Llega el canal de denuncias europeo sobre la IA: guía legal para tecnológicas
La Oficina Europea de Inteligencia Artificial ha puesto en marcha la AI Act Whistleblower Tool; los expertos aconsejan revisar las políticas de ‘compliance’
Europa pone luz y taquígrafos en los productos de inteligencia artificial (IA) que comercializan las empresas en el territorio de la Unión. La Comisión Europea ha dado luz verde recientemente a la AI Act Whistleblower Tool, un canal para denunciar cualquier infracción del uso de la tecnología que está revolucionando la economía. Aunque la ley que regula la IA aun no es plenamente exigible, la Oficina Europea de Inteligencia Artificial quiere atar en corto cualquier incumplimiento y busca como aliados a los empleados o socios de los proveedores de estos modelos.
La nueva herramienta funcionará como un canal externo especializado en IA y convivirá con los conductos internos de denuncia en las compañías, obligatorios en empresas de al menos 50 empleados. Precisamente esta semana, la ministra de trabajo, Yolanda Díaz, ha anunciado que acelerará la reforma que blinda a los trabajadores frente a las represalias laborales por señalar a sus empresas. La vigilancia se completa con el control de la Agencia Española de Supervisión de Inteligencia Artificial (Aesia) y la protección que brinda a los denunciantes la Autoridad Independiente de Protección del Informante (AIPI), en marcha desde el pasado 1 de septiembre.
Según fuentes jurídicas, las consultas más habituales entre las empresas son: qué canal utilizar cuando la empresa opera en varios Estados miembros, si es necesario denunciar primero por el canal interno o como se coordinarán la AIPI y la oficina europea de IA. Lo cierto es que las tecnológicas tendrán que familiarizarse con este ecosistema de vigilancia.
¿En qué consiste la AI Act Whistleblower Tool y qué infracciones pueden ser denunciadas? Se trata de un “sistema seguro y confidencial, e independiente de los canales internos de las organizaciones” diseñado para que las personas legitimadas puedan comunicar anónimamente a la oficina ad hoc europea irregularidades del Reglamento de Inteligencia Artificial (RIA), contesta Laura Morató, abogada experta en protección de datos y tecnología en Marimón Abogados.
Funciona como un marco interconectado pues, como explica Morató, “pueden presentarse denuncias relativas a presuntas infracciones del RIA, tanto respecto de las obligaciones ya operativas como de ámbitos conexos en los que el funcionamiento de un sistema de IA pueda vulnerar normativa aplicable, como la seguridad de productos, la protección del consumidor o la privacidad y seguridad de los datos”.
La abogada advierte de que todavía se trata de un canal descafeinado porque la oficina tiene aún las manos atadas respecto de algunas obligaciones que no son exigibles, como las vinculadas a la información sobre los datos de entrenamiento de estos productos. Además, subraya Morató, “la protección que ofrece la directiva de denunciantes, a la que se remite el RIA, no será aplicable hasta el 2 de agosto de 2026”. No obstante, la propia Comisión indica que la oficina “agradecerá información sobre cualquier práctica interna de los proveedores de modelos que pueda violar obligaciones del RIA o poner en peligro derechos fundamentales, la salud o la confianza pública”.
Denuncias paralelas
El nuevo canal europeo no sustituye a los otros mecanismos nacionales de denuncia segura, tanto interno como externo. Lo que le diferencia, explica Lucía Oliveró, abogada experta en compliance de Marimón, es que tiene una función más especializada. El nuevo ecosistema permite comunicar simultáneamente una misma infracción del RIA dentro y fuera de la empresa. “La normativa de protección de informantes permite utilizar indistintamente canales internos o externos, sin exigir agotar uno antes de acudir al otro”, señala la abogada para quien “aún es pronto para saber cómo se coordinarán en la práctica” estos canales. Oliveró advierte de que es “posible” que puedan iniciarse “investigaciones en paralelo” y tampoco descarta un escenario en el que exista un “solapamiento de sanciones”.
Las normas no explican cómo afrontar la coexistencia de múltiples canales de denuncia, pero, en opinión de Lucía Oliveró, “las mejores prácticas pasan por reforzar los programas de compliance de las organizaciones, especialmente en materia de IA”. Asimismo, “resulta recomendable revisar y adaptar los canales internos, con el fin de mejorar su eficacia”, añade.
Requisitos de los sistemas internos de información
Ámbito de aplicación. La ley del canal de denuncias —Ley 2/2023, de transposición de la Directiva Whistleblowing— entró en vigor en marzo de 2023. La herramienta debe integrarse en las corporaciones de 50 o más empleados y en todas las Administraciones Públicas.
Accesibilidad. El canal de denuncias (al que la ley llama “sistema interno de información”) debe de ser fácil de usar y accesible para los empleados y, en muchos casos, también para proveedores o personal externo. Además, la empresa debe informar sobre su existencia y funcionamiento. La ley establece que las compañías también deben de informar sobre los canales externos y, en su caso, del de las instituciones u organismos de la Unión Europea.
Anonimato y confidencialidad. La ley permite la denuncia anónima y exige que las compañías implementen medidas para garantizar la confidencialidad de los denunciantes y denunciados. También aconseja prever el anonimato del informante y le otorga una protección frente a las represalias, incluidas las amenazas y tentativas.
Independencia. La gestión operativa del sistema puede ser externalizada, pero la responsabilidad última recae sobre el responsable del sistema, quien debe ocupar un cargo directivo dentro de la organización y actuar con total independencia del órgano de administración o gobierno.
