¿Qué es la Ley de Inteligencia Artificial de la Unión Europea (Ley de IA de la UE)?

Considerada el primer marco regulatorio integral del mundo para la IA, la Ley de IA de la UE prohíbe por completo algunos usos de la IA e implementa estrictos requisitos de gobierno, gestión de riesgos y transparencia para otros.

La ley también crea reglas para modelos de inteligencia artificial de propósito general, como el modelo fundacional de código abierto Granite de IBM y Llama 3 de Meta.

Las sanciones pueden oscilar entre 7,5 millones de euros o el 1,5 % de la facturación anual mundial y 35 millones de euros o el 7 % de la facturación anual mundial, según el tipo de incumplimiento.

De la misma manera que el Reglamento General de Protección de Datos (RGPD) de la UE puede inspirar a otras naciones a adoptar leyes de protección de datos, los expertos anticipan que la Ley de Inteligencia Artificial de la UE impulsará el desarrollo de normas de gobierno y ética de IA en la UE.

La Ley de IA de la UE se aplica a múltiples operadores en la cadena de valor de la IA, como proveedores, implementadores, importadores, distribuidores, fabricantes de productos y representantes autorizados). Vale la pena mencionar las definiciones de proveedores, implementadores e importadores según la Ley de IA de la UE.

Los proveedores son personas u organizaciones que desarrollan un sistema de IA o un modelo de IA de uso general (GPAI), o lo hacen desarrollar en su nombre, y que lo comercializan o ponen en servicio el sistema de IA bajo su nombre o marca registrada.

La ley define ampliamente un sistema de IA como aquel que puede, con cierto nivel de autonomía, procesar entradas para inferir cómo generar salidas (por ejemplo, predicciones, recomendaciones, decisiones, contenido) que pueden influir en entornos físicos o virtuales. Define GPAI como modelos de IA que muestran una gran generalidad, son capaces de realizar eficazmente una amplia gama de tareas distintas y que pueden integrarse en una variedad de sistemas o aplicaciones de IA posteriores. Por ejemplo, un modelo fundacional es un GPAI; una herramienta de chatbot o IA generativa construida sobre ese modelo sería un sistema de IA.

Los implementadores son personas u organizaciones que utilizan sistemas de IA. Por ejemplo, una organización que utiliza un chatbot de IA externo para gestionar las consultas del servicio de atención al cliente sería un implementador.

Los importadores son personas y organizaciones ubicadas o establecidas en la UE que llevan al mercado de la UE sistemas de IA de una persona o empresa establecida fuera de la UE.

La Ley de IA de la UE también se aplica a los proveedores e implementadores de fuera de la UE si su IA, o los resultados de la IA, son utilizados en la UE.

Por ejemplo, supongamos que una empresa de la UE envía datos a un proveedor de IA fuera de la UE, que utiliza la IA para procesar los datos y, a continuación, devuelve los datos a la empresa en la UE para que los utilice. Dado que la salida del sistema de IA del proveedor se utiliza en la UE, el proveedor está sujeto a la Ley de IA de la UE.

Los proveedores de fuera de la UE que ofrezcan servicios de IA en la UE deben designar representantes autorizados en la UE para coordinar en su nombre los esfuerzos de conformidad.

Si bien el alcance de la ley es amplio, algunos usos de la IA están exentos. Los usos puramente personales de la IA y los modelos y sistemas de IA utilizados únicamente para la investigación y el desarrollo científicos son ejemplos de usos exentos de la IA.

La Ley de IA de la UE regula los sistemas de IA en función del nivel de riesgo. El riesgo aquí se refiere a la probabilidad y gravedad del daño potencial. Algunas de las disposiciones más importantes incluyen:

• la prohibición de determinadas prácticas de IA que se consideren de riesgo inaceptable,
  
  
• estándares para desarrollar e implementar ciertos sistemas de IA de alto riesgo,
  
  
• reglas para modelos de IA de uso general (GPAI).

Los sistemas de IA que no entran en una de las categorías de riesgo de la Ley de IA de la UE no están sujetos a los requisitos establecidos en la Ley (a menudo se denominan categoría de "riesgo mínimo"), aunque algunos pueden tener que cumplir obligaciones de transparencia y deben cumplir otras leyes existentes.  Algunos ejemplos pueden ser el correo electrónico, los filtros de spam y los videojuegos. Muchos de los usos habituales de la IA en la actualidad entran en esta categoría.

Cabe señalar que muchos de los detalles de aplicación de la Ley de IA de la UE aún están en fase de perfeccionamiento. Por ejemplo, la ley señala que la Comisión Europea publicará nuevas orientaciones sobre requisitos como los planes de seguimiento poscomercialización y los resúmenes de datos de formación.

La Ley de IA de la UE enumera explícitamente ciertas prácticas de IA prohibidas que se considera que plantean un nivel de riesgo inaceptable. Por ejemplo, el desarrollo o el uso de un sistema de IA que manipula intencionalmente a las personas para que tomen decisiones dañinas que de otro modo no tomarían se considera que representa un riesgo inaceptable para los usuarios y es una práctica de IA prohibida.

La Comisión de la UE puede modificar la lista de prácticas prohibidas en la ley, por lo que es posible que se prohíban más prácticas de IA en el futuro.

 Una lista parcial de prácticas de IA prohibidas en el momento de la publicación de este artículo incluye:

• Sistemas de puntuación social: sistemas que evalúan o clasifican a los individuos en función de su comportamiento social, lo que conduce a un trato perjudicial o desfavorable en contextos sociales no relacionados con la recopilación de datos original e injustificados o desproporcionados con respecto a la gravedad del comportamiento
  
  
• Sistemas de reconocimiento de emociones en el trabajo y en los centros educativos, excepto cuando estas herramientas se utilizan con fines médicos o de seguridad
  
  
• La IA se utiliza para explotar las vulnerabilidades de las personas (por ejemplo, vulnerabilidades debidas a la edad o la discapacidad)
  
  
• Raspado no dirigido de imágenes faciales de Internet o de circuito cerrado de televisión (CCTV) para bases de datos de reconocimiento facial
  
  
• Sistemas de identificación biométrica que identifican a las personas en función de características sensibles
  
  
• Aplicaciones de políticas predictivas específicas
  
  
• Uso policial de sistemas de identificación biométrica a distancia en tiempo real en público (a menos que se aplique una excepción y se requiera generalmente la autorización previa de una autoridad judicial o administrativa independiente).

Los sistemas de IA se consideran de alto riesgo con arreglo a la Ley de IA de la UE si son un producto, o un componente de seguridad de un producto, regulado por leyes específicas de la UE a las que hace referencia la ley, como las leyes sobre seguridad de los juguetes y sobre productos sanitarios para diagnóstico in vitro.

La ley también enumera usos específicos que generalmente se consideran de alto riesgo, incluidos los sistemas de IA utilizados:

• en contextos laborales, como los que se utilizan para reclutar candidatos, evaluar a los solicitantes y tomar decisiones de promoción
  
  
• en determinados productos sanitarios
  
  
• en determinados contextos de educación y formación profesional
  
  
• en el proceso judicial y democrático, como los sistemas que están destinados a influir en el resultado de las elecciones
  
  
• para determinar el acceso a servicios privados o públicos esenciales, incluidos los sistemas que evalúan el derecho a Capacidades públicas y las puntuaciones de crédito.
  
  
• en la gestión de infraestructuras críticas (por ejemplo, suministros de agua, gas y electricidad, etc.)
  
  
• en cualquier sistema de identificación biométrica que no estén prohibidos, excepto para los sistemas cuyo único propósito sea verificar la identidad de una persona (por ejemplo, usar un escáner de huellas dactilares para otorgar a alguien acceso a una aplicación bancaria).

Para los sistemas incluidos en esta lista, puede haber una excepción si el sistema de IA no representa una amenaza importante para la salud, la seguridad o los derechos de las personas. La ley especifica criterios, uno o más de los cuales deben cumplirse, antes de que se pueda activar una excepción (por ejemplo, cuando el sistema de IA está destinado a realizar una tarea de procedimiento limitada). Si se basa en esta excepción, el proveedor debe documentar su evaluación de que el sistema no es de alto riesgo, y los reguladores pueden solicitar ver esa evaluación. La excepción no está disponible para los sistemas de IA que procesan automáticamente datos personales para evaluar o predecir algún aspecto de la vida de una persona, como sus preferencias de productos (elaboración de perfiles), que siempre se consideran de alto riesgo.

Al igual que con la lista de prácticas prohibidas de IA, la Comisión de la UE podrá actualizar la lista de sistemas de IA de alto riesgo en el futuro.

Los sistemas de IA de alto riesgo deben cumplir con requisitos específicos. Algunos ejemplos son:

• Implementar un sistema continuo de gestión de riesgos para monitorizar la IA a lo largo de su ciclo de vida. Por ejemplo, se espera que los proveedores mitiguen los riesgos razonablemente previsibles que plantea el uso previsto de sus sistemas.
  
  
• Adoptar prácticas rigurosas de gobierno de datos para garantizar que los datos de entrenamiento, validación y prueba cumplan con criterios de calidad específicos. Por ejemplo, debe haber un marco de gobierno en torno al proceso de recopilación de datos y el origen de los datos, así como medidas para prevenir y mitigar los sesgos.
  
  
• Mantener una documentación técnica exhaustiva con información específica que incluya especificaciones de diseño del sistema, capacidades, limitaciones y esfuerzos de cumplimiento normativo.

Existen obligaciones de transparencia adicionales para tipos específicos de IA. Por ejemplo:

• Los sistemas de IA destinados a interactuar directamente con los individuos deben diseñarse para informar a los usuarios de que están interactuando con un sistema de IA, a menos que esto sea obvio para el individuo por el contexto. Un chatbot, por ejemplo, debe diseñarse para notificar a los usuarios que es un chatbot.
   
  
• Los sistemas de IA que generan texto, imágenes u otros contenidos determinados deben utilizar formatos legibles por máquina para marcar los resultados como generados o manipulados por IA. Esto incluye, por ejemplo, IA que genera deepfakes: imágenes o vídeos alterados para mostrar a alguien haciendo o diciendo algo que no hizo ni dijo.

A continuación, destacamos algunas obligaciones de los principales operadores de sistemas de IA de alto riesgo en la cadena de valor de la IA (proveedores e implementadores).

Los proveedores de sistemas de IA de alto riesgo deben cumplir requisitos que incluyen:

• Garantizar que los sistemas de IA de alto riesgo cumplan con los requisitos para los sistemas de IA de alto riesgo descritos en la ley. Por ejemplo, implementar un sistema de gestión continua de riesgos.
  
  
• Contar con un sistema de gestión de la calidad.
  
  
• Implementación de planes de seguimiento postcomercialización para supervisar el rendimiento del sistema de IA y evaluar su cumplimiento continuo a lo largo del ciclo de vida del sistema.

Los que implementen sistemas de IA de alto riesgo tendrán obligaciones que incluyen:

• Tomar las medidas técnicas y organizativas adecuadas para garantizar que utilizan dichos sistemas de acuerdo con sus instrucciones de uso.
  
  
• Mantener los registros del sistema de IA generados automáticamente, en la medida en que dichos registros estén bajo su control, durante un período específico
  
  
• En el caso de los implementadores que utilizan sistemas de IA de alto riesgo para prestar determinados servicios esenciales, como organismos gubernamentales u organizaciones privadas que prestan servicios públicos, que realizan evaluaciones de impacto sobre los derechos fundamentales antes de utilizar determinados sistemas de IA de alto riesgo por primera vez.

La Ley de IA de la UE crea normas separadas para los modelos de IA de uso general (GPAI). Los proveedores de modelos GPAI tendrán obligaciones como las siguientes:

• Establecer políticas que respeten la legislación de la UE sobre derechos de autor.
  
  
• Redactar y poner a disposición del público resúmenes detallados de los conjuntos de datos de formación.

Si un modelo GPAI se clasifica como de riesgo sistémico, los proveedores tendrán obligaciones adicionales. El riesgo sistémico es un riesgo específico de las capacidades de alto impacto de los modelos GPAI que tienen un impacto significativo en el mercado de la UE debido a su alcance o debido a efectos negativos reales o razonablemente previsibles sobre la salud pública, la seguridad, la seguridad pública, los derechos fundamentales o la sociedad en su conjunto, que pueden propagarse a escala a través de la cadena de valor. La ley utiliza los recursos de entrenamiento como uno de los criterios para identificar el riesgo sistémico: si la cantidad acumulada de potencia informática utilizada para entrenar un modelo es superior a 10^25 operaciones en coma flotante (FLOP), se presume que tiene capacidades de alto impacto y plantea un riesgo sistémico. La Comisión de la UE también puede clasificar un modelo como de riesgo sistémico.

Los proveedores de modelos GPAI que supongan un riesgo sistémico, incluidos los modelos gratuitos y de código abierto, deben cumplir algunas obligaciones adicionales, por ejemplo:

• Documentar y notificar incidentes graves a la Oficina de IA de la UE y a los reguladores nacionales pertinentes.
  
  
• Implementación de una seguridad informática adecuada para proteger el modelo y su infraestructura física.

Por no cumplir con las prácticas de IA prohibidas, las organizaciones pueden recibir una multa de hasta 35 000 000 euros o el 7 % de la facturación anual mundial, lo que sea mayor.

Para la mayoría de las demás infracciones, incluido el incumplimiento de los requisitos para sistemas de IA de alto riesgo, las organizaciones pueden recibir multas de hasta 15 000 000 euros o el 3 % de la facturación anual mundial, lo que sea mayor.

El suministro de información incorrecta, incompleta o engañosa a las autoridades puede provocar que las organizaciones reciban una multa de hasta 7 500 000 euros o el 1 % de la facturación anual mundial, lo que sea mayor.

En particular, la Ley de IA de la UE tiene diferentes reglas para sancionar a las start-ups y otras organizaciones de tamaño pequeño y medio. Para estas empresas, la multa es el menor de los dos importes posibles especificados anteriormente.

La ley entró en vigor el 1 de agosto de 2024, y diferentes disposiciones de la ley entraron en vigor por etapas. Algunas de las fechas más notables incluyen:

• A partir del 2 de febrero de 2025 entrarán en vigor las prohibiciones de las prácticas prohibidas de IA.
  
  
• A partir del 2 de agosto de 2025, entrarán en vigor las normas relativas a la IA de propósito general para los nuevos modelos GPAI. Los proveedores de modelos GPAI que se comercializaron antes del 2 de agosto de 2025 tendrán hasta el 2 de agosto de 2027 para cumplir la normativa.
  
  
• A partir del 2 de agosto de 2026, entrarán en vigor las normas para los sistemas de IA de alto riesgo.
  
  
• A partir del 2 de agosto de 2027, se aplicarán las normas a los sistemas de IA que sean productos o componentes de seguridad de productos regulados por leyes específicas de la UE.