Introducción a la Ley de Inteligencia Artificial de la UE

La inteligencia artificial (IA) está transformando la forma en que trabajamos, nos comunicamos e interactuamos entre nosotros. También puede plantear desafíos y riesgos importantes para nuestra seguridad, privacidad y derechos fundamentales.

En base a esto, la UE se vio en la necesidad de elaborar un marco normativo que regulara la situación de la IA y cómo esta debía proteger los derechos de los ciudadanos. Así nació la Ley de Inteligencia Artificial de la UE, cuyo objetivo es convertirse en un centro mundial para una IA fiable y centrada en el ser humano.

En esta publicación, ofrecemos una descripción general de algunos temas clave de la Ley de IA, con un enfoque especial en los casos de uso prohibidos y de alto riesgo.

¿Qué es la Ley de Inteligencia Artificial?

La Ley de IA es un marco jurídico integral que abarca todo el ciclo de vida de los sistemas de IA, desde su diseño y desarrollo hasta su implementación y uso. Define la IA como “software desarrollado con una o más de las técnicas y enfoques enumerados en el Anexo I y que puede, para un conjunto determinado de objetivos definidos por el ser humano, generar resultados como contenido, predicciones, recomendaciones o decisiones que influyen en los entornos con los que interactúa”.

Las técnicas y enfoques enumerados en el Anexo I incluyen el aprendizaje automático, los enfoques basados ​​en la lógica y el conocimiento, los enfoques estadísticos y combinaciones de estos.

Antecedentes

En abril de 2021, la Comisión Europea propuso el primer marco regulatorio de la UE para la IA. En él se dice que los sistemas de IA que se pueden utilizar en diferentes aplicaciones se analizan y clasifican en función del riesgo que suponen para los usuarios. Los diferentes niveles de riesgo implicarán una mayor o menor regulación. Como parte de su estrategia digital, la UE quiere regular la IA para garantizar mejores condiciones para el desarrollo y el uso de esta tecnología innovadora, que puede beneficiar a muchos.

A finales de 2023, la Unión Europea (UE) propuso una legislación histórica para regular el uso de la IA, conocida como Ley de Inteligencia Artificial o Ley de IA de la UE. La Ley tiene como objetivo fomentar el desarrollo y la adopción de una IA fiable y centrada en el ser humano en toda la UE, al tiempo que garantiza que los sistemas de IA de alto riesgo estén sujetos a normas y supervisión estrictas.

A principios de agosto de 2024, la ley entró en vigor, convirtiéndose en la primera regulación integral del mundo sobre IA.

Definición de “IA”

La IA se define en la Ley de IA de la UE utilizando los siguientes términos:

  • «Sistema de IA» significa «un sistema basado en máquinas que está diseñado para funcionar con distintos niveles de autonomía y que puede exhibir adaptabilidad después de su implementación y que, para objetivos explícitos o implícitos, infiere, a partir de la información que recibe, cómo generar resultados tales como predicciones, contenido, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales».
  • «Modelo de IA de propósito general» significa «un modelo de IA, incluso cuando dicho modelo de IA se entrena con una gran cantidad de datos utilizando autosupervisión a escala, que muestra una generalidad significativa y es capaz de realizar de manera competente una amplia gama de tareas distintas independientemente de la forma en que el modelo se coloca en el mercado y que puede integrarse en una variedad de sistemas o aplicaciones posteriores, excepto los modelos de IA que se utilizan para actividades de investigación, desarrollo o creación de prototipos antes de su comercialización».
  • «Sistema de IA de propósito general» significa «un sistema de IA que se basa en un modelo de IA de propósito general y que tiene la capacidad de servir para una variedad de propósitos, tanto para uso directo como para integración en otros sistemas de IA».

Objetivo

El objetivo de la ley es servir de ayuda para hacer una regulación de la IA según su potencial para causar daño a la sociedad utilizando un enfoque «basado en el riesgo»: cuanto más riesgo exista, mayores restricciones habrá. Se trata de la primera propuesta legislativa de este tipo en el mundo, lo que significa que puede establecer un estándar global para la regulación de la IA en otras jurisdicciones y promover el enfoque europeo para la regulación de la tecnología en todo el mundo.

El comisario europeo Thierry Breton calificó los planes de “históricos” y afirmó que establecen “reglas claras para el uso de la IA”. Añadió que se trata de “mucho más que un reglamento: es una plataforma de lanzamiento para que las empresas emergentes y los investigadores de la UE lideren la carrera mundial de la IA”.

Con la entrada en vigor de la Ley de Inteligencia Artificial, cualquier empresa que ofrezca productos o servicios en la UE queda sujeta a la ley. El incumplimiento puede acarrear multas de hasta el 7 % de la facturación global anual.

¿Cuándo se aplicará?

La Ley de IA entró en vigor el 1 de agosto de 2024, 20 días después de su publicación en el Diario Oficial de la UE. Si bien la mayoría de las disposiciones de la Ley no entrarán en vigor hasta 24 meses después de su entrada en vigor, hay varios plazos importantes que se deben tener en cuenta:

  • Las prohibiciones sobre prácticas prohibidas entrarán en vigor 6 meses después de su entrada en vigor (febrero de 2025)
  • Los códigos de prácticas, que cubrirán muchos de los detalles de implementación necesarios para cumplir con la Ley, deberán finalizarse dentro de los 9 meses posteriores a su entrada en vigor (mayo de 2025).
  • La mayoría de las obligaciones de inteligencia artificial de propósito general entrarán en vigor 12 meses después de su entrada en vigor (agosto de 2025).
  • Las obligaciones para la mayoría de los sistemas de IA de alto riesgo se aplican 24 meses después de la entrada en vigor (agosto de 2026).
  • Los sistemas GPAI preexistentes que no hayan sido objeto de una modificación sustancial, y ciertos sistemas de IA que sean componentes de sistemas de TI a gran escala identificados en el Anexo X de la Ley de IA, tendrán un plazo de implementación más largo de 36 meses (agosto de 2027).

¿Quién está cubierto?

La Ley de IA se aplica principalmente a los “sistemas de IA”, que la Ley define como “un sistema basado en máquinas diseñado para funcionar con distintos niveles de autonomía, que puede exhibir capacidad de adaptación después de su implementación y que, para objetivos explícitos o implícitos, infiere, a partir de la información que recibe, cómo generar resultados como predicciones, contenido, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales”.

Es importante destacar que la Ley de IA distingue entre proveedores e implementadores de sistemas de IA. Los proveedores son entidades que desarrollan un sistema de IA o un modelo de IA de uso general. También incluye a las entidades que tienen un sistema de IA o un modelo de IA de uso general desarrollado y lo colocan en el mercado o que ponen el sistema de IA en servicio bajo su propio nombre o marca registrada, ya sea a cambio de un pago o de forma gratuita.

Los implementadores son clientes o socios que utilizan estos sistemas o modelos en sus propias aplicaciones, como la integración de GPT-4o en un caso de uso específico. Aunque la mayoría de las obligaciones en virtud de la Ley de IA recaen sobre los proveedores y no sobre los implementadores, es importante tener en cuenta que un implementador que integra un modelo de IA en su propio sistema de IA puede convertirse en proveedor en virtud de la Ley, por ejemplo, al utilizar su propia marca registrada en un sistema de IA o modificar el sistema de IA de formas que no fueron previstas por el proveedor.

Empresas establecidas fuera de la UE

Las organizaciones que no pertenezcan a la UE seguirán teniendo que cumplir la Ley de IA en virtud de una serie de condiciones que pueden ser de gran alcance. Por ejemplo, la Ley se aplica si:

  • Un proveedor coloca un sistema de IA o un modelo GPAI en el mercado de la UE, independientemente de si la empresa está establecida en la UE o en otro país;
  • Los implementadores de un sistema de IA tienen su lugar de establecimiento o están ubicados dentro de la UE;
  • Los proveedores e implementadores de sistemas de IA están establecidos o ubicados en un tercer país, pero los resultados generados por el sistema de IA se utilizan dentro de la UE.

El amplio alcance extraterritorial de la Ley de IA significa que las empresas no europeas deberán cumplir con la Ley para prestar servicios a los clientes de la UE independientemente de si tienen su sede dentro de la UE.

El enfoque basado en el riesgo de la Ley de IA

La Ley de IA clasifica los sistemas de IA en categorías según diferentes niveles de riesgo:

Riesgo inaceptable

Sistemas de inteligencia artificial que se consideran contrarios a los valores y principios de la UE, como los que manipulan el comportamiento humano o explotan vulnerabilidades. Estos sistemas de inteligencia artificial están prohibidos en la UE. Algunos ejemplos serían los juguetes para niños activados por voz que fomentan un comportamiento amenazador o la puntuación social.

Alto riesgo

Sistemas de IA que se utilizan en sectores o contextos críticos, como la atención sanitaria, la educación, la aplicación de la ley, la justicia o la administración pública. Entre ellos se incluyen:

  • Los sistemas que son componentes de seguridad de un producto sujeto a otras leyes de la UE, y
  • los casos de uso específicos, como los sistemas destinados a determinar el acceso o la admisión a instituciones educativas, a reclutar o seleccionar trabajadores o a supervisar el rendimiento de los trabajadores, a determinar la elegibilidad para la asistencia pública, la solvencia crediticia, evaluar la elegibilidad y los precios del seguro médico, entre otros.

Estos sistemas de IA están sujetos a obligaciones estrictas, como garantizar la calidad de los datos, la transparencia, la supervisión humana, la precisión, la solidez y la seguridad. También deben someterse a una evaluación de conformidad antes de comercializarse o ponerse en servicio.

Riesgo limitado

Sistemas de IA que presentan algún riesgo para los derechos o intereses de los usuarios u otras personas afectadas, como los que utilizan la identificación biométrica remota (como el reconocimiento facial) en espacios de acceso público. Estos sistemas de IA están sujetos a requisitos específicos de transparencia, como informar a los usuarios de que están interactuando con un sistema de IA y proporcionar información sobre su finalidad, capacidades y limitaciones. Ejemplos de estos son los sistemas que generan imágenes o audio.

Riesgo mínimo

El riesgo mínimo se refiere a las aplicaciones de IA que se considera que representan una amenaza mínima o nula para los derechos o la seguridad de los ciudadanos. Estas aplicaciones, como los filtros de spam, se pueden implementar sin requisitos regulatorios estrictos, lo que permite una integración más fácil en el mercado.

IA generativa

La IA generativa, como ChatGPT, que crea contenido como texto, imágenes o videos, deberá cumplir con los requisitos de transparencia, como:

  • Afirmar que el contenido no es creado por humanos, sino generado por IA.
  • Estar diseñado de manera que se evite producir contenido que viole la ley, como discurso de odio, difamación o incitación a la violencia.
  • Respetar los derechos de propiedad intelectual de las fuentes de datos que se utilizan para entrenar el modelo y proporcionar resúmenes de los datos protegidos por derechos de autor.

Prácticas de IA prohibidas

Se prohíben por completo determinadas prácticas de inteligencia artificial que se consideren que entrañan un riesgo inaceptable para los derechos de las personas. Entre ellas se incluyen las siguientes:

  • Utilizar técnicas subliminales, manipuladoras o engañosas para distorsionar el comportamiento y perjudicar la toma de decisiones informada, causando un daño significativo.
  • Aprovechar vulnerabilidades relacionadas con la edad, la discapacidad o las circunstancias socioeconómicas para distorsionar el comportamiento y causar un daño significativo.
  • Sistemas de categorización biométrica que infieren atributos sensibles como raza, opiniones políticas, afiliación sindical, creencias religiosas o filosóficas, vida sexual u orientación sexual (con excepciones limitadas para etiquetar o filtrar conjuntos de datos adquiridos legalmente y para uso policial).
  • Los sistemas de puntuación social, como los sistemas que evalúan o clasifican a individuos o grupos en función de su comportamiento social o rasgos personales, les causan daño.
  • Evaluación del riesgo de que una persona cometa delitos penales basándose únicamente en el perfil o en los rasgos de personalidad (con excepciones limitadas).
  • Recopilación de bases de datos de reconocimiento facial mediante la extracción no dirigida de imágenes faciales de Internet o de grabaciones de CCTV.
  • Inferir emociones en lugares de trabajo o instituciones educativas.
  • Identificación biométrica remota en tiempo real en lugares públicos para el cumplimiento de la ley (con ciertas excepciones).

Requisitos clave de cumplimiento

Las obligaciones de cumplimiento están determinadas principalmente por el nivel de riesgo asociado con el sistema de IA pertinente:

  • Riesgo inaceptable: Los sistemas de IA que plantean un riesgo inaceptable no están sujetos a requisitos de cumplimiento; están prohibidos por completo.
  • Alto riesgo: los sistemas de IA y sus proveedores (o, cuando corresponda, el representante autorizado) deben estar registrados en una base de datos de la UE antes de ser comercializados en la UE o puestos en servicio, y deben cumplir una amplia gama de requisitos sobre capacitación y gobernanza de datos, documentación técnica, mantenimiento de registros, solidez técnica, transparencia, supervisión humana y ciberseguridad.
  • Riesgo limitado: Los proveedores e implementadores de ciertos sistemas de IA y modelos de IA de propósito general están sujetos a obligaciones de transparencia.
  • Riesgo bajo o mínimo: los sistemas de IA no tienen obligaciones ni requisitos específicos según la Ley de IA de la UE.

Todos los proveedores de modelos de IA de uso general están sujetos a determinadas obligaciones de documentación técnica y transparencia y deben cooperar con la Comisión y las autoridades nacionales competentes, así como respetar las leyes nacionales sobre derechos de autor y derechos conexos. El cumplimiento puede demostrarse mediante la adhesión a códigos de prácticas aprobados. Los proveedores de modelos de IA de uso general con riesgo sistémico tienen obligaciones adicionales, incluidas las obligaciones de realizar evaluaciones de modelos estandarizadas, evaluar y mitigar los riesgos sistémicos, rastrear e informar incidentes y garantizar la protección de la ciberseguridad.

La Ley de IA de la UE también prevé el desarrollo de códigos de conducta para los sistemas de IA, que la Comisión espera que todos los proveedores de sistemas de IA apliquen voluntariamente.

La Directiva sobre responsabilidad por la IA no contiene requisitos de cumplimiento.

IA de propósito general (GPAI)

Se aplican requisitos especiales a los proveedores de modelos y sistemas de IA de propósito general, que deberán:

  • Desarrollar documentación técnica detallada del modelo y proporcionarla a la Oficina de IA cuando se le solicite.
  • Crear documentación para los implementadores que utilizan el modelo GPAI para desarrollar sus propios sistemas de IA.
  • Implementar políticas destinadas a respetar la legislación de derechos de autor de la UE.
  • Proporcionar un resumen del contenido utilizado para entrenar el modelo GPAI.

Además, los proveedores de modelos GPAI con capacidades de alto impacto que se consideren que presentan “riesgos sistémicos” (por ejemplo, modelos entrenados en una gran cantidad de cómputo) deberán:

  • Realizar evaluaciones de modelos para identificar y mitigar riesgos sistémicos, y evaluar y mitigar continuamente los riesgos presentados.
  • Notificar a la Comisión Europea los modelos que cumplen los criterios de esta categoría.
  • Monitorizar y reportar incidentes graves.
  • Implementar medidas de ciberseguridad adecuadas para el modelo y su infraestructura física

Los proveedores de modelos GPAI podrán basarse en un código de prácticas para demostrar el cumplimiento de los requisitos de la Ley de IA. Es probable que estos códigos de prácticas sienten las bases para los detalles específicos de la implementación de estas obligaciones.

Reguladores

La aplicación de la Ley de IA de la UE implica una combinación de autoridades. Los Estados miembros de la UE establecerán o designarán al menos una autoridad notificadora y al menos una autoridad de vigilancia del mercado y garantizarán que las autoridades nacionales competentes dispongan de los recursos técnicos, financieros y humanos adecuados y de la infraestructura (que tengan los conocimientos suficientes) para cumplir sus tareas en virtud de la Ley de IA de la UE.

La autoridad notificante es responsable de establecer y llevar a cabo los procedimientos de evaluación y designación que exige la Ley de IA de la UE, de manera objetiva e imparcial.

La autoridad de vigilancia del mercado puede variar para los sistemas de IA de riesgo «alto», los sistemas de IA utilizados por instituciones financieras sujetas a la legislación de la UE sobre servicios financieros y otras instituciones, agencias y organismos de la UE.

Además, la autoridad de vigilancia del mercado es la principal responsable de la aplicación de la normativa a nivel nacional. Si un sistema de IA no cumple las normas, las autoridades de vigilancia del mercado pueden ejercer las facultades de aplicación. Las autoridades de vigilancia del mercado informarán anualmente a la Comisión y a las autoridades nacionales de competencia pertinentes.

Además, una Oficina de IA dentro de la Comisión hará cumplir las normas comunes en toda la UE. La aplicación contará con el apoyo de un panel científico de expertos independientes . Un Comité de IA con representantes de los Estados miembros asesorará y ayudará a la Comisión y a los Estados miembros sobre la aplicación coherente y eficaz de la Ley de IA. Por último, un foro consultivo para las partes interesadas proporcionará conocimientos técnicos al Comité de IA y a la Comisión.

Los tribunales nacionales de los Estados miembros de la UE serán responsables de aplicar la Directiva sobre responsabilidad por inteligencia artificial en el caso de demandas civiles basadas en culpas no contractuales que se presenten ante ellos.

Poderes de ejecución y sanciones

Cuando la autoridad de vigilancia del mercado determine que:

  • no se cumplen las obligaciones de la Ley de IA de la UE; o
  • un sistema de IA de alto riesgo cumple las obligaciones de la Ley de IA de la UE, pero sigue presentando un riesgo para la salud y la seguridad de las personas, los derechos fundamentales de las personas u otros aspectos de la protección del interés público;

La autoridad de vigilancia del mercado pertinente podrá:

  • exigir al operador pertinente que adopte todas las medidas correctivas adecuadas  para garantizar que el sistema de IA en cuestión ya no presente ese riesgo) o retirar/retirar del mercado el sistema de IA; o
  • cuando el operador no lo haga, la autoridad pertinente prohibirá/restringirá la comercialización o la puesta en servicio del sistema de IA en su mercado nacional, o retirará del mercado el producto o el sistema de IA independiente.

Las sanciones varían desde los 35.000.000 € a hasta el 7 por ciento de la facturación anual total mundial de una empresa por incumplimiento de prácticas de IA prohibidas, hasta la mayor de 7.500.000 € o hasta el 1 por ciento de la facturación anual total mundial de una empresa por el suministro de información incorrecta, incompleta o engañosa a organismos notificados y autoridades nacionales competentes.

La Directiva sobre responsabilidad por daños causados ​​por IA aumenta las probabilidades de que los demandantes obtengan una demanda exitosa al crear una presunción refutable de causalidad para el demandado. En la práctica, la nueva norma significa que si una víctima puede demostrar que alguien tuvo la culpa de no cumplir con una determinada obligación relacionada con su daño, y que es razonablemente probable que exista un vínculo causal con la actuación de la IA, el tribunal puede presumir que ese incumplimiento causó el daño.

La Directiva sobre responsabilidad por la IA también otorga a los tribunales nacionales el poder de ordenar la divulgación de pruebas sobre sistemas de IA de alto riesgo que se sospecha que causan daños, para ayudar a las víctimas a acceder a pruebas relevantes para identificar a las personas que podrían ser consideradas responsables.

¿Qué significa la Ley de IA para los profesionales?

La Ley de IA tendrá importantes implicaciones para los profesionales que utilizan IA en su trabajo, especialmente aquellos que están involucrados en sistemas de IA de alto riesgo. Los profesionales deberán cumplir con las obligaciones y requisitos establecidos en la Ley de IA, como garantizar la calidad de los datos, la transparencia, la supervisión humana, la precisión, la solidez y la seguridad de sus sistemas de IA.

Los profesionales parecen estar divididos sobre qué constituye “ir demasiado lejos” en el uso de la IA, desde el punto de vista ético. Una de las preguntas más importantes en torno al uso de la tecnología impulsada por la IA en entornos profesionales es: “¿Cómo se debe regular y utilizar de manera responsable la IA?”.

La Ley de IA creará nuevas oportunidades y beneficios para los profesionales que utilizan IA en su trabajo. Al establecer normas claras y armonizadas para el uso de la IA en la UE, la Ley de IA creará igualdad de condiciones y un mercado único para la IA, facilitando el comercio y la innovación transfronterizos. También aumentará la confianza en la IA, tanto entre los usuarios y consumidores como entre las autoridades públicas y los reguladores.

Si tu organización está tratando de determinar cómo cumplir con la Ley de IA, primero debes intentar clasificar los sistemas de IA que se encuentran dentro del alcance. Identifica qué GPAI y otros sistemas de IA utilizas, determina cómo se clasifican y considera qué obligaciones se derivan de sus casos de uso. También debes determinar si eres un proveedor o implementador con respecto a los sistemas de IA que se encuentran dentro del alcance. Estas cuestiones pueden ser complejas, por lo que debes consultar con un asesor legal si tienes preguntas.