Dictamen del Banco Central Europeo de 29 de diciembre de 2021 acerca de una propuesta de reglamento por el que se establecen normas armonizadas en materia de inteligencia artificial (CON/2021/40)

• Section: Serie C
• Issuing Organization: Banco Central Europeo

11.3.2022 ES Diario Oficial de la Unión Europea C 115/5

1.1. El BCE acoge con satisfacción el objetivo del reglamento propuesto de mejorar el funcionamiento del mercado interior estableciendo un régimen legal uniforme para el desarrollo, la comercialización y el uso de una inteligencia artificial (IA) fiable de conformidad con los valores de la Unión. El BCE reconoce la importancia de establecer requisitos uniformes específicos de los sistemas de IA para garantizar un nivel de protección alto y coherente de fines prioritarios de interés público como son la salud, la seguridad y los derechos fundamentales.

1.2. El BCE también reconoce la importancia creciente de la innovación que la IA puede facilitar en el sector bancario. Teniendo en cuenta el carácter transfronterizo inherente y las oportunidades de innovación en IA en la actividad bancaria, el BCE, como autoridad supervisora prudencial al nivel de la Unión, apoya decididamente la necesidad de asegurar que el reglamento propuesto se aplique de forma uniforme por las entidades de crédito en cuanto se refiera a riesgos y requisitos prudenciales. Igualmente, y dada la importancia creciente de la IA, se invita al legislador de la Unión a considerar en el futuro la posibilidad de crear una autoridad de IA al nivel de la Unión que sea responsable de la aplicación uniforme del reglamento propuesto en el conjunto del mercado único con respecto a materias específicas que atañan a la salud, la seguridad y los derechos fundamentales.

1.3. Respecto de los sistemas de IA de alto riesgo que las entidades de crédito proporcionan o utilizan, el BCE entiende que el reglamento propuesto integra determinadas obligaciones en los procedimientos que se establecen en la Directiva 2013/36/UE del Parlamento Europeo y del Consejo (2) (en adelante, la «CRD»). En particular, el reglamento propuesto busca aumentar la coherencia con la CRD integrando algunas de las obligaciones de gobierno y gestión de riesgos de proveedores y usuarios en el sistema de gobierno interno de las entidades de crédito (3). Debido a la novedad y la complejidad de la IA, y a los elevados requisitos del reglamento propuesto, serán necesarias otras orientaciones para clarificar las expectativas de supervisión con respecto a las obligaciones relativas al gobierno interno.

1.4. El BCE acoge con satisfacción que el reglamento propuesto pretenda evitar solapamientos con el marco legislativo vigente haciendo que algunas de sus disposiciones queden subsumidas en las disposiciones correspondientes de la CRD (4). Sobre este punto, el BCE celebra que la obligación de los proveedores de sistemas de IA de alto riesgo que sean entidades de crédito, de instaurar un sistema de gestión de la calidad, y la obligación de los usuarios de sistemas de IA de alto riesgo que sean entidades de crédito, de vigilar el funcionamiento del sistema, se consideren cumplidas cuando dichos proveedores y usuarios cumplan las normas relativas a los sistemas, procedimientos y mecanismos de gobernanza interna establecidas en las disposiciones pertinentes de la CRD (5).

1.5. El BCE hace hincapié en que el reglamento propuesto debe entenderse sin perjuicio de las obligaciones prudenciales más específicas o estrictas de las entidades de crédito establecidas en la regulación sectorial y completadas por las directrices de supervisión correspondientes. Por ejemplo, las obligaciones de gobierno interno de los usuarios de sistemas de IA que son entidades de crédito, de conformidad con la CRD (6), incluyen el control efectivo de la externalización, incluidas la identificación, evaluación y mitigación de todos los riesgos asociados, según informan de modo más amplio las Directrices sobre externalización de la ABE (7). Mientras que el reglamento propuesto asigna obligaciones diferentes a proveedores y usuarios de sistemas de IA de alto riesgo, las Directrices sobre externalización de la ABE no establecen tal distinción en el contexto de la externalización entre terceros proveedores de soluciones tecnológicas y entidades de crédito. En este sentido, la externalización no rebaja la obligación que las entidades de crédito tienen de cumplir con los requisitos regulatorios, y el supervisor prudencial mantiene su competencia de supervisión de los riesgos prudenciales planteados por las funciones externalizadas. En este contexto, el BCE celebraría que se aclarara la cuestión relativa a los requisitos aplicables y las autoridades competentes en lo que respecta a la externalización por parte de los usuarios de sistemas de IA de alto riesgo que son entidades de crédito.

1.6. Debería aclararse el papel que corresponde al BCE según el reglamento propuesto, en particular en relación con los aspectos siguientes: 1) las competencias de supervisión prudencial del BCE en general y, en particular, en relación con la vigilancia de los mercados y la evaluación de la conformidad, y 2) la aplicación del reglamento propuesto al desempeño de las competencias que corresponden al BCE según el Tratado.

1.7. El BCE continuará aplicando un enfoque tecnológicamente neutro en la supervisión prudencial de las entidades de crédito. Le corresponde velar por la seguridad y la solidez de las entidades de crédito, manteniendo una supervisión prudencial rigurosa con independencia de cuál sea la solución tecnológica en particular que se aplique. El BCE busca mantener la igualdad de trato en la supervisión de las entidades de crédito, conforme al principio rector de aplicar la misma supervisión a la misma actividad y los mismos riesgos (8).

2.1.1. El reglamento propuesto prevé que el Reglamento (UE) 2019/1020 del Parlamento Europeo y del...