados en el Derecho de la Unión o nacional en relación con productos o servicios intermediados a través de servicios intermediarios, por ejemplo en situaciones en las que el servicio intermediario constituye parte integral de otro servicio que no es un servicio intermediario según se especifica en la jurisprudencia del Tribunal de Justicia de la Unión Europea.

(7) A fin de garantizar la eficacia de las normas estipuladas en el presente Reglamento y la igualdad de condiciones de competencia en el mercado interior, dichas normas deben aplicarse a los prestadores de servicios intermediarios con independencia de su lugar de establecimiento o residencia, en la medida en que presten servicios en la Unión, según se demuestre por una conexión sustancial con la Unión.

(8) Debe considerarse que existe tal conexión sustancial con la Unión cuando el prestador de servicios tenga un establecimiento en la Unión o, en ausencia de este, cuando exista un número significativo de usuarios en uno o varios Estados miembros, o se orienten actividades hacia uno o más Estados miembros. La orientación de las actividades hacia uno o más Estados miembros puede determinarse en función de todas las circunstancias pertinentes, incluidos factores como el uso de una lengua o una moneda utilizada generalmente en ese Estado miembro, o la posibilidad de encargar bienes o servicios, o el uso de un dominio nacional de alto nivel. La orientación de las actividades hacia un Estado miembro también puede derivarse de la disponibilidad de una aplicación para móvil en la tienda de aplicaciones nacional correspondiente, de la existencia de publicidad local o publicidad en la lengua utilizada en dicho Estado miembro, o de una gestión de las relaciones con los clientes que incluya, por ejemplo, la prestación de servicios a los clientes en la lengua comúnmente utilizada en tal Estado miembro. También se presumirá que existe una conexión sustancial cuando el prestador de servicios dirija sus actividades hacia uno o más Estados miembros, como establece el artículo 17, apartado 1, letra c), del Reglamento (UE) n.º 1215/2012 del Parlamento Europeo y del Consejo (27). Por otro lado no cabe considerar que la mera accesibilidad técnica de un sitio web desde la Unión, por ese motivo en exclusiva, demuestre la existencia de una conexión sustancial con la Unión.

(9) El presente Reglamento debe complementar pero no afectar a la aplicación de las normas derivadas de otros actos del Derecho de la Unión que regulan determinados aspectos de la prestación de servicios intermediarios, en particular la Directiva 2000/31/CE, con la excepción de los cambios introducidos por el presente Reglamento, la Directiva 2010/13/UE del Parlamento Europeo y del Consejo en su versión modificada (28), y el Reglamento (UE) …/.. del Parlamento Europeo y del Consejo (propuesta de Reglamento para la prevención de la difusión de contenidos terroristas en línea) (29). Por consiguiente, el presente Reglamento no afecta a esos otros actos, que han de tener la consideración de lex specialis en relación con el marco de aplicación general establecido en el presente Reglamento. Sin embargo, las disposiciones del presente Reglamento se aplican a problemas que esos otros actos no resuelven, o no por completo, así como a problemas para los que esos otros actos dejan abierta la posibilidad de que los Estados miembros adopten determinadas medidas de ámbito nacional.

(10) Por razones de claridad, también debe especificarse que el presente Reglamento ha de entenderse sin perjuicio del Reglamento (UE) 2019/1148 del Parlamento Europeo y del Consejo (30) ni del Reglamento (UE) 2019/1150 del Parlamento Europeo y del Consejo (31), ni de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (32) ni del Reglamento […/…] por el que se establece una excepción temporal a determinadas disposiciones de la Directiva 2002/58/CE (33), como tampoco del Derecho de la Unión en materia de protección de los consumidores, en particular la Directiva 2005/29/CE del Parlamento Europeo y del Consejo (34) , la Directiva 2011/83/UE del Parlamento Europeo y del Consejo (35) y la Directiva 93/13/CEE del Parlamento Europeo y del Consejo (36) , en su versión modificada por la Directiva (UE) 2019/2161 del Parlamento Europeo y del Consejo (37) , y en materia de protección de los datos personales, en particular el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (38) . La protección de las personas físicas con respecto al tratamiento de los datos personales se rige exclusivamente por las disposiciones del Derecho de la Unión sobre esa materia, en particular el Reglamento (UE) 2016/679 y la Directiva 2002/58/CE. El presente Reglamento ha de entenderse además sin perjuicio de las disposiciones del Derecho de la Unión en materia de condiciones laborales.

(11) Conviene aclarar que el presente Reglamento ha de entenderse sin perjuicio de las disposiciones del Derecho de la Unión en materia de derechos de autor y derechos conexos, que establecen normas y procedimientos específicos que no deben quedar afectados.

(12) A fin de alcanzar el objetivo de garantizar un entorno en línea seguro, predecible y confiable, para los efectos del presente Reglamento, el concepto de «contenido ilícito» debe definirse de forma genérica y comprende además información relacionada con contenidos, productos, servicios y actividades de carácter ilícito. En particular, debe entenderse que dicho concepto se refiere a información, sea cual sea su forma, que sea de por sí ilícita en virtud de la legislación aplicable, como los delitos de incitación al odio o los contenidos terroristas y los contenidos discriminatorios ilícitos, o que tengan relación con actividades ilícitas, como el intercambio de imágenes que representen abusos sexuales de menores, la publicación ilícita no consentida de imágenes privadas, el acoso en línea, la venta de productos no conformes o falsificados, el uso no autorizado de material protegido por derechos de autor o actividades que conlleven infracciones de la legislación de protección de los consumidores. En este sentido, es irrelevante si la ilicitud de la información o actividad tiene su origen en el Derecho de la Unión o en legislación nacional coherente con el Derecho de la Unión y cuál es la naturaleza o materia precisa de la legislación en cuestión.

(13) Habida cuenta de las características concretas de los servicios afectados y la correspondiente necesidad de someter a sus prestadores a determinadas obligaciones específicas, es necesario distinguir, dentro de la categoría general de prestadores de servicios de alojamiento de datos que se define en el presente Reglamento, la subcategoría de plataformas en línea. Cabe definir a las plataformas en línea, como las redes sociales o los mercados en línea, como prestadores de servicios de alojamiento de datos que no solo almacenan información proporcionada por los destinatarios del servicio a petición suya, sino que además difunden dicha información al público, de nuevo a petición suya. Sin embargo, a fin de evitar la imposición de obligaciones excesivamente genéricas, los prestadores de servicios de alojamiento de datos no deberán considerarse plataformas en línea cuando la difusión al público sea tan solo una característica menor y puramente auxiliar de otro servicio y dicha característica no pueda utilizarse, por razones técnicas objetivas, sin ese otro servicio principal, y la integración de dicha característica no sea un medio para eludir la aplicabilidad de las disposiciones del presente Reglamento aplicables a las plataformas en línea. Por ejemplo, la sección de comentarios de un periódico en línea podría ser una característica de esta índole, cuando quede claro que es auxiliar al servicio principal que representa la publicación de noticias bajo la responsabilidad editorial del editor.

(14) El concepto de «difusión al público», tal como se utiliza en el presente Reglamento, debe comprender la puesta de información a disposición de un número potencialmente ilimitado de personas, es decir, hacer que la información sea fácilmente accesible para los usuarios en general sin necesidad de que el destinatario del servicio que proporciona la información haga nada más, sean quienes sean las personas que efectivamente obtengan acceso a la información en cuestión. No cabe entender que la mera posibilidad de crear grupos de usuarios de un determinado servicio implique, de por sí, que la información difundida de esa manera no se difunde al público. Sin embargo, el concepto debe excluir la difusión de información en grupos cerrados integrados por un número finito de personas predeterminadas. Los servicios de comunicaciones interpersonales definidos en la Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo (39), como los correos electrónicos o los servicios de mensajería privada, quedan fuera del ámbito de aplicación del presente Reglamento. La información solo debe considerarse difundida al público en el sentido del presente Reglamento cuando ello ocurra a petición directa del destinatario del servicio que ha proporcionado la información.

(15) Cuando algunos de los servicios prestados por un prestador estén sujetos al presente Reglamento y otros no, o cuando los servicios prestados por un prestador estén sujetos a diferentes secciones del presente Reglamento, las disposiciones pertinentes del Reglamento solo deberán aplicarse a los servicios sujetos a su ámbito de aplicación.

(16) La seguridad jurídica que proporciona el marco horizontal de exenciones condicionadas de la responsabilidad de los prestadores de servicios intermediarios, establecido en la Directiva 2000/31/CE, ha hecho posible que aparezcan muchos servicios novedosos y se expandan en el mercado interior. Por consiguiente, dicho marco debe conservarse. Sin embargo, en vista de las divergencias en la transposición y aplicación de las disposiciones pertinentes en el ámbito nacional, y por razones de claridad y coherencia, dicho marco debe incorporarse al presente Reglamento. También es necesario aclarar determinados elementos de ese marco, vista la jurisprudencia del Tribunal de Justicia de la Unión Europea.

(17) Las disposiciones pertinentes del capítulo II solo deben establecer cuándo no se pueden exigir responsabilidades al prestador de servicios intermediarios afectado en relación con contenidos ilícitos proporcionados por los destinatarios del servicio. No cabe entender que esas disposiciones sienten una base positiva para establecer cuándo se pueden exigir responsabilidades a un prestador, determinación que corresponde a las disposiciones aplicables del Derecho de la Unión o nacional. Asimismo, las exenciones de responsabilidad estipuladas en el presente Reglamento deben aplicarse a cualquier tipo de responsabilidad al respecto de cualquier tipo de contenido ilícito, sea cual sea la materia o naturaleza precisa de esas disposiciones legales.

(18) Las exenciones de responsabilidad estipuladas en el presente Reglamento no deberán aplicarse cuando, en lugar de limitarse a la prestación neutra de los servicios, por un tratamiento puramente técnico y automático de la información proporcionada por el destinatario del servicio, el prestador de servicios intermediarios desempeñe un papel activo de tal índole que le confiera el conocimiento de dicha información, o control sobre ella. En consecuencia, no cabe acogerse a dichas exenciones al respecto de responsabilidades relacionadas con información no proporcionada por el destinatario del servicio, sino por el propio prestador del servicio intermediario, inclusive cuando la información se haya elaborado bajo la responsabilidad editorial de dicho prestador.

(19) En vista de la distinta naturaleza de las actividades de «mera transmisión», «memoria tampón» y «alojamiento de datos» y la diferente posición y capacidad de los prestadores de los servicios en cuestión, es necesario distinguir las normas aplicables a dichas actividades, en la medida en que, en virtud del presente Reglamento, están sujetas a distintos requisitos y condiciones y su ámbito de aplicación es diferente, según la interpretación del Tribunal de Justicia de la Unión Europea.

(20) Un prestador de servicios intermediarios que colabora deliberadamente con un destinatario de los servicios a fin de llevar a cabo actividades ilícitas no efectúa una prestación neutra del servicio y, por tanto, no debe poder beneficiarse de las exenciones de responsabilidad estipuladas en el presente Reglamento.

(21) Un prestador debe poder beneficiarse de las exenciones de responsabilidad para prestar servicios de «mera transmisión» y «memoria tampón» cuando no tenga absolutamente nada que ver con la información transmitida. Esto requiere, entre otras cosas, que el prestador no modifique la información que transmite. Sin embargo, no cabe entender que este requisito abarque manipulaciones de carácter técnico que tengan lugar durante la transmisión, ya que dichas manipulaciones no alteran la integridad de la información transmitida.

(22) A fin de beneficiarse de la exención de responsabilidad de los servicios de alojamiento, el prestador deberá, en el momento en que tenga conocimiento efectivo del contenido ilícito, actuar de manera diligente para retirar dicho contenido o inhabilitar el acceso al mismo. La retirada o inhabilitación del acceso debe llevarse a cabo con respeto al principio de libertad de expresión. El prestador puede obtener dicho conocimiento efectivo, en particular, a través de investigaciones realizadas por iniciativa propia o avisos recibidos de personas físicas o entidades de conformidad con el presente Reglamento en la medida en que dichos avisos sean suficientemente precisos y estén adecuadamente fundamentados para que un operador económico pueda detectar de manera razonable, evaluar y, en su caso, actuar contra el contenido presuntamente ilícito.

(23) A fin de garantizar la protección efectiva de los consumidores que efectúan transacciones comerciales intermediadas en línea, ciertos prestadores de servicios de alojamiento de datos, en concreto, plataformas en línea que permiten a los consumidores formalizar contratos a distancia con comerciantes, no deben poder beneficiarse de la exención de responsabilidad aplicable a los prestadores de servicios de alojamiento establecida en el presente Reglamento, en la medida en que dichas plataformas en línea presenten la información pertinente en relación con las transacciones en cuestión de manera que induzca a los consumidores a creer que la información ha sido facilitada por las propias plataformas en línea o por destinatarios del servicio que actúan bajo su autoridad o control, y que dichas plataformas en línea tienen por tanto conocimiento de la información o control sobre la misma, aunque puede que en realidad no sea el caso. En ese sentido, deberá determinarse de manera objetiva, teniendo en cuenta todas las circunstancias pertinentes, si la presentación podría inducir a un consumidor medio y razonablemente bien informado a creerlo así.

(24) Las exenciones de responsabilidad estipuladas en el presente Reglamento no deben afectar a la posibilidad de que se dicten requerimientos de distinta índole contra los prestadores de servicios intermediarios, aunque cumplan las condiciones establecidas como parte de tales exenciones. Dichos requerimientos podrían consistir, en particular, en órdenes de tribunales o autoridades administrativas que exijan que se ponga fin a una infracción o que se impida, por ejemplo, mediante la retirada de contenidos ilícitos especificados en tales órdenes, dictadas de conformidad con el Derecho de la Unión, o la inhabilitación del acceso a los mismos.

(25) A fin de crear seguridad jurídica y no desincentivar las actividades destinadas a detectar, identificar y actuar contra contenidos ilícitos que los prestadores de servicios intermediarios puedan llevar a cabo de forma voluntaria, conviene aclarar que el mero hecho de que los prestadores realicen esa clase de actividades no supone que ya no puedan acogerse a las exenciones de responsabilidad estipuladas en el presente Reglamento, siempre que esas actividades se lleven a cabo de buena fe y con diligencia. Además, es oportuno aclarar que el mero hecho de que esos prestadores adopten medidas, de buena fe, para cumplir los requisitos del Derecho de la Unión, incluidos los estipulados en el presente Reglamento en lo que respecta a la aplicación de sus condiciones, no debe excluir que puedan acogerse a esas exenciones de responsabilidad. Por consiguiente, las actividades y medidas que un determinado prestador pueda haber adoptado no deberán tenerse en cuenta a la hora de determinar si el prestador puede acogerse a una exención de responsabilidad, en particular en lo que se refiere a si presta su servicio de forma neutra y puede, por tanto, quedar sujeto al ámbito de aplicación de la disposición pertinente, sin que esta norma implique, no obstante, que el prestador pueda necesariamente acogerse a ella.

(26) Mientras las disposiciones del capítulo II del presente Reglamento se concentran en la exención de responsabilidad de los prestadores de servicios intermediarios, es importante recordar que, pese al generalmente importante papel que desempeñan esos prestadores, el problema de los contenidos y las actividades ilícitos en línea no debe manejarse poniendo el foco únicamente en sus responsabilidades. En la medida de lo posible, los terceros afectados por contenidos ilícitos transmitidos o almacenados en línea deberán intentar resolver los conflictos relativos a dichos contenidos sin involucrar a los prestadores de servicios intermediarios en cuestión. Los destinatarios del servicio deberán responder, cuando así lo dispongan las normas aplicables del Derecho de la Unión y nacional que determinen tales responsabilidades, de los contenidos ilícitos que proporcionen y puedan difundir a través de servicios intermediarios. En su caso, otros agentes, por ejemplo, moderadores de grupos en entornos en línea cerrados, especialmente grandes grupos, también deberán contribuir a evitar la propagación de contenidos ilícitos en línea, de conformidad con la legislación aplicable. Además, cuando sea necesario involucrar a los prestadores de servicios de la sociedad de la información, incluidos los prestadores de servicios intermediarios, cualquier solicitud u orden de involucrarlos deberá dirigirse, por regla general, al agente que posea la capacidad técnica y operativa para actuar contra elementos de contenido ilícito concretos, a fin de prevenir y minimizar los posibles efectos negativos para la disponibilidad y accesibilidad de información que no sea un contenido ilícito.

(27) Desde el año 2000, han aparecido nuevas tecnologías que mejoran la disponibilidad, eficiencia, velocidad, fiabilidad, capacidad y seguridad de los sistemas de transmisión y almacenamiento de datos en línea, de forma que se ha creado un ecosistema en línea cada vez más complejo. En este sentido, conviene recordar que los prestadores de servicios que establecen y facilitan la arquitectura lógica subyacente y el correcto funcionamiento de internet, incluidas las funciones técnicas auxiliares, también pueden beneficiarse de las exenciones de responsabilidad estipuladas en el presente Reglamento, en la medida en que sus servicios cumplan los requisitos para considerarse de «mera transmisión», «memoria tampón» o alojamiento de datos. Dichos servicios pueden incluir, según el caso, redes de área local inalámbricas, sistemas de nombres de dominio (DNS), registros de nombres de dominio de alto nivel, autoridades de certificación que expiden certificados digitales, o redes de suministro de contenidos, que habiliten o mejoren las funciones de otros prestadores de servicios intermediarios. Del mismo modo, los servicios utilizados con fines de comunicación también han evolucionado de forma considerable, así como los medios técnicos para su prestación, dando lugar a servicios en línea como la voz sobre IP, servicios de mensajería y servicios de correo electrónico vía web, que envían las comunicaciones a través de un servicio de acceso a internet. También esos servicios pueden beneficiarse de las exenciones de responsabilidad, en la medida en que cumplan los requisitos para considerarse de «mera transmisión», «memoria tampón» o alojamiento de datos.

(28) Los prestadores de servicios intermediarios no deben estar sujetos a una obligación de supervisión con respecto a obligaciones de carácter general. Esto no afecta a las obligaciones de supervisión en un caso específico y, en particular, no afecta a las órdenes dictadas por las autoridades nacionales de conformidad con la legislación nacional, de conformidad con las condiciones estipuladas en el presente Reglamento. Nada de lo dispuesto en el presente Reglamento debe interpretarse como la imposición de una obligación general de supervisión o de búsqueda activa de hechos, o una obligación general de que los prestadores adopten medidas proactivas en relación con contenidos ilícitos.

(29) En función del régimen jurídico de cada Estado miembro y del campo del derecho de que se trate, las autoridades nacionales judiciales o administrativas pueden ordenar a los prestadores de servicios intermediarios que actúen contra elementos de contenido ilícito concretos o que proporcionen determinados elementos de información concretos. Las leyes nacionales que sirven de base para dictar tales órdenes presentan diferencias considerables y las órdenes se han de aplicar cada vez más en situaciones transfronterizas. A fin de garantizar que esas órdenes puedan cumplirse de manera efectiva y eficiente, para que las autoridades públicas afectadas puedan llevar a cabo su cometido y los prestadores no se vean sometidos a cargas desproporcionadas, sin afectar indebidamente a los derechos e intereses legítimos de terceros, es necesario establecer ciertas condiciones que tales órdenes deberán cumplir y ciertos requisitos complementarios relativos a su tramitación.

(30) Las órdenes de actuación contra contenidos ilícitos o de entrega de información deberán dictarse de conformidad con el Derecho de la Unión, en particular el Reglamento (UE) 2016/679, y la prohibición establecida en el presente Reglamento de imponer obligaciones generales de supervisar información o de buscar activamente hechos o circunstancias que indiquen actividades ilícitas. Los requisitos y las condiciones recogidos en el presente Reglamento que se aplican a las órdenes de actuación contra contenidos ilícitos han de entenderse sin perjuicio de otros actos de la Unión que establecen sistemas similares de actuación contra determinados tipos de contenidos ilícitos, como el Reglamento (UE) …/…. [propuesta de Reglamento para la prevención de la difusión de contenidos terroristas en línea], o el Reglamento (UE) 2017/2394, que confiere competencias específicas para ordenar la entrega de información a las autoridades ejecutivas de consumo de los Estados miembros, mientras que los requisitos y las condiciones que se aplican a las órdenes de entrega de información han de entenderse sin perjuicio de otros actos de la Unión que establecen disposiciones pertinentes análogas en sectores concretos. Dichos requisitos y condiciones han de entenderse sin perjuicio de las normas de retención y conservación establecidas en la legislación nacional aplicable, de conformidad con el Derecho de la Unión y las solicitudes de confidencialidad efectuadas por las autoridades policiales en relación con la no divulgación de información.

(31) El ámbito territorial de las órdenes de actuación contra contenidos ilícitos debe establecerse con claridad sobre la base del Derecho de la Unión o nacional aplicable que permita dictarlas y no debe exceder de lo estrictamente necesario para el cumplimiento de sus objetivos. En ese sentido, la autoridad judicial o administrativa nacional que dicte la orden debe buscar un equilibrio entre el objetivo que la orden pretenda alcanzar, de acuerdo con la base jurídica que haya permitido dictarla, y los derechos e intereses legítimos de todos los terceros que puedan verse afectados por dicha orden, en particular sus derechos fundamentales conforme a la Carta. Además, cuando la orden referente a la información específica pueda tener efectos fuera del territorio del Estado miembro de la autoridad de que se trate, la autoridad deberá evaluar si es probable que la información en cuestión constituya un contenido ilícito en otros Estados miembros y, en su caso, tener en cuenta las disposiciones pertinentes del Derecho de la Unión o del Derecho internacional y los intereses de la cortesía internacional.

(32) Las órdenes de entrega de información reguladas por el presente Reglamento afectan a la producción de información específica acerca de destinatarios concretos del servicio intermediario de que se trate, que estén identificados en dichas órdenes con el fin de determinar si los destinatarios de los servicios cumplen con las normas de la Unión o nacionales aplicables. Por consiguiente, las órdenes relativas a información sobre un grupo de destinatarios del servicio que no estén identificados específicamente, incluidas las órdenes de entrega de información agregada necesaria para fines estadísticos o para la formulación de políticas basadas en datos contrastados, no deben verse afectadas por las disposiciones del presente Reglamento sobre la entrega de información.

(33) Las órdenes de actuación contra contenidos ilícitos y de entrega de información están sujetas a las normas que salvaguardan la competencia del Estado miembro de establecimiento del prestador de servicios al que se dirigen y recogen posibles excepciones a dicha competencia en determinados casos, estipulados en el artículo 3 de la Directiva 2000/31/CE, únicamente si se cumplen las condiciones de dicho artículo. Dado que las órdenes en cuestión se refieren, respectivamente, a elementos de contenido e información concretos de carácter ilícito, cuando se dirigen a prestadores de servicios intermediarios establecidos en otro Estado miembro, no limitan en principio la libertad de dichos prestadores para prestar sus servicios a través de las fronteras. Por consiguiente, las disposiciones del artículo 3 de la Directiva 2000/31/CE, incluidas las que se refieren a la necesidad de justificar medidas de excepción a la competencia del Estado miembro de establecimiento del prestador de servicios por determinados motivos especificados y las que se refieren a la notificación de dichas medidas, no se aplican con respecto a esas órdenes.

(34) A fin de cumplir los objetivos del presente Reglamento, y en particular de mejorar el funcionamiento del mercado interior y garantizar un entorno en línea seguro y transparente, es necesario establecer un conjunto claro y equilibrado de obligaciones armonizadas de diligencia debida para los prestadores de servicios intermediarios. Esas obligaciones deben aspirar en particular a garantizar diferentes objetivos de política pública como la seguridad y confianza de los destinatarios del servicio, incluidos los menores y los usuarios vulnerables, proteger los derechos fundamentales pertinentes consagrados en la Carta, garantizar la rendición de cuentas de forma significativa por parte de dichos prestadores y empoderar a los destinatarios y otras partes afectadas, facilitando al mismo tiempo la necesaria supervisión por parte de las autoridades competentes.

(35) En ese sentido, es importante que las obligaciones de diligencia debida se adapten al tipo y la naturaleza del servicio intermediario de que se trate. Por tanto, el presente Reglamento establece obligaciones básicas aplicables a todos los prestadores de servicios intermediarios, así como obligaciones adicionales para los prestadores de servicios de alojamiento de datos y, más concretamente, plataformas en línea y plataformas en línea de muy gran tamaño. En la medida en que los prestadores de servicios intermediarios puedan inscribirse en esas diferentes categorías en vista de la naturaleza de sus servicios y de su tamaño, deberán cumplir con todas las obligaciones correspondientes del presente Reglamento. Esas obligaciones armonizadas de diligencia debida, que deben ser razonables y no arbitrarias, son necesarias para cumplir los objetivos de política pública marcados, como la salvaguardia de los intereses legítimos de los destinatarios del servicio, la lucha contra las prácticas ilícitas y la protección de los derechos fundamentales en línea.

(36) A fin de facilitar unas comunicaciones fluidas y eficientes en relación con las materias reguladas por el presente Reglamento, los prestadores de servicios intermediarios deberán estar obligados a establecer un punto único de contacto y a publicar información pertinente relativa a su punto de contacto, incluidas las lenguas que deban utilizarse en tales comunicaciones. El punto de contacto también puede ser utilizado por los alertadores fiables y por entidades profesionales que mantengan una relación específica con el prestador de servicios intermediarios. Al contrario que el representante legal, el punto de contacto debe servir a fines operativos y no ha de tener necesariamente una localización física.

(37) Los prestadores de servicios intermediarios establecidos en un tercer país que ofrezcan servicios en la Unión deberán designar a un representante legal en la Unión suficientemente facultado y proporcionar información relativa a sus representantes legales, para que sea posible la supervisión y, en su caso, la ejecución eficaz del presente Reglamento en relación con dichos prestadores. También deberá ser posible que el representante legal funcione como punto de contacto, siempre que se cumplan los requisitos pertinentes del presente Reglamento.

(38) Aunque en principio debe respetarse la libertad contractual de los prestadores de servicios intermediarios, es oportuno establecer ciertas normas sobre el contenido, la aplicación y la ejecución de las condiciones de dichos prestadores en favor de la transparencia, la protección de los destinatarios del servicio y la prevención de resultados injustos o arbitrarios.

(39) Para garantizar un nivel adecuado de transparencia y rendición de cuentas, los prestadores de servicios intermediarios deberán elaborar un informe anual, de conformidad con los requisitos armonizados recogidos en el presente Reglamento, sobre su actividad de moderación de contenidos, incluidas las medidas adoptadas a consecuencia de la aplicación y ejecución de sus condiciones. Sin embargo, a fin de evitar cargas desproporcionadas, esas obligaciones de transparencia informativa no deberán aplicarse a los prestadores que sean microempresas o pequeñas empresas, tal como estas se definen en la Recomendación 2003/361/CE de la Comisión (40).

(40) Los prestadores de servicios de alojamiento de datos desempeñan un papel especialmente importante en la lucha contra los contenidos ilícitos en línea, ya que almacenan información proporcionada por los destinatarios del servicio, y a petición de estos, y normalmente facilitan el acceso de otros destinatarios a la misma, a veces a gran escala. Es importante que todos los prestadores de servicios de alojamiento de datos, sea cual sea su tamaño, establezcan mecanismos de notificación y acción fáciles de manejar, que faciliten la notificación al prestador de los servicios de alojamiento de datos afectado de elementos de información concretos que la parte notificante considere contenidos ilícitos («aviso»), en virtud de la cual pueda el prestador decidir si está o no de acuerdo con esa valoración y si desea retirar o inhabilitar el acceso a dicho contenido («acción»). Siempre que se cumplan los requisitos sobre avisos, debe ser posible que las personas físicas o entidades notifiquen múltiples elementos de contenido concretos presuntamente ilícitos por medio de un único aviso. La obligación de establecer mecanismos de notificación y acción debe aplicarse, por ejemplo, a los servicios de almacenamiento e intercambio de archivos, los servicios de alojamiento web, los servidores de publicidad y pastebins (aplicaciones para compartir código fuente en internet), en la medida en que cumplan los requisitos para considerarse prestadores de servicios de alojamiento de datos sujetos al presente Reglamento.

(41) Las normas que regulen estos mecanismos de notificación y acción deberán armonizarse a escala de la Unión, para facilitar la tramitación oportuna, diligente y objetiva de los avisos conforme a unas normas uniformes, claras y transparentes que establezcan unas sólidas salvaguardas para proteger los derechos e intereses legítimos de todas las partes afectadas, en particular los derechos fundamentales que les garantiza la Carta, sea cual sea el Estado miembro de establecimiento o residencia de dichas partes y el campo del derecho de que se trate. Los derechos fundamentales incluyen, según el caso, el derecho a la libertad de expresión e información, el derecho al respeto de la vida privada y familiar, el derecho a la protección de los datos personales, el derecho a la no discriminación y el derecho a la tutela judicial efectiva de los destinatarios del servicio; la libertad de empresa, incluida la libertad contractual, de los prestadores de servicios; así como el derecho a la dignidad humana, los derechos del niño, el derecho a la protección de la propiedad, incluida la propiedad intelectual, y el derecho a la no discriminación de las partes afectadas por contenidos ilícitos.

(42) Cuando un prestador de servicios de alojamiento de datos decida retirar la información proporcionada por un destinatario del servicio, o inhabilitar el acceso a la misma, por ejemplo después de recibir un aviso o de actuar por propia iniciativa, inclusive por medios automatizados, dicho prestador deberá comunicar al destinatario su decisión, los motivos de su decisión y las opciones de impugnación de la decisión, en vista de las consecuencias negativas que tales decisiones puedan tener para el destinatario, por ejemplo, en lo que se refiere al ejercicio de su derecho fundamental a la libertad de expresión. Esa obligación debe aplicarse con independencia de los motivos de la decisión, en particular si se ha actuado porque se considera que la información notificada es un contenido ilícito o incompatible con las condiciones aplicables. Las vías de recurso disponibles para impugnar la decisión del prestador del servicio de alojamiento de datos deberán incluir siempre la vía de recurso judicial.

(43) Con vistas a evitar cargas desproporcionadas, las obligaciones adicionales impuestas a las plataformas en línea en virtud del presente Reglamento no deben aplicarse a las microempresas o pequeñas empresas definidas en la Recomendación 2003/361/CE de la Comisión (41), salvo que su alcance y su repercusión sean tales que cumplan los criterios para considerarse plataformas en línea de muy gran tamaño en virtud del presente Reglamento. Las normas de consolidación establecidas en esa Recomendación contribuyen a evitar que se puedan eludir dichas obligaciones adicionales. No cabe entender que la exención de las microempresas y pequeñas empresas de esas obligaciones adicionales afecte a su capacidad de establecer, con carácter voluntario, un sistema que cumpla con alguna de esas obligaciones.

(44) Los destinatarios del servicio deben poder impugnar de manera fácil y efectiva ciertas decisiones de las plataformas en línea que les afecten negativamente. Por consiguiente, las plataformas en línea deben estar obligadas a establecer sistemas internos de tramitación de reclamación, que cumplan ciertas condiciones destinadas a garantizar que los sistemas sean fácilmente accesibles y produzcan resultados rápidos y justos. Además, debe contemplarse la vía de resolución extrajudicial de litigios, incluidas las que no puedan resolverse de manera satisfactoria a través de los sistemas internos de tramitación de reclamaciones, por organismos certificados que posean la independencia, los medios y los conocimientos necesarios para desarrollar sus actividades con equidad, rapidez y eficacia en términos de costes. Las posibilidades de impugnar las decisiones de las plataformas en línea así creadas deben ser complementarias a la posibilidad de recurso judicial, que no debería verse afectada en ningún aspecto, de conformidad con la legislación del Estado miembro de que se trate.

(45) En relación con las diferencias contractuales entre consumidores y empresas con respecto a la adquisición de bienes o servicios, la Directiva 2013/11/UE del Parlamento Europeo y del Consejo (42) garantiza que los consumidores y las empresas de la Unión tengan acceso a entidades de resolución alternativa de litigios de calidad homologada. En este sentido, conviene aclarar que las disposiciones del presente Reglamento sobre la resolución extrajudicial de litigios han de entenderse sin perjuicio de la Directiva mencionada, incluido el derecho que la misma confiere a los consumidores de retirarse del procedimiento en cualquier momento si no están satisfechos con el funcionamiento o la tramitación del procedimiento.

(46) Se puede actuar de manera más rápida y fiable contra los contenidos ilícitos cuando las plataformas en línea adoptan las medidas necesarias para asegurarse de que los avisos enviados por los alertadores fiables a través de los mecanismos de notificación y acción exigidos por el presente Reglamento se traten de forma prioritaria, sin perjuicio del requisito de tramitar todos los avisos recibidos a través de dichos mecanismos, y tomar decisiones al respecto, de manera oportuna, diligente y objetiva. Esta condición de alertador fiable solo debe otorgarse a entidades, y no personas físicas, que hayan demostrado, entre otras cosas, que poseen conocimientos y competencias específicos para luchar contra los contenidos ilícitos, que representan intereses colectivos y que trabajan de manera diligente y objetiva. Estas entidades pueden ser de carácter público, como por ejemplo, en el caso de los contenidos terroristas, las unidades de notificación de contenidos de internet de las autoridades policiales nacionales o de la Agencia de la Unión Europea para la Cooperación Policial («Europol») o pueden ser organizaciones no gubernamentales y organismos semipúblicos, como las organizaciones que forman parte de la red INHOPE de líneas directas para denunciar materiales relacionados con abusos sexuales a menores y organizaciones comprometidas con la notificación de expresiones racistas y xenófobas en línea. En relación con los derechos sobre la propiedad intelectual, se podría otorgar la condición de alertadores fiables a organizaciones del sector y de titulares de derechos que hayan demostrado cumplir las condiciones aplicables. No cabe entender que las disposiciones del presente Reglamento relativas a los alertadores fiables impidan a las plataformas en línea dar un tratamiento análogo a los avisos enviados por entidades o personas físicas a las que no se haya otorgado la condición de alertadores fiables, o colaborar de otra manera con otras entidades, con arreglo a la legislación aplicable, incluido el presente Reglamento y el Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo (43).

(47) El uso indebido de los servicios de las plataformas en línea mediante la publicación frecuente de contenidos manifiestamente ilícitos o mediante el envío frecuente de avisos o reclamaciones manifiestamente infundados a través de los mecanismos y sistemas respectivamente establecidos en virtud del presente Reglamento debilita la confianza y perjudica los derechos e intereses legítimos de las partes afectadas. Por consiguiente, es necesario establecer salvaguardias apropiadas y proporcionadas contra dicho uso indebido. Una información debe tener la consideración de contenido manifiestamente ilícito y los avisos o reclamaciones deben tener la consideración de manifiestamente infundados cuando sea evidente a una persona lega en la materia, sin un análisis de fondo, que dicho contenido es ilícito o que los avisos o reclamaciones son infundados. En determinadas condiciones, las plataformas en línea deberán suspender temporalmente sus actividades pertinentes al respecto de la persona que muestre comportamientos abusivos. Esto es sin perjuicio de la libertad que tienen las plataformas en línea para determinar sus condiciones y establecer medidas más rigurosas para el caso de un contenido manifiestamente ilícito relacionado con delitos graves. Por razones de transparencia, esta posibilidad debe quedar establecida, de forma clara y suficientemente detallada, en las condiciones de las plataformas en línea. Siempre debe existir la posibilidad de recurrir las decisiones adoptadas en este sentido por las plataformas en línea y estas deben estar sujetas a la supervisión del coordinador de servicios digitales competente. Las disposiciones del presente Reglamento relativas al uso indebido no deben impedir a las plataformas en línea adoptar otras medidas para combatir la publicación de contenidos ilícitos por los destinatarios de su servicio u otros usos indebidos de sus servicios, de conformidad con el Derecho de la Unión y nacional aplicable. Dichas disposiciones han de entenderse sin perjuicio de las posibilidades de exigir responsabilidades a las personas que efectúen el uso indebido, inclusive por daños y perjuicios, que se hayan estipulado en el Derecho de la Unión y nacional aplicable.

(48) En algunos casos, una plataforma en línea puede tener conocimiento, por ejemplo, a raíz del aviso de una parte notificante o a través de sus propias medidas voluntarias, de información relativa a una determinada actividad de un destinatario del servicio, como la publicación de determinados tipos de contenidos ilícitos, que razonablemente justifique, vistas todas las circunstancias pertinentes de las que dicha plataforma en línea haya tenido conocimiento, la sospecha de que el destinatario pueda haber cometido, pueda estar cometiendo o pueda probablemente cometer un delito grave que amenace la vida o la seguridad de una persona, como los delitos especificados en la Directiva 2011/93/UE del Parlamento Europeo y del Consejo (44). En esos casos, la plataforma en línea debe comunicar dicha sospecha a las autoridades policiales competentes sin dilación y aportar toda la información pertinente de que disponga, incluso, cuando sea pertinente, el contenido en cuestión y una explicación de su sospecha. El presente Reglamento no sienta la base jurídica para elaborar perfiles de los destinatarios de los servicios con miras a la posible detección de delitos por las plataformas en línea. Las plataformas en línea también deben respetar otras disposiciones del Derecho de la Unión o nacional aplicable para la protección de los derechos y las libertades de las personas físicas cuando informen a las autoridades policiales.

(49) A fin de contribuir a la creación de un entorno en línea seguro, confiable y transparente para los consumidores, así como para otras partes interesadas tales como comerciantes competidores y titulares de derechos de propiedad intelectual, y para disuadir a los comerciantes de vender productos o servicios que infrinjan las normas aplicables, las plataformas en línea que permitan a los consumidores formalizar contratos a distancia con los comerciantes deben asegurarse de que dichos comerciantes sean localizables. Por consiguiente, debe exigirse al comerciante que facilite determinada información esencial a la plataforma en línea, incluso para promocionar mensajes o realizar ofertas sobre productos. Dicho requisito también debe aplicarse a los comerciantes que promocionen mensajes sobre productos o servicios en nombre de las marcas, en virtud de acuerdos subyacentes. Esas plataformas en línea deberán almacenar toda la información de manera segura durante un periodo de tiempo razonable que no exceda de lo necesario, de forma que puedan acceder a ella, de conformidad con la legislación aplicable, incluida la relativa a la protección de los datos personales, las autoridades públicas y partes privadas que tengan un interés legítimo, inclusive a través de las órdenes de entrega de información a que se refiere el presente Reglamento.

(50) A fin de garantizar una aplicación eficiente y adecuada de esa obligación, sin imponer cargas desproporcionadas, las plataformas en línea afectadas deben realizar esfuerzos razonables para verificar la fiabilidad de la información proporcionada por los comerciantes afectados, en particular mediante el uso de bases de datos en línea e interfaces en línea oficiales de libre disponibilidad, como los registros mercantiles nacionales y el sistema de intercambio de información sobre el IVA (45) , o bien solicitando a los comerciantes afectados que proporcionen documentos justificativos confiables, como copias de documentos de identidad, estados bancarios certificados, certificados empresariales y certificados del registro mercantil. También pueden recurrir a otras fuentes, disponibles para su uso a distancia, que ofrezcan un grado análogo de fiabilidad al efecto de cumplir con esta obligación. Sin embargo, las plataformas en línea afectadas no deben estar obligadas a realizar actividades excesivas o costosas de búsqueda de hechos ni a realizar verificaciones sobre el terreno. Como tampoco cabe entender que esas plataformas en línea, que hayan realizado los esfuerzos razonables exigidos por el presente Reglamento, garanticen la fiabilidad de la información al consumidor u otras partes interesadas. Dichas plataformas en línea también deben diseñar y organizar su interfaz en línea de manera que permita a los comerciantes cumplir con sus obligaciones conforme al Derecho de la Unión, en particular los requisitos estipulados en los artículos 6 y 8 de la Directiva 2011/83/UE del Parlamento Europeo y del Consejo (46), el artículo 7 de la Directiva 2005/29/CE del Parlamento Europeo y del Consejo (47) y el artículo 3 de la Directiva 98/6/CE del Parlamento Europeo y del Consejo (48).

(51) En vista de las responsabilidades y obligaciones particulares de las plataformas en línea, deben estar sujetas a obligaciones de transparencia informativa, que se apliquen adicionalmente a las obligaciones de transparencia informativa que son aplicables a todos los prestadores de servicios intermediarios en virtud del presente Reglamento. Para determinar si las plataformas en línea pueden ser plataformas en línea de muy gran tamaño sujetas a determinadas obligaciones adicionales en virtud del presente Reglamento, las obligaciones de transparencia informativa de las plataformas en línea deben incluir determinadas obligaciones relativas a la publicación y comunicación de información sobre el promedio mensual de destinatarios activos del servicio en la Unión.

(52) La publicidad en línea desempeña un papel importante en el entorno en línea, también en relación con la prestación de los servicios de las plataformas en línea. Sin embargo, la publicidad en línea puede contribuir a generar riesgos significativos, desde anuncios publicitarios que sean en sí mismos contenidos ilícitos hasta contribuir a incentivar económicamente la publicación o amplificación de contenidos y actividades en línea que sean ilícitos o de otro modo nocivos, o la presentación discriminatoria de publicidad que afecte a la igualdad de trato y oportunidades de los ciudadanos. Además de los requisitos derivados del artículo 6 de la Directiva 2000/31/CE, las plataformas en línea, por tanto, deberán estar obligadas a velar por que los destinatarios del servicio posean determinada información individualizada que necesiten para saber cuándo y en nombre de quién se presenta la publicidad. Además, los destinatarios del servicio deben tener información sobre los principales parámetros utilizados para determinar que se les va a presentar publicidad específica, que ofrezca explicaciones reveladoras de la lógica utilizada con ese fin, también cuando se base en la elaboración de perfiles. Los requisitos del presente Reglamento sobre la facilitación de información relativa a publicidad han de entenderse sin perjuicio de la aplicación de las disposiciones pertinentes del Reglamento (UE) 2016/679, en particular las relativas al derecho de oposición, las decisiones individuales automatizadas, incluida la elaboración de perfiles, y en concreto la necesidad de obtener el consentimiento del interesado antes del tratamiento de los datos personales para producir publicidad personalizada. Del mismo modo, han de entenderse sin perjuicio de las disposiciones de la Directiva 2002/58/CE, en particular las relativas al almacenamiento de información en equipos terminales y al acceso a la información en ellos almacenada. 

(53) Dada la importancia que, debido a su alcance, en particular expresado en el número de destinatarios del servicio, tienen las plataformas en línea de muy gran tamaño para facilitar el debate público, las transacciones económicas y la difusión de información, opiniones e ideas y para influir en la forma en que los destinatarios obtienen y comunican información en línea, es necesario imponer obligaciones específicas a esas plataformas, además de las obligaciones aplicables a todas las plataformas en línea. Dichas obligaciones adicionales para las plataformas en línea de muy gran tamaño son necesarias para abordar esas materias de política pública, no existiendo medidas alternativas y menos restrictivas que puedan alcanzar el mismo resultado de manera efectiva.

(54) Las plataformas en línea de muy gran tamaño pueden entrañar riesgos para la sociedad, de distinto alcance y repercusión que los generados por plataformas más pequeñas. Una vez que el número de destinatarios de una plataforma asciende a un porcentaje importante de la población de la Unión, los riesgos sistémicos que la plataforma entraña tienen un impacto desproporcionadamente negativo en la Unión. Deberá considerarse que existe un alcance tan significativo cuando el número de destinatarios exceda de un umbral operativo fijado en cuarenta y cinco millones, es decir, una cifra equivalente al 10 % de la población de la Unión. El umbral operativo deberá mantenerse actualizado a través de enmiendas promulgadas por medio de actos delegados, cuando sea necesario. Dichas plataformas en línea de muy gran tamaño deberán, por tanto, cumplir las obligaciones de diligencia debida más exigentes, proporcionadas a su impacto social y sus medios.

(55) En vista de los efectos de red que caracterizan a la economía de plataformas, la base de usuarios de una plataforma en línea puede aumentar rápidamente y alcanzar la dimensión de una plataforma en línea de muy gran tamaño, con la consiguiente repercusión para el mercado interior. Tal puede ser el caso cuando experimente un crecimiento exponencial en un corto periodo de tiempo, o cuando su gran presencia mundial y facturación permitan a la plataforma en línea explotar al máximo los efectos de red y las economías de escala y de alcance. En particular, una elevada facturación anual o capitalización del mercado puede indicar una rápida escalabilidad en términos de alcance de usuarios. En esos casos, el coordinador de servicios digitales debe poder solicitar a la plataforma que aporte con más frecuencia información sobre su base de usuarios a fin de poder determinar oportunamente el momento en que la plataforma debe considerarse una plataforma en línea de muy gran tamaño para los fines del presente Reglamento.

(56) Las plataformas en línea de muy gran tamaño tienen un modo de uso que influye en gran medida en la seguridad en línea, en la opinión y el discurso públicos, y en el comercio en línea. El diseño de sus servicios se optimiza en general para beneficio de sus modelos de negocio, a menudo basados en la publicidad, y pueden causar inquietudes en la sociedad. A falta de una reglamentación y ejecución efectivas, pueden fijar las reglas del juego, sin determinar y reducir eficazmente los riesgos y los perjuicios sociales y económicos que pueden causar. Por tanto, de acuerdo con el presente Reglamento, las plataformas en línea de muy gran tamaño deben evaluar los riesgos sistémicos que entraña el funcionamiento y uso de su servicio, así como los posibles usos indebidos por parte de los destinatarios del mismo, y adoptar medidas de reducción de riesgos apropiadas.

(57) Deben evaluarse en profundidad tres categorías de riesgos sistémicos. La primera categoría se refiere a los riesgos asociados al uso indebido de su servicio mediante la difusión de contenidos ilícitos, como la difusión de materiales de abuso sexual de menores o delitos de incitación al odio, y la realización de actividades ilícitas como la venta de productos o servicios prohibidos por el Derecho de la Unión o nacional, incluidos los productos falsificados. Por ejemplo, y sin perjuicio de la responsabilidad personal que pueda tener el destinatario del servicio de las plataformas en línea de muy gran tamaño por la posible ilicitud de sus actividades en virtud de la legislación aplicable, dicha difusión o actividad puede constituir un riesgo sistémico importante cuando el acceso a esos contenidos pueda amplificarse a través de cuentas con un alcance especialmente amplio. Una segunda categoría se refiere a los efectos del servicio para el ejercicio de los derechos protegidos por la Carta de los Derechos Fundamentales, incluida la libertad de expresión e información, el derecho a la vida privada, el derecho a la no discriminación y los derechos del niño. Estos riesgos pueden derivarse, por ejemplo, del diseño de los sistemas algorítmicos utilizados por la plataforma en línea de muy gran tamaño o por el uso indebido de su servicio mediante el envío de avisos abusivos u otros métodos destinados a silenciar la opinión u obstaculizar la competencia. Una tercera categoría de riesgos se refiere a la manipulación deliberada y a menudo coordinada del servicio de la plataforma, con efectos previsibles para la salud, el discurso cívico, los procesos electorales, la seguridad pública y la protección de los menores, en vista de la necesidad de salvaguardar el orden público, proteger la privacidad y combatir las prácticas comerciales fraudulentas y engañosas. Estos riesgos pueden derivarse, por ejemplo, de la creación de cuentas falsas, el uso de bots y otros comportamientos total o parcialmente automatizados, que pueden dar lugar a la difusión rápida y extendida de información que sea un contenido ilícito o incompatible con las condiciones de una plataforma.

(58) Las plataformas en línea de muy gran tamaño deben desplegar los medios necesarios para reducir diligentemente los riesgos sistémicos determinados en la evaluación de riesgos. Entre esas medidas de reducción de riesgos, las plataformas en línea de muy gran tamaño deben considerar, por ejemplo, reforzar o de algún modo adaptar el diseño y funcionamiento de sus procesos de moderación de contenidos, sistemas algorítmicos de recomendación e interfaces en línea, de manera que tengan efectos disuasorios y limitativos de la difusión de contenidos ilícitos, adaptar sus procesos decisorios, o adaptar sus condiciones. También pueden incluir medidas correctoras, como suspender la recaudación de ingresos por publicidad en determinados contenidos, u otro tipo de medidas, como mejorar la visibilidad de fuentes autorizadas de información. Las plataformas en línea de muy gran tamaño pueden reforzar sus procesos internos o la supervisión de cualquiera de sus actividades, en particular en lo que respecta a la detección de riesgos sistémicos. También pueden iniciar o aumentar la cooperación con alertadores fiables, organizar sesiones de formación e intercambios con organizaciones de alertadores fiables, y colaborar con otros prestadores de servicios, por ejemplo, mediante la adopción o la suscripción de códigos de conducta u otras medidas de autorregulación. Cualquier medida que se adopte debe respetar los requisitos de diligencia debida del presente Reglamento y ser eficaz y apropiada para reducir los riesgos específicos detectados, en aras de la salvaguardia del orden público, la protección de la privacidad y la lucha contra las prácticas comerciales fraudulentas y engañosas, y debe ser proporcionada en vista de la capacidad económica de la plataforma en línea de muy gran tamaño y de la necesidad de evitar restricciones innecesarias del uso de su servicio, teniendo debidamente en cuenta los efectos negativos que ello puede tener para los derechos fundamentales de los destinatarios del servicio.

(59) En su caso, las plataformas en línea de muy gran tamaño deberán realizar sus evaluaciones de riesgos y diseñar sus medidas de reducción del riesgo contando con la participación de representantes de los destinatarios del servicio, representantes de grupos potencialmente afectados por sus servicios, expertos independientes y organizaciones de la sociedad civil.

(60) Dada la necesidad de garantizar la verificación por expertos independientes, las plataformas en línea de muy gran tamaño deben rendir cuentas, mediante auditorías independientes, del cumplimiento de las obligaciones estipuladas en el presente Reglamento y, cuando sea pertinente, de cualquier compromiso complementario adquirido de conformidad con códigos de conducta y protocolos de crisis. Deben otorgar al auditor acceso a todos los datos pertinentes necesarios para realizar la auditoría debidamente. Los auditores también deben poder recurrir a otras fuentes de información objetiva, como estudios de investigadores autorizados. Los auditores deben garantizar la confidencialidad, seguridad e integridad de la información, como secretos comerciales, que obtengan en el desempeño de sus funciones y tener los conocimientos necesarios en materia de gestión de riesgos y competencia técnica para auditar algoritmos. Los auditores deben ser independientes, de modo que puedan realizar sus funciones de manera adecuada y confiable. Si su independencia no está fuera de toda duda, deberán dimitir o abstenerse de participar en la auditoría.

(61) El informe de auditoría debe estar fundamentado, de modo que ofrezca un relato coherente de las actividades realizadas y las conclusiones alcanzadas. Debe contribuir a informar y, en su caso, inspirar mejoras de las medidas adoptadas por la plataforma en línea de muy gran tamaño para cumplir con sus obligaciones en virtud del presente Reglamento. El informe debe transmitirse sin dilación al coordinador de servicios digitales de establecimiento y a la Junta, junto con la evaluación de riesgos y las medidas de reducción del riesgo, así como los planes de la plataforma para atender las recomendaciones de la auditoría. El informe debe incluir un dictamen de auditoría basado en las conclusiones extraídas a partir de los datos fehacientes obtenidos en la auditoría. El dictamen deberá ser favorable cuando todos los datos demuestren que la plataforma en línea de muy gran tamaño cumple con las obligaciones estipuladas en el presente Reglamento o bien, en su caso, cualquier compromiso que haya adquirido de conformidad con un código de conducta o un protocolo de crisis, en particular mediante la determinación, la evaluación y la reducción de los riesgos sistémicos generados por su sistema y sus servicios. Un dictamen favorable deberá ir acompañado de observaciones cuando el auditor desee incluir comentarios que no tengan efectos importantes sobre el resultado de la auditoría. El dictamen deberá ser negativo cuando el auditor considere que la plataforma en línea de muy gran tamaño no cumple con el presente Reglamento o con los compromisos adquiridos.

(62) Una parte fundamental del negocio de una plataforma en línea de muy gran tamaño es la manera en que prioriza y presenta la información en su interfaz en línea para facilitar y optimizar el acceso a la misma por los destinatarios del servicio. Esto se hace, por ejemplo, mediante la recomendación, clasificación y priorización algorítmica de la información, mediante la distinción de texto u otras representaciones visuales, o la organización de otro modo la información facilitada por los destinatarios. Estos sistemas de recomendación pueden afectar significativamente a la capacidad de los destinatarios para obtener información en línea e interactuar con ella. También desempeñan un papel importante en la amplificación de determinados mensajes, la difusión viral de información y la promoción de comportamientos en línea. En consecuencia, las plataformas en línea de muy gran tamaño deben asegurarse de que los destinatarios estén debidamente informados y puedan influir en la información que se les presenta. Deben presentar con claridad los parámetros principales de dichos sistemas de recomendación de manera fácilmente comprensible para asegurarse de que los destinatarios entienden cómo se prioriza la información para ellos. También deben velar por que los destinatarios dispongan de opciones alternativas para los parámetros principales, incluidas opciones que no se basen en la elaboración de un perfil del destinatario.

(63) Los sistemas publicitarios utilizados por las plataformas en línea de muy gran tamaño entrañan especiales riesgos y requieren supervisión pública y reglamentaria adicional debido a su escala y capacidad para dirigirse y llegar a los destinatarios del servicio en función de su comportamiento dentro y fuera de la interfaz en línea de dicha plataforma. Las plataformas en línea de muy gran tamaño deben garantizar el acceso público a los repositorios de anuncios publicitarios presentados en sus interfaces en línea para facilitar la supervisión y la investigación de los riesgos emergentes generados por la distribución de publicidad en línea, por ejemplo en relación con anuncios ilícitos o técnicas manipulativas y desinformación con efectos negativos reales y previsibles para la salud pública, la seguridad pública, el discurso civil, la participación política y la igualdad. Los repositorios deben incluir el contenido de los anuncios publicitarios y datos conexos sobre el anunciante y la entrega del anuncio, especialmente en lo que respecta a la publicidad personalizada.

(64) A fin de supervisar debidamente el cumplimiento de las plataformas en línea de muy gran tamaño con las obligaciones estipuladas en el presente Reglamento, el coordinador de servicios digitales de establecimiento o la Comisión pueden requerir acceso o informes relativos a datos específicos. Este requerimiento puede incluir, por ejemplo, los datos necesarios para valorar los riesgos y posibles perjuicios generados por los sistemas de la plataforma, datos sobre la precisión, el funcionamiento y las pruebas de los sistemas algorítmicos de moderación de contenidos, sistemas de recomendación o sistemas publicitarios, o datos sobre procesos y resultados de moderación de contenidos o de los sistemas internos de tramitación de reclamaciones en el sentido del presente Reglamento. Las investigaciones sobre la evolución y la gravedad de los riesgos sistémicos en línea son especialmente importantes para compensar asimetrías de información y establecer un sistema resiliente de reducción de riesgos, con información para las plataformas en línea, los coordinadores de servicios digitales, otras autoridades competentes, la Comisión y el público. Por consiguiente, el presente Reglamento establece un marco para exigir a las plataformas en línea de muy gran tamaño que faciliten el acceso de investigadores autorizados a los datos. Todos los requisitos relativos al acceso a los datos en virtud de dicho marco deben ser proporcionados y proteger debidamente los derechos e intereses legítimos, como secretos comerciales y otra información confidencial, de la plataforma y de cualquier otra parte afectada, incluidos los destinatarios del servicio.

(65) Dada la complejidad del funcionamiento de los sistemas desplegados y los riesgos sistémicos que entrañan para la sociedad, las plataformas en línea de muy gran tamaño deben designar encargados de cumplimiento, quienes deben poseer la cualificación necesaria para poner en práctica medidas y vigilar el cumplimiento del presente Reglamento en la organización de la plataforma. Las plataformas en línea de muy gran tamaño deben asegurarse de que el encargado de cumplimiento participe, de manera apropiada y oportuna, en todas las cuestiones que se refieren al presente Reglamento. En vista de los riesgos adicionales relacionados con sus actividades y sus obligaciones adicionales en virtud del presente Reglamento, el resto de los requisitos de transparencia estipulados en el presente Reglamento deben complementarse con requisitos adicionales de transparencia aplicables específicamente a las plataformas en línea de muy gran tamaño, especialmente informar sobre las evaluaciones de riesgos realizadas y las medidas consiguientemente adoptadas según lo estipulado en el presente Reglamento.

(66) Para facilitar la aplicación efectiva y coherente de las obligaciones estipuladas en el presente Reglamento que pueda ser preciso ejecutar por medios tecnológicos, es importante promover normas industriales voluntarias que comprendan determinados procedimientos técnicos, de modo que la industria pueda colaborar al desarrollo de medios normalizados para cumplir con el presente Reglamento, como permitir el envío de avisos, por ejemplo a través de interfaces de programación de aplicaciones, o en relación con la interoperabilidad de los repositorios de anuncios publicitarios. Estas normas podrían ser especialmente útiles para los prestadores de servicios intermediarios relativamente pequeños. Las normas podrían distinguir entre distintos tipos de contenidos ilícitos o distintos tipos de servicios intermediarios, según proceda.

(67) La Comisión y la Junta deberían fomentar la elaboración de códigos de conducta que contribuyan a la aplicación del presente Reglamento. Aunque la aplicación de los códigos de conducta debe ser medible y estar sujeta a supervisión pública, ello no debe afectar al carácter voluntario de dichos códigos y a la libertad de las partes interesadas para decidir si desean participar. En determinadas circunstancias, es importante que las plataformas en línea de muy gran tamaño cooperen en la elaboración de códigos de conducta específicos y los suscriban. Nada de lo dispuesto en el presente Reglamento impide que otros prestadores de servicios suscriban las mismas normas de diligencia debida, adopten buenas prácticas y se beneficien de las orientaciones proporcionadas por la Comisión y la Junta, mediante su participación en los mismos códigos de conducta.

(68) Es apropiado que el presente Reglamento señale determinados aspectos para que se tomen en consideración en dichos códigos de conducta. En particular, deben explorarse medidas de reducción de riesgos relativas a tipos concretos de contenidos ilícitos a través de acuerdos de autorregulación y corregulación. Otro aspecto que debería tomarse en consideración son las posibles repercusiones negativas de los riesgos sistémicos para la sociedad y la democracia, como la desinformación o las actividades manipulativas y abusivas. Esto incluye operaciones coordinadas dirigidas a amplificar información, incluida la desinformación, como el uso de bots y cuentas falsas para generar información falsa o engañosa, a veces con el fin de obtener un beneficio económico, que son especialmente nocivas para destinatarios vulnerables del servicio, como los niños. En relación con estos aspectos, la suscripción y el cumplimiento de un determinado código de conducta por una plataforma en línea de muy gran tamaño puede considerarse una medida apropiada de reducción de riesgos. La negativa de una plataforma en línea a participar en la aplicación de un código de conducta de esta índole a invitación de la Comisión, sin explicaciones adecuadas, podría tenerse en cuenta, cuando sea pertinente, a la hora de determinar si la plataforma en línea ha incumplido las obligaciones estipuladas en el presente Reglamento.

(69) Las disposiciones del presente Reglamento relativas a los códigos de conducta podrían servir de base para iniciativas de autorregulación ya establecidas a escala de la Unión, como el compromiso de seguridad con los productos, el memorando de entendimiento contra los productos falsificados, el Código de conducta para combatir el delito de incitación al odio en internet, y el Código de buenas prácticas en materia de desinformación. En particular en relación con este último, la Comisión publicará orientaciones para reforzar el Código de buenas prácticas en materia de desinformación, como se anunció en el Plan de Acción para la Democracia Europea.

(70) En la publicidad en línea generalmente intervienen varios actores, incluidos los servicios intermediarios que conectan a los publicistas con los anunciantes. Los códigos de conducta deben apoyar y complementar las obligaciones de transparencia relativas a la publicidad para plataformas en línea y plataformas en línea de muy gran tamaño estipuladas en el presente Reglamento a fin de establecer unos mecanismos flexibles y eficaces para facilitar y potenciar el cumplimiento de dichas obligaciones, en particular en lo que se refiere a las modalidades de transmisión de la información pertinente. La participación de una gran variedad de partes interesadas debería garantizar que dichos códigos de conducta cuenten con un amplio apoyo, sean técnicamente sólidos y eficaces, y ofrezcan niveles máximos de facilidad en el manejo para garantizar que las obligaciones de transparencia cumplan sus objetivos.

(71) En el caso de que existan circunstancias extraordinarias que afecten a la seguridad pública o a la salud pública, la Comisión podrá iniciar la elaboración de protocolos de crisis para coordinar una respuesta rápida, colectiva y transfronteriza en el entorno en línea. Cabe considerar circunstancias extraordinarias cualquier hecho imprevisible, como terremotos, huracanes, pandemias y otras amenazas transfronterizas graves para la salud pública, guerras y actos de terrorismo, por ejemplo, cuando las plataformas en línea puedan utilizarse indebidamente para propagar rápidamente contenidos ilícitos o desinformación, o bien cuando surja la necesidad de difundir rápidamente información fiable. En vista del importante papel que desempeñan las plataformas en línea de muy gran tamaño en la difusión de información en nuestras sociedades y a través de las fronteras, debe animarse a dichas plataformas a elaborar y aplicar protocolos de crisis específicos. Dichos protocolos de crisis solo deben activarse durante un período limitado y las medidas adoptadas también deben limitarse a lo estrictamente necesario para hacer frente a la circunstancia extraordinaria. Esas medidas deben ser coherentes con el presente Reglamento, y no deben suponer una obligación general para las plataformas en línea de muy gran tamaño participantes de supervisar la información que transmiten o almacenan, ni de buscar activamente hechos o circunstancias que indiquen contenidos ilícitos.

(72) La tarea de garantizar una supervisión y ejecución adecuadas de las obligaciones estipuladas en el presente Reglamento debe atribuirse, en principio, a los Estados miembros. Con este fin, deberán designar al menos una autoridad encargada de aplicar y ejecutar el presente Reglamento. No obstante, los Estados miembros deben poder encomendar a más de una autoridad competente el desempeño de determinadas funciones y competencias de supervisión o ejecución relativas a la aplicación del presente Reglamento, por ejemplo para sectores concretos, como los reguladores de comunicaciones electrónicas, los reguladores de medios de comunicación o las autoridades de protección del consumidor, que reflejen su estructura constitucional, organizativa y administrativa nacional.

(73) Dada la naturaleza transfronteriza de los servicios en cuestión y la horizontalidad de las obligaciones que introduce el presente Reglamento, la autoridad encargada de supervisar la aplicación y, en su caso, ejecución del presente Reglamento deberá identificarse como coordinador de servicios digitales en cada Estado miembro. Cuando se designe más de una autoridad competente para aplicar y ejecutar el presente Reglamento, solo una autoridad de dicho Estado miembro deberá identificarse como coordinador de servicios digitales. El coordinador de servicios digitales debe actuar como punto único de contacto con respecto a todos los asuntos relacionados con la aplicación del presente Reglamento para la Comisión, la Junta, los coordinadores de servicios digitales de otros Estados miembros y otras autoridades competentes del Estado miembro en cuestión. En particular, cuando se encomiende a varias autoridades competentes el desempeño de funciones establecidas en el presente Reglamento en un determinado Estado miembro, el coordinador de servicios digitales deberá coordinarse y cooperar con esas autoridades de conformidad con la legislación nacional que establezca sus funciones respectivas, y deberá velar por que todas las autoridades pertinentes participen de manera efectiva en la supervisión y ejecución en el ámbito de la Unión.

(74) El coordinador de servicios digitales, así como otras autoridades competentes designadas en virtud del presente Reglamento, desempeñan un papel crucial para garantizar la efectividad de los derechos y obligaciones estipulados en el presente Reglamento y el cumplimiento de sus objetivos. En consecuencia, es necesario garantizar que dichas autoridades actúen con completa independencia de organismos públicos y privados, sin obligación o posibilidad de solicitar o recibir instrucciones, ni siquiera del Gobierno, y sin perjuicio de los deberes específicos de cooperación con otras autoridades competentes, con los coordinadores de servicios digitales, con la Junta y con la Comisión. Por otra parte, la independencia de estas autoridades no debe suponer que no puedan someterse, de conformidad con las constituciones nacionales y sin poner en peligro el cumplimiento de los objetivos del presente Reglamento, a los mecanismos nacionales de control o supervisión de su gasto financiero o a revisión judicial, o que no tengan la posibilidad de consultar con otras autoridades nacionales, incluidas las autoridades policiales o las autoridades de gestión de crisis, en su caso.

(75) Los Estados miembros pueden designar una autoridad nacional ya existente que desempeñe la función de coordinador de servicios digitales, o que tenga funciones específicas de aplicación y ejecución del presente Reglamento, siempre que dicha autoridad designada cumpla los requisitos estipulados en el presente Reglamento, por ejemplo, en lo que respecta a su independencia. Además, nada impide a los Estados miembros combinar funciones en una autoridad existente, de conformidad con el Derecho de la Unión. Las medidas que se adopten a tal efecto pueden incluir, entre otras cosas, la imposibilidad de cesar al presidente o a un miembro de la dirección de un órgano colegiado de una autoridad existente antes de que finalice su mandato, por el único motivo de que se haya realizado una reforma institucional que implique la combinación de diferentes funciones en una sola autoridad, a falta de normas que garanticen que esta clase de ceses no pongan en peligro la independencia e imparcialidad de tales miembros.

(76) En ausencia de un requisito general de que los prestadores de servicios intermediarios garanticen la presencia física en el territorio de uno de los Estados miembros, es necesario dejar claro cuál es el Estado miembro que tiene jurisdicción sobre esos prestadores con el fin de que las autoridades competentes nacionales hagan cumplir las disposiciones de los capítulos III y IV. Un prestador debe someterse a la jurisdicción del Estado miembro donde se encuentre su establecimiento principal, es decir, donde el prestador tenga su sede central o domicilio social en el que lleve a cabo las principales funciones financieras y el control de sus operaciones. Con respecto a los prestadores que no tengan un establecimiento en la Unión pero que ofrezcan sus servicios en ella y, por tanto, se inscriban en el ámbito de aplicación del presente Reglamento, la jurisdicción debe corresponder al Estado miembro donde dichos prestadores hayan designado a su representante legal, teniendo en cuenta la función que desempeñan los representantes legales en virtud del presente Reglamento. No obstante, en aras de la aplicación efectiva del presente Reglamento, todos los Estados miembros deben tener jurisdicción sobre los prestadores que no hayan designado un representante legal, siempre que se respete el principio de non bis in idem. Con este fin, cada Estado miembro que ejerza su jurisdicción sobre tales prestadores deberá comunicar a todos los demás Estados miembros, sin dilaciones indebidas, las medidas que haya adoptado para ejercer dicha jurisdicción.

(77) Los Estados miembros deberán otorgar al coordinador de servicios digitales, y a cualquier otra autoridad competente designada en virtud del presente Reglamento, competencias y medios suficientes para garantizar una investigación y ejecución eficaces. En particular, los coordinadores de servicios digitales deben poder buscar y obtener información localizada en su territorio, también en el contexto de investigaciones conjuntas, con la debida consideración del hecho de que las medidas de supervisión y ejecución relativas a un prestador sujeto a la jurisdicción de otro Estado miembro deberán adoptarse por el coordinador de servicios digitales de ese otro Estado miembro, cuando sea pertinente de conformidad con los procedimientos relativos a la cooperación transfronteriza.

(78) Los Estados miembros deberán estipular en su Derecho nacional, de conformidad con el Derecho de la Unión y, en particular, con el presente Reglamento y la Carta, condiciones y límites detallados para el ejercicio de las competencias de investigación y ejecución de sus coordinadores de servicios digitales, y otras autoridades competentes cuando proceda, en virtud del presente Reglamento.

(79) En el ejercicio de esas competencias, las autoridades competentes deben cumplir las normas nacionales aplicables en relación con procedimientos y materias tales como la necesidad de una autorización judicial previa para acceder a determinadas instalaciones y la prerrogativa de secreto profesional en la relación cliente-abogado. Esas disposiciones deben garantizar, en particular, el respeto de los derechos fundamentales a la tutela judicial efectiva y a un juez imparcial, incluidos los derechos de la defensa y el derecho al respeto de la vida privada. En este sentido, las garantías establecidas en relación con los procedimientos de la Comisión de conformidad con el presente Reglamento podrían ser un punto de referencia apropiado. Debe garantizarse un procedimiento previo justo e imparcial antes de adoptar una decisión final, que incluya los derechos de las personas afectadas a ser oídas y a acceder al expediente que les concierna, respetando al mismo tiempo la confidencialidad y el secreto profesional y empresarial, así como la obligación de motivar debidamente las decisiones. Sin embargo, esto no debe impedir que se adopten medidas en casos de urgencia debidamente fundamentados y con sujeción a condiciones y trámites procesales apropiados. El ejercicio de las competencias también debe ser proporcionado, entre otras cosas, a la naturaleza y al perjuicio general real o potencial causado por la infracción o la presunta infracción. En principio, las autoridades competentes deben tener en cuenta todos los hechos y circunstancias pertinentes del caso, incluida la información recabada por las autoridades competentes en otros Estados miembros.

(80) Los Estados miembros deben asegurarse de que las violaciones de las obligaciones estipuladas en el presente Reglamento puedan sancionarse de manera efectiva, proporcionada y disuasoria, teniendo en cuenta la naturaleza, gravedad, recurrencia y duración de la violación, en vista del interés público perseguido, el alcance y la clase de actividades realizadas, así como la capacidad económica del infractor. En particular, las sanciones deben tener en cuenta si el prestador de servicios intermediarios afectado incumple de forma sistemática o recurrente sus obligaciones en virtud del presente Reglamento, así como, cuando sea pertinente, si el prestador mantiene actividad en varios Estados miembros.

(81) A fin de garantizar la ejecución efectiva del presente Reglamento, las personas físicas o las organizaciones representativas deben poder presentar reclamaciones relacionadas con el incumplimiento del presente Reglamento al coordinador de servicios digitales del territorio donde hayan recibido el servicio, sin perjuicio de lo dispuesto en el presente Reglamento en materia de jurisdicción. Las reclamaciones deben ofrecer una exposición fiel de las inquietudes relacionadas con el cumplimiento de un determinado prestador de servicios intermediarios y también podrían informar al coordinador de servicios digitales de cualquier otra cuestión transversal. El coordinador de servicios digitales debe involucrar a otras autoridades competentes nacionales, así como al coordinador de servicios digitales de otro Estado miembro, y en particular al del Estado miembro donde el prestador de servicios intermediarios afectado esté establecido, si el problema requiere cooperación transfronteriza.

(82) Los Estados miembros deben asegurarse de que los coordinadores de servicios digitales puedan adoptar medidas eficaces y proporcionadas para corregir determinadas infracciones particularmente graves y persistentes. Especialmente cuando esas medidas puedan afectar a los derechos e intereses de terceros, según pueda ser el caso en particular cuando se limite el acceso a interfaces en línea, es oportuno exigir que las medidas sean ordenadas por una autoridad judicial competente a petición de los coordinadores de servicios digitales y que estén sujetas a salvaguardias adicionales. En particular, los terceros potencialmente afectados deben tener la oportunidad de ser oídos y dichas órdenes deben dictarse únicamente cuando no se disponga razonablemente de competencias para adoptar ese tipo de medidas según lo dispuesto en otros actos del Derecho de la Unión o en el Derecho nacional, por ejemplo para proteger los intereses colectivos de los consumidores, para garantizar la retirada inmediata de páginas web que contengan o difundan pornografía infantil, o para inhabilitar el acceso a servicios que estén siendo utilizados por un tercero para infringir un derecho de propiedad intelectual.

(83) Este tipo de órdenes de limitación del acceso no deben exceder de lo necesario para alcanzar su objetivo. Con ese fin, deben ser temporales y dirigirse en principio a un prestador de servicios intermediarios, como el prestador del servicio de alojamiento de datos pertinente, el prestador del servicio de internet o el registro de nombres de dominio, que esté en una posición razonable para alcanzar ese objetivo sin limitar indebidamente el acceso a información lícita.

(84) El coordinador de servicios digitales debe publicar periódicamente un informe sobre las actividades realizadas de conformidad con el presente Reglamento. Dado que el coordinador de servicios digitales también tiene conocimiento de las órdenes de actuación contra contenidos ilícitos o de entrega de información reguladas por el presente Reglamento a través del sistema común de intercambio de información, el coordinador de servicios digitales debe incluir en su informe anual el número y categoría de dichas órdenes dirigidas a prestadores de servicios intermediarios por las autoridades judiciales y administrativas de su Estado miembro.

(85) Cuando un coordinador de servicios digitales solicite a otro coordinador de servicios digitales que actúe, el coordinador de servicios digitales solicitante, o la Junta en el caso de que haya formulado una recomendación para que se evalúen cuestiones que afecten a más de tres Estados miembros, debe poder remitir el asunto a la Comisión en caso de que existan discrepancias sobre las evaluaciones o las medidas adoptadas o propuestas o que no se adopten medidas. La Comisión, en virtud de la información facilitada por las autoridades afectadas, deberá poder solicitar en consecuencia al coordinador de servicios digitales competente que reevalúe el asunto y adopte las medidas necesarias para garantizar el cumplimiento en un período definido. Esta posibilidad ha de entenderse sin perjuicio del deber general de la Comisión de supervisar la aplicación del Derecho de la Unión, y en caso necesario exigir su cumplimiento, bajo el control del Tribunal de Justicia de la Unión Europea de conformidad con los Tratados. Si el coordinador de servicios digitales de establecimiento no adoptase medidas en respuesta a dicha solicitud, la Comisión podría intervenir conforme a la sección 3 del capítulo IV del presente Reglamento, cuando el presunto infractor sea una plataforma en línea de muy gran tamaño.

(86) A fin de facilitar la supervisión transfronteriza e investigaciones que afecten a varios Estados miembros, los coordinadores de servicios digitales deberán poder participar, de forma permanente o temporal, en actividades conjuntas de supervisión e investigación relativas a las materias reguladas por el presente Reglamento. Esas actividades pueden incluir a otras autoridades competentes y comprender una variedad de asuntos, desde ejercicios coordinados para recabar datos hasta solicitudes de información o inspecciones de instalaciones, dentro de los límites y del alcance de las competencias de cada autoridad participante. Se puede solicitar a la Junta que ofrezca asesoramiento en relación con esas actividades, por ejemplo, proponiendo hojas de ruta y plazos para las actividades o grupos de trabajo ad hoc con la participación de las autoridades implicadas.

(87) En vista de los problemas concretos que pueden presentarse en relación con la evaluación y el control del cumplimiento de una plataforma en línea de muy gran tamaño, por ejemplo en relación con la escala o complejidad de una presunta infracción o la necesidad de contar con conocimientos o capacidades particulares a escala de la Unión, los coordinadores de servicios digitales deben tener la posibilidad de solicitar, con carácter voluntario, que la Comisión intervenga y ejerza sus competencias de investigación y ejecución en virtud del presente Reglamento.

(88) A fin de velar por que el presente Reglamento se aplique de manera coherente, es necesario crear un grupo consultivo independiente a escala de la Unión, que deberá prestar apoyo a la Comisión y ayudar a coordinar las acciones de los coordinadores de servicios digitales. Esa Junta Europea de Servicios Digitales debe estar integrada por los coordinadores de servicios digitales, sin perjuicio de la posibilidad de que estos inviten a sus reuniones o designen a delegados ad hoc de otras autoridades competentes que tengan funciones específicas encomendadas en virtud del presente Reglamento, cuando eso sea necesario de conformidad con su reparto nacional de funciones y competencias. En el caso de que haya varios participantes de un mismo Estado miembro, el derecho de voto deberá permanecer limitado a un representante por Estado miembro.

(89) La Junta deberá contribuir a alcanzar una perspectiva común de la Unión sobre la aplicación coherente del presente Reglamento y a la cooperación entre autoridades competentes, por ejemplo, asesorando a la Comisión y a los coordinadores de servicios digitales en relación con medidas apropiadas de investigación y ejecución, en particular con respecto a las plataformas en línea de muy gran tamaño. La Junta también debe colaborar en la preparación de unos modelos y códigos de conducta pertinentes y analizar las tendencias generales emergentes en el desarrollo de servicios digitales en la Unión.

(90) Para tal fin, la Junta debe poder adoptar dictámenes, solicitudes y recomendaciones dirigidos a los coordinadores de servicios digitales u otras autoridades competentes nacionales. Aunque no sean legalmente vinculantes, la decisión de desviarse de ellos debe explicarse debidamente y puede ser tenida en cuenta por la Comisión para evaluar el cumplimiento del presente Reglamento por el Estado miembro afectado.

(91) La Junta debe reunir a los representantes de los coordinadores de servicios digitales y otras posibles autoridades competentes bajo la presidencia de la Comisión, con miras a garantizar que los asuntos que se le presenten se evalúen desde un punto de vista plenamente europeo. En vista de posibles elementos transversales que puedan ser pertinentes para otros marcos reglamentarios a escala de la Unión, la Junta debe estar autorizada a cooperar con otros organismos, oficinas, agencias y grupos consultivos de la Unión con responsabilidades en materias tales como la igualdad, incluida la igualdad entre hombres y mujeres, y la no discriminación, la protección de datos, las comunicaciones electrónicas, los servicios audiovisuales, la detección e investigación de fraudes contra el presupuesto de la UE en relación con aranceles de aduanas, o la protección del consumidor, según sea necesario para el desempeño de sus funciones.

(92) La Comisión, desde la presidencia, deberá participar en la Junta sin derechos de voto. Desde la presidencia, la Comisión deberá velar por que el orden del día de las reuniones se establezca de conformidad con lo solicitado por los miembros de la Junta según lo dispuesto en su reglamento interno y en cumplimiento de los deberes de la Junta estipulados en el presente Reglamento.

(93) En vista de la necesidad de garantizar el apoyo a las actividades de la Junta, esta deberá poder utilizar los conocimientos y recursos humanos de la Comisión y de las autoridades competentes nacionales. Los mecanismos específicos de funcionamiento interno de la Junta deberán especificarse con mayor concreción en el reglamento interno de la Junta.

(94) Dada la importancia de las plataformas en línea de muy gran tamaño, en vista de su alcance y repercusión, el incumplimiento por su parte de las obligaciones específicas que les son aplicables puede afectar a un número importante de destinatarios de los servicios de diferentes Estados miembros y puede causar grandes perjuicios sociales, mientras que dichos incumplimientos pueden ser además especialmente difíciles de detectar y corregir.

(95) A fin de abordar esos objetivos de política pública es por tanto necesario establecer un sistema común de supervisión y ejecución reforzadas a escala de la Unión. Una vez detectada una infracción de una de las disposiciones que se aplican exclusivamente a las plataformas en línea de muy gran tamaño, por ejemplo en virtud de investigaciones individuales o conjuntas, auditorías o reclamaciones, el coordinador de servicios digitales de establecimiento, por propia iniciativa o por indicación de la Junta, deberá supervisar cualquier medida que se adopte posteriormente por la plataforma en línea de muy gran tamaño afectada según lo establecido en su plan de acción. El coordinador de servicios digitales debe poder solicitar, cuando sea oportuno, que se lleve a cabo una auditoría específica adicional, con carácter voluntario, para determinar si esas medidas bastan para corregir la infracción. Al final de ese procedimiento, deberá comunicar a la Junta, a la Comisión y a la plataforma afectada si considera que esa plataforma ha corregido o no la infracción y especificar en particular la conducta pertinente y su evaluación de las medidas que se hayan adoptado. El coordinador de servicios digitales debe desempeñar su función conforme a este sistema común en el momento oportuno y teniendo debidamente en cuenta los dictámenes y otro asesoramiento de la Junta.

(96) Cuando la infracción de la disposición que se aplique exclusivamente a las plataformas en línea de muy gran tamaño no sea corregida de manera efectiva por esa plataforma de conformidad con el plan de acción, solo la Comisión podrá, por propia iniciativa o por indicación de la Junta, decidir que se investigue en mayor profundidad la infracción de que se trate y las medidas que la plataforma haya adoptado posteriormente, quedando excluido el coordinador de servicios digitales de establecimiento. Una vez realizadas las investigaciones necesarias, la Comisión deberá poder adoptar decisiones en las que señale una infracción e imponga sanciones a las plataformas en línea de muy gran tamaño cuando ello esté justificado. También debe tener la posibilidad de intervenir en situaciones transfronterizas cuando el coordinador de servicios digitales de establecimiento no haya adoptado ninguna medida pese a que la Comisión lo haya solicitado, o en situaciones en las que el propio coordinador de servicios digitales de establecimiento haya solicitado la intervención de la Comisión, con respecto a una infracción de cualquier otra disposición del presente Reglamento cometida por una plataforma en línea de muy gran tamaño.

(97) La Comisión debe mantener su libertad para decidir si desea intervenir o no en alguna de las situaciones en que está facultada para hacerlo en virtud del presente Reglamento. Una vez iniciado el procedimiento por la Comisión, debe excluirse la posibilidad de que los coordinadores de servicios digitales de establecimiento afectados ejerzan sus competencias de investigación y ejecución al respecto de la conducta pertinente de la plataforma en línea de muy gran tamaño afectada, a fin de evitar duplicaciones, incoherencias y riesgos desde el punto de vista del principio de non bis in idem. Sin embargo, en aras de la eficacia, no deberá excluirse la posibilidad de que esos coordinadores de servicios digitales ejerzan sus competencias, bien para ayudar a la Comisión, cuando esta lo solicite para el desempeño de sus funciones de supervisión, o bien al respecto de otras conductas, incluida una conducta de la misma plataforma en línea de muy gran tamaño que presuntamente constituya una nueva infracción. Esos coordinadores de servicios digitales, así como la Junta y otros coordinadores de servicios digitales cuando sea pertinente, deberán facilitar a la Comisión toda la información y la asistencia necesarias para que esta pueda desempeñar sus funciones de manera efectiva, mientras que, a la inversa, la Comisión deberá mantenerles informados del ejercicio de sus competencias según sea oportuno. En ese sentido, la Comisión deberá tener en cuenta, cuando proceda, cualquier evaluación pertinente realizada por la Junta o por los coordinadores de servicios digitales afectados y todas las pruebas e informaciones pertinentes que los mismos recaben, sin perjuicio de las competencias y la responsabilidad de la Comisión de llevar a cabo investigaciones adicionales cuando sea necesario.

(98) En vista de los problemas concretos que puedan surgir para asegurar el cumplimiento por parte de las plataformas en línea de muy gran tamaño y de la importancia de hacerlo de manera efectiva, tomando en consideración su dimensión e impacto y los perjuicios que pueden causar, la Comisión deberá poseer amplios poderes de investigación y ejecución que le permitan investigar, hacer cumplir y supervisar algunas de las normas estipuladas en el presente Reglamento, respetando plenamente el principio de proporcionalidad y los derechos e intereses de las partes afectadas.

(99) En particular, la Comisión debe tener acceso a cualquier documentación, datos e información pertinentes y necesarios para iniciar y llevar a cabo investigaciones, y para vigilar el cumplimiento de las obligaciones pertinentes estipuladas en el presente Reglamento, con independencia de quién sea el poseedor de la documentación, datos e información en cuestión, y sea cual sea su forma o formato, su medio de almacenamiento, o el lugar preciso en el que se conserven. La Comisión deberá poder exigir directamente que la plataforma en línea de muy gran tamaño afectada o terceros pertinentes, que no sean personas físicas, aporten pruebas, datos e informaciones pertinentes. Asimismo, la Comisión debe poder solicitar cualquier información pertinente a cualquier autoridad, organismo o agencia públicos del Estado miembro, o a cualquier persona física o jurídica para los fines del presente Reglamento. La Comisión debe estar facultada para exigir acceso y explicaciones relativas a bases de datos y los algoritmos de las personas pertinentes, y para entrevistar, con su consentimiento, a cualquier persona que pueda estar en posesión de información útil y levantar acta de las declaraciones efectuadas. La Comisión también debe estar facultada para llevar a cabo las inspecciones que sean necesarias para hacer cumplir las disposiciones pertinentes del presente Reglamento. Dichas competencias de investigación tienen por objeto complementar la posibilidad que tiene la Comisión de solicitar asistencia a los coordinadores de servicios digitales y a las autoridades de otros Estados miembros, por ejemplo, al facilitar información o en el ejercicio de tales competencias.

(100) El cumplimiento de las obligaciones pertinentes impuestas en virtud del presente Reglamento debe garantizarse mediante multas y multas coercitivas. A tal fin, también deben estipularse niveles adecuados para las multas y las multas coercitivas por el incumplimiento de las obligaciones y la violación de las normas de procedimiento, con sujeción a unos plazos de prescripción adecuados.

(101) Las plataformas en línea de muy gran tamaño afectadas y otras personas sujetas al ejercicio de las competencias de la Comisión cuyos intereses puedan verse afectados por una decisión deben tener la oportunidad de presentar sus observaciones de antemano, y las decisiones adoptadas deberán difundirse ampliamente. Al tiempo que se garantizan los derechos de defensa de las partes afectadas, y en particular el derecho de acceso al expediente, es esencial que se proteja la información confidencial. Además, siempre respetando la confidencialidad de la información, la Comisión debe asegurarse de que cualquier información en la que se base para adoptar su decisión se divulgue en la medida suficiente para que el destinatario de la decisión pueda entender los hechos y consideraciones que han llevado a adoptar la decisión.

(102) Por razones de eficacia y eficiencia, además de la evaluación general del Reglamento, que deberá llevarse a cabo antes de que se cumplan cinco años de su entrada en vigor, tras la fase de puesta en marcha inicial y basada en los tres primeros años de aplicación del presente Reglamento, la Comisión también deberá realizar una evaluación de las actividades de la Junta y de su estructura.

(103) A fin de garantizar unas condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo (49).

(104) Con el fin de cumplir los objetivos del presente Reglamento, el poder de adoptar actos de conformidad con el artículo 290 del Tratado debe delegarse en la Comisión de forma complementaria al presente Reglamento. En particular, deberán adoptarse actos delegados en relación con los criterios de identificación de las plataformas en línea de muy gran tamaño y de determinación de las especificaciones técnicas para las solicitudes de acceso. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas y que dichas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional sobre la mejora de la legislación, de 13 de abril de 2016. En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupan de la preparación de actos delegados.

(105) El presente Reglamento respeta los derechos fundamentales reconocidos en la Carta y los derechos fundamentales que constituyen principios generales del Derecho de la Unión. En consecuencia, el presente Reglamento ha de interpretarse y aplicarse de conformidad con tales derechos fundamentales, incluida la libertad de expresión e información, y la libertad y el pluralismo de los medios de comunicación. En el ejercicio de las competencias estipuladas en el presente Reglamento, todas las autoridades públicas implicadas deberán alcanzar, en situaciones en las que los derechos fundamentales pertinentes entren en conflicto, un equilibrio justo entre los derechos afectados, de conformidad con el principio de proporcionalidad.

(106) Dado que el objetivo del presente Reglamento, en concreto el correcto funcionamiento del mercado interior y garantizar un entorno en línea seguro, predecible y confiable en el que los derechos fundamentales consagrados en la Carta estén debidamente protegidos, no puede ser alcanzado suficientemente por los Estados miembros porque no pueden conseguir la armonización y cooperación necesarias actuando por sí solos, sino que se puede alcanzar mejor a escala de la Unión, por motivo de su ámbito de aplicación territorial y personal, la Unión podrá adoptar medidas, de conformidad con el principio de subsidiariedad estipulado en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad, enunciado en dicho artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

Capítulo I.- Disposiciones generales

Artículo 1.- Objeto y ámbito de aplicación

1.El presente Reglamento establece normas armonizadas sobre la prestación de servicios intermediarios en el mercado interior. En particular, establece:

a) un marco para la exención condicionada de responsabilidad de los prestadores de servicios intermediarios;

b) normas sobre obligaciones específicas de diligencia debida adaptadas a determinadas categorías específicas de prestadores de servicios intermediarios;

c) normas sobre aplicación y ejecución del presente Reglamento, por ejemplo, en relación con la cooperación y coordinación entre autoridades competentes.

2. El presente Reglamento tiene los siguientes fines:

a) contribuir al correcto funcionamiento del mercado interior de servicios intermediarios;

b) establecer unas normas uniformes para crear un entorno en línea seguro, predecible y confiable, en el que los derechos fundamentales consagrados en la Carta estén efectivamente protegidos.

3. El presente Reglamento se aplicará a los servicios intermediarios prestados a destinatarios del servicio que tengan su lugar de establecimiento o residencia en la Unión, con independencia del lugar de establecimiento de los prestadores de dichos servicios.

4. El presente Reglamento no se aplicará a ningún servicio que no sea un servicio intermediario ni a ningún requisito que se imponga al respecto de un servicio de esa índole, con independencia de si el servicio se presta mediante el uso de un servicio intermediario.

5. El presente Reglamento ha de entenderse sin perjuicio de las disposiciones establecidas en los siguientes instrumentos jurídicos:

a) la Directiva 2000/31/CE;

b) la Directiva 2010/13/CE;

c) el Derecho de la Unión en materia de derechos de autor y derechos conexos;

d) el Reglamento (UE) …/…. para la prevención de la difusión de contenidos terroristas en línea [completar una vez se adopte];

e) el Reglamento (UE) …./…. sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal y la Directiva (UE) …./…. por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales [pruebas electrónicas una vez se adopte];

f) el Reglamento (UE) 2019/1148;

g) el Reglamento (UE) 2019/1150;

h) el Derecho de la Unión en materia de protección del consumidor y seguridad de los productos, incluido el Reglamento (UE) 2017/2394;

i) el Derecho de la Unión en materia de protección de los datos personales, en particular el Reglamento (UE) 2016/679 y la Directiva 2002/58/CE.

Artículo 2.- Definiciones

A efectos del presente Reglamento, se entenderá por:

a) «servicios de la sociedad de la información»: todo servicio en el sentido del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535;

b) «destinatario del servicio»: toda persona física o jurídica que utilice el servicio intermediario pertinente;

c) «consumidor»: toda persona física que actúe con fines ajenos a su actividad comercial, negocio o profesión;

d) «ofrecer servicios en la Unión»: hacer posible que las personas físicas o jurídicas de uno o varios Estados miembros utilicen los servicios del prestador de servicios de la sociedad de la información que tenga una conexión sustancial con la Unión; se considerará que existe dicha conexión sustancial cuando el prestador tenga un establecimiento en la Unión; en ausencia de dicho establecimiento, la determinación de la conexión sustancial se basará en criterios objetivos específicos, como por ejemplo:

– un número significativo de usuarios en uno o varios Estados miembros, o

– que se dirijan actividades hacia uno o varios Estados miembros;

e) «comerciante»: toda persona física o jurídica, ya sea privada o pública, que actúe, incluso a través de otra persona que actúe en su nombre o en su representación, con fines relacionados con su actividad comercial, negocio, oficio o profesión;

f) «servicio intermediario»: uno de los siguientes servicios:

– un servicio de «mera transmisión» consistente en transmitir, en una red de comunicaciones, información facilitada por el destinatario del servicio o en facilitar acceso a una red de comunicaciones;

– un servicio de memoria tampón (caching) consistente en transmitir por una red de comunicaciones información facilitada por el destinatario del servicio, que conlleve el almacenamiento automático, provisional y temporal de esta información, con la única finalidad de hacer más eficaz la transmisión ulterior de la información a otros destinatarios del servicio, a petición de estos;

– un servicio de «alojamiento de datos» consistente en almacenar datos facilitados por el destinatario del servicio y a petición de este;

g) «contenido ilícito»: toda información que, por sí sola o en referencia a una actividad, incluida la venta de productos o la prestación de servicios, incumpla las leyes de la Unión o las leyes de un Estado miembro, sea cual sea el objeto o carácter concreto de esas leyes;

h) «plataforma en línea»: un prestador de un servicio de alojamiento de datos que, a petición de un destinatario del servicio, almacena y difunde al público información, salvo que esa actividad sea una característica menor y puramente auxiliar de otro servicio y, por razones objetivas y técnicas, no pueda utilizarse sin ese otro servicio, y la integración de la característica en el otro servicio no sea un medio para eludir la aplicabilidad del presente Reglamento;

i) «difusión al público»: poner información a disposición de un número potencialmente ilimitado de terceros a petición del destinatario del servicio que ha facilitado dicha información;

j) «contrato a distancia»: un contrato en el sentido del artículo 2, punto 7, de la Directiva 2011/83/UE;

k) «interfaz en línea»: todo programa informático, incluidos los sitios web o partes de sitios web, y las aplicaciones, incluidas las aplicaciones móviles;

l) «coordinador de servicios digitales de establecimiento»: el coordinador de servicios digitales del Estado miembro donde el prestador de un servicio intermediario esté establecido o su representante legal resida o esté establecido;

m) «coordinador de servicios digitales de destino»: el coordinador de servicios digitales de un Estado miembro donde se preste el servicio intermediario;

n) «publicidad»: información diseñada para promocionar el mensaje de una persona física o jurídica, con independencia de si trata de alcanzar fines comerciales o no comerciales, y presentada por una plataforma en línea en su interfaz en línea a cambio de una remuneración específica por la promoción de esa información;

o) «sistema de recomendación»: un sistema total o parcialmente automatizado y utilizado por una plataforma en línea para proponer en su interfaz en línea información específica para los destinatarios del servicio, por ejemplo, a consecuencia de una búsqueda iniciada por el destinatario o que determine de otro modo el orden relativo o la relevancia de la información presentada;

p) «moderación de contenidos»: actividades realizadas por los prestadores de servicios intermediarios destinadas a detectar, identificar y actuar contra contenidos ilícitos o información incompatible con sus condiciones, que los destinatarios del servicio hayan proporcionado, por ejemplo la adopción de medidas que afecten a la disponibilidad, visibilidad y accesibilidad de dicho contenido ilícito o de dicha información, como la relegación de la información, la inhabilitación del acceso a la misma o su retirada, o que afecten a la capacidad de los destinatarios del servicio de proporcionar dicha información, como la eliminación o suspensión de la cuenta de un destinatario del servicio;

q) «condiciones»: todas las condiciones o especificaciones, sea cual sea su nombre y forma, que rigen la relación contractual entre el prestador de servicios intermediarios y los destinatarios de los servicios.

Capítulo II.- Responsabilidad de los prestadores de servicios intermediarios

Artículo 3.- Mera transmisión

1. Cuando se preste un servicio de la sociedad de la información que consista en transmitir, en una red de comunicaciones, información facilitada por el destinatario del servicio o en facilitar el acceso a una red de comunicaciones, no se podrá considerar al prestador del servicio responsable de la información transmitida, a condición de que el prestador del servicio:

a) no haya originado él mismo la transmisión;

b) no seleccione al receptor de la transmisión; y

c) no seleccione ni modifique la información transmitida.

2. Las actividades de transmisión y concesión de acceso enumeradas en el apartado 1 engloban el almacenamiento automático, provisional y transitorio de la información transmitida, siempre que dicho almacenamiento se realice con la única finalidad de ejecutar la transmisión en la red de comunicaciones y que su duración no supere el tiempo razonablemente necesario para dicha transmisión.

3. El presente artículo no afectará a la posibilidad de que un tribunal o una autoridad administrativa, de conformidad con los sistemas jurídicos de los Estados miembros, exija al prestador de servicios que ponga fin a una infracción o que la impida.

Artículo 4.- Memoria tampón (Caching)

1. Cuando se preste un servicio de la sociedad de la información consistente en transmitir por una red de comunicaciones información facilitada por un destinatario del servicio, el prestador del servicio no podrá ser considerado responsable del almacenamiento automático, provisional y temporal de esta información, realizado con la única finalidad de hacer más eficaz la transmisión ulterior de la información a otros destinatarios del servicio, a petición de estos, a condición de que:

a) el prestador de servicios no modifique la información;

b) el prestador de servicios cumpla las condiciones de acceso a la información;

c) el prestador de servicios cumpla las normas relativas a la actualización de la información, especificadas de una manera ampliamente reconocida y utilizada por el sector;

d) el prestador de servicios no interfiera en la utilización lícita de tecnología, ampliamente reconocida y utilizada por el sector, con el fin de obtener datos sobre la utilización de la información; y

e) el prestador de servicios actúe con prontitud para retirar la información que haya almacenado, o inhabilitar el acceso a la misma, en cuanto tenga conocimiento efectivo del hecho de que la información contenida en la fuente inicial de la transmisión ha sido retirada de la red, de que se ha inhabilitado el acceso a dicha información o de que un tribunal o una autoridad administrativa ha ordenado retirarla o impedir que se acceda a ella.

2. El presente artículo no afectará a la posibilidad de que un tribunal o una autoridad administrativa, de conformidad con los sistemas jurídicos de los Estados miembros, exija al prestador de servicios que ponga fin a una infracción o que la impida.

Artículo 5.- Alojamiento de datos

1. Cuando se preste un servicio de la sociedad de la información consistente en almacenar información facilitada por un destinatario del servicio, el prestador de servicios no podrá ser considerado responsable de los datos almacenados a petición del destinatario, a condición de que el prestador de servicios:

a) no tenga conocimiento efectivo de una actividad ilícita o de un contenido ilícito y, en lo que se refiere a una acción por daños y perjuicios, no tenga conocimiento de hechos o circunstancias por los que la actividad o el contenido revele su carácter ilícito, o de que

b) en cuanto tenga conocimiento de estos puntos, el prestador de servicios actúe con prontitud para retirar el contenido ilícito o inhabilitar el acceso al mismo.

2. El apartado 1 no se aplicará cuando el destinatario del servicio actúe bajo la autoridad o el control del prestador de servicios.

3. El apartado 1 no se aplicará con respecto a la responsabilidad, en virtud de la legislación de protección al consumidor, de las plataformas en línea que permitan que los consumidores formalicen contratos a distancia con comerciantes, cuando dicha plataforma en línea presente el elemento de información concreto, o haga posible de otro modo la transacción concreta de que se trate, de manera que pueda inducir a un consumidor medio y razonablemente bien informado a creer que esa información, o el producto o servicio que sea el objeto de la transacción, se proporcione por la propia plataforma en línea o por un destinatario del servicio que actúe bajo su autoridad o control.

4. El presente artículo no afectará a la posibilidad de que un tribunal o una autoridad administrativa, de conformidad con los sistemas jurídicos de los Estados miembros, exija al prestador de servicios que ponga fin a una infracción o que la impida.

Artículo 6.- Investigaciones voluntarias por iniciativa propia y cumplimiento de la legislación

Los prestadores de servicios intermediarios no serán considerados inelegibles para acogerse a las exenciones de responsabilidad a que se refieren los artículos 3, 4 y 5 por la única razón de que realicen investigaciones por iniciativa propia u otras actividades de forma voluntaria con el fin de detectar, identificar y retirar contenidos ilícitos, o inhabilitar el acceso a los mismos, o adoptar las medidas necesarias para cumplir los requisitos del Derecho de la Unión, incluidos los estipulados en el presente Reglamento.

Artículo 7.- Inexistencia de obligación general de supervisión o de búsqueda activa de hechos

No se impondrá a los prestadores de servicios intermediarios ninguna obligación general de supervisar los datos que transmitan o almacenen, ni de buscar activamente hechos o circunstancias que indiquen la existencia de actividades ilícitas.

Artículo 8.- Órdenes de actuación contra contenidos ilícitos

1. Los prestadores de servicios intermediarios, cuando reciban una orden de actuación contra un elemento concreto de contenido ilícito, dictada por las autoridades judiciales o administrativas nacionales pertinentes, en virtud del Derecho de la Unión o nacional aplicable, de conformidad con el Derecho de la Unión, informarán a la autoridad que haya dictado la orden, sin dilaciones indebidas, acerca de su aplicación y especificarán las actuaciones realizadas y el momento en que se realizaron.

2. Los Estados miembros velarán por que las órdenes a que se refiere el apartado 1 cumplan las siguientes condiciones:

a) que las órdenes contengan los siguientes elementos:

– una exposición de motivos en la que se explique por qué la información es un contenido ilícito, haciendo referencia a la disposición específica del Derecho de la Unión o nacional que se haya infringido;

– uno o varios localizadores uniformes de recursos (URL) exactos y, en su caso, información adicional que permita identificar el contenido ilícito de que se trate;

– información acerca de las vías de recurso disponibles para el prestador del servicio y para el destinatario del servicio que haya proporcionado el contenido;

b) que el ámbito de aplicación territorial de la orden, en virtud de las disposiciones aplicables del Derecho de la Unión y nacional, incluida la Carta y, en su caso, los principios generales del Derecho internacional, no exceda de lo estrictamente necesario para alcanzar su objetivo;

c) que la orden se redacte en la lengua declarada por el prestador y se envíe al punto de contacto designado por el prestador, de conformidad con el artículo 10.

3. El coordinador de servicios digitales del Estado miembro de la autoridad judicial o administrativa que dicte la orden transmitirá, sin dilaciones indebidas, una copia de las órdenes a que se refiere el apartado 1 a todos los demás coordinadores de servicios digitales a través del sistema establecido de conformidad con el artículo 67.

4. Las condiciones y los requisitos estipulados en el presente artículo se entenderán sin perjuicio de los requisitos establecidos en el Derecho procesal penal nacional de conformidad con el Derecho de la Unión.

Artículo 9.- Órdenes de entrega de información

1. Los prestadores de servicios intermediarios, cuando reciban una orden de entrega de un elemento de información concreto acerca de uno o varios destinatarios concretos del servicio, dictada por las autoridades judiciales o administrativas nacionales pertinentes en virtud del Derecho de la Unión o nacional aplicable, de conformidad con el Derecho de la Unión, informarán a la autoridad que haya dictado la orden, sin dilaciones indebidas, acerca de su recepción y aplicación.

2. Los Estados miembros velarán por que las órdenes a que se refiere el apartado 1 cumplan las siguientes condiciones:

a) que la orden contenga los siguientes elementos:

– una exposición de motivos en la que se explique con qué fin se requiere la información y por qué el requisito de entrega de la información es necesario y proporcionado para determinar el cumplimiento de las normas de la Unión o nacionales aplicables por parte de los destinatarios de los servicios intermediarios, salvo que no se pueda aportar dicha exposición por razones relacionadas con la prevención, investigación, detección y enjuiciamiento de delitos;

– información acerca de las vías de recurso disponibles para el prestador y para los destinatarios del servicio de que se trate;

b) que la orden solo requiera que el prestador aporte información ya recabada para los fines de la prestación del servicio y que esté bajo su control;

c) que la orden se redacte en la lengua declarada por el prestador y se envíe al punto de contacto designado por dicho prestador, de conformidad con el artículo 10.

3. El coordinador de servicios digitales del Estado miembro de la autoridad nacional judicial o administrativa que dicte la orden transmitirá, sin dilaciones indebidas, una copia de la orden a que se refiere el apartado 1 a todos los coordinadores de servicios digitales a través del sistema establecido de conformidad con el artículo 67.

4. Las condiciones y los requisitos estipulados en el presente artículo se entenderán sin perjuicio de los requisitos establecidos en el Derecho procesal penal nacional de conformidad con el Derecho de la Unión.

Capítulo III.- Obligaciones de diligencia debida para crear un entorno en línea transparente y seguro

Sección 1.- Disposiciones aplicables a todos los prestadores de servicios intermediarios

Artículo 10.- Puntos de contacto

1. Los prestadores de servicios intermediarios establecerán un punto único de contacto que permita la comunicación directa, por vía electrónica, con las autoridades de los Estados miembros, con la Comisión y con la Junta a que se refiere el artículo 47 con respecto a la aplicación del presente Reglamento.

2. Los prestadores de servicios intermediarios harán pública la información necesaria para identificar a sus puntos únicos de contacto y comunicarse con ellos fácilmente.

3. Los prestadores de servicios intermediarios especificarán, en la información a que se refiere el apartado 2, la lengua o lenguas oficiales de la Unión que puedan utilizarse en las comunicaciones con sus puntos de contacto y que incluirán al menos una de las lenguas oficiales del Estado miembro en que el prestador de servicios intermediarios tenga su establecimiento principal o donde su representante legal resida o esté establecido.

Artículo 11.- Representantes legales

1. Los prestadores de servicios intermediarios que no tengan un establecimiento en la Unión pero que ofrezcan servicios en la Unión designarán, por escrito, a una persona física o jurídica como su representante legal en uno de los Estados miembros donde el prestador ofrezca sus servicios.

2. Los prestadores de servicios intermediarios mandatarán a sus representantes legales, además o en lugar del prestador, como destinatarios de las comunicaciones enviadas por las autoridades de los Estados miembros, la Comisión y la Junta sobre todas las cuestiones necesarias para la recepción, el cumplimiento y la ejecución de las decisiones adoptadas en relación con el presente Reglamento. Los prestadores de servicios intermediarios otorgarán a su representante legal las facultades y los recursos necesarios para cooperar con las autoridades de los Estados miembros, la Comisión y la Junta y cumplir esas decisiones.

3. Se podrán exigir responsabilidades al representante legal designado por el incumplimiento de las obligaciones estipuladas en el presente Reglamento, sin perjuicio de la responsabilidad del prestador de servicios intermediarios y de las acciones legales que puedan iniciarse contra este.

4. Los prestadores de servicios intermediarios notificarán el nombre, el domicilio, la dirección de correo electrónico y el número de teléfono de su representante legal al coordinador de servicios digitales del Estado miembro donde dicho representante legal resida o esté establecido. Se asegurarán de que esa información se mantenga actualizada.

5. La designación de un representante legal en la Unión en virtud del apartado 1 no equivaldrá a un establecimiento en la Unión.

Artículo 12.- Condiciones

1. Los prestadores de servicios intermediarios incluirán en sus condiciones información sobre cualquier restricción que impongan en relación con el uso de su servicio al respecto de la información proporcionada por los destinatarios del servicio. Dicha información abarcará información sobre todo tipo de políticas, procedimientos, medidas y herramientas que se utilicen con fines de moderación de contenidos, incluidas las decisiones algorítmicas y la revisión humana. Se expondrá en lenguaje claro e inequívoco y se hará pública en un formato fácilmente accesible.

2. Los prestadores de servicios intermediarios actuarán de manera diligente, objetiva y proporcionada para aplicar y ejecutar las restricciones a que se refiere el apartado 1, con la debida consideración de los derechos e intereses legítimos de todas las partes implicadas, incluidos los derechos fundamentales aplicables de los destinatarios del servicio consagrados en la Carta.

Artículo 13.- Obligaciones de transparencia informativa de los prestadores de servicios intermediarios

1. Los prestadores de servicios intermediarios publicarán, al menos una vez al año, informes claros, detallados y fácilmente comprensibles sobre cualquier actividad de moderación de contenidos que hayan realizado durante el período pertinente. Esos informes incluirán, en particular, información sobre lo siguiente, según proceda:

a) el número de órdenes recibidas de las autoridades de los Estados miembros, categorizadas según el tipo de contenido ilícito de que se trate, incluidas las órdenes dictadas de conformidad con los artículos 8 y 9, y el tiempo medio necesario para llevar a cabo la actuación especificada en dichas órdenes;

b) el número de avisos enviados de conformidad con el artículo 14, categorizados según el tipo de contenido presuntamente ilícito de que se trate, cualquier actuación que se haya llevado a cabo en virtud de dichos avisos distinguiendo si se hizo conforme a la legislación o a las condiciones del prestador, y el tiempo medio necesario para llevarla a cabo;

c) la actividad de moderación de contenidos realizada por iniciativa propia del prestador, incluido el número y tipo de medidas adoptadas que afecten a la disponibilidad, visibilidad y accesibilidad de la información proporcionada por los destinatarios del servicio y a la capacidad de los destinatarios para proporcionar información, categorizada según el tipo de motivo y fundamento para adoptar esas medidas;

d) el número de reclamaciones recibidas a través del sistema interno de tramitación de reclamaciones a que se refiere el artículo 17, el fundamento de dichas reclamaciones, las decisiones adoptadas al respecto de dichas reclamaciones, el tiempo medio necesario para adoptar dichas decisiones y el número de casos en que se revirtieron dichas decisiones.

2. El apartado 1 no se aplicará a los prestadores de servicios intermediarios que sean microempresas o pequeñas empresas en el sentido del anexo de la Recomendación 2003/361/CE.

Sección 2.- Disposiciones adicionales aplicables a los prestadores de servicios de alojamiento de datos, incluidas las plataformas en línea

Artículo 14.- Mecanismos de notificación y acción

1. Los prestadores de servicios de alojamiento de datos establecerán mecanismos que permitan que cualquier persona física o entidad les notifique la presencia en su servicio de elementos de información concretos que esa persona física o entidad considere contenidos ilícitos. Dichos mecanismos serán de fácil acceso y manejo, y permitirán el envío de avisos exclusivamente por vía electrónica.

2. Los mecanismos mencionados en el apartado 1 serán tales que faciliten el envío de avisos suficientemente precisos y adecuadamente fundamentados, de acuerdo con los cuales un operador económico diligente pueda determinar la ilicitud del contenido en cuestión. Con ese fin, los prestadores adoptarán las medidas necesarias para habilitar y facilitar el envío de avisos que contengan todos los elementos siguientes:

a) una explicación de los motivos por los que una persona física o entidad considera que la información en cuestión es contenido ilícito;

b) una indicación clara de la localización electrónica de esa información, en particular la(s) URL exacta(s) y, en su caso, información adicional que permita detectar el contenido ilícito;

c) el nombre y una dirección de correo electrónico de la persona física o entidad que envíe el aviso, excepto en el caso de información que se considere que implica uno de los delitos a que se refieren los artículos 3 a 7 de la Directiva 2011/93/UE;

d) una declaración que confirme que la persona física o entidad que envíe el aviso está convencida de buena fe de que la información y las alegaciones que dicho aviso contiene son precisas y completas.

3. Se considerará que los avisos que incluyan los elementos a que se refiere el apartado 2 confieren un conocimiento efectivo para los efectos del artículo 5 al respecto del elemento de información concreto de que se trate.

4. Cuando el aviso contenga el nombre y la dirección de correo electrónico de la persona física o entidad que lo envíe, el prestador de servicios de alojamiento enviará de inmediato un acuse de recibo del aviso a dicha persona física o entidad.

5. El prestador también notificará a esa persona física o entidad, sin dilaciones indebidas, su decisión al respecto de la información a que se refiera el aviso e incluirá información sobre las vías de recurso disponibles al respecto de esa decisión.

6. Los prestadores de servicios de alojamiento de datos tramitarán los avisos que reciban a través de los mecanismos a que se refiere el apartado 1, y adoptarán sus decisiones al respecto de la información a que se refieran tales avisos, de manera oportuna, diligente y objetiva. Cuando utilicen medios automatizados para dicha tramitación o decisión, incluirán información sobre dicho uso en la notificación a que se refiere el apartado 4.

Artículo 15.- Exposición de motivos

1. Cuando un prestador de servicios de alojamiento de datos decida retirar elementos de información concretos proporcionados por los destinatarios del servicio, o inhabilitar el acceso a los mismos, con independencia de los medios utilizados para detectar, identificar o retirar dicha información o inhabilitar el acceso a la misma y del motivo de su decisión, comunicará la decisión al destinatario del servicio, a más tardar en el momento de la retirada o inhabilitación del acceso, y aportará una exposición clara y específica de los motivos de tal decisión.

2. La exposición de motivos a que se refiere el apartado 1 contendrá al menos la siguiente información:

a) si la decisión conlleva la retirada de la información, o la inhabilitación del acceso a la misma, y, cuando proceda, el ámbito territorial de la inhabilitación del acceso;

b) los hechos y circunstancias en que se ha basado la adopción de la decisión, que incluirán, en su caso, si la decisión se ha adoptado en respuesta a un aviso enviado de conformidad con el artículo 14;

c) en su caso, información sobre el uso de medios automatizados para adoptar la decisión, que incluirá si la decisión se ha adoptado al respecto de contenidos detectados o identificados utilizando medios automatizados;

d) cuando la decisión se refiera a contenidos presuntamente ilícitos, una referencia al fundamento legal utilizado y explicaciones de por qué la información se considera contenido ilícito conforme a tal fundamento;

e) cuando la decisión se base en la presunta incompatibilidad de la información con las condiciones del prestador, una referencia al fundamento contractual utilizado y explicaciones de por qué la información se considera incompatible con tal fundamento;

f) información sobre las posibilidades de recurso disponibles para el destinatario del servicio al respecto de la decisión, en particular a través de los mecanismos internos de tramitación de reclamaciones, resolución extrajudicial de litigios y recurso judicial.

3. La información facilitada por los prestadores de los servicios de alojamiento de datos de conformidad con el presente artículo será clara y fácil de comprender, y tan precisa y específica como sea razonablemente posible en las circunstancias concretas. En particular, la información será de tal naturaleza que permita razonablemente al destinatario del servicio afectado ejercer de manera efectiva las posibilidades de recurso a que se refiere la letra f) del apartado 2.

4. Los prestadores de servicios de alojamiento de datos publicarán las decisiones y las exposiciones de motivos a que se refiere el apartado 1 en una base de datos de acceso público gestionada por la Comisión. Dicha información no contendrá datos personales.

Sección 3.- Disposiciones adicionales aplicables a las plataformas en línea

Artículo 16.- Exclusión de microempresas y pequeñas empresas

Esta sección no se aplicará a las plataformas en línea que sean microempresas o pequeñas empresas en el sentido del anexo de la Recomendación 2003/361/CE.

Artículo 17.- Sistema interno de tramitación de reclamaciones

1. Las plataformas en línea facilitarán a los destinatarios del servicio, durante un período mínimo de seis meses desde la decisión a que se refiere este apartado, acceso a un sistema interno eficaz de tramitación de reclamaciones, que permita presentar las reclamaciones por vía electrónica y de forma gratuita, contra las siguientes decisiones adoptadas por la plataforma en línea sobre la base de que la información proporcionada por los destinatarios del servicio es contenido ilícito o incompatible con sus condiciones:

a) las decisiones de retirar la información o inhabilitar el acceso a la misma;

b) las decisiones de suspender o cesar la prestación del servicio, en todo o en parte, a los destinatarios;

c) las decisiones de suspender o eliminar la cuenta de los destinatarios.

2. Las plataformas en línea velarán por que sus sistemas internos de tramitación de reclamaciones sean de fácil acceso y manejo y habiliten y faciliten el envío de reclamaciones suficientemente precisas y adecuadamente fundamentadas.

3. Las plataformas en línea tramitarán las reclamaciones enviadas a través de su sistema interno de tramitación de reclamaciones de manera oportuna, diligente y objetiva. Cuando una reclamación contenga motivos suficientes para que la plataforma en línea considere que la información a que se refiere la reclamación no es ilícita ni incompatible con sus condiciones, o contenga información que indique que la conducta del reclamante no justifica la suspensión o el cese del servicio ni la suspensión o eliminación de la cuenta, revertirá la decisión a que se refiere el apartado 1 sin dilaciones indebidas.

4. Las plataformas en línea comunicarán a los reclamantes, sin dilaciones indebidas, la decisión que hayan tomado al respecto de la información a que se refiera la reclamación e informarán a los reclamantes de la posibilidad de resolución extrajudicial de litigios recogida en el artículo 18 y otras posibilidades de recurso de que dispongan.

5. Las plataformas en línea velarán por que las decisiones a que se refiere el apartado 4 no se adopten exclusivamente por medios automatizados.

Artículo 18.- Resolución extrajudicial de litigios

1. Los destinatarios del servicio a quienes van destinadas las decisiones a que se refiere el artículo 17, apartado 1, tendrán derecho a elegir cualquier órgano de resolución extrajudicial de litigios que haya sido certificado de conformidad con el apartado 2 para resolver litigios relativos a esas decisiones, incluidas las reclamaciones que no hayan podido resolverse a través del sistema interno de tramitación de reclamaciones mencionado en dicho artículo. Las plataformas en línea tratarán de buena fe con el órgano seleccionado con miras a resolver el litigio y quedarán vinculadas por la decisión que dicho órgano adopte.

El párrafo primero ha de entenderse sin perjuicio del derecho del destinatario afectado a recurrir la decisión ante un tribunal de conformidad con la legislación aplicable.

2. El coordinador de servicios digitales del Estado miembro donde el órgano de resolución extrajudicial de litigios esté establecido certificará a dicho órgano, a petición de este, cuando el mismo haya demostrado cumplir todas las condiciones siguientes:

a) que es imparcial e independiente de las plataformas en línea y de los destinatarios del servicio prestado por las plataformas en línea;

b) que tiene los conocimientos necesarios en relación con las cuestiones planteadas en uno o varios aspectos concretos de los contenidos ilícitos, o en relación con la aplicación y ejecución de las condiciones de uno o varios tipos de plataformas en línea, para poder contribuir de manera eficaz a la resolución de un litigio;

c) que el mecanismo de resolución de litigios es fácilmente accesible a través de tecnologías de comunicación electrónicas;

d) que es capaz de resolver litigios de manera rápida, eficiente y eficaz en términos de costes y al menos en una lengua oficial de la Unión;

e) que la resolución del litigio se lleva a cabo con arreglo a unas normas de procedimiento claras y justas.

El coordinador de servicios digitales, en su caso, especificará en el certificado las cuestiones concretas a las que se refieren los conocimientos del órgano y la lengua o lenguas oficiales de la Unión en las que el órgano es capaz de resolver litigios, como se indica respectivamente en las letras b) y d) del párrafo primero.

3. Si el órgano resuelve el litigio en favor del destinatario del servicio, la plataforma en línea reembolsará al destinatario los honorarios y otros gastos razonables que el destinatario haya desembolsado o deba desembolsar en relación con la resolución del litigio. Si el órgano resuelve el litigio en favor de la plataforma en línea, el destinatario no estará obligado a reembolsar los honorarios u otros gastos que la plataforma en línea haya desembolsado o deba desembolsar en relación con la resolución del litigio.

Los honorarios percibidos por el órgano por la resolución del litigio serán razonables y en ningún caso serán superiores a sus costes.

Los órganos certificados de resolución extrajudicial de litigios comunicarán sus honorarios, o los mecanismos utilizados para determinar sus honorarios, al destinatario de los servicios y a la plataforma en línea afectada antes de iniciar la resolución del litigio.

4. Los Estados miembros podrán establecer órganos de resolución extrajudicial de litigios para los fines del apartado 1 o colaborar en las actividades de todos o algunos de los órganos de resolución extrajudicial de litigios que hayan certificado de conformidad con el apartado 2.

Los Estados miembros velarán por que ninguna de las actividades que lleven a cabo de conformidad con el párrafo primero afecte a la capacidad de sus coordinadores de servicios digitales para certificar a los órganos de que se trate de conformidad con el apartado 2.

5. Los coordinadores de servicios digitales notificarán a la Comisión los órganos de resolución extrajudicial de litigios que hayan certificado de conformidad con el apartado 2, indicando, en su caso, las especificaciones a que se refiere el párrafo segundo de ese apartado. La Comisión publicará una lista de esos órganos, incluidas dichas especificaciones, en un sitio web destinado a tal fin, y la mantendrán actualizada.

6. El presente artículo ha de entenderse sin perjuicio de la Directiva 2013/11/UE y de los procedimientos y entidades de resolución alternativa de litigios para los consumidores establecidos en virtud de dicha Directiva.

Artículo 19.- Alertadores fiables

1. Las plataformas en línea adoptarán las medidas técnicas y organizativas necesarias para asegurarse de que los avisos enviados por los alertadores fiables, a través de los mecanismos a que se refiere el artículo 14, se tramiten y resuelvan de forma prioritaria y sin dilación.

2. La condición de alertador fiable en virtud del presente Reglamento será otorgada, previa solicitud de las entidades que lo deseen, por el coordinador de servicios digitales del Estado miembro donde el solicitante esté establecido, cuando este haya demostrado cumplir todas las condiciones siguientes:

a) poseer conocimientos y competencias específicos para detectar, identificar y notificar contenidos ilícitos;

b) representar intereses colectivos y no depender de ninguna plataforma en línea;

c) realizar sus actividades con el fin de enviar avisos de manera oportuna, diligente y objetiva.

3. Los coordinadores de servicios digitales comunicarán a la Comisión y a la Junta los nombres, domicilios y direcciones de correo electrónico de las entidades a las que hayan otorgado la condición de alertador fiable de conformidad con el apartado 2.

4. La Comisión publicará la información a que se refiere el apartado 3 en una base de datos pública y mantendrá dicha base de datos actualizada.

5. Cuando una plataforma en línea posea información que indique que un alertador fiable ha enviado un número significativo de avisos insuficientemente precisos o inadecuadamente fundamentados a través de los mecanismos a que se refiere el artículo 14, incluida información recabada en relación con la tramitación de reclamaciones a través de los sistemas internos de tramitación de reclamaciones a que se refiere el artículo 17, apartado 3, comunicará dicha información al coordinador de servicios digitales que haya otorgado la condición de alertador fiable a la entidad en cuestión y aportará las explicaciones y los documentos justificativos que sean necesarios.

6. El coordinador de servicios digitales que haya otorgado la condición de alertador fiable a una entidad revocará dicha condición si determina, a raíz de una investigación realizada por iniciativa propia o basada en información recibida de terceros, incluida la información proporcionada por una plataforma en línea en virtud del apartado 5, que esa entidad ya no cumple las condiciones estipuladas en el apartado 2. Antes de revocar esa condición, el coordinador de servicios digitales dará a la entidad una oportunidad de reaccionar a las conclusiones de su investigación y a su intención de revocar la condición de alertador fiable de esa entidad.

7. La Comisión, previa consulta con la Junta, podrá ofrecer orientaciones que guíen a las plataformas en línea y a los coordinadores de servicios digitales en la aplicación de los apartados 5 y 6.

Artículo 20.- Medidas y protección contra usos indebidos

1. Las plataformas en línea suspenderán, durante un período razonable y después de haber realizado una advertencia previa, la prestación de sus servicios a los destinatarios del servicio que proporcionen con frecuencia contenidos manifiestamente ilícitos.

2. Las plataformas en línea suspenderán, durante un período razonable y después de haber realizado una advertencia previa, la tramitación de avisos y reclamaciones enviados a través de los mecanismos de notificación y acción y los sistemas internos de tramitación de reclamaciones a que se refieren los artículos 14 y 17, respectivamente, por personas físicas o entidades o por reclamantes que envíen con frecuencia avisos o reclamaciones que sean manifiestamente infundados.

3. Las plataformas en línea evaluarán, caso por caso y de manera oportuna, diligente y objetiva, si un destinatario, persona física, entidad o reclamante efectúa los usos indebidos a que se refieren los apartados 1 y 2, teniendo en cuenta todos los hechos y circunstancias pertinentes que se aprecien a partir de la información de que disponga la plataforma en línea. Tales circunstancias incluirán, como mínimo, lo siguiente:

a) las cifras absolutas de elementos de contenido manifiestamente ilícitos o avisos o reclamaciones manifiestamente infundados, que se hayan enviado el año anterior;

b) su proporción relativa en relación con la cifra total de elementos de información proporcionados o avisos enviados el año anterior;

c) la gravedad de los usos indebidos y sus consecuencias;

d) la intención del destinatario, persona física, entidad o reclamante.

4.Las plataformas en línea expondrán en sus condiciones, de manera clara y detallada, su política al respecto de los usos indebidos a que se refieren los apartados 1 y 2, también en relación con los hechos y circunstancias que tengan en cuenta para evaluar si un determinado comportamiento constituye uso indebido y la duración de la suspensión.

Artículo 21.- Notificación de sospechas de delitos

1.Cuando una plataforma en línea tenga conocimiento de cualquier información que le haga sospechar que se ha cometido, se está cometiendo o es probable que se cometa un delito grave que implique una amenaza para la vida o la seguridad de las personas, comunicará su sospecha de inmediato a las autoridades policiales o judiciales del Estado miembro o Estados miembros afectados y aportará toda la información pertinente de que disponga.

2. Cuando la plataforma en línea no pueda determinar con una seguridad razonable cuál es el Estado miembro afectado, informará a las autoridades policiales del Estado miembro en que esté establecido o tenga su representante legal o bien informará a Europol.

Para los fines del presente artículo, el Estado miembro afectado será el Estado miembro en el que se sospeche que se ha cometido, se está cometiendo o es probable que se cometa el delito, o el Estado miembro donde resida o se encuentre el presunto delincuente, o el Estado miembro donde resida o se encuentre la víctima del presunto delito.

Artículo 22.- Trazabilidad de los comerciantes

1. Cuando una plataforma en línea permita a los consumidores formalizar contratos a distancia con comerciantes, se asegurará de que los comerciantes solo puedan utilizar sus servicios para promocionar mensajes o realizar ofertas sobre productos o servicios a los consumidores localizados en la Unión si, previamente al uso de sus servicios, la plataforma en línea ha obtenido la siguiente información:

a) el nombre, la dirección, el número de teléfono y la dirección de correo electrónico del comerciante;

b) una copia del documento de identificación del comerciante o cualquier otra identificación electrónica con arreglo a la definición del artículo 3 del Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo (50);

c) los datos bancarios del comerciante, cuando el comerciante sea una persona física;

d) el nombre, el domicilio, el número de teléfono y la dirección de correo electrónico del operador económico, en el sentido del artículo 3, apartado 13, y el artículo 4 del Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo (51) o cualquier acto pertinente del Derecho de la Unión;

e) cuando el comerciante esté inscrito en un registro mercantil o registro público análogo, el registro mercantil en el que dicho comerciante esté inscrito y su número de registro o medio equivalente de identificación en ese registro;

f) una certificación del propio comerciante por la que se comprometa a ofrecer exclusivamente productos o servicios que cumplan con las disposiciones aplicables del Derecho de la Unión.

2. Una vez recibida esa información, la plataforma en línea hará esfuerzos razonables para evaluar si la información a que se refieren las letras a), d) y e) del apartado 1 es fiable mediante el uso de cualquier base de datos en línea o interfaz en línea oficial de libre acceso puesta a disposición por un Estado miembro o por la Unión o solicitando al comerciante que aporte documentos justificativos de fuentes fiables.

3. Cuando la plataforma en línea obtenga indicaciones de que alguno de los elementos de información a que se refiere el apartado 1 obtenido del comerciante en cuestión es inexacto o incompleto, dicha plataforma solicitará al comerciante que corrija la información en la medida en que sea necesario para garantizar que toda la información sea exacta y completa, sin dilación o en el plazo marcado por el Derecho de la Unión y nacional.

Cuando el comerciante no corrija o complete dicha información, la plataforma en línea suspenderá la prestación de su servicio al comerciante hasta que se atienda la solicitud.

4. La plataforma en línea conservará la información obtenida con arreglo a los apartados 1 y 2 de manera segura durante todo el tiempo que mantenga su relación contractual con el comerciante en cuestión. Posteriormente suprimirá la información.

5. Sin perjuicio de lo dispuesto en el apartado 2, la plataforma solo revelará la información a terceros cuando así lo requiera la legislación aplicable, incluidas las órdenes a que se refiere el artículo 9 y cualquier orden dictada por las autoridades competentes de los Estados miembros o la Comisión para el desempeño de sus funciones en virtud del presente Reglamento.

6. La plataforma en línea pondrá la información a que se refieren las letras a), d), e) y f) del apartado 1 a disposición de los destinatarios del servicio, de manera clara, fácilmente accesible y comprensible.

7. La plataforma en línea diseñará y organizará su interfaz en línea de manera que los comerciantes puedan cumplir con sus obligaciones en relación con la información precontractual y la información de seguridad del producto en virtud del Derecho de la Unión aplicable.

Artículo 23.- Obligaciones de transparencia informativa de los prestadores de plataformas en línea

1. Además de la información a que se refiere el artículo 13, las plataformas en línea incluirán en los informes a que se refiere dicho artículo información sobre lo siguiente:

a) el número de litigios presentados ante los órganos de resolución extrajudicial de litigios a que se refiere el artículo 18, los resultados de la resolución de los litigios y el tiempo medio necesario para completar los procedimientos de resolución de los litigios;

b) el número de suspensiones impuestas en virtud del artículo 20, distinguiendo entre suspensiones aplicadas por proporcionar contenido manifiestamente ilegal, enviar avisos manifiestamente infundados y enviar reclamaciones manifiestamente infundadas;

c) el uso de medios automáticos con fines de moderación de contenidos, incluida una especificación de los fines precisos, los indicadores de la precisión de los medios automatizados para cumplir dichos fines y las salvaguardias aplicadas.

2. Las plataformas en línea publicarán, al menos una vez cada seis meses, información sobre el número medio mensual de destinatarios del servicio activos en cada Estado miembro, calculado como promedio de los seis últimos meses, de conformidad con la metodología estipulada en los actos delegados adoptados en virtud del artículo 25, apartado 2.

3. Las plataformas en línea comunicarán al coordinador de servicios digitales de establecimiento, a petición de este, la información a que se refiere el apartado 2, actualizada hasta el momento de efectuarse tal petición. Dicho coordinador de servicios digitales podrá exigir a la plataforma en línea que proporcione información adicional en relación con el cálculo a que se refiere dicho apartado, con explicaciones y justificaciones de los datos utilizados. Dicha información no incluirá datos personales.

4. La Comisión podrá adoptar actos de ejecución para establecer modelos de forma, contenido y otros detalles de los informes elaborados en virtud del apartado 1.

Artículo 24.- Transparencia sobre la publicidad en línea

Las plataformas en línea que presenten publicidad en sus interfaces en línea se asegurarán de que los destinatarios del servicio puedan conocer, por cada anuncio publicitario concreto presentado a cada destinatario específico, de manera clara e inequívoca y en tiempo real:

a) que la información presentada es un anuncio publicitario;

b) la persona física o jurídica en cuyo nombre se presenta el anuncio publicitario;

c) información significativa acerca de los principales parámetros utilizados para determinar el destinatario a quién se presenta el anuncio publicitario.

Sección 4.- Obligaciones adicionales de gestión de riesgos sistémicos para plataformas en línea de muy gran tamaño

Artículo 25.- Plataformas en línea de muy gran tamaño

1. Esta sección se aplicará a las plataformas en línea que presten sus servicios a un número medio mensual de destinatarios del servicio activos en la Unión igual o superior a cuarenta y cinco millones, calculado de acuerdo con la metodología establecida en los actos delegados a que se refiere el apartado 3.

2. La Comisión adoptará actos delegados de conformidad con el artículo 69 para ajustar el número medio mensual de destinatarios del servicio en la Unión a que se refiere el apartado 1, cuando la población de la Unión aumente o disminuya al menos un 5 % en relación a su población en 2020 o bien, tras un ajuste por medio de un acto delegado, a su población en el año en que se adoptase el último acto delegado. En ese caso, ajustará el número para que se corresponda con el 10 % de la población de la Unión en el año en que adopte el acto delegado, redondeado al alza o a la baja para poder expresarlo en millones.

3. La Comisión adoptará actos delegados de conformidad con el artículo 69, previa consulta con la Junta, para establecer una metodología específica para calcular el número medio mensual de destinatarios del servicio activos en la Unión, a los efectos del apartado 1. Dicha metodología especificará, en particular, cómo determinar la población y los criterios de la Unión para determinar el número medio mensual de destinatarios del servicio activos en la Unión, teniendo en cuenta diferentes características de accesibilidad.

4. El coordinador de servicios digitales de establecimiento verificará, al menos cada seis meses, si el número medio mensual de destinatarios del servicio activos en la Unión de las plataformas en línea bajo su jurisdicción es igual o superior al número a que se refiere el apartado 1. De acuerdo con esa verificación, adoptará una decisión en la que otorgará a la plataforma en línea la designación de plataforma en línea de muy gran tamaño para los fines del presente Reglamento, o retirará dicha designación, y comunicará esa decisión, sin dilaciones indebidas, a la plataforma en línea afectada y a la Comisión.

La Comisión se asegurará de que la lista de plataformas en línea designadas de muy gran tamaño se publique en el Diario Oficial de la Unión Europea y mantendrá dicha lista actualizada. Las obligaciones estipuladas en esta sección se aplicarán, o dejarán de aplicarse, a las plataformas en línea de muy gran tamaño afectadas al cabo de cuatro meses desde esa publicación.

Artículo 26.- Evaluación de riesgos

1. Las plataformas en línea de muy gran tamaño detectarán, analizarán y evaluarán, desde la fecha de aplicación a que se refiere el artículo 25, apartado 4, párrafo segundo, y al menos una vez al año a partir de entonces, cualquier riesgo sistémico significativo que se derive del funcionamiento y uso que se haga de sus servicios en la Unión. Esta evaluación de riesgos será específica de sus servicios e incluirá los siguientes riesgos sistémicos:

a) la difusión de contenido ilícito a través de sus servicios;

b) cualquier efecto negativo para el ejercicio de los derechos fundamentales al respeto de la vida privada y familiar, la libertad de expresión e información, la prohibición de la discriminación y los derechos del niño, consagrados en los artículos 7, 11, 21 y 24 de la Carta respectivamente;

c) la manipulación deliberada de su servicio, por ejemplo, por medio del uso no auténtico o la explotación automatizada del servicio, con un efecto negativo real o previsible sobre la protección de la salud pública, los menores, el discurso cívico o efectos reales o previsibles relacionados con procesos electorales y con la seguridad pública.

2. Cuando realicen evaluaciones de riesgos, las plataformas en línea de muy gran tamaño tendrán en cuenta, en particular, cómo influyen sus sistemas de moderación de contenidos, sistemas de recomendación y sistemas de selección y presentación de publicidad en cualquiera de los riesgos sistémicos a que se refiere el apartado 1, incluida la difusión potencialmente rápida y amplia de contenido ilícito y de información incompatible con sus condiciones.

Artículo 27.- Reducción de riesgos

1. Las plataformas en línea de muy gran tamaño aplicarán medidas de reducción de riesgos razonables, proporcionadas y efectivas, adaptadas a los riesgos sistémicos específicos detectados de conformidad con el artículo 26. Dichas medidas podrán incluir, cuando proceda:

a) la adaptación de los sistemas de moderación de contenidos o de recomendación, sus procesos decisorios, las características o el funcionamiento de sus servicios, o sus condiciones;

b) medidas selectivas dirigidas a limitar la presentación de anuncios publicitarios en asociación con el servicio que prestan;

c) el refuerzo de los procesos internos o la supervisión de cualquiera de sus actividades, en particular en lo que respecta a la detección de riesgos sistémicos;

d) la puesta en marcha o el ajuste de la cooperación con los alertadores fiables de conformidad con el artículo 19;

e) la puesta en marcha o el ajuste de la cooperación con otras plataformas en línea mediante los códigos de conducta y los protocolos de crisis a que se refieren los artículos 35 y 37 respectivamente.

2. La Junta, en cooperación con la Comisión, publicará informes exhaustivos, una vez al año, que incluirán lo siguiente:

a) detección y evaluación de los riesgos sistémicos más destacados y recurrentes notificados por las plataformas en línea de muy gran tamaño o detectados a través de otras fuentes de información, en particular las proporcionadas de conformidad con los artículos 31 y 33;

b) buenas prácticas para las plataformas en línea de muy gran tamaño para la reducción de los riesgos sistémicos detectados.

3. La Comisión, en colaboración con los coordinadores de servicios digitales, podrá publicar orientaciones generales sobre la aplicación del apartado 1 en relación con riesgos concretos, en particular para presentar buenas prácticas y recomendar posibles medidas, con la debida consideración de las posibles consecuencias de esas medidas para los derechos fundamentales consagrados en la Carta de todas las partes implicadas. Durante la preparación de dichas orientaciones, la Comisión organizará consultas públicas.

Artículo 28.- Auditoría independiente

1. Las plataformas en línea de muy gran tamaño se someterán, a su propia costa y al menos una vez al año, a auditorías para evaluar el cumplimiento de lo siguiente:

a) las obligaciones estipuladas en el capítulo III;

b) cualquier compromiso adquirido en virtud de los códigos de conducta a que se refieren los artículos 35 y 36 y los protocolos de crisis a que se refiere el artículo 37.

2. Las auditorías efectuadas en virtud del apartado 1 serán realizadas por organizaciones que:

a) sean independientes de la plataforma en línea de muy gran tamaño de que se trate;

b) posean conocimientos probados en el ámbito de la gestión de riesgos, competencia y capacidades técnicas;

c) tengan objetividad y ética profesional probadas, basadas en particular en su cumplimiento de códigos de práctica o normas apropiadas.

3. Las organizaciones que lleven a cabo las auditorías elaborarán un informe de cada auditoría. Dicho informe será por escrito e incluirá al menos lo siguiente:

a) el nombre, domicilio y punto de contacto de la plataforma en línea de muy gran tamaño sujeta a la auditoría y el período que abarque;

b) el nombre y domicilio de la organización que realice la auditoría;

c) una descripción de los elementos concretos auditados y de la metodología aplicada;

d) una descripción de las principales conclusiones extraídas de la auditoría;

e) un dictamen que determine si la plataforma en línea de muy gran tamaño sometida a la auditoría ha cumplido con las obligaciones y los compromisos a que se refiere el apartado 1, ya sea favorable, favorable con observaciones o negativo;

f) cuando el dictamen de la auditoría no sea favorable, recomendaciones operativas sobre medidas concretas para alcanzar el cumplimiento.

4. Las plataformas en línea de muy gran tamaño que reciban un informe de auditoría que no sea favorable tendrán debidamente en cuenta las recomendaciones operativas que se les efectúen, con miras a adoptar las medidas necesarias para aplicarlas. En el plazo de un mes desde la recepción de dichas recomendaciones, adoptarán un informe de aplicación de la auditoría que recoja dichas medidas. Cuando no apliquen las recomendaciones operativas, justificarán en el informe de aplicación de la auditoría las razones para no hacerlo y describirán cualquier medida alternativa que puedan haber adoptado para subsanar cualquier incumplimiento detectado.

Artículo 29.- Sistemas de recomendación

1. Las plataformas en línea de muy gran tamaño que utilicen sistemas de recomendación establecerán en sus condiciones, de manera clara, accesible y fácil de comprender, los parámetros principales utilizados en sus sistemas de recomendación, así como cualquier opción que puedan haber puesto a disposición de los destinatarios del servicio para modificar o influir en dichos parámetros principales, incluida al menos una opción que no se base en la elaboración de perfiles, en el sentido del artículo 4, apartado 4, del Reglamento (UE) 2016/679.

2. Cuando haya varias opciones disponibles de conformidad con el apartado 1, las plataformas en línea de muy gran tamaño proporcionarán una funcionalidad de fácil acceso en su interfaz en línea que permita al destinatario del servicio seleccionar y modificar en cualquier momento su opción preferida para cada uno de los sistemas de recomendación que determine el orden relativo de información que se les presente.

Artículo 30.- Transparencia adicional sobre la publicidad en línea

1. Las plataformas en línea de muy gran tamaño que presenten publicidad en sus interfaces en línea recopilarán y harán público mediante interfaces de programación de aplicaciones un repositorio que contenga la información a que se refiere el apartado 2, hasta un año después de la última vez que se presente la publicidad en sus interfaces en línea. Se asegurarán de que el repositorio no contenga ningún dato personal de los destinatarios del servicio a quienes se haya o se pueda haber presentado la publicidad.

2. El repositorio incluirá al menos toda la información siguiente:

a) el contenido de la publicidad;

b) la persona física o jurídica en cuyo nombre se presenta el anuncio publicitario;

c) el período durante el que se haya presentado la publicidad;

d) si la publicidad estaba destinada a presentarse en particular a uno o varios grupos concretos de destinatarios del servicio y, en tal caso, los parámetros principales utilizados para tal fin;

e) el número total de destinatarios del servicio alcanzados y, en su caso, el total general del grupo o grupos de destinatarios a quienes la publicidad estuviera específicamente dirigida.

Artículo 31.- Acceso a datos y escrutinio

1. Las plataformas en línea de muy gran tamaño proporcionarán al coordinador de servicios digitales de establecimiento o a la Comisión, cuando lo soliciten de forma motivada y en un período razonable, especificado en la solicitud, acceso a los datos que sean necesarios para vigilar y evaluar el cumplimiento del presente Reglamento. El coordinador de servicios digitales y la Comisión solo utilizarán esos datos para esos fines.

2. Previa solicitud motivada del coordinador de servicios digitales de establecimiento o de la Comisión, las plataformas en línea de muy gran tamaño proporcionarán acceso a los datos en un período razonable, especificado en la solicitud, a investigadores autorizados que cumplan los requisitos estipulados en el apartado 4 del presente artículo, con la única finalidad de realizar estudios que contribuyan a la detección y comprensión de los riesgos sistémicos descritos en el artículo 26, apartado 1.

3. Las plataformas en línea de muy gran tamaño proporcionarán acceso a los datos en virtud de los apartados 1 y 2 a través de bases de datos en línea o interfaces de programación de aplicaciones, según proceda.

4. Para ser autorizados, los investigadores deberán estar afiliados a instituciones académicas, ser independientes de intereses comerciales y tener una historia probada de especialización en los campos relacionados con los riesgos investigados o metodologías de estudio conexas, y adquirirán el compromiso y tendrán la capacidad de preservar los requisitos específicos de seguridad y confidencialidad de los datos correspondientes a cada solicitud.

5. La Comisión, previa consulta con la Junta, adoptará actos delegados que establezcan las condiciones técnicas con arreglo a las cuales las plataformas en línea de muy gran tamaño deban compartir datos en virtud de los apartados 1 y 2 y los fines para los que puedan utilizarse dichos datos. Esos actos delegados estipularán las condiciones específicas en las que puedan compartirse los datos con investigadores autorizados en cumplimiento del Reglamento (UE) 2016/679, teniendo en cuenta los derechos e intereses de las plataformas en línea de muy gran tamaño y los destinatarios del servicio de que se trate, incluida la protección de información confidencial, en particular secretos comerciales, y manteniendo la seguridad de su servicio.

6. En un plazo de quince días desde la recepción de una de las solicitudes a que se refieren los apartados 1 y 2, una plataforma en línea de muy gran tamaño podrá solicitar al coordinador de servicios digitales de establecimiento o a la Comisión, según proceda, que modifique la solicitud, cuando considere que no puede otorgar acceso a los datos solicitados por una de las dos razones siguientes:

a) que no tenga acceso a los datos;

b) que otorgar acceso a los datos implique vulnerabilidades importantes para la seguridad de su servicio o para la protección de información confidencial, en particular secretos comerciales.

7. Las solicitudes de modificación en virtud del apartado 6, letra b), propondrán uno o varios medios alternativos mediante los cuales pueda otorgarse el acceso a los datos solicitados u otros datos que sean apropiados y suficientes para la finalidad de la solicitud.

El coordinador de servicios digitales de establecimiento o la Comisión tomará una decisión sobre la solicitud de modificación en un plazo de quince días y comunicará a la plataforma en línea de muy gran tamaño su decisión y, en su caso, la solicitud modificada y el nuevo plazo para cumplir con la solicitud.

Artículo 32.- Encargados de cumplimiento

1. Las plataformas en línea de muy gran tamaño designarán uno o varios encargados de cumplimiento con la responsabilidad de vigilar el cumplimiento del presente Reglamento.

2. Las plataformas en línea de muy gran tamaño solo designarán como encargados de cumplimiento a personas que posean las cualificaciones profesionales, los conocimientos, la experiencia y la capacidad necesarias para desempeñar las funciones a que se refiere el apartado 3. Los encargados de cumplimiento pueden ser miembros del personal de la plataforma en línea de muy gran tamaño de que se trate o desempeñar esas funciones por contrato con dicha plataforma.

3. Los encargados de cumplimiento desempeñarán las siguientes funciones:

a) colaborar con el coordinador de servicios digitales de establecimiento y la Comisión para los fines del presente Reglamento;

b) organizar y supervisar las actividades de la plataforma en línea de muy gran tamaño en relación con la auditoría independiente realizada de conformidad con el artículo 28;

c) informar y asesorar a la dirección y a los empleados de la plataforma en línea de muy gran tamaño acerca de las obligaciones pertinentes estipuladas en el presente Reglamento;

d) vigilar el cumplimiento por parte de la plataforma en línea de muy gran tamaño de sus obligaciones conforme al presente Reglamento.

4. Las plataformas en línea de muy gran tamaño adoptarán las medidas necesarias para asegurarse de que los encargados de cumplimiento puedan desempeñar sus funciones de manera independiente.

5. Las plataformas en línea de muy gran tamaño comunicarán el nombre y los datos de contacto del encargado de cumplimiento al coordinador de servicios digitales de establecimiento y a la Comisión.

6. Las plataformas en línea de muy gran tamaño apoyarán al encargado de cumplimiento en el desempeño de sus funciones y le proporcionarán los recursos necesarios para que lleve dichas funciones a cabo de forma adecuada. El encargado de cumplimiento rendirá cuentas directamente al más alto nivel jerárquico de la plataforma.

Artículo 33.- Obligaciones de transparencia informativa para las plataformas en línea de muy gran tamaño

1. Las plataformas en línea de muy gran tamaño publicarán los informes a que se refiere el artículo 13 en un plazo de seis meses desde la fecha de aplicación a que se refiere el artículo 25, apartado 4, y a partir de entonces cada seis meses.

2. Además de los informes estipulados en el artículo 13, las plataformas en línea de muy gran tamaño harán públicos y transmitirán al coordinador de servicios digitales de establecimiento y a la Comisión, al menos una vez al año y en los treinta días siguientes a la adopción del informe de aplicación de la auditoria estipulado en el artículo 28, apartado 4:

a) un informe que presente los resultados de la evaluación de riesgos realizada en virtud del artículo 26;

b) las medidas de reducción de riesgos conexas establecidas y aplicadas en virtud del artículo 27;

c) el informe de auditoría estipulado en el artículo 28, apartado 3;

d) el informe de aplicación de la auditoría estipulado en el artículo 28, apartado 4.

3. Cuando una plataforma en línea de muy gran tamaño considere que la publicación de información en virtud del apartado 2 pueda dar lugar a la revelación de información confidencial de esa plataforma o de los destinatarios del servicio, pueda causar vulnerabilidades importantes para la seguridad de su servicio, pueda menoscabar la seguridad pública o pueda perjudicar a los destinatarios, la plataforma podrá retirar dicha información de los informes. En ese caso, la plataforma transmitirá los informes completos al coordinador de servicios digitales de establecimiento y a la Comisión, acompañados de una exposición de los motivos por los que se haya retirado la información de los informes públicos.

Sección 5.- Otras disposiciones relativas a obligaciones de diligencia debida

Artículo 34.- Normas

1. La Comisión apoyará y promoverá la elaboración y aplicación de normas sectoriales voluntarias por parte de los organismos internacionales y europeos de normalización pertinentes al menos en relación con lo siguiente e:

a) el envío electrónico de avisos en virtud del artículo 14;

b) el envío electrónico de avisos por los alertadores fiables en virtud del artículo 19, por ejemplo, a través de interfaces de programación de aplicaciones;

c) interfaces específicas, incluidas las interfaces de programación de aplicaciones, para facilitar el cumplimiento de las obligaciones estipuladas en los artículos 30 y 31;

d) la auditoría de plataformas en línea de muy gran tamaño en virtud del artículo 28;

e) la interoperabilidad de los repositorios de anuncios publicitarios a que se refiere el artículo 30, apartado 2;

f) la transmisión de datos entre intermediarios de publicidad para colaborar al cumplimiento de las obligaciones de transparencia establecidas de conformidad con las letras b) y c) del artículo 24.

2. La Comisión colaborará en la actualización de las normas en vista de los avances tecnológicos y del comportamiento de los destinatarios de los servicios en cuestión.

Artículo 35.- Códigos de conducta

1. La Comisión y la Junta fomentarán y facilitarán la elaboración de códigos de conducta en el ámbito de la Unión para contribuir a la debida aplicación del presente Reglamento, teniendo en cuenta en particular las dificultades concretas que conlleva actuar contra diferentes tipos de contenidos ilícitos y riesgos sistémicos, de conformidad con el Derecho de la Unión, en particular en materia de competencia y de protección de los datos personales.

2. Cuando se genere un riesgo sistémico significativo en el sentido del artículo 26, apartado 1, y afecte a varias plataformas en línea de muy gran tamaño, la Comisión podrá invitar a las plataformas en línea de muy gran tamaño afectadas, otras plataformas en línea de muy gran tamaño, otras plataformas en línea y otros prestadores de servicios intermediarios, según sea oportuno, así como a organizaciones de la sociedad civil y otras partes interesadas, a participar en la elaboración de códigos de conducta, por ejemplo estableciendo compromisos de adopción de medidas específicas de reducción de riesgos, así como un marco de información periódica sobre las medidas que se puedan adoptar y sus resultados.

3. En aplicación de lo dispuesto en los apartados 1 y 2, la Comisión y la Junta tratarán de asegurarse de que los códigos de conducta expongan claramente sus objetivos, contengan indicadores clave de desempeño para valorar el cumplimiento de dichos objetivos y tengan debidamente en cuenta las necesidades e intereses de todas las partes interesadas, incluidos los ciudadanos, en el ámbito de la Unión. La Comisión y la Junta también tratarán de asegurarse de que los participantes informen periódicamente a la Comisión y a sus respectivos coordinadores de servicios digitales de establecimiento acerca de las medidas que puedan adoptarse y sus resultados, valoradas con arreglo a los indicadores clave de desempeño que contengan.

4. La Comisión y la Junta evaluarán si los códigos de conducta cumplen los fines especificados en los apartados 1 y 3, y vigilarán y evaluarán periódicamente el cumplimiento de sus objetivos. Publicarán sus conclusiones.

5. La Junta vigilará y evaluará periódicamente el cumplimiento de los objetivos de los códigos de conducta, teniendo en cuenta los indicadores clave de desempeño que puedan contener.

Artículo 36.- Códigos de conducta relativos a publicidad en línea

1. La Comisión fomentará y facilitará la elaboración de códigos de conducta en el ámbito de la Unión entre plataformas en línea y otros prestadores de servicios pertinentes, como los prestadores de servicios intermediarios de publicidad en línea u organizaciones que representen a destinatarios del servicio y organizaciones de la sociedad civil o autoridades pertinentes para contribuir a una mayor transparencia en la publicidad en línea por encima de los requisitos de los artículos 24 y 30.

2. La Comisión tratará de asegurarse de que los códigos de conducta persigan una transmisión efectiva de información, con pleno respeto a los derechos e intereses de todas las partes implicadas, y la existencia de un entorno competitivo, transparente y equitativo en la publicidad en línea, de conformidad con el Derecho de la Unión y nacional, en particular en materia de competencia y protección de los datos personales. La Comisión tratará de asegurarse de que los códigos de conducta aborden al menos:

a) la transmisión de información que obre en poder de los intermediarios de publicidad en línea a los destinatarios del servicio con respecto a los requisitos establecidos en las letras b) y c) del artículo 24;

b) la transmisión de información que obre en poder de los prestadores de servicios intermediarios de publicidad en línea a los repositorios creados de conformidad con el artículo 30.

3. La Comisión fomentará la elaboración de los códigos de conducta en el plazo de un año desde la fecha de aplicación del presente Reglamento y su aplicación a más tardar en un plazo de seis meses a partir de esa fecha.

Artículo 37.- Protocolos de crisis

1. La Junta podrá recomendar a la Comisión que inicie la elaboración, de conformidad con los apartados 2, 3 y 4, de protocolos destinados a abordar situaciones de crisis que se limiten estrictamente a circunstancias extraordinarias que afecten a la seguridad pública o a la salud pública.

2. La Comisión fomentará y facilitará que las plataformas en línea de muy gran tamaño y, cuando proceda, otras plataformas en línea, con la participación de la Comisión, participen en la elaboración, prueba y aplicación de dichos protocolos de crisis, que incluyan una o varias de las medidas siguientes:

a) presentar información destacada sobre la situación de crisis proporcionada por las autoridades de los Estados miembros o en el ámbito de la Unión;

b) asegurar que el punto de contacto a que se refiere el artículo 10 sea responsable de la gestión de crisis;

c) cuando proceda, adaptar los recursos dedicados al cumplimiento de las obligaciones estipuladas en los artículos 14, 17, 19, 20 y 27 a las necesidades creadas por la situación de crisis.

3. La Comisión podrá involucrar, cuando proceda, a las autoridades de los Estados miembros y a los organismos, las oficinas y las agencias de la Unión en la elaboración, prueba y supervisión de la aplicación de los protocolos de crisis. La Comisión podrá, cuando sea necesario y oportuno, involucrar también a organizaciones de la sociedad civil u otras organizaciones pertinentes en la elaboración de los protocolos de crisis.

4. La Comisión tratará de asegurarse de que los protocolos de crisis expongan claramente todo lo siguiente:

a) los parámetros específicos para determinar qué constituye la circunstancia extraordinaria específica que el protocolo de crisis pretende abordar y los objetivos que persigue;

b) el papel de cada uno de los participantes y las medidas que deben adoptar en la preparación del protocolo de crisis y una vez que se haya activado este;

c) un procedimiento claro para determinar cuándo ha de activarse el protocolo de crisis;

d) un procedimiento claro para determinar el período durante el cual deberán aplicarse las medidas que se adopten una vez activado el protocolo de crisis, que se limite a lo estrictamente necesario para abordar las circunstancias extraordinarias concretas de que se trate;

e) salvaguardias para contrarrestar posibles efectos negativos para el ejercicio de los derechos fundamentales consagrados en la Carta, en particular la libertad de expresión e información y el derecho a la no discriminación;

f) un proceso para informar públicamente sobre las medidas que se adopten, su duración y sus resultados, una vez finalice la situación de crisis.

5. Si la Comisión considera que un protocolo de crisis no es eficaz para abordar la situación de crisis, o para salvaguardar el ejercicio de los derechos fundamentales a que se refiere la letra e) del apartado 4, podrá solicitar a los participantes que revisen el protocolo de crisis, por ejemplo adoptando medidas adicionales.

Capítulo IV.- Aplicación, cooperación, sanciones y ejecución

Sección 1.- Autoridades competentes y coordinadores de servicios digitales nacionales

Artículo 38.- Autoridades competentes y coordinadores de servicios digitales

1. Los Estados miembros designarán una o varias autoridades competentes responsables de la aplicación y ejecución del presente Reglamento (en lo sucesivo, «autoridades competentes»).

2. Los Estados miembros designarán a una de las autoridades competentes como su coordinador de servicios digitales. El coordinador de servicios digitales será responsable en todas las materias relacionadas con la aplicación y ejecución del presente Reglamento en ese Estado miembro, a menos que el Estado miembro de que se trate haya asignado determinadas funciones o sectores específicos a otras autoridades competentes. En todo caso, el coordinador de servicios digitales será responsable de garantizar la coordinación en el ámbito nacional al respecto de tales materias y de contribuir a la aplicación y ejecución efectiva y coherente del presente Reglamento en toda la Unión.

Con ese fin, los coordinadores de servicios digitales cooperarán entre sí, con otras autoridades competentes nacionales, con la Junta y con la Comisión, sin perjuicio de la posibilidad de que los Estados miembros organicen intercambios periódicos de opiniones con otras autoridades cuando sea pertinente para el desempeño de las funciones de esas otras autoridades y del coordinador de servicios digitales.

Cuando un Estado miembro designe más de una autoridad competente además del coordinador de servicios digitales, se asegurará de que las funciones respectivas de esas autoridades y del coordinador de servicios digitales estén claramente definidas y que mantengan una cooperación estrecha y eficaz en el desempeño de estas. El Estado miembro de que se trate comunicará el nombre de las otras autoridades competentes, así como sus funciones respectivas, a la Comisión y a la Junta.

3. Los Estados miembros designarán a los coordinadores de servicios digitales en un plazo de dos meses desde la entrada en vigor del presente Reglamento.

Los Estados miembros harán público, y comunicarán a la Comisión y a la Junta, el nombre de la autoridad competente que hayan designado como coordinador de servicios digitales, así como su información de contacto.

4. Los requisitos aplicables a los coordinadores de servicios digitales estipulados en los artículos 39, 40 y 41 también se aplicarán a cualquier otra autoridad competente que los Estados miembros designen en virtud del apartado 1.

Artículo 39.- Requisitos aplicables a los coordinadores de servicios digitales

1. Los Estados miembros velarán por que sus coordinadores de servicios digitales desempeñen sus funciones en virtud del presente Reglamento de manera imparcial, transparente y oportuna. Los Estados miembros se asegurarán de que sus coordinadores de servicios digitales posean recursos técnicos, financieros y humanos adecuados para desempeñar sus funciones.

2. En el desempeño de sus funciones y en el ejercicio de sus competencias de conformidad con el presente Reglamento, los coordinadores de servicios digitales actuarán con completa independencia. Permanecerán libres de cualquier influencia externa, ya sea directa o indirecta, y no solicitarán ni aceptarán instrucciones de ninguna otra autoridad pública o parte privada.

3. El apartado 2 ha de entenderse sin perjuicio de las funciones que corresponden a los coordinadores de servicios digitales en el sistema de supervisión y ejecución contemplado en el presente Reglamento y de la cooperación con otras autoridades competentes de conformidad con el artículo 38, apartado 2. El apartado 2 no impedirá la supervisión de las autoridades afectadas de conformidad con el Derecho constitucional nacional.

Artículo 40.- Jurisdicción

1. El Estado miembro en el que se encuentre el establecimiento principal del prestador de servicios intermediarios tendrá jurisdicción para los fines de los capítulos III y IV del presente Reglamento.

2. Se considerará, para los fines de los capítulos III y IV, que un prestador de servicios intermediarios que no tenga un establecimiento en la Unión pero que ofrezca servicios en ella estará sujeto a la jurisdicción del Estado miembro donde su representante legal resida o esté establecido.

3. Cuando un prestador de servicios intermediarios no designe un representante legal de conformidad con el artículo 11, todos los Estados miembros tendrán jurisdicción para los fines de los capítulos III y IV. Cuando un Estado miembro decida ejercer su jurisdicción en virtud del presente apartado, informará a todos los demás Estados miembros y velará por que se respete el principio de non bis in idem.

4. Los apartados 1, 2 y 3 han de entenderse sin perjuicio del artículo 50, apartado 4, párrafo segundo, y del artículo 51, apartado 2, párrafo segundo, y de las funciones y competencias de la Comisión en virtud de la sección 3.

Artículo 41.- Competencias de los coordinadores de servicios digitales

1. Cuando sea necesario para el desempeño de sus funciones, los coordinadores de servicios digitales dispondrán como mínimo de las siguientes competencias de investigación al respecto de la conducta de los prestadores de servicios intermediarios sujetos a la jurisdicción de su Estado miembro:

a) la competencia de exigir que dichos prestadores, así como cualquier otra persona que actúe con fines relacionados con su actividad comercial, negocio, oficio o profesión que pueda tener razonablemente conocimiento de información relativa a una presunta infracción del presente Reglamento, incluidas las organizaciones que realicen las auditorías a que se refieren el artículo 28 y el artículo 50, apartado 3, faciliten dicha información en un plazo razonable;

b) la competencia de inspeccionar sobre el terreno cualquier instalación que dichos prestadores o dichas personas utilicen con fines relacionados con su actividad comercial, negocio, oficio o profesión, o de solicitar a otras autoridades públicas que lo hagan, a fin de examinar, tomar u obtener o incautarse de información relativa a una presunta infracción en cualquier forma, sea cual sea el medio de almacenamiento;

c) la competencia de solicitar a cualquier miembro del personal o representante de dichos prestadores o dichas personas que ofrezcan explicaciones al respecto de cualquier información relativa a una presunta infracción y de levantar acta de las respuestas.

2. Cuando sea necesario para el desempeño de sus funciones, los coordinadores de servicios digitales dispondrán como mínimo de las siguientes competencias de ejecución al respecto de los prestadores de servicios intermediarios sujetos a la jurisdicción de su Estado miembro:

a) la competencia de aceptar los compromisos ofrecidos por dichos prestadores en relación con su cumplimiento del presente Reglamento y de declarar dichos compromisos vinculantes;

b) la competencia de ordenar que cesen las infracciones y, en su caso, imponer remedios proporcionados a la infracción y necesarios para poner fin a la infracción de manera efectiva;

c) la competencia de imponer multas de conformidad con el artículo 42 por incumplimientos del presente Reglamento, por ejemplo, de cualquiera de las órdenes dictadas en virtud del apartado 1;

d) la competencia de imponer una multa coercitiva de conformidad con el artículo 42 para asegurarse de que se ponga fin a una infracción en cumplimiento de una orden dictada de conformidad con la letra b) del presente apartado o por el incumplimiento de cualquiera de las órdenes dictadas en virtud del apartado 1;

e) la competencia de adoptar medidas provisionales para evitar el riesgo de daños graves.

En lo que respecta a las letras c) y d) del párrafo primero, los coordinadores de servicios digitales también tendrán las competencias de ejecución establecidas en dichas letras al respecto del resto de personas a que se refiere el apartado 1 por el incumplimiento de cualquiera de las órdenes a ellas destinadas y dictadas en virtud de dicho apartado. Solo ejercerán esas competencias de ejecución después de haber proporcionado a esas otras personas, con antelación adecuada, toda la información pertinente relativa a dichas órdenes, incluido el plazo aplicable, las multas o multas coercitivas que puedan imponerse por incumplimiento y las posibilidades de recurso.

3. Cuando sea necesario para el desempeño de sus funciones, los coordinadores de servicios digitales también tendrán, al respecto de los prestadores de servicios intermediarios sujetos a la jurisdicción de su Estado miembro, cuando todas las demás competencias previstas en el presente artículo para poner fin a una infracción se hayan agotado, la infracción persista y cause daños graves que no puedan evitarse mediante el ejercicio de otras competencias disponibles conforme al Derecho de la Unión o nacional, la competencia de adoptar las medidas siguientes:

a) exigir al órgano de dirección de los prestadores, en un plazo razonable, que examine la situación, adopte y presente un plan de acción en el que exponga las medidas necesarias para poner fin a la infracción, se asegure de que el prestador adopte tales medidas, e informe sobre las medidas adoptadas;

b) cuando el coordinador de servicios digitales considere que el prestador no ha cumplido suficientemente con los requisitos del primer guion, que la infracción persiste y causa daños graves, y que la infracción supone un delito grave que amenaza la vida o la seguridad de las personas, solicitará a la autoridad judicial competente de dicho Estado miembro que ordene que los destinatarios del servicio afectado por la infracción tengan limitado el acceso al mismo o bien, únicamente cuando ello no sea técnicamente viable, a la interfaz en línea del prestador de servicios intermediarios en la que tenga lugar la infracción.

El coordinador de servicios digitales, excepto cuando actúe a petición de la Comisión conforme al artículo 65, antes de presentar la petición a que se refiere la letra b) del párrafo primero, invitará a las partes interesadas a presentar observaciones por escrito en un plazo que no será inferior a dos semanas, explicando las medidas que pretenda solicitar e identificando al destinatario o destinatarios previstos de las mismas. El prestador, el destinatario o destinatarios previstos y cualquier otro tercero que demuestre un interés legítimo tendrán derecho a participar en los procedimientos ante la autoridad judicial competente. Toda medida que se ordene será proporcionada a la naturaleza, gravedad, recurrencia y duración de la infracción, sin limitar indebidamente el acceso de los destinatarios del servicio afectado a información lícita.

La limitación se mantendrá durante un período de cuatro semanas, supeditada a la posibilidad de que la autoridad judicial competente, en su orden, permita que el coordinador de servicios digitales prorrogue dicho período por períodos de idéntica duración, debiendo establecer dicha autoridad judicial un número máximo de prórrogas. El coordinador de servicios digitales solo prorrogará ese período cuando considere, en vista de los derechos e intereses de todas las partes afectadas por la limitación y todas las circunstancias pertinentes, incluida cualquier información que el prestador, el destinatario o destinatarios y cualquier otro tercero que haya demostrado un interés legítimo puedan proporcionarle, que se han cumplido las dos condiciones siguientes:

a) que el prestador no ha adoptado las medidas necesarias para poner fin a la infracción;

b) que la limitación temporal no limita indebidamente el acceso de los destinatarios del servicio a información lícita, teniendo en cuenta el número de destinatarios afectados y si existe alguna alternativa adecuada y fácilmente accesible.

Cuando el coordinador de servicios digitales considere que se han cumplido ambas condiciones, pero no pueda prorrogar el período de conformidad con el párrafo tercero, presentará una nueva petición a la autoridad judicial competente, según se indica en la letra b) del párrafo primero.

4. Las competencias enumeradas en los apartados 1, 2 y 3 han de entenderse sin perjuicio de la sección 3.

5. Las medidas adoptadas por los coordinadores de servicios digitales en el ejercicio de las competencias enumeradas en los apartados 1, 2 y 3 serán eficaces, disuasorias y proporcionadas, teniendo en cuenta, en particular, la naturaleza, gravedad, recurrencia y duración de la infracción o presunta infracción a la que se refieran dichas medidas, así como la capacidad económica, técnica y operativa del prestador de servicios intermediarios afectado cuando sea pertinente.

6. Los Estados miembros velarán por que el ejercicio de sus competencias en virtud de los apartados 1, 2 y 3 se someta a salvaguardias adecuadas establecidas en la legislación nacional aplicable de conformidad con la Carta y con los principios generales del Derecho de la Unión. En particular, solo se adoptarán esas medidas de conformidad con el derecho al respeto de la vida privada y los derechos de defensa, incluidos los derechos a ser oído y a tener acceso al expediente, y con sujeción al derecho a la tutela judicial efectiva de todas las partes afectadas.

Artículo 42.- Sanciones

1. Los Estados miembros establecerán el régimen de sanciones aplicable en caso de incumplimiento del presente Reglamento por los prestadores de servicios intermediarios bajo su jurisdicción y adoptarán todas las medidas necesarias para garantizar su aplicación de conformidad con el artículo 41.

2. Las sanciones deberán ser eficaces, proporcionadas y disuasorias. Los Estados miembros comunicarán a la Comisión el régimen establecido y las medidas adoptadas y le notificarán, sin dilación, cualquier modificación posterior.

3. Los Estados miembros se asegurarán de que el máximo importe de las sanciones impuestas por un incumplimiento de las obligaciones estipuladas en el presente Reglamento no exceda del 6 % de la renta o facturación anual del prestador de servicios intermediarios afectado. Las sanciones por proporcionar información incorrecta, incompleta o engañosa, por no responder o rectificar información incorrecta, incompleta o engañosa o por no someterse a una inspección sobre el terreno no excederán del 1 % de la renta o facturación anual del prestador afectado.

4. Los Estados miembros se asegurarán de que el máximo importe de una multa coercitiva no exceda del 5 % de la facturación media diaria del prestador de servicios intermediarios afectado en el ejercicio fiscal anterior por día, calculado a partir de la fecha especificada en la decisión de que se trate.

Artículo 43.- Derecho a presentar una reclamación

Los destinatarios del servicio tendrán derecho a presentar una reclamación contra los prestadores de servicios intermediarios con motivo de una infracción del presente Reglamento al coordinador de servicios digitales del Estado miembro donde el destinatario resida o esté establecido. El coordinador de servicios digitales evaluará la reclamación y, cuando sea oportuno, la transmitirá al coordinador de servicios digitales de establecimiento. Cuando la reclamación sea responsabilidad de otra autoridad competente en su Estado miembro, el coordinador de servicios digitales que reciba la reclamación la transmitirá a dicha autoridad.

Artículo 44.- Informes de actividad

1. Los coordinadores de servicios digitales elaborarán un informe anual de sus actividades conforme al presente Reglamento. Harán públicos dichos informes anuales y los comunicarán a la Comisión y a la Junta.

2. El informe anual deberá incluir, como mínimo, la información siguiente:

a) el número y objeto de las órdenes de actuación contra contenidos ilícitos y de las órdenes de entrega de información dictadas de conformidad con los artículos 8 y 9 por cualquier autoridad judicial o administrativa nacional del Estado miembro del coordinador de servicios digitales afectado;

b) los efectos que hayan tenido dichas órdenes, según se comuniquen al coordinador de servicios digitales de conformidad con los artículos 8 y 9.

3. Cuando un Estado miembro haya designado varias autoridades competentes en virtud del artículo 38, velará por que el coordinador de servicios digitales elabore un único informe que comprenda las actividades de todas las autoridades competentes y que el coordinador de servicios digitales reciba toda la información pertinente y el apoyo que necesite a tal efecto de parte del resto de autoridades competentes afectadas.

Artículo 45.- Cooperación transfronteriza entre coordinadores de servicios digitales

1. Cuando un coordinador de servicios digitales tenga razones para sospechar que un prestador de un servicio intermediario, no sujeto a la jurisdicción del Estado miembro afectado, ha infringido el presente Reglamento, solicitará al coordinador de servicios digitales de establecimiento que evalúe el asunto y adopte las medidas necesarias de investigación y ejecución para garantizar el cumplimiento del presente Reglamento.

Cuando la Junta tenga razones para sospechar que un prestador de servicios intermediarios ha infringido el presente Reglamento de manera que afecte al menos a tres Estados miembros, podrá recomendar al coordinador de servicios digitales de establecimiento que evalúe el asunto y adopte las medidas necesarias de investigación y ejecución para garantizar el cumplimiento del presente Reglamento.

2. Una solicitud o recomendación en virtud del apartado 1 indicará, como mínimo, lo siguiente:

a) el punto de contacto del prestador de servicios intermediarios afectado según lo dispuesto en el artículo 10;

b) una descripción de los hechos pertinentes, las disposiciones del presente Reglamento afectadas y los motivos por los que el coordinador de servicios digitales que haya enviado la solicitud, o la Junta, sospeche que el prestador ha infringido el presente Reglamento;

c) cualquier otra información que el coordinador de servicios digitales que haya enviado la solicitud, o la Junta, considere pertinente, incluida, en su caso, la información que haya recabado por iniciativa propia o las propuestas de adopción de medidas específicas de investigación o ejecución, incluidas las medidas provisionales.

3. El coordinador de servicios digitales de establecimiento tendrá en la debida consideración la solicitud o recomendación conforme al apartado 1. Cuando considere que no posee suficiente información para actuar con arreglo a dicha solicitud o recomendación y tenga razones para considerar que el coordinador de servicios digitales que haya enviado la solicitud, o la Junta, podría aportar información adicional, podrá solicitar dicha información. El plazo establecido en el apartado 4 quedará en suspenso hasta que se aporte la información adicional.

4. El coordinador de servicios digitales de establecimiento, sin dilaciones indebidas y en todo caso a más tardar dos meses después de que se reciba la solicitud o recomendación, comunicará al coordinador de servicios digitales que haya enviado la solicitud, o a la Junta, su evaluación de la presunta infracción, o la de cualquier otra autoridad competente en virtud de la legislación nacional cuando proceda, y una explicación de las medidas de investigación o ejecución que pueda haber adoptado o previsto al respecto para garantizar el cumplimiento del presente Reglamento.

5. Cuando el coordinador de servicios digitales que haya enviado la solicitud o bien, cuando proceda, la Junta, no haya recibido respuesta en el plazo estipulado en el apartado 4, o cuando no esté de acuerdo con la evaluación del coordinador de servicios digitales de establecimiento, podrá remitir el asunto a la Comisión, aportando toda la información pertinente. Esa información incluirá, como mínimo, la solicitud o recomendación enviada al coordinador de servicios digitales de establecimiento, cualquier información adicional aportada de conformidad con el apartado 3 y la comunicación a que se refiere el apartado 4.

6. La Comisión evaluará el asunto en un plazo de tres meses desde la remisión del asunto de conformidad con el apartado 5, previa consulta con el coordinador de servicios digitales de establecimiento y, a menos que ella misma haya remitido el asunto, con la Junta.

7. Cuando, en virtud del apartado 6, la Comisión concluya que la evaluación o las medidas de investigación o ejecución adoptadas o previstas en virtud del apartado 4 son incompatibles con el presente Reglamento, solicitará al coordinador de servicios digitales de establecimiento que evalúe el asunto en mayor profundidad y adopte las medidas de investigación o ejecución necesarias para garantizar el cumplimiento del presente Reglamento, y que le informe acerca de las medidas adoptadas en un plazo de dos meses desde dicha solicitud.

Artículo 46.- Investigaciones conjuntas y solicitudes de intervención de la Comisión

1. Los coordinadores de servicios digitales podrán participar en investigaciones conjuntas, que podrán coordinarse con el apoyo de la Junta, con respecto a las materias reguladas por el presente Reglamento, que afecten a los prestadores de servicios intermediarios que operen en varios Estados miembros.

Estas investigaciones conjuntas han de entenderse sin perjuicio de las funciones y competencias de los coordinadores de servicios digitales participantes y de los requisitos aplicables al desempeño de dichas funciones y al ejercicio de dichas competencias conforme al presente Reglamento. Los coordinadores de servicios digitales participantes pondrán los resultados de las investigaciones conjuntas a disposición de otros coordinadores de servicios digitales, de la Comisión y de la Junta por medio del sistema establecido en el artículo 67 para el desempeño de sus respectivas funciones en virtud del presente Reglamento.

2. Cuando un coordinador de servicios digitales de establecimiento tenga razones para sospechar que una plataforma en línea de muy gran tamaño ha infringido el presente Reglamento, podrá solicitar a la Comisión que adopte las medidas de investigación y ejecución necesarias para garantizar el cumplimiento del presente Reglamento de conformidad con la sección 3. Dicha solicitud contendrá toda la información enumerada en el artículo 45, apartado 2, y en ella se expondrán las razones por las que se solicita la intervención de la Comisión.

Sección 2.- Junta Europea de Servicios Digitales

Artículo 47.- Junta Europea de Servicios Digitales

1. Se establece un grupo consultivo independiente integrado por coordinadores de servicios digitales para la supervisión de los prestadores de servicios intermediarios, denominado «Junta Europea de Servicios Digitales» («la Junta»).

2. La Junta asesorará a los coordinadores de servicios digitales y a la Comisión de conformidad con el presente Reglamento para alcanzar los siguientes objetivos:

a) contribuir a la aplicación coherente del presente Reglamento y a la cooperación efectiva de los coordinadores de servicios digitales y la Comisión con respecto a las materias reguladas por el presente Reglamento;

b) coordinar y contribuir a las orientaciones y los análisis de la Comisión y los coordinadores de servicios digitales y otras autoridades competentes sobre problemas emergentes en el mercado interior con respecto a las materias reguladas por el presente Reglamento;

c) asistir a los coordinadores de servicios digitales y a la Comisión en la supervisión de las plataformas en línea de muy gran tamaño.

Artículo 48.- Estructura de la Junta

1. La Junta estará integrada por los coordinadores de servicios digitales, que estarán representados por funcionarios de alto nivel. Cuando lo prevea la legislación nacional, en la Junta participarán otras autoridades competentes que tengan encomendadas responsabilidades operativas específicas de aplicación y ejecución del presente Reglamento junto al coordinador de servicios digitales. Se podrá invitar a otras autoridades nacionales a las reuniones, cuando los temas tratados sean de relevancia para ellas.

2. Cada Estado miembro dispondrá de un voto. La Comisión no tendrá derechos de voto.

La Junta adoptará sus actos por mayoría simple.

3. La Junta estará presidida por la Comisión. La Comisión convocará las reuniones y elaborará el orden del día de conformidad con las funciones de la Junta en virtud del presente Reglamento y con su reglamento interno.

4. La Comisión prestará apoyo administrativo y analítico a la Junta en sus actividades de conformidad con el presente Reglamento.

5. La Junta podrá invitar a expertos y observadores a que asistan a sus reuniones, y podrá cooperar con otros órganos, oficinas, agencias y grupos consultivos de la Unión, así como con expertos externos cuando proceda. La Junta hará públicos los resultados de esta cooperación.

6. La Junta adoptará su reglamento interno con el consentimiento de la Comisión.

Artículo 49.- Funciones de la Junta

1. Cuando sea necesario para cumplir los objetivos expuestos en el artículo 47, apartado 2, la Junta, en particular:

a) colaborará en la coordinación de las investigaciones conjuntas;

b) colaborará con las autoridades competentes en el análisis de los informes y resultados de las auditorías de las plataformas en línea de muy gran tamaño que se han de transmitir de conformidad con el presente Reglamento;

c) ofrecerá dictámenes, recomendaciones o asesoramiento a los coordinadores de servicios digitales de conformidad con el presente Reglamento;

d) asesorará a la Comisión en la adopción de las medidas a que se refiere el artículo 51 y, cuando la Comisión lo solicite, adoptará dictámenes sobre proyectos de medidas de la Comisión en relación con plataformas en línea de muy gran tamaño de conformidad con el presente Reglamento;

e) apoyará y promoverá la elaboración y aplicación de normas europeas, directrices, informes, modelos y códigos de conducta según lo dispuesto en el presente Reglamento, así como la determinación de problemas emergentes, con respecto a las materias reguladas por el presente Reglamento.

2. Los coordinadores de servicios digitales y otras autoridades competentes nacionales que no actúen conforme a los dictámenes, solicitudes o recomendaciones adoptados por la Junta y a ellos destinados deberán explicar los motivos de su decisión cuando aporten información de conformidad con el presente Reglamento o cuando adopten sus decisiones pertinentes, según proceda.

Sección 3.- Supervisión, investigación, ejecución y vigilancia al respecto de las plataformas en línea de muy gran tamaño

Artículo 50.- Supervisión reforzada de plataformas en línea de muy gran tamaño

1. Cuando el coordinador de servicios digitales de establecimiento adopte una decisión en la que determine que una plataforma en línea de muy gran tamaño ha infringido alguna de las disposiciones de la sección 4 del capítulo III, hará uso del sistema de supervisión reforzado establecido en el presente artículo. Tomará en la debida consideración cualquier dictamen o recomendación de la Comisión y de la Junta de conformidad con el presente artículo.

La Comisión por iniciativa propia, o la Junta por iniciativa propia o a petición de al menos tres coordinadores de servicios digitales de destino, podrá, cuando tenga razones para sospechar que una plataforma en línea de muy gran tamaño ha infringido alguna de esas disposiciones, recomendar que el coordinador de servicios digitales de establecimiento investigue la presunta infracción con miras a que dicho coordinador de servicios digitales adopte dicha decisión en un plazo razonable.

2. Cuando comunique la decisión a que se refiere el párrafo primero del apartado 1 a la plataforma en línea de muy gran tamaño de que se trate, el coordinador de servicios digitales de establecimiento le solicitará que elabore y comunique al coordinador de servicios digitales de establecimiento, a la Comisión y a la Junta, en el plazo de un mes de dicha decisión, un plan de acción en el que especifique cómo pretende esa plataforma poner fin o remedio a la infracción. Las medidas expuestas en el plan de acción podrán incluir, en su caso, la participación en un código de conducta según lo dispuesto en el artículo 35.

3. En el plazo de un mes desde la recepción del plan de acción, la Junta comunicará su dictamen sobre el plan de acción al coordinador de servicios digitales de establecimiento. En el plazo de un mes desde la recepción de dicho dictamen, ese coordinador de servicios digitales decidirá si el plan de acción es apropiado para poner fin o remedio a la infracción.

Cuando el coordinador de servicios digitales de establecimiento tenga dudas sobre la capacidad de las medidas para poner fin o remedio a la infracción, podrá solicitar a la plataforma en línea de muy gran tamaño afectada que se someta a una auditoría independiente adicional para evaluar la eficacia de dichas medidas para poner fin o remedio a la infracción. En tal caso, esa plataforma enviará el informe de auditoría a ese coordinador de servicios digitales, a la Comisión y a la Junta en un plazo de cuatro meses desde la decisión a que se refiere el párrafo primero. Cuando solicite dicha auditoría adicional, el coordinador de servicios digitales podrá especificar la organización de auditoría concreta que haya de realizar la auditoría, a costa de la plataforma afectada, elegida en virtud de los criterios establecidos en el artículo 28, apartado 2.

4. El coordinador de servicios digitales de establecimiento comunicará a la Comisión, a la Junta y a la plataforma en línea de muy gran tamaño afectada sus opiniones en cuanto a si la plataforma en línea de muy gran tamaño ha puesto fin o remedio a la infracción y sus razones. Lo hará en los siguientes plazos, según proceda:

a) en el plazo de un mes desde la recepción del informe de auditoría a que se refiere el párrafo segundo del apartado 3, cuando se haya realizado tal auditoría;

b) en el plazo de tres meses desde la decisión sobre el plan de acción a que se refiere el párrafo primero del apartado 3, cuando no se haya realizado tal auditoría;

c) inmediatamente después de que finalice el plazo estipulado en el apartado 2, cuando esa plataforma no haya comunicado el plan de acción en ese plazo.

De conformidad con dicha comunicación, el coordinador de servicios digitales de establecimiento dejará de tener derecho a adoptar medidas de investigación o ejecución al respecto de la conducta pertinente por parte de la plataforma en línea de muy gran tamaño afectada, sin perjuicio del artículo 66 o de cualquier otra medida que pueda adoptar a petición de la Comisión.

Artículo 51.- Intervención por la Comisión e incoación de procedimientos

1. La Comisión, por recomendación de la Junta o por iniciativa propia después de consultar con la Junta, podrá incoar procedimientos en vista de la posible adopción de decisiones en virtud de los artículos 58 y 59 al respecto de la conducta pertinente por parte de la plataforma en línea de muy gran tamaño cuando:

a) se sospeche que ha infringido alguna de las disposiciones del presente Reglamento y el coordinador de servicios digitales de establecimiento no haya adoptado ninguna medida de investigación o ejecución, conforme a la solicitud de la Comisión a que se refiere el artículo 45, apartado 7, una vez finalizado el plazo establecido en dicha solicitud;

b) se sospeche que ha infringido alguna de las disposiciones del presente Reglamento y el coordinador de servicios digitales de establecimiento haya solicitado la intervención de la Comisión de conformidad con el artículo 46, apartado 2, tras recibir dicha solicitud;

c) se haya determinado que ha infringido alguna de las disposiciones de la sección 4 del capítulo III, una vez finalizado el plazo pertinente para la comunicación a que se refiere el artículo 50, apartado 4.

2. Cuando la Comisión decida incoar un procedimiento en virtud del apartado 1, lo notificará a todos los coordinadores de servicios digitales, a la Junta y a la plataforma en línea de muy gran tamaño afectada.

En lo que respecta al apartado 1, letras a) y b), de conformidad con dicha notificación, el coordinador de servicios digitales de establecimiento afectado dejará de tener derecho a adoptar medidas de investigación o ejecución al respecto de la conducta pertinente por parte de la plataforma en línea de muy gran tamaño afectada, sin perjuicio del artículo 66 o de cualquier otra medida que pueda adoptar a petición de la Comisión.

3. El coordinador de servicios digitales a que se refieren el artículo 45, apartado 7, el artículo 46, apartado 2, y el artículo 50, apartado 1, según proceda, transmitirá a la Comisión, sin dilaciones indebidas una vez que sea informado:

a) cualquier información que ese coordinador de servicios digitales haya intercambiado en relación con la infracción o presunta infracción, según proceda, con la Junta y con la plataforma en línea de muy gran tamaño afectada;

b) el expediente de ese coordinador de servicios digitales en relación con la infracción o presunta infracción, según proceda;

c) cualquier otra información que obre en poder de ese coordinador de servicios digitales que pueda ser pertinente para el procedimiento incoado por la Comisión.

4. La Junta, y los coordinadores de servicios digitales que efectúen la solicitud a que se refiere el artículo 45, apartado 1, transmitirán a la Comisión, sin dilaciones indebidas una vez que sean informados, cualquier información que obre en su poder que pueda ser pertinente para el procedimiento incoado por la Comisión.

Artículo 52.- Solicitudes de información

1. A fin de desempeñar las funciones que le corresponden según lo dispuesto en la presente sección, la Comisión podrá, mediante una simple solicitud o mediante una decisión, requerir a las plataformas en línea de muy gran tamaño afectadas, así como a cualquier otra persona que actúe con fines relacionados con su actividad comercial, negocio, oficio o profesión que pueda razonablemente tener conocimiento de información relativa a la infracción o presunta infracción, según proceda, incluidas las organizaciones que realicen las auditorías a que se refieren el artículo 28 y el artículo 50, apartado 3, que entreguen dicha información en un plazo razonable.

2. Cuando envíe una simple solicitud de información a la plataforma en línea de muy gran tamaño afectada o cualquier otra de las personas a que se refiere el artículo 52, apartado 1, la Comisión expondrá la base jurídica y la finalidad de la solicitud, especificará que información requiere y establecerá el plazo en el que deberá entregarse la información, así como las sanciones previstas en el artículo 59 por proporcionar información incorrecta o engañosa.

3. Cuando la Comisión adopte una decisión por la que requiera la entrega de información a la plataforma en línea de muy gran tamaño afectada o cualquier otra de las personas a que se refiere el artículo 52, apartado 1, expondrá la base jurídica y la finalidad de la solicitud, especificará que información requiere y establecerá el plazo en el que deberá entregarse. Asimismo, indicará las sanciones previstas en el artículo 59 e indicará o impondrá las multas coercitivas previstas en el artículo 60. Asimismo, indicará el derecho a someter la decisión a revisión por el Tribunal de Justicia de la Unión Europea.

4. Los propietarios de la plataforma en línea de muy gran tamaño afectada o cualquier otra de las personas a que se refiere el artículo 52, apartado 1, o sus representantes y, en el caso de personas jurídicas, sociedades o empresas, o cuando no tengan personalidad jurídica, las personas autorizadas a representarles por ley o por su constitución proporcionarán la información solicitada en nombre de la plataforma en línea de muy gran tamaño afectada o cualquier otra de las personas a que se refiere el artículo 52, apartado 1. Los abogados debidamente autorizados para actuar podrán proporcionar la información en nombre de sus clientes. Estos últimos seguirán siendo plenamente responsables si la información proporcionada es incompleta, incorrecta o engañosa.

5. A petición de la Comisión, los coordinadores de servicios digitales y otras autoridades competentes entregarán a la Comisión toda la información necesaria para el desempeño de las funciones que le corresponden de conformidad con esta sección.

Artículo 53.- Competencia para realizar entrevistas y tomar declaraciones

A fin de desempeñar las funciones que le corresponden de conformidad con esta sección, la Comisión podrá entrevistar a cualquier persona física o jurídica que consienta en ser entrevistada con el fin de recabar información, relativa al objeto de una investigación, en relación con la infracción o presunta infracción, según proceda.

Artículo 54.- Competencia para realizar inspecciones sobre el terreno

1. A fin de desempeñar las funciones que le corresponden de conformidad con esta sección, la Comisión podrá realizar inspecciones sobre el terreno en las instalaciones de la plataforma en línea de muy gran tamaño afectada o cualquier otra de las personas a que se refiere el artículo 52, apartado 1.

2. Las inspecciones sobre el terreno también podrán realizarse con la ayuda de auditores o expertos designados por la Comisión de conformidad con el artículo 57, apartado 2.

3. Durante las inspecciones sobre el terreno, la Comisión y los auditores o expertos designados por ella podrán requerir a la plataforma en línea de muy gran tamaño afectada o cualquier otra de las personas a que se refiere el artículo 52, apartado 1, que proporcione explicaciones sobre su organización, funcionamiento, sistema informático, algoritmos, gestión de datos y conducta empresarial. La Comisión y los auditores o expertos designados por ella podrán formular preguntas al personal clave de la plataforma en línea de muy gran tamaño afectada o cualquier otra de las personas a que se refiere el artículo 52, apartado 1.

4. La plataforma en línea de muy gran tamaño o cualquier otra de las personas a que se refiere el artículo 52, apartado 1, está obligada a someterse a una inspección sobre el terreno cuando la Comisión lo ordene por medio de una decisión. Dicha decisión especificará el objeto y la finalidad de la visita, fijará la fecha en la que deba comenzar e indicará las sanciones previstas en los artículos 59 y 60 y el derecho a someter la decisión a la revisión del Tribunal de Justicia de la Unión Europea.

Artículo 55.- Medidas provisionales

1. En el contexto de un procedimiento que pueda dar lugar a que se adopte una decisión de incumplimiento de conformidad con el artículo 58, apartado 1, cuando exista una urgencia debido al riesgo de daños graves para los destinatarios del servicio, la Comisión podrá, mediante una decisión, ordenar medidas provisionales contra la plataforma en línea de muy gran tamaño afectada basadas en la constatación prima facie de una infracción.

2. Una decisión adoptada en virtud del apartado 1 será de aplicación durante un plazo especificado y podrá prorrogarse en la medida en que sea necesario y apropiado.

Artículo 56.- Compromisos

1. Si, durante uno de los procedimientos previstos en esta sección, la plataforma en línea de muy gran tamaño afectada ofrece compromisos que garanticen el cumplimiento de las disposiciones pertinentes del presente Reglamento, la Comisión podrá, mediante una decisión, declarar dichos compromisos vinculantes para la plataforma en línea de muy gran tamaño afectada y que no existen motivos adicionales para actuar.

2. La Comisión podrá, previa solicitud o por iniciativa propia, reabrir el procedimiento:

a) cuando se haya producido un cambio sustancial en alguno de los hechos sobre los que se haya basado la decisión;

b) cuando la plataforma en línea de muy gran tamaño afectada actúe contrariamente a sus compromisos; o

c) cuando la decisión se haya basado en información incompleta, incorrecta o engañosa proporcionada por la plataforma en línea de muy gran tamaño afectada o cualquier otra de las personas a que se refiere el artículo 52, apartado 1.

3. Cuando la Comisión considere que los compromisos ofrecidos por la plataforma en línea de muy gran tamaño afectada no pueden garantizar el cumplimiento efectivo de las disposiciones pertinentes del presente Reglamento, rechazará dichos compromisos en una decisión motivada al finalizar el procedimiento.

Artículo 57.- Acciones de vigilancia

1. Con el fin de desempeñar las funciones que le corresponden de conformidad con esta sección, la Comisión podrá emprender las acciones necesarias para vigilar la aplicación y el cumplimiento efectivos del presente Reglamento por la plataforma en línea de muy gran tamaño afectada. La Comisión también podrá ordenar a esa plataforma que proporcione acceso a sus bases de datos y algoritmos, y explicaciones al respecto.

2. Las acciones previstas en el apartado 1 podrán incluir la designación de expertos y auditores externos independientes para que ayuden a la Comisión a vigilar el cumplimiento de las disposiciones pertinentes del presente Reglamento y aporten conocimientos o experiencia específicos a la Comisión.

Artículo 58.- Incumplimiento

1. La Comisión adoptará una decisión de incumplimiento cuando constate que la plataforma en línea de muy gran tamaño incumple una o varias de las siguientes cosas:

a) las disposiciones pertinentes del presente Reglamento;

b) medidas provisionales ordenadas de conformidad con el artículo 55;

c) compromisos que se hayan declarado vinculantes de conformidad con el artículo 56.

2. Antes de adoptar la decisión prevista en el apartado 1, la Comisión comunicará sus conclusiones preliminares a la plataforma en línea de muy gran tamaño afectada. En las conclusiones preliminares, la Comisión explicará las medidas que considere adoptar, o que considere que la plataforma en línea de muy gran tamaño afectada debe adoptar, a fin de reaccionar de manera efectiva a las conclusiones preliminares.

3. En la decisión adoptada en virtud del apartado 1, la Comisión ordenará a la plataforma en línea de muy gran tamaño afectada que adopte las medidas necesarias para garantizar el cumplimiento de la decisión adoptada en virtud del apartado 1 en un plazo razonable y que proporcione información sobre las medidas que dicha plataforma pretenda adoptar para cumplir con la decisión.

4. La plataforma en línea de muy gran tamaño afectada proporcionará a la Comisión una descripción de las medidas que haya adoptado para garantizar el cumplimiento de la decisión conforme al apartado 1 tras su aplicación.

5. Cuando la Comisión constate que no se cumplen las condiciones del apartado 1, cerrará la investigación mediante una decisión.

Artículo 59.- Multas

1. En la decisión adoptada en virtud del artículo 58, la Comisión podrá imponer a la plataforma en línea de muy gran tamaño multas que no excedan del 6 % de su facturación total en el ejercicio financiero anterior cuando constate que dicha plataforma, de forma intencionada o por negligencia:

a) infringe las disposiciones pertinentes del presente Reglamento;

b) incumple una decisión por la que se ordenen medidas provisionales de conformidad con el artículo 55; o

c) incumple una medida voluntaria que se haya declarado vinculante por medio de una decisión adoptada de conformidad con el artículo 56.

2. La Comisión podrá, mediante decisión, imponer a la plataforma en línea de muy gran tamaño afectada o cualquier otra de las personas a que se refiere el artículo 52, apartado 1, multas que no excedan del 1 % de la facturación total del ejercicio financiero anterior cuando, de forma intencionada o por negligencia:

a) proporcionen información incorrecta, incompleta o engañosa en respuesta a una solicitud conforme al artículo 52 o bien, cuando la información sea solicitada mediante una decisión, no respondan a la solicitud en el plazo establecido;

b) no rectifiquen, en el plazo establecido por la Comisión, la información incorrecta, incompleta o engañosa proporcionada por un miembro del personal, o no proporcionen o se nieguen a proporcionar información completa;

c) se nieguen a someterse a una inspección sobre el terreno de conformidad con el artículo 54.

3. Antes de adoptar la decisión prevista en el apartado 2, la Comisión comunicará sus conclusiones preliminares a la plataforma en línea de muy gran tamaño afectada o cualquier otra de las personas a que se refiere el artículo 52, apartado 1.

4. Para fijar el importe de la multa, la Comisión tendrá en cuenta la naturaleza, gravedad, duración y recurrencia de la infracción y, en el caso de las multas impuestas de conformidad con el apartado 2, la demora causada al procedimiento.

Artículo 60.- Multas coercitivas

1. La Comisión podrá, mediante decisión, imponer a la plataforma en línea de muy gran tamaño afectada o cualquier otra de las personas a que se refiere el artículo 52, apartado 1, según proceda, multas coercitivas que no excedan del 5 % de la facturación media diaria del ejercicio financiero anterior por día, calculadas a partir de la fecha fijada por esa decisión, para obligarlas a:

a) proporcionar información correcta y completa en respuesta a una decisión que requiera información de conformidad con el artículo 52;

b) someterse a una inspección sobre el terreno que haya ordenado, mediante decisión, de conformidad con el artículo 54;

c) cumplir con una decisión por la que ordene medidas provisionales de conformidad con el artículo 55, apartado 1;

d) cumplir compromisos declarados legalmente vinculantes por una decisión de conformidad con el artículo 56, apartado 1;

e) cumplir con una decisión adoptada de conformidad con el artículo 58, apartado 1.

2. Cuando la plataforma en línea de muy gran tamaño afectada o cualquier otra de las personas a que se refiere el artículo 52, apartado 1, haya satisfecho la obligación que la multa coercitiva tuviera por objeto hacer cumplir, la Comisión podrá fijar el importe definitivo de la multa coercitiva en una cifra inferior a la que se aplicaría en virtud de la decisión original.

Artículo 61.- Plazo de prescripción para la imposición de sanciones

1. Las competencias conferidas a la Comisión por los artículos 59 y 60 estarán sujetas a un plazo de prescripción de cinco años.

2. El plazo comenzará a contar a partir del día en que se cometa la infracción. No obstante, en el caso de infracciones continuadas o reiteradas, el plazo comenzará a contar el día en que cese la infracción.

3. Cualquier acción emprendida por la Comisión o por el coordinador de servicios digitales para los fines de la investigación o del procedimiento al respecto de una infracción interrumpirá el plazo de prescripción para la imposición de multas o multas coercitivas. Las acciones que interrumpen el plazo de prescripción incluyen, en particular, las siguientes:

a) las solicitudes de información de parte de la Comisión o de un coordinador de servicios digitales;

b) una inspección sobre el terreno;

c) la incoación de un procedimiento por la Comisión en virtud del artículo 51, apartado 2.

4. Tras cada interrupción, el plazo comenzará a contarse desde el principio. Sin embargo, el plazo de prescripción para la imposición de multas o multas coercitivas finalizará, a más tardar, el día en el que haya transcurrido un período equivalente al doble del plazo de prescripción sin que la Comisión haya impuesto una multa o multa coercitiva. Dicho período se prorrogará por el tiempo durante el cual se suspenda el plazo de prescripción de conformidad con el apartado 5.

5. El plazo de prescripción para la imposición de multas o multas coercitivas se suspenderá mientras la decisión de la Comisión sea objeto de un procedimiento pendiente ante el Tribunal de Justicia de la Unión Europea.

Artículo 62.- Plazo de prescripción para la ejecución de sanciones

1. La competencia de la Comisión de ejecutar las decisiones adoptadas en virtud de los artículos 59 y 60 estará sujeta a un plazo de prescripción de cinco años.

2. El tiempo comenzará a contar el día en que la decisión sea firme.

3. El plazo de prescripción para la ejecución de las sanciones se interrumpirá:

a) por la notificación de una decisión que modifique el importe inicial de la multa o de la multa coercitiva o que rechace una solicitud tendente a obtener tal modificación;

b) por cualquier acción de la Comisión, o de un Estado miembro que actúe a petición de la Comisión, que esté destinada a la recaudación por vía ejecutiva de la multa o de la multa coercitiva.

4. Tras cada interrupción, el plazo comenzará a contarse desde el principio.

5. Quedará suspendido el plazo de prescripción en materia de ejecución de sanciones mientras:

a) dure el plazo concedido para efectuar el pago;

b) dure la suspensión del cobro por vía ejecutiva en virtud de una decisión del Tribunal de Justicia de la Unión Europea.

Artículo 63.- Derecho a ser oído y de acceso al expediente

1. Antes de adoptar una decisión en virtud del artículo 58, apartado 1, del artículo 59 o del artículo 60, la Comisión dará a la plataforma en línea de muy gran tamaño afectada o cualquier otra de las personas a que se refiere el artículo 52, apartado 1, la oportunidad de ser oída en relación con:

a) las conclusiones preliminares de la Comisión, incluido cualquier asunto respecto del cual la Comisión haya formulado objeciones; y

b) las medidas que la Comisión pueda proponerse adoptar en vista de las conclusiones preliminares a que se refiere la letra a).

2. La plataforma en línea de muy gran tamaño afectada o cualquier otra de las personas a que se refiere el artículo 52, apartado 1, podrá enviar sus observaciones sobre las conclusiones preliminares de la Comisión en un período razonable que la Comisión haya establecido en dichas conclusiones preliminares, que no podrá ser inferior a catorce días.

3. La Comisión basará sus decisiones únicamente en las objeciones sobre las que las partes afectadas hayan podido manifestarse.

4. Los derechos de defensa de las partes estarán garantizados plenamente en el curso del procedimiento. Tendrán derecho de acceso al expediente de la Comisión en virtud de una divulgación negociada, sujeta al interés legítimo de la plataforma en línea de gran tamaño afectada o cualquier otra de las personas a que se refiere el artículo 52, apartado 1, en la protección de sus secretos comerciales. El derecho de acceso al expediente no se extenderá a la información confidencial y a los documentos internos de la Comisión o de las autoridades de los Estados miembros. En particular, el derecho de acceso no se extenderá a la correspondencia entre la Comisión y dichas autoridades. Nada de lo dispuesto en este apartado impedirá que la Comisión utilice o divulgue la información necesaria para demostrar una infracción.

5. La información recabada de conformidad con los artículos 52, 53 y 54 se utilizará únicamente para los fines del presente Reglamento.

6. Sin perjuicio del intercambio y del uso de información a que se refieren el artículo 51, apartado 3, y el artículo 52, apartado 5, la Comisión, la Junta, las autoridades de los Estados miembros y sus respectivos empleados, funcionarios y otras personas que trabajen bajo su supervisión, y cualquier otra persona física o jurídica implicada, incluidos los auditores y expertos designados de conformidad con el artículo 57, apartado 2, no divulgarán información adquirida o intercambiada por ellos conforme a lo dispuesto en esta sección y de la clase protegida por la obligación de secreto profesional.

Artículo 64.- Publicación de las decisiones

1. La Comisión publicará las decisiones que adopte de conformidad con el artículo 55, apartado 1, el artículo 56, apartado 1, y los artículos 58, 59 y 60. Dicha publicación mencionará los nombres de las partes y el contenido principal de la decisión, incluidas las sanciones impuestas.

2. La publicación tendrá en cuenta los derechos e intereses legítimos de la plataforma en línea de muy gran tamaño afectada, de cualquier otra de las personas a que se refiere el artículo 52, apartado 1, y de cualquier tercero en la protección de su información confidencial.

Artículo 65.- Solicitudes de restricción de acceso y de cooperación con los tribunales nacionales

1. Cuando se hayan agotado todas las competencias conforme al presente artículo para poner fin a una infracción del presente Reglamento, la infracción persista y cause daños graves que no puedan evitarse mediante el ejercicio de otras competencias disponibles conforme al Derecho de la Unión o nacional, la Comisión podrá solicitar al coordinador de servicios digitales de establecimiento de la plataforma en línea de muy gran tamaño afectada que actúe de conformidad con el artículo 41, apartado 3.

Antes de efectuar dicha solicitud al coordinador de servicios digitales, la Comisión invitará a las partes interesadas a presentar observaciones por escrito en un plazo que no será inferior a dos semanas, explicando las medidas que tenga intención de solicitar e identificando al destinatario o destinatarios de las mismas.

2. Cuando sea necesario para la aplicación coherente del presente Reglamento, la Comisión, por iniciativa propia, podrá presentar observaciones por escrito a la autoridad judicial competente a que se refiere el artículo 41, apartado 3. Con permiso de la autoridad judicial en cuestión, también podrá realizar observaciones verbales.

Con el único fin de preparar sus observaciones, la Comisión podrá solicitar a dicha autoridad judicial que le transmita o se asegure de que se le transmita cualquier documentación necesaria para evaluar el caso.

Artículo 66.- Actos de ejecución relativos a la intervención de la Comisión

1. En relación con la intervención de la Comisión prevista en esta sección, la Comisión podrá adoptar actos de ejecución relativos a las modalidades prácticas para:

a) los procedimientos previstos en los artículos 54 y 57;

b) las audiencias previstas en el artículo 63;

c) la divulgación negociada de información prevista en el artículo 63.

2. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 70. Antes de adoptar medida alguna en virtud del apartado 1, la Comisión publicará un proyecto de la misma e invitará a todas las partes interesadas a presentar sus observaciones en el plazo establecido en la misma, que no será inferior a un mes.

Sección 4.- Disposiciones comunes de ejecución

Artículo 67.- Sistema de intercambio de información

1. La Comisión establecerá y mantendrá un sistema de intercambio de información seguro y fiable que facilite las comunicaciones entre los coordinadores de servicios digitales, la Comisión y la Junta.

2. Los coordinadores de servicios digitales, la Comisión y la Junta utilizarán el sistema de intercambio de información para todas las comunicaciones efectuadas en virtud del presente Reglamento.

3. La Comisión adoptará actos de ejecución que estipulen las modalidades prácticas y operativas para el funcionamiento del sistema de intercambio de información y su interoperabilidad con otros sistemas pertinentes. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 70.

Artículo 68.- Representación

Sin perjuicio de la Directiva 2020/XX/UE del Parlamento Europeo y del Consejo (52), los destinatarios de servicios intermediarios tendrán derecho a mandatar a un organismo, organización o asociación para que ejerza los derechos a que se refieren los artículos 17, 18 y 19 en su nombre, siempre que dicho organismo, organización o asociación cumpla todas las condiciones siguientes:

a) que opere sin ánimo de lucro;

b) que se haya constituido correctamente con arreglo al Derecho de un Estado miembro;

c) que sus objetivos legales incluyan un interés legítimo en velar por que se cumpla el presente Reglamento.

Sección 5.- Actos delegados

Artículo 69.- Ejercicio de la delegación

1. El poder para adoptar actos delegados se otorga a la Comisión con sujeción a las condiciones estipuladas en el presente artículo.

2. La delegación de competencias a que se refieren los artículos 23, 25 y 31 se otorgará a la Comisión por un período indefinido a partir de [la fecha prevista de adopción del Reglamento].

3. La delegación de competencias a que se refieren los artículos 23, 25 y 31 podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de competencias especificada en dicha decisión. La decisión surtirá efecto al día siguiente de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en la misma. No afectará a la validez de los actos delegados que ya estén en vigor.

4. En cuanto la Comisión adopte un acto delegado, lo notificará simultáneamente al Parlamento Europeo y al Consejo.

5. Los actos delegados adoptados en virtud de los artículos 23, 25 y 31 entrarán en vigor únicamente si, en un plazo de tres meses desde su notificación al Parlamento Europeo y al Consejo, ni el Parlamento Europeo ni el Consejo formulan objeciones o si, antes del vencimiento de dicho plazo, tanto el uno como el otro informan a la Comisión de que no las formularán. El plazo se prorrogará tres meses a iniciativa del Parlamento Europeo o del Consejo.

Artículo 70.- Comité

1. La Comisión estará asistida por el Comité de Servicios Digitales. Dicho comité lo será en el sentido del Reglamento ( UE) n.º 182/2011 .

2.En los casos en que se haga referencia al presente artículo, será de aplicación el artículo 4 del Reglamento ( UE) n.º 182/2011 .

Capítulo V.- Disposiciones finales

Artículo 71.- Supresión de determinadas disposiciones de la Directiva 2000/31/CE

1. Se suprimirán los artículos 12 a 15 de la Directiva 2000/31/CE.

2. Las referencias a los artículos 12 a 15 de la Directiva 2000/31/CE se interpretarán como referencias a los artículos 3, 4, 5 y 7 del presente Reglamento, respectivamente.

Artículo 72.- Modificaciones de la Directiva 2020/XX/CE sobre acciones representativas para la protección de los intereses colectivos de los consumidores

1. Se agrega lo siguiente al anexo I:

«(X) Reglamento del Parlamento Europeo y del Consejo relativo a un mercado único de servicios digitales (Ley de servicios digitales) y por el que se modifica la Directiva 2000/31/CE».

Artículo 73.- Evaluación

1. Al cabo de cinco años desde la entrada en vigor del presente Reglamento a más tardar, y cada cinco años a partir de entonces, la Comisión evaluará el presente Reglamento y elevará un informe al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo.

2. Para los fines del apartado 1, los Estados miembros y la Junta enviarán información a petición de la Comisión.

3. Para realizar las evaluaciones a que se refiere el apartado 1, la Comisión tendrá en cuenta las posiciones y conclusiones del Parlamento Europeo, del Consejo y de otros órganos o fuentes pertinentes.

4. Al cabo de tres años desde la fecha de aplicación del presente Reglamento a más tardar, la Comisión, previa consulta con la Junta, evaluará el funcionamiento de la Junta y elevará un informe al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo, teniendo en cuenta los primeros años de aplicación del Reglamento. Sobre la base de las conclusiones y teniendo debidamente en cuenta la opinión de la Junta, dicho informe irá acompañado, según proceda, de una propuesta de modificación del presente Reglamento con respecto a la estructura de la Junta.

Artículo 74.- Entrada en vigor y aplicación

1.El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

2.Será de aplicación a partir de [fecha – tres meses después de su entrada en vigor].

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el

Por el Parlamento Europeo         Por el Consejo

El Presidente                                     El Presidente

FICHA FINANCIERA LEGISLATIVA

(1)   Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico) ( DO L 178 de 17.7.2000, p. 1 ).

(2)    https://ec.europa.eu/info/sites/info/files/communication-shaping-europes-digital-future-feb2020_en_4.pdf

(3)   Parlamento Europeo, Resolución sobre una mejora del funcionamiento del mercado único [2020/2018(INL)].

(4)   Parlamento Europeo, Resolución sobre la adaptación de las normas de Derecho mercantil y civil a las entidades comerciales que operan en línea [2020/2019(INL)].

(5)   Parlamento Europeo, Resolución sobre la Ley de servicios digitales y cuestiones relacionadas con los derechos fundamentales [2020/2022(INI)].

(6)   Conclusiones del Consejo sobre la configuración del futuro digital de Europa, 8711/20 de 9 de junio de 2020, https://data.consilium.europa.eu/doc/document/ST-8711-2020-INIT/es/pdf

(7)    https://www.consilium.europa.eu/media/45910/021020-euco-final-conclusions.pdf

(8)   Por ejemplo, sentencia de 3 de octubre de 2019, Glawischnig-Piesczek (C-18/18).

(9)   Recomendación de la Comisión, de 1 de marzo de 2018, sobre medidas para combatir eficazmente los contenidos ilícitos en línea [COM(2018) 1177 final].

(10)    https://ec.europa.eu/info/business-economy-euro/product-safety-and-requirements/product-safety/product-safety-pledge_en .

(11)    https://ec.europa.eu/growth/industry/policy/intellectual-property/enforcement/memorandum-understanding-sale-counterfeit-goods-internet_en .

(12)    https://ec.europa.eu/info/policies/justice-and-fundamental-rights/combatting-discrimination/racism-and-xenophobia/eu-code-conduct-countering-illegal-hate-speech-online_en .

(13)   Parlamento Europeo, ibidem.

(14)   La configuración del futuro digital de Europa, disponible en: https://data.consilium.europa.eu/doc/document/ST-8711-2020-INIT/es/pdf .

(15)   Van Hoboken J. et al (2018), Hosting Intermediary Services and Illegal Content Online, and Schwemer, S., Mahler, T. & Styri, H. (2020). Legal analysis of the intermediary service providers of non-hosting nature, ICF, Grimaldi, The Liability Regime and Notice-and-Action Procedures, SMART 2016/0039.

(16)   Optimity Advisors, SMART 2017/ 0055 Algorithmic Awareness building – State of the art report and LNE, Governance and Accountability Mechanisms for Algorithmic Systems (en preparación). SMART 2018/37.

(17)   Eurobarometer TNS. (2018, julio). Flash Eurobarometer 469: Illegal content online.

(18)   Por ejemplo, sentencia de 2 de diciembre de 2010, Ker-Optika, C-108/09, EU:C:2010:725; sentencia de 11 de septiembre de 2014, Papasavvas, C-291/13, EU:C:2014:2209; sentencia de 15 de septiembre de 2016, McFadden, C-484/14, EU:C:2016:689; sentencia de 9 de marzo de 2017, Asociación Profesional Elite Taxi, C-434/15, EU:C:2017:981 o sentencia de 19 de diciembre de 2019, Airbnb Ireland, C-390/18, EU:C:2019:1112.

(19)   Sentencia de 23 de marzo de 2010, Google France y Google, C-236/08 a C-238/08, EU:C:2010:159; sentencia de 12 de julio de 2011, L’Oréal y otros, C-324/09, EU:C:2011:474; sentencia de 24 de noviembre de 2011, Scarlet Extended, C-70/10, EU:C:2011:771; sentencia de 16 de febrero de 2012, SABAM, C-360/10, EU:C:2012:85; sentencia de 27 de marzo de 2014, UPC Telekabel Wien, C-314/12, EU:C:2014:192; sentencia de 15 de septiembre de 2016, McFadden, C-484/14, EU:C:2016:689 o sentencia de 3 de octubre de 2019, Glawischnig-Piesczek, C‑18/18, EU:C:2019:821.

(20)   Ley de servicios digitales: una mejora del funcionamiento del mercado único, disponible en: https://www.europarl.europa.eu/doceo/document/TA-9-2020-0272_ES.html . Ley de servicios digitales: adaptación de las normas de Derecho mercantil y civil a las entidades comerciales que operan en línea , disponible en: https://www.europarl.europa.eu/doceo/document/TA-9-2020-0273_ES.html . Ley de servicios digitales y cuestiones relacionadas con los derechos fundamentales , disponible en: https://www.europarl.europa.eu/doceo/document/TA-9-2020-0274_ES.html .

(21)   Los enlaces a la ficha de síntesis y al dictamen favorable del Comité de Control Reglamentario se incorporarán tras su publicación.

(22)   DO C […] de […], p. […].

(23)   DO C […] de […], p. […].

(24)   DO C […] de […], p. […].

(25)   Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico) (DO L 178 de 17.7.2000, p. 1).

(26)   Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información (DO L 241 de 17.9.2015, p. 1).

(27)   Reglamento (UE) n.º 1215/2012 del Parlamento Europeo y del Consejo, de 12 de diciembre de 2012, relativo a la competencia judicial, el reconocimiento y la ejecución de resoluciones judiciales en materia civil y mercantil (DO L 351 de 20.12.2012, p. 1).

(28)   Directiva 2010/13/UE del Parlamento Europeo y del Consejo, de 10 de marzo de 2010, sobre la coordinación de determinadas disposiciones legales, reglamentarias y administrativas de los Estados miembros relativas a la prestación de servicios de comunicación audiovisual (Directiva de servicios de comunicación audiovisual) (Texto pertinente a efectos del EEE), (DO L 95 de 15.4.2010, p. 1).

(29)   Reglamento (UE) …/.. del Parlamento Europeo y del Consejo (propuesta de Reglamento para la prevención de la difusión de contenidos terroristas en línea).

(30)   Reglamento (UE) 2019/1148 del Parlamento Europeo y del Consejo sobre la comercialización y la utilización de precursores de explosivos, por el que se modifica el Reglamento (CE) n.º 1907/2006 y se deroga el Reglamento (UE) n.º 98/2013 (DO L 186 de 11.7.2019, p. 1).

(31)   Reglamento (UE) 2019/1150 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, sobre el fomento de la equidad y la transparencia para los usuarios profesionales de servicios de intermediación en línea (DO L 186 de 11.7.2019, p. 57).

(32)   Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), (DO L 201 de 31.7.2002, p. 37).

(33)   Reglamento […/…] por el que se establece una excepción temporal a determinadas disposiciones de la Directiva 2002/58/CE.

(34)   Directiva 2005/29/CE del Parlamento Europeo y del Consejo, de 11 de mayo de 2005, relativa a las prácticas comerciales desleales de las empresas en sus relaciones con los consumidores en el mercado interior, que modifica la Directiva 84/450/CEE del Consejo, las Directivas 97/7/CE, 98/27/CE y 2002/65/CE del Parlamento Europeo y del Consejo y el Reglamento (CE) n.º 2006/2004 del Parlamento Europeo y del Consejo («Directiva sobre las prácticas comerciales desleales»).

(35)   Directiva 2011/83/UE del Parlamento Europeo y del Consejo, de 25 de octubre de 2011, sobre los derechos de los consumidores, por la que se modifican la Directiva 93/13/CEE del Consejo y la Directiva 1999/44/CE del Parlamento Europeo y del Consejo y se derogan la Directiva 85/577/CEE del Consejo y la Directiva 97/7/CE del Parlamento Europeo y del Consejo.

(36)   Directiva 93/13/CEE del Consejo, de 5 de abril de 1993, sobre las cláusulas abusivas en los contratos celebrados con consumidores.

(37)   Directiva (UE) 2019/2161 del Parlamento Europeo y del Consejo de 27 de noviembre de 2019 por la que se modifica la Directiva 93/13/CEE del Consejo y las Directivas 98/6/CE, 2005/29/CE y 2011/83/UE del Parlamento Europeo y del Consejo, en lo que atañe a la mejora de la aplicación y la modernización de las normas de protección de los consumidores de la Unión.

(38)   Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(39)   Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, por la que se establece el Código Europeo de las Comunicaciones Electrónicas (versión refundida), (DO L 321 de 17.12.2018, p. 36).

(40)   Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124 de 20.5.2003, p. 36).

(41)   Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124 de 20.5.2003, p. 36).

(42)   Directiva 2013/11/UE del Parlamento Europeo y del Consejo, de 21 de mayo de 2013, relativa a la resolución alternativa de litigios en materia de consumo y por la que se modifica el Reglamento (CE) n.º 2006/2004 y la Directiva 2009/22/CE (Directiva sobre resolución alternativa de litigios en materia de consumo) (DO L 165 de 18.6.2013, p. 63).

(43)   Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo, (DO L 135 de 24.5.2016, p. 53).

(44)   Directiva 2011/93/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión marco 2004/68/JAI del Consejo (DO L 335 de 17.12.2011, p. 1).

(45)    https://ec.europa.eu/taxation_customs/vies/vieshome.do?selectedLanguage=es .

(46)   Directiva 2011/83/UE del Parlamento Europeo y del Consejo, de 25 de octubre de 2011, sobre los derechos de los consumidores, por la que se modifican la Directiva 93/13/CEE del Consejo y la Directiva 1999/44/CE del Parlamento Europeo y del Consejo y se derogan la Directiva 85/577/CEE del Consejo y la Directiva 97/7/CE del Parlamento Europeo y del Consejo.

(47)   Directiva 2005/29/CE del Parlamento Europeo y del Consejo, de 11 de mayo de 2005, relativa a las prácticas comerciales desleales de las empresas en sus relaciones con los consumidores en el mercado interior, que modifica la Directiva 84/450/CEE del Consejo, las Directivas 97/7/CE, 98/27/CE y 2002/65/CE del Parlamento Europeo y del Consejo y el Reglamento (CE) n.º 2006/2004 del Parlamento Europeo y del Consejo («Directiva sobre las prácticas comerciales desleales»).

(48)   Directiva 98/6/CE del Parlamento Europeo y del Consejo de 16 de febrero de 1998 relativa a la protección de los consumidores en materia de indicación de los precios de los productos ofrecidos a los consumidores.

(49)   Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

(50)   Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.

(51)   Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativo a la vigilancia del mercado y la conformidad de los productos y por el que se modifican la Directiva 2004/42/CE y los Reglamentos (CE) n.º 765/2008 y (UE) n.º 305/2011 (DO L 169 de 25.6.2019, p. 1).

(52)   [Referencia].

15May/21

Comunicación de la Comisión Europea de 4 de noviembre de 2010

Comunicación de la Comisión Europea «Un enfoque global de la protección de los datos personales en la Unión Europea», de 4 de noviembre de 2010.

El Parlamento Europeo,

Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 16,

Vistos la Carta de los Derechos Fundamentales de la Unión Europea, en particular sus artículos 7 y 8, y el Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales (CEDH), en particular su artículo 8, relativo al respeto de la vida privada y familiar, y su artículo 13 sobre el derecho a un recurso efectivo,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1),

Vista la Decisión marco 2008/977/JAI del Consejo, de 27 de noviembre de 2008, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal (2),

Visto el Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo de 18 de diciembre de 2000 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (3),

Vista la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (4),

Vistos el Convenio 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal que desarrolla la Directiva 95/46/CE y su Protocolo adicional, de 8 de noviembre de 2001, relativo a las autoridades de control y los tránsitos transfronterizos de datos, así como las recomendaciones del Comité de Ministros a los Estados miembros, en particular la Recomendación nº R (87) 15 dirigida a regular la utilización de datos de carácter personal en el sector de la policía y la Recomendación CM/Rec. (2010) 13 sobre la protección de individuos con respecto al procesamiento de datos personales en el contexto de perfiles,

Vistos los Principios rectores para la reglamentación de los ficheros computadorizados de datos personales dictados por la Asamblea General de la ONU en 1990,

Vista la Comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité Económico y Social Europeo y al Comité de las Regiones titulada «Un enfoque global de la protección de los datos personales en la Unión Europea» (COM(2010)0609),

Vistas las conclusiones del Consejo relativas a la comunicación de la Comisión titulada «Un enfoque global de la protección de los datos personales en la Unión Europea» (5),

Visto el dictamen del Supervisor Europeo de Protección de Datos de 14 de enero de 2011, relativo a la comunicación de la Comisión titulada «Un enfoque global de la protección de los datos personales en la Unión Europea»,

Vista la contribución conjunta del Grupo de trabajo sobre protección de datos del artículo 29 y del Grupo «Policía y Justicia» a la consulta de la Comisión Europea sobre el marco jurídico para el derecho fundamental de protección de datos personales, titulada «El futuro de la vida privada» (6),

Vista la opinión 8/10 del Grupo de trabajo sobre protección de datos del artículo 29, relativa a la legislación aplicable (7),

Vistas sus anteriores resoluciones sobre la protección de datos y su resolución sobre el Programa de Estocolmo (8),

Visto el artículo 48 de su Reglamento,

Vistos el informe de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior y las opiniones de la Comisión de Industria, Investigación y Energía, de la Comisión de Mercado Interior y Protección del Consumidor, de la Comisión de Cultura y Educación y de la Comisión de Asuntos Jurídicos (A7-0244/2011),

A.  Considerando que la Directiva 95/46/CE sobre la protección de los datos y la Directiva 2009/140/CE sobre el paquete de telecomunicaciones de la UE posibilitan la libre circulación de los datos personales dentro del mercado interior,

B.   Considerando que la legislación sobre protección de datos en la UE, en los Estados miembros y en otros países ha desarrollado una tradición jurídica que es preciso conservar y seguir perfeccionado,

C.  Considerando que el principio fundamental de la Directiva 1995/46/CE sobre protección de datos sigue siendo válido, pero que se han constatado diferentes enfoques en los diferentes Estados miembros en la forma de aplicarlo y de cumplirlo; considerando que la UE debe dotarse – tras una exhaustiva evaluación del impacto – de un marco global, coherente, moderno y de alto nivel capaz de proteger los datos personales de los individuos dentro y fuera de la UE en todas circunstancias, con el fin de responder a los numerosos desafíos que supone la protección de datos, como los causados por la globalización, el desarrollo tecnológico y la preocupación por la seguridad (es decir, la lucha contra el terrorismo); considerando que un marco de protección de datos como este contribuye a aumentar la seguridad jurídica, limitar al máximo la carga administrativa, ofrecer unas condiciones equitativas para los operadores económicos, impulsar el mercado interior digital y suscitar la confianza de las personas en el comportamiento de los responsables del tratamiento de datos y las autoridades ejecutivas,

D.  Considerando que las violaciones de las disposiciones sobre protección de datos pueden traducirse en graves riesgos para los derechos fundamentales de las personas y para los valores de los Estados miembros, de modo que la Unión y los Estados miembros deben adoptar medidas eficaces contra ese tipo de infracciones; considerando que esas violaciones conducen a una falta de confianza por parte de los ciudadanos que debilitará la oportuna utilización de las nuevas tecnologías, y que el mal uso y el abuso de datos personales debe ser punible mediante oportunas sanciones graves y disuasorias, incluidas sanciones penales,

E.   Considerando que hay que tener en cuenta otros derechos fundamentales importantes, consagrados en la Carta, y otros objetivos recogidos en los Tratados, como el derecho a la libertad de expresión y de información y el principio de transparencia al tiempo que se garantiza el derecho fundamental a la protección de los datos personales,

F.   Considerando que el nuevo fundamento jurídico establecido en el artículo 16 del TFUE y el reconocimiento en el artículo 8 de la Carta de los Derechos Fundamentales del derecho a la protección de datos personales y, en el artículo 7 del mismo, el derecho de la vida privada y familiar como un derecho autónomo exigen y justifican plenamente un enfoque global de la protección de datos en todos los ámbitos en los que se procesan datos personales, incluido el ámbito de la cooperación policial y judicial en materia penal, el ámbito de la Política Exterior y de Seguridad Común (PESC) sin perjuicio de las normas específicas establecidas en el artículo 39 del TUE, y el ámbito del procesamiento de datos por instituciones y órganos de la UE,

G.  Considerando que es de suma importancia que se tenga en cuenta una serie de elementos clave a la hora de examinar soluciones legislativas, consistentes en una protección eficaz y efectiva, prestada en todas circunstancias e independientemente de las preferencias políticas dentro de un plazo determinado; considerando que el marco debe ser estable durante un largo periodo y que las limitaciones en el ejercicio del derecho, en caso necesario, deben ser excepcionales, de conformidad con la legislación, estrictamente necesarias y proporcionadas, estar debidamente justificadas y no afectar nunca a los elementos esenciales del propio derecho (9),

H.  Considerando que la recopilación, el análisis, el intercambio y el uso indebido de datos y el riesgo de realización de perfiles, potenciados por el desarrollo tecnológico, han alcanzado dimensiones sin precedentes, por lo que son necesarias normas estrictas de protección de datos, como la ley aplicable y la definición de las responsabilidades de todas las partes interesadas en términos de aplicación de la legislación de la UE en materia de protección de datos; considerando la creciente utilización de tarjetas de fidelidad (por ejemplo, tarjetas de club, tarjetas de descuento o tarjetas con ventajas) por las empresas y el comercio, y que son, o pueden ser, utilizadas para crear perfiles de clientes,

I.    Considerando que los ciudadanos no compran en línea con la misma seguridad que lo hacen fuera de línea debido a temores sobre el robo de identidad y a la falta de transparencia en cuanto a cómo se procesa y se utiliza su información personal,

J.    Considerando que la tecnología está permitiendo cada vez más crear, enviar, procesar y almacenar datos en cualquier lugar y momento de formas muy diferentes, y que, en este contexto, es fundamental que las personas a las que se refieren los datos tengan un control efectivo sobre sus propios datos,

K.  Considerando que los derechos fundamentales a la protección de datos y a la vida privada incluyen la protección de las personas contra la posible vigilancia e intromisión en sus datos por el propio Estado, así como por entidades privadas,

L.   Considerando que es posible que exista privacidad y seguridad y que ambas son de importancia fundamental para los ciudadanos, lo que significa que no existe necesidad de optar entre ser libre o estar seguro,

M.  Considerando que los niños merecen una protección específica, ya que pueden ser menos conscientes de los riesgos, las consecuencias, las garantías y los derechos en relación con el procesamiento de datos personales; considerando que los jóvenes divulgan datos personales en las redes sociales que se están extendiendo rápidamente por Internet,

N.  Considerando que un control eficaz por parte de las personas a las que se refieren los datos y de las autoridades nacionales de protección de datos exige un comportamiento transparente por parte de los responsables del tratamiento de datos,

O.  Considerando que no todos los responsables del tratamiento de datos son empresas en línea y que, por tanto, las nuevas normas para la protección de datos tienen que cubrir tanto el entorno en línea como el entorno fuera de línea, al tiempo que contemplan las posibles diferencias entre ambos,

P.   Considerando que las autoridades nacionales de protección de datos están sujetas a normas que difieren notablemente en los 27 Estados miembros, sobre todo en lo referente a la condición estatutaria, los recursos y los poderes,

Q.  Considerando que un sistema de protección de datos europeo e internacional sólido constituye el fundamento necesario para el flujo transfronterizo de datos personales, y que las actuales diferencias en la legislación en materia de protección de datos y su aplicación afectan a la protección de los derechos fundamentales y las libertades civiles, a la seguridad y la claridad jurídicas en las relaciones contractuales, al desarrollo del comercio electrónico y a las transacciones electrónicas, a la confianza del consumidor en el sistema, a las transacciones transfronterizas, a la economía global y al mercado único europeo; considerando en este contexto que el intercambio de datos es importante para permitir y garantizar la seguridad pública, a nivel nacional e internacional; considerando que la necesidad, la proporcionalidad, la limitación de fines, la vigilancia y la idoneidad son condiciones previas para el intercambio,

R.   Considerando que las actuales normas y condiciones que rigen la transferencia de datos de la UE hacia terceros países han conducido a diferentes enfoques y prácticas en los diferentes Estados miembros; considerando que es imperativo que se respeten plenamente los derechos de las personas a las que se refieren los datos en los terceros países en los que se transfieren y tramitan los datos personales,

Pleno compromiso con un enfoque global

1.   Acoge con gran satisfacción y apoya la comunicación de la Comisión titulada «Un enfoque global de la protección de los datos personales en la Unión Europea» así como la atención especial que presta al fortalecimiento de las disposiciones vigentes, presentando nuevos principios y mecanismos y asegurando normas coherentes y elevadas en materia de protección de datos en la nueva configuración que ofrece la entrada en vigor del Tratado de Lisboa (artículo 16 del TFUE) y la Carta de los Derechos Fundamentales, que ha adquirido carácter vinculante, en especial su artículo 8;

2.   Subraya que las normas y los principios que establece la Directiva 95/46/CE representan un punto de partida ideal y deberán detallarse, ampliarse y observarse como parte de una legislación moderna en materia de protección de datos;

3.   Subraya la importancia del artículo 9 de la Directiva 95/46/CE que obliga a los Estados miembros a establecer exenciones respecto de las disposiciones sobre protección de datos cuando los datos personales se utilicen exclusivamente para fines periodísticos o de expresión artística o literaria; en ese contexto, pide a la Comisión que garantice que se mantengan esas excepciones y que se haga todo lo posible por evaluar la necesidad de desarrollar dichas excepciones teniendo en cuenta cualquier nueva disposición con el fin de proteger la libertad de prensa;

4.   Subraya que el planteamiento tecnológicamente neutro de la Directiva 95/46/CE debe conservarse como principio para un nuevo marco;

5.   Reconoce que los desarrollos tecnológicos han creado, de una parte, nuevas amenazas para la protección de los datos personales y, de otra, han dado lugar asimismo a un enorme incremento del uso de tecnologías de la información para fines cotidianos y normalmente inofensivos, y que dichos desarrollos significan que es necesaria una evaluación a fondo de las actuales normas sobre protección de datos para garantizar que

i) las normas aún deparan un elevado nivel de protección,

ii) las normas aún aseguran un equilibrio justo entre el derecho a la protección de los datos personales y el derecho a la libertad de expresión y de información, y

iii) las normas no impiden necesariamente el procesamiento cotidiano de datos personales que normalmente es inofensivo;

6.   Considera imperativo ampliar la aplicación de las normas generales de protección de datos a los ámbitos de la cooperación policial y judicial, incluso en el contexto del procesamiento de datos a nivel nacional, teniendo especialmente en cuenta la cuestionable tendencia a una reutilización sistemática de datos personales del sector privado para fines de aplicación de la ley, permitiendo al mismo tiempo, si fuera estrictamente necesario y proporcionado en una sociedad democrática, limitaciones perfectamente ajustadas y armonizadas de determinados derechos de protección de datos de las personas;

7.   Subraya la necesidad de que el procesamiento de datos personales por las instituciones y organismos de la Unión Europea, que está regido por el Reglamento (CE) nº 45/2001, se encuentre incluido dentro del alcance del nuevo marco;

8.   Reconoce que pueden ser necesarias medidas reforzadas adicionales para especificar de qué manera los principios generales establecidos por el marco global son aplicables a las actividades de sectores específicos y al tratamiento de datos, como ya ha ocurrido con la Directiva sobre la privacidad y las comunicaciones electrónicas, pero insiste en que las normas específicas de un sector no deben, en ninguna circunstancia, rebajar el nivel de protección asegurado por la legislación marco, sino que deben definir estrictamente las derogaciones excepcionales, necesarias, legítimas y perfectamente ajustadas a los principios de protección de datos;

9.   Pide a la Comisión que asegure que la actual revisión de la legislación de la UE en materia de protección de datos prevé:

  • la plena armonización al más elevado nivel que proporcione certidumbre jurídica y un nivel elevado y uniforme de protección de los ciudadanos en toda circunstancia,
  • una explicación más detallada de las normas sobre la ley aplicable con vistas a proporcionar un grado uniforme de protección para los ciudadanos sea cual sea la localización geográfica del responsable del tratamiento de los datos, que abarque también la aplicación de la protección de datos por las autoridades o en los tribunales;

10. Opina que el régimen de protección de datos revisado, a la vez que aplica plenamente los derechos de vida privada y de protección de datos, debe reducir al máximo las cargas burocrática y financiera y ofrecer instrumentos que permitan a las agrupaciones empresariales, concebidas como una unidad, actuar de manera unitaria y no como una multitud de empresas individuales; anima a la Comisión a realizar estudios de impacto y evaluar con detenimiento los costes de nuevas medidas;

Reforzar los derechos de las personas

11. Pide a la Comisión que refuerce los principios y los elementos existentes como la transparencia, la minimización de datos y la limitación de la finalidad, el consentimiento informado, previo y explícito, la notificación sobre infracciones de datos y los derechos de los interesados, como establece la Directiva 95/46/CE, mejorando su implantación en los Estados miembros, sobre todo en lo que respecta al «entorno en línea»;

12. Subraya el hecho de que el consentimiento solo se considerará válido si es inequívoco, informado, dado libremente, específico y explícito, y que se deben aplicar mecanismos adecuados para registrar el consentimiento de los usuarios o su revocación;

13. Señala el hecho de que el consentimiento voluntario no puede darse por supuesto en el ámbito de los contratos laborales;

14. Manifiesta su preocupación por las derivas asociadas a la publicidad comportamental en línea y recuerda que la Directiva sobre la privacidad y las comunicaciones electrónicas estipula la necesidad de un consentimiento explícito y previo de la persona afectada para el envío de «cookies» y el posterior seguimiento de su comportamiento de navegación para dirigirle anuncios personalizados;

15. Apoya plenamente la introducción de un principio de transparencia general, así como el uso de tecnologías que incrementan la transparencia y el desarrollo de notificaciones estándar de privacidad y permiten a las personas ejercer un control sobre sus propios datos; subraya que la información sobre el tratamiento de datos debe facilitarse en un lenguaje claro y sencillo y de una manera que sea fácil de entender y de fácil acceso;

16. Subraya además la importancia de mejorar los medios para ejercer los derechos de acceso, rectificación, supresión y bloqueo de datos, así como el conocimiento de los mismos, de aclarar en detalle y codificar el derecho a ser olvidado (10) y de permitir la portabilidad de datos (11), al tiempo que se asegura el desarrollo y la implantación de la plena viabilidad técnica y organizativa para permitir el ejercicio de tales derechos; subraya que las personas necesitan suficiente control de sus datos en línea que les permita ejercer un uso responsable de Internet;

17. Subraya que los ciudadanos deben poder ejercer gratuitamente sus derechos relativos a los datos personales; pide a las empresas que se abstengan de cualquier intento de añadir barreras innecesarias al derecho a acceder, modificar o suprimir datos personales; subraya que la persona a la que se refieren los datos tiene que encontrarse en posición de saber en todo momento qué datos han sido almacenados por quién, cuándo, para qué fin, durante qué período de tiempo y cómo se están procesando; hace hincapié en que las personas a las que se refieren los datos tienen que poder suprimir, corregir o bloquear los datos sin trámite burocrático alguno, y en que deben estar informadas de cualquier uso indebido de los datas o su violación; solicita, asimismo, que los datos se comuniquen a instancias de la persona interesada, y que se supriman, como muy tarde, cuando la persona lo solicite; subraya la necesidad de comunicar claramente a las personas a las que se refieren los datos el grado de protección de dichos datos en los terceros países; destaca que el derecho al acceso incluye no sólo el pleno acceso a los datos procesados sobre uno mismo, incluido su origen y destinatarios, sino también la información inteligible sobre la lógica aplicada en cualquier procesamiento automático; subraya que esto último adquirirá una mayor importancia con la realización de perfiles y la extracción de datos;

18. Indica que la creación de perfiles es una de las tendencia principales en el mundo digital, debido a la importancia que están cobrando las redes sociales y los modelos integrados de empresa de Internet; pide a la Comisión, por consiguiente, que incluya disposiciones sobre la creación de perfiles definiendo al mismo tiempo de forma clara los términos «perfil» y «creación de perfiles»;

19. Reitera la necesidad de aumentar las obligaciones de los responsables del tratamiento de datos respecto de la información de las personas a la que se refieren los datos y acoge con satisfacción la atención prestada por la comunicación a las actividades de sensibilización dirigidas al público general y más específicamente a los jóvenes; subraya la necesidad de tratar de un modo específico a las personas vulnerables y, en particular, a los niños y las personas de edad avanzada; anima a los diferentes actores a que emprendan esas actividades de sensibilización, y apoya la propuesta de la Comisión de cofinanciar las medidas de sensibilización sobre la protección de datos con cargo al presupuesto de la UE; pide una divulgación eficiente a escala de cada Estado miembro de la información sobre los derechos y las obligaciones de las personas físicas y jurídicas en lo relativo a la recopilación, procesamiento, almacenaje y envío de datos personales;

20. Recuerda la necesidad de proteger específicamente a las personas vulnerables y, en particular, a los niños, en particular imponiendo por defecto un alto nivel de protección de los datos y adoptando medidas adecuadas y específicas para proteger sus datos personales;

21. Subraya la importancia de la legislación en materia de protección de datos reconociendo la necesidad de proteger específicamente a niños y menores, entre otras cosas, teniendo en cuenta el mayor acceso de los niños a Internet y a contenidos digitales, y destaca que la alfabetización audiovisual debe convertirse en parte de la educación formal con vistas a instruir a los niños y a los menores sobre la forma de actuar responsablemente en el entorno en línea; a tal efecto, es necesario prestar particular atención a las disposiciones relativas a la recogida y ulterior procesamiento de los datos de los niños, al fortalecimiento de los fines de limitación en relación con los datos de los niños y a cómo se busca el consentimiento de los niños, así como a las disposiciones relativas a la protección contra la publicidad basada en el comportamiento (12);

22. Se muestra a favor de una mayor aclaración y un refuerzo de garantías respecto del procesamiento de datos sensibles y pide que se reflexione sobre la necesidad de manejar nuevas categorías, como los datos genéticos y biométricos, especialmente en el contexto de la evolución tecnológica (por ejemplo, la computación en nube) y social;

23. Subraya que los datos personales referentes a la situación profesional del usuario facilitados a su empleador no deben publicarse ni transmitirse a terceros sin el consentimiento previo del interesado;

Seguir avanzando en la dimensión del mercado interior y garantizar una mejor aplicación de las normas de protección de datos

24. Toma nota de que la protección de datos debería desempeñar un papel aún más importante en el mercado interior, y subraya que la protección eficaz del derecho a la intimidad es esencial para lograr la confianza de las personas, que es lo que se necesita para desbloquear el pleno potencial de crecimiento del mercado único digital; recuerda a la Comisión que unos principios y unas normas comunes tanto para los bienes como para los servicios son condiciones previas para un mercado único digital, puesto que los servicios constituyen una parte importante del mercado digital;

25. Reitera su petición a la Comisión de que clarifique los criterios relativos a la legislación vigente en materia de protección de datos personales;

26. Considera esencial reforzar las obligaciones de los responsables del tratamiento de datos para garantizar el cumplimiento de la legislación sobre protección de datos contando, entre otros, con mecanismos y procedimientos proactivos, y acoge con satisfacción las otras orientaciones propuestas en la comunicación de la Comisión;

27. Recuerda que en este contexto es preciso prestar especial atención a los responsables del tratamiento de datos que están sujetos a obligaciones de confidencialidad profesional y que, para ellos, se debe considerar la posibilidad de crear estructuras especiales para la supervisión de la protección de datos;

28. Acoge con satisfacción y respalda la consideración de la Comisión de introducir un principio de responsabilidad, ya que tiene una importancia fundamental para garantizar que los responsables del tratamiento de datos actúen de acuerdo con su responsabilidad; al mismo tiempo, pide a la Comisión que examine con detenimiento cómo se puede aplicar en la práctica dicho principio y que analice las consecuencias del mismo;

29. Acoge con satisfacción la posibilidad de hacer obligatoria la designación de los responsables de la protección de datos, ya que la experiencia de los Estados miembros que ya han nombrado a un responsable muestra que este concepto está dando resultados positivos; destaca, no obstante, que esto deberá examinarse minuciosamente en lo que respecta a las pequeñas empresas y las microempresas con vistas a evitar imponerles costes o cargas excesivas;

30. Se felicita igualmente en este contexto de los esfuerzos que se están realizando para simplificar y armonizar el actual sistema de notificación;

31. Considera fundamental que se hagan obligatorios los estudios de impacto sobre la privacidad a fin de identificar riesgos para la intimidad, prever problemas y aportar soluciones proactivas;

32. Considera de máxima importancia que se puedan ejercer los derechos de las personas a que se refieren los datos; indica que se podrían introducir acciones colectivas como una herramienta para que las personas puedan defender de forma colectiva sus derechos relativos a los datos personales y solicitar compensación por los daños resultantes de una violación de los mismos; señala, no obstante, que una introducción así debe estar sujeta a límites a fin de evitar abusos; pide a la Comisión que clarifique la relación entre la presente comunicación sobre protección de datos y la actual consulta pública sobre el recurso colectivo; pide, por consiguiente, un mecanismo de reparación colectiva para las infracciones de las normas sobre protección de datos a fin de permitir que las personas a que se refieren los datos sean indemnizadas por los daños sufridos,

33. Pone de relieve la necesidad de una aplicación correcta y armonizada en toda la UE; pide a la Comisión que en su propuesta legislativa contemple sanciones severas y disuasorias, incluidas las penales, por el mal uso o abuso de datos personales;

34. Anima a la Comisión a introducir un sistema de notificaciones generales obligatorias sobre infracción de datos personales, haciéndolo extensivo a sectores distintos del de las telecomunicaciones, asegurando al mismo tiempo que

a) no se convierta en una alerta rutinaria para todos los tipos de infracciones, sino sobre todo para aquellas que puedan afectar negativamente al individuo, y

b) que todas las infracciones sin excepción queden registradas y a disposición de las autoridades de protección de datos u otras competentes para su inspección y evaluación, asegurando de este modo unas condiciones equitativas y una protección uniforme a todos los ciudadanos;

35. Ve en los conceptos de «privacidad por diseño» y «privacidad por defecto» un fortalecimiento de la protección de datos, y apoya el examen de las diferentes posibilidades para su aplicación concreta, reconociendo igualmente la necesidad de promover el uso de tecnologías de protección de la intimidad; destaca la necesidad de que cualquier aplicación de la «privacidad por diseño» se base en definiciones y criterios sólidos y concretos, a fin de proteger el derecho de las personas a la privacidad y la protección de datos, y garantizar la seguridad jurídica, la transparencia, unas condiciones de competencias equitativas y la libre circulación; opina que la «privacidad por diseño» debe basarse en el principio de la minimización de datos, lo que significa que todos los productos, servicios y sistemas deben realizarse de tal modo que solo se recopilen, utilicen y transmitan los datos personales indispensables para su funcionamiento;

36. Indica que el desarrollo y el creciente uso de la computación en nube plantea nuevos desafíos en términos de intimidad y de protección de los datos personales; pide, por tanto, una clarificación de las capacidades de los responsables del tratamiento de datos, de los procesadores de datos y de los servidores de acogida para asignar mejor las responsabilidades jurídicas correspondientes y para que los interesados sepan dónde se almacenan sus datos, quién tiene acceso a sus datos, quién decide el uso que se dará a los datos de carácter personal, y qué tipo de procesos de copia de seguridad y de recuperación existen;

37. Pide, por lo tanto, a la Comisión que, en el marco de la revisión de la Directiva 95/46/CE, tenga debidamente en cuenta las cuestiones relativas a la protección de los datos relacionados con la computación en nube, al mismo tiempo que se garantiza que las normas relativas a la protección de datos se aplican a todas las partes, incluidos los operadores de telecomunicaciones y los operadores no relacionados con las telecomunicaciones;

38. Pide a la Comisión que asegure que todos los operadores de Internet asumen sus responsabilidades con respecto a la protección de datos, e insta a las agencias publicitarias y a los editores a que informen claramente a los internautas, antes de recopilar cualquier dato sobre ellos;

39. Celebra el acuerdo recientemente firmado sobre un marco para la evaluación del impacto de la protección de datos y de la privacidad para las aplicaciones de identificación por radiofrecuencia (RFID), que pretende garantizar la intimidad de los consumidores antes de que se introduzcan en el mercado las etiquetas RFID;

40. Respalda los esfuerzos encaminados a seguir avanzando en las iniciativas de autorregulación – como los códigos de conducta – y la reflexión sobre la creación de sistemas voluntarios de certificación de la UE, como pasos complementarios a las medidas legislativas, al tiempo que se mantiene que el sistema de protección de datos esté basado en una legislación que fije garantías de alto nivel; pide a la Comisión que lleve a cabo una evaluación de impacto de las iniciativas de autorregulación en tanto que instrumentos para una mejor aplicación de las normas en materia de protección de los datos;

41. Opina que cualquier sistema de certificación o de distintivo debe garantizar su integridad y fiabilidad, ser neutro desde el punto de vista tecnológico, capaz de obtener un reconocimiento a nivel mundial, y tener un coste asequible a fin de no crear barreras de acceso;

42. Se manifiesta a favor de seguir clarificando, fortaleciendo y armonizando el estatuto y las competencias de las autoridades nacionales de protección de datos, y de explorar diferentes vías para asegurar una aplicación más coherente de las normas de la UE en materia de protección de datos en todo el mercado interior; hace hincapié, además, en la importancia de asegurar la coherencia entre las competencias del SEPD, las autoridades nacionales en materia de protección de datos y el Grupo de Trabajo del artículo 29;

43. Subraya, en este contexto, que la función y los poderes del Grupo de Trabajo del artículo 29 deben ser reforzados a fin de mejorar la coordinación y la cooperación entre las autoridades en materia de protección de datos de los Estados miembros, sobre todo por lo que respecta a la necesidad de garantizar la aplicación uniforme de las normas sobre protección de datos;

44. Pide a la Comisión que, en el nuevo marco jurídico, aclare la noción esencial de independencia de las autoridades nacionales de protección de datos en el sentido de ausencia de cualquier tipo de influencia externa (13); subraya que hay que proporcionar a las autoridades nacionales de protección de datos los recursos necesarios y otorgarles competencias armonizadas para iniciar investigaciones e imponer sanciones;

Fortalecimiento de la dimensión global de la protección de datos

45. Pide a la Comisión que racionalice y refuerce los actuales procedimientos para la transferencia internacional de datos – acuerdos jurídicamente vinculantes y normas corporativas vinculantes – y que defina sobre la base de los principios en materia de protección de los datos personales anteriormente citados los aspectos esenciales ambiciosos de la protección de datos en la UE que deberán incluirse en los acuerdos internacionales; subraya que los acuerdos de la UE con países terceros en materia de intercambio de datos personales deben prever que los ciudadanos europeos gocen del mismo nivel de protección de datos personales que en el interior de la Unión Europea;

46. Opina que el procedimiento de evaluación del carácter adecuado de la Comisión necesitaría una mayor clarificación, una aplicación, ejecución y supervisión más estrictas, y que convendría especificar mejor los criterios y requisitos para la evaluación del nivel de protección de datos en un país tercero o en organizaciones internacionales, tomando en consideración las nuevas amenazas para la intimidad y los datos personales;

47. Pide a la Comisión que evalúe atentamente la eficacia y la correcta aplicación de los principios de puerto seguro;

48. Celebra la posición adoptada por la Comisión sobre la reciprocidad en los niveles de protección por lo que respecta a las personas cuyos datos se exportan a terceros países o se conservan en ellos; pide a la Comisión que adopte medidas firmes para mejorar la cooperación reguladora con terceros países con miras a aclarar las normas aplicables y a la convergencia de la legislación de la UE y de terceros países en materia de protección de datos; pide a la Comisión que conceda prioridad a este respecto en el Consejo Económico Transatlántico, que ha reanudado sus actividades;

49. Respalda los esfuerzos de la Comisión por reforzar la cooperación con los países terceros y las organizaciones internacionales, incluidas las Naciones Unidas, el Consejo de Europa y la OCDE, así como con organismos de normalización como el Comité Europeo de Normalización (CEN), el Organismo Internacional de Normalización (ISO), el World Wide Web Consortium (W3C) y el Grupo Especial sobre Ingeniería de Internet (IETF); alienta el desarrollo de normas internacionales (14), asegurando a la vez que exista coherencia entre las iniciativas para el desarrollo de normas internacionales y las actuales revisiones en la UE, la OCDE y el Consejo de Europa;

50. Encarga a su Presidente que transmita la presente Resolución al Consejo y a la Comisión.

————————————————————————————————————

(1) DO L 281 de 23.11.95, p. 31.

(2) DO L 350 de 30.12.08, p. 60.

(3) DO L 8 de 12.01.01, p. 1.

(4) DO L 201 de 31.7.2002, p. 37.

(5) Sesión nº 3071 del Consejo de Justicia y Asuntos de Interior, celebrada en Bruselas los días 24 y 25 de febrero de 2011, disponible en http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/jha/119461.pdf

(6) 02356/09/EN WP 168.

(7) 0836/10/EN WP 179.

(8) Por ejemplo: Resolución legislativa del Parlamento Europeo, de 23 de septiembre de 2008, sobre el proyecto de Decisión marco del Consejo relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal (DO C 8 E de 14.1.2010, p. 138); Recomendación del Parlamento Europeo destinada al Consejo, de 26 de marzo de 2009, sobre el refuerzo de la seguridad y de las libertades fundamentales en Internet (DO C 117 E de 6.5.2010, p. 206); Resolución del Parlamento Europeo, de 25 de noviembre de 2009 , sobre la Comunicación de la Comisión al Parlamento Europeo y al Consejo titulada «Un espacio de libertad, seguridad y justicia al servicio de los ciudadanos – Programa de Estocolmo» (DO C 285 E, 21.10.2010, p. 12).

(9) Véase el dictamen del SEPD (nº 7) [30].

(10) Debe existir una identificación clara y precisa de todos los elementos clave que sustentan este derecho.

(11) La portabilidad de datos personales facilitará el buen funcionamiento tanto del mercado interior como de Internet y su apertura y conectividad características.

(12) Podría considerarse la posibilidad de establecer una edad límite por debajo de la cual sean necesarios el consentimiento paterno y mecanismos para verificar la edad;

(13) De conformidad con el artículo 16 del TFUE y el artículo 8 de la Carta.

(14) Véase la Declaración de Madrid: Normas de privacidad global en un mundo globalizado, octubre de 2009 y la Resolución sobre Normas Internacionales, adoptada en la 32ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, Jerusalén 27-29 de octubre de 2010.

——————————————————————————————-

 OPINIÓN DE LA COMISIÓN DE INDUSTRIA, INVESTIGACIÓN Y ENERGÍA (11.5.2011)         

para la Comisión de Libertades Civiles, Justicia y Asuntos de Interior

sobre un enfoque global de la protección de los datos personales en la Unión Europea

(2011/2025(INI))

Ponente: Giles Chichester

SUGERENCIAS

La Comisión de Industria, Investigación y Energía pide a la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, competente para el fondo, que incorpore las siguientes sugerencias en la propuesta de resolución que apruebe:

1.   Subraya que la protección eficaz del derecho a la intimidad es esencial para asegurar la confianza de los consumidores, que es lo que se necesita para desbloquear el pleno potencial de crecimiento del mercado único digital;

2.   Opina que el mercado único digital requiere acuerdos comunes relativos a la protección de la intimidad a escala europea para alentar el comercio transfronterizo y evitar las distorsiones del mercado; subraya que un grado elevado de protección de los datos económicos sensibles (por ejemplo, números de tarjetas de crédito o direcciones) es fundamental en términos de credibilidad y consumo digital;

3.   Recuerda a la Comisión que unos principios y normas comunes tanto para los bienes como para los servicios son condiciones previas para un mercado único digital, puesto que los servicios constituyen una parte importante del mercado digital;

4.   Destaca que la Comisión debe considerar, en relación con cualquier propuesta, todos los aspectos, incluidos las necesidades verificadas, la seguridad jurídica, la reducción de las cargas administrativas, el mantenimiento de la igualdad de condiciones para los operadores y la viabilidad, así como el coste y el valor probable con respecto a la protección de datos;

5.   Reconoce, no obstante, que la Directiva 95/46/CE relativa a la protección de datos ha conducido a un marco jurídico fragmentado debido a los diferentes enfoques de aplicación adoptados en los diferentes Estados miembros, y que los avances de las nuevas tecnologías han conducido a nuevos retos en lo que se refiere a la protección de datos; está de acuerdo, por lo tanto, en que se ha confirmado la necesidad de un nuevo marco jurídico;

6.   Recuerda a la Comisión que hay que examinar cuidadosamente los efectos de la ampliación de las categorías de datos sensibles; sostiene que los criterios más estrictos para tratar datos sensibles no deberían requerir muchas autorizaciones legales nuevas para mantener las aplicaciones informáticas necesarias y deseadas, y que la lista de datos sensibles debe ampliarse únicamente para incluir todos aquellos datos que son sensibles en (casi) todas las situaciones concebibles de procesamiento de datos, como los datos genéticos;

7.   Pide a la Comisión que modifique la Directiva 95/46/CE no solamente para incluir otras categorías de datos (como los datos genéticos) sino también para tener en cuenta la aparición futura de nuevos datos, y que revise en profundidad la Directiva en este ámbito;

8.   Recuerda a la Comisión que no todos los responsables del tratamiento de datos son empresas de Internet; pide a la Comisión que se asegure de que las nuevas normas en materia de protección de datos pueden aplicarse tanto en el entorno en línea como fuera de línea;

9.   Pide a la Comisión que siga regulando la recopilación, la venta y la compra de datos personales incluyendo este aspecto en el ámbito de cualquier norma nueva relativa a la protección de datos; subraya que esos datos no solo se utilizan para el comercio en línea sino también para la venta directa por correo;

10. Invita a la Comisión a que, al tiempo que mantiene un grado elevado de protección de datos, considere detenidamente el impacto sobre las PYME, a fin de asegurar que no están en desventaja debido a cargas administrativas innecesarias o a requisitos de notificación múltiples que impiden sus actividades transfronterizas u otras cargas burocráticas; opina asimismo que el volumen y la naturaleza de los datos procesados deberían tenerse en cuenta independientemente de la dimensión del controlador;

11. Opina que la revisión del marco jurídico debe garantizar la flexibilidad necesaria para que el nuevo marco sea capaz de responder a las necesidades futuras a medida que avanza la tecnología; pide a la Comisión que evalúe toda nueva disposición de conformidad con el principio de proporcionalidad y que se asegure de que no erige ninguna barrera comercial, infringe el derecho a un juicio justo o altera la competencia; destaca que cualquier nuevo principio debe proteger los derechos de las personas a las que se refieren los datos, ser necesario para lograr este propósito y suficientemente claro para garantizar seguridad jurídica y una competencia leal;

12. Indica que la creación de perfiles es una de las tendencia principales en el mundo digital, debido a la importancia que están cobrando las redes sociales y los modelos integrados de empresa de Internet; pide, por consiguiente, a la Comisión que incluya disposiciones sobre la creación de perfiles definiendo al mismo tiempo de forma clara los términos «perfil» y «creación de perfiles»;

13. Recuerda a la Comisión que es necesaria una definición precisa del término «derecho a ser olvidado» que identifique claramente los requisitos pertinentes y especifique a quién se debe aplicar el derecho;

14. Subraya que los ciudadanos deben poder ejercer sus derechos relativos a los datos personales gratuitamente y sin costes postales o de otro tipo; pide a las empresas que se abstengan de cualquier intento de añadir obstáculos innecesarios al derecho a ver, modificar o borrar datos personales;

15. Pide a la Comisión que vele por que los usuarios de las redes sociales puedan obtener una visión completa de los datos archivados referentes a ellos, sin que esto suponga costes ni esfuerzos inaceptables;

16. Pide a la Comisión que facilite una mayor portabilidad de datos en Internet, teniendo en cuenta al mismo tiempo los modelos de empresa de los proveedores de servicios, los sistemas técnicos existentes y los intereses legítimos de las partes interesadas; subraya que los usuarios necesitan suficiente control de sus datos en línea para ejercer un uso soberano y responsable de Internet;

17. Opina que cualquier sistema de certificación o de distintivo se puede basar en un modelo como EMAS y debe, en cualquier caso, garantizar su integridad y fiabilidad; pide que los certificados en esos sistemas lleven códigos de serie individuales visibles por el público y controlables en una base de datos central pública;

18. Pide a la Comisión que fomente el fortalecimiento de las iniciativas de autorregulación, la responsabilidad personal y el derecho a controlar los propios datos, en particular en lo que respecta a Internet;

19. Celebra el acuerdo recientemente firmado sobre un marco para la evaluación del impacto de la protección de datos y de la privacidad para las aplicaciones RFID, que pretende garantizar la intimidad de los consumidores antes de que se introduzcan en el mercado las etiquetas RFID;

20. Anima a todos los organismos implicados a colaborar con vistas a establecer una norma común que permita determinar cuándo se puede considerar que una persona ha dado su consentimiento y alcanzar una edad de consentimiento común para el uso y la transferencia de datos;

21. Acoge con satisfacción el hecho de que la Comisión está considerando la privacidad por diseño, y recomienda que toda aplicación concreta de este principio se base en el modelo de la UE existente del nuevo enfoque y el nuevo marco legislativo relativo a las mercancías, a fin de garantizar la libre circulación de productos y servicios de conformidad con los requisitos relativos a la privacidad armonizada y la protección de datos; destaca en este sentido la necesidad de que cualquier aplicación del mismo se base en definiciones y criterios sólidos y concretos, a fin de garantizar el derecho de los usuarios a la privacidad y la protección de datos, la seguridad jurídica, la transparencia, unas condiciones de competencias equitativas y la libre circulación; opina que la privacidad por diseño debe basarse en el principio de la minimización de datos, lo que significa que todos los productos, servicios y sistemas deben realizarse de tal modo que solo se recopilen, utilicen y transmitan los datos personales indispensables para su funcionamiento;

22. Pone de relieve la necesidad de una aplicación correcta y armonizada en toda la UE; recomienda que la Comisión revise los tipos de sanciones de que disponen las autoridades responsables de la aplicación en caso de infracción probada, teniendo en cuenta la posibilidad de sancionar determinados comportamientos con objeto de evitar futuras infracciones;

23.  Indica que se podrían introducir acciones colectivas como una herramienta para que las personas puedan defender de forma colectiva sus derechos relativos a los datos personales y solicitar compensación por los daños resultantes de una violación de los mismos; señala, no obstante, que una introducción así debe estar sujeta a límites a fin de evitar abusos; pide a la Comisión que clarifique la relación entre la presente comunicación sobre protección de datos y la actual consulta pública sobre el recurso colectivo;

24. Subraya la necesidad de que los Estados miembros concedan mayores competencias al poder judicial y a las autoridades de protección de datos para sancionar a las empresas que infrinjan la protección de datos o que no apliquen la legislación en materia de protección de datos;

25. Pide a la Comisión que clarifique y justifique las normas existentes por lo que respecta a su pertinencia, necesidad, eficiencia, claridad y aplicabilidad, así como a los poderes, la competencia y las medidas de ejecución de las autoridades, con objeto de que en la UE haya un marco de protección de datos único, amplio y armonizado que proporcione un nivel de protección elevado y equivalente independientemente del tipo de procesamiento de datos realizado; pide que la legislación revisada se aplique en toda la UE, así como a escala internacional, de modo que, una vez cubiertos por la legislación de la UE, los datos personales sigan cubiertos por la legislación de la UE, independientemente de toda transferencia de dichos datos o del lugar de establecimiento del responsable del tratamiento o del encargado del tratamiento de los datos, facilitando de este modo las operaciones transfronterizas sin socavar la protección de los datos personales de los individuos;

26. Opina que todas las transferencias de datos personales deben estar sujetas a los requisitos en materia de trazabilidad (por lo que respecta al origen y destino) y que esta información debe facilitarse a la persona en cuestión; subraya que si una persona pide que un responsable del tratamiento modifique datos personales, el propietario de los datos deberá tener la posibilidad de presentar una solicitud al respecto tanto a la fuente original de datos como a cualquier otro responsable del tratamiento con el que se hayan compartido dichos datos;

27. Pide a la Comisión que clarifique la responsabilidad jurídica de los controladores de datos; subraya que debe quedar claro si el responsable es el primero o el último controlador conocido o si están sujetos a una responsabilidad compartida;

28. Insta a la Comisión a que promueva las normas de protección de datos personales de la UE en todos los foros y acuerdos internacionales pertinentes; atrae la atención, en este contexto, sobre su llamamiento a la Comisión para que presente una propuesta destinada a ampliar la aplicación del Reglamento Roma II sobre la legislación aplicable a las obligaciones no contractuales, a fin de incluir las violaciones de la intimidad y de la protección de datos, así como al Consejo para que autorice negociaciones con vistas a celebrar acuerdos internacionales que permitan a las personas en la UE recurrir eficazmente en caso de violaciones de sus derechos a la protección de datos y a la intimidad en virtud del Derecho de la UE;

29. Insiste en que las normas sobre la notificación de las violaciones de seguridad y datos personales establecidas en el marco de telecomunicaciones modificado deben quedar reflejadas en los nuevos instrumentos generales a fin de asegurar unas condiciones de competencia equitativas y una protección uniforme para todos los ciudadanos.

RESULTADO DE LA VOTACIÓN FINAL EN COMISIÓN

Fecha de aprobación                                                     9.5.2011

Resultado de la votación final                                    +:            32

                                                                                   –:            0

0:              4

Miembros presentes en la votación final              Ivo Belet, Bendt Bendtsen, Maria Da Graça Carvalho, Giles Chichester, Pilar del Castillo Vera, Lena Ek, Ioan Enciu, Adam Gierek, Norbert Glante, Fiona Hall, Romana Jordan Cizelj, Krišjānis Kariņš, Lena Kolarska-Bobińska, Bogdan Kazimierz Marcinkiewicz, Marisa Matias, Jaroslav Paška, Herbert Reul, Amalia Sartori, Britta Thomsen, Evžen Tošenovský, Ioannis A. Tsoukalas, Niki Tzavela, Marita Ulvskog, Kathleen Van Brempt, Henri Weber

Suplente(s) presente(s) en la votación final         Matthias Groote, Françoise Grossetête, Satu Hassi, Jolanta Emilia Hibner, Yannick Jadot, Oriol Junqueras Vies, Silvana Koch-Mehrin, Vladko Todorov Panayotov, Markus Pieper, Algirdas Saudargas

Suplente(s) (art. 187, apdo. 2)

 presente(s) en la votación final                                Alexandra Thein

OPINIÓN DE LA COMISIÓN DE MERCADO INTERIOR Y PROTECCIÓN DEL CONSUMIDOR (14.4.2011)          

para la Comisión de Libertades Civiles, Justicia y Asuntos de Interior

sobre un enfoque global de la protección de los datos personales en la Unión Europea (2011/2025(INI))

Ponente de opinión: Matteo Salvini

SUGERENCIAS

La Comisión de Mercado Interior y Protección del Consumidor pide a la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, competente para el fondo, que incorpore las siguientes sugerencias en la propuesta de resolución que apruebe:

A.  Considerando que la Directiva 95/46/CE sobre la protección de los datos y la Directiva 2009/140/CE sobre el paquete de telecomunicaciones de la UE posibilitan la libre circulación de los datos personales dentro del mercado interior,

B.   Considerando que se están extendiendo rápidamente por Internet redes sociales de todo tipo y que los jóvenes, en particular, divulgan datos personales en las mismas,

C.  Considerando que, si bien los principios básicos de la Directiva 95/46/CE siguen siendo válidos, la globalización y los rápidos avances tecnológicos han traído consigo nuevos retos en términos de protección de los datos personales como resultado de la creciente utilización de herramientas complejas de tecnología de la información para el procesamiento de los datos y de una mayor actividad en línea, incluido el comercio electrónico, la sanidad electrónica, la administración electrónica, el creciente uso de las redes sociales, el desarrollo de la publicidad basada en el comportamiento en línea o la computación en nube,

D.  Considerando que el creciente intercambio de datos personales, en combinación con nuevos avances tecnológicos, ha generado un aumento de la recopilación, almacenamiento y uso de los datos de carácter personal, y plantean la cuestión de determinar qué ley debe aplicarse y la definición de las responsabilidades de las partes interesadas en cuanto a la aplicación de la legislación de la UE en materia de protección de datos (por ejemplo, una empresa que opere con datos personales de ciudadanos de la UE, cuya sede se encuentre fuera del territorio de la UE y que subcontrate con empresas que también se encuentren fuera del territorio de la UE),

E.   Considerando que la revisión de la Directiva 95/46/CE sobre protección de los datos debería incluir una reforma general del marco de la UE para la protección de los datos que establezca, en particular, unas normas más estrictas en lo que respecta a la recogida de los datos, y que informe, en particular, a la persona por qué, por quién y por cuánto tiempo sus datos serán recogidos y utilizados, tanto en el ámbito en línea como en el entorno fuera de línea,

F.   Considerando que los ciudadanos no compran en línea con la misma seguridad que lo hacen fuera de línea debido a temores sobre el robo de identidad y a la falta de transparencia en cuanto a cómo se procesa y se utiliza su información personal,

G.  Considerando la creciente utilización de tarjetas de fidelidad (por ejemplo, tarjetas de club, tarjetas de descuento o tarjetas con ventajas) por las empresas y en el comercio, y que son, o pueden ser, utilizadas para crear perfiles de clientes,

H.  Considerando que los datos recogidos a través de estas tarjetas de fidelidad se utilizan para crear perfiles de clientes y que se ha creado un mercado para la negociación de estos datos,

1.   Pide que se aclare y refuerce la dimensión de la protección de los datos del mercado interior, tanto en línea como fuera de ella, a través de la plena armonización de la legislación de los Estados miembros, tras una evaluación exhaustiva de impacto y por analogía con la reglamentación marco en materia de telecomunicaciones con arreglo a un nivel muy elevado en materia de protección para aumentar la seguridad jurídica, velar por unos niveles coherentes de protección de la vida privada, reducir los trámites administrativos y los costes, evitar el riesgo de que se busquen foros de conveniencia en las legislaciones de los Estados miembros según su carácter más o menos estricto y asegurar unas condiciones equitativas para todos los agentes económicos y controladores de los datos; considera que ello impulsará el mercado interior digital y reducirá los costes innecesarios para las empresas, especialmente en lo que se refiere a las PYME;

2.   Considera que la aplicación de las normas de la UE en materia de protección de los datos es desigual y se basa en un enfoque fragmentario en todo su territorio, por lo que tienen un efecto adverso sobre los derechos individuales y las libertades fundamentales con respecto a la protección de los datos y la intimidad, la seguridad jurídica y la claridad en las relaciones contractuales, el desarrollo del comercio electrónico y las transacciones electrónicas, la confianza del consumidor en el sistema, las transacciones transfronterizas y el establecimiento de unas condiciones verdaderamente equitativas para las empresas y las PYME en el mercado único;

3.   Indica que la protección de los datos debería desempeñar un papel todavía más importante en el mercado interior;

4.   Pide una rápida revisión del marco legislativo en vigor en la UE en materia de protección de datos, teniendo en cuenta, en particular, la creciente amenaza para los datos personales que representan las nuevas formas de tratamiento de los datos tales como la creación de perfiles o la transferencia no deseada de los datos;

5.   Pide, en particular, que se adapten las normas relativas a la protección de los datos a los principios básicos de la Directiva relativa a la protección de la intimidad en el sector de las comunicaciones electrónicas en todos los ámbitos de la protección de los datos a fin de evitar un enfoque fragmentado;

6.   Hace hincapié en la necesidad de un mercado único que funcione en lo que se refiere a una ejecución coherente, exhaustiva y eficaz de las normas en materia de protección de los datos, habida cuenta de las repercusiones de las nuevas tecnologías sobre los derechos de las personas, la transparencia de los procedimientos y los intereses legítimos de las personas interesadas que garantice, al mismo tiempo, la portabilidad de los datos personales para facilitar el buen funcionamiento tanto del mercado interior como de Internet y su apertura y conectividad características;

7.   Considera que los datos personales y la información distribuida entre los diferentes puntos únicos de contacto y en el marco del sistema de Información del Mercado Interior sólo deben tratarse, utilizarse y recogerse con fines legítimos, y que deben establecerse las salvaguardias necesarias contra los abusos;

8.   Subraya la importancia de actualizar la Directiva en consonancia con la evolución tecnológica mundial;

9.   Considera que, en principio, sólo debe permitirse la creación de perfiles cuando exista una sólida base jurídica al efecto o cuando las personas interesadas den libremente su consentimiento informado, que podrá revocarse en todo momento;

10. Indica que el desarrollo y el creciente uso de la computación en nube plantea nuevos desafíos en términos de intimidad y de protección de los datos personales; pide, por tanto, una clarificación de las capacidades de los controladores de datos, de los procesadores de datos y los servidores de acogida para asignar mejor las responsabilidades jurídicas correspondientes y para que los interesados sepan dónde se almacenan sus datos, quién tiene acceso a sus datos, quién decide el uso que se dará a los datos de carácter personal, y qué tipo de procesos de copia de seguridad y de recuperación existen;

11. Subraya la necesidad de actividades de sensibilización y educativas y de unas estrategias de comunicación específicas en materia de protección de los datos a la intención de los proveedores de servicios, así como de los ciudadanos y consumidores; destaca la necesidad de garantizar que los ciudadanos estén informados adecuadamente sobre sus derechos y obligaciones por lo que respecta a la utilización de sus datos personales, las consecuencias a corto y largo plazo de la transmisión de determinados tipos de datos, las distintas modalidades del consentimiento, la portabilidad de datos, la protección de su intimidad y las herramientas a su disposición para impedir situaciones que violen su intimidad, como el derecho a ser olvidado (es decir, el derecho que tienen las personas a que sus datos personales no se conserven, analicen, procesen o utilicen en ningún modo, así como a que se eliminen, cuando ya no son necesarios para fines previstos desde el punto de vista jurídico), en particular en el contexto en línea;

12. Pide a la Comisión que refuerce, aclare y armonice los criterios sobre el consentimiento libre e informado y que clarifique las cláusulas contractuales; pide que, en términos generales, cada persona deba dar su consentimiento previo antes de que sus datos personales se compilen, evalúen, sean perfilados o cedidos; solicita, asimismo, que estos datos se comuniquen a instancias de la persona interesada, así como que se supriman, como muy tarde, cuando ésta lo solicite; subraya la necesidad de comunicar claramente a las personas a las que se refieren los datos el grado de protección de dichos datos en los terceros países;

13. Pone de relieve que la cuestión de la protección de los datos afecta tanto a los consumidores y empresas como a los empleados; pide, por consiguiente, que se establezca un nivel elevado de protección de los datos en lo que respecta a los empleados con el fin de reducir la supervisión inadecuada de sus datos personales;

14. Pide a la Comisión que clarifique los criterios relativos a la legislación vigente en materia de protección de los datos personales dado que cada vez es más difícil determinar la responsabilidad de las partes interesadas como consecuencia de la globalización de los intercambios; subraya que es necesario garantizar la seguridad jurídica en relación con los controladores de datos y evitar lagunas en la protección de los datos personales prevista en la Directiva 95/46/CE;

15. Hace hincapié en que las actividades económicas no deberían llevarse nunca a cabo sin la participación de los interesados; señala que estos últimos deben recibir siempre información suficiente para ejercer su derecho a decidir por sí mismos;

16. Llama la atención de la Comisión sobre la alta importancia estratégica de la ubicación de los centros de datos y sobre el impacto potencial de dicha ubicación fuera del territorio de la UE;

17. Acoge con satisfacción las propuestas de la Comisión sobre un sistema de notificación de las transgresiones en relación con los datos personales en la Directiva sobre la protección de la intimidad en el sector de las comunicaciones electrónicas, que, por lo demás, debería aplicarse de modo coherente en todos los ámbitos en los que es necesaria la protección de los datos; pide que se revise y simplifique el sistema existente en la actualidad en relación con la notificación de las transgresiones en lo que se refiere a los datos personales que vaya más allá del sector de las telecomunicaciones por lo que respecta a las transgresiones graves con objeto de que los criterios sobre el procesamiento de los datos no impliquen una carga excesiva para los controladores de los datos y se ponga fin a la existencia de requisitos nacionales divergentes en este ámbito; pide que se amplíe el sistema de notificación de las transgresiones en relación con los datos personales que vaya más allá del sector de las telecomunicaciones por lo que respecta a las transgresiones graves y pone de relieve la importancia de disponer de un sistema uniforme para la notificación de las transgresiones;

18. Subraya que el derecho de las personas a decidir por sí mismas debe situarse en primer plano y que cada individuo tiene el derecho a ser informado de forma gratuita de los datos recopilados sobre su persona, así como el derecho a que se supriman dichos datos, especialmente los perfiles compilados con fines comerciales;

19. Hace hincapié en la importancia que tiene para los titulares de los datos personales la designación de un controlador de la protección de datos con una función claramente identificada; considera que las organizaciones que operan en el mercado único deberían tener la posibilidad de nombrar a un controlador de la protección de datos en relación con sus actividades en la UE;

20. Pide a la Comisión que, en el marco de la revisión de la Directiva 95/46/CE, tenga debidamente en cuenta las cuestiones relativas a la protección de los datos relacionados con la computación en nube, al mismo tiempo que se garantiza que las normas relativas a la protección de datos se aplican a todas las partes, incluidos los operadores de telecomunicaciones y los operadores no relacionados con las telecomunicaciones, y el desarrollo de la computación en nube;

21. Subraya que los procedimientos relativos al acceso a los datos personales deben estar clara e inmediatamente a disposición de los ciudadanos en todos los Estados miembros deben apoyarse en una red de puntos de contacto y deben estar disponibles en línea; pide, en particular, que se simplifiquen las disposiciones de ejecución;

22. Invita a la Comisión a que examine las modalidades de acceso, rectificación y supresión de los datos así como el recurso al mecanismo de resolución alternativa de litigios en el mercado interior, en particular en el entorno en línea; subraya la necesidad de una política adecuada en materia de infracción;

23. Pide que las autoridades nacionales dispongan de una mayor capacidad de ejecución, también con respecto a las empresas que no son de la UE cuyas actividades estén dirigidas a consumidores de la UE;

24. Insiste en la necesidad de promover el uso de tecnologías de protección de la intimidad y de aplicar el principio relativo a la protección de la intimidad desde el diseño para asegurar que las cuestiones relativas a la intimidad estarán incluidas en los futuros avances tecnológicos; pide a la Comisión que anime a los proveedores de tecnologías a integrar los principios básicos de la intimidad, incluida la minimización de los datos, la transparencia y el control del usuario, en el desarrollo y el despliegue de tecnologías para garantizar un nivel elevado de protección de los datos personal en el mercado único;

25. Pide a la Comisión que, en el marco de una consulta al CEN, examine la posibilidad de elaborar criterios de servicio para la gestión de los datos personales y el desarrollo de herramientas de gestión de la información, teniendo en cuenta debidamente el principio relativo a la protección de la intimidad desde el diseño; opina que dichos criterios de diseño fomentarían las buenas prácticas en el desarrollo de los sistemas de gestión de datos y mejorarían, en particular, las características relacionadas con la seguridad de la gestión de las bases de datos y las aplicaciones de almacenamiento; subraya, sin embargo, que las propuestas deberían ser neutras desde el punto de vista tecnológico y favorables a la innovación;

26. Pide a la Comisión que revise con el CEN los criterios europeos sobre el almacenamiento de los datos, teniendo debidamente en cuenta el principio relativo a la protección de la intimidad desde el diseño, y que fomente el desarrollo de normas de fabricación para permitir la eliminación definitiva de los datos almacenados en el hardware que ya no se utilicen o no se eliminen de otra manera; considera, además, que tales criterios de diseño promoverán unas mejores prácticas en la industria manufacturera; subraya, sin embargo, que las propuestas deben ser neutras desde el punto de vista tecnológico y favorables a la innovación;

27. Pide un mayor papel para el Grupo de trabajo creado de conformidad con el artículo 29 de manera que se conceda carácter oficial al papel que desempeña en la aplicación de los criterios relativos a la protección de los datos y haga valer su independencia con respecto a la Comisión Europea;

28. Pide a la Comisión que lleve a cabo una evaluación de impacto de las iniciativas de autorregulación en tanto que instrumentos para una mejor aplicación de las normas en materia de protección de los datos;

29. Alienta el desarrollo de un régimen europeo de certificación en el ámbito de la protección de la intimidad y de los datos; señala que se debería estructurar de manera que se evite una carga excesiva para las empresas – las PYME, en particular – con una tramitación costosa y burocrática que podría desalentar la participación; señala que el régimen debería ser neutro desde el punto de vista tecnológico, capaz de obtener un reconocimiento a nivel mundial, y tener un coste asequible a fin de no crear barreras de acceso;

30. Apoya la creación de un régimen de certificación de la UE para los sitios web que cumplan con la legislación de la UE en materia de protección de los datos, modelado sobre el Sello Europeo de Privacidad o EuroPriSe (una etiqueta voluntaria transeuropea para certificar el cumplimiento, en los productos o servicios basados en tecnologías de la información, de la legislación comunitaria sobre protección de datos) que sería aplicable en toda la UE y sustituiría a los diferentes regímenes privados de certificación y a etiquetas que frecuentemente sólo gozan de un reconocimiento local; opina que ello debería incluir una exhaustiva evaluación de impacto antes de su adopción;

31. Considera que el desarrollo y la promoción de iniciativas de autorregulación puede mejorar el actual marco de protección de los datos, aunque no pueden sustituir a las medidas legislativas, especialmente por lo que atañe a la ejecución; pide a la Comisión y a los Estados miembros que fomenten este tipo de iniciativas y desarrollen y apoyen instrumentos que hagan más atractivo para las empresas llegar a un acuerdo sobre la autorregulación;

32. Pide a la Comisión que no proponga un nivel de armonización demasiado estricto, que pudiera inhibir sistemas de protección de los datos que ya han demostrado su eficacia, como los controles de protección de los datos internos efectuados por los propios controladores de una empresa, con el apoyo de controles externos realizados por las autoridades estatales de supervisión de datos;

33. Apoya la creación de unos criterios comunes y claros a escala de la UE para llevar a cabo auditorías en el ámbito de la protección de la intimidad y de los datos;

34. Celebra la posición adoptada por la Comisión sobre la reciprocidad en los niveles de protección por lo que respecta a las personas cuyos datos se exportan a terceros países o se conservan en ellos; pide, sin embargo, a la Comisión que adopte firmes medidas para mejorar la cooperación reguladora con terceros países con miras a aclarar las normas aplicables y a la convergencia de la legislación de la UE y de terceros países en materia de protección de datos; pide a la Comisión que conceda prioridad a este respecto en el Consejo Económico Transatlántico, que ha reanudado sus actividades;

35. Pide el desarrollo de unos métodos más fáciles y eficaces para permitir las transferencias internacionales de datos personales asegurando, al mismo tiempo, unos niveles adecuados de protección de los datos y de la intimidad de las personas;

36. Pide a la Comisión que mantenga las exenciones actuales previstas en el artículo 9 de la Directiva 95/46/CE con respecto a ciertas normas de protección de los datos a efectos periodísticos para salvaguardar unos medios de comunicación libres e independientes en la UE y para apoyar la creatividad en la expresión artística o literaria.

RESULTADO DE LA VOTACIÓN FINAL EN COMISIÓN

Fecha de aprobación                                                     13.4.2011

 Resultado de la votación final                                   +:            36

                                                                                               –:            0

                                                                                               0:            0

Miembros presentes en la votación final              Pablo Arias Echeverría, Adam Bielan, Lara Comi, Anna Maria Corazza Bildt, António Fernando Correia De Campos, Jürgen Creutzmann, Christian Engström, Evelyne Gebhardt, Louis Grech, Małgorzata Handzlik, Iliana Ivanova, Philippe Juvin, Sandra Kalniete, Eija-Riitta Korhola, Edvard Kožušník, Kurt Lechner, Toine Manders, Mitro Repo, Robert Rochefort, Zuzana Roithová, Heide Rühle, Matteo Salvini, Christel Schaldemose, Andreas Schwab, Eva-Britt Svensson, Róża Gräfin von Thun und Hohenstein, Kyriacos Triantaphyllides, Emilie Turunen, Bernadette Vergnaud, Barbara Weiler

Suplente(s) presente(s) en la votación final         Ashley Fox, María Irigoyen Pérez, Pier Antonio Panzeri, Konstantinos Poupakis, Sylvana Rapti, Olle Schmidt

 OPINIÓN DE LA COMISIÓN DE CULTURA Y EDUCACIÓN (14.4.2011)        

para la Comisión de Libertades Civiles, Justicia y Asuntos de Interior

sobre un enfoque global de la protección de los datos personales en la Unión Europea (2011/2025(INI))

Ponente de opinión: Seán Kelly

SUGERENCIAS

La Comisión de Cultura y Educación pide a la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, competente para el fondo, que incorpore las siguientes sugerencias en la propuesta de resolución que apruebe:

1.  Subraya la necesidad de contar con una definición mejor y más amplia del concepto de datos personales en el marco de las tecnologías en línea y digitales, particularmente respecto a nuevas formas de identificación y seguimiento individuales, especialmente en lo referente a las cookies del protocolo de transferencia de hipertexto (HTTP) y la Directiva 2002/58/CE (1), para garantizar la seguridad jurídica en el mercado único digital, a fin de facilitar una protección de datos más eficaz;

Transparencia

2.  Destaca la importancia que reviste informar a los usuarios acerca de la autoridad competente de protección de datos y de las maneras de acceder fácilmente a sus datos personales, de rectificarlos y de suprimirlos;

3.  Insiste en que se deben establecer mecanismos adecuados para dejar constancia del consentimiento de los usuarios, que ha de ser explícito y no supuesto, o de la revocación del mismo;

4.  Recuerda que los usuarios de Internet han de tener derecho a ser olvidados en el contexto de las redes sociales y de la computación en nube; subraya a este respecto que los usuarios han de tener derecho a controlar los aspectos de sus datos personales públicamente accesibles;

5.  Subraya que los datos personales facilitados al empleador referentes a la situación profesional del usuario no deben publicarse ni transmitirse a terceros sin el consentimiento previo del interesado;

6.  Subraya que las declaraciones de privacidad, en general, son muy difíciles de leer y comprender para todos los usuarios, por lo que es partidario de un sistema informativo mediante el cual los interesados puedan entender cómo se tratarán sus datos personales una vez otorgada la autorización;

Protección de datos en el caso de los menores

7.  Subraya la necesidad de adoptar medidas específicas para la protección de datos en línea con vistas a proteger a los menores; reitera que la alfabetización audiovisual y en materia de TIC debe ser un elemento esencial de la educación formal, de modo que se enseñe a los menores cómo actuar de manera responsable y segura en un medio en línea;

8.  Subraya que los proveedores de redes sociales deben publicar sus políticas de seguridad en un lenguaje claro y sencillo, y colocar esta información en un lugar destacado con el fin de permitir que los usuarios menores de edad valoren los peligros que afrontan; destaca, en particular, que se deben dar orientaciones adecuadas a los usuarios menores de edad y que se han de realizar esfuerzos para proteger su anonimato si utilizan un seudónimo en línea; subraya también que se les debería instar a que introduzcan la cantidad mínima de información en las redes sociales, y que hay que conseguir que sean plenamente conscientes de los peligros que supone la publicación de datos personales, tales como fotografías, números de teléfono o direcciones;

9.  Pide por lo tanto a los Estados miembros que incluyan la alfabetización audiovisual como parte integrante del plan de estudios en las escuelas y otros centros de enseñanza, incluidos los centros preescolares, y que ofrezcan a los enseñantes y educadores oportunidades adecuadas de formación y perfeccionamiento profesional;

10. Pide que los responsables del tratamiento de los datos tengan la obligación de adoptar mecanismos para verificar la edad, siempre que este proceso no amenace la privacidad o impida que los consumidores legítimos accedan a los servicios en línea;

11. Solicita que se establezcan obligaciones y requisitos específicos para el procesamiento de datos relativos a menores, y en particular a niños, incluida la prohibición de recoger datos sensibles referentes a niños; propone que no esté permitido recoger información personal a través de menores, salvo si es con fines legítimos;

12. Considera que al recopilar y procesar datos relacionados con alumnos de escuelas u otros centros de enseñanza, se ha de proceder con la debida prudencia y los datos sólo se deben compartir después de haberse dado el consentimiento para ello, dentro del respeto de los intereses primordiales de los menores en cuestión;

13. Propone un sistema en que el titular de los datos vea inmediatamente el nivel de protección de datos ofrecido, antes de que conceda la autorización, posiblemente en forma de un sistema de clasificación, supervisado por una autoridad independiente;

Acciones de sensibilización

14. Anima a la Comisión y a los Estados miembros a organizar campañas de sensibilización pública destinadas a los menores, y particularmente a los niños y a sus cuidadores, para poner de relieve los riesgos que entraña para su vida privada un medio en línea, lo que pueden hacer para protegerse a sí mismos y la necesidad de que asuman su propia responsabilidad; destaca que tal información se ha de facilitar de manera clara y comprensible; este requisito debe aplicarse, en particular, a la formulación de los textos que sirven de base para el consentimiento explícito del uso de los datos;

15. Recomienda además que se emprendan campañas de formación y sensibilización destinadas a los responsables y los encargados del tratamiento de datos por las que se les informe de sus obligaciones y responsabilidades.

16. Subraya la importancia de mantener y, en su caso, reforzar la exención con fines periodísticos en el artículo 9 de la Directiva 95/46/CE (2), que es una condición necesaria para el ejercicio de la actividad periodística en un entorno de medios tecnológicos cada vez más complejos y para el cumplimiento del papel de los medios de comunicación en las sociedades democráticas;

RESULTADO DE LA VOTACIÓN FINAL EN COMISIÓN

Fecha de aprobación                                                                    12.4.2011

Resultado de la votación final                                                   +:            29

                                                                                                              –:            0

                                                                                                              0:            0

Miembros presentes en la votación final

Magdi Cristiano Allam, Maria Badia i Cutchet, Zoltán Bagó, Malika Benarab-Attou, Lothar Bisky, Piotr Borys, Jean-Marie Cavada, Silvia Costa, Santiago Fisas Ayxela, Mary Honeyball, Petra Kammerevert, Marek Henryk Migalski, Katarína Neveďalová, Doris Pack, Chrysoula Paliadeli, Marie-Thérèse Sanchez-Schmid, Marietje Schaake, Marco Scurria, Joanna Senyszyn, Hannu Takkula, László Tőkés, Helga Trüpel, Gianni Vattimo, Sabine Verheyen, Milan Zver

Suplente(s) presente(s) en la votación final                        

Ivo Belet, Nadja Hirsch, Seán Kelly

————————————————————

(1) DO L 201 de 31.7.2002, p. 37.

(2) DO L 281 de 23.11.1995, p. 31.

————————————————————

 OPINIÓN DE LA COMISIÓN DE ASUNTOS JURÍDICOS (25.5.2011)              

para la Comisión de Libertades Civiles, Justicia y Asuntos de Interior

sobre un enfoque global de la protección de los datos personales en la Unión Europea

(2011/2025(INI))

Ponente de opinión: Françoise Castex

SUGERENCIAS

La Comisión de Asuntos Jurídicos pide a la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, competente para el fondo, que incorpore las siguientes sugerencias en la propuesta de resolución que apruebe:

1.        Subraya que el rápido ritmo de los progresos tecnológicos en la sociedad global de la información requiere unas normas integrales y coherentes en materia de protección de datos; observa que, tras la entrada en vigor del Tratado de Lisboa y el carácter jurídicamente vinculante adquirido por la Carta de los Derechos Fundamentales, el artículo 16 del Tratado de Funcionamiento de la Unión Europea (TFUE) podría ofrecer un fundamento jurídico específico para la adopción de un instrumento jurídico sobre la protección de datos personales, si se basa en el nivel más elevado de protección previsto para ello en la legislación de la UE, y opina que esto podría proporcionar una mayor seguridad jurídica; considera que el artículo 8 de la Carta debe respetarse plenamente en este sentido;

2.        Considera que esta creciente complejidad de las cuestiones vinculadas a la protección de datos y la actual falta de armonización entre las legislaciones nacionales de los Estados miembros exigen la adopción de un instrumento jurídico global a nivel europeo; pide, en este sentido, a la Comisión que cree un sistema de notificación de violación de datos personales, en consonancia con el introducido por la Directiva sobre la privacidad y las comunicaciones electrónicas;

3.        Pide a la Comisión que aproveche la oportunidad para considerar y reforzar el nivel elevado de protección de los interesados y de esa forma mejorar la legislación europea sobre protección de datos;

4.        Destaca que el derecho de acceso no solo incluye el pleno acceso a los procesamientos de datos que afecten al sujeto de los mismos, incluida su fuente y sus destinatarios, sino también información inteligible sobre la lógica aplicada en cualquier procesamiento automático; subraya que esto último adquirirá una mayor importancia con la realización de perfiles y la extracción de datos;

5.        Pide a la Comisión que garantice las sinergias entre los derechos de protección de datos y los derechos del consumidor;

6.        Recuerda la necesidad de proteger específicamente a las personas vulnerables y, en particular, a los niños, en particular imponiendo por defecto un alto nivel de protección de los datos y adoptando medidas adecuadas y específicas para proteger sus datos personales; considera que las autoridades nacionales de protección de datos deben realizar actividades de sensibilización, especialmente dirigidas a los menores de edad;

7.        Pide a la Comisión que tenga en cuenta el riesgo de elección del fuero más ventajoso en sus propuestas relativas a la determinación del Derecho aplicable;

8.        Respalda la introducción de un principio general de transparencia en el tratamiento de los datos personales que facilite el control ejercido por las personas en relación con sus propios datos;

9.        Respalda firmemente la Comunicación de la Comisión en lo referente al consentimiento informado como un principio básico y pide que aclare y refuerce la normativa pertinente;

10.      Manifiesta su preocupación por las derivas asociadas a la publicidad comportamental en línea y recuerda que la Directiva sobre la privacidad y las comunicaciones electrónicas estipula la necesidad de un consentimiento explícito y previo de la persona afectada para el envío de «cookies» y el posterior seguimiento de su comportamiento de navegación para dirigirle anuncios personalizados;

11.      Acoge con agrado la decisión de la Comisión de estudiar las modalidades de introducción de una obligación general de notificación de las violaciones de los datos personales, limitada actualmente tan solo al sector de las telecomunicaciones;

12.      Pide a la Comisión que proponga medidas específicas para los niños, que todavía no son conscientes de los riesgos asociados a la utilización de Internet;

13.      Observa que la revisión de la reglamentación europea no debe generar costes desmesurados a las empresas europeas, ya que ello afectaría a su competitividad con respecto a sus competidores de terceros países;

14.      Opina que debe fomentarse la autorregulación, en particular mediante códigos de conducta;

15.      Señala que la protección de los datos personales afecta a todos, pero que el ejercicio de este derecho no puede conllevar la protección de actividades criminales o delictivas; recuerda, a este respecto, que el artículo 47 de la Carta Europea de los Derechos Fundamentales consagra el derecho a un recurso eficaz en caso de violación de los derechos y libertades garantizados por el Derecho de la Unión;

16.      Respalda los esfuerzos por seguir avanzando en la elaboración de iniciativas de autorregulación aplicables y vinculantes, basadas en el marco jurídico incluido en la revisión sobre la protección de datos, tal como se propone en la Comunicación de la Comisión, y es favorable a que se dé un mayor apoyo a los sistemas de certificación de la UE; recuerda que el sector de la contratación pública debería desempeñar una importante función asumiendo el liderazgo en esta materia;

17.      Respalda firmemente la Comunicación de la Comisión y pide a los Estados miembros que velen por que las autoridades nacionales de protección de datos posean los poderes adecuados y los recursos que les permitan desempeñar adecuadamente sus tareas a nivel nacional y garantizar su independencia;

18.      Pide a la Comisión que continúe el diálogo con terceros países con el fin de establecer un marco jurídico internacional coherente, dado que los avances tecnológicos, como por ejemplo la computación en nube, permiten a los responsables del tratamiento de datos establecerse en diversos países; pide también a la Comisión que refuerce el concepto de normas corporativas vinculantes en el ámbito de la transferencia internacional de datos;

19.      Pide a la Comisión que adopte medidas encaminadas a reafirmar y reforzar el papel del Grupo de Trabajo del Artículo 29 para asegurar su imparcialidad y la transparencia de sus actividades y para mejorar la cooperación entre las autoridades nacionales y la armonización en la aplicación de las normas de protección de datos personales; pide a la Comisión, al mismo tiempo, que proponga un marco jurídico que garantice la coherencia en el ejercicio de las competencias del SEPD, de las autoridades nacionales de protección de datos y del Grupo de Trabajo del Artículo 29;

20.      Pide a la Comisión que garantice que la Directiva ofrezca definiciones claras y armonizadas;

21.      Pide a la Comisión que prevea un alto nivel de transparencia en lo relativo al tratamiento de datos personales en el marco jurídico;

22.      Pide a la Comisión que garantice el respeto de los principios de minimización de los datos y limitación a su propósito;

23.      Destaca la importancia de los derechos de acceso, rectificación y supresión;

24.      Pide a la Comisión que prevea un sistema restrictivo especial para los datos delicados, lo que requerirá una definición clara de esta categoría de datos;

25.      Pide a la Comisión que garantice que se mantengan las excepciones permitidas para fines periodísticos en el artículo 9 de la actual Directiva sobre protección de datos y que se haga todo lo posible por evaluar la necesidad de desarrollar dichas excepciones teniendo en cuenta cualquier nueva disposición con el fin de proteger la libertad de prensa;

26.      Pide a la Comisión que haga responsables al conjunto de los agentes de Internet sobre la cuestión de los datos personales y exige, en particular, que las agencias publicitarias y los editores informen claramente a los internautas antes de recopilar cualquier dato que les concierna.

RESULTADO DE LA VOTACIÓN FINAL EN COMISIÓN

Fecha de aprobación                                                     24.5.2011

 Resultado de la votación final                                   +:            23

                                                                                              –:            0

                                                                                              0:            2

Miembros presentes en la votación final              Raffaele Baldassarre, Luigi Berlinguer, Sebastian Valentin Bodu, Françoise Castex, Christian Engström, Lidia Joanna Geringer de Oedenberg, Syed Kamall, Klaus-Heiner Lehne, Antonio Masip Hidalgo, Jiří Maštálka, Alajos Mészáros, Bernhard Rapkay, Evelyn Regner, Francesco Enrico Speroni, Dimitar Stoyanov, Alexandra Thein, Diana Wallis, Rainer Wieland, Cecilia Wikström, Zbigniew Ziobro, Tadeusz Zwiefka

Suplente(s) presente(s) en la votación final         Piotr Borys, Kurt Lechner, Eva Lichtenberger, József Szájer

Suplente(s) (art. 187, apdo. 2) presente(s)

en la votación final                                                         Pablo Arias Echeverría

 RESULTADO DE LA VOTACIÓN FINAL EN COMISIÓN      

Fecha de aprobación                                                     15.6.2011

Resultado de la votación final                                    +:            49

                                                                                              –:            1

                                                                                              0:            0

Miembros presentes en la votación final              Jan Philipp Albrecht, Rita Borsellino, Simon Busuttil, Carlos Coelho, Rosario Crocetta, Cornelis de Jong, Agustín Díaz de Mera García Consuegra, Cornelia Ernst, Tanja Fajon, Kinga Gál, Kinga Göncz, Nathalie Griesbeck, Sylvie Guillaume, Ágnes Hankiss, Anna Hedh, Salvatore Iacolino, Sophia in ‘t Veld, Lívia Járóka, Teresa Jiménez-Becerril Barrio, Timothy Kirkhope, Juan Fernando López Aguilar, Baroness Sarah Ludford, Clemente Mastella, Véronique Mathieu, Claude Moraes, Jan Mulder, Georgios Papanikolaou, Judith Sargentini, Birgit Sippel, Csaba Sógor, Rui Tavares, Wim van de Camp, Daniël van der Stoep, Axel Voss, Renate Weber, Tatjana Ždanoka

Suplente(s) presente(s) en la votación final         Edit Bauer, Michael Cashman, Anna Maria Corazza Bildt, Luis de Grandes Pascual, Ioan Enciu, Heidi Hautala, Stavros Lambrinidis, Mariya Nedelcheva, Norica Nicolai, Zuzana Roithová, Michèle Striffler, Cecilia Wikström

Suplente(s) (art. 187, apdo. 2) presente(s)

en la votación final                                                         Marita Ulvskog, Silvia-Adriana Ţicău

01Nov/20

Reglamento (UE, Euratom) 2019/493 del Parlamento Europeo y del Consejo de 25 de marzo de 2019

Reglamento (UE, Euratom) 2019/493 del Parlamento Europeo y del Consejo de 25 de marzo de 2019, por el que se modifica el Reglamento (UE, Euratom) nº 1141/2014 en lo que respecta a un procedimiento de verificación relativo a las infracciones de las normas de protección de los datos personales en el contexto de las elecciones al Parlamento Europeo. (Diario Oficial de la Unión Europea L 85 de 27 de marzo de 2019)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 224,

Visto el Tratado constitutivo de la Comunidad Europea de la Energía Atómica, y en particular su artículo 106 bis,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1),

Previa consulta al Comité de las Regiones,

De conformidad con el procedimiento legislativo ordinario (2),

Considerando lo siguiente:

(1) El Reglamento (UE, Euratom) nº 1141/2014 del Parlamento Europeo y del Consejo (3) estableció un estatuto jurídico europeo específico para los partidos políticos europeos y las fundaciones políticas europeas y prevé su financiación con cargo al presupuesto general de la Unión Europea. Asimismo, establece una Autoridad para los partidos políticos europeos y las fundaciones políticas europeas (en lo sucesivo, «Autoridad»).

(2) A fin de que la Autoridad pueda desempeñar plenamente sus funciones, incluidas las nuevas previstas en el presente Reglamento, y permitir que lo haga de forma independiente, es necesario dotarla de personal permanente y atribuir al director de la Autoridad las competencias de una autoridad facultada para proceder a los nombramientos.

(3) Acontecimientos recientes han puesto de manifiesto los riesgos potenciales para los procesos electorales y la democracia que pueden derivarse del uso ilegal de los datos personales. Por lo tanto, es necesario proteger la integridad del proceso democrático europeo estableciendo sanciones financieras en situaciones en las que los partidos políticos europeos o las fundaciones políticas europeas se aprovechen de infracciones de las normas de protección de datos personales con el fin de influir en el resultado de las elecciones al Parlamento Europeo.

(4) Con ese fin, debe establecerse un procedimiento de verificación en virtud del cual, en determinadas circunstancias, la Autoridad deba solicitar al Comité de Personalidades Independientes, establecido por el Reglamento (UE, Euratom) nº 1141/2014, que examine si un partido político europeo o una fundación política europea ha influido o ha intentado influir deliberadamente en el resultado de las elecciones al Parlamento Europeo aprovechándose de una infracción de las normas aplicables en materia de protección de datos personales. Cuando, de acuerdo con el procedimiento de verificación, se considere que eso ha sucedido, la Autoridad debe imponer sanciones con arreglo al sistema de sanciones efectivo, proporcionado y disuasorio establecido en el Reglamento (UE, Euratom) nº 1141/2014.

(5) Cuando la Autoridad imponga una sanción a un partido político europeo o a una fundación política europea de conformidad con el procedimiento de verificación, debe tener debidamente en cuenta el principio non bis in idem, según el cual una misma infracción no puede sancionarse dos veces. La Autoridad debe garantizar asimismo el respeto del principio de seguridad jurídica y que se haya dado al partido político europeo o a la fundación política europea de que se trate la posibilidad de ser oído.

(6) El nuevo procedimiento debe coexistir con los procedimientos actuales utilizados para verificar el cumplimiento de las condiciones de registro y en los casos de violación manifiesta y grave de los valores en los que se basa la Unión. No obstante, los plazos para la verificación del cumplimiento de las condiciones de registro y de los requisitos establecidos en el artículo 10 del Reglamento (UE, Euratom) nº 1141/2014 no deben aplicarse al nuevo procedimiento.

(7) Dado que el nuevo procedimiento se activa por decisión de una autoridad nacional competente de control de la protección de datos, el partido político europeo o la fundación política europea de que se trate deben poder solicitar que se revise la sanción en caso de que se revoque la decisión de esa autoridad nacional de control o de que prospere un recurso contra dicha decisión, siempre que se hayan agotado todas las vías de recurso nacionales.

(8) Con el fin de garantizar que las elecciones al Parlamento Europeo de 2019 se celebren de conformidad con unas normas democráticas rigurosas y respetando plenamente los valores europeos de la democracia, el Estado de Derecho y el respeto de los derechos fundamentales, es importante que las disposiciones del nuevo procedimiento de verificación entren en vigor a su debido tiempo y que el procedimiento sea aplicable cuanto antes. A fin de lograr este objetivo, las modificaciones del Reglamento (UE, Euratom) nº 1141/2014 introducidas en el presente Reglamento deben entrar en vigor en la fecha de su publicación en el Diario Oficial de la Unión Europea.

(9) Procede, por tanto, modificar el Reglamento (UE, Euratom) nº 1141/2014 en consecuencia.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

El Reglamento (UE, Euratom) nº 1141/2014 se modifica como sigue:

1) En el artículo 6, el apartado 5 se sustituye por el texto siguiente:

«5. El director de la Autoridad estará asistido por personal, respecto del cual ejercerá las competencias atribuidas a la autoridad facultada para proceder a los nombramientos por el Estatuto de los funcionarios de la Unión Europea y las competencias atribuidas a la autoridad facultada para proceder a la contratación por el régimen aplicable a los otros agentes de la Unión, establecidos por el Reglamento (CEE, Euratom, CECA) nº 259/68 del Consejo (“competencias de la autoridad facultada para proceder a los nombramientos”). La Autoridad podrá recurrir en cualquier ámbito de su trabajo a otros expertos nacionales en comisión de servicio o a agentes no contratados por la Autoridad.

Serán aplicables al personal de la Autoridad el Estatuto de los funcionarios y el Régimen aplicable a los otros agentes y las normas adoptadas de común acuerdo entre las instituciones de la Unión para dar efecto al Estatuto de los funcionarios y el Régimen aplicable a los otros agentes.

La selección del personal no podrá originar un conflicto de intereses entre sus funciones en la Autoridad y otras funciones oficiales, y se abstendrá de cualquier acto incompatible con la naturaleza de sus funciones.».

2) En el artículo 10, apartado 3, el párrafo tercero se sustituye por el texto siguiente:

«Los procedimientos previstos en los párrafos primero y segundo no se iniciarán en los dos meses precedentes a las elecciones al Parlamento Europeo. Dicho plazo no se aplicará por lo que respecta al procedimiento establecido en el artículo 10 bis.».

3) Se inserta el artículo siguiente:

«Artículo 10 bis

Procedimiento de verificación relativo a las infracciones de las normas de protección de los datos personales

1. Ningún partido político europeo ni ninguna fundación política europea influirá o tratará de influir deliberadamente en el resultado de las elecciones al Parlamento Europeo aprovechándose de una infracción, cometida por parte de una persona física o jurídica, de las normas aplicables en materia de protección de datos personales.

2. Si la Autoridad tiene conocimiento de una decisión de una autoridad nacional de control, en el sentido del artículo 4, punto 21, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (*), en la que se declare que una persona física o jurídica ha infringido las normas aplicables en materia de protección de datos personales, y si de dicha decisión se desprende, o hay otros motivos fundados para pensar, que la infracción está asociada a actividades políticas de un partido político europeo o una fundación política europea en el contexto de las elecciones al Parlamento Europeo, la Autoridad someterá este asunto al Comité de Personalidades Independientes establecido en el artículo 11 del presente Reglamento. En caso necesario, la Autoridad podrá ponerse en contacto con la correspondiente autoridad nacional de control.

3. El Comité a que se refiere el apartado 2 dictaminará si el partido político europeo o la fundación política europea de que se trate ha influido o ha intentado influir deliberadamente en el resultado de las elecciones al Parlamento Europeo aprovechándose de dicha infracción. La Autoridad solicitará el dictamen sin demora indebida y, como máximo, un mes después de haber tenido conocimiento de la decisión de la autoridad nacional de control. La Autoridad establecerá un plazo corto y razonable para que el Comité emita su dictamen. El Comité cumplirá dicho plazo.

4. Teniendo en cuenta el dictamen del Comité, la Autoridad decidirá, en virtud del artículo 27, apartado 2, letra a), inciso vii), si impone sanciones financieras al partido político europeo o a la fundación política europea de que se trate. La decisión de la Autoridad estará debidamente motivada, en particular por lo que respecta al dictamen del Comité, y se publicará de forma diligente.

5. El procedimiento previsto en el presente artículo se entenderá sin perjuicio del procedimiento establecido en el artículo 10.»

4) En el artículo 11, apartado 3, el párrafo primero se sustituye por el texto siguiente:

«A solicitud de la Autoridad, el Comité emitirá un dictamen sobre:

a) cualquier posible violación manifiesta y grave, por parte de un partido político europeo o una fundación política europea, de los valores en los que se basa la Unión Europea, contemplados en el artículo 3, apartado 1, letra c), y en el artículo 3, apartado 2, letra c);

b) si un partido político europeo o una fundación política europea ha influido o ha intentado influir deliberadamente en el resultado de las elecciones al Parlamento Europeo aprovechándose de una infracción de las normas aplicables en materia de protección de datos personales.

En los casos a los que se refieren las letras a) y b) del párrafo primero, el Comité podrá solicitar cualquier documento o prueba pertinentes a la Autoridad, al Parlamento Europeo, al partido político europeo o a la fundación política europea de que se trate, a otros partidos políticos, fundaciones políticas u otras partes interesadas, y podrá solicitar oír a sus representantes. Para el caso al que se refiere la letra b) del párrafo primero, la autoridad nacional de control mencionada en el artículo 10 bis cooperará con el Comité de conformidad con el Derecho aplicable.».

5) En el artículo 18, el apartado 2 se sustituye por el texto siguiente:

«2. En el momento de presentación de su solicitud, el partido político europeo y la fundación política europea deberán cumplir las obligaciones contempladas en el artículo 23 y, a partir de la fecha de presentación de la solicitud hasta el final del ejercicio o de la acción objeto de la contribución o subvención, deberán permanecer inscritos en el Registro y no ser objeto de ninguna de las sanciones previstas en el artículo 27, apartado 1, y en el artículo 27, apartado 2, letra a), incisos v), vi) y vii).».

6) El artículo 27 queda modificado como sigue:

a) en el apartado 2, letra a), se añade el inciso siguiente:

«vii) cuando, de conformidad con el procedimiento de verificación previsto en el artículo 10 bis, se considere que un partido político europeo o una fundación política europea ha influido o ha intentado influir deliberadamente en el resultado de las elecciones al Parlamento Europeo aprovechándose de una infracción de las normas aplicables en materia de protección de datos personales.»;

b) se añade el apartado siguiente:

«7. Cuando una decisión de la autoridad nacional de control a que se refiere el artículo 10 bis haya sido revocada o cuando haya prosperado un recurso contra dicha decisión, y siempre que se hayan agotado todas las vías de recurso nacionales, la Autoridad revisará las sanciones impuestas en virtud del apartado 2, letra a), inciso vii), a petición del partido político europeo o de la fundación política europea de que se trate.».

Artículo 2

El presente Reglamento entrará en vigor el día de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Estrasburgo, el 25 de marzo de 2019.

Por el Parlamento Europeo,

El Presidente,  A. TAJANI

Por el Consejo

El Presidente, G. CIAMBA

————————————————————————————————

(*) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).».

(1) Dictamen de 12 de diciembre de 2018 (pendiente de publicación en el Diario Oficial).

(2) Posición del Parlamento Europeo de 12 de marzo de 2019 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 19 de marzo de 2019.

(3) Reglamento (UE, Euratom) nº 1141/2014 del Parlamento Europeo y del Consejo, de 22 de octubre de 2014, sobre el estatuto y la financiación de los partidos políticos europeos y las fundaciones políticas europeas (DO L 317 de 4.11.2014, p. 1).

01Nov/20

COM 2019/168 final de 8 de abril de 2019

COM 2019/168 final de 8 de abril de 2019. Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones. Generar confianza en la inteligencia artificial centrada en el ser humano

1. INTRODUCCIÓN.- ESTRATEGIA EUROPEA DE LA IA

La inteligencia artificial (IA) tiene potencial para transformar nuestro mundo para mejor: puede mejorar la asistencia sanitaria, reducir el consumo de energía, hacer que los vehículos sean más seguros y permitir a los agricultores utilizar el agua y los recursos de forma más eficiente. La IA puede utilizarse para predecir el cambio climático y medioambiental, mejorar la gestión del riesgo financiero y proporcionar las herramientas para fabricar, con menos residuos, productos a la medida de nuestras necesidades. La IA también puede ayudar a detectar el fraude y las amenazas de ciberseguridad y permite a los organismos encargados de hacer cumplir la ley luchar contra la delincuencia con más eficacia.

La IA puede beneficiar a la sociedad y a la economía en su conjunto. Es una tecnología estratégica que se está desarrollando y utilizando a buen ritmo en todo el mundo. No obstante, también trae consigo nuevos retos para el futuro del trabajo y plantea cuestiones jurídicas y éticas.

Para abordar estos retos y aprovechar al máximo las oportunidades que ofrece la IA, en abril de 2018 la Comisión publicó una estrategia europea (1). La estrategia coloca a la persona en el centro del desarrollo de la IA — es una IA centrada en el ser humano. Adopta un planteamiento triple para potenciar la capacidad tecnológica e industrial de la UE e impulsar la adopción de la IA en todos los ámbitos de la economía, prepararse para las transformaciones socioeconómicas y garantizar el establecimiento de un marco ético y jurídico apropiado.

Para concretizar la estrategia en materia de IA, la Comisión desarrolló junto con los Estados miembros un plan coordinado sobre la inteligencia artificial (2), que presentó en diciembre de 2018, para crear sinergias, reunir datos —la materia prima de numerosas aplicaciones de IA— e incrementar las inversiones conjuntas. El objetivo es fomentar la cooperación transfronteriza y movilizar a todos los agentes con el fin de aumentar las inversiones públicas y privadas hasta un mínimo de 20.000 millones EUR anuales durante la próxima década (3). La Comisión ha duplicado sus inversiones en IA en Horizonte 2020 y tiene previsto invertir cada año 1.000 millones EUR de Horizonte Europa y del programa Europa Digital, especialmente para espacios comunes de datos en salud, transporte y fabricación, y grandes instalaciones de experimentación, como hospitales inteligentes e infraestructuras para vehículos automatizados y una agenda de investigación estratégica.

Para implementar esta agenda estratégica común de investigación, innovación y despliegue, la Comisión ha intensificado su diálogo con todas las partes interesadas relevantes de la industria, institutos de investigación y autoridades públicas. El nuevo programa Europa Digital será también determinante para contribuir a que la IA esté a disposición de las pequeñas y medianas empresas en todos los Estados miembros a través de polos de innovación digital, instalaciones de ensayo y experimentación reforzadas, espacios de datos y programas de formación.

Sobre la base de su reputación de productos seguros y de calidad, el enfoque ético de Europa con respecto a la IA refuerza la confianza de los ciudadanos en el desarrollo digital y pretende generar una ventaja competitiva para las empresas europeas de IA. El objetivo de la presente Comunicación es poner en marcha una fase piloto global en la que participen las partes interesadas a la escala más amplia posible con el fin de ensayar la implementación práctica de la orientación ética para el desarrollo y el uso de la IA.

2. GENERAR CONFIANZA EN LA IA CENTRADA EN EL SER HUMANO

La Estrategia europea de IA y el plan coordinado dejan claro que la confianza es un requisito previo para garantizar un enfoque de la IA centrado en el ser humano: la IA no es un fin en sí mismo, sino un medio que debe servir a las personas con el objetivo último de aumentar su bienestar. Para ello, la fiabilidad de la IA debe estar garantizada. Los valores en los que se basan nuestras sociedades han de estar plenamente integrados en la evolución de la IA.

La Unión se fundamenta en los valores de respeto de la dignidad humana, la libertad, la democracia, la igualdad, el Estado de Derecho y el respeto de los derechos humanos, incluidos los derechos de las personas pertenecientes a minorías (4). Estos valores son comunes a las sociedades de todos los Estados miembros, en las que prevalecen el pluralismo, la no discriminación, la tolerancia, la justicia, la solidaridad y la igualdad. Además, la Carta de los Derechos Fundamentales de la UE reúne, en un único texto, los derechos individuales, civiles, políticos, económicos y sociales de que gozan los ciudadanos de la UE.

La UE se asienta sobre un sólido marco normativo, que constituirá la referencia mundial para la IA centrada en el ser humano. El Reglamento general de protección de datos garantiza un elevado nivel de protección de los datos personales y requiere la implementación de medidas que garanticen la protección de datos desde la fase de diseño y por defecto (5). El Reglamento relativo a la libre circulación de datos no personales suprime barreras a la libre circulación de este tipo de datos y garantiza el tratamiento de todas las categorías de datos en cualquier lugar de Europa. El recientemente adoptado Reglamento de Ciberseguridad contribuirá a reforzar la confianza en el mundo digital; el Reglamento sobre la privacidad y las comunicaciones electrónicas propuesto (6) persigue también este mismo objetivo.

No obstante, la IA conlleva nuevos retos, ya que permite a las máquinas «aprender» y tomar decisiones y ejecutarlas sin intervención humana. No falta mucho para que este tipo de funcionalidad sea lo habitual en muchos tipos de bienes y servicios, desde los teléfonos inteligentes hasta los vehículos automatizados, los robots y las aplicaciones en línea. Ahora bien, las decisiones adoptadas mediante algoritmos pueden dar datos incompletos y, por tanto, no fiables, que pueden ser manipulados por ciberataques, pueden ser sesgados o simplemente estar equivocados. Aplicar de forma irreflexiva la tecnología a medida que se desarrolla produciría, por tanto, resultados problemáticos, así como la renuencia de los ciudadanos a aceptarla o utilizarla.

La tecnología de IA debería, más bien, desarrollarse de manera que las personas sean su centro y se gane así la confianza del público. Esto implica que las aplicaciones de IA no solo deben ajustarse a la ley, sino también respetar unos principios éticos y garantizar que su implementación evite daños involuntarios. En cada una de las fases de desarrollo de la IA debe estar garantizada la diversidad en cuanto al género, el origen racial o étnico, la religión o las creencias, la discapacidad y la edad. Las aplicaciones de IA deben empoderar a los ciudadanos y respetar sus derechos fundamentales. Su objetivo debe ser mejorar las capacidades de las personas, no sustituirlas, y permitir también el acceso de las personas con discapacidad.

Por consiguiente, son necesarias unas directrices éticas que se basen en el marco regulador existente y que sean aplicadas por desarrolladores, proveedores y usuarios de la IA en el mercado interior, estableciendo unas condiciones de competencia éticas en todos los Estados miembros. Por esta razón, la Comisión ha creado un grupo de expertos de alto nivel sobre la IA (7) que representa a toda una serie de partes interesadas, al que ha encomendado la elaboración de unas directrices éticas en materia de IA, así como la preparación de una serie de recomendaciones para una política más amplia en este ámbito. Al mismo tiempo, se ha creado la Alianza europea de la IA (8), una plataforma multilateral abierta con más de 2.700 miembros, para aportar una contribución más amplia a la labor del grupo de expertos de alto nivel sobre la IA.

El grupo de expertos de alto nivel sobre la IA publicó un primer borrador de las directrices éticas en diciembre de 2018. Tras una consulta a las partes interesadas (9) y reuniones con representantes de los Estados miembros (10), el grupo de expertos sobre la IA presentó un documento revisado a la Comisión en marzo de 2019. En sus reacciones hasta la fecha, los interesados en general se han mostrado satisfechos con la naturaleza práctica de las directrices y la orientación concreta que ofrecen a desarrolladores, proveedores y usuarios de la IA sobre cómo garantizar la fiabilidad.

2.1. Directrices para una IA fiable elaboradas por el grupo de expertos de alto nivel sobre la IA Las directrices elaboradas por el grupo de expertos de alto nivel sobre la IA, a las que se refiere la presente Comunicación (11), se basan en particular en el trabajo realizado por el Grupo europeo de ética de la ciencia y de las nuevas tecnologías y la Agencia de los Derechos Fundamentales.

Las directrices propugnan que, para lograr una «IA fiable», son necesarios tres componentes: 1) debe ser conforme a la ley, 2) debe respetar los principios éticos y 3) debe ser sólida.

Sobre estos tres componentes y los valores europeos expuestos en la sección 2, las directrices señalan siete requisitos esenciales que deben respetar las aplicaciones de IA para ser consideradas fiables. Las directrices también incluyen una lista para ayudar a comprobar si se cumplen estos requisitos.

Los siete requisitos esenciales son los siguientes:

  • Intervención y supervisión humanas
  • Solidez y seguridad técnicas
  • Privacidad y gestión de datos
  • Transparencia
  • Diversidad, no discriminación y equidad
  • Bienestar social y medioambiental
  • Rendición de cuentas

Aunque estos requisitos están pensados para ser aplicados a todos los sistemas de IA en diferentes entornos y sectores, el contexto específico en el que se apliquen debe tenerse en cuenta para su implementación concreta y proporcionada, adoptando un enfoque basado en el impacto. A modo de ejemplo, una aplicación de IA que sugiere un libro de lectura inadecuado es mucho menos peligrosa que otra que diagnostique erróneamente un cáncer y, por tanto, puede estar sujeta a una supervisión menos estricta.

Las directrices elaboradas por el grupo de expertos de alto nivel sobre la IA no son vinculantes y, como tales, no crean nuevas obligaciones legales. No obstante, muchas disposiciones vigentes del Derecho de la Unión (y a menudo de uso o ámbito específico) ya reflejan uno o varios de estos requisitos esenciales, por ejemplo, las normas de seguridad, de protección de los datos personales, de privacidad o de protección del medio ambiente.

La Comisión se congratula del trabajo del grupo de expertos de alto nivel sobre la IA y lo considera una valiosa aportación para su elaboración de políticas.

2.2. Requisitos esenciales para una IA fiable

La Comisión apoya los siguientes requisitos esenciales para una IA fiable, que están basados en valores europeos. Anima a las partes interesadas a aplicarlos y a comprobar la lista que los lleva a la práctica con el fin de crear el entorno adecuado de confianza para un desarrollo y un uso provechosos de la IA. La Comisión acoge favorablemente las reacciones de las partes interesadas para evaluar si esta lista facilitada en las directrices requiere de otros ajustes.

I. Intervención y supervisión humanas

Los sistemas de IA deben ayudar a las personas a elegir mejor y con más conocimiento de causa en función de sus objetivos. Deben actuar como facilitadores de una sociedad floreciente y equitativa, apoyando la intervención humana y los derechos fundamentales, y no disminuir, limitar o desorientar la autonomía humana. El bienestar global del usuario debe ser primordial en la funcionalidad del sistema.

La supervisión humana ayuda a garantizar que un sistema de IA no socave la autonomía humana ni cause otros efectos adversos. Dependiendo del sistema específico de IA y de su ámbito de aplicación, deben garantizarse los grados adecuados de medidas de control, incluida la adaptabilidad, la exactitud y la explicabilidad de los sistemas de IA (12). La supervisión debe lograrse a través de mecanismos de gobernanza, tales como el enfoque de la participación humana (human-in-the-loop), la supervisión humana (human-on-theloop), o el control humano (human-in-command).(13) Hay que garantizar que las autoridades públicas tengan la capacidad de ejercer sus competencias de supervisión conforme a sus mandatos. En igualdad de condiciones, cuanto menor sea la supervisión que puede ejercer un ser humano sobre un sistema de IA, más extensas tendrán que ser las pruebas y más estricta la gobernanza.

II. Solidez y seguridad técnicas

La fiabilidad de la IA requiere que los algoritmos sean suficientemente seguros, fiables y sólidos para resolver errores o incoherencias durante todas las fases del ciclo vital del sistema de IA y hacer frente adecuadamente a los resultados erróneos. Los sistemas de IA deben ser fiables, lo bastante seguros para ser resilientes, tanto frente a los ataques abiertos como a tentativas más sutiles de manipular datos o los propios algoritmos, y deben garantizar un plan de contingencia en caso de problemas. Sus decisiones deben ser acertadas o, como mínimo, reflejar su nivel de acierto, y sus resultados, reproducibles.

Además, los sistemas de IA deben integrar mecanismos de seguridad y de seguridad desde el diseño para garantizar que sean verificablemente seguros en cada fase, teniendo muy presente la seguridad física y psicológica de todos los afectados. Esto incluye la minimización y, cuando sea posible, la reversibilidad de las consecuencias no deseadas o errores en el funcionamiento del sistema. Deben instaurarse procesos para aclarar y evaluar los riesgos potenciales asociados al uso de los sistemas de IA, en diversos ámbitos de aplicación.

III. Privacidad y gestión de datos

Deben garantizarse la privacidad y la protección de datos en todas las fases del ciclo vital del sistema de IA. Los registros digitales del comportamiento humano pueden permitir que los sistemas de IA infieran no solo las preferencias, la edad y el sexo de las personas, sino también su orientación sexual o sus opiniones religiosas o políticas. Para que las personas puedan confiar en el tratamiento de datos, debe garantizarse que tienen el pleno control sobre sus propios datos, y que los datos que les conciernen no se utilizarán para perjudicarles o discriminarles.

Además de salvaguardar la privacidad y los datos personales, deben cumplirse requisitos en cuanto a garantizar la calidad de los sistemas de IA. La calidad de los conjuntos de datos utilizados es primordial para el funcionamiento de los sistemas de IA. Cuando se recopilan datos, pueden reflejar sesgos sociales, o contener inexactitudes o errores. Esto debe resolverse antes de entrenar un sistema de IA con un conjunto de datos. Además, debe garantizarse la integridad de los datos. Los procesos y conjuntos de datos utilizados deben ponerse a prueba y documentarse en cada fase, como la planificación, el entrenamiento, el ensayo y el despliegue. Esto debe aplicarse también a los sistemas de IA que no han sido desarrollados internamente, sino que se han adquirido fuera. Por último, el acceso a los datos debe estar adecuadamente regulado y controlado.

IV. Transparencia

Debe garantizarse la trazabilidad de los sistemas de IA; es importante registrar y documentar tanto las decisiones tomadas por los sistemas como la totalidad del proceso (incluida una descripción de la recogida y el etiquetado de datos, y una descripción del algoritmo utilizado) que dio lugar a las decisiones. A este respecto, en la medida de lo posible debe aportarse la explicabilidad del proceso de toma de decisiones algorítmico, adaptada a las personas afectadas. Debe proseguirse la investigación en curso para desarrollar mecanismos de explicabilidad. Además, deben estar disponibles las explicaciones sobre el grado en que un sistema de IA influye y configura el proceso organizativo de toma de decisiones, las opciones de diseño del sistema, así como la justificación de su despliegue (garantizando, por tanto, no solo la transparencia de los datos y del sistema, sino también la transparencia del modelo de negocio).

Por último, es importante comunicar adecuadamente las capacidades y limitaciones del sistema de IA a las distintas partes interesadas afectadas de una manera adecuada al caso de que se trate. Por otra parte, los sistemas de IA deben ser identificables como tales, garantizando que los usuarios sepan que están interactuando con un sistema de IA y qué personas son responsables del mismo.

V. Diversidad, no discriminación y equidad

Los conjuntos de datos utilizados por los sistemas de IA (tanto para el entrenamiento como para el funcionamiento) pueden verse afectados por la inclusión de sesgos históricos involuntarios, por no estar completos o por modelos de gobernanza deficientes. La persistencia en estos sesgos podría dar lugar a una discriminación (in)directa. También pueden producirse daños por la explotación intencionada de sesgos (del consumidor) o por una competencia desleal. Por otra parte, la forma en la que se desarrollan los sistemas de IA (por ejemplo, la forma en que está escrito el código de programación de un algoritmo) también puede estar sesgada. Estos problemas deben abordarse desde el inicio del desarrollo del sistema.

También puede ayudar a resolver estos problemas establecer equipos de diseño diversificados y crear mecanismos que garanticen la participación, en particular de los ciudadanos, en el desarrollo de la IA. Es conveniente consultar a las partes interesadas que puedan verse afectadas directa o indirectamente por el sistema a lo largo de su ciclo de vida. Los sistemas de IA deberían tener en cuenta toda la gama de capacidades, habilidades y necesidades humanas y garantizar la accesibilidad mediante un enfoque de diseño universal para tratar de lograr la igualdad de acceso para las personas con discapacidades.

VI. Bienestar social y medioambiental

Para que la IA sea fiable, debe tomarse en cuenta su impacto sobre el medio ambiente y sobre otros seres sensibles. Idealmente, todos los seres humanos, incluso las generaciones futuras, deberían beneficiarse de la biodiversidad y de un entorno habitable.

Debe, por tanto, fomentarse la sostenibilidad y la responsabilidad ecológica de los sistemas de IA. Lo mismo puede decirse de las soluciones de IA que abordan ámbitos de interés mundial, como por ejemplo los objetivos de desarrollo sostenible de las Naciones Unidas.

Por otra parte, el impacto de los sistemas de IA debe considerarse no solo desde una perspectiva individual, sino también desde la perspectiva de la sociedad en su conjunto.

Debe prestarse especial atención al uso de los sistemas de IA, particularmente en situaciones relacionadas con el proceso democrático, incluida la formación de opinión, la toma de decisiones políticas o en el contexto electoral. También debe tenerse en cuenta el impacto social de la IA. Si bien los sistemas de IA pueden utilizarse para mejorar las habilidades sociales, de la misma manera pueden contribuir a su deterioro.

VII. Rendición de cuentas

Deben instaurarse mecanismos que garanticen la responsabilidad y la rendición de cuentas de los sistemas de IA y de sus resultados, tanto antes como después de su implementación.

La posibilidad de auditar los sistemas de IA es fundamental, puesto que la evaluación de los sistemas de IA por parte de auditores internos y externos, y la disponibilidad de los informes de evaluación, contribuye en gran medida a la fiabilidad de la tecnología. La posibilidad de realizar auditorías externas debe garantizarse especialmente en aplicaciones que afecten a los derechos fundamentales, por ejemplo las aplicaciones críticas para la seguridad.

Los potenciales impactos negativos de los sistemas de IA deben señalarse, evaluarse, documentarse y reducirse al mínimo. El uso de las evaluaciones de impacto facilita este proceso. Estas evaluaciones deben ser proporcionales a la magnitud de los riesgos que plantean los sistemas de IA. Los compromisos entre los requisitos —que a menudo son inevitables— deben abordarse de una manera racional y metodológica, y ser tenidos en cuenta. Por último, cuando se produzcan efectos adversos injustos, deben estar previstos mecanismos accesibles que garanticen una reparación adecuada.

2.3. Próximas etapas: una fase piloto global en la que participen las partes interesadas a la escala más amplia posible

Alcanzar un consenso sobre estos requisitos esenciales para un sistema de IA es un primer hito importante en el camino hacia las directrices para una IA ética. Como siguiente paso, la Comisión garantizará que esta orientación pueda probarse e implementarse en la práctica.

Para ello, la Comisión pondrá en marcha una fase piloto específica concebida para obtener respuestas estructuradas de las partes interesadas. Este ejercicio se centrará, en particular, en la lista elaborada por el grupo de expertos de alto nivel para cada uno de los requisitos esenciales.

Este trabajo seguirá dos líneas: i) una fase piloto para las directrices en la que participen las partes interesadas que desarrollan o utilizan IA, incluidas las administraciones públicas, y ii) un proceso permanente de consulta a las partes interesadas y de sensibilización entre los Estados miembros y diferentes grupos de partes interesadas, entre otras el sector de la industria y los servicios:

I) A partir de junio de 2019, se pedirá a todas las partes interesadas y los particulares que prueben la lista y den su opinión sobre cómo mejorarla. Además, el grupo de expertos de alto nivel sobre la IA realizará un examen exhaustivo con las partes interesadas del sector público y privado para recopilar puntos de vista más detallados sobre cómo pueden implementarse las directrices en una amplia gama de ámbitos de aplicación. Todas las respuestas sobre la viabilidad de las directrices se evaluarán para finales de 2019.

II) Al mismo tiempo, la Comisión organizará otras actividades de divulgación, dando la oportunidad a los representantes del grupo de expertos de alto nivel sobre la IA de presentar las directrices a las partes interesadas relevantes en los Estados miembros, incluida la industria y el sector servicios, y brindando a estas partes interesadas la oportunidad adicional de formular observaciones sobre las directrices de IA y de contribuir a ellas.

La Comisión tendrá en cuenta el trabajo del grupo de expertos sobre ética para la conducción conectada y automatizada (14) y el trabajo con proyectos de investigación financiados por la UE y con asociaciones relevantes público-privadas sobre la implementación de los requisitos esenciales (15). Por ejemplo, la Comisión apoyará, en coordinación con los Estados miembros, el desarrollo de una base de datos común de imaginería médica inicialmente dedicada a las formas más comunes de cáncer, de manera que puedan entrenarse los algoritmos para diagnosticar síntomas con gran precisión. De forma similar, la cooperación de la Comisión y los Estados miembros permite multiplicar los corredores transfronterizos para probar vehículos conectados y automatizados. Las directrices deben aplicarse en estos proyectos y someterse a ensayo y los resultados alimentarán el proceso de evaluación.

La fase piloto y la consulta a las partes interesadas se beneficiarán de la contribución de la Alianza europea de la IA y de la AI4EU, la plataforma de IA a la demanda. El proyecto AI4EU (16), puesto en marcha en enero de 2019, reúne algoritmos, herramientas, conjuntos de datos y servicios para ayudar a las organizaciones, en particular a las pequeñas y medianas empresas, a implementar soluciones de IA. La Alianza europea de la IA, junto con la AI4EU, continuará movilizando el ecosistema de IA en toda Europa, también con vistas a poner a prueba las directrices éticas en materia de IA y fomentar el respeto de la IA centrada en el ser humano.

A comienzos de 2020, a partir de la evaluación de las reacciones recibidas durante la fase piloto, el grupo de expertos de alto nivel sobre la IA revisará y actualizará las directrices.

Sobre la base de la revisión y de la experiencia adquirida, la Comisión evaluará los resultados y propondrá las próximas etapas.

Con la propuesta de directrices éticas para la IA todos salen ganando. Garantizar el respeto de los valores y derechos fundamentales no solo es esencial en sí mismo, sino que también facilita la aceptación por parte del público y aumenta la ventaja competitiva de las empresas europeas de IA al establecer un planteamiento de IA centrada en el ser humano, fiable, reconocida por sus productos éticos y seguros. Más en general, esto se basa en la sólida reputación de las empresas europeas por sus productos seguros y de gran calidad. La fase piloto contribuirá a garantizar que los productos de IA cumplan esta promesa.

2.4. Hacia unas directrices éticas en materia de IA internacionales

Las conversaciones internacionales sobre la ética en materia de IA se han intensificado después de que la presidencia japonesa del G7 diera gran importancia al tema en la agenda de 2016. Dadas las interrelaciones internacionales en el desarrollo de la IA en cuanto a circulación de datos, desarrollo de algoritmos e inversiones en investigación, la Comisión seguirá esforzándose por llevar el enfoque de la Unión a la escena mundial y establecer un consenso sobre una IA centrada en el ser humano (17). El trabajo realizado por el grupo de expertos de alto nivel sobre la IA, y más en concreto la lista de requisitos y el proceso de participación con las partes interesadas, ofrece a la Comisión una valiosa aportación adicional para contribuir a los debates internacionales. La Unión Europea puede desempeñar un papel de liderazgo en el desarrollo de directrices internacionales sobre IA y, si es posible, un mecanismo de evaluación al respecto.

Por consiguiente, la Comisión:

Estrechará la cooperación con socios de ideas afines:

  • explorando hasta qué punto puede lograrse la convergencia con los proyectos de directrices éticas de terceros países (por ejemplo, Japón, Canadá, Singapur) y, apoyándose en este grupo de países de ideas afines, preparar un debate más amplio, respaldado por acciones que implementen el Instrumento de Colaboración para la cooperación con terceros países (18); y
  • explorando cómo pueden contribuir las empresas de países no pertenecientes a la UE y las organizaciones internacionales a la fase piloto de las directrices mediante la realización de ensayos y validaciones. Continuará desempeñando un papel activo en las conversaciones e iniciativas internacionales:
  • contribuyendo a foros multilaterales como el G7 y el G20;
  • participando en diálogos con países no pertenecientes a la UE y organizando reuniones bilaterales y multilaterales para llegar a un consenso sobre la IA centrada en el ser humano;
  • contribuyendo a actividades de normalización relevantes en organizaciones de desarrollo de normas internacionales para promover esta visión; y
  • reforzando la recogida y difusión de puntos de vista sobre políticas públicas, trabajando conjuntamente con organizaciones internacionales relevantes.

3. CONCLUSIONES

La UE reposa sobre un conjunto de valores fundamentales y ha construido un marco regulatorio sólido y equilibrado sobre estos cimientos. A partir de este marco regulatorio existente, son necesarias unas directrices éticas para el desarrollo y la utilización de la IA, dado lo novedoso de esta tecnología y los retos específicos que trae consigo. La IA solo podrá considerarse fiable si se desarrolla y utiliza de forma que respete unos valores éticos ampliamente compartidos.

Teniendo presente este objetivo, la Comisión acoge favorablemente la aportación preparada por el grupo de expertos de alto nivel sobre la IA. Sobre la base de los requisitos esenciales para que la IA se considere fiable, ahora la Comisión pondrá en marcha una fase piloto específica para garantizar que las directrices éticas derivadas para el desarrollo y la utilización de la IA puedan ser aplicadas en la práctica. La Comisión también trabajará para forjar un amplio consenso social sobre la IA centrada en el ser humano, incluyendo en ello a todas las partes interesadas y a nuestros socios internacionales.

La dimensión ética de la IA no es un lujo ni un algo accesorio: ha de ser parte integrante del desarrollo de la IA. Al tratar de lograr una IA centrada en el ser humano basada en la confianza, salvaguardamos el respeto de los valores esenciales de nuestra sociedad y forjamos una marca distintiva para Europa y su industria como líder de la IA de vanguardia en la que se puede confiar en todo el mundo.

Para garantizar el desarrollo ético de la IA en Europa en su contexto más amplio, la Comisión aplica un enfoque global que incluye, en particular, las siguientes líneas de acción para ser implementadas antes del tercer trimestre de 2019:

  • Comenzará a poner en marcha un conjunto de redes de centros de excelencia especializados en investigación sobre IA a través de Horizonte 2020. Seleccionará un máximo de cuatro redes, centrándose en retos científicos o tecnológicos importantes, como la explicabilidad y la interacción avanzada entre los seres humanos y las máquinas, que son elementos clave para una IA fiable.
  • Empezará a crear redes de polos de innovación digital (19) centrándose en la IA en la fabricación y en los macrodatos.
  • Junto con los Estados miembros y las partes interesadas, la Comisión entablará conversaciones preparatorias para desarrollar y aplicar un modelo para el intercambio de datos y para hacer el mejor uso de los espacios comunes de datos, haciendo hincapié en el transporte, la atención sanitaria y la fabricación industrial (20).

Además, la Comisión está elaborando un informe sobre los retos que plantea la IA en relación con los marcos de seguridad y responsabilidad y un documento de orientación sobre la implementación de la Directiva sobre responsabilidad por los daños causados por productos defectuosos (21). Al mismo tiempo, la Empresa Común de Informática de Alto Rendimiento Europea (EuroHPC) (22) desarrollará la próxima generación de superordenadores, ya que la capacidad de computación es esencial para el tratamiento de datos y la formación en IA, y Europa necesita dominar la totalidad de la cadena de valor digital. La asociación en curso con los Estados miembros y la industria sobre componentes y sistemas microelectrónicos (ECSEL) (23), así como la iniciativa europea en materia de procesadores (24), contribuirán al desarrollo de una tecnología de procesadores de bajo consumo para una computación en el borde (edge computing) de alto rendimiento, fiable y segura.

Al igual que el trabajo sobre directrices éticas para la IA, todas estas iniciativas parten de la estrecha cooperación con todas las partes afectadas, Estados miembros, industria, agentes sociales y ciudadanos. En conjunto, el enfoque de Europa con respecto a la IA muestra cómo la competitividad económica y la confianza de la sociedad deben partir de los mismos valores fundamentales y reforzarse mutuamente.

——————————————————————————————

(1) COM(2018) 237.

(2) COM(2018) 795.

(3) Para contribuir a alcanzar este objetivo, la Comisión propuso, en el próximo período de programación 2021-2027, que la Unión asigne al menos 1.000 millones EUR anuales de los fondos delos programas Horizonte Europa y Europa Digital para invertir en IA.

(4) La UE ha ratificado así mismo la Convención de las Naciones Unidas sobre los derechos de las personas con discapacidad.

(5) Reglamento (UE) 2016/679. El Reglamento general de protección de datos (RGPD) garantiza la libre circulación de datos personales dentro de la Unión. Contiene disposiciones sobre la adopción de decisiones basada únicamente en el tratamiento automatizado, lo que abarca la elaboración de perfiles. Las personas afectadas tienen derecho a ser informadas de la existencia de toma de decisiones automatizada y a recibir información significativa sobre la lógica aplicada en la misma, así como sobre la importancia y las consecuencias previstas de este tratamiento para ellas. En tales casos, también tienen derecho a obtener intervención humana, a expresar su punto de vista y a impugnar la decisión.

(6) COM(2017) 10.

(7) https://ec.europa.eu/digital-single-market/en/high-level-expert-group-artificial-intelligence

(8) https://ec.europa.eu/digital-single-market/en/european-ai-alliance

(9) A la consulta respondieron 511 organizaciones, asociaciones, empresas, institutos de investigación,particulares y otros. Puede consultarse un resumen de las respuestas en: https://ec.europa.eu/futurium/en/system/files/ged/consultation_feedback_on_draft_ai_ethics_guidelines_4.pdf

(10) El trabajo del grupo de expertos fue acogido favorablemente por los Estados miembros, y el Consejo, en sus conclusiones adoptadas el 18 de febrero de 2019, tomó nota, inter alia, de la próxima publicación de las directrices éticas y apoyó el esfuerzo de la Comisión de llevar el enfoque ético de la UE a la escena mundial: https://data.consilium.europa.eu/doc/document/ST-6177-2019-INIT/es/pdf

(11) https://ec.europa.eu/futurium/en/ai-alliance-consultation/guidelines#Top

(12) El Reglamento general de protección de datos da a las personas el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado cuando produzca efectos jurídicos en los usuarios o les afecte significativamente de modo similar (artículo 22 del RGPD).

(13) Human-in-the-loop (HITL) se refiere a la intervención humana en cada ciclo de decisión del sistema, lo que en muchos casos no es posible ni deseable. Human-on-the-loop (HOTL) se refiere a la capacidad de la intervención humana durante el ciclo de diseño del sistema y a la supervisión del funcionamiento del sistema. Human-in-command (HIC) se refiere a la capacidad de supervisar la actividad global del sistema de IA (incluido su impacto más amplio económico, social, jurídico y ético) y a la capacidad de decidir cuándo y cómo utilizar el sistema en cada situación determinada. Esto puede incluir la decisión de no utilizar un sistema de IA en una situación concreta, establecer niveles de discreción humana durante el uso del sistema o garantizar la capacidad de imponerse a una decisión tomada por el sistema.

(14) Véase la Comunicación de la Comisión sobre la movilidad conectada y automatizada, COM(2018) 283.

(15) En el marco del Fondo Europeo de Defensa, la Comisión desarrollará también orientaciones éticas específicas para la evaluación de propuestas de proyectos en el ámbito de la IA para la defensa.

(16) https://ec.europa.eu/digital-single-market/en/news/artificial-intelligence-ai4eu-project-launches-1-january2019

(17) La alta representante de la Unión para Asuntos Exteriores y Política de Seguridad, con el apoyo de la Comisión, se basará en consultas con las Naciones Unidas, el Panel de Tecnología Global y otros organismos multilaterales, y en particular, coordinará propuestas para hacer frente a los complejos desafíos de seguridad que se plantean.

(18) Reglamento (UE) n.º 234/2014 del Parlamento Europeo y del Consejo, de 11 de marzo de 2014, por el que se establece un Instrumento de Colaboración para la cooperación con terceros países (DO L 77 de 15.3.2014, p. 77). Por ejemplo, el proyecto previsto sobre «Una alianza internacional para un enfoque centrado en el ser humano para la IA» facilitará iniciativas conjuntas con socios de ideas afines, con el fin de promover unas directrices éticas y adoptar principios comunes y conclusiones operativas. Permitirá a la UE y países de ideas afines debatir conclusiones operativas derivadas de las directrices éticas sobre la IA propuestas por el grupo de expertos de alto nivel para alcanzar un enfoque común. Además, permitirá seguir el despliegue de la tecnología en materia de IA a nivel mundial. Por último, el proyecto prevé organizar actividades de diplomacia pública durante actos internacionales, por ejemplo, del G7, G20 y la Organización para la Cooperación y el Desarrollo Económicos.

(19) http://s3platform.jrc.ec.europa.eu/digital-innovation-hubs

(20) Los recursos necesarios procederán de Horizonte 2020 (en virtud del cual cerca de 1 500 millones EUR están asignados a la IA durante el periodo 2018-2020) y su sucesor previsto Horizonte Europa, la parte digital del Mecanismo «Conectar Europa» y especialmente el futuro Programa Europa Digital. Los proyectos también utilizarán recursos del sector privado y de los programas de los Estados miembros.

31Oct/20

Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo, de 20 de junio de 2019

Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público (Diario Oficial de la Unión Europea L 172 de 26.6.2019)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,

Vista la propuesta de la Comisión Europea, Previa transmisión del proyecto de acto legislativo a los parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1), Previa consulta al Comité de las Regiones,

De conformidad con el procedimiento legislativo ordinario (2),

Considerando lo siguiente:

(1) La Directiva 2003/98/CE del Parlamento Europeo y del Consejo (3) ha sido modificada de forma sustancial. Dado que deben hacerse nuevas modificaciones y en aras de la claridad, conviene proceder a la refundición de dicha Directiva.

(2) Con arreglo al artículo 13 de la Directiva 2003/98/CE y cinco años después de la adopción de la Directiva 2013/37/UE del Parlamento Europeo y del Consejo (4), que modificó la Directiva 2003/98/CE, la Comisión, tras consultar a las partes interesadas pertinentes, ha evaluado y revisado el funcionamiento de la Directiva 2003/98/CE en el marco del programa de adecuación y eficacia de la reglamentación.

(3) Tras la consulta a las partes interesadas y en vista de los resultados de la evaluación de impacto, la Comisión consideró que era necesario actuar a escala de la Unión para afrontar los obstáculos restantes y emergentes a una amplia reutilización de la información del sector público y financiada con fondos públicos en toda la Unión y actualizar el marco legislativo con los avances en las tecnologías digitales, y estimular aún más la innovación digital, en especial en lo que respecta a inteligencia artificial.

(4) Los cambios de fondo introducidos en el texto legislativo con el fin de explotar plenamente el potencial de la información del sector público para la economía y la sociedad europeas se centran en los siguientes aspectos: la prestación de acceso en tiempo real a los datos dinámicos a través de medios técnicos adecuados, aumentando el suministro de datos públicos valiosos para la reutilización, incluidos los de las empresas públicas, organizaciones que financian la investigación y organizaciones que realizan actividades de investigación, haciendo frente a la aparición de nuevas formas de acuerdos exclusivos, el uso de excepciones al principio de tarificación del coste marginal y la relación entre la presente Directiva y determinados instrumentos jurídicos conexos, en particular el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (5) y las Directivas 96/9/CE (6), 2003/4/CE (7) y 2007/2/CE (8) del Parlamento Europeo y del Consejo.

(5) El acceso a la información es un derecho fundamental. La Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta») establece que toda persona tiene derecho a la libertad de expresión, que comprende la libertad de opinión y la libertad de recibir o comunicar informaciones o ideas sin que pueda haber injerencia de autoridades públicas y sin consideración de fronteras.

(6) El artículo 8 de la Carta garantiza el derecho a la protección de los datos de carácter personal y establece que dichos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley y sometido al control de una autoridad independiente.

(7) El Tratado de Funcionamiento de la Unión Europea (TFUE) prevé la creación de un mercado interior y de un sistema que impida el falseamiento de la competencia en dicho mercado. La armonización de las normas y prácticas de los Estados miembros en relación con la explotación de la información del sector público contribuye a la consecución de estos objetivos.

(8) El sector público de los Estados miembros recoge, produce, reproduce y difunde una amplia gama de información en numerosos ámbitos de actividad, como el social, político, económico, jurídico, geográfico, medioambiental, meteorológico, sísmico, turístico, empresarial, educativo y de las patentes. Los documentos elaborados por los organismos del sector público de carácter ejecutivo, legislativo o judicial constituyen un conjunto amplio, diverso y valioso de recursos que pueden beneficiar a la sociedad. Ofrecer esta información, que incluye los datos dinámicos, en un formato electrónico de uso habitual permite que los ciudadanos y las personas jurídicas hallen nuevas formas de utilizarla y creen productos y servicios nuevos e innovadores. Los Estados miembros y los organismos del sector público pueden beneficiarse y recibir un apoyo financiero adecuado de los fondos y programas de la Unión pertinentes, garantizando un uso generalizado de las tecnologías digitales o la transformación digital de las administraciones públicas y los servicios públicos en su empeño por facilitar la reutilización de los datos.

(9) La información del sector público representa una fuente extraordinaria de datos que pueden contribuir a mejorar el mercado único y al desarrollo de nuevas aplicaciones para los consumidores y las personas jurídicas. El empleo inteligente de los datos, incluido su tratamiento a través de aplicaciones de inteligencia artificial, puede tener un efecto transformador en todos los sectores de la economía.

(10) La Directiva 2003/98/CE estableció un conjunto de normas mínimas que regula la reutilización y los dispositivos prácticos para facilitar la reutilización de los documentos existentes que obran en poder de los organismos del sector público de los Estados miembros, incluidos los órganos ejecutivo, legislativo y judicial. Desde la adopción del primer conjunto de normas sobre reutilización de la información del sector público, el volumen de datos, incluidos los públicos, ha aumentado exponencialmente en todo el mundo, al tiempo que se están generando y recopilando nuevos tipos de datos. Paralelamente, se está produciendo una constante evolución de las tecnologías para el análisis, la explotación y el tratamiento de datos, como el aprendizaje automático, la inteligencia artificial y el internet de las cosas. Esa rápida evolución tecnológica permite la creación de nuevos servicios y aplicaciones basados en el uso, la agregación o la combinación de datos. Las normas originales de 2003, y modificadas en 2013 están desfasadas con respecto a estos rápidos cambios y, como consecuencia de ello, pueden perderse las oportunidades económicas y sociales que ofrece la reutilización de los datos públicos.

(11) La evolución hacia una sociedad basada en datos, que utiliza datos de distintos ámbitos y actividades, afecta a la vida de todos los ciudadanos de la Unión, entre otras cosas al permitirles contar con nuevos medios para acceder y adquirir el conocimiento.

(12) Los contenidos digitales desempeñan un papel importante en esta evolución. La producción de contenidos ha dado lugar durante los últimos años, y sigue haciéndolo actualmente, a un fenómeno de rápida creación de empleo. La mayor parte de estos puestos de trabajo los crean empresas emergentes y pequeñas y medianas empresas (pymes) innovadoras.

(13) Uno de los principales objetivos del establecimiento de un mercado interior es la creación de unas condiciones que favorezcan el desarrollo de algunos servicios y productos que abarquen toda la Unión y los Estados miembros. La información del sector público o la información recogida, producida, reproducida y difundida en el ejercicio de una misión de servicio público o un servicio de interés general constituye una materia prima importante para diversos productos y servicios de contenidos digitales y se convertirá en un recurso cada vez más importante con el desarrollo de tecnologías digitales avanzadas como la inteligencia artificial, las tecnologías de registro descentralizado y el internet de las cosas. En este contexto, será asimismo esencial una amplia cobertura geográfica transfronteriza. Cabe esperar que una amplia posibilidad de reutilización de esos documentos del sector público permita, entre otras cosas, a todas las compañías europeas, incluidas las microempresas y las pymes, así como la sociedad civil, aprovechar su potencial y contribuir al desarrollo económico y a la creación y protección de empleo de calidad, en particular en beneficio de las comunidades locales, así como a la materialización de importantes objetivos sociales como la rendición de cuentas y la transparencia.

(14) Autorizar la reutilización de los documentos que obran en poder de un organismo del sector público les confiere valor añadido para los reutilizadores, para los usuarios finales y para la sociedad en general y, en muchos casos, para el propio organismo público, ya que el fomento de la transparencia y la responsabilidad y las aportaciones de reutilizadores y usuarios finales permiten al organismo del sector público de que se trate mejorar la calidad de la información recopilada y la realización de sus misiones de servicio público.

(15) Existen considerables diferencias de un Estado miembro a otro en relación con las normas y prácticas de explotación de los recursos de información del sector público. Estas diferencias constituyen barreras que obstaculizan el aprovechamiento pleno de las posibilidades económicas de este recurso esencial. La explotación por organismos del sector público de información de dicho sector sigue variando de un Estado miembro a otro, lo que se ha de tener en cuenta. Debe perseguirse, por tanto, una armonización mínima de las normas y prácticas nacionales en materia de reutilización de los documentos del sector público en los casos en que las diferencias entre las normas y las prácticas nacionales o la ausencia de claridad obstaculizan el buen funcionamiento del mercado interior y el adecuado desarrollo de la sociedad de la información en la Unión.

(16) Por datos abiertos como concepto se entiende en general los datos en formatos abiertos que puede utilizar, reutilizar y compartir libremente cualquier persona con cualquier fin. Las políticas de apertura de la información, que propician la disponibilidad y la reutilización generalizadas de la información del sector público con fines privados o comerciales, con restricciones mínimas o nulas de carácter jurídico, técnico o económico, y que favorecen la circulación de la información no solo para los agentes económicos, sino principalmente para el público, pueden desempeñar una función importante a la hora de fomentar el compromiso social e impulsar y promover el desarrollo de nuevos servicios basados en formas novedosas de combinar y utilizar esa información. Por tanto, se anima a los Estados miembros a promover la creación de datos basados en el principio «abiertos desde el diseño y por defecto», con respecto a todos los documentos que entren en el ámbito de aplicación de la presente Directiva. Al hacerlo, deberán garantizar un nivel constante de protección de los objetivos de interés público, como la seguridad pública, inclusive cuando afecte a información sensible sobre infraestructuras críticas, y se garantiza la protección de los datos personales, también cuando la información de un conjunto de datos específico pueda no suponer un riesgo de identificación o individualización de una persona física, pero sí suponerlo si se combina con otra información disponible.

(17) Además, en ausencia de una armonización mínima a nivel de la Unión, las actividades legislativas a nivel nacional, iniciadas ya en algunos Estados miembros ante la necesidad de dar respuesta a los retos tecnológicos, podrían dar lugar a discrepancias todavía más importantes. Las consecuencias de estas discrepancias legislativas y de esta incertidumbre irán acentuándose con el futuro desarrollo de la sociedad de la información, que ha ocasionado ya una fuerte intensificación de la explotación transfronteriza de la información.

(18) Los Estados miembros han establecido políticas de reutilización en el marco de la Directiva 2003/98/CE y algunos de ellos han adoptado ambiciosos planteamientos en materia de apertura de la información que superan el nivel mínimo fijado en dicha Directiva con el fin de facilitar la reutilización de los datos accesibles del sector público a ciudadanos y personas jurídicas. La divergencia de normas en diversos Estados miembros puede suponer un obstáculo para la oferta transfronteriza de productos y servicios e impedir que conjuntos de datos públicos comparables puedan reutilizarse en aplicaciones paneuropeas basadas en ellos. Así pues, es preciso un nivel mínimo de armonización para determinar los tipos de datos públicos que están disponibles para su reutilización en el mercado interior de la información, de acuerdo con los regímenes de acceso pertinentes, tanto generales como sectoriales, como el que se define en la Directiva 2003/4/CE, y sin afectarles. Las disposiciones del Derecho nacional y de la Unión que superen estos requisitos mínimos, en particular en casos de legislación sectorial, deben seguir aplicándose. Entre los ejemplos de disposiciones que superan el nivel mínimo de armonización de la presente Directiva se incluyen umbrales en la presente Directiva más bajos en el caso de los gastos admisibles para la reutilización que los umbrales previstos en el artículo 6 o condiciones de licencias menos restrictivas que las contempladas en el artículo 8. En particular, la presente Directiva debe entenderse sin perjuicio de las disposiciones que superen el nivel mínimo de armonización de esta establecidas en los Reglamentos Delegados de la Comisión adoptados en virtud de la Directiva 2010/40/UE del Parlamento Europeo y del Consejo (9).

(19) Además, se anima a los Estados miembros a ir más allá de los requisitos mínimos establecidos por la presente Directiva aplicando los requisitos de esta a los documentos que obran en poder de empresas públicas relacionados con actividades que, en virtud del artículo 34 de la Directiva 2014/25/UE del Parlamento Europeo y del Consejo (10), estén sometidas directamente a la competencia. Los Estados miembros también pueden decidir aplicar los requisitos de la presente Directiva a las empresas privadas, en particular las que presten servicios de interés general.

(20) Se necesita disponer de un marco general para las condiciones de reutilización de los documentos del sector público con el fin de garantizar que dichas condiciones sean equitativas, proporcionadas y no discriminatorias. Los organismos del sector público recogen, producen, reproducen y difunden documentos para llevar a cabo su labor de servicio público. Las empresas públicas recogen, producen, reproducen y difunden documentos para prestar servicios de interés general. La utilización de dichos documentos por otros motivos constituye una reutilización. Las políticas de los Estados miembros pueden ir más allá de las normas mínimas establecidas en la presente Directiva, permitiendo así una reutilización más amplia. Al transponer la presente Directiva, los Estados miembros pueden utilizar términos distintos de «documentos», siempre que se mantenga todo el alcance de la definición del término «documento» tal que establecido en la presente Directiva.

(21) La presente Directiva debe aplicarse a los documentos cuyo suministro sea una actividad que incida en el ámbito de la misión de servicio público de los organismos del sector público implicados, definida con arreglo a la legislación o a otras normas de obligado cumplimiento del Estado miembro. En ausencia de tales normas, la misión de servicio público debe definirse de conformidad con la práctica administrativa común del Estado miembro, siempre y cuando el ámbito de las misiones de servicio público sea transparente y se someta a revisión. La misión de servicio público puede definirse con carácter general o caso por caso para los diferentes organismos del sector público.

(22) La presente Directiva debe ser aplicable a los documentos que se hagan accesibles con fines de reutilización cuando los organismos del sector público suministren con licencia, vendan, difundan, intercambien o proporcionen información. Para evitar las subvenciones cruzadas, la reutilización incluye la utilización posterior de los documentos dentro del propio organismo para actividades distintas de la misión de servicio público. Entre las actividades ajenas a la misión de servicio público, un ejemplo típico es el suministro de documentos producidos y por los que se haya pagado un precio en un marco exclusivamente comercial y en competencia con otros actores del mercado.

(23) La presente Directiva no debe restringir ni afectar en modo alguno el desempeño de las funciones legales de las autoridades públicas y otros organismos del sector público. La presente Directiva debe imponer a los Estados miembros la obligación de permitir la reutilización de todos los documentos existentes, salvo si el acceso está restringido o excluido en virtud de normas nacionales sobre el acceso a los documentos o sometido a las demás excepciones establecidas en la presente Directiva. La presente Directiva se basa en los actuales regímenes de acceso de los Estados miembros y no modifica las normas nacionales de acceso a documentos. No es aplicable a aquellos casos en que, con arreglo al régimen pertinente de acceso, los ciudadanos o personas jurídicas puedan obtener un documento solo si pueden demostrar un interés particular. A nivel de la Unión, el artículo 41 sobre el derecho a una buena administración y el artículo 42 sobre el derecho de acceso a los documentos en la Carta reconocen el derecho de todo ciudadano de la Unión y de toda persona física o jurídica que resida o tenga su domicilio social en un Estado miembro a tener acceso a los documentos que obren en poder del Parlamento Europeo, del Consejo y de la Comisión. Se debe instar a los organismos del sector público a poner a disposición, con vistas a su reutilización, todos los documentos que conserven. Los organismos del sector público deben promover y alentar la reutilización de documentos, inclusive los textos oficiales de carácter legislativo y administrativo, en los casos en los que el organismo del sector público tiene el derecho a autorizar su reutilización.

(24) Los Estados miembros a menudo confían la prestación de servicios de interés general a entidades ajenas al sector público, aunque mantienen un grado elevado de control sobre estas. Al mismo tiempo, la Directiva 2003/98/CE solo se aplica a los documentos conservados por organismos del sector público, mientras que excluyen de su ámbito de aplicación a las empresas públicas. Esto origina una escasez de documentos disponibles para su reutilización elaborados durante la prestación de servicios de interés general en una serie de ámbitos, en particular en el sector de los servicios. También reduce considerablemente el potencial de creación de servicios transfronterizos basados en documentos conservados por empresas públicas que prestan servicios de interés general.

(25) La Directiva 2003/98/CE debe, por lo tanto, modificarse para garantizar que pueda aplicarse a la reutilización de documentos existentes elaborados durante la prestación de servicios de interés general por parte de las empresas públicas que realizan alguna de las actividades contempladas en los artículos 8 a 14 de la Directiva 2014/25/UE, así como por las empresas públicas que actúan como operadores de servicio público con arreglo al artículo 2 del Reglamento (CE) nº 1370/2007 del Parlamento Europeo y del Consejo (11), las empresas públicas que actúan como compañías aéreas que cumplen obligaciones de servicio público con arreglo al artículo 16 del Reglamento (CE) nº 1008/2008 del Parlamento Europeo y del Consejo (12), y las empresas públicas que actúan como armadores comunitarios que cumplen obligaciones de servicio público con arreglo al artículo 4 del Reglamento (CEE) nº 3577/92 del Consejo (13).

(26) La presente Directiva no debe contener una obligación general para permitir la reutilización de documentos elaborados por empresas públicas. La decisión de autorizar o no la reutilización debe corresponder a la empresa pública de que se trate, salvo si se exige otra cosa en la presente Directiva, el Derecho de la Unión o el Derecho nacional. Solo una vez que la empresa pública haya puesto a disposición un documento para su reutilización, debe respetar las obligaciones pertinentes establecidas en los capítulos III y IV de la presente Directiva, en particular en materia de formatos, tarificación, transparencia, licencias, no discriminación y prohibición de acuerdos exclusivos. Por otra parte, las empresas públicas no están obligadas a cumplir los requisitos establecidos en el capítulo II, como las normas aplicables a la tramitación de solicitudes. Al permitir la reutilización de documentos, debe prestarse especial atención a la protección de información sensible sobre infraestructuras críticas definidas en la Directiva 2008/114/CE del Consejo (14) y de servicios esenciales en el sentido de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo (15).

(27) El volumen de datos de investigación generados está creciendo exponencialmente y pueden ser reutilizados por otros usuarios ajenos a la comunidad científica. Para poder afrontar con eficacia y de manera global los crecientes desafíos sociales, la posibilidad de acceder a datos de diferentes fuentes y de todo tipo de sectores y disciplinas, de combinarlos y reutilizarlos ha pasado a ser algo crucial y urgente. Los datos de investigación incluyen estadísticas, resultados de experimentos, mediciones, observaciones derivadas del trabajo de campo, resultados de encuestas, grabaciones e imágenes de entrevistas. También incluyen metadatos, especificaciones y otros objetos digitales. Los datos de investigación son diferentes de los artículos científicos que divulgan y comentan las conclusiones resultantes de sus investigaciones científicas. Durante muchos años, la libre disponibilidad y la posibilidad de reutilizar los datos de investigaciones científicas propiciadas por la financiación pública han sido objeto de iniciativas políticas específicas. Por acceso abierto se entiende la práctica de ofrecer a los usuarios finales el acceso en línea y gratuito a los resultados de investigaciones, sin más restricciones de la utilización y reutilización que la posibilidad de exigir que se reconozca la autoría. Las políticas de acceso abierto se proponen, en particular, proporcionar a los investigadores y al público en general, tan pronto como sea posible en el proceso de divulgación, el acceso a datos de investigación y facilitar su uso y reutilización. El acceso abierto mejora la calidad, reduce la necesidad de duplicaciones innecesarias en la investigación, acelera el progreso científico, combate el fraude científico y puede favorecer de manera general el crecimiento económico y la innovación. Además del acceso abierto, es encomiable que se esté procurando garantizar que la planificación de la gestión de datos se convierta en una práctica científica estándar y apoyar la divulgación de datos de investigación que sean fáciles de encontrar, accesibles, interoperables y reutilizables (principios FAIR).

(28) Por las razones antes expuestas, procede imponer a los Estados miembros la obligación de adoptar políticas de acceso abierto con respecto a los datos de la investigación financiada públicamente y garantizar que dichas políticas son ejecutadas por todas las organizaciones que realizan actividades de investigación y las organizaciones que financian la investigación. Las organizaciones que realizan actividades de investigación y las organizaciones que financian la investigación también se pueden organizar como organismos del sector público y como empresas públicas. La presente Directiva se aplica a dichas organizaciones híbridas únicamente en su condición de organizaciones que realizan actividades de investigación y a sus datos de investigación. Las políticas de acceso abierto permiten normalmente una serie de excepciones a la hora de poner a disposición del público los resultados de la investigación científica. La Recomendación de la Comisión de 25 de abril de 2018 relativa al acceso a la información científica y a su preservación describe, entre otras cosas, elementos pertinentes de las políticas de acceso abierto. Además, deben mejorarse las condiciones en las cuales pueden reutilizarse determinados datos de la investigación. Por este motivo, algunas obligaciones derivadas de la presente Directiva deben ampliarse a los datos de investigación resultantes de actividades de investigación científica subvencionadas mediante financiación pública o cofinanciadas por entidades de los sectores público y privado. Con arreglo a las políticas nacionales de acceso abierto, los datos de la investigación financiada públicamente serán abiertos por defecto. Sin embargo, en este contexto, deben tenerse debidamente en cuenta las inquietudes relacionadas con la privacidad, la protección de datos personales, la confidencialidad, la seguridad nacional, los intereses comerciales legítimos, como los secretos comerciales, y los derechos de propiedad intelectual de terceros, conforme al principio «tan abiertos como sea posible, tan cerrados como sea necesario». Por otra parte, los datos de investigación a los que no puede accederse por motivos de seguridad nacional, defensa o seguridad pública no deben estar cubiertos por la presente Directiva. Para evitar cualquier carga administrativa, las obligaciones derivadas de la presente Directiva solo deben aplicarse a aquellos datos de investigación que ya hayan sido puestos a disposición del público por investigadores, organizaciones que realizan actividades de investigación u organizaciones que financian la investigación a través de un registro institucional o temático, y no deben imponer costes adicionales para la obtención de los conjuntos de datos ni requerir una selección adicional de los datos. Los Estados miembros pueden hacer extensiva la aplicación de la presente Directiva a los datos de investigación puestos a disposición del público a través de infraestructuras de datos distintas de los registros, a través de publicaciones de acceso abierto o en forma de fichero adjunto a un artículo, a un artículo de datos o a un artículo en una revista especializada en datos. Los documentos distintos de los datos de investigación deben seguir estando excluidos del ámbito de la presente Directiva.

(29) La definición de «organismo del sector público» se basa en la definición del punto 1 del artículo 2, apartado 1, de la Directiva 2014/24/UE del Parlamento Europeo y del Consejo (16). La definición de organismo de Derecho público y la de empresa pública establecidas en la Directiva 2014/25/UE deben aplicarse a la presente Directiva.

(30) La presente Directiva establece una definición del término documento y esa definición debe incluir cualquiera de sus partes. El término documento debe abarcar todas las formas de representación de actos, hechos o información, y cualquier recopilación de los mismos, independientemente del soporte (escrito en papel, almacenado en forma electrónica o como grabación sonora, visual o audiovisual). La definición de documento no pretende incluir los programas informáticos. Los Estados miembros pueden hacer extensiva la aplicación de la presente Directiva a los programas informáticos.

(31) Cada vez es más frecuente que los organismos del sector público pongan a disposición sus documentos para su reutilización de una manera proactiva, garantizando la detectabilidad en línea y la disponibilidad real de los documentos y los metadatos conexos en formatos abiertos, legibles por máquina y que garantizan la interoperabilidad, la reutilización y la accesibilidad. Los documentos también deben estar disponibles para su reutilización a raíz de una solicitud presentada por un reutilizador. En tales casos, los plazos de respuesta a las solicitudes de reutilización de los documentos deben ser razonables y adecuarse a los plazos de respuesta a las solicitudes de acceso al documento en virtud del régimen correspondiente de acceso. Las empresas públicas, los centros educativos, las organizaciones que realizan actividades de investigación y las organizaciones que financian la investigación deben, no obstante, quedar exentas de este requisito. La fijación de plazos razonables a escala de la Unión estimulará la creación de nuevos productos y servicios de información agregada a escala paneuropea. Esto es particularmente importante para los datos dinámicos (incluidos los datos medioambientales, la información sobre el tráfico, los datos obtenidos vía satélite, los datos meteorológicos y los datos generados por sensores), cuyo valor económico depende de su puesta a disposición inmediata y de una actualización regular. Por lo tanto, los datos dinámicos deben ponerse a disposición inmediatamente después de su recopilación o, cuando se trate de una actualización manual, inmediatamente después de la modificación del conjunto de datos, a través de una interfaz de programación de aplicaciones (API) con el fin de facilitar el desarrollo de aplicaciones de internet, de telefonía móvil y en la nube basadas en dichos datos. Cuando ello no sea posible debido a limitaciones técnicas o financieras, los organismos del sector público deben poner a disposición los documentos en un plazo que permita aprovechar plenamente el potencial económico de dichos documentos. Se deben tomar medidas específicas para eliminar las limitaciones técnicas y financieras pertinentes. Cuando se utilice una licencia, el plazo en que los documentos se ponen a disposición puede ser parte integrante de las condiciones de la licencia. Cuando la verificación de los datos sea esencial por razones justificadas de interés público, en particular por motivos de salud y seguridad públicas, los datos dinámicos deben ponerse a disposición inmediatamente después de su verificación. Dicha verificación esencial no debe afectar a la frecuencia de las actualizaciones.

(32) Para obtener acceso a los datos abiertos para su reutilización por la presente Directiva, resulta útil garantizar el acceso a los datos dinámicos a través de API bien diseñadas. Una API es un conjunto de funciones, procedimientos, definiciones y protocolos para la comunicación de máquina a máquina y el intercambio fluido de datos. Las API deben estar respaldadas por documentación técnica clara, completa y disponible en línea. Cuando sea posible, deben utilizarse API abiertas. Cuando proceda, deben aplicarse protocolos estándar reconocidos a escala de la Unión o internacional y emplearse normas internacionales para los conjuntos de datos. Las API pueden tener diferentes niveles de complejidad y pueden adoptar la forma de un simple enlace a una base de datos para obtener conjuntos de datos específicos, de una interfaz web o de estructuras más complejas. La reutilización y el intercambio de datos a través de un uso adecuado de API crean valor general, dado que ayudarán a los desarrolladores y a las empresas emergentes a crear nuevos servicios y productos. También es un elemento decisivo a la hora de crear ecosistemas valiosos alrededor de activos de datos que están a menudo sin utilizar. La creación y la utilización de API ha de basarse en varios principios: disponibilidad, estabilidad, mantenimiento durante la vida útil, uniformidad de uso y normas, facilidad de uso y seguridad. En el caso de los datos dinámicos, a saber, los datos que se actualizan con frecuencia, a menudo en tiempo real, los organismos del sector público y las empresas públicas deben ponerlos a disposición para su reutilización inmediatamente después de su recopilación por medio de API adecuadas y, cuando proceda, en forma de descarga masiva, excepto en los casos en los que esto supondría un esfuerzo desproporcionado. Al evaluar la proporcionalidad del esfuerzo debe tenerse en cuenta el tamaño y el presupuesto de funcionamiento del organismo del sector público o de la empresa pública de que se trate.

(33) Las posibilidades de reutilización pueden mejorarse si se limita la necesidad de digitalizar documentos existentes en papel o de procesar los archivos digitales para hacerlos mutuamente compatibles. Así pues, los organismos del sector público deben ofrecer los documentos en todos los formatos o lenguas preexistentes, por medios electrónicos cuando resulte posible y oportuno. También deben contemplar favorablemente las solicitudes de expedición de extractos de un documento existente, siempre que no conlleven más que una operación simple. Sin embargo, los organismos del sector público no deben estar obligados a proporcionar extractos de documentos o a modificar el formato de la información solicitada cuando ello suponga un esfuerzo desproporcionado. Con el fin de facilitar la reutilización, los organismos del sector público deben poner a disposición sus propios documentos en un formato que, en la medida de lo posible y si es adecuado, no dependa de la utilización de programas específicos. Siempre que sea posible y adecuado, los organismos del sector público deben tener en cuenta las posibilidades de reutilización de los documentos por personas con discapacidad y a ellas destinados ofreciendo la información en formatos accesibles de conformidad con los requisitos de la Directiva (UE) 2016/2102 del Parlamento Europeo y del Consejo (17).

(34) Para facilitar la reutilización, los organismos del sector público deben poner, siempre que sea posible y apropiado, los documentos, incluidos los publicados en páginas web, a disposición del público mediante formatos abiertos y legibles por máquina junto con sus metadatos, con los niveles más elevados de precisión y granularidad, en un formato que garantice su interoperabilidad; por ejemplo, procesándolos de forma coherente con los principios que rigen los requisitos de facilidad de utilización y compatibilidad de la información espacial en virtud de la Directiva 2007/2/CE.

(35) Debe considerarse que un documento se presenta en formato legible por máquina si tiene un formato de archivo estructurado de tal forma que permite a las aplicaciones informáticas identificar, reconocer y extraer con facilidad los datos específicos que contiene. Los datos codificados en archivos estructurados en un formato legible por máquina deben considerarse datos legibles por máquina. Los formatos legibles por máquina pueden ser abiertos o propietarios; pueden ser normas formales o no serlo. Los documentos codificados en un formato de archivo que limita este procesamiento automático, por el hecho de que los datos no pueden extraerse o no pueden extraerse fácilmente de ellos, no deben considerarse documentos en un formato legible por máquina. Cuando sea posible y proceda, los Estados miembros deben fomentar el uso de formatos abiertos y legibles por máquina reconocidos a escala de la Unión o internacional. Al elaborar soluciones técnicas para la reutilización de documentos, debe tenerse en cuenta, cuando proceda, el Marco Europeo de Interoperabilidad.

(36) Las tarifas por la reutilización de documentos constituyen una importante barrera de entrada al mercado para las empresas emergentes y las pymes. Los documentos deben, por consiguiente, ponerse a disposición para su reutilización gratuitamente y, cuando sea necesario aplicar una tarifa, esta debe limitarse en principio a los costes marginales. En los casos en que los organismos del sector público busquen la información solicitada de manera especialmente exhaustiva o realicen modificaciones extremadamente costosas del formato de la información solicitada, ya sea voluntariamente o con arreglo a lo dispuesto en la legislación nacional, los costes marginales pueden abarcar los costes relacionados con dichas actividades. En casos excepcionales debe tomarse en consideración muy especialmente la necesidad de no entorpecer el funcionamiento normal de los organismos del sector público a los que se exige generar ingresos para cubrir una parte considerable de sus gastos derivados de la realización de sus misiones de servicio público. Lo anterior también es aplicable en los casos en que un organismo del sector público haya puesto a disposición datos en forma de datos abiertos, pero se le exija generar ingresos para sufragar una parte considerable de sus gastos derivados de la realización de otras misiones de servicio público. También debe reconocerse la función de las empresas públicas en un entorno económico competitivo. En tales casos, los organismos del sector público y las empresas públicas deben, por lo tanto, poder cobrar tarifas superiores a los costes marginales. Dichas tarifas superiores a los costes marginales deben establecerse de acuerdo con criterios objetivos, transparentes y verificables, y los ingresos totales obtenidos por el suministro y por autorizar la reutilización de documentos no deben superar el coste de recogida y producción, incluida la compra a terceros, reproducción, mantenimiento, almacenamiento y difusión, incrementado por un margen de beneficio razonable de la inversión. En su caso, los costes de anonimización de datos personales y los costes de las medidas tomadas para proteger la confidencialidad de los datos también deben poder incluirse en los costes elegibles. Los Estados miembros pueden exigir a los organismos del sector público y a las empresas públicas que den a conocer dichos costes. El requisito de generar ingresos para cubrir una parte considerable de los gastos de los organismos del sector público derivados de la realización de sus misiones de servicio público o del ámbito de aplicación de los servicios de interés general confiados a empresas públicas no ha de estar incluido en la legislación y puede derivarse, por ejemplo, de las prácticas administrativas de los Estados miembros. Los Estados miembros deben revisar periódicamente dicho requisito.

(37) El margen de beneficio de la inversión puede entenderse como un porcentaje, aparte de los costes marginales, que permite recuperar el coste del capital e incluir una tasa de rentabilidad real. Puesto que el coste del capital está estrechamente vinculado a los tipos de interés de las entidades de crédito, basados en el interés fijo del Banco Central Europeo (BCE) sobre las operaciones principales de financiación, el margen de beneficio razonable de la inversión no debería ser superior al 5 % del tipo de interés fijo del BCE.

(38) Las bibliotecas, incluidas las universitarias, los museos y los archivos deben poder cobrar tarifas superiores a los costes marginales con objeto de no entorpecer su funcionamiento normal. En el caso de esos organismos del sector público, los ingresos totales obtenidos por el suministro y por autorizar la reutilización de documentos durante el ejercicio contable apropiado no han de superar el coste de recogida, producción, reproducción, difusión, conservación y compensación de derechos, incrementado por un margen de beneficio razonable de la inversión. En su caso, los costes de anonimización de datos personales o de información comercial sensible también deben incluirse en los costes elegibles. Por lo que respecta a las bibliotecas, incluidas las universitarias, los museos y los archivos, y atendiendo a sus particularidades, los precios aplicados por el sector privado para la reutilización de documentos idénticos o similares pueden tenerse en cuenta al calcular el beneficio razonable de la inversión.

(39) Los límites superiores para las tarifas establecidos en la presente Directiva se entienden sin perjuicio del derecho de los Estados miembros de aplicar tarifas inferiores o no aplicarlas en absoluto.

(40) Los Estados miembros deben establecer los criterios para el cobro de tarifas superiores a los costes marginales. Deben poder, por ejemplo, establecer tales criterios en normas nacionales o designar al organismo u organismos apropiados, distintos del propio organismo del sector público de que se trate, con competencia para establecer dichos criterios. La organización de ese organismo debe estar en consonancia con los sistemas constitucionales y jurídicos de los Estados miembros. Puede tratarse de un organismo existente con competencias de ejecución presupuestaria y bajo una responsabilidad política.

(41) Garantizar que las condiciones de reutilización de los documentos del sector público sean claras y estén a disposición del público constituye una condición previa para el desarrollo de un mercado de la información que abarque la totalidad de la Unión. Por consiguiente, debe informarse claramente a los reutilizadores potenciales de todas las condiciones aplicables a la reutilización de documentos. Los Estados miembros deben alentar la creación de índices accesibles en línea, cuando sea oportuno, de los documentos disponibles para fomentar y facilitar las solicitudes de reutilización. Los solicitantes de la reutilización de documentos que obran en poder de entidades distintas de las empresas públicas, centros de enseñanza, organizaciones que realizan actividades de investigación y organizaciones que financian la investigación deben estar informados de las vías de recurso de las que disponen para impugnar las decisiones y las prácticas que les afecten. Ello es particularmente importante para las empresas emergentes y pymes, que pueden no estar acostumbradas a relacionarse con organismos del sector público de otros Estados miembros y desconocen las vías de recurso de las que disponen.

(42) Las vías de recurso deben incluir la posibilidad de revisión por un órgano de revisión imparcial. Dicho órgano puede ser una autoridad nacional ya existente, como la autoridad nacional de competencia, la autoridad de control establecida de conformidad con el Reglamento (UE) 2016/679, la autoridad nacional reguladora del acceso a los documentos o una autoridad judicial nacional. La organización de ese organismo debe estar en consonancia con los sistemas constitucionales y jurídicos de los Estados miembros. El recurso a dicho organismo no debe prejuzgar ninguna vía de recurso disponible de otra forma para los solicitantes de reutilización. Sin embargo, debe ser distinto del mecanismo del Estado miembro encargado de establecer los criterios para el cobro de tarifas superiores a los costes marginales. Las vías de recurso deben incluir la posibilidad de revisión de las decisiones negativas, pero también de aquellas decisiones que, aunque permitan la reutilización, puedan también afectar a los solicitantes por otros motivos, en particular por lo que se refiere a las normas de tarifación aplicadas. El proceso de revisión debe ser rápido, de conformidad con las necesidades de un mercado en rápida evolución.

(43) La publicidad de todos los documentos de libre disposición que obran en poder del sector público -referentes no solo a los procedimientos políticos, sino también a los judiciales y administrativos- es un instrumento esencial para el desarrollo del derecho al conocimiento, que constituye un principio básico de la democracia. Este objetivo es aplicable a las instituciones tanto a nivel local como nacional o internacional.

(44) En determinados casos, la reutilización de documentos se hará sin que se haya concedido una licencia. En otros casos, se puede expedir una licencia que imponga a su titular una serie de condiciones de reutilización referidas a cuestiones como la responsabilidad, la protección de los datos personales, el uso correcto de los documentos, la garantía de que los documentos no serán modificados y la indicación de la fuente. Si los organismos del sector público conceden licencias para la reutilización de documentos, las condiciones de la licencia deben ser justas y transparentes. Las licencias tipo disponibles en línea pueden desempeñar asimismo un papel importante al respecto. Por consiguiente, los Estados miembros deben procurar que estén a disposición licencias tipo. En cualquier caso, las licencias para la reutilización de información del sector público deben plantear las mínimas restricciones posibles sobre la reutilización, limitándolas, por ejemplo, a una indicación de la fuente. Las licencias abiertas en forma de licencias tipo públicas disponibles en línea, que permiten a cualquier persona y para cualquier fin acceder a datos y contenido, así como utilizarlos, modificarlos y compartirlos de manera gratuita, y que se basan en formatos de datos abiertos, deben desempeñar una importante función en este aspecto. Por consiguiente, los Estados miembros deben fomentar el uso de licencias abiertas, que, en su momento, debe pasar a ser práctica común en toda la Unión. Sin perjuicio de los requisitos en materia de responsabilidad impuestos por el Derecho de la Unión o el Derecho nacional, cuando un organismo del sector público o una empresa pública ponga a disposición documentos para su reutilización sin condiciones ni restricciones, dicho organismo del sector público o empresa pública puede eximirse de toda responsabilidad con respecto a los documentos puestos a disposición para su reutilización.

(45) Cuando la autoridad competente decida no seguir permitiendo la reutilización de determinados documentos, o dejar de actualizarlos, debe hacer públicas estas decisiones en el plazo más breve y, si ello es posible, por vía electrónica.

(46) Las condiciones de reutilización no deben ser discriminatorias para tipos comparables de reutilización. A este respecto la prohibición de discriminación no debe impedir, por ejemplo, el intercambio gratuito de información entre organismos del sector público cuando estos organismos desempeñen sus misiones de servicio público, mientras que otras partes deban abonar una tarifa por la reutilización de los mismos documentos. Tampoco debe impedir la adopción de una política de tarifas diferenciada para la reutilización comercial y no comercial.

(47) En particular, los Estados miembros deberán asegurarse de que la reutilización de documentos de empresas públicas no dé lugar a la distorsión del mercado y de que no se menoscabe la competencia leal.

(48) Los organismos del sector público deben tomar en consideración las normas de competencia al establecer los principios para la reutilización de documentos, evitando en la medida de lo posible acuerdos exclusivos entre ellos mismos y socios particulares. No obstante, con vistas a la prestación de un servicio de interés económico general, puede resultar a veces necesario conceder un derecho exclusivo a la reutilización de determinados documentos del sector público. Tal puede ser el caso si ningún editor comercial está dispuesto a publicar la información de no concedérsele derechos exclusivos. A este respecto procede tener en cuenta los contratos de servicios públicos excluidos del ámbito de aplicación de la Directiva 2014/24/UE en virtud de su artículo 11, y las asociaciones para la innovación a que se refiere el artículo 31 de la Directiva 2014/24/UE.

(49) Existen numerosos acuerdos de cooperación entre bibliotecas, incluidas las universitarias, museos, archivos y socios privados que implican la digitalización de recursos culturales y por los que se otorgan derechos exclusivos a socios privados. La experiencia ha demostrado que tales asociaciones público-privadas pueden facilitar una utilización adecuada de los fondos culturales y aceleran al mismo tiempo el acceso de los ciudadanos al patrimonio cultural. Conviene, por lo tanto, atender a las actuales divergencias de los Estados miembros en cuanto a la digitalización de los recursos culturales, mediante un conjunto de normas específico relativo a los acuerdos sobre la digitalización de tales recursos. Cuando exista un derecho exclusivo relacionado con la digitalización de los recursos culturales, es posible que se requiera un período de exclusividad para dar al socio privado la posibilidad de amortizar su inversión. Dicho período debe tener un límite temporal lo más corto posible con el fin de respetar el principio según el cual el material de dominio público debe permanecer en el dominio público tras su digitalización. El período de vigencia de un derecho exclusivo para la digitalización de recursos culturales no debe ser superior, por regla general, a diez años. Los períodos de vigencia del derecho exclusivo superiores a diez años deben estar sometidos a revisión, teniendo en cuenta los cambios tecnológicos, económicos y administrativos que se produzcan en el entorno desde la celebración del acuerdo. Además, toda asociación público-privada para la digitalización de recursos culturales debe otorgar a la institución cultural socia plenos derechos respecto de la utilización de recursos culturales digitalizados posterior a la terminación del acuerdo.

(50) Los acuerdos entre titulares de datos y reutilizadores de datos que no concedan expresamente derechos exclusivos pero de los que pueda esperarse razonablemente que restringen la disponibilidad de documentos para su reutilización deben someterse a un control público suplementario. Por lo tanto, los aspectos esenciales de dichos acuerdos deben publicarse en línea al menos dos meses antes de su entrada en vigor, es decir, dos meses antes de la fecha acordada para que se inicie la prestación de las obligaciones de las partes. La publicación debe ofrecer a las partes interesadas la posibilidad de solicitar la reutilización de los documentos cubiertos por los acuerdos y prevenir el riesgo de restringir el número de reutilizadores potenciales. En cualquier caso, los aspectos esenciales de dichos acuerdos en su forma definitiva acordada por las partes también deben hacerse públicos en línea y sin demora indebida tras su celebración.

(51) La presente Directiva tiene por objeto reducir al mínimo el riesgo de ventaja excesiva del pionero que podría limitar el número de reutilizadores potenciales de los datos. Cuando los acuerdos contractuales puedan implicar, además de las obligaciones de los Estados miembros en virtud de la presente Directiva para conceder documentos, una transferencia de recursos del Estado en el sentido del artículo 107, apartado 1, del TFUE, la presente Directiva debe entenderse sin perjuicio de la aplicación de las ayudas estatales y otras normas de competencia establecidas en los artículos 101 a 109 del TFUE. De las normas sobre ayudas estatales establecidas en los artículos 107, 108 y 109 del TFUE se desprende que el Estado miembro debe comprobar previamente si una ayuda estatal puede estar incluida en el correspondiente acuerdo contractual y garantizar que cumple las normas en materia de ayudas estatales.

(52) La presente Directiva no afecta a la protección de las personas en lo que respecta al tratamiento de datos personales de conformidad con el Derecho nacional y de la Unión, en particular de conformidad con el Reglamento (UE) 2016/679 y la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (18), e incluida toda disposición de Derecho nacional adicional. Ello significa, entre otras cosas, que la reutilización de datos personales solo es admisible si se cumple el principio de limitación de la finalidad previsto en el artículo 5, apartado 1, letra b), y en el artículo 6 del Reglamento (UE) 2016/679. Información anónima es información que no se refiere a una persona física identificada o identificable ni a datos personales que se hayan anonimizado de forma que el interesado no sea identificable o haya dejado de serlo. Anonimizar la información constituye un medio para conciliar los intereses a la hora de hacer la información del sector público tan reutilizable como sea posible con las obligaciones contraídas en virtud de la normativa sobre la protección de datos, pero tiene un coste. Procede considerar este coste como un elemento del coste que debe tenerse en cuenta como parte de los costes marginales de difusión a que se refiere la presente Directiva.

(53) A la hora de tomar decisiones sobre el alcance y las condiciones de la reutilización de documentos del sector público que contengan datos personales, por ejemplo en el sector de la salud, podrá ser necesario efectuar evaluaciones de impacto en materia de protección de datos de conformidad con el artículo 35 del Reglamento (UE) 2016/679.

(54) La presente Directiva no afecta a los derechos de propiedad intelectual de terceros. Para evitar confusiones, se entenderá por derechos de propiedad intelectual únicamente los derechos de autor y derechos afines (incluidas las formas de protección sui generis). La presente Directiva no se aplica a los documentos sometidos a derechos de propiedad industrial como las patentes y marcas registradas, y los diseños o dibujos y modelos. La presente Directiva tampoco afecta a la existencia de derechos de propiedad intelectual de los organismos del sector público ni a su posesión por estos, ni restringe en modo alguno el ejercicio de esos derechos fuera de los límites establecidos por la presente Directiva. Las obligaciones impuestas de conformidad con la presente Directiva solo deben aplicarse en la medida en que sean compatibles con los acuerdos internacionales sobre protección de los derechos de propiedad intelectual, en particular el Convenio de Berna para la protección de las obras literarias y artísticas (Convenio de Berna), el Acuerdo sobre aspectos de los derechos de propiedad intelectual relacionados con el comercio (Acuerdo ADPIC) y el Tratado de la OMPI sobre Derecho de Autor. No obstante, los organismos del sector público deben ejercer sus derechos de autor de una manera que facilite la reutilización.

(55) Habida cuenta del Derecho de la Unión y de las obligaciones internacionales de los Estados miembros y de la Unión, en particular con arreglo al Convenio de Berna y al Acuerdo sobre los ADPIC, los documentos sobre los que existan derechos de propiedad intelectual por parte de terceros deben quedar excluidos del ámbito de aplicación de la presente Directiva. En caso de que un tercero fuese el titular inicial de los derechos de propiedad intelectual de un documento que obra en poder de una biblioteca (incluidas las universitarias), museo o archivo, y el período de protección esté aún vigente, a los efectos de la presente Directiva debe considerarse que sobre dicho documento existen derechos de propiedad intelectual por parte de terceros.

(56) La presente Directiva debe entenderse sin perjuicio de los derechos, incluidos los derechos económicos y morales, que puedan asistir a los empleados de los organismos del sector público en virtud de la normativa nacional.

(57) Además, cuando un documento se ponga a disposición del público para su reutilización, el organismo del sector público interesado ha de conservar el derecho a explotar dicho documento.

(58) La presente Directiva se entiende sin perjuicio de la Directiva 2014/24/UE.

(59) Los instrumentos auxiliares de búsqueda por los reutilizadores potenciales de los documentos disponibles para su reutilización, así como las condiciones de reutilización, pueden facilitar considerablemente la utilización transfronteriza de los documentos del sector público. Por ello, los Estados miembros deben asegurar la existencia de dispositivos prácticos que ayuden a los reutilizadores en su búsqueda de documentos para su reutilización. Listados, de acceso en línea preferentemente, de los principales documentos (documentos que se reutilizan ampliamente, o que pueden ser reutilizados ampliamente) y portales conectados a listados descentralizados constituyen ejemplos de los dispositivos prácticos mencionados. Los Estados miembros también deben facilitar la disponibilidad a largo plazo para la reutilización de información del sector público, de conformidad con las políticas de conservación aplicables.

(60) La Comisión debe facilitar la cooperación entre los Estados miembros y apoyar la concepción, el ensayo, la ejecución y el despliegue de interfaces electrónicas interoperables que permitan la prestación de servicios públicos más eficientes y seguros.

(61) La presente Directiva se entiende sin perjuicio de la Directiva 2001/29/CE del Parlamento Europeo y del Consejo (19). Dispone las condiciones en las que los organismos del sector público pueden ejercer sus derechos de propiedad intelectual en el mercado interior de la información cuando permitan la reutilización de documentos. Cuando los organismos del sector público sean titulares del derecho previsto en el artículo 7, apartado 1, de la Directiva 96/9/CE, no deben ejercer dicho derecho para impedir la reutilización o restringir la reutilización de los documentos existentes más allá de los límites previstos en la presente Directiva.

(62) La Comisión ha respaldado la elaboración de un informe sobre el desarrollo de los datos abiertos en línea con indicadores de resultados pertinentes para la reutilización de la información del sector público en todos los Estados miembros. La actualización periódica de dicho informe contribuirá al intercambio de información entre Estados miembros y a la disponibilidad de información sobre políticas y prácticas en toda la Unión.

(63) Es necesario velar por que los Estados miembros controlen la reutilización de la información del sector público, las condiciones que rigen su disponibilidad y las prácticas en materia de recurso.

(64) La Comisión puede ayudar a los Estados miembros a aplicar la presente Directiva de forma coherente formulando y actualizando las directrices vigentes, especialmente en lo que respecta a las licencias normalizadas recomendadas, los conjuntos de datos y el cobro por la reutilización de los documentos, previa consulta de las partes interesadas.

(65) Uno de los principales objetivos del establecimiento del mercado interior es la creación de unas condiciones que favorezcan el desarrollo de servicios que abarquen toda la Unión. Las bibliotecas, incluidas las universitarias, los museos y los archivos contienen una considerable cantidad de valiosos recursos de información del sector público, dado en particular que los proyectos de digitalización han multiplicado la cantidad de material digital de dominio público. Estos fondos de patrimonio cultural y metadatos conexos constituyen una base potencial para productos y servicios de contenidos digitales y tienen un enorme potencial de reutilización innovadora en sectores tales como el aprendizaje y el turismo. Otros tipos de instituciones culturales (como orquestas, óperas, ballets y teatros), incluidos los archivos que forman parte de las mismas, deben permanecer excluidas del ámbito de aplicación de la presente Directiva debido a su especificidad respecto de las artes escénicas y dado que la práctica totalidad de su material está sujeto a derechos de propiedad intelectual de terceros.

(66) Con el fin de proporcionar condiciones favorables a la reutilización de documentos, que conlleva importantes beneficios socioeconómicos pues tiene un valor especialmente elevado para la economía y la sociedad, se debe establecer en un anexo una lista de categorías temáticas de conjuntos de datos de alto valor. A modo ilustrativo y sin perjuicio de los actos de ejecución que determinen conjuntos de datos de alto valor a los cuales son de aplicación los requisitos específicos establecidos en la presente Directiva, tomando en consideración las directrices de la Comisión sobre las licencias normalizadas recomendadas, los conjuntos de datos y el cobro por la reutilización de los documentos, las categorías temáticas podrían abarcar, entre otras cosas, códigos postales, mapas nacionales y locales («Geoespacial»), consumo de energía e imágenes de satélite («Observación de la Tierra y medio ambiente»), datos in situ procedentes de instrumentos y previsiones meteorológicas («Meteorología»), indicadores demográficos y económicos («Estadística»), registros mercantiles e identificadores de registro («Sociedades y propiedad de sociedades»), señalización vial y vías de navegación interior («Movilidad»).

(67) Deben delegarse en la Comisión los poderes para adoptar actos, con arreglo al artículo 290 del TFUE, a fin de modificar la lista de categorías temáticas de conjuntos de datos de alto valor añadiendo nuevas categorías temáticas. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación (20). En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados.

(68) Una lista a escala de la Unión de conjuntos de datos con un potencial particular para generar beneficios socioeconómicos, junto con condiciones de reutilización armonizadas, constituye un importante factor de aplicaciones y servicios de datos transfronterizos. A fin de garantizar condiciones uniformes de ejecución de la presente Directiva, deben conferirse a la Comisión competencias de ejecución para apoyar la reutilización de documentos asociados a importantes beneficios socioeconómicos adoptando una lista de conjuntos específicos de datos de alto valor a los que se apliquen los requisitos específicos de la presente Directiva, así como las modalidades de su publicación y reutilización. Por tanto, no serán de aplicación tales requisitos específicos antes de que la Comisión adopte los actos de ejecución. La lista debe tener en cuenta los actos jurídicos de la Unión sobre el sector, que ya regula la publicación de conjuntos de datos, como las Directivas 2007/2/CE y 2010/40/UE, para garantizar que los conjuntos de datos se ponen a disposición de conformidad con las normas y conjuntos de metadatos correspondientes. La lista se basará en las categorías conforme a la presente Directiva. Al elaborar la lista, la Comisión debe efectuar las consultas pertinentes, también a nivel de expertos. Además, al decidir sobre la inclusión en la lista de datos que obran en poder de empresas públicas o sobre su disponibilidad gratuita, se deben tener en cuenta los efectos sobre la competencia en los mercados correspondientes. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo (21).

(69) A fin de garantizar su máxima repercusión y facilitar la reutilización, los conjuntos de datos de alto valor deben ponerse a disposición para su reutilización con muy pocas restricciones legales y sin coste alguno. También deben ser publicados a través de API. Sin embargo, ello no impide que los organismos del sector público cobren por servicios que proporcionan en relación con los conjuntos de datos de alto valor en el ejercicio de su autoridad pública, concretamente al certificar la autenticidad o la veracidad de los documentos.

(70) Dado que los objetivos de la presente Directiva, a saber, facilitar la creación de productos y servicios de información basados en documentos del sector público que cubran la totalidad de la Unión, garantizar la eficacia del uso transfronterizo de documentos del sector público por las compañías privadas, de una parte, en particular por las pequeñas y medianas empresas, para que ofrezcan productos y servicios de información de valor añadido y por los ciudadanos, de otra parte, para facilitar la libre circulación de la información y la comunicación, no pueden ser alcanzados de manera suficiente por los Estados miembros pero, debido a la dimensión paneuropea de la acción propuesta, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad consagrado en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, la presente Directiva no excede de lo necesario para alcanzar dichos objetivos.

(71) La presente Directiva respeta los derechos fundamentales y observa los principios reconocidos, en particular, por la Carta, incluidos el derecho a la privacidad, la protección de los datos de carácter personal, el derecho a la propiedad y la integración de personas con discapacidad. Nada de lo contenido en la presente Directiva debe interpretarse o aplicarse en un sentido que no sea acorde con el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales del Consejo Europeo.

(72) El Supervisor Europeo de Protección de Datos fue consultado de conformidad con el artículo 28, apartado 2 del Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo (22) y emitió un dictamen el 10 de julio de 2018 (23).

(73) La Comisión debe realizar una evaluación de la presente Directiva. De conformidad con el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación esta evaluación debe basarse en los cinco criterios siguientes: la eficiencia, la eficacia, la pertinencia, la coherencia y el valor añadido, y deben servir de base para las evaluaciones de impacto de otras posibles medidas.

(74) La presente Directiva no debe afectar a las obligaciones de los Estados miembros relativas a los plazos de transposición al Derecho interno de las Directivas que se indica en el anexo II, parte B.

HAN ADOPTADO LA PRESENTE DIRECTIVA:

CAPÍTULO I.- DISPOSICIONES GENERALES

Artículo 1.- Objeto y ámbito de aplicación

1. Con el fin de fomentar el uso de datos abiertos y estimular la innovación de los productos y servicios, la presente Directiva establece un conjunto de normas mínimas que regula la reutilización y los dispositivos prácticos destinados a facilitar la reutilización de:

a) los documentos existentes conservados por organismos del sector público de los Estados miembros;

b) los documentos existentes conservados por empresas públicas que:

I) lleven a cabo su actividad en los ámbitos definidos en la Directiva 2014/25/UE,

II) que actúen como operadores de servicio público con arreglo al artículo 2 del Reglamento (CE) nº 1370/2007,

III) que actúen como compañías aéreas que cumplen obligaciones de servicio público con arreglo al artículo 16 del Reglamento (CE) nº 1008/2008, o

IV) que actúen como armadores comunitarios que cumplen obligaciones de servicio público con arreglo al artículo 4 del Reglamento (CEE) nº 3577/92;

c) los datos de investigación, con arreglo a las condiciones establecidas en el artículo 10.

2. La presente Directiva no se aplicará a:

a) los documentos cuyo suministro sea una actividad que se salga del ámbito de la misión de servicio público de los organismos del sector público afectados, definida con arreglo a la legislación o a otras normas de obligado cumplimiento del Estado miembro, o en ausencia de tales normas, definida con arreglo a la práctica administrativa común del Estado miembro en cuestión, siempre y cuando el ámbito de las misiones de servicio público sea transparente y se someta a revisión;

b) los documentos conservados por las empresas públicas:

I) producidos fuera del ámbito de la prestación de servicios de interés general, según se defina en la legislación o en otras normas de obligado cumplimiento del Estado miembro,

II) relativos a actividades sometidas directamente a la competencia y, por tanto, conforme al artículo 34 de la Directiva 2014/25/UE, no sujetas a las normas de contratación;

c) los documentos sobre los que existan derechos de propiedad intelectual por parte de terceros;

d) los documentos, por ejemplo los datos sensibles, a los que no pueda accederse en virtud de regímenes de acceso de los Estados miembros por motivos, entre otros, de:

I) protección de la seguridad nacional (a saber, seguridad del Estado), defensa o seguridad pública,

II) confidencialidad estadística,

III) confidencialidad comercial (incluidos secretos comerciales, profesionales o empresariales);

e) documentos cuyo acceso esté excluido o limitado por motivos de protección de información sensible sobre infraestructuras críticas, tal como se define en el artículo 2, letra d), de la Directiva 2008/114/CE;

f) documentos cuyo acceso esté limitado en virtud de regímenes de acceso de los Estados miembros, incluidos, entre otros, aquellos casos en los que los ciudadanos o personas jurídicas tengan que demostrar un interés particular en obtener acceso a los documentos;

g) logotipos, divisas e insignias;

h) los documentos cuyo acceso esté excluido o limitado en virtud de regímenes de acceso por motivos de protección de los datos personales, y las partes de documentos accesibles en virtud de dichos regímenes que contengan datos personales cuya reutilización se haya definido por ley como incompatible con la legislación relativa a la protección de las personas físicas con respecto al tratamiento de los datos personales o como un menoscabo de la protección de la intimidad y la integridad de las personas, en particular de conformidad con la legislación nacional o de la Unión sobre protección de datos personales;

i) los documentos conservados por las entidades de radiodifusión de servicio público y sus filiales, y por otras entidades o sus filiales para el cumplimiento de una misión de radiodifusión de servicio público;

j) los documentos conservados por instituciones culturales que no sean bibliotecas, incluidas las universitarias, museos y archivos;

k) los documentos conservados por instituciones educativas de nivel secundario e inferior y, en el caso de todas las demás instituciones educativas, documentos distintos de los contemplados en el apartado 1, letra c);

l) los documentos distintos de los mencionados en el apartado 1, letra c), conservados por organizaciones que realizan actividades de investigación y organizaciones que financian la investigación, incluidas las organizaciones creadas para la transferencia de los resultados de la investigación.

3. La presente Directiva se basa en los regímenes de acceso nacionales y de la Unión y no les afecta de forma alguna.

4. La presente Directiva se entiende sin perjuicio del Derecho nacional y de la Unión relativas a la protección de datos personales, en particular del Reglamento (UE) 2016/679 y la Directiva 2002/58/CE, así como de las disposiciones correspondientes de Derecho nacional.

5. Las obligaciones impuestas de conformidad con la presente Directiva se aplicarán únicamente en la medida en que sean compatibles con las disposiciones de los acuerdos internacionales sobre protección de los derechos de propiedad intelectual, en particular el Convenio de Berna, el Acuerdo ADPIC y el Tratado de la OMPI sobre Derecho de Autor.

6. Los organismos del sector público no ejercerán el derecho del fabricante de una base de datos, previsto en el artículo 7, apartado 1, de la Directiva 96/9/CE, para evitar la reutilización de documentos o restringir la reutilización más allá de los límites establecidos por la presente Directiva.

7. La presente Directiva regula la reutilización de los documentos existentes conservados por los organismos del sector público y las empresas públicas de los Estados miembros, incluidos los documentos a los que se aplica la Directiva 2007/2/CE.

Artículo 2.- Definiciones

A efectos de la presente Directiva, se entenderá por:

1) «organismo del sector público»: el Estado, los entes territoriales, los organismos de derecho público y las asociaciones constituidas por uno o más de dichos entes o por uno o más de dichos organismos de Derecho público;

2) «organismo de Derecho público»: cualquier organismo que ostente todas las condiciones siguientes:

a) que haya sido creado específicamente para satisfacer necesidades de interés general, que no tenga carácter industrial o mercantil;

b) que esté dotado de personalidad jurídica, y

c) cuya actividad esté mayoritariamente financiada por el Estado, los entes territoriales u otros organismos de Derecho público; o cuya gestión esté sujeta a la supervisión de dichas autoridades u organismos; o que tenga un órgano de administración, de dirección o de vigilancia compuesto por miembros de los cuales más de la mitad sean nombrados por las autoridades estatales, regionales o locales u otros organismos de Derecho público;

3) «empresa pública»: aquella empresa que opera en los ámbitos establecidos en el artículo 1, apartado 1, letra b), sobre la cual los organismos del sector público puedan ejercer, directa o indirectamente, una influencia dominante por el hecho de tener la propiedad de la misma, una participación financiera en la misma, o en virtud de las normas que la rigen. Se considerará que los organismos del sector público ejercen una influencia dominante, directa o indirectamente, en cualquiera de los casos siguientes en que dichos organismos, directa o indirectamente:

a) posean la mayoría del capital suscrito de la empresa;

b) dispongan de la mayoría de los votos correspondientes a las participaciones emitidas por la empresa;

c) puedan designar a más de la mitad de los miembros del órgano de administración, de dirección o de vigilancia de la empresa;

4) «universidad»: todo organismo del sector público que imparta enseñanza superior postsecundaria conducente a la obtención de títulos académicos;

5) «licencia tipo»: conjunto de condiciones de reutilización predefinidas en formato digital, preferiblemente compatibles con licencias modelo públicas disponibles en línea;

6) «documento»:

a) cualquier contenido sea cual sea el soporte (escrito en papel o almacenado en forma electrónica o como grabación sonora, visual o audiovisual);

b) cualquier parte de tal contenido;

7) «anonimización»: proceso por el que se transforman documentos en documentos anónimos que no se refiere a una persona física identificada o identificable o al proceso de convertir datos personales que se hayan anonimizado, de forma que el interesado no sea identificable o haya dejado de serlo;

8) «datos dinámicos»: documentos en formato digital, sujetos a actualizaciones frecuentes o en tiempo real, debido, en particular, a su volatilidad o rápida obsolescencia; los datos generados por los sensores suelen considerarse datos dinámicos;

9) «datos de investigación»: documentos en formato digital, distintos de las publicaciones científicas, recopilados o elaborados en el transcurso de actividades de investigación científica y utilizados como prueba en el proceso de investigación, o comúnmente aceptados en la comunidad investigadora como necesarios para validar las conclusiones y los resultados de la investigación;

10) «conjuntos de datos de alto valor»: documentos cuya reutilización está asociada a considerables beneficios para la sociedad, el medio ambiente y la economía, en particular debido a su idoneidad para la creación de servicios de valor añadido, aplicaciones y puestos de trabajo nuevos, dignos y de calidad, y del número de beneficiarios potenciales de los servicios de valor añadido y aplicaciones basados en tales conjuntos de datos;

11) «reutilización»: el uso por personas físicas o jurídicas de documentos que obran en poder de:

a) organismos del sector público, con fines comerciales o no comerciales distintos del propósito inicial que tenían esos documentos en la misión de servicio público para la que se produjeron, excepto para el intercambio de documentos entre organismos del sector público en el marco de sus actividades de servicio público, o

b) empresas públicas, con fines comerciales o no comerciales distintos del propósito inicial que tenían esos documentos de prestar servicios de interés general para el que se produjeron, excepto para el intercambio de documentos entre empresas públicas y organismos del sector público que se realice exclusivamente en el desarrollo de las actividades de servicio público de los organismos del sector público;

12) «datos personales»: datos personales tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679;

13) «formato legible por máquina»: formato de archivo estructurado que permita a las aplicaciones informáticas identificar, reconocer y extraer con facilidad datos específicos, incluidas las declaraciones fácticas y su estructura interna;

14) «formato abierto»: formato de archivo independiente de plataformas y puesto a disposición del público sin restricciones que impidan la reutilización de los documentos;

15) «norma formal abierta»: norma establecida por escrito que especifica los criterios de interoperabilidad de la aplicación informática;

16) «margen de beneficio razonable de la inversión»: porcentaje de la tarifa total, además de la cantidad necesaria para recuperar los costes elegibles, no superior a cinco puntos porcentuales por encima del tipo de interés fijo del BCE;

17) «tercero»: toda persona física o jurídica distinta de un organismo del sector público o de una empresa pública que esté en posesión de los datos.

Artículo 3.- Principio general

1. Sin perjuicio del apartado 2 del presente artículo, los Estados miembros velarán por que los documentos a los que se aplica la presente Directiva, de conformidad con el artículo 1, puedan ser reutilizados para fines comerciales o no comerciales de conformidad con los capítulos III y IV.

2. En el caso de los documentos respecto de los que las bibliotecas, incluidas las universitarias, los museos y los archivos posean derechos de propiedad intelectual y en el caso de los documentos que obren en poder de empresas públicas, los Estados miembros velarán por que, cuando esté autorizada la reutilización de dichos documentos, estos puedan ser reutilizados para fines comerciales o no comerciales de conformidad con los capítulos III y IV.

CAPÍTULO II.- SOLICITUDES DE REUTILIZACIÓN

Artículo 4.- Tratamiento de solicitudes de reutilización

1. Los organismos del sector público tramitarán, por medios electrónicos cuando resulte posible y oportuno, las solicitudes de reutilización y pondrán el documento a disposición del solicitante con vistas a su reutilización o, si es necesaria una licencia, ultimarán la oferta de licencia al solicitante en un plazo razonable coherente con los plazos establecidos para el tratamiento de solicitudes de acceso a los documentos.

2. Cuando no se haya establecido ningún plazo ni otras normas que regulen la entrega oportuna de los documentos, los organismos del sector público tramitarán la solicitud y entregarán los documentos al solicitante con vistas a su reutilización o, si es necesaria una licencia, ultimarán la oferta de licencia al solicitante lo antes posible o, en cualquier caso, en un plazo de 20 días hábiles, a partir del momento de su recepción. Dicho plazo podrá ampliarse en otros 20 días hábiles para solicitudes extensas o complejas. En tales casos, se notificará al solicitante lo antes posible y, en cualquier caso, en el curso de las tres semanas siguientes a la solicitud inicial que se necesita más tiempo para tramitarla y las razones que lo justifican.

3. En caso de adoptarse una Decisión negativa, los organismos del sector público comunicarán al solicitante los motivos de la denegación con arreglo a las disposiciones aplicables del régimen de acceso del Estado miembro correspondiente o de las disposiciones nacionales de transposición de la presente Directiva, en particular el artículo 1, apartado 2, letras a) a h), o el artículo 3. Si la Decisión negativa se basa en el artículo 1, apartado 2, letra c), el organismo del sector público incluirá una referencia a la persona física o jurídica titular de los derechos, cuando esta sea conocida, o, alternativamente, al cedente del que el organismo del sector público haya obtenido el material en cuestión.

Las bibliotecas, incluidas las universitarias, los museos y los archivos no estarán obligados a incluir tal referencia.

4. Toda decisión de reutilización contendrá una referencia a las vías de recurso a que pueda acogerse en su caso el solicitante. Las vías de recurso incluirán la posibilidad de revisión por un órgano de revisión imparcial con la experiencia técnica adecuada, como la autoridad nacional de competencia, la autoridad reguladora del acceso a los documentos correspondiente, una autoridad nacional de supervisión establecida de conformidad con el Reglamento (UE) 2016/679 o una autoridad judicial nacional, cuyas decisiones sean vinculantes para el organismo del sector público afectado.

5. A efectos del presente artículo, los Estados miembros definirán dispositivos prácticos para facilitar la reutilización eficaz de los documentos. Dichos dispositivos podrán incluir, en particular, modalidades para proporcionar información adecuada sobre los derechos previstos en la presente Directiva y ofrecer ayuda y orientación pertinentes.

6. Las siguientes entidades no estarán obligadas a cumplir con el presente artículo:

a) empresas públicas;

b) centros de enseñanza, organizaciones que realizan actividades de investigación y organizaciones que financian la investigación.

CAPÍTULO III.- CONDICIONES DE REUTILIZACIÓN

Artículo 5.- Formatos disponibles

1. Sin perjuicio del capítulo V, los organismos del sector público y las empresas públicas facilitarán sus documentos en cualquier formato o lengua en que existan previamente y, siempre que sea posible y apropiado, por medios electrónicos, en formas o formatos que sean abiertos, legibles por máquina, accesibles, fáciles de localizar y reutilizables, conjuntamente con sus metadatos. Tanto el formato como los metadatos cumplirán, cuando sea posible, normas formales abiertas.

2. Los Estados miembros animarán a los organismos del sector público y a las empresas públicas a elaborar y facilitar documentos incluidos en el ámbito de aplicación de la presente Directiva con arreglo al principio de «documentos abiertos desde el diseño y por defecto».

3. El apartado 1 no supone que los organismos del sector público estén obligados, para cumplir dicho apartado, a crear documentos, adaptarlos o facilitar extractos de documentos, cuando ello suponga un esfuerzo desproporcionado que conlleve algo más que una operación simple.

4. Con arreglo a la presente Directiva, no podrá exigirse a los organismos del sector público que mantengan la producción y el almacenamiento de determinados tipos de documentos con vistas a su reutilización por una entidad del sector privado o público.

5. Los organismos del sector público pondrán a disposición datos dinámicos para su reutilización inmediatamente después de su recopilación, a través de las API adecuadas y, cuando proceda, en forma de descarga masiva.

6. Cuando la puesta a disposición de datos dinámicos para su reutilización inmediatamente después de su recopilación, con arreglo al apartado 5, pueda superar las capacidades financieras y técnicas del organismo del sector público, suponiendo así un esfuerzo desproporcionado, esos datos dinámicos se pondrán a disposición para su reutilización en un plazo o con restricciones técnicas temporales que no perjudiquen indebidamente la explotación de su potencial económico y social.

7. Los apartados 1 a 6 se aplicarán a los documentos que obren en poder de las empresas públicas y que estén disponibles para su reutilización.

8. Los conjuntos de datos de alto valor, tal que relacionados conforme al artículo 14, apartado 1, se pondrán a disposición para su reutilización en un formato legible por máquina, a través de las API adecuadas y, cuando proceda, en forma de descarga masiva.

Artículo 6.- Principios de tarifación

1. La reutilización de documentos será gratuita.

No obstante, podrá permitirse la recuperación de los costes marginales en que se incurra para la reproducción, puesta a disposición y difusión de los documentos, así como para la anonimización de datos personales y las medidas adoptadas para proteger información comercial confidencial.

2. A título de excepción, el apartado 1 no se aplicará a:

a) los organismos del sector público a los que se exija generar ingresos para cubrir una parte sustancial de sus costes relativos a la realización de sus misiones de servicio público;

b) las bibliotecas, incluidas las universitarias, los museos y los archivos;

c) las empresas públicas.

3. Los Estados miembros publicarán en línea una lista de organismos del sector público a que se refiere el apartado 2, letra a).

4. En los casos a los que se hace referencia en el apartado 2, letras a) y c), el precio total se calculará conforme a criterios objetivos, transparentes y comprobables. Los Estados miembros establecerán dichos criterios.

Los ingresos totales obtenidos por suministrar documentos y autorizar su reutilización durante el ejercicio contable apropiado no superarán el coste de su recogida, producción, reproducción, difusión y almacenamiento de datos, incrementado por un margen de beneficio razonable de la inversión y, en su caso, anonimización de datos personales y medidas adoptadas para proteger información comercial confidencial.

Las tarifas se calcularán conforme a los principios contables aplicables.

5. Cuando sean los organismos del sector público mencionados en el apartado 2, letra b), los que apliquen tarifas, los ingresos totales obtenidos por suministrar y autorizar la reutilización de documentos durante el ejercicio contable apropiado no superarán el coste de recogida, producción, reproducción, difusión, almacenamiento de datos, conservación y compensación de derechos y, en su caso, anonimización de datos personales y medidas adoptadas para proteger información comercial confidencial, incrementado por un margen de beneficio razonable de la inversión.

Las tarifas se calcularán conforme a los principios contables aplicables a los organismos del sector público correspondientes.

6. Los usuarios podrán reutilizar gratuitamente:

a) a reserva del artículo 14, apartados 3, 4 y 5, los conjuntos de datos de alto valor, tal que relacionados de conformidad con el apartado 1 de dicho artículo;

b) los datos de investigación contemplados en el artículo 1, apartado 1, letra c).

Artículo 7.- Transparencia

1. En el caso de tarifas estándar para la reutilización de documentos, las condiciones aplicables, así como el importe de dichas tarifas, incluida su base de cálculo, se fijarán de antemano y se publicarán, mediante medios electrónicos cuando resulte posible y oportuno.

2. Cuando se trate de tarifas para la reutilización distintas de las mencionadas en el apartado 1, los factores que se tendrán en cuenta para el cálculo de dichas tarifas se indicarán por adelantado. Cuando se solicite, el titular de los documentos de que se trate también indicará cómo se han calculado dichas tarifas en relación con una solicitud de reutilización concreta.

3. Los organismos del sector público se asegurarán de que los solicitantes de reutilización de documentos estén informados de las vías de recurso de que disponen para impugnar las decisiones y las prácticas que les afecten.

Artículo 8.- Licencias tipo

1. La reutilización de documentos no estará sujeta a condiciones, a menos que dichas condiciones sean objetivas, proporcionadas, no discriminatorias y estén justificadas por un objetivo de interés público.

Cuando la reutilización esté sujeta a condiciones, tales condiciones no restringirán sin necesidad las posibilidades de reutilización y no se usarán para restringir la competencia.

2. En los Estados miembros en que se utilicen licencias, los Estados miembros velarán por que las licencias tipo para la reutilización de documentos del sector público, que podrán adaptarse para responder a aplicaciones concretas de la licencia, estén disponibles en formato digital y puedan ser procesadas electrónicamente. Los Estados miembros alentarán el uso de dichas licencias tipo.

Artículo 9.- Dispositivos prácticos

1. Los Estados miembros crearán dispositivos prácticos que faciliten la búsqueda de los documentos disponibles para su reutilización, tales como listados de documentos principales con los metadatos pertinentes, accesibles, siempre que sea posible y apropiado, en línea y en formato legible por máquina, y portales conectados a los listados descentralizados. En la medida de lo posible, los Estados miembros facilitarán la búsqueda lingüística de los documentos en varios idiomas, en particular permitiendo la agregación de metadatos a escala de la Unión.

Los Estados miembros también promoverán la creación por los organismos del sector público de dispositivos prácticos que faciliten la conservación de los documentos disponibles para su reutilización.

2. Los Estados miembros en cooperación con la Comisión, continuarán los esfuerzos de simplificación del acceso a conjuntos de datos, en particular proporcionando un único punto de acceso y poniendo progresivamente a disposición conjuntos de datos adecuados que obren en poder de organismos del sector público en relación con todos los documentos a los que aplica la presente Directiva, así como con datos que obren en poder de las instituciones de la Unión, en formatos que sean accesibles, fáciles de localizar y reutilizables por medios electrónicos.

Artículo 10.- Datos de investigación

1. Los Estados miembros apoyarán la disponibilidad de los datos de investigación mediante la adopción de políticas nacionales y actuaciones pertinentes destinadas a hacer que los datos de la investigación financiada públicamente sean plenamente accesibles («políticas de acceso abierto») en aplicación del principio de apertura por defecto y de compatibilidad con los principios FAIR. En este contexto, deberán tenerse en cuenta las inquietudes relacionadas con los derechos de propiedad intelectual e industrial, la protección de datos personales y la confidencialidad, la seguridad y los intereses comerciales legítimos de conformidad con el principio «tan abiertos como sea posible, tan cerrados como sea necesario». Estas políticas de acceso abierto se dirigirán a las organizaciones que realizan actividades de investigación y a las organizaciones que financian la investigación.

2. Sin perjuicio del artículo 1, apartado 2, letra c), los datos de investigación serán reutilizables para fines comerciales o no comerciales de conformidad con los capítulos III y IV, en la medida en que sean financiados con fondos públicos y en que investigadores, organizaciones que realizan actividades de investigación u organizaciones que financian la investigación ya los hayan puesto a disposición del público a través de un repositorio institucional o temático. En este contexto, deberán tenerse en cuenta los intereses comerciales legítimos, las actividades de transferencia de conocimientos y los derechos de propiedad intelectual preexistentes.

CAPÍTULO IV.- NO DISCRIMINACIÓN Y PRÁCTICAS COMERCIALES JUSTAS

Artículo 11.- No discriminación

1. Las condiciones que se apliquen para la reutilización de un documento no deberán ser discriminatorias para categorías comparables de reutilización, incluida la reutilización transfronteriza.

2. Si un organismo del sector público reutiliza los documentos como parte de sus actividades comerciales ajenas a su misión de servicio público, deberán aplicarse a la entrega de documentos para dichas actividades las mismas tarifas y condiciones que se apliquen a los demás usuarios.

Artículo 12.- Acuerdos exclusivos

1. La reutilización de documentos estará abierta a todos los agentes potenciales del mercado, incluso en caso de que uno o más de los agentes exploten ya productos con valor añadido basados en estos documentos. Los contratos o acuerdos de otro tipo entre los organismos del sector público o empresas públicas que estén en posesión de los documentos y los terceros no otorgarán derechos exclusivos.

2. No obstante, cuando sea necesario un derecho exclusivo para la prestación de un servicio de interés público, deberá reconsiderarse periódicamente, y en todo caso cada tres años, la validez del motivo que justificó la concesión del derecho exclusivo. Los acuerdos exclusivos establecidos a partir del 16 de julio de 2019 se pondrán a disposición del público en línea al menos dos meses antes de su entrada en vigor. Las condiciones finales de tales acuerdos serán transparentes y se pondrán a disposición del público en línea.

El presente apartado no se aplicará a la digitalización de los recursos culturales.

3. No obstante el apartado 1, cuando exista un derecho exclusivo relacionado con la digitalización de los recursos culturales, el período de exclusividad no será superior, por regla general, a diez años. En el caso de que dicho período sea superior a diez años, su duración se revisará durante el undécimo año y, si procede, cada siete años a partir de entonces.

Los acuerdos que concedan derechos exclusivos en el sentido del párrafo primero serán transparentes y se pondrán en conocimiento del público.

Cuando exista un derecho exclusivo en el sentido del párrafo primero deberá facilitarse gratuitamente al organismo del sector público en cuestión, como parte de dichos acuerdos, una copia de los recursos culturales digitalizados. Esa copia estará disponible para su reutilización una vez finalizado el período de exclusividad.

4. Los acuerdos jurídicos o prácticos que, sin conceder expresamente un derecho exclusivo, tengan como objetivo, o quepa esperar razonablemente que implican, una disponibilidad limitada para la reutilización de documentos por entidades distintas de los terceros que participen en el acuerdo, se pondrán a disposición del público en línea al menos dos meses antes de su entrada en vigor. El efecto de estos acuerdos jurídicos o prácticos sobre la disponibilidad de datos para su reutilización estará sujeto a revisiones periódicas y, en cualquier caso, se someterá a revisión cada tres años. Las condiciones finales de tales acuerdos serán transparentes y se pondrán a disposición del público en línea.

5. Los acuerdos exclusivos existentes a 17 de julio de 2013 a los que no se apliquen las excepciones contempladas en los apartados 2 y 3 y que fuesen celebrados por organismos del sector público concluirán cuando expire el contrato y, en cualquier caso, a más tardar el 18 de julio de 2043.

Los acuerdos exclusivos existentes el 16 de julio de 2019 a los que no se apliquen las excepciones contempladas en los apartados 2 y 3 y que fuesen celebrados por empresas públicas concluirán cuando expire el contrato o, en cualquier caso, a más tardar el 17 de julio de 2049.

CAPÍTULO V.- CONJUNTOS DE DATOS DE ALTO VALOR

Artículo 13.- Lista de categorías temáticas de conjuntos de datos de alto valor

1. Al objeto de fijar las condiciones para su reutilización, figura en el anexo I una lista de categorías temáticas de datos de alto valor.

2. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 15 para modificar el anexo I mediante la inclusión de nuevas categorías temáticas de conjuntos de datos de alto valor con el fin de reflejar los avances tecnológicos y de mercado.

Artículo 14.- Conjuntos de datos de alto valor y modalidades de publicación y reutilización

1. La Comisión adoptará actos de ejecución que establezcan una lista de conjuntos de datos específicos de alto valor que se engloben dentro de las categorías que figuran en el anexo I y que obren en poder de organismos del sector público y de empresas públicas entre los documentos a los que se aplica la presente Directiva.

Dichos datos de alto valor:

a) estarán disponibles gratuitamente, a reserva de los apartados 3, 4 y 5;

b) serán legibles por máquina;

c) se suministrarán a través de API, y

d) se proporcionarán en forma de descarga masiva, cuando proceda.

Dichos actos de ejecución podrán especificar los acuerdos organizativos relativos a la publicación y de reutilización de los tipos de conjuntos de datos de alto valor. Esos acuerdos serán compatibles con las licencias tipo abiertas.

Los acuerdos podrán incluir condiciones aplicables a la reutilización, el formato de los datos y los metadatos, así como acuerdos técnicos para la difusión. Las inversiones que hagan los Estados miembros en iniciativas en materia de datos abiertos, como las inversiones en el desarrollo y el despliegue de determinadas normas, se tendrán en cuenta y se ponderarán frente a los potenciales beneficios derivados de la inclusión en la lista.

Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 16, apartado 2.

2. La definición de conjuntos de datos específicos de alto valor contemplados en el apartado 1 se basará en la valoración de su potencial para:

a) generar beneficios socioeconómicos o medioambientales importantes y servicios innovadores;

b) beneficiar a un gran número de usuarios, en concreto pymes;

c) contribuir a generar ingresos, y

d) ser combinados con otros conjuntos de datos.

Al objeto de definir tales tipos específicos de conjuntos de datos de alto valor, la Comisión llevará a cabo consultas adecuadas, también a nivel de expertos, elaborará una evaluación de impacto y garantizará la complementariedad con los actos jurídicos vigentes, como la Directiva 2010/40/UE, con respecto a la reutilización de documentos. La evaluación de dicho impacto incluirá un análisis coste-beneficio y un análisis sobre si el hecho de que organismos del sector público, a los que se exige generar ingresos para sufragar una parte importante de sus costes relativos a la realización de sus misiones de servicio público, proporcionen de manera gratuita conjuntos de datos de alto valor podría tener un impacto sustancial en el presupuesto de dichos organismos. Cuando se vean afectados los conjuntos de datos de alto valor en posesión de empresas públicas, la evaluación de impacto prestará especial consideración a la función de las empresas públicas en un entorno económico competitivo.

3. Como excepción a lo dispuesto en el apartado 1, párrafo segundo, letra a), los actos de ejecución a los que se refiere el apartado 1 establecerán que la disponibilidad gratuita de conjuntos de datos de alto valor no se aplicará a conjuntos de datos específicos que obren en poder empresas públicas, cuando el hecho de poner a disposición dichos conjuntos de datos de manera gratuita pudiera provocar una distorsión de la competencia en los mercados correspondientes.

4. El requisito de poner a disposición de forma gratuita conjuntos de datos de alto valor en virtud del apartado 1, párrafo segundo, letra a), no se aplicará a las bibliotecas, incluidas las universitarias, los museos y los archivos.

5. Cuando el hecho de que organismos del sector público a los que se exige generar ingresos para sufragar una parte importante de sus costes relativos a la realización de sus misiones de servicio público pongan a disposición de forma gratuita conjuntos de datos de alto valor pueda tener un impacto sustancial en el presupuesto de los organismos implicados, los Estados miembros podrán eximir a dichos organismos del requisito de poner a disposición de forma gratuita esos conjuntos de datos de alto valor por un período que no superará los dos años a partir de la entrada en vigor del acto de ejecución correspondiente adoptado de conformidad con el apartado 1.

CAPÍTULO VI.- DISPOSICIONES FINALES

Artículo 15.- Ejercicio de la delegación

1. Se otorgan a la Comisión los poderes para adoptar actos delegados en las condiciones establecidas en el presente artículo.

2. Los poderes para adoptar actos delegados mencionados en el artículo 13, apartado 2, se otorgan a la Comisión por un período de cinco años a partir del 16 de julio de 2019. La Comisión elaborará un informe sobre la delegación de poderes a más tardar nueve meses antes de que finalice el período de cinco años. La delegación de poderes se prorrogará tácitamente por períodos de idéntica duración, excepto si el Parlamento Europeo o el Consejo se oponen a dicha prórroga a más tardar tres meses antes del final de cada período.

3. La delegación de poderes mencionada en el artículo 13, apartado 2, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto al día siguiente de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en la misma. No afectará a la validez de los actos delegados que ya estén en vigor.

4. Antes de la adopción de un acto delegado, la Comisión consultará a los expertos designados por cada Estado miembro de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación.

5. Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.

6. Los actos delegados adoptados en virtud del artículo 13, apartado 2 entrarán en vigor únicamente si, en un plazo de tres meses desde su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará tres meses a iniciativa del Parlamento Europeo o del Consejo.

Artículo 16.- Procedimiento de comité

1. La Comisión estará asistida por el Comité para los datos abiertos y la reutilización de la información del sector público. Dicho comité será un comité en el sentido del Reglamento (UE) nº 182/2011.

2. En los casos en que se haga referencia al presente apartado será de aplicación el artículo 5 del Reglamento (UE) nº 182/2011.

Artículo 17.- Transposición

1. Los Estados miembros adoptarán las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a la presente Directiva a más tardar el 17 de julio de 2021. Comunicarán inmediatamente a la Comisión el texto de dichas disposiciones.

Cuando los Estados miembros adopten dichas disposiciones, estas incluirán una referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Incluirán asimismo una mención que precise que las referencias hechas en las disposiciones legales, reglamentarias y administrativas en vigor a las Directivas derogadas por la presente Directiva se entenderán hechas a la presente Directiva. Los Estados miembros establecerán las modalidades de la mencionada referencia y la formulación de dicha mención.

2. Los Estados miembros comunicarán a la Comisión el texto de las principales disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.

Artículo 18.- Evaluación de la Comisión

1. No antes del 17 de julio de 2025, la Comisión llevará a cabo una evaluación de la presente Directiva y presentará un informe sobre las principales conclusiones al Parlamento Europeo y al Consejo, así como al Comité Económico y Social Europeo.

Los Estados miembros suministrarán a la Comisión la información necesaria para la elaboración del informe.

2. En dicha evaluación se abordará en particular el ámbito de aplicación y las repercusiones sociales y económicas de la presente Directiva, señalando:

a) la medida en que haya aumentado la reutilización de documentos del sector público a los cuales se aplica la presente Directiva, especialmente por parte de pymes;

b) la repercusión de los conjuntos de datos de alto valor;

c) los efectos de los principios de tarifación aplicados y de la reutilización de textos oficiales de carácter legislativo y administrativo;

d) la reutilización de documentos conservados por otras entidades distintas de los organismos del sector público;

e) la disponibilidad y utilización de API;

f) la interacción entre las normas sobre protección de datos y las posibilidades de reutilización, y

g) otras formas de mejorar el correcto funcionamiento del mercado interior, apoyando el desarrollo económico y del mercado laboral.

Artículo 19.- Derogación

La Directiva 2003/98/CE, modificada por la Directiva indicada en el anexo II, parte A, queda derogada con efectos a partir del 17 de julio de 2021, sin perjuicio de las obligaciones de los Estados miembros relativas a los plazos de transposición al Derecho nacional y las fechas de aplicación de las Directivas enumeradas en el anexo II, parte B.

Las referencias a la Directiva derogada se entenderán hechas a la presente Directiva con arreglo a la tabla de correspondencias que figura en el anexo III.

Artículo 20.- Entrada en vigor

La presente Directiva entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Artículo 21.- Destinatarios

Los destinatarios de la presente Directiva son los Estados miembros.

Hecho en Bruselas, el 20 de junio de 2019.

Por el Parlamento Europeo

El Presidente,  A. TAJANI

Por el Consejo,

El Presidente,  G. CIAMBA

—————————————————————————————–

(1) DO C 62 de 15.2.2019, p. 238.

(2) Posición del Parlamento Europeo de 4 de abril de 2019 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 6 de junio de 2019.

(3) Directiva 2003/98/CE del Parlamento Europeo y del Consejo, de 17 de noviembre de 2003, relativa a la reutilización de la información del sector público (DO L 345 de 31.12.2003, p. 90).

(4) Directiva 2013/37/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, por la que se modifica la Directiva 2003/98/CE relativa a la reutilización de la información del sector público (DO L 175 de 27.6.2013, p. 1).

(5) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(6) Directiva 96/9/CE del Parlamento Europeo y del Consejo, de 11 de marzo de 1996, sobre la protección jurídica de las bases de datos (DO L 77 de 27.3.1996, p. 20).

(7) Directiva 2003/4/CE del Parlamento Europeo y del Consejo, de 28 de enero de 2003, relativa al acceso del público a la información medioambiental y por la que se deroga la Directiva 90/313/CEE del Consejo (DO L 41 de 14.2.2003, p. 26).

(8) Directiva 2007/2/CE del Parlamento Europeo y del Consejo, de 14 de marzo de 2007, por la que se establece una infraestructura de información espacial en la Comunidad Europea (Inspire) (DO L 108 de 25.4.2007, p. 1).

(9) Directiva 2010/40/UE del Parlamento Europeo y del Consejo, de 7 de julio de 2010, por la que se establece el marco para la implantación de los sistemas de transporte inteligentes en el sector del transporte por carretera y para las interfaces con otros modos de transporte (DO L 207 de 6.8.2010, p. 1).

(10) Directiva 2014/25/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, relativa a la contratación por entidades que operan en los sectores del agua, la energía, los transportes y los servicios postales y por la que se deroga la Directiva 2004/17/CE (DO L 94 de 28.3.2014, p. 243).

(11) Reglamento (CE) nº 1370/2007 del Parlamento Europeo y del Consejo, de 23 de octubre de 2007, sobre los servicios públicos de transporte de viajeros por ferrocarril y carretera y por el que se derogan los Reglamentos (CEE) nº 1191/69 y (CEE) nº 1107/70 del Consejo (DO L 315 de 3.12.2007, p. 1).

(12) Reglamento (CE) nº 1008/2008 del Parlamento Europeo y del Consejo, de 24 de septiembre de 2008, sobre normas comunes para la explotación de servicios aéreos en la Comunidad (DO L 293 de 31.10.2008, p. 3).

(13) Reglamento (CEE) nº 3577/92 del Consejo, de 7 de diciembre de 1992, por el se aplica el principio de libre prestación de servicios a los transportes marítimos dentro de los Estados miembros (cabotaje marítimo) (DO L 364 de 12.12.1992, p. 7).

(14) Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección (DO L 345 de 23.12.2008, p. 75).

(15) Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (DO L 194 de 19.7.2016, p. 1).

(16) Directiva 2014/24/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, sobre contratación pública y por la que se deroga la Directiva 2004/18/CE (DO L 94 de 28.3.2014, p. 65).

(17) Directiva (UE) 2016/2102 del Parlamento Europeo y del Consejo, de 26 de octubre de 2016, sobre la accesibilidad de los sitios web y aplicaciones para dispositivos móviles de los organismos del sector público (DO L 327 de 2.12.2016, p. 1).

(18) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(19) Directiva 2001/29/CE del Parlamento Europeo y del Consejo, de 22 de mayo de 2001, relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información (DO L 167 de 22.6.2001, p. 10).

(20) DO L 123 de 12.5.2016, p. 1.

(21) Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

(22) Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).

(23) DO C 305 de 30.8.2018, p. 7.

27Oct/20

COM 2020/65 final, de 19 de febrero de 2020

COM 2020/65 final de 19 de febrero de 2020. Libro blanco sobre la inteligencia artificial. Un enfoque europeo orientado a la excelencia y la confianza

Libro Blanco sobre la inteligencia artificial: un enfoque europeo orientado a la excelencia y la confianza

La inteligencia artificial se está desarrollando rápido. Cambiará nuestras vidas, pues mejorará la atención sanitaria (por ejemplo, incrementando la precisión de los diagnósticos y permitiendo una mejor prevención de las enfermedades), aumentará la eficiencia de la agricultura, contribuirá a la mitigación del cambio climático y a la correspondiente adaptación, mejorará la eficiencia de los sistemas de producción a través de un mantenimiento predictivo, aumentará la seguridad de los europeos y nos aportará otros muchos cambios que de momento solo podemos intuir. Al mismo tiempo, la inteligencia artificial (IA) conlleva una serie de riesgos potenciales, como la opacidad en la toma de decisiones, la discriminación de género o de otro tipo, la intromisión en nuestras vidas privadas o su uso con fines delictivos.

En un contexto de feroz competencia mundial, se requiere un enfoque europeo sólido basado en la Estrategia Europea para la IA presentada en abril de 2018 (1). Para aprovechar las oportunidades que ofrece la inteligencia artificial y abordar los retos que presenta, la UE debe actuar conjuntamente y determinar de qué manera, a partir de los valores europeos, promoverá su desarrollo y adopción.

La Comisión se ha comprometido a facilitar el avance científico, preservar el liderazgo tecnológico de la UE y garantizar que las nuevas tecnologías estén al servicio de todos los europeos, de manera que mejoren sus vidas al mismo tiempo que respetan sus derechos.

La presidenta de la Comisión, Ursula von der Leyen, anunció en sus orientaciones políticas (2) un enfoque europeo coordinado en torno a las implicaciones éticas y humanas de la inteligencia artificial y un análisis sobre cómo mejorar la utilización de los macrodatos en la innovación.

Consecuentemente, la Comisión respalda un enfoque basado en la regulación y en la inversión, que tiene el doble objetivo de promover la adopción de la inteligencia artificial y de abordar los riesgos vinculados a determinados usos de esta nueva tecnología. La finalidad del presente Libro Blanco es formular alternativas políticas para alcanzar estos objetivos; no aborda ni el desarrollo ni el uso de la inteligencia artificial para fines militares. La Comisión invita a los Estados miembros, a otras instituciones europeas y a todas las partes interesadas, como la industria, los interlocutores sociales, las organizaciones de la sociedad civil, los investigadores, el público general y demás personas con interés en la materia, a que presenten sus opiniones con respecto de las opciones que se muestran a continuación y a que contribuyan a la futura toma de decisiones de la Comisión en este ámbito.

1. INTRODUCCIÓN

A medida que la tecnología digital adquiere un carácter cada vez más primordial en los distintos aspectos de la vida de las personas, es necesario que estas últimas puedan confiar en ella. Generar confianza es un requisito previo para su adopción, y ello supone una oportunidad para Europa, dada su estrecha vinculación con los valores y el Estado de Derecho y su capacidad demostrada de crear productos seguros, fiables y sofisticados en sectores que van desde la aeronáutica a la energía, pasando por la automoción y los equipos médicos.

El crecimiento económico sostenible y el bienestar social presentes y futuros de Europa se valen cada vez más de los valores creados por los datos. La inteligencia artificial es una de las partes más importantes de la economía de los datos. Hoy en día, la mayor parte de los datos son relativos a los consumidores y se almacenan y tratan en infraestructuras ubicadas en nubes centralizadas. Frente a esto, una enorme proporción de los datos del futuro, que serán mucho más abundantes, procederá de la industria, las empresas y el sector público, y se almacenará en diversos sistemas, entre los que destacan los dispositivos informáticos que operan en el borde de la red. Este hecho ofrece nuevas oportunidades a Europa, que cuenta con una posición sólida en la industria digitalizada y las aplicaciones de comunicación empresarial, pero con una posición relativamente frágil en las plataformas de consumidores.

En otras palabras, la inteligencia artificial es una combinación de tecnologías que agrupa datos, algoritmos y capacidad informática. Los avances en computación y la creciente disponibilidad de datos son, por tanto, un motor fundamental en el pronunciado crecimiento actual de la inteligencia artificial. Europa puede aunar su potencial tecnológico e industrial con una infraestructura digital de gran calidad y un marco regulador basado en sus valores fundamentales para convertirse en líder mundial de la innovación en la economía de los datos y sus aplicaciones, tal como se establece en la Estrategia Europea de Datos (3). Sobre estos cimientos, puede desarrollar un ecosistema de inteligencia artificial que acerque las ventajas de la tecnología a la sociedad y la economía europeas en su conjunto:

  • a los ciudadanos, para que obtengan nuevos beneficios, como una mejor atención sanitaria, una menor cantidad de averías de los aparatos domésticos, unos sistemas de transporte más seguros y limpios, o mejores servicios públicos;
  • al desarrollo empresarial, por ejemplo, mediante una nueva generación de productos y de servicios en áreas en las que Europa es particularmente fuerte (maquinaria, transporte, ciberseguridad, agricultura, economía verde y circular, atención sanitaria y sectores de gran valor añadido, como la moda y el turismo); y
  • a los servicios de interés público, por ejemplo mediante una reducción de los costes de la prestación de servicios (transporte, educación, energía y gestión de los residuos), una mayor sostenibilidad de los productos (4), o proporcionando a los servicios y fuerzas de seguridad las herramientas adecuadas para que aseguren la protección de los ciudadanos (5), garantizando correctamente el respeto de sus derechos y libertades.

Teniendo en cuenta el enorme impacto que puede tener la inteligencia artificial en nuestra sociedad y la necesidad de que suscite confianza, resulta clave que la inteligencia artificial europea se asiente en nuestros valores y derechos fundamentales, como la dignidad humana y la protección de la privacidad.

Por otra parte, el impacto de los sistemas de IA debe considerarse no solo desde una perspectiva individual, sino también desde la perspectiva de la sociedad en su conjunto. El uso de sistemas de inteligencia artificial puede tener un papel importante en la consecución de los Objetivos de Desarrollo Sostenible y en el respaldo de los procesos democráticos y los derechos sociales. Con sus recientes propuestas sobre el Pacto Verde Europeo (6), Europa va a la vanguardia de la lucha contra el cambio climático y los retos medioambientales asociados. Las tecnologías digitales como la inteligencia artificial son motores clave para alcanzar los objetivos del Pacto Verde. Dada la importancia creciente de la inteligencia artificial, es necesario tomar en debida consideración las repercusiones medioambientales de sus sistemas a lo largo de su ciclo de vida y durante toda la cadena de suministro, por ejemplo, en lo que se refiere a la utilización de recursos para el entrenamiento de los algoritmos y el almacenamiento de datos.

A fin de alcanzar una envergadura suficiente y de evitar la fragmentación del mercado único, se necesita un enfoque europeo común en torno a la inteligencia artificial. Introducir iniciativas nacionales presenta el riesgo de hacer peligrar la seguridad jurídica, de reducir la confianza de los ciudadanos y de impedir el surgimiento de una industria europea dinámica.

El presente Libro Blanco ofrece alternativas políticas para facilitar un desarrollo de la inteligencia artificial seguro y fiable en Europa, que respete plenamente los valores y los derechos de los ciudadanos de la UE. Los pilares fundamentales del presente Libro Blanco son:

  • El marco político por el que se establecen medidas para armonizar los esfuerzos a escala regional, nacional y europea. En colaboración con los sectores público y privado, los objetivos del marco son movilizar recursos para obtener un «ecosistema de excelencia» a lo largo de toda la cadena de valor, partiendo de la investigación y la innovación, así como crear los incentivos adecuados para acelerar la adopción de soluciones basadas en la inteligencia artificial, también por parte de las pequeñas y medianas empresas (pymes).
  • Los elementos clave de un futuro marco normativo para la inteligencia artificial en Europa que generen un «ecosistema de confianza» exclusivo. Para hacerlo, este marco debe velar por el cumplimiento de las normas de la UE, especialmente las normas de protección de los derechos fundamentales y los derechos de los consumidores, y en concreto con relación a los sistemas de inteligencia artificial que operan en la UE y presentan un riesgo elevado (7). Generar un ecosistema de confianza constituye un objetivo político en sí mismo, y debe ofrecer seguridad a los ciudadanos para que adopten las aplicaciones de la inteligencia artificial y seguridad jurídica a las empresas y organismos públicos para que innoven usando esta última. La Comisión respalda firmemente un enfoque antropocéntrico que se base en la Comunicación Generar confianza en la inteligencia artificial centrada en el ser humano (8), y tendrá en cuenta también los resultados obtenidos durante la fase de prueba de las directrices éticas elaboradas por el grupo de expertos de alto nivel sobre la IA.

La Estrategia Europea de Datos, que acompaña al presente Libro Blanco, tiene por objeto ayudar a Europa a convertirse en la economía con agilidad en el manejo de los datos más atractiva, segura y dinámica del mundo, lo que fortalecerá a Europa con información para reforzar sus decisiones y mejorar las vidas de todos sus ciudadanos. La Estrategia establece varias medidas políticas, como la movilización de inversiones públicas y privadas, necesarias para alcanzar este objetivo. Finalmente, en el informe de la Comisión adjunto al presente Libro Blanco, se analizan las repercusiones de la inteligencia artificial, el internet de las cosas y otras tecnologías digitales en la legislación en materia de seguridad y responsabilidad civil.

2. APROVECHAR LOS PUNTOS FUERTES DE LOS MERCADOS INDUSTRIALES Y PROFESIONALES

Europa se encuentra en buena posición para beneficiarse del potencial de la inteligencia artificial, no solo como usuaria sino también como creadora y productora de esta tecnología. Cuenta con excelentes centros de investigación y con empresas emergentes innovadoras, es líder mundial en los sectores de la robótica, la fabricación y los servicios competitivos, desde la automoción hasta la atención sanitaria, pasando por la energía, los servicios financieros y la agricultura. Europa ha desarrollado una infraestructura informática sólida (mediante, por ejemplo, ordenadores de elevado rendimiento), lo que resulta fundamental para el funcionamiento de la inteligencia artificial. Además, posee un gran volumen de datos públicos y de la industria, cuyo potencial está infrautilizado actualmente. Cuenta con una capacidad industrial reconocida en sistemas digitales seguros y protegidos de bajo consumo de energía que son fundamentales para continuar desarrollando la IA.

Aprovechar la capacidad de la UE para invertir en tecnologías e infraestructuras de la siguiente generación, así como en competencias digitales como la alfabetización sobre datos, reforzará la soberanía tecnológica de Europa en el sector de las tecnologías y las infraestructuras clave para dinamizar la economía de los datos. Las infraestructuras deben respaldar la creación de repositorios de datos que permitan materializar una inteligencia artificial fiable, es decir, una inteligencia artificial basada en los valores y las normas europeos.

Europa debe aprovechar sus puntos fuertes para ampliar su posición en los ecosistemas y en toda la cadena de valor, desde determinados sectores de fabricación de equipos informáticos al despliegue de los programas informáticos durante todo su recorrido hasta los servicios. En cierta medida, esto ya es realidad. Europa produce más de un cuarto de todos los robots de servicios industriales y profesionales (por ejemplo, para la agricultura de precisión, la seguridad, la sanidad, la logística, etc.), y desempeña un papel importante en el desarrollo y el uso de las aplicaciones informáticas para empresas y organizaciones (aplicaciones interempresariales como los programas informáticos de planificación de recursos, de diseño y de ingeniería), así como de aplicaciones para el fomento de la administración digital y las «empresas inteligentes».

Europa se sitúa a la vanguardia de la utilización de la inteligencia artificial en la fabricación. Más de la mitad de los mayores fabricantes aplican al menos un elemento de IA en sus operaciones de fabricación (9).

Una razón de la sólida posición de Europa en lo que se refiere a la investigación es el programa de financiación de la UE, que ha demostrado ser fundamental en las actividades de recopilación, así como a la hora de evitar duplicaciones y de movilizar inversiones públicas y privadas en los Estados miembros. A lo largo de los últimos tres años, la financiación de la UE para investigación e innovación en inteligencia artificial ha aumentado a 1.500 millones EUR, es decir, un incremento del 70 % en comparación con el período anterior.

No obstante, la inversión en investigación e innovación de Europa se sigue representando una proporción menor que la de las inversiones públicas y privadas en otras regiones del mundo. En 2016, se invirtieron unos 3.200 millones EUR en inteligencia artificial en Europa, frente a los cerca de 12.100 millones EUR en América del Norte y 6.500 millones EUR en Asia (10). Ante este hecho, Europa debe aumentar significativamente sus niveles de inversión. El Plan coordinado sobre inteligencia artificial (11) desarrollado con los Estados miembros está demostrando ser un buen punto de partida para estrechar la cooperación en materia de inteligencia artificial en Europa y crear sinergias que optimicen la inversión en la cadena de valor correspondiente.

3. APROVECHAR LAS PRÓXIMAS OPORTUNIDADES: LA SIGUIENTE OLEADA DE DATOS

Aunque Europa todavía se encuentra en una posición más menos consolidada con relación a las aplicaciones de consumidores y las plataformas en línea (lo que se traduce en una desventaja competitiva en el acceso a los datos), se están experimentando cambios importantes en el valor y la reutilización de los datos en los distintos sectores. El volumen de datos producido en el mundo va en aumento rápidamente, de 33 zetabytes en 2018 a una previsión de 175 zetabytes en 2025 (12). Cada nueva oleada de datos ofrece la oportunidad a Europa de posicionarse en la economía ágil en el manejo de los datos y convertirse en líder mundial en este ámbito. Además, la manera en que se almacenan y tratan los datos cambiará drásticamente a lo largo de los próximos cinco años. A día de hoy, el 80 % del tratamiento y el análisis de datos que se produce en la nube tiene lugar en centros de datos e instalaciones informáticas centralizadas, y el 20 % en aparatos inteligentes conectados, como automóviles, utensilios domésticos o robots de fabricación, e instalaciones informáticas cercanas al usuario («computación en el borde»). Está previsto que, de aquí a 2025, estos porcentajes cambien de manera notable (13).

Europa es líder mundial en electrónica de bajo consumo, lo que resulta fundamental para la siguiente generación de procesadores especializados en relación con la inteligencia artificial. Actualmente, este mercado está dominado por terceros de fuera de la UE. Este hecho podría cambiar con ayuda de iniciativas como la Iniciativa Europea en materia de Procesadores, centrada en desarrollar sistemas informáticos de bajo consumo de energía tanto de computación en el borde como de computación de alto rendimiento de la siguiente generación, y del trabajo de la empresa común de tecnología digital clave, cuyo inicio se ha propuesto para 2021. Europa también es líder en soluciones neuromórficas (14) que están perfectamente adaptadas para automatizar los procesos industriales (industria 4.0) y los modos de transporte. Estas soluciones pueden mejorar la eficiencia energética mediante varios órdenes de magnitud.

Los avances recientes en computación cuántica generarán aumentos exponenciales en la capacidad de tratamiento (15). Europa puede situarse a la vanguardia de esta tecnología gracias a su fortaleza académica en computación cuántica, así como a la sólida posición de la industria europea en materia de simuladores cuánticos y entornos de programación para la computación cuántica. Las iniciativas europeas que tienen por objeto incrementar la disponibilidad de pruebas y de instalaciones de ensayo cuánticos contribuirán a aplicar estas nuevas soluciones cuánticas en varios sectores industriales y académicos.

Paralelamente, Europa seguirá liderando el progreso de los fundamentos algorítmicos de la inteligencia artificial a partir de su propia excelencia científica. Existe la necesidad de tender puentes entre disciplinas que actualmente trabajan de manera independiente, tales como el aprendizaje automático y el aprendizaje profundo (caracterizados por su naturaleza interpretable limitada y por la necesidad de un gran volumen de datos para entrenar a los modelos y aprender mediante correlaciones) y los enfoques simbólicos (en los que las normas se crean mediante intervención humana). La combinación de razonamiento simbólico con redes neurales profundas puede ayudarnos a mejorar la capacidad de explicar los resultados de la inteligencia artificial.

4. UN ECOSISTEMA DE EXCELENCIA

Para crear un ecosistema de excelencia que pueda respaldar el desarrollo y la adopción de la inteligencia artificial en el conjunto de la economía y la administración pública de la UE, es necesario redoblar las acciones en varios niveles.

A. COLABORACIÓN CON LOS ESTADOS MIEMBROS

En cumplimiento de su Estrategia sobre la Inteligencia Artificial adoptada en abril de 2018 (16), en diciembre del mismo año la Comisión presentó un Plan coordinado, preparado con los Estados miembros, para fomentar el desarrollo y la utilización de la inteligencia artificial en Europa (17).

Este Plan propone cerca de 70 acciones conjuntas para hacer que la cooperación entre los Estados miembros y la Comisión en áreas clave como la investigación, la inversión, la introducción en el mercado, las capacidades y el talento, los datos y la cooperación internacional, sea más estrecha y eficiente. Está programado que el Plan esté operativo hasta 2027, y se prevé hacer un seguimiento y revisarlo de manera regular.

El objetivo es optimizar las repercusiones de la inversión en la investigación, la innovación y la utilización de la inteligencia artificial, evaluar las estrategias nacionales sobre esta tecnología y aprovechar y ampliar el Plan coordinado sobre la inteligencia artificial junto con los Estados miembros:

  • Acción 1: Teniendo en cuenta los resultados de la consulta pública sobre el Libro Blanco, la Comisión propondrá a los Estados miembros una revisión del Plan coordinado que debe adoptarse a finales de 2020.

La financiación en inteligencia artificial a escala de la UE debe atraer y poner en común inversiones en sectores en los que se requieren acciones que van más allá de lo que un Estado miembro puede conseguir por sí solo. El objetivo es atraer más de 20.000 millones EUR (18) de inversión total anual en inteligencia artificial en la UE a lo largo de la próxima década. A fin de estimular la inversión pública y privada, la UE facilitará recursos del programa Europa Digital, de Horizonte Europa y de los Fondos Estructurales y de Inversión Europeos para abordar las necesidades de las regiones menos desarrolladas y de las zonas rurales.

El Plan coordinado también puede ayudar a integrar el bienestar social y medioambiental como principios clave de la inteligencia artificial. Los sistemas de IA prometen ayudar a combatir las preocupaciones más acuciantes, como el cambio climático y la degradación medioambiental. Además, es importante que todo ello tenga lugar de una manera respetuosa con el medio ambiente. La IA puede y debe analizar por sí misma de manera crítica el uso de los recursos y el consumo de energía y ser entrenada para optar por alternativas que resulten positivas para el medio ambiente. La Comisión valorará opciones para fomentar y promover las soluciones de inteligencia artificial que se encarguen de ello junto con los Estados miembros.

B. CENTRAR LOS ESFUERZOS DE LA COMUNIDAD DE INVESTIGACIÓN E INNOVACIÓN

Europa no puede permitirse mantener el panorama actual de fragmentación de los centros de competencia, en el que ninguno de ellos alcanza la envergadura suficiente para competir con los organismos que se sitúan a la vanguardia mundial. Resulta clave crear más sinergias y redes entre los distintos centros de investigación europeos sobre la IA y armonizar los esfuerzos para mejorar la excelencia, mantener y atraer a los mejores investigadores y desarrollar las mejores tecnologías. Europa necesita un centro adalid en materia de investigación, innovación y conocimientos técnicos que coordine estos esfuerzos, que sirva de referente mundial de la excelencia en inteligencia artificial y que pueda atraer inversiones, así como a los mejores talentos del sector.

Los centros y las redes deben centrarse en los sectores en los que Europa cuenta con potencial para convertirse en líder mundial, como la industria, la sanidad, el transporte, las finanzas, las cadenas de valor agroalimentarias, la energía y el medio ambiente, la silvicultura, la observación terrestre y el espacio. En todos estos sectores, sigue librándose la carrera por el liderazgo mundial, y Europa ofrece un potencial, unos conocimientos y una pericia significativos (19). Resulta igualmente importante crear emplazamientos de ensayo y experimentación que respalden el desarrollo y posterior adopción de las nuevas aplicaciones de inteligencia artificial.

  • Acción 2: La Comisión facilitará la creación de centros de excelencia y pruebas que puedan combinar las inversiones europeas, nacionales y privadas, probablemente con la introducción de un nuevo instrumento jurídico. La Comisión ha propuesto un importe ambicioso y dirigido a respaldar centros de ensayo de referencia mundial en Europa en el marco del Programa Europa Digital, completado, cuando así se requiera, por acciones de investigación e innovación de Horizonte Europa, como parte del marco financiero plurianual para el período 2021-2027.

C. HABILIDADES

El enfoque europeo sobre la inteligencia artificial requerirá ser apuntalado por un sólido interés en las habilidades para hacer frente a la escasez de competencias (20). La Comisión presentará pronto un apoyo a la Agenda de Capacidades que pretende garantizar que todo el mundo en Europa pueda beneficiarse de las transformaciones verde y digital de la economía de la UE. Las distintas iniciativas también pueden contar con el respaldo de los reguladores sectoriales para fomentar sus habilidades en IA, a fin de aplicar de manera eficiente y eficaz las normas pertinentes. El Plan de acción sobre educación digital actualizado contribuirá a hacer un mejor uso de los datos y de las tecnologías basadas en la inteligencia artificial, como el análisis del aprendizaje y el análisis predictivo, con el objetivo de mejorar los sistemas educativos y formativos y adaptarlos a la era digital. El Plan también incrementará la concienciación en torno a la inteligencia artificial en todos los niveles de la educación a fin de capacitar a los ciudadanos para que tomen decisiones con fundamento bajo una influencia cada vez mayor de la IA.

Desarrollar las habilidades necesarias para trabajar en el ámbito de la inteligencia artificial y mejorar las cualificaciones profesionales de los trabajadores para adaptarlas a la transformación que implica esta tecnología será una prioridad del Plan coordinado sobre la IA revisado que debe desarrollarse con los Estados miembros. Ello puede implicar transformar la lista de evaluación de las directrices éticas en un «currículo» indicativo para los desarrolladores de IA que se pondrá a disposición de las instituciones de formación. Es necesario realizar esfuerzos específicos para incrementar el número de mujeres que se forman y son contratadas en esta área.

Además, el centro de referencia de investigación e innovación en IA de Europa debe atraer a talentos de todo el mundo gracias a las posibilidades que puede ofrecer. También desarrollará y ampliará la excelencia de las habilidades que se originan y propagan por toda Europa.

  • Acción 3: Mediante el pilar de capacidades avanzadas del Programa Europa Digital, establecer y respaldar redes de universidades y centros de educación superior pioneros, a fin de atraer a los mejores académicos y científicos y de ofrecer programas de máster en IA que se sitúen a la vanguardia mundial.

Más allá de la mejora de las cualificaciones profesionales, los trabajadores y las empresas experimentan las consecuencias directas del diseño y el uso de los sistemas de inteligencia artificial en el lugar de trabajo. La participación de los interlocutores sociales será un factor decisivo para garantizar un enfoque antropocéntrico de la IA en el trabajo.

D. PREOCUPARSE POR LAS PYMES

También será importante garantizar que las pymes puedan acceder a la inteligencia artificial y que la utilicen. Para ello, los centros de innovación digital (21) y la plataforma de «inteligencia artificial a la carta» (22) deben seguir reforzándose y potenciar la cooperación entre pymes. El Programa Europa Digital será clave para alcanzar este objetivo. Si bien todos los centros de innovación digital deben apoyar a las pymes para que entiendan y adopten la inteligencia artificial, será importante que al menos un centro de innovación por Estado miembro cuente con un elevado nivel de especialización en inteligencia artificial.

Las pymes y empresas emergentes necesitarán tener acceso a la financiación para adaptar sus procedimientos o innovar usando la IA. Mediante el inminente fondo de inversión piloto de 100 millones EUR para la inteligencia artificial y la cadena de bloques, la Comisión prevé seguir incrementando el acceso a la financiación en la IA en el marco de InvestEU (23). La inteligencia artificial figura de manera explícita como uno de los sectores admisibles en InvestEU.

  • Acción 4: La Comisión trabajará con los Estados miembros para garantizar que al menos un centro de innovación digital por Estado miembro cuente con un elevado nivel de especialización en inteligencia artificial. Los centros de innovación digital pueden contar con el respaldo del Programa Europa Digital.
  • La Comisión y el Fondo Europeo de Inversiones pondrán en marcha un plan piloto de 100 millones EUR en el primer cuatrimestre de 2020 con el objetivo de ofrecer financiación mediante fondos propios para el desarrollo innovador de la inteligencia artificial. A la espera de un acuerdo definitivo sobre el marco financiero plurianual, la intención de la Comisión es incrementar significativamente estos importes de 2021 en adelante, a través de InvestEU.

E. ASOCIACIONES CON EL SECTOR PRIVADO

Además, resulta fundamental asegurarse de que el sector privado participe plenamente en la elaboración de la agenda de investigación e innovación y ofrezca el nivel de coinversión necesario. Ello exige que se establezca una asociación público-privada con carácter amplio, y que se garantice el compromiso de los altos cargos de las empresas.

  • Acción 5: En el marco de Horizonte Europa, la Comisión creará una nueva asociación público-privada en materia de inteligencia artificial, datos y robótica, a fin de aunar esfuerzos, garantizar la coordinación de la investigación y la innovación en inteligencia artificial, colaborar con otras asociaciones público-privadas de Horizonte Europa y trabajar conjuntamente con las instalaciones de ensayo y los centros de innovación digital ya mencionados.

F. PROMOVER LA ADOPCIÓN DE LA IA POR PARTE DEL SECTOR PÚBLICO

Resulta fundamental que las Administraciones Públicas, los hospitales, los servicios públicos y de transporte, los supervisores financieros y otras áreas de interés público empiecen a adoptar rápidamente productos y servicios que se basen en la inteligencia artificial en sus actividades. Se hará especial hincapié en los sectores de la atención sanitaria y el transporte, en los que la tecnología está suficientemente desarrollada para una adopción a gran escala.

  • Acción 6: La Comisión iniciará conversaciones por sector abiertas y transparentes, en las que dará prioridad a la atención sanitaria, las administraciones rurales y los operadores de servicios públicos, para presentar un plan de acción que facilite el desarrollo, la experimentación y la adopción de la inteligencia artificial. Las conversaciones por sector se emplearán para preparar un «Programa de adopción de la IA» específico que respaldará la contratación pública de sistemas de inteligencia artificial, y ayudará a transformar los propios procesos de esta contratación.

G. ASEGURAR EL ACCESO A LOS DATOS Y LAS INFRAESTRUCTURAS INFORMÁTICAS

Las áreas de acción establecidas en el presente Libro Blanco completan el plan presentado en paralelo en el marco de la Estrategia Europea de Datos. Mejorar el acceso a los datos y la gestión de estos últimos resulta fundamental. Sin datos, el desarrollo de la IA y otras aplicaciones digitales resulta imposible. El enorme volumen de datos nuevos que está por generarse es una oportunidad para que Europa se posicione en la primera línea de la transformación en materia de datos e inteligencia artificial. Promover prácticas de gestión responsable de los datos e incentivar el cumplimiento, en lo que respecta a estos últimos, de los principios FAIR contribuirá a generar confianza y a posibilitar su reutilización (24). La inversión en infraestructuras y tecnologías informáticas clave es igualmente importante.

La Comisión ha propuesto más de 4.000 millones EUR en el marco del Programa Europa Digital para respaldar la computación de alto rendimiento y la computación cuántica, especialmente la computación en el borde y la inteligencia artificial, así como las infraestructuras de la nube y de datos. La Estrategia Europea de Datos desarrolla estas prioridades con mayor detalle.

H. ASPECTOS INTERNACIONALES

Europa se encuentra en una buena posición para asumir el liderazgo mundial a la hora de crear alianzas en torno a valores compartidos y promover el uso ético de la inteligencia artificial. El trabajo de la UE sobre inteligencia artificial ya ha tenido influencia en distintas negociaciones internacionales. A la hora de elaborar sus directrices éticas, el grupo de expertos de alto nivel contó con la participación de varias organizaciones de fuera de la UE y de diversos observadores gubernamentales. Paralelamente, la UE colaboró estrechamente en la elaboración de los principios éticos de la OCDE en materia de IA (25). Posteriormente, el G20 suscribió estos principios en su Declaración Ministerial sobre Comercio y Economía Digital de junio de 2019.

De manera simultánea, la UE admite que está realizando una importante labor sobre la inteligencia artificial en otros foros multilaterales, como el Consejo de Europa, la Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura (UNESCO), la Organización para la Cooperación y el Desarrollo Económicos (OCDE), la Organización Mundial del Comercio y la Unión Internacional de Telecomunicaciones (UIT). En las Naciones Unidas, la UE participa en el seguimiento del informe del Panel de Alto Nivel sobre la Cooperación Digital, incluida su recomendación sobre inteligencia artificial.

La UE seguirá cooperando en torno a la IA con países de mentalidad similar, pero también con terceras partes de todo el mundo, sobre la base de un enfoque fundamentado en las normas y valores de la UE (por ejemplo, respaldando una mayor convergencia normativa; mediante el acceso a recursos clave, como los datos; o creando un entorno de igualdad de condiciones). La Comisión seguirá de cerca las políticas de terceros países que limitan los flujos de datos y hará frente a las restricciones indebidas en las negociaciones comerciales bilaterales y mediante acciones en el contexto de la Organización Mundial del Comercio. La Comisión está convencida de que la cooperación internacional sobre cuestiones relativas a la IA debe basarse en un enfoque que promueva el respeto de los derechos fundamentales, especialmente la dignidad humana, el pluralismo, la inclusión, la ausencia de discriminación y la protección de la privacidad y de los datos personales (26), y se esforzará por exportar estos valores al resto del mundo (27). Igualmente, resulta evidente que un desarrollo y un uso responsables de la IA pueden ser un motor para alcanzar los Objetivos de Desarrollo Sostenible y progresar en la Agenda 2030.

5. UN ECOSISTEMA DE CONFIANZA: EL MARCO REGULADOR DE LA IA

Como sucede con toda nueva tecnología, el uso de la IA presenta tanto oportunidades como amenazas.  Los ciudadanos temen quedarse indefensos a la hora de proteger sus derechos y su seguridad frente a los desequilibrios informativos de la toma de decisiones mediante algoritmos, y las empresas sienten inquietud debido a la inseguridad jurídica. Si bien la inteligencia artificial puede ayudar a proteger la seguridad de los ciudadanos y permitirles gozar de sus derechos fundamentales, a estos también les preocupa el hecho de que la IA pueda tener efectos imprevistos o incluso que pueda utilizarse con fines malintencionados. Es preciso tener en cuenta esos recelos. Además, a la falta de inversión y de habilidades, es preciso añadir la falta de confianza como uno de los principales obstáculos para una adopción más amplia de la IA.

Esta es la razón por la que, el 25 de abril de 2018, la Comisión estableció una estrategia sobre IA (28) que abordaba los aspectos socioeconómicos junto con un aumento de la inversión en investigación, innovación y capacidad en materia de IA en toda la UE. También aprobó un Plan coordinado (29) con los Estados miembros para armonizar estrategias. La Comisión creó, además, un grupo de expertos de alto nivel que, en abril de 2019, publicó directrices para una IA fiable (30).

La Comisión publicó una Comunicación (31) según la cual acogía favorablemente los siete requisitos esenciales contemplados en las directrices del grupo de expertos de alto nivel, a saber:

  • acción y supervisión humanas;
  • solidez técnica y seguridad;
  • gestión de la privacidad y de los datos;
  • transparencia;
  • diversidad, no discriminación y equidad;
  • bienestar social y medioambiental;
  • rendición de cuentas.

Además, las directrices facilitan una lista para que las empresas comprueben en la práctica si se cumplen los requisitos. Durante la segunda mitad de 2019, más de 350 organizaciones probaron esta lista y enviaron sus observaciones al respecto. El grupo de expertos de alto nivel está revisando las directrices a partir de estas observaciones y terminará esta labor de aquí a junio de 2020. Una observación fundamental tras el proceso de consultas es que, si bien varios de los requisitos se recogen ya en los regímenes jurídicos o reguladores, aquellos relativos a la transparencia, el seguimiento y la supervisión humana no se contemplan de manera específica en la legislación en vigor de numerosos sectores económicos.

Además de este conjunto de directrices no vinculantes del grupo de expertos de alto nivel, y de conformidad con las orientaciones políticas de la presidenta, un marco regulador claro para Europa generaría confianza entre los consumidores y las empresas con relación a la IA, y, por consiguiente, aceleraría su adopción. Dicho marco regulador debe ser coherente con otras acciones destinadas a promover la capacidad innovadora y la competitividad de Europa en el sector. Además, debe garantizar resultados óptimos desde el punto de vista social, medioambiental y económico, así como su conformidad con la legislación, los principios y los valores de la UE. Ello resulta especialmente relevante en sectores en los que los derechos de los ciudadanos se vean afectados de manera más directa; por ejemplo, en el caso de las aplicaciones de IA empleadas por los cuerpos y fuerzas de seguridad y el poder judicial.

Los desarrolladores e implementadores de la inteligencia artificial ya están sujetos a la legislación europea en materia de derechos fundamentales (la protección de datos, la privacidad o la no discriminación, entre otros), protección de los consumidores y normas sobre la seguridad de los productos y responsabilidad civil. Los consumidores esperan el mismo nivel de seguridad y respeto de sus derechos independientemente de si un producto o un sistema está basado en la IA o no. Sin embargo, algunas características específicas de la IA (como la opacidad) pueden hacer que la aplicación y ejecución de la legislación sea más compleja. Por esta razón, resulta necesario analizar si la legislación actual puede hacer frente a los riesgos de la IA y si su observancia es factible o si, por el contrario, es necesario adaptarla o se requiere nueva legislación.

Debido a la rapidez con la que evoluciona la inteligencia artificial, el marco regulador debe dejar margen para abordar su desarrollo en el futuro. Toda modificación debe limitarse a aquellos problemas detectados con claridad para los que existan soluciones factibles.

Los Estados miembros señalan la actual falta de un marco común europeo. El Comité alemán sobre ética en materia de datos propone un sistema de regulación de cinco niveles basado en el riesgo, que va desde la ausencia de regulación en el caso de los sistemas de IA más inocuos hasta la prohibición absoluta en el caso de los más peligrosos. Dinamarca acaba de poner en marcha un prototipo de «sello de ética de los datos». Malta ha incorporado un sistema voluntario de certificación de la IA. Si la UE no es capaz de ofrecer un enfoque a escala de la Unión, existe un riesgo real de fragmentación del mercado interior, que pondría en peligro los objetivos de la confianza y la seguridad jurídica, así como el de la adopción de la IA en el mercado.

Un marco regulador europeo sólido que garantice una IA fiable protegerá a todos los ciudadanos europeos y contribuirá a crear un mercado interior sin fricciones de cara al desarrollo y adopción futuros de la IA, y reforzará los cimientos industriales de Europa en el sector de la inteligencia artificial.

A. DEFINICIÓN DE LOS PROBLEMAS

Aunque la IA puede ofrecer muchas ventajas, por ejemplo, mejorando la seguridad de los productos y los procedimientos, también puede resultar nociva. Los daños pueden ser tanto materiales (para la seguridad y la salud de las personas, con consecuencias como la muerte, y menoscabos al patrimonio) como inmateriales (pérdida de privacidad, limitaciones del derecho de libertad de expresión, dignidad humana, discriminación en el acceso al empleo, etc.) y pueden estar vinculados a una gran variedad de riesgos. El marco regulador debe centrarse en cómo minimizar los distintos riesgos de sufrir daños, especialmente los más significativos.

Los principales riesgos relacionados con el uso de la inteligencia artificial afectan a la aplicación de las normas diseñadas para proteger los derechos fundamentales (como la protección de los datos personales y la privacidad, o la no discriminación) y la seguridad (32), así como a las cuestiones relativas a la responsabilidad civil.

Riesgos para los derechos fundamentales, especialmente la protección de los datos personales y de la privacidad y la no discriminación

El uso de la inteligencia artificial puede afectar a los valores sobre los que se fundamenta la UE y provocar la conculcación de derechos fundamentales (33), como la libertad de expresión, la libertad de reunión, la dignidad humana, la ausencia de discriminación por razón de sexo, raza u origen étnico, religión o credo, discapacidad, edad u orientación sexual, y, en su aplicación en determinados ámbitos, la protección de los datos personales y de la vida privada (34), el derecho a una tutela judicial efectiva y a un juicio justo, o la protección de los consumidores. Estos riesgos pueden ser resultado de defectos en el diseño general de los sistemas de IA (especialmente en lo que se refiere a la supervisión humana) o del uso de datos que puedan ser sesgados sin una corrección previa (por ejemplo, se entrena un sistema utilizando única o principalmente datos relativos a hombres, y ello se traduce en resultados peores con relación a las mujeres).

La inteligencia artificial puede desempeñar muchas funciones que antes solo podían realizar los humanos. Como resultado, los ciudadanos y las personas jurídicas serán, cada vez más, objeto de acciones y decisiones adoptadas por sistemas de inteligencia artificial o con ayuda de estos; dichas acciones y decisiones, en ocasiones, pueden resultar difíciles de entender o de rebatir eficazmente cuando se requiera. Además, la IA incrementa las posibilidades de hacer un seguimiento y un análisis de las costumbres cotidianas de las personas. Por ejemplo, existe el riesgo potencial de que, incumpliendo las normas de la UE en materia de protección de datos u otras normas, las autoridades estatales y otros organismos recurran a la IA para la vigilancia masiva, o las empresas la utilicen para observar cómo se comportan sus empleados. Al analizar grandes cantidades de datos y detectar la conexión existente entre ellos, la IA también puede utilizarse para rastrear y desanonimizar datos relativos a personas, y generar así nuevos riesgos en torno a la protección de los datos personales con relación a conjuntos de datos que, en sí mismos, no contienen datos personales. Los intermediarios de la red también utilizan la IA para ordenar la información para sus usuarios por prioridades y moderar los contenidos. El tratamiento de los datos, el modo en el que se diseñan las aplicaciones y la envergadura de la intervención humana pueden afectar a los derechos de libertad de expresión, protección de los datos personales, privacidad y libertad política.

——————————————————————————————————————

Puede suceder que el uso de determinados algoritmos de la IA para predecir la reincidencia delictiva dé lugar a prejuicios raciales o de género, y prevea una probabilidad de reincidencia distinta para hombres y mujeres o para nacionales y extranjeros. Fuente: Tolan S., Miron M., Gomez E. and Castillo C. “Why Machine Learning May Lead to Unfairness: Evidence from Risk Assessment for Juvenile Justice in Catalonia”, Best Paper Award, International Conference on AI and Law, 2019.

Algunos programas de IA de análisis facial muestran prejuicios raciales o de género, y presentan un bajo nivel de error a la hora de determinar el género de hombres de piel más clara, pero un elevado nivel de error al determinar el género de mujeres de piel más oscura. Fuente: Joy Buolamwini, Timnit Gebru; Proceedings of the 1st Conference on Fairness, Accountability and Transparency, PMLR 81:77-91, 2018.

—————————————————————————————————————–

Los prejuicios y la discriminación son riesgos inherentes a toda actividad social o económica. La toma de decisiones de las personas no es ajena al error ni a la subjetividad. No obstante, en el caso de la IA, esta misma subjetividad puede tener efectos mucho más amplios, y afectar y discriminar a numerosas personas sin que existan mecanismos como los de control social que rigen el comportamiento humano (35). Puede suceder también que el sistema de IA «aprenda» mientras está funcionando. En tales casos, cuando los resultados no puedan preverse ni anticiparse en la fase de diseño, los riesgos no se deberán a fallos en el diseño original del sistema, sino más bien a las repercusiones prácticas de las correlaciones o de los modelos que reconozca el sistema en un gran conjunto de datos.

Las características particulares de numerosas tecnologías de IA, como la opacidad («efecto caja negra»), la complejidad, la imprevisibilidad y un comportamiento parcialmente autónomo, pueden hacer difícil comprobar el cumplimiento de la legislación vigente de la UE sobre la protección de los derechos fundamentales e impedir su cumplimiento efectivo. Puede ser que las fuerzas y cuerpos de seguridad y las personas afectadas carezcan de los medios para comprobar cómo se ha tomado una decisión determinada con ayuda de la IA y, por consiguiente, si se han respetado las normas pertinentes. Las personas físicas y las personas jurídicas pueden enfrentarse a dificultades en el acceso efectivo a la justicia en situaciones en las que estas decisiones les afecten negativamente.

Riesgos para la seguridad y el funcionamiento eficaz del régimen de responsabilidad civil

Las tecnologías de IA pueden presentar nuevos riesgos de seguridad para los usuarios cuando estén integradas en productos y servicios. Por ejemplo, como resultado de un defecto en la tecnología de reconocimiento de objetos, un vehículo autónomo puede detectar erróneamente un objeto en la carretera y causar un accidente que provoque heridos y daños materiales. Como sucede con los riesgos para los derechos fundamentales, estos riesgos pueden proceder de defectos en el diseño de la tecnología de IA, estar relacionados con problemas de disponibilidad o calidad de los datos, u otros derivados del aprendizaje de las máquinas. Aunque algunos de estos riegos no se limitan a los productos o servicios que dependen de la IA, el uso de esta última puede aumentar o agravar los riesgos.

Además de los riesgos a los que se enfrentan estas personas, la falta de disposiciones claras en materia de seguridad para abordarlos puede crear inseguridad jurídica entre las empresas que comercializan productos que utilicen IA en la UE. Las autoridades encargadas de supervisar el mercado o de ejecutar las normas pueden encontrarse en una situación en la que les resulte confuso cómo intervenir, puesto que tal vez no estén facultadas para tomar medidas o no cuenten con la capacidades técnicas adecuadas para examinar los sistemas (36). Por consiguiente, la inseguridad jurídica puede reducir los niveles globales de seguridad y minar la competitividad de las empresas europeas.

Si los riesgos de seguridad se materializan, la falta de requisitos claros y las características de las tecnologías de IA mencionadas anteriormente pueden complicar la trazabilidad de las decisiones potencialmente problemáticas que se hayan tomado con ayuda de sistemas de IA. A su vez, esto puede dificultar a las personas damnificadas recibir compensaciones en el marco de la normativa en materia de responsabilidad civil en vigor en la UE y los distintos países (37).

——————————————————————————————————————–

En el marco de la Directiva sobre responsabilidad por los daños causados por productos defectuosos, un fabricante es responsable de los daños causados por un producto defectuoso. No obstante, en el caso de un sistema basado en la IA, como un vehículo autónomo, puede resultar difícil demostrar la existencia de un defecto en el producto, el daño que este ha generado y el nexo causal entre ambos. Además, hay cierta incertidumbre sobre cómo y en qué medida resulta aplicable la Directiva sobre responsabilidad por los daños causados por productos defectuosos en el caso de algunos tipos de defectos, por ejemplo, cuando estos se deban a una falla en la ciberseguridad del producto

——————————————————————————————————————–

Por consiguiente, la dificultad para hacer un seguimiento retrospectivo de las decisiones potencialmente problemáticas adoptadas mediante sistemas de IA y contempladas anteriormente con relación a los derechos fundamentales es aplicable tanto a los problemas de seguridad como de responsabilidad civil. Es posible que las personas que hayan sufrido daños no dispongan de un acceso efectivo a las pruebas necesarias para llevar un caso ante los tribunales, por ejemplo, y tengan menos probabilidades de obtener una reparación efectiva en comparación con situaciones en las que los daños sean causados por tecnologías tradicionales. Estos riesgos aumentarán a medida que se generaliza el uso de la IA.

B. POSIBLES ADAPTACIONES DEL MARCO NORMATIVO EN VIGOR EN LA UE CON RELACIÓN A LA IA

Un amplio volumen de la legislación en vigor en la UE en materia de seguridad de los productos y responsabilidad civil (38), especialmente determinadas normas sectoriales, completadas a su vez por la legislación nacional, resulta pertinente y de potencial aplicación a varias de las nuevas aplicaciones de IA.

En lo que se refiere a la protección de los derechos fundamentales y los derechos de los consumidores, el marco normativo de la UE contiene legislación como la Directiva sobre igualdad racial (39), la Directiva sobre igualdad de trato en el empleo y la ocupación (40), las Directivas relativas a la igualdad de trato entre mujeres y hombres con relación al empleo y el acceso a los bienes y servicios (41), varias normas de protección de los consumidores (42) y normas sobre la protección de los datos personales y la privacidad, especialmente el Reglamento General de Protección de Datos y otra legislación sectorial en la que se contempla la protección de los datos personales, como la Directiva sobre protección de datos en el ámbito penal (43). Además, a partir de 2025, resultarán de aplicación las normas sobre los requisitos de accesibilidad de bienes y servicios establecidas en el Acta Europea de Accesibilidad (44). Por otra parte, es necesario respetar los derechos fundamentales cuando se ejecuten otras normas de la UE, como las relativas al sector de los servicios financieros, la migración o la responsabilidad de los intermediarios en línea.

Si bien la legislación de la UE resulta, en principio, plenamente aplicable independientemente del uso de IA, resulta importante evaluar si puede ejecutarse de manera adecuada para abordar los riesgos que generan los sistemas de IA, o si se requiere adaptar instrumentos jurídicos específicos.

Por ejemplo, los agentes económicos siguen siendo plenamente responsables de que la IA respete las normas existentes en materia de protección de los consumidores. Igualmente, debe prohibirse todo uso de los algoritmos con relación al comportamiento de los consumidores cuando se vulneren las normas existentes, y tales vulneraciones deben sancionarse en consecuencia.

La Comisión considera que conviene mejorar el marco normativo para abordar los riesgos y situaciones siguientes:

  • Aplicación y ejecución efectivas de la legislación nacional y de la UE en vigor: Las características fundamentales de la IA entrañan dificultades para garantizar la correcta aplicación y ejecución de la legislación nacional y de la UE. La falta de transparencia (opacidad de la IA) hace difícil detectar y demostrar los posibles incumplimientos de la legislación, especialmente las disposiciones legales que protegen los derechos fundamentales, imputan responsabilidades y permiten reclamar una indemnización. Por tanto, a fin de garantizar una aplicación y ejecución efectivas, puede resultar necesario adaptar o clarificar la legislación en vigor en algunos sectores, como sucede en el caso de la responsabilidad civil, tal como se detalla en el informe adjunto al presente Libro Blanco.
  • Limitaciones del ámbito de aplicación de la legislación existente de la UE: Uno de los centros de interés fundamentales de la legislación sobre seguridad de los productos en la UE lo constituye la comercialización de los productos. Aunque, en la legislación de la UE en materia de seguridad de los productos, los programas informáticos que forman parte de un producto final deben respetar las normas de seguridad del producto pertinentes, existe la duda de si un programa autónomo se rige por la legislación de seguridad de los productos de la UE, salvo en aquellos sectores que cuentan con normas explícitas (45). La legislación general de la UE en materia de seguridad en vigor resulta de aplicación a los productos y no a los servicios, y, por consiguiente, a priori no se aplica tampoco a los servicios basados en las tecnologías de IA (como servicios sanitarios, financieros o de transporte).
  • Cambios en la funcionalidad de los sistemas de IA: La incorporación de programas informáticos, incluida la IA, en los productos puede modificar el funcionamiento de tales productos y sistemas a lo largo de su ciclo de vida. Ello resulta particularmente cierto en el caso de los sistemas que requieren actualizaciones informáticas frecuentes o que se basan en el aprendizaje automático. Estas características pueden dar lugar a nuevos riesgos que no existían en el momento en que se introdujo el sistema en el mercado. Estos riesgos no se abordan adecuadamente en la legislación en vigor, que se centra sobre todo en los riesgos de seguridad en el momento de la comercialización.
  • Incertidumbre en lo que se refiere a la imputación de responsabilidades entre los distintos agentes económicos de la cadena de suministro: En general, la legislación de la UE sobre la seguridad de los productos imputa la responsabilidad al productor del producto comercializado, incluidos todos sus componentes, como los sistemas de IA. Sin embargo, estas normas pueden resultar poco claras cuando la IA es incorporada al producto, una vez que este se ha comercializado, por alguien que no es el productor. Además, la legislación de la UE sobre la responsabilidad civil por los productos regula la responsabilidad de los productores y deja que las normas nacionales en materia de responsabilidad civil se encarguen de los demás participantes en la cadena de suministro.
  • Cambios en el concepto de seguridad: El uso de la IA en los productos y los servicios puede generar riesgos que la legislación de la UE no aborda de manera explícita en la actualidad. Estos riesgos pueden estar vinculados a ciberamenazas, a la seguridad personal (por ejemplo, con relación a nuevos usos de la IA, como en el caso de los aparatos domésticos), a la pérdida de conectividad, etc., y pueden existir en el momento de comercializar los productos o surgir como resultado de la actualización de los programas informáticos y del aprendizaje automático del producto cuando este último se está utilizando. La UE debe hacer un uso pleno de las herramientas que están a su disposición para reforzar su base empírica sobre los riesgos potenciales asociados a las aplicaciones de IA, y aprovechar especialmente la experiencia de la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA) para evaluar el panorama de amenazas de la IA.

Como se ha señalado, ya hay varios Estados miembros que están valorando alternativas en su legislación nacional para hacer frente a los retos que presenta la IA. Esto a su vez conlleva el riesgo de que se fragmente el mercado único. Es probable que las diferencias entre normas nacionales creen obstáculos para las empresas que deseen vender y utilizar sistemas de IA en el mercado único. Garantizar un enfoque común a escala de la UE permitirá a las empresas europeas beneficiarse de un acceso sencillo al mercado único y respaldar su competitividad en los mercados mundiales.

—————————————————————————————————————-

Informe sobre las repercusiones en materia de seguridad y responsabilidad civil de la inteligencia artificial, el internet de las cosas y la robótica

El informe, adjunto al presente Libro Blanco, analiza el marco jurídico pertinente. Señala las incertidumbres sobre la aplicación de este marco con relación a los riesgos concretos que presentan los sistemas de IA y otras tecnologías digitales.

Llega a la conclusión de que la legislación vigente sobre seguridad de los productos ya recoge un concepto amplio de protección de la seguridad frente a todo tipo de riesgos derivados del producto en función de su uso. No obstante, cabe introducir disposiciones que aborden de manera explícita los nuevos riesgos derivados de las tecnologías digitales emergentes, a fin de ofrecer mayor seguridad jurídica.

  • El comportamiento autónomo de algunos sistemas de IA a lo largo de su ciclo de vida puede conllevar importantes cambios en los productos y tener repercusiones en la seguridad, lo que puede requerir una nueva evaluación de riesgos. Además, es probable que se requiera la supervisión humana como garantía, desde la fase de diseño y a lo largo de todo el ciclo de vida de los productos y sistemas de IA.
  • También pueden valorarse obligaciones explícitas para los productores con relación a los riesgos para la salud mental de los usuarios cuando así se requiera (por ejemplo, en el caso de la colaboración con robots humanoides).
  • La legislación de la UE sobre seguridad de los productos puede prever requisitos específicos para abordar los riesgos derivados de los datos incorrectos en la fase de diseño, así como mecanismos para garantizar que la calidad de los datos se mantenga mientras se usen los productos y sistemas de IA.
  • La opacidad de los sistemas basados en algoritmos puede abordarse mediante requisitos de transparencia.
  • Es posible que sea necesario adaptar y clarificar las normas en vigor en el caso de los programas autónomos comercializados separadamente o descargados en un producto tras la comercialización de este último, cuando tengan repercusiones en la seguridad.
  • Dada la complejidad creciente de las cadenas de suministro en lo que se refiere a las nuevas tecnologías, las disposiciones que exigen de manera específica colaboración entre los agentes económicos de la cadena y los usuarios pueden aportar seguridad jurídica.

Las características de las tecnologías digitales emergentes, como la inteligencia artificial, el internet de las cosas y la robótica, pueden poner en cuestión algunos elementos de los marcos de responsabilidad civil y reducir su eficacia. Algunas de estas características podrían dificultar la trazabilidad de los daños sufridos por una persona, lo que resultaría necesario en el caso de una demanda de responsabilidad civil subjetiva según la mayoría de las normas nacionales. Ello podría aumentar significativamente los costes para las víctimas, y haría más difícil exigir o demostrar la responsabilidad civil de los agentes que no sean los productores.

  • Las personas damnificadas por sistemas de IA deben poder disfrutar del mismo nivel de protección que las personas que hayan sufrido daños causados por otras tecnologías, aunque al mismo tiempo es necesario permitir el avance de la innovación tecnológica.
  • Es necesario valorar todas las alternativas para alcanzar este objetivo, incluidas las posibles modificaciones de la Directiva sobre responsabilidad por los daños causados por productos defectuosos o la posibilidad de seguir adaptando las medidas nacionales en materia de responsabilidad civil. Por ejemplo, la Comisión está recabando opiniones sobre cómo y en qué medida puede ser necesario atenuar las consecuencias de la complejidad mediante una adaptación de la carga de la prueba exigida por las normas nacionales sobre responsabilidad civil en el caso de los daños causados por el funcionamiento de las aplicaciones de IA.

——————————————————————————————————————–

A la luz de todo lo expuesto, la Comisión llega a la conclusión de que, además de las posibles adaptaciones de la legislación vigente, puede que se requiera nueva legislación específica sobre IA, a fin de adaptar el marco jurídico de la UE a la evolución tecnológica y comercial actual y futura.

C. ÁMBITO DE APLICACIÓN DE UN FUTURO MARCO REGULADOR DE LA UE

Un elemento clave para la elaboración de un futuro marco regulador específico sobre la IA es determinar su ámbito de aplicación. La hipótesis de trabajo es que el marco regulador debe resultar de aplicación a los productos y servicios basados en la IA. Por consiguiente, es necesario definir claramente la IA a los efectos del presente Libro Blanco y de toda posible iniciativa de elaboración de políticas del futuro.

En su Comunicación sobre la inteligencia artificial para Europa, la Comisión ofrecía una primera definición de la IA (46). El grupo de expertos de alto nivel perfeccionó esta definición (47).

En los nuevos instrumentos jurídicos, la definición de la IA tendrá que ser suficientemente flexible para adaptarse al progreso técnico al tiempo que mantiene un nivel de precisión adecuado para ofrecer la seguridad jurídica necesaria.

A los efectos del presente Libro Blanco, así como de todo posible debate sobre iniciativas políticas en el futuro, parece importante clarificar cuáles son los principales elementos que integran la IA, a saber: los «datos» y los «algoritmos». La IA puede incorporarse en los equipos informáticos. En lo que se refiere a las técnicas de aprendizaje automático, que constituyen un subapartado de la IA, los algoritmos son entrenados para inferir determinados modelos a partir de un conjunto de datos, a fin de determinar las acciones que se requieren para alcanzar un objetivo determinado. Los algoritmos pueden seguir aprendiendo mientras se utilizan. Aunque los productos basados en la IA pueden funcionar de manera autónoma a partir de su percepción del entorno y sin seguir un conjunto predefinido de instrucciones, su comportamiento lo definen y restringen en gran medida sus desarrolladores. Los objetivos los definen y programan las personas, y los sistemas de IA deben optimizarse para alcanzarlos.

————————————————————————————————————–

En el caso de la conducción automática, por ejemplo, el algoritmo usa, en tiempo real, los datos del vehículo (velocidad, consumo del motor, amortiguadores, etc.) y de los sensores que examinan el entorno global (carretera, señales, otros vehículos, peatones, etc.) para determinar qué dirección tomar, o qué aceleración y velocidad requiere el vehículo para llegar a determinado destino. A partir de los datos observados, el algoritmo se adapta a la situación de la carretera y las condiciones exteriores, como el comportamiento de otros conductores, para ofrecer la conducción más cómoda y segura posible.

—————————————————————————————————————–

La UE cuenta con un marco jurídico estricto para garantizar, entre otros, la protección de los consumidores, la lucha contra las prácticas comerciales desleales y la protección de los datos personales y la privacidad. Además, el acervo de la UE cuenta con normas específicas en el caso de algunos sectores (como la sanidad o el transporte). Estas disposiciones del Derecho de la UE seguirán siendo de aplicación con relación a la IA, aunque puede que se requieran algunas actualizaciones del marco correspondiente a fin de reflejar la transformación digital y el uso de la IA (véase el apartado B). Como consecuencia, aquellos elementos que ya se abordan en la legislación horizontal y sectorial vigente (como es el caso de los equipos médicos (48) o de los sistemas de transporte) seguirán rigiéndose por dicha legislación.

En principio, el nuevo marco regulador en materia de IA debe ser eficaz para alcanzar sus objetivos sin ser excesivamente prescriptivo, lo que podría generar una carga  desproporcionada, en especial para las pymes. Para alcanzar este equilibrio, la Comisión considera que debe seguir un enfoque basado en el riesgo.

Un enfoque basado en el riesgo resulta importante para asegurar que la intervención reguladora sea proporcionada. No obstante, requiere de criterios claros para establecer diferencias entre las distintas aplicaciones de IA, en especial para determinar si entrañan un riesgo elevado o no (49). La definición de qué es una aplicación de IA de riesgo elevado debe ser clara y fácil de entender y de aplicar para todas las partes interesadas. No obstante, incluso cuando no se considere que una aplicación de IA entraña un riesgo elevado, esta debe seguir estando sujeta a las normas vigentes en la UE.

La Comisión considera que, en general, una aplicación de IA determinada debe considerarse de riesgo elevado en función de lo que esté en juego, y considerando si tanto el sector como el uso previsto suponen riesgos significativos, en especial desde la perspectiva de la protección de la seguridad, los derechos de los consumidores y los derechos fundamentales. De manera más específica, una aplicación de IA debe considerarse de riesgo elevado cuando presente la suma de los dos criterios siguientes:

  • En primer lugar, que la aplicación de IA se emplee en un sector en el que, por las características o actividades que se llevan a cabo normalmente, es previsible que existan riesgos significativos. El primer criterio vela por que la intervención reguladora se centre en aquellas áreas en las que, de manera general, se considere que hay más probabilidad de que surjan riesgos. En el nuevo marco regulador deben detallarse de manera específica y exhaustiva los sectores que englobe. Por ejemplo, la sanidad, el transporte, la energía y determinados ámbitos del sector público (50). Esta lista debe revisarse periódicamente y modificarse cuando proceda en función de los desarrollos pertinentes en la práctica.
  • En segundo lugar, que la aplicación de IA en el sector en cuestión se use, además, de manera que puedan surgir riesgos significativos. Este segundo criterio refleja el reconocimiento de que no toda utilización de la IA en los sectores señalados implica necesariamente riesgos significativos. Por ejemplo, si bien la atención sanitaria puede ser un sector importante, un fallo en el sistema de asignación de citas de un hospital no supondrá en principio un riesgo significativo que justifique la intervención legislativa. La evaluación del nivel de riesgo de un uso determinado puede basarse en las repercusiones para las partes afectadas. Por ejemplo, el uso de aplicaciones de IA con efectos jurídicos o similares en los derechos de un particular o de una empresa; aplicaciones que presenten el riesgo de causar lesiones, la muerte, o daños materiales o inmateriales significativos; aplicaciones que produzcan efectos que las personas físicas o jurídicas no puedan evitar razonablemente.

La aplicación de los dos criterios debe garantizar que el ámbito del marco regulador se adapte a lo necesario y ofrezca seguridad jurídica. En principio, los requisitos obligatorios contemplados en el nuevo marco regulador en materia de IA (véase el apartado D a continuación) deben resultar de aplicación únicamente a las aplicaciones que se consideren de elevado riesgo de conformidad con la suma de los dos criterios esbozados.

No obstante lo anterior, también puede haber casos excepcionales en los que, debido a lo que esté en peligro, el uso de aplicaciones de IA para determinados fines se considere de elevado riesgo en sí mismo; es decir, independientemente del sector de que se trate y cuando los requisitos que se presentan más abajo sigan siendo de aplicación (51). Por ejemplo, cabría pensar en lo siguiente:

  • En vista de su importancia para las personas y del acervo de la UE en materia de igualdad de empleo, el uso de las aplicaciones de IA en los procedimientos de contratación y en situaciones que repercutan en los derechos de los trabajadores debe considerarse siempre de «riesgo elevado» y, por consiguiente, los requisitos que se presentan a continuación han de ser aplicables en todos los casos. También pueden considerarse otras aplicaciones específicas con repercusiones en los derechos de los consumidores.
  • El uso de aplicaciones de IA para la identificación biométrica remota52 y otras tecnologías de vigilancia intrusiva deben considerarse siempre de «riesgo elevado» y, por tanto, los requisitos que se presentan a continuación deben resultar de aplicación en todos los casos.

D. TIPOS DE REQUISITOS

Cuando se diseñe el futuro marco regulador de la IA, será necesario determinar los tipos de requisitos legales obligatorios a los que deben atenerse las partes pertinentes. Estos requisitos pueden concretarse mediante normas. Como se señala en el apartado C, además de la legislación vigente, dichos requisitos deben aplicarse a las aplicaciones de IA que entrañen un riesgo elevado únicamente, para garantizar que toda intervención reguladora sea específica y proporcionada.

Teniendo en cuenta las directrices del grupo de expertos de alto nivel y lo previsto hasta el momento, los requisitos para las aplicaciones de IA que entrañen un riesgo elevado pueden contar con las características clave siguientes, que se abordan en mayor detalle en los subapartados posteriores:

  • datos de entrenamiento;
  • datos y registros de datos;
  • información que debe facilitarse;
  • solidez y exactitud;
  • supervisión humana;
  • requisitos específicos en el caso de determinadas aplicaciones de IA, como las empleadas para la identificación biométrica remota.

Con objeto de garantizar la seguridad jurídica, estos requisitos se detallarán para ofrecer una referencia clara a todas las partes que deban respetarlos.

          a) Datos de entrenamiento

Es más importante que nunca promover, reforzar y defender los valores y normas de la UE, en especial los derechos que concede a los ciudadanos el Derecho de la UE. Sin duda, estos esfuerzos pueden extrapolarse a las aplicaciones de IA en venta y empleadas en la UE, y que se analizan en el presente documento.

Como se ha señalado anteriormente, sin datos, no hay inteligencia artificial. El funcionamiento de muchos sistemas de IA y las acciones y decisiones a las que pueden llevar dependen en gran medida del conjunto de datos que se haya utilizado para entrenar los sistemas. Por consiguiente, deben adoptarse las medidas necesarias para garantizar que, en lo que se refiere a los datos utilizados para entrenar los sistemas de IA, se respeten los valores y normas de la UE, concretamente con relación a la seguridad y la legislación vigente para la protección de los derechos fundamentales. Es posible prever los requisitos siguientes con relación a los conjuntos de datos que se empleen para entrenar los sistemas de IA:

  • Requisitos destinados a ofrecer garantías razonables de que el uso posterior de los productos o servicios mediante IA es seguro, en la medida en que cumple los estándares previstos en la normativa de la UE aplicable en materia de seguridad (tanto la vigente como la que puede completarla). Por ejemplo, requisitos que garanticen que los sistemas de IA se entrenan con conjuntos de datos suficientemente amplios y que engloban todos los escenarios pertinentes para evitar situaciones peligrosas.
  • Requisitos destinados a adoptar medidas razonables para velar por que dicho uso posterior de los sistemas de IA no genere resultados que conlleven una discriminación ilícita. Estos requisitos pueden suponer, en particular, la obligación de utilizar conjuntos de datos que sean suficientemente representativos, especialmente para garantizar que todas las dimensiones de género, etnicidad y otras posibles razones de discriminación ilícita queden correctamente reflejadas en estos conjuntos de datos.
  • Requisitos destinados a garantizar que la privacidad y los datos personales estén adecuadamente protegidos mientras se usen los productos y servicios basados en IA. En cuanto a las cuestiones que correspondan a los ámbitos de aplicación del Reglamento General de Protección de Datos y de la Directiva sobre protección de datos en el ámbito penal respectivamente, son estos instrumentos los que las regulan.

          b) Conservación de registros y datos

Teniendo en cuenta algunos elementos como la complejidad y la opacidad de muchos sistemas de IA y las dificultades que pueden surgir al respecto para verificar de manera efectiva el cumplimiento de las normas aplicables y ejecutarlas, se necesitan requisitos con relación a la conservación de registros sobre la programación de algoritmos, los datos empleados para entrenar sistemas de IA de elevado riesgo y, en algunos casos, la conservación de los datos en sí mismos. Básicamente, estos requisitos facilitan el seguimiento y la comprobación de las acciones o decisiones de los sistemas de IA potencialmente problemáticas. Con ello, no solo se facilita la supervisión y la ejecución, sino que además aumentan los incentivos para que los agentes económicos afectados tengan en cuenta desde el principio la necesidad de respetar estas normas.

Para ello, el marco regulador puede exigir la conservación de lo siguiente:

  • registros exactos sobre el conjunto de datos utilizado para entrenar y probar los sistemas de IA, especialmente una descripción de sus principales características y el modo en que se escogió el conjunto de datos;
  • en determinados casos justificados, los propios conjuntos de datos;
  • documentación sobre las metodologías de programación (53) y entrenamiento, los procesos y las técnicas utilizados para construir, probar y validar los sistemas de IA; especialmente con el fin de proteger la seguridad y de evitar sesgos que puedan dar lugar a un quebrantamiento de la prohibición de discriminación, cuando sea necesario.

Los registros, la documentación y, cuando proceda, los conjuntos de datos, deben conservarse durante un período de tiempo limitado y razonable para garantizar la aplicación efectiva de la legislación pertinente. Deben adoptarse medidas para garantizar que todos ellos se faciliten previa solicitud, especialmente para los ensayos o las inspecciones efectuadas por las autoridades competentes. Cuando sea necesario, deben adoptarse medidas para proteger la información confidencial, como los secretos comerciales.

          c) Suministro de información

La transparencia también se requiere más allá de los requisitos de conservación de registros enumerados en el apartado C. A fin de alcanzar los objetivos perseguidos, en particular la promoción del uso responsable de la IA, la creación de confianza y las garantías de reparación cuando proceda, resulta importante que se facilite información adecuada de manera proactiva en torno a cómo usar los sistemas de IA de elevado riesgo.

En este sentido, cabe valorar los siguientes requisitos:

  • Facilitar información clara con respecto de las capacidades y limitaciones del sistema de IA, en especial sobre el objetivo al que se destinan los sistemas, las condiciones en las que se espera que funcione según lo previsto y el nivel de exactitud esperado en la consecución del objetivo mencionado. Esta información es especialmente importante en el caso de los implementadores de los sistemas, pero también puede ser pertinente para las autoridades competentes y las partes afectadas.
  • Independientemente, debe informarse claramente a los ciudadanos de cuándo están interactuando con un sistema de IA y no con un ser humano. Si bien la legislación de protección de datos de la UE ya recoge algunas normas de este tipo (54), es posible que se necesiten requisitos adicionales para alcanzar los objetivos anteriormente mencionados. En tal caso, deben evitarse las cargas innecesarias. Así, no es necesario facilitar dicha información, por ejemplo, en situaciones en las que sea inmediatamente evidente para los ciudadanos que están interactuando con un sistema de IA. Es importante también que la información facilitada sea objetiva, concisa y fácilmente comprensible. La manera en que ha de presentarse la información debe adaptarse al contexto específico.

          d) Solidez y exactitud

Los sistemas de IA (y desde luego las aplicaciones de IA de riesgo elevado) deben ser técnicamente sólidos y exactos para ser fiables. Esto supone que estos sistemas deben desarrollarse de manera responsable y tras una valoración previa adecuada de los riesgos que conllevan. Su desarrollo y funcionamiento han de ser de tal manera que garanticen que los sistemas de IA se comporten con la fiabilidad prevista. Deben adoptarse todas las medidas razonables para reducir al mínimo el riesgo de que se produzcan daños.

En este sentido, cabe valorar los siguientes elementos:

  • Requisitos que garanticen que los sistemas de IA son sólidos y exactos, o al menos que reflejan correctamente su nivel de exactitud, a lo largo de todas las fases de su ciclo de vida.
  • Requisitos que garanticen la reproducibilidad de los resultados.
  • Requisitos que garanticen que los sistemas de IA son capaces de lidiar correctamente con los errores o las incoherencias a lo largo de todas las fases de su ciclo de vida.
  • Requisitos que garanticen que los sistemas de IA son resilientes ante los ataques abiertos y los intentos más sutiles de manipulación de los propios datos o algoritmos, y que, llegado el caso, aseguren que se toman medidas para combatirlos.

          e) Supervisión humana

La supervisión humana ayuda a garantizar que un sistema de IA no socave la autonomía humana o provoque otros efectos adversos. El objetivo de una IA fiable, ética y antropocéntrica solo puede alcanzarse garantizando una participación adecuada de las personas con relación a las aplicaciones de IA de riesgo elevado.

A pesar de que todas las aplicaciones de IA que se tienen en cuenta en el presente Libro Blanco de cara a un régimen jurídico específico se consideran de riesgo elevado, el tipo y nivel adecuado de supervisión humana puede variar de un caso a otro. Dependerá en particular del uso previsto de los sistemas y de los efectos que el uso pueda tener en el caso de las personas físicas o jurídicas afectadas. Ello se entenderá sin perjuicio de los derechos legales previstos en el RGPD cuando el sistema de IA trate datos personales. La supervisión humana puede traducirse en las consecuencias siguientes, entre otras:

  • El resultado del sistema de IA no es efectivo hasta que un humano no lo haya revisado y validado (por ejemplo, la decisión de denegar una solicitud de prestaciones de seguridad social solo podrá adoptarla un ser humano).
  • El resultado del sistema de IA es inmediatamente efectivo, pero se garantiza la intervención humana posterior (por ejemplo, la decisión de denegar una solicitud de tarjeta de crédito puede tramitarse a través de un sistema de IA, pero debe posibilitarse un examen humano posterior).
  • Se realiza un seguimiento del sistema de IA mientras funciona y es posible intervenir en tiempo real y desactivarlo (por ejemplo, un vehículo sin conductor cuenta con un procedimiento o botón de apagado para las situaciones en las que un humano determine que el funcionamiento del vehículo no es seguro).
  • En la fase de diseño, se imponen restricciones operativas al sistema de IA (por ejemplo, un vehículo sin conductor dejará de funcionar en determinadas condiciones de visibilidad reducida en las que los sensores sean menos fiables, o mantendrá una cierta distancia con el vehículo que lo preceda en una situación dada).

          f) Requisitos específicos en el caso de la identificación biométrica remota

La recopilación y el uso datos biométricos (55) para la identificación remota (56), por ejemplo mediante la instalación de sistemas de reconocimiento facial en lugares públicos, entraña riesgos específicos para los derechos fundamentales (57). Las repercusiones de la utilización de sistemas de IA de identificación biométrica remota en los derechos fundamentales pueden variar considerablemente en función del objetivo, el contexto y el alcance de dicho uso.

Las normas de protección de datos de la UE ya prohíben, en principio, el tratamiento de datos biométricos dirigido a identificar de manera unívoca a una persona física, excepto en  condiciones específicas (58). En concreto, con arreglo al RGPD, este tratamiento solo puede tener lugar en un número limitado de situaciones, principalmente por motivos de interés público significativo. En este caso, el tratamiento debe tener lugar sobre la base del Derecho nacional o de la UE, estar sujeto al requisito de proporcionalidad, al respeto del derecho a la protección de los datos y a garantías adecuadas. Con arreglo a la Directiva sobre protección de datos en el ámbito penal, para efectuar dicho tratamiento debe existir una necesidad estricta al respecto; en principio, una autorización de la legislación nacional o de la UE y garantías adecuadas. Puesto que todo tratamiento de datos biométricos dirigido a identificar a una persona física de manera unívoca estaría vinculado con una excepción a una prohibición establecida en la legislación de la UE, dicho tratamiento ha de atenerse a la Carta de Derechos Fundamentales de la UE.

Por consiguiente, de conformidad con las normas vigentes en materia de protección de datos y con la Carta de Derechos Fundamentales de la UE, la IA solo puede utilizarse con fines de identificación biométrica remota cuando dicho uso esté debidamente justificado, sea proporcionado y esté sujeto a garantías adecuadas.

A fin de abordar las posibles preocupaciones sociales con relación al uso de la IA para tales fines en lugares públicos, y con el objetivo de evitar la fragmentación del mercado interior, la Comisión abrirá un debate europeo sobre las circunstancias específicas, si las hubiera, que puedan justificar dicho uso, así como sobre las garantías comunes.

E. DESTINATARIOS

En lo que se refiere a los destinatarios de los requisitos legales que resulten de aplicación en el caso de las aplicaciones de IA de elevado riesgo contempladas anteriormente, existen dos cuestiones fundamentales que deben tenerse en cuenta.

En primer lugar, se plantea la cuestión de cómo repartir las obligaciones entre los agentes económicos que participen en el proceso. Hay numerosas partes involucradas en el ciclo de vida de un sistema de IA. Entre ellas, el desarrollador, el implementador (la persona que utiliza un producto o servicio provisto de IA) y otras partes potenciales (productor, distribuidor o importador, proveedor de servicios, usuario profesional o particular).

La Comisión considera que, en un futuro marco regulador, cada obligación debe dirigirse a la(s) persona(s) que esté(n) en mejor posición para abordar todo posible riesgo. Por ejemplo, mientras que los desarrolladores de IA pueden ser los que estén en mejor posición para abordar los riesgos derivados de la fase de desarrollo, su capacidad de controlar los riesgos durante la fase de uso puede ser más limitada. En este caso, el implementador debe ser objeto de la obligación correspondiente. Ello debe entenderse sin perjuicio de determinar qué parte debe ser responsable de los daños causados, a efectos de la responsabilidad civil ante los usuarios finales u otras partes que sufran daños, y de ofrecer un acceso efectivo a la justicia. Con arreglo a la legislación de la UE sobre responsabilidad con relación a los productos, la responsabilidad civil por los productos defectuosos se atribuye al productor, sin perjuicio de la legislación nacional, que también puede contemplar una indemnización a cargo de otras partes.

En segundo lugar, se plantea la cuestión del alcance geográfico de la intervención legislativa. Según la Comisión, es esencial que todos los agentes económicos que ofrezcan productos o servicios provistos de IA en la UE, independientemente de que estén o no establecidos en la Unión, estén sujetos a los requisitos. De lo contrario, los objetivos de la intervención legislativa, a los que se hacía referencia anteriormente, no podrán alcanzarse plenamente.

F. CUMPLIMIENTO Y EJECUCIÓN

A fin de garantizar que la IA sea fiable y segura y que respete los valores y normas europeos, deben cumplirse en la práctica los requisitos jurídicos aplicables, y las autoridades nacionales y europeas competentes, así como las partes interesadas, deben garantizar su cumplimiento eficazmente. Las autoridades competentes deben ser capaces de investigar los casos particulares y de evaluar su impacto en la sociedad.

En vista del alto riesgo que suponen determinadas aplicaciones de IA para los ciudadanos y nuestra sociedad (véase el apartado A), la Comisión considera en esta fase que sería necesario un control objetivo previo de la conformidad para verificar y garantizar el cumplimiento de algunos de los requisitos obligatorios previamente mencionados por parte de las aplicaciones de elevado riesgo (véase el apartado D). El control previo de la conformidad puede incluir procedimientos de ensayo,

inspección o certificación (59). Puede contar también con controles de los algoritmos y de los conjuntos de datos utilizados en la fase de desarrollo.

Los controles de la conformidad de las aplicaciones de IA de elevado riesgo deben ser parte de los mecanismos de evaluación de la conformidad que ya existen en el caso de un gran número de productos comercializados en el mercado interior de la UE. Cuando ninguno de estos mecanismos existentes sea fiable, puede que sea necesario establecer mecanismos similares, a partir de las mejores prácticas y de la posible aportación de las partes interesadas y de las organizaciones europeas de normalización. Todo nuevo mecanismo debe ser proporcionado y no discriminatorio y utilizar criterios transparentes y objetivos que cumplan con las obligaciones internacionales.

Al diseñar e implantar un sistema que dependa de una evaluación de conformidad previa, debe prestarse especial atención a lo siguiente:

  • Puede que no todos los requisitos enumerados anteriormente se adecúen a una evaluación de conformidad previa. Por ejemplo, el requisito relativo a la información que debe facilitarse no suele prestarse a una verificación compatible con este tipo de evaluación.
  • Debe tenerse especialmente en cuenta la posibilidad de que determinados sistemas de IA evolucionen y aprendan de la experiencia, lo que puede requerir evaluaciones reiteradas a lo largo del ciclo de vida de dichos sistemas.
  • La necesidad de verificar los datos utilizados en el entrenamiento, así como las técnicas, procesos y metodologías de programación y entrenamiento empleados para construir, probar y validar los sistemas de IA.
  • Cuando una evaluación de la conformidad muestre que un sistema de IA no cumple los requisitos, por ejemplo, los relativos a los datos empleados para entrenarlo, los fallos detectados tendrán que ser corregidos mediante, por ejemplo, un nuevo entrenamiento del sistema en la UE de tal manera que se garantice el cumplimiento de todos los requisitos aplicables.

Las evaluaciones de conformidad deben ser de obligado cumplimiento para todos los agentes económicos sujetos a los requisitos, independientemente del lugar en que estén establecidos (60). A fin de limitar la carga para las pymes, puede preverse alguna estructura de apoyo, especialmente mediante los centros de innovación digital. Además, es posible contar con medidas y herramientas especializadas en línea para facilitar el cumplimiento.

Toda evaluación previa de la conformidad debe realizarse sin perjuicio de la supervisión del cumplimiento y de la posterior ejecución por parte de las autoridades nacionales competentes. Este es

el caso de las aplicaciones de IA de riesgo elevado, pero también de otras aplicaciones de IA sujetas a requisitos legales, aunque el elevado riesgo de las aplicaciones en cuestión pueda justificar que las autoridades nacionales competentes presten especial atención a las primeras. Los controles ex post deben facilitarse mediante una adecuada documentación de la aplicación de IA pertinente (véase el apartado E) y, cuando proceda, ofreciendo la posibilidad de que terceros (como las autoridades competentes) prueben dichas aplicaciones. Ello puede resultar especialmente importante cuando surjan riesgos para los derechos fundamentales que dependan del contexto. Este control del cumplimiento debe ser parte de un sistema de vigilancia constante del mercado. Los aspectos relativos a la gobernanza se tratan más detalladamente en el apartado H.

Además, en el caso de las aplicaciones de IA de riesgo elevado y de otras aplicaciones de IA, debe garantizarse una acción judicial efectiva para las partes que hayan sufrido repercusiones negativas derivadas de los sistemas de IA. Las cuestiones relativas a la responsabilidad civil se tratan más detalladamente en el informe sobre el marco de seguridad y responsabilidad civil, adjunto al presente Libro Blanco.

G. SISTEMA DE ETIQUETADO VOLUNTARIO PARA LAS APLICACIONES QUE NO SE CONSIDERAN DE RIESGO ELEVADO

En el caso de las aplicaciones de IA que no se consideren de riesgo elevado (véase el apartado C) y que, por tanto, no estén sujetas a los requisitos obligatorios esbozados (véanse los apartados D, E y F), existe la opción de establecer un sistema de etiquetado voluntario, además de la legislación aplicable.

Con este sistema, los agentes económicos interesados que no estén sujetos a los requisitos obligatorios pueden optar por someterse, con carácter voluntario, bien a dichos requisitos, bien a un conjunto de requisitos similares, creados de manera específica a los efectos del sistema voluntario. Los agentes económicos interesados obtendrán entonces una etiqueta de calidad para sus aplicaciones de IA.

La etiqueta voluntaria permitirá a los agentes económicos interesados mostrar que los productos y servicios provistos de IA que ofrecen son fiables. Además, permitirá a los usuarios distinguir fácilmente si los productos y servicios en cuestión respetan ciertos referentes objetivos y normalizados a escala de la UE, que van más allá de las obligaciones legales aplicables normalmente. Ello contribuirá a incrementar la confianza de los usuarios en los sistemas de IA y fomentará una adopción generalizada de esta tecnología.

Esta opción conlleva la creación de un nuevo instrumento jurídico para establecer un marco de etiquetado voluntario para los desarrolladores y/ o implementadores de los sistemas de IA que no se consideren de alto riesgo. Si bien la participación en el sistema de etiquetado debe ser voluntaria, una vez que el desarrollador o implementador opte por usar la etiqueta, todos los requisitos serán vinculantes. La combinación de estas imposiciones ex ante y ex post debe garantizar que se cumplan todos los requisitos.

H. GOBERNANZA

Se requiere una estructura de gobernanza europea sobre IA en forma de un marco para la cooperación de las autoridades nacionales competentes, a fin de evitar la fragmentación de responsabilidades, incrementar las capacidades de los Estados miembros y garantizar que Europa se provea a sí misma de la capacidad necesaria para probar y certificar los productos y servicios provistos de IA. En este contexto, conviene respaldar a las autoridades nacionales competentes para que puedan cumplir su mandato cuando se utilice la IA.

La estructura de gobernanza europea puede desempeñar diversas funciones, como la de foro para el intercambio periódico de información y mejores prácticas, la detección de tendencias emergentes y el asesoramiento sobre la actividad de normalización y sobre la certificación. Además, debe desempeñar un papel clave a la hora de facilitar la ejecución del marco jurídico, por ejemplo, mediante la formulación de orientaciones, emitiendo dictámenes y compartiendo sus conocimientos técnicos. Para ello, debe apoyarse en una red de autoridades nacionales, así como en redes sectoriales y autoridades reguladoras, tanto a escala nacional como de la UE. Además, un comité de expertos puede prestar asistencia a la Comisión.

La estructura de gobernanza debe garantizar la mayor participación de partes interesadas posible. Debe consultarse a las partes interesadas (organizaciones de consumidores e interlocutores sociales, empresas, investigadores y organizaciones de la sociedad civil) sobre la aplicación y futuro desarrollo del marco.

Dadas las estructuras vigentes en ámbitos como el financiero, el farmacéutico, el de la aviación, el de los productos sanitarios, el de la protección de los consumidores o el de la protección de datos, la estructura de gobernanza propuesta no debe duplicar funciones existentes. Por el contrario, debe establecer vínculos estrechos con otras autoridades competentes nacionales y de la UE en los distintos sectores, a fin de completar los conocimientos técnicos y de ayudar a las autoridades actuales a controlar y supervisar las actividades de los agentes económicos en lo que respecta a los sistemas de IA y los productos y servicios provistos de IA.

Finalmente, si se opta por esto, el desarrollo de las evaluaciones de conformidad podrá encomendarse a organismos notificados designados por los Estados miembros. Los centros de ensayo deben facilitar la auditoría y evaluación independientes de los sistemas de IA, de acuerdo con los requisitos expuestos anteriormente. Las evaluaciones independientes incrementarán la confianza y garantizarán la objetividad. También pueden facilitar el trabajo de las autoridades competentes.

La UE dispone de excelentes centros de ensayo y evaluación y debe desarrollar sus capacidades también en el ámbito de la IA. Los agentes económicos establecidos en terceros países que deseen acceder al mercado interior pueden recurrir tanto a los organismos designados establecidos en la UE como a organismos de terceros países designados para llevar a cabo dicha evaluación, previo acuerdo de reconocimiento mutuo con terceros países.

La estructura de gobernanza relativa a la IA y las posibles evaluaciones de la conformidad que se tratan en el presente documento deben mantener inalteradas las competencias y responsabilidades derivadas del Derecho vigente de la UE en lo que se refiere a las autoridades competentes en sectores o cuestiones específicos (financiero, farmacéutico, aviación, productos sanitarios, protección de los consumidores, protección de datos, etc.).

6. CONCLUSIÓN

La inteligencia artificial es una tecnología estratégica que ofrece numerosas ventajas a los ciudadanos, las empresas y la sociedad en su conjunto, siempre y cuando sea antropocéntrica, ética y sostenible y respete los derechos y valores fundamentales. La IA aporta importantes mejoras de la eficiencia y la productividad que pueden reforzar la competitividad de la industria europea y mejorar el bienestar de los ciudadanos. También puede contribuir a encontrar soluciones a algunos de los problemas sociales más acuciantes, como la lucha contra el cambio climático y la degradación medioambiental, los retos relacionados con la sostenibilidad y los cambios demográficos, la protección de nuestras democracias y, cuando sea necesario y proporcionado, la lucha contra la delincuencia.

Para que Europa aproveche plenamente las oportunidades que ofrece la IA, debe desarrollar y reforzar las capacidades industriales y tecnológicas necesarias. Tal como se establece en la Estrategia Europea de Datos adjunta, ello también requiere de medidas que permitan a la UE convertirse en un centro de datos mundial.

El enfoque europeo sobre la IA aspira a promover la capacidad de innovación de Europa en el sector de la IA, e incentiva el desarrollo y la adopción de una IA ética y fiable en toda la economía de la UE. La IA debe estar al servicio de las personas y ser una fuerza positiva para la sociedad.

Con el presente Libro Blanco y el informe sobre el marco de seguridad y responsabilidad civil adjunto, la Comisión pone en marcha una amplia consulta de la sociedad civil, la industria y el mundo académico de los Estados, para que ofrezcan propuestas concretas en torno a un enfoque europeo sobre la IA. Ambos prevén medios estratégicos para incentivar las inversiones en investigación e innovación, reforzar el desarrollo de habilidades y respaldar la adopción de la IA por parte de las pymes, y ofrecen propuestas en relación con los elementos clave para un futuro marco regulador. Esta consulta permitirá desarrollar un diálogo amplio con todas las partes interesadas que servirá de base a los siguientes pasos que dé la Comisión.

La Comisión invita a que se envíen observaciones sobre las propuestas recogidas en el Libro Blanco mediante una consulta pública abierta disponible en https://ec.europa.eu/info/consultations_es. La consulta será accesible hasta el 19 de mayo de 2020.

Es práctica habitual de la Comisión publicar los comentarios recibidos en respuesta a una consulta pública. Sin embargo, se puede solicitar que los comentarios o ciertas partes de los mismos sean confidenciales. De ser así, indique claramente en la portada de su documento que no deben hacerse públicos y remita también una versión no confidencial a la Comisión para su publicación

——————————————————————————————————————–

(1) Inteligencia artificial para Europa [COM(2018) 237 final].

(2) https://ec.europa.eu/commission/sites/beta-political/files/political-guidelines-next-commission_es.pdf

(3) COM(2020) 66 final.

(4) La inteligencia artificial y la digitalización en general son motores clave de las ambiciones contempladas en el Pacto Verde Europeo. No obstante, se estima que la huella medioambiental actual del sector de las TIC se sitúa por encima del 2 % del conjunto de emisiones mundiales. La Estrategia Digital Europea que acompaña al presente Libro Blanco propone medidas de transformación ecológica para el sector digital.

(5) Las herramientas de inteligencia artificial pueden ofrecer una oportunidad para proteger mejor a los ciudadanos de la UE de la delincuencia y los actos de terrorismo. Este tipo de herramientas podrían, por ejemplo, ayudar a detectar propaganda terrorista en línea, descubrir transacciones sospechosas en la venta de productos peligrosos, detectar objetos peligrosos ocultos o productos y sustancias ilícitos, ofrecer asistencia a los ciudadanos en situaciones de emergencia y servir de orientación al personal de primera intervención.

(6) COM(2019) 640 final.

(7) Aunque puede que se requieran medidas adicionales para evitar y combatir el uso abusivo de la inteligencia artificial con fines delictivos, se trata de una cuestión independiente del ámbito del presente Libro Blanco.

(8) COM(2019) 168.

(9) Por delante de Japón (30 %) y los EE. UU. (28 %). Fuente: CapGemini (2019).

(10) «10 imperatives for Europe in the age of AI and automation», McKinsey, 2017.

(11) COM(2018) 795.

(12) IDC (2019).

(13) Gartner (2017).

(14) Por soluciones neuromórficas se entiende todo sistema de muy gran escala compuesto por circuitos integrados que imitan la arquitectura neuronal biológica  del sistema nervioso.

(15) Los ordenadores cuánticos tendrán la capacidad de procesar en fracciones de segundos conjuntos de datos mucho más amplios y numerosos que los ordenadores de mayor rendimiento de la actualidad, lo que permitirá el desarrollo de nuevas aplicaciones de IA en los distintos sectores.

(16) Inteligencia artificial para Europa [COM(2018) 237].

(17) Plan coordinado sobre la inteligencia artificial [COM(2018) 795].

(18) COM(2018) 237.

(19) El futuro Fondo Europeo de Defensa y la Cooperación Estructurada Permanente (CEP) también ofrecerán oportunidades de investigación y desarrollo en el ámbito de la inteligencia artificial. Estos proyectos  deben sincronizarse con los programas civiles de inteligencia artificial más generales de la UE.

(20)  https://ec.europa.eu/jrc/en/publication/academic-offer-and-demand-advanced-profiles-eu.

(21) ec.europe.eu/digital-single-market/en/news/digital-innovation-hubs-helping-companies-across-economy-make-most- digital-opportunities.

(22) www.Ai4eu.eu.

(23) https://europa.eu/investeu/home_es.

(24) Fáciles de encontrar, accesibles, interoperables y reutilizables, tal como se contempla en el informe final y el Plan de Acción del Grupo de Expertos en datos FAIR de la Comisión, de 2018 (https://ec.europa.eu/info/sites/info/files/turning_fair_into_reality_1.pdf).

(25) https://www.oecd.org/going-digital/ai/principles/.

(26) En el marco del Instrumento de Asociación, la Comisión financiará un proyecto de 2,5 millones EUR que facilitará la cooperación con socios de mentalidad similar, a fin de promover las directrices éticas en materia de IA de la UE y de adoptar principios y conclusiones operativas.

(27) Presidenta von der Leyen, «Una Unión que se esfuerza por lograr más resultados. Mi agenda para Europa», página 17.

(28) COM(2018) 237.

(29) COM(2018) 795.

(30) https://ec.europa.eu/futurium/en/ai-alliance-consultation/guidelines#Top.

(31) COM(2019) 168.

(32) Como la ciberseguridad, los problemas vinculados a las aplicaciones de IA en infraestructuras clave, o el uso malintencionado de la IA.

(33) Según el trabajo de investigación del Consejo de Europa, un gran número de derechos fundamentales podría verse afectado por el uso de la IA (https://rm.coe.int/algorithms-and-human-rights-en-rev/16807956b5).

(34) El Reglamento General de Protección de Datos y la Directiva sobre la privacidad y las comunicaciones electrónicas (nuevo Reglamento sobre la privacidad y las comunicaciones electrónicas en fase de negociación) aborda estos riesgos, aunque puede que sea necesario examinar si los sistemas de IA plantean riesgos adicionales. La Comisión supervisará y evaluará la aplicación del RGPD de manera continuada.

(35) El Comité consultivo para la igualdad de oportunidades entre mujeres y hombres de la Comisión está preparando en la actualidad un dictamen sobre la inteligencia artificial, que analiza, entre otras cuestiones, las repercusiones de esta última en la igualdad de género, y cuya adopción por el Comité está prevista a principios de 2020. La Estrategia de la UE para la igualdad de género 2020-2024 también aborda el vínculo entre la IA y la igualdad de género. La red europea de organismos para la igualdad (Equinet) publicará un informe (de Robin Allen y Dee Masters) titulado «La regulación de la IA: el nuevo papel de los organismos para la igualdad. Cómo hacer frente a los retos en materia de igualdad y no discriminación derivados de la mayor digitalización y uso de la IA», previsto para principios de 2020.

(36) Un ejemplo pueden ser los relojes de pulsera inteligentes para niños. Es posible que este producto no cause daños directos a quienes lo utilizan, pero si no se prevé un nivel mínimo de seguridad, puede convertirse fácilmente en una herramienta de acceso al niño. Es posible que las autoridades encargadas de supervisar el mercado tengan dificultades para intervenir en casos en los que el riesgo no esté vinculado al producto en sí mismo.

(37) Finalmente, en el informe de la Comisión adjunto al presente Libro Blanco, se analizan las repercusiones de la inteligencia artificial, el internet de las cosas y otras tecnologías digitales para la normativa en materia de seguridad y responsabilidad civil.

(38) El marco jurídico de la UE sobre la seguridad de los productos lo componen la Directiva sobre seguridad general de los productos (Directiva 2001/95/CE), a modo de red de seguridad, y varias normas sectoriales que engloban distintas categorías de productos, que van desde las máquinas, los aviones y los vehículos, hasta los juguetes y los productos sanitarios, destinadas a ofrecer un alto nivel de salud y seguridad. La legislación sobre responsabilidad civil por los productos la completan distintos sistemas responsabilidad civil por los daños ocasionados por los productos o servicios.

(39) Directiva 2000/43/CE.

(40) Directiva 2000/78/CE.

(41) Directiva 2004/113/CE; Directiva 2006/54/CE.

(42) Como la Directiva sobre las prácticas comerciales desleales (Directiva 2005/29/CE) y la Directiva sobre los derechos de los consumidores (Directiva 2011/83/CE).

(43) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos.

(44) Directiva (UE) 2019/882, sobre los requisitos de accesibilidad de los productos y servicios.

(45) Por ejemplo, de acuerdo con el Reglamento sobre los productos sanitarios [Reglamento (UE) 2017/745], los programas informáticos destinados a fines médicos por el fabricante se consideran productos sanitarios.

(46) COM(2018) 237 final, p. 1: «El término “inteligencia artificial” (IA) se aplica a los sistemas que manifiestan un comportamiento inteligente, pues son capaces de analizar su entorno y pasar a la acción —con cierto grado de autonomía— con el fin de alcanzar objetivos específicos.

Los sistemas basados en la IA pueden consistir simplemente en un programa informático (p. ej. asistentes de voz, programas de análisis de imágenes, motores de búsqueda, sistemas de reconocimiento facial y de voz), pero la IA también puede estar incorporada en dispositivos de hardware (p. ej. robots avanzados, automóviles autónomos, drones o aplicaciones del internet de las cosas)».

(47) Según la definición del grupo de expertos de alto nivel, p. 8: Los sistemas de inteligencia artificial (IA) son programas informáticos (y posiblemente también equipos informáticos) diseñados por seres humanos que, dado un objetivo complejo, actúan en la dimensión física o digital mediante la percepción de su entorno mediante la adquisición de datos, la interpretación de los datos estructurados o no estructurados, el razonamiento sobre el conocimiento o el tratamiento de la información, fruto de estos datos y la decisión de las mejores acciones que se llevarán a cabo para alcanzar el objetivo fijado.

(48) Por ejemplo, las consideraciones de seguridad y las implicaciones jurídicas son distintas en el caso de los sistemas de IA que ofrecen información médica especializada a los médicos, los sistemas de IA que ofrecen información médica al paciente y los sistemas de IA que ofrecen por sí solos prestaciones médicas al paciente directamente. La Comisión está examinando estos retos de seguridad y responsabilidad civil, que son distintos de la asistencia sanitaria.

(49) Puede que la legislación de la UE ofrezca categorías de «riesgos» distintas a las que se presentan aquí, en función del sector, como sucede, por ejemplo, en el caso de la seguridad de los productos.

(50) El sector público debe incluir ámbitos como el asilo, la migración, los controles fronterizos y el poder judicial, la seguridad social y los servicios de empleo.

(51) Cabe destacar que también otros ámbitos de la legislación de la UE pueden resultar de aplicación. Por ejemplo, cuando las aplicaciones de IA se integren en un producto de consumo, puede que su seguridad esté sujeta a la Directiva sobre seguridad general de los productos.

(52) La identificación biométrica remota debe distinguirse de la autenticación biométrica (esta última es un procedimiento de seguridad que se basa en las características biológicas exclusivas de una persona para comprobar que es quien dice ser). La identificación biométrica remota consiste en determinar la identidad de varias personas con la ayuda de identificadores biométricos (huellas dactilares, imágenes faciales, iris, patrones vasculares, etc.) a distancia, en un espacio público y de manera continuada o sostenida contrastándolos con datos almacenados en una base de datos.

(53) Por ejemplo, información sobre el algoritmo, especialmente sobre qué debe mejorar el modelo, qué importancia se asigna a ciertos parámetros desde el principio, etc.

(54)  En concreto, de acuerdo con el artículo 13, apartado 2, letra f) del RGPD, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales,  la información necesaria sobre la existencia de decisiones automatizadas y determinada información adicional, a fin de garantizar un tratamiento de datos leal y transparente.

(55) Por «datos biométricos» se entienden los «datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos [huella dactilar]» [artículo 3, apartado 13 de la Directiva sobre protección de datos en el ámbito penal; artículo 4, apartado 14, del RGPD; artículo 3, apartado 18, del Reglamento (UE) 2018/1725].

(56) En lo que se refiere al reconocimiento facial, por «identificación» se entiende que la plantilla de la imagen facial de una persona se compara con otras muchas plantillas almacenadas en una base de datos para averiguar si su imagen está almacenada en ella. La «autenticación» (o «verificación»), por su parte, se refiere habitualmente a la búsqueda de correspondencias entre dos plantillas concretas. Permite la comparación de dos plantillas biométricas que, en principio, se supone que pertenecen a la misma persona; así, las dos plantillas se comparan para determinar si la persona de las dos imágenes es la misma. Este procedimiento se emplea, por ejemplo, en las puertas de control automatizado de fronteras empleadas en los controles fronterizos de los aeropuertos.

(57) Por ejemplo, la dignidad de las personas. Con relación a este aspecto, los derechos al respeto de la vida privada y a la protección de los datos personales son parte primordial de la preocupación en torno a los derechos fundamentales cuando se utiliza la tecnología de reconocimiento facial. Tiene, además, un efecto fundamental en el derecho a la no discriminación y los derechos de grupos específicos, como los niños, las personas mayores o las personas con discapacidad. Además, no deben socavarse los derechos de expresión, asociación y reunión mediante el uso de esta tecnología. Véase: «La tecnología del reconocimiento facial: consideraciones relativas a los derechos fundamentales en el marco de la aplicación de las leyes» (en inglés)  https://fra.europa.eu/en/publication/2019/facial-recognition.

(58) Artículo 9 del RGPD y artículo 10 de la Directiva sobre protección de datos en el ámbito penal. Véase también el artículo 10 del Reglamento (UE) 2018/1725 (aplicable a las instituciones y organismos de la UE).

(59) El sistema debe basarse en los procedimientos de evaluación de la conformidad de la UE —véase la Decisión nº 768/2008/CE o el Reglamento (UE) 2019/881 (Reglamento sobre ciberseguridad)—, teniendo en cuenta las especificidades de la IA. Véase la «Guía azul» sobre la aplicación de la normativa europea relativa a los productos, de 2014.

(60) En lo que se refiere a la estructura de gobernanza pertinente, como los organismos designados para llevar a cabo las evaluaciones de conformidad, véase el apartado H.

25Oct/20

COM 2020/67 final, de 19 de febrero de 2020

COM 2020/67 final, de l9 de febrero de 2020. Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico  y Social Europeo y al Comité de las Regiones. Configurar el futuro digital de Europa

Configurar el futuro digital de Europa

1.Introducción

Las tecnologías digitales están cambiando profundamente nuestra vida cotidiana y nuestra forma de trabajar y hacer negocios, así como la manera en que viajamos, nos comunicamos y nos relacionamos. La comunicación digital, la interacción a través de las redes sociales, el comercio electrónico y las empresas digitales están modificando continuamente nuestro mundo. Generan un volumen cada vez mayor de datos que, si se ponen en común y se utilizan, pueden generar medios y niveles de creación de valor completamente nuevos. Se trata de una transformación tan fundamental como la causada por la revolución industrial.

En sus orientaciones políticas, la presidenta de la Comisión, Ursula von der Leyen, destacó la necesidad de que Europa lidere la transición hacia un planeta sano y un nuevo mundo digital. Este doble reto de la transformación digital y ecológica debe afrontarse simultáneamente. Requiere, como se expone en el Pacto Verde Europeo, un cambio inmediato de orientación hacia soluciones más sostenibles, que sean eficientes en el uso de los recursos, circulares y climáticamente neutras. Exige que todos los ciudadanos, trabajadores y empresarios, disfruten en pie de igualdad, dondequiera que vivan, de la posibilidad de beneficiarse de una sociedad cada vez más digitalizada.

Las soluciones digitales, como los sistemas de comunicación, la inteligencia artificial o las tecnologías cuánticas, pueden enriquecer nuestras vidas de muchas maneras. Pero los beneficios derivados de las tecnologías digitales no están exentos de riesgos y costes. Los ciudadanos sienten que ya no controlan lo que sucede con sus datos personales y se ven cada vez más sobrecargados por llamadas artificiales de atención. Y una ciberactividad maliciosa puede poner en peligro nuestro bienestar personal o perturbar nuestras infraestructuras críticas e intereses de seguridad más amplios.

Esta transformación social sustantiva exige una profunda reflexión a todos los niveles sociales sobre la manera en que Europa puede y podrá hacer frente mejor a estos riesgos y desafíos. Demandará un esfuerzo enorme, pero Europa tiene sin duda los medios para construir este mejor futuro digital para todos.

2. Nuestra visión y nuestros objetivos

La Comisión quiere una sociedad europea potenciada por soluciones digitales que estén firmemente arraigadas en nuestros valores comunes y que enriquezcan la vida de todos: toda persona debe tener la oportunidad de prosperar, elegir libremente y con seguridad y participar en la sociedad, con independencia de su edad, género o extracción profesional. Las empresas necesitan un marco que les permita nacer, crecer, compartir y utilizar datos, innovar y competir o cooperar en condiciones equitativas. Europa necesita poder elegir y llevar a cabo la transformación digital a su manera.

La soberanía tecnológica europea empieza por garantizar la integridad y la resiliencia de nuestra infraestructura de datos, redes y comunicaciones. Exige crear las condiciones adecuadas para que Europa se desarrolle y despliegue sus propias capacidades fundamentales, reduciendo así nuestra dependencia respecto de otras partes del mundo para las tecnologías más cruciales. Estas capacidades reforzarán la competencia europea para definir sus propias normas y valores en la era digital. La soberanía tecnológica europea no se define contra nadie, se centra en las necesidades de los europeos y del modelo social europeo. La UE permanecerá abierta a quien esté dispuesto a respetar las normas y a cumplir los estándares europeos, independientemente de su lugar de establecimiento.

Los ciudadanos deben estar capacitados para tomar mejores decisiones basadas en los conocimientos extraídos de los datos no personales. Y esos datos deber estar a disposición de todos, ya sean entes públicos o privados, grandes o pequeños, de nueva creación o gigantes. Esto ayudará a la sociedad a aprovechar al máximo la innovación y la competencia, y garantizará que todos se beneficien del dividendo digital. Esta Europa digital debe reflejar lo mejor de Europa: una sociedad abierta, justa, diversa, democrática y segura de sí misma.

Durante los próximos cinco años, la Comisión se concentrará en tres objetivos fundamentales para garantizar que las soluciones digitales ayuden a Europa a proseguir su propio camino hacia una transformación digital al servicio de las personas mediante el respeto de nuestros valores. También pondrá a Europa en condiciones de marcar tendencia en el debate mundial.

  • La tecnología al servicio de las personas: el desarrollo, despliegue y asimilación de tecnologías que supongan una diferencia real para la vida cotidiana de las personas. Una economía fuerte y competitiva que domine y configure la tecnología de una manera que respete los valores europeos.
  • Una economía justa y competitiva: un mercado único sin fricciones, en el que las empresas, de todos los tamaños y de cualquier sector, puedan competir en igualdad de condiciones y desarrollar, comercializar y utilizar tecnologías, productos y servicios digitales a una escala que potencie su productividad y competitividad a nivel mundial, y en el que los consumidores puedan confiar en que se respeten sus derechos.
  • Una sociedad abierta, democrática y sostenible: un entorno fiable en el que los ciudadanos estén capacitados para actuar e interactuar, y tengan el control de los datos que facilitan, tanto en línea como fuera de línea. Una vía europea hacia la transformación digital que refuerce nuestros valores democráticos, respete nuestros derechos fundamentales y contribuya a una economía sostenible, climáticamente neutra y eficiente en el uso de los recursos.

Para que Europa influya realmente en la forma en que se desarrollan y utilizan las soluciones digitales a escala mundial, debe ser un agente digital fuerte, independiente y resuelto, por derecho propio. Con el fin de lograr este objetivo, es necesario disponer de un marco claro que fomente unas interacciones digitales fiables de toda la sociedad, tanto de los ciudadanos como de las empresas. Sin este énfasis en la fiabilidad, el proceso vital de transformación digital no puede prosperar.

Crear una Europa apta para la era digital es un rompecabezas complejo cuyas numerosas piezas están acopladas unas a otras: como en cualquier rompecabezas, la imagen completa solo se puede ver cuando se han ensamblado todas las piezas. En las secciones siguientes se describe cómo piensa la Comisión completar este rompecabezas y convertir su visión en realidad.

A.- Tecnología al servicio de las personas

Europa tiene una larga y fructuosa historia de tecnología y creatividad. Es más fuerte cuando actúa al unísono y aúna las fuerzas de la UE y sus Estados miembros, cuando cuenta con la participación de las regiones y los municipios, el mundo académico, la sociedad civil, las instituciones financieras, las industrias y las empresas sociales. Europa necesita poner en común sus inversiones en investigación e innovación, compartir experiencias y cooperar entre países. Los recientes acuerdos de cooperación en ámbitos como la supercomputación y la microelectrónica han demostrado que la colaboración puede ser muy eficaz. Habrá iniciativas similares en ámbitos clave de la próxima oleada de tecnologías innovadoras. Promover la transformación digital de las administraciones públicas en toda Europa también es crucial en este sentido.

Europa debe invertir más en las capacidades estratégicas que nos permitan desarrollar y utilizar soluciones digitales a escala y procurar la interoperabilidad de las infraestructuras digitales fundamentales, como las redes 5G (y futuras 6G) ampliadas y las tecnologías profundas (1). Por poner un solo ejemplo: la conectividad es el elemento más importante de la transformación digital. Es lo que permite que los datos fluyan, que las personas colaboren dondequiera que estén y que conecten más objetos a Internet, transformando la fabricación, la movilidad y las cadenas logísticas. La conectividad de Gigabit (2), alimentada con infraestructuras seguras de fibra y 5G, resulta vital para aprovechar el potencial de crecimiento digital europeo. Para ello, son necesarias inversiones adecuadas a nivel de la UE, nacional y regional con el fin de alcanzar los objetivos de conectividad de la UE para 2025 (3).

El nuevo marco financiero plurianual de la UE contribuirá a estos objetivos. Se pretende lograr una mayor y mejor capacidad estratégica allí donde es importante, a través de programas de financiación específicos (4) y recurriendo a la Garantía InvestEU y a los fondos estructurales y de desarrollo rural (5). Esta financiación pública debe utilizarse para dinamizar la inversión privada, ya que solo juntos podremos colmar las lagunas de inversión. La Unión de Mercados de Capitales facilitará el acceso de empresas innovadoras y de alta tecnología a la financiación de mercado en toda la UE. Por lo tanto, debemos garantizar que exista una amplia gama de instrumentos de capital privado y público para financiar la innovación digital.

Europa necesita invertir en conectividad, tecnología profunda y capital humano, así como en infraestructuras energéticas y de transporte inteligentes. Solo en infraestructura y redes digitales, la UE tiene un déficit de inversión de 65 000 millones de euros anuales (6). La realización de reformas, el aumento de las inversiones en Investigación y Desarrollo y el despliegue tecnológico podrían generar un 14 % de crecimiento acumulado adicional del PIB para 2030. Actuar con rapidez (por ejemplo, aumentando las inversiones y adoptando medidas antes de 2022 en lugar de hacerlo antes de 2025) supondría un aumento adicional del 3,2 % del PIB y la creación de empleo de aquí a 2030 (7). Se trata de un impulso socioeconómico que Europa no puede permitirse desaprovechar.

Sin embargo, invertir en innovación solo resuelve una de las caras del problema. La verdadera transformación digital debe partir de la confianza de las empresas y los ciudadanos europeos en que sus aplicaciones y productos son seguros. Cuanto más interconectados estamos, más vulnerables somos a la ciberactividad maliciosa. Para hacer frente a esta amenaza creciente, debemos trabajar juntos en todas las fases: establecer normas coherentes para las empresas y mecanismos más sólidos para el intercambio proactivo de información; garantizar la cooperación operativa entre los Estados miembros y entre la UE y los Estados miembros; crear sinergias entre la ciberresiliencia civil y las dimensiones de seguridad y defensa de la legislación en materia de ciberseguridad (8); garantizar que las autoridades policiales y judiciales puedan trabajar eficazmente mediante el desarrollo de nuevas herramientas para su uso contra los ciberdelincuentes y, por último, pero no por ello menos importante, concienciar a los ciudadanos de la UE en materia de ciberseguridad (9).

Sentirse seguro y protegido no es solo una cuestión de ciberseguridad. Los ciudadanos necesitan poder confiar en la propia tecnología y en el modo en que se utiliza. Esto resulta especialmente importante cuando se trata de la inteligencia artificial. A este respecto, la Comisión Europea se dispone a presentar un Libro Blanco sobre la creación de ecosistemas de excelencia y confianza en el ámbito de la IA, basado en los valores europeos.

La mejora de la educación y las capacidades constituye una parte fundamental de la visión general de la transformación digital en Europa. Las empresas europeas necesitan empleados con destreza digital para prosperar en un mercado mundial impulsado por la tecnología. A su vez, los trabajadores necesitan competencias digitales para tener éxito en un mercado de trabajo cada vez más digitalizado y en rápida evolución (10). Más mujeres pueden y deben tener carreras gratificantes en el ámbito tecnológico, y la tecnología europea necesita beneficiarse de las capacidades y competencias de las mujeres.

Sin embargo, la necesidad de competencias digitales va mucho más allá del mercado de trabajo. Dado que las tecnologías digitales impregnan nuestra vida profesional y privada, el hecho de contar al menos con una alfabetización y unas competencias digitales básicas se ha convertido en una condición previa para participar de manera efectiva en la sociedad actual.

A medida que se automaticen más procesos, la digitalización irá provocando cambios fuera del sector tecnológico. Numerosas ocupaciones sufrirán una transformación integral. La transición digital debe ser justa y equitativa, y alentar a las mujeres a participar plenamente en ella. Los interlocutores sociales tienen un papel crucial que desempeñar en este contexto. Al mismo tiempo, promover la innovación y la difusión tecnológica supone un requisito previo para generar una buena calidad de vida, crear oportunidades de empleo y cerrar las brechas de participación existentes, en particular en las zonas rurales y aisladas que padecen de envejecimiento y despoblación.

También están surgiendo nuevos desafíos relacionados con las condiciones de trabajo. El creciente número de plataformas en línea ha creado nuevas oportunidades para obtener ingresos, entrar o permanecer en el mercado laboral. Al mismo tiempo, plantea nuevos interrogantes con respecto a la protección legal de aquellas personas que no tienen el estatus de trabajador, pero que comparten algunas de las vulnerabilidades de los trabajadores. Por lo tanto, la Comisión propondrá una mejora del marco aplicable a los trabajadores de las plataformas.

Acciones clave

– El Libro Blanco sobre la inteligencia artificial, que establece las opciones para un marco legislativo aplicable a una IA fiable (adoptado junto con la presente Comunicación) y un seguimiento en materia de seguridad, responsabilidad, derechos fundamentales y datos (cuarto trimestre de 2020).

– Creación y despliegue de capacidades digitales conjuntas de vanguardia en los ámbitos de la inteligencia artificial, la cibercomputación, la supercomputación y la informática cuántica, la comunicación cuántica y la cadena de bloques. Estrategias europeas sobre la informática cuántica y la cadena de bloques (segundo trimestre de 2020), así como un Reglamento EuroHPC (11) revisado sobre la supercomputación.

– Aceleración de las inversiones en la conectividad de Gigabit en Europa mediante una revisión de la Directiva sobre la reducción de los costes de la banda ancha (12), un plan de acción actualizado en materia de 5G y 6G y un nuevo programa de política del espectro radioeléctrico (2021). Se desplegarán corredores de 5G para una movilidad conectada y automatizada, en particular corredores ferroviarios (2021-2030) (2021-2023).

– Una estrategia europea de ciberseguridad, incluida la creación de una unidad conjunta de ciberseguridad, una revisión de la Directiva sobre seguridad de las redes y los sistemas de información (13) y un impulso al mercado único de la ciberseguridad.

– Un Plan de acción sobre la educación digital para potenciar la alfabetización y las competencias digitales en todos los niveles educativos (segundo trimestre de 2020).

– Refuerzo de la Agenda de Capacidades, para potenciar las competencias digitales en toda la sociedad, y de la Garantía Juvenil, para hacer especial hincapié en las capacidades digitales en las transiciones profesionales tempranas (segundo trimestre de 2020).

– Una iniciativa para mejorar las condiciones laborales de los trabajadores de las plataformas (2021).

– Refuerzo de la Estrategia de interoperabilidad de las administraciones públicas de la UE para garantizar su coordinación y unas normas comunes para unos flujos de datos y servicios seguros y sin fronteras (2021).

B.- Una economía equitativa y competitiva

En un mundo cada vez más pequeño, en el que la tecnología está cobrando importancia, Europa necesita seguir actuando y decidiendo de forma independiente, y reducir su excesiva dependencia de las soluciones digitales creadas en otros lugares.

Para el desarrollo de muchos productos y servicios, es necesario que los datos estén ampliamente disponibles y sean de fácil acceso, utilización y tratamiento. Los datos se han convertido en un factor clave de la producción, y el valor que crean tiene que ser compartido con toda la sociedad que contribuye a facilitarlos. Esta es la razón por la que necesitamos construir un verdadero mercado único europeo de datos: un espacio europeo de datos basado en normas y valores europeos.

Muchas empresas europeas, especialmente las pymes, han tardado en adoptar soluciones digitales y, por lo tanto, no se han beneficiado de ellas y han desaprovechado oportunidades de expansión. La Comisión intentará resolver este problema con una nueva Estrategia industrial de la UE, que definirá acciones para facilitar la transición hacia una industria de la UE más digital, limpia, circular y competitiva a escala mundial. También incluirá una estrategia para las pymes, una parte vital de la economía europea, que a menudo se ven obstaculizadas por la falta de capacidades y de acceso a la financiación y a los mercados.

Para nacer y crecer en Europa, las pymes necesitan un mercado único sin fricciones, sin el corsé de normativas nacionales o locales divergentes que aumenten las cargas administrativas de las empresas más pequeñas, en particular. Necesitan unas normas claras y proporcionadas que se apliquen de manera eficiente y uniforme en toda la UE y que les abran un mercado doméstico inmensamente poderoso desde el que dar el salto a la escena mundial.

En la era digital, garantizar unas condiciones de competencia equitativas para las empresas, grandes y pequeñas, es más importante que nunca. Esto supone que las normas aplicables fuera del mundo digital, desde las normas de competencia y del mercado único o la protección de los consumidores hasta la propiedad intelectual, la fiscalidad y los derechos de los trabajadores, también deben aplicarse al mundo digital. Los consumidores deben poder confiar en los productos y servicios digitales como en otros cualesquiera. Es necesario atender a los consumidores más vulnerables y garantizar que las leyes de seguridad se apliquen también a los productos originarios de terceros países. Algunas plataformas han adquirido una escala significativa que les permite actuar como guardianes privados de los mercados, los clientes y la información. Debemos garantizar que el papel sistémico de determinadas plataformas digitales y el poder de mercado que adquieran no pongan en peligro la equidad y la apertura de nuestros mercados.

En lo que se refiere específicamente al Derecho de la competencia de la UE, sus fundamentos son tan importantes para el sector digital como para las industrias tradicionales. La legislación de la UE en materia de competencia redunda en beneficio de Europa al contribuir a la igualdad de condiciones en los mercados al servicio de los consumidores. Al mismo tiempo, es importante que las normas de competencia sigan estando adaptadas a un mundo cambiante, que es cada vez más digital y debe ser más ecológico. Teniendo esto presente, la Comisión está reflexionando actualmente sobre la eficacia en la aplicación de las normas vigentes, por ejemplo, las medidas antimonopolio, y también efectuando una evaluación y revisión de las propias normas para garantizar que respondan a los retos digitales y ecológicos de hoy en día.

Ya se están llevando a cabo revisiones de las normas que rigen los acuerdos horizontales y verticales y de la Comunicación sobre la definición de mercado, así como un control de la adecuación de las distintas directrices sobre ayudas estatales. Entre las cuestiones clave para el futuro digital de Europa figuran el acceso, la puesta en común y el intercambio de datos, así como el equilibrio entre comercio digital y tradicional. La revisión de la Comunicación sobre la definición de mercado también tendrá en cuenta los nuevos modelos de negocio digitales, como los servicios «gratuitos» que los usuarios pueden recibir si proporcionan sus datos, así como sus implicaciones para las presiones competitivas. El objeto del control de adecuación en curso de la Comunicación de la Comisión sobre proyectos importantes de interés común europeo (PIICE) de 2014 es evaluar si es preciso actualizar, para aclararlas, las condiciones en las que pueden llevarse a cabo de manera efectiva los principales proyectos dirigidos por los Estados miembros en sectores estratégicos clave para el futuro digital y ecológico de Europa.

La Comisión también planea emprender una investigación sectorial con un fuerte énfasis en estos mercados nuevos y emergentes que conforman nuestra economía y nuestra sociedad.

Sin embargo, la política de competencia no basta por sí sola para resolver todos los problemas sistémicos que pueden surgir en la economía de plataformas. Partiendo de la lógica del mercado único, pueden ser necesarias normas adicionales para garantizar la «disputabilidad», la equidad, la innovación y la posibilidad de entrar en el mercado, así como intereses públicos que vayan más allá de la competencia o de consideraciones económicas.

Garantizar la equidad en la economía digital es un reto importante. En un mundo digital sin fronteras, un puñado de empresas con la mayor cuota de mercado obtienen el grueso de los beneficios sobre el valor que se crea en una economía basada en datos. A menudo, estos beneficios no son gravados donde se generan, como consecuencia de normas obsoletas sobre el impuesto de sociedades que falsean la competencia. Esta es la razón por la que la Comisión intentará hacer frente a los desafíos fiscales derivados de la digitalización de la economía.

Acciones clave

– Una Estrategia europea de datos para hacer que Europa sea líder mundial en la economía ágil en el manejo de datos (febrero de 2020), en la que se anuncie un marco legislativo para la gobernanza de los datos (cuarto trimestre de 2020) y una posible Ley de datos (2021).

– Evaluación y revisión en curso de la adecuación de las normas de competencia de la UE a la era digital (2020-2023) y puesta en marcha de una investigación sectorial (2020).

– La Comisión seguirá explorando, como parte del paquete de la Ley de servicios digitales, normas ex ante para garantizar que los mercados caracterizados por la presencia de grandes plataformas con importantes efectos de red, que actúen como guardianes, sigan siendo equitativos y disputables para los innovadores, las empresas y los nuevos participantes (cuarto trimestre de 2020).

– Propuesta de un paquete de estrategia industrial que plantee una serie de medidas destinadas a facilitar la transformación hacia una industria de la UE limpia, circular, digital y competitiva a escala mundial, con especial atención a las pymes y al fortalecimiento de la normativa del mercado único.

– Creación de un marco que permita una financiación digital apropiada, competitiva y segura, en particular propuestas legislativas sobre los criptoactivos y la ciberresiliencia y la resiliencia operativa digital en el sector financiero, así como una estrategia hacia un mercado de pagos integrado de la UE compatible con soluciones y servicios de pagos digitales paneuropeos (tercer trimestre de 2020).

– Una Comunicación sobre la fiscalidad de las empresas en el siglo XXI, que tenga en cuenta los progresos realizados en el contexto de la Organización de Cooperación y Desarrollo Económicos (OCDE) para hacer frente a los desafíos fiscales derivados de la digitalización de la economía.

– Una nueva Agenda del Consumidor, que capacite a los consumidores para tomar decisiones informadas y desempeñar un papel activo en la transformación digital (cuarto trimestre de 2020).

C.- Una sociedad abierta, democrática y sostenible

Toda persona tiene derecho a una tecnología en la que pueda confiar. Lo que es ilegal en la sociedad analógica debe serlo también en la sociedad digital. Aunque no podemos predecir el futuro de la tecnología digital, los valores europeos y las normas éticas, sociales y medioambientales deben aplicarse también en el espacio digital.

En los últimos años, Europa ha liderado el camino hacia una Internet abierta, equitativa, inclusiva y centrada en las personas mediante los estándares fijados por su Reglamento general de protección de datos y su normativa sobre la cooperación entre plataformas y empresas. Con el fin de proteger las democracias europeas y los valores que las sustentan, la Comisión seguirá desarrollando y aplicando normas innovadoras y proporcionadas para una sociedad digital fiable. Esa sociedad digital debe ser totalmente inclusiva, equitativa y accesible para todos.

En este contexto, resulta esencial reforzar y modernizar las normas aplicables a los servicios digitales en toda la UE, aclarando las funciones y responsabilidades de las plataformas en línea. La venta de mercancías ilícitas, peligrosas o falsificadas y la difusión de contenidos ilícitos deben combatirse con la misma eficacia que fuera de línea.

Confiar en el mundo digital también significa ayudar a los consumidores a que asuman un mayor control y responsabilidad por sus propios datos e identidad. Se necesitan unas normas más claras sobre la transparencia, el comportamiento y la rendición de cuentas de quienes actúan como guardianes de la información y los flujos de datos, así como una aplicación efectiva de las normas vigentes. Los ciudadanos también deben poder controlar su identidad en línea cuando sea necesaria la autenticación para acceder a determinados servicios digitales. Es necesaria una identidad electrónica (e-ID) pública y universalmente aceptada para que los consumidores accedan de forma segura a sus datos y usen los productos y servicios que deseen sin tener que utilizar plataformas que no sean específicas para ello ni comunicarles innecesariamente datos personales. Los europeos también pueden beneficiarse del uso de datos para mejorar la toma de decisiones públicas y privadas.

En un mundo en el que gran parte del debate público y de la publicidad política se presenta ahora en línea, debemos estar dispuestos a actuar para defender enérgicamente nuestras democracias. Los ciudadanos quieren respuestas apropiadas a los intentos de manipulación del espacio de información, a menudo en forma de campañas de desinformación con objetivos específicos y coordinadas. Europa necesita una mayor transparencia sobre la forma en que se comparte y gestiona la información en Internet. Disponer de unos medios de comunicación de calidad fiables resulta fundamental para la democracia y para la diversidad cultural. A este respecto, la Comisión propondrá un Plan de Acción para la Democracia Europea y un plan de acción específico para los medios de comunicación y el sector audiovisual.

El componente digital también será clave para alcanzar los objetivos del Pacto Verde Europeo (14) y los Objetivos de Desarrollo Sostenible (15). Por su condición de poderosos facilitadores de la transición hacia la sostenibilidad, las soluciones digitales pueden impulsar la economía circular, apoyar la descarbonización de todos los sectores y reducir la huella ambiental y social de los productos comercializados en la UE. Por ejemplo, sectores clave como la agricultura de precisión, el transporte y la energía pueden beneficiarse enormemente de las soluciones digitales para alcanzar los ambiciosos objetivos de sostenibilidad del Pacto Verde europeo.

Las soluciones digitales, y en particular los datos, permitirán también un enfoque del ciclo de vida plenamente integrado, desde el diseño, pasando por el suministro de energía, las materias primas y otros insumos, a los productos finales, hasta llegar a la etapa del fin de la vida. Por ejemplo, haciendo un seguimiento de cuándo y dónde es más necesaria la electricidad, podemos aumentar la eficiencia energética y utilizar menos combustibles fósiles.

Sin embargo, es igualmente evidente que el sector de las TIC también necesita someterse a su propia transformación ecológica. La huella ambiental del sector, estimada en un 5-9 % del consumo total de electricidad del mundo y más del 2 % de las emisiones totales (16), es significativa. Los centros de datos y las telecomunicaciones tendrán que ser más eficientes desde el punto de vista energético, reutilizar la energía residual y utilizar más energías renovables. Pueden y deben convertirse en neutros desde el punto de vista climático para 2030.

También es importante cómo se diseñan, compran, consumen y reciclan los equipos de TIC. Más allá de los requisitos de eficiencia energética del diseño ecológico, los equipos de TIC deben llegar a ser completamente circulares: diseñados para que duren más tiempo, se mantengan debidamente, contengan material reciclado y se desmonten y reciclen fácilmente.

La importancia de los datos también es decisiva en el sector sanitario. Los historiales médicos digitales, reunidos en un espacio europeo de datos sanitarios, pueden contribuir a un mejor tratamiento de las principales enfermedades crónicas, como el cáncer y las enfermedades raras, pero también a la igualdad de acceso a unos servicios sanitarios de alta calidad para todos los ciudadanos.

Acciones clave

– Normas nuevas y revisadas para profundizar el mercado interior de servicios digitales, aumentando y armonizando las responsabilidades de las plataformas en línea y los proveedores de servicios de información, y reforzando la supervisión de las políticas de contenidos de las plataformas en la UE (cuarto trimestre de 2020, como parte del paquete de la Ley de servicios digitales).

– Revisión del Reglamento eIDAS para mejorar su eficacia, extender sus beneficios al sector privado y promover unas identidades digitales de confianza para todos los europeos (cuarto trimestre de 2020).

– Un Plan de acción para los medios de comunicación y audiovisuales en apoyo de la transformación digital y la competitividad del sector audiovisual y de los medios de comunicación, a fin de estimular el acceso a unos contenidos de calidad y el pluralismo de los medios (cuarto trimestre de 2020).

– Un Plan de Acción para la Democracia Europea a fin de mejorar la resiliencia de nuestros sistemas democráticos, defender el pluralismo de los medios de comunicación y hacer frente a las amenazas que suponen las intervenciones exteriores en las elecciones europeas (cuarto trimestre de 2020).

– Destino Tierra, una iniciativa para desarrollar un modelo digital de alta precisión de la Tierra (un «gemelo digital de la Tierra») capaz de mejorar las capacidades de predicción ambiental y de gestión de crisis en Europa (a partir de 2021).

– Una iniciativa de electrónica circular que movilice los instrumentos existentes y otros nuevos, en consonancia con el marco para los productos sostenibles del próximo plan de acción para la economía circular, con el fin de asegurarse de que los dispositivos se diseñen conforme a los criterios de durabilidad, mantenimiento, desmontaje, reutilización y reciclaje, incluido el derecho de reparación o actualización para prorrogar el ciclo de vida de los dispositivos electrónicos y para evitar la obsolescencia prematura (2021).

-Iniciativas para conseguir, a más tardar en 2030, centros de datos climáticamente neutros, de alta eficiencia energética y sostenibles, así como medidas de transparencia para los operadores de telecomunicaciones respecto de su huella ambiental.

– Promoción de historiales médicos electrónicos basados en un formato común europeo de intercambio para ofrecer a los ciudadanos europeos un acceso seguro a los datos sanitarios y su intercambio en toda la UE. Creación de un espacio europeo de datos sanitarios para mejorar la protección y la seguridad del acceso a los datos sanitarios, que permita una investigación, un diagnóstico y un tratamiento focalizados y más rápidos (a partir de 2022).

3.- Dimensión internacional: Europa como actor mundial

El modelo europeo ha demostrado ser una fuente de inspiración para muchos otros socios de todo el mundo en su lucha contra los retos políticos, lo que no debería ser diferente en el ámbito de la digitalización.

Desde el punto de vista geopolítico, la UE debe aprovechar su poder regulador, sus capacidades industriales y tecnológicas reforzadas, sus facultades diplomáticas y los instrumentos financieros externos para promover el enfoque europeo y configurar las interacciones mundiales. Ello incluye el trabajo realizado en virtud de acuerdos comerciales y de asociación, así como los acuerdos alcanzados en organismos internacionales como las Naciones Unidas, la OCDE, la ISO y el G-20, con el apoyo de los Estados miembros de la UE.

Una fuerte presencia digital en la política de ampliación, vecindad y desarrollo de la UE estimulará el crecimiento y promoverá el desarrollo sostenible, en particular la adopción de TIC verdes en las regiones y países socios, de conformidad con el compromiso europeo con la Agenda 2030 para el Desarrollo Sostenible. Las conclusiones del Grupo de Trabajo sobre Economía Digital de la UE y de la Unión Africana sustentarán el apoyo a la transformación digital en África, en particular la creación de un mercado único digital africano, en cuanto esté disponible la financiación con cargo al nuevo marco financiero plurianual de la UE.

Muchos países de todo el mundo han armonizado su legislación con el sólido régimen de protección de datos de la UE. Fruto de este logro debe surgir una promoción activa, por parte de la UE, de su modelo de Internet global segura y abierta.

En cuanto a las normas, nuestros socios comerciales se han adherido al proceso, liderado por la UE, que ha conseguido establecer estándares mundiales para la 5G y la Internet de las cosas. Europa debe ahora encabezar el proceso de adopción y estandarización de la nueva generación de tecnología: cadena de bloques, supercomputación, tecnologías cuánticas, algoritmos y herramientas para permitir el intercambio y la utilización de datos (17).

Por lo que se refiere al comercio y la inversión, la Comisión seguirá impugnando las restricciones injustificadas a las empresas europeas en terceros países, como los requisitos de localización de datos, y persiguiendo objetivos ambiciosos en materia de acceso al mercado, respeto de la propiedad intelectual, investigación y desarrollo y programas de normalización. Los debates en curso sobre la creación de una alianza de datos fiable con socios afines que compartan nuestros valores y altos estándares podrían mejorar los flujos de datos y el acervo de datos de alta calidad disponibles.

La Unión Europea es y seguirá siendo la región más abierta al comercio y la inversión en el mundo, a condición de que todo aquel que venga a hacer negocios aquí acepte y respete nuestras normas. La Comisión utilizará todos los instrumentos a su disposición para garantizar que todos respeten la legislación de la UE y las normas internacionales con el objeto de garantizar la igualdad de condiciones en el sector digital. También propondrá nuevas normas cuando sea necesario, como demuestran los trabajos en curso destinados a desarrollar un instrumento jurídico para combatir los efectos distorsionadores de las subvenciones extranjeras en el mercado interior.

Una estrategia mundial de cooperación digital planteará un enfoque europeo de la transformación digital que se base en nuestra larga y fructífera historia de tecnología, innovación e inventiva, que se revista de los valores europeos, en particular la apertura, y los proyecte en la escena internacional, y que ofrezca colaboración a nuestros socios. También reflejará el trabajo de la UE en África y en otros lugares con respecto a los Objetivos de Desarrollo Sostenible, la estrategia «Digital4Development» y el desarrollo de capacidades.

Europa está en la vanguardia de la lucha contra las interferencias manipuladoras en su espacio de información y ha desarrollado planteamientos e instrumentos importantes. Seguirá cooperando estrechamente con sus socios internacionales, como el G7, para definir enfoques comunes con vistas a elaborar normas y estándares internacionales.

Acciones clave

– Una Estrategia mundial de cooperación digital (2021).

– Un Libro Blanco sobre un instrumento relativo a las subvenciones extranjeras (segundo trimestre de 2020).

– Un Centro de digitalización para el desarrollo que elabore y consolide un enfoque integral de la UE que fomente sus valores y movilice a sus Estados miembros y su industria, las organizaciones de la sociedad civil, las instituciones financieras, los conocimientos especializados y las tecnologías de digitalización.

– Una estrategia de normalización que permita el despliegue de tecnologías interoperables respetuosas de las normas europeas y que promueva el enfoque y los intereses europeos en la escena mundial (tercer trimestre de 2020).

— Una cartografía de las oportunidades y un plan de acción para promover el enfoque europeo en las relaciones bilaterales y los foros multilaterales (segundo trimestre de 2020).

4.- Conclusión

Las tecnologías digitales, por avanzadas que puedan ser, no son más que una herramienta. No pueden resolver todos nuestros problemas. Sin embargo, están posibilitando cosas que eran impensables hace una generación. El éxito de la estrategia digital europea se medirá por nuestra capacidad para poner estas herramientas al servicio del suministro de bienes públicos a los ciudadanos europeos.

La economía ágil en el manejo de datos y su enorme potencial transformador nos afectarán a todos. Europa está dispuesta a aprovechar plenamente las ventajas que aportará. Sin embargo, para que esta transformación digital tenga un éxito completo, debemos crear los marcos adecuados que garanticen una tecnología fiable y proporcionen a las empresas la confianza, las competencias y los medios para la digitalización. La coordinación de esfuerzos entre la UE, los Estados miembros, las regiones, la sociedad civil y el sector privado es fundamental para alcanzar este objetivo y reforzar el liderazgo europeo digital.

Europa puede hacer suya esta transformación digital y establecer las normas mundiales en materia de desarrollo tecnológico. Y, lo que es más importante, puede hacerlo a la vez que garantiza la inclusión y el respeto de todos. La transformación digital solo puede funcionar si está al servicio de todos, y no solo de unos pocos. Será un proyecto auténticamente europeo —una sociedad digital basada en los valores europeos y en las normas europeas— que pueda inspirar en verdad al resto del mundo.

———————————————————-

 (1) Supercomputación, tecnologías cuánticas, cadena de bloques y aplicaciones seguras y paneuropeas en la nube.

 (2) Comunicación de la Comisión «La conectividad para un mercado único digital competitivo – hacia una sociedad europea del Gigabit», COM (2016) 587 final.

(3) Estos objetivos requieren que todos los hogares europeos, rurales o urbanos, tengan acceso a una conexión a Internet que ofrezca velocidades de bajada de al menos 100 Mbps, actualizables a velocidad de Gigabit. Expresan la expectativa de la Comisión de que, a medida que avance la década, los hogares necesitarán cada vez más 1 Gbps. Están en consonancia con la observación de la Comisión que indica un crecimiento exponencial de la demanda de capacidad de la red y la necesidad de garantizar inversiones sostenibles en redes capaces de ofrecer velocidades simétricas (es decir, carga y descarga) de Gigabit para sostener la economía de datos europea más allá de 2025. Todos los motores socioeconómicos principales, como escuelas, hospitales y empresas, deberían disponer de conexiones de Gigabit que permitan una carga y descarga igualmente rápidas a más tardar en 2025.

 (4) Programa Europa Digital (PED), Mecanismo «Conectar Europa» (MCE 2), Horizonte Europa y Programa Espacial.

 (5) FEDER y FEADER.

 (6) «Restaurar la competitividad de la UE», BEI, 2016. El Informe de inversión del BEI 2018/2019, «Reestructurar la economía europea», confirma que es necesaria una inversión pública a gran escala para apoyar la digitalización de las infraestructuras.

 (7) «Configurar la transformación digital», estudio realizado para la Comisión Europea, McKinsey Global Institute (pendiente de publicación en el segundo trimestre de 2020).

 (8) El conjunto de instrumentos de la UE para la seguridad 5G, recientemente publicado, constituye un hito importante, ya que establece un conjunto de medidas sólidas e integrales para un enfoque coordinado de la UE sobre la seguridad de las redes 5G.

 (9) Mejorar la ciberseguridad supondrá una contribución fundamental para construir una Unión de la Seguridad genuina y efectiva.

  (10) Más del 90 % de los puestos de trabajo requieren ya, como mínimo, unas competencias digitales básicas, pero el 43 % de los ciudadanos europeos y más de un tercio de los trabajadores de la UE carecen de ellas.

 (11) Reglamento (UE) 2018/1488 del Consejo, de 28 de septiembre de 2018.

 (12) Directiva 2014/61/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014.

 (13) Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016.

 (14) El Pacto Verde Europeo, COM(2019) 640 final, 11 de diciembre de 2019: https://eur-lex.europa.eu/resource.html?uri=cellar:b828d165-1c22-11ea-8c1f-01aa75ed71a1.0004.02/DOC_1&format=PDF .

 (15) Los Objetivos de Desarrollo Sostenible (ODS) constituyen una colección de 17 objetivos globales diseñados como «plan director para lograr un futuro mejor y más sostenible para todos». Fueron fijados por la Asamblea General de las Naciones Unidas, como parte de la Resolución 70/1 de las Naciones Unidas, en 2015:   https://www.un.org/sustainabledevelopment/es/ .

 (16) Foro Mundial de la Energía: https://www.enerdata.net/publications/executive-briefing/expected-world-energy-consumption-increase-from-digitalization.html .

 (17) Por ejemplo, la aplicación de la norma de facturación electrónica de la UE en Australia, Nueva Zelanda y Singapur ha sido un éxito, al desempeñar un papel facilitador del comercio para las empresas de la UE, por lo que se está contemplando su uso a nivel internacional.