Ley de IA de la UE: Un primer vistazo a la normativa europea sobre IA

El Parlamento Europeo aprobó la Ley de Inteligencia Artificial de la UE (Ley de IA de la UE) en marzo de 2024, que marca las primeras directrices legales y requisitos de cumplimiento relativos al uso de servicios de IA.

Las empresas de todo el mundo que utilizan sistemas básicos de IA pueden verse afectadas, así que ¿cómo puede prepararse?

A continuación, repaso el Reglamento de la UE sobre IA y explico su ámbito de aplicación, impacto, sanciones por incumplimiento y cómo afecta a empresas y consumidores.

¿Qué es la Ley de Inteligencia Artificial de la UE?

La Ley de Inteligencia Artificial de la Unión Europea (Ley de IA de la UE) es una normativa oficial aprobada por el Parlamento Europeo en marzo de 2024.

Entró en vigor en agosto de 2024.

Fue propuesto por la Comisión Europea y es uno de los primeros textos legislativos que regula y crea un marco jurídico para el uso y desarrollo de la inteligencia artificial.

Fechas importantes en relación con la Ley de IA de la UE

Repasemos brevemente algunas fechas importantes relativas al desarrollo de la normativa europea sobre IA y consideremos el posible calendario futuro de esta normativa.

Abril de 2021

En abril de 2021, la Comisión Europea presentó un amplio paquete de medidas sobre IA, que incluía una propuesta de Ley sobre IA.

Noviembre de 2022

En noviembre de 2022, tras un año de debates entre los legisladores de la UE y casi cinco iteraciones del texto del reglamento, el Consejo de la UE aprobó por unanimidad una versión final de compromiso de la Ley de IA y la presentó al Consejo de Telecomunicaciones (TTE).

Marzo de 2023

Estaba previsto que el Parlamento Europeo votara la versión final de la Ley de IA a finales de marzo de 2023.

Tras la votación, en abril se iniciaron los debates entre los Estados miembros, el Parlamento y la Comisión.

13 de marzo de 2024

El Parlamento Europeo aprueba oficialmente la versión final de la Ley de AI de la UE con una abrumadora mayoría de votos favorables (523-46).

Agosto de 2024

La Ley de Inteligencia Artificial de la UE ha entrado parcialmente en vigor, poniendo en marcha el Pacto de Inteligencia Artificial, una iniciativa de la Comisión Europea destinada a animar a las empresas a comprometerse a contribuir a que el desarrollo de la inteligencia artificial sea seguro, fiable y conforme a la Ley de Inteligencia Artificial de la UE, que entrará en vigor por fases en los próximos tres años.

Febrero de 2025

Entran en vigor las prohibiciones que afectan a la IA de riesgo inaceptable.

Agosto de 2025

Entran en vigor los requisitos que afectan a los proveedores de modelos de IA de uso general , los Estados miembros deben designar autoridades.

La Comisión también llevará a cabo su primera revisión anual de la Ley y propondrá posibles modificaciones en caso necesario.

Agosto de 2026

Entran en vigor las obligaciones que afectan al uso de IA de alto riesgo, principalmente las expresadas en el anexo III, que incluye los sistemas de IA en los siguientes sectores:

• Biometría
• Educación
• Infraestructuras críticas
• Empleo
• Acceso al servicio público
• Cumplimiento de la ley

Todos los Estados miembros habrán aplicado normas sobre sanciones en relación con la Ley, incluidas multas administrativas, y habrán establecido al menos un compartimento estanco operativo.

La Comisión realizará otra revisión anual y propondrá modificaciones en caso necesario.

Agosto de 2027

Entran en vigor todas las obligaciones restantes que afectan a los sistemas de IA de alto riesgo, incluidos los destinados a utilizarse como componente de seguridad de un servicio o producto y los requisitos de evaluación por terceros descritos en otras leyes vigentes de la UE.

¿Cómo define la Ley de IA de la UE los sistemas de IA?

La Ley de IA de la UE define la inteligencia artificial y los sistemas de IA del siguiente modo:

Sistema basado en máquinas que está diseñado para funcionar con distintos niveles de autonomía y que puede mostrar capacidad de adaptación tras su despliegue, y que, para objetivos explícitos o implícitos, infiere, a partir de la entrada que recibe, cómo generar salidas como predicciones, contenidos, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales.

Esta definición incluye el software desarrollado con una o más técnicas, como:

• Enfoques de aprendizaje automático
• Enfoques lógicos y basados en el conocimiento
• Enfoques estadísticos

¿Qué tipo de IA regula la UE y cómo?

La Ley de IA de la UE regula cuatro niveles diferentes de "riesgos" de IA, y la gravedad del nivel de riesgo repercute en los requisitos y obligaciones que deben cumplir las empresas.

En virtud de la Ley de IA, no se permite el uso en la UE de ninguna tecnología que se encuentre en la categoría de riesgo inaceptable. Corresponde a la empresa demostrar a qué nivel de riesgo pertenece su tecnología.

IA de alto riesgo

Según la ley sobre IA de la Unión Europea, la IA de alto riesgo es la categoría más regulada.

Uno de los requisitos es que la documentación técnica de un sistema de IA de alto riesgo se elabore antes de que dicho sistema se comercialice o se ponga en servicio y debe mantenerse actualizada, tal como se describe detalladamente en el anexo IV.

Establece, en parte, que la documentación debe contener:

La ley también establece los siguientes requisitos adicionales para la IA de alto riesgo:

• Los conjuntos de datos utilizados para entrenar, validar y probar las IA deben contar con prácticas de gobernanza y gestión de datos.
• Las IA diseñadas y desarrolladas con capacidades que permitan el registro automático de eventos mientras el sistema está en funcionamiento deben ajustarse a normas reconocidas o especificaciones comunes
• Debe proporcionar información transparente a los usuarios sobre cómo se ha diseñado y desarrollado el sistema de IA, su uso previsto, sus características, capacidades y limitaciones.
• Permitir la supervisión humana mediante herramientas de interfaz, ya sean integradas en el sistema de IA o implementables por el usuario.

Existen otras muchas obligaciones para los proveedores de IA de alto riesgo que cubren lo siguiente:

• Gestión de la calidad
• Documentación técnica
• Evaluaciones de conformidad
• Registros generados automáticamente
• Medidas correctoras
• El deber de información
• Cooperación con las autoridades

Riesgo limitado IA

La Ley de IA de la UE establece obligaciones de transparencia para las IA de riesgo limitado, especialmente cuando existe riesgo de manipulación (por ejemplo, chatbots) o engaño (por ejemplo, deep fakes).

Establece que las personas físicas deben ser conscientes de que están interactuando con un sistema de IA y da cabida a algunas excepciones de aplicación de la ley.

AI de riesgo mínimo

Se anima a todos los servicios de IA que entren en la categoría de riesgo mínimo a adoptar códigos de conducta según la versión actual de la Ley de IA, como garantizar la imparcialidad, la no discriminación y el uso de supervisión humana.

La IA de riesgo mínimo incluye todo lo que no entra en las otras categorías de mayor riesgo.

¿A quién y cómo afecta la Ley de Inteligencia Artificial de la UE?

La Ley de Inteligencia Artificial de la UE tiene un amplio impacto más allá de los Estados miembros de la UE debido a su alcance extraterritorial, lo que significa que las capacidades de aplicación podrían expandirse más allá de los límites territoriales tradicionales de la UE.

Actualmente, tiene repercusiones:

• Empresas que comercializan o ponen en servicio sistemas de IA en la UE, incluso si esos proveedores no están situados físicamente en la propia UE.
• Todos los usuarios de sistemas de IA si están situados en la UE
• Tanto los proveedores como los usuarios de sistemas de IA situados en un país no perteneciente a la UE, cuando el producto generado por el sistema se utilice dentro de la UE.

Con esta normativa europea sobre IA, los usuarios de la UE adquieren derechos y conocimientos sobre el funcionamiento de esos sistemas, mientras que las empresas que produzcan o utilicen tecnología de IA deberán cumplir diversas obligaciones y directrices.

Sin embargo, la ley no se aplica al uso privado o no profesional. También exime a los sistemas de IA desarrollados y utilizados exclusivamente con fines militares.

¿Cómo se aplicará la Ley de Inteligencia Artificial de la UE?

La aplicación de la Ley de Inteligencia Artificial de la UE se deja en manos de las autoridades nacionales de vigilancia, pero un Consejo de Inteligencia Artificial autónomo supervisará la propia ley.

El Consejo de AI propuesto supervisaría específicamente la aplicación y el cumplimiento coherentes de la ley en los 27 Estados miembros.

Posibles sanciones y multas en virtud de la Ley de AI de la UE

La Ley de IA esboza un marco de aplicación similar a la rgpdlegislación primaria de la UE sobre protección de datos, pero con tasas más elevadas.

Las sanciones incluyen multas administrativas de hasta 30.000.000 de euros o, si el infractor es una empresa mundial, de hasta el 6% de su volumen de negocios total anual en todo el mundo:

• Incumplimiento de la prohibición de inteligencia artificial con riesgos inaceptables a que se refiere el artículo 5
• Incumplimiento por el sistema de IA de los requisitos en materia de datos y gobernanza de datos relacionados con las IA de alto riesgo a que se refiere el artículo 10.

Para otras infracciones, prevea multas administrativas de hasta 20.000.000 euros o, si el infractor es una empresa mundial, de hasta el 4% de su volumen de negocios anual total.

Además, el suministro de información incorrecta, incompleta o engañosa a las autoridades está sujeto a una multa de hasta 10.000.000 de euros o, para las empresas globales, de hasta el 2% de su facturación anual total.

IA y privacidad de datos: La conexión, los pros y los contras

Los sistemas de IA están intrínsecamente relacionados con la legislación sobre protección de datos, ya que algunos programas pueden identificar a una persona que, de otro modo, no habría podido ser identificada a partir del conjunto de datos proporcionado.

El aprendizaje automático, en general, se basa en cantidades gigantescas de archivos de texto, y algunos de esos conjuntos de datos contienen detalles que legalmente se califican como información personal según normativas de privacidad como la:

• Reglamento General de Protección de Datos (RGPD)
• Ley de Privacidad del Consumidor de California(CCPA)
• Ley de Protección de Datos de los Consumidores de Virginia (CDPA)

Sin duda, la IA cambiará la forma en que las empresas cumplen la normativa sobre privacidad de datos y viceversa. Así que estaremos aquí para mantenerte al día sobre posibles leyes como la Ley de IA de la UE y ayudar a que la transición sea lo más fluida posible para empresas de cualquier tamaño.

Ventajas e inconvenientes de la IA para la protección de datos

La tecnología de IA tiene muchas ventajas potenciales. Ayuda a agilizar actividades mundanas, mejora la experiencia del usuario y limita la dependencia de una empresa de datos personales sensibles.

Pero también puede utilizarse para fines opuestos.

Los ciberatacantes y las brechas de seguridad a menudo confían en herramientas basadas en IA que adaptan su malware para eludir la detección. También es difícil analizar con precisión si los resultados del procesamiento de información personal por sistemas de IA contienen sesgos o no.

En todo el mundo se siguen debatiendo los pros y los contras de la tecnología de IA. Pero legislaciones como el reglamento europeo sobre IA esperan proteger los derechos de las personas al tiempo que permiten el desarrollo y la implantación de nuevos programas de inteligencia artificial pioneros.

¿Cómo pueden prepararse las empresas para la regulación de la IA?

Para prepararse para la Ley de IA de la UE, recomiendo a las empresas que establezcan un procedimiento de evaluación de la gestión de riesgos de la IA siguiendo estos pasos.

Primer paso: haga un inventario de todos los sistemas de IA que utiliza su empresa

Su empresa debe saber qué sistemas de IA utiliza, cómo, por qué y dónde se despliega la IA.

Así que cree un proceso para identificar e inventariar sus sistemas de IA. Sé transparente y minucioso durante este paso, para no omitir nada accidentalmente.

Segundo paso: crear un sistema de clasificación de riesgos de IA

Una vez que tenga un inventario de todos los sistemas de IA que utiliza su empresa, separe los sistemas en categorías de riesgo paralelas al sistema de clasificación esbozado por la Ley de IA de la UE.

Intente determinar en qué niveles de riesgo se encuentran los sistemas de IA que utiliza y determine si dispone de algún sistema de riesgo alto o inaceptable.

Tercer paso: Aplicar procedimientos de mitigación de riesgos de IA y auditorías independientes

Elabore un sistema de procedimientos de mitigación de riesgos y un método para realizar auditorías que garanticen que su empresa puede identificar y regular los sistemas de IA de riesgo elevado e inaceptable.

Por ejemplo, empiece a presupuestar las herramientas adecuadas de mitigación de riesgos en las que su empresa podría tener que confiar si se aprueba la Ley de Inteligencia Artificial de la UE.

Cuarto paso: Adoptar una estructura interna de gobernanza de la IA

Las empresas pueden prepararse para la Ley de IA de la UE implantando un sistema organizativo interno paralelo a la estructura de gobernanza de la IA propuesta. En otras palabras, utilizar partes de la ley para dar forma e inspirar la forma en que se elaboran las directrices internas de gestión de riesgos que se aplican.

Recomendamos crear un comité interno responsable de la gestión de los riesgos de la IA, compuesto por profesionales de la ciberseguridad, jurídicos y de privacidad de datos.

Esto ayudará a las empresas a cumplir los pasos anteriores, en particular el paso 3, ya que garantiza que su empresa está adecuadamente informada y preparada para las posibles implicaciones jurídicas.

¿Por qué regula Europa la IA?

Europa está regulando el uso de sistemas de IA para establecer protecciones sobre los derechos fundamentales, la salud y la seguridad de los ciudadanos de la UE y para erigirse en líder mundial en el desarrollo de servicios y software de IA.

El objetivo es permitir la rápida continuación del desarrollo de software de IA al tiempo que se preservan los derechos humanos, ayudando a garantizar que la IA tenga un efecto positivo en la vida de las personas y no negativo.

El efecto Bruselas y la Ley de AI de la UE

Muchos legisladores se refieren a lo que se conoce como "efecto Bruselas" cuando hablan del impacto de la normativa de la UE sobre IA, porque puede influir en la forma en que el resto del mundo regule la IA de forma unilateral.

El fenómeno conocido como efecto Bruselas tiene dos vertientes.

1. De facto: Las empresas empiezan a seguir universalmente los requisitos de la UE para normalizar productos o servicios;
2. De Jure: Otros países aprueban legislación formal en consonancia con la normativa de la UE para evitar conflictos con el proceso recientemente normalizado.

La legislación de la UE sobre protección de datos, el Reglamento General de Protección de Datos (rgpd), se cita a menudo como el ejemplo del Efecto Bruselas, ya que afecta significativamente a las obligaciones de las empresas y a la legislación sobre privacidad en todo el mundo.

Aunque no se sabe con certeza si la Ley de Inteligencia Artificial de la UE tendrá el mismo alcance, muchos legisladores sugieren que es una gran posibilidad, por lo que merece la pena seguir de cerca esta ley independientemente de dónde tenga su sede.

Cómo responden a la IA varios países europeos

Con la aparición de los servicios de IA comercializados al público en general, los reguladores europeos trasladaron su atención a la IA, por lo que en la siguiente sección comparo cómo respondieron los distintos países de la UE.

El ICO británico

En noviembre de 2022, la Oficina del Comisionado de Información del Reino Unido(ICO) publicó un marco para auditar los sistemas de IA, centrándose en las mejores prácticas para la protección de datos y el cumplimiento.

Las auditorías son voluntarias y las realiza el Departamento de Garantía del ICO, y el marco puede aplicarse tanto si la organización diseña su propio sistema de IA como si utiliza la IA como servicio.

Esto se produjo tras un incidente en 2022, cuando las autoridades británicas multaron a Clearview AI con 7,5 millones de libras y enviaron un aviso de ejecución al grupo por recopilar ilegalmente más de 20.000 millones de imágenes de rostros de individuos.

Datatilsynet de Noruega

En diciembre de 2022, Datatilsynet de Noruega, la autoridad nacional de protección de datos de la región, presentó un informe sobre la transparencia en la IA para asesorar a las organizaciones sobre cómo informar a los usuarios sobre el uso de la IA.

Datatilsynet señaló que la ley sobre datos personales exige transparencia en el uso de la IA, lo que significa que las organizaciones deben decidir no sólo qué información sobre el uso de la IA necesitan compartir, sino también cuándo y cómo informar a los usuarios.

Países Bajos AP

En diciembre de 2022, la Autoridad Holandesa de Protección de Datos, Autoriteit Persoonsgegevens(AP), comenzó a vigilar y supervisar los algoritmos de IA para:

• Transparencia
• Discriminación
• Equidad

El PA obtuvo una financiación adicional de 1 millón de euros para contribuir a la supervisión del algoritmo.

La fase inicial se centrará en la identificación de algoritmos de alto riesgo, la puesta en común de conocimientos y el perfeccionamiento de la colaboración.

CNIL de Francia

La Comisión Nacional de Informática y Libertades(CNIL) de Francia anunció en 2023 que crearía un servicio para evaluar los riesgos para la privacidad que plantea la IA.

Su objetivo es facilitar a profesionales y particulares la comprensión del funcionamiento de los sistemas de IA en la CNIL y consolidar la experiencia de la CNIL en el conocimiento y la prevención de los riesgos para la privacidad relacionados con la implantación de estos sistemas.

¿Qué pasa con ChatGPT?

OpenAI, propietaria de ChatGPT, publicó A Primer on the EU AI Act y anunció en septiembre de 2024 su adhesión a los principales compromisos del Pacto de la UE sobre Inteligencia Artificial.

Parece que OpenAI considera que ChatGPT es un sistema de IA de propósito general de riesgo mínimo según la Ley, pero ¿qué tiene que decir ChatGPT sobre todo esto?

Al parecer, en marzo de 2023 declaró a POLITICO que tanto ella como otros grandes modelos lingüísticos deberían ser regulados por la UE como "de alto riesgo" debido a su "potencial para crear contenidos dañinos y engañosos", ¡una cita directa de la propia y controvertida IA!

Resumen

La Ley de Inteligencia Artificial de la UE demuestra que la tecnología de IA ha llegado para quedarse, y las empresas deben prepararse para su cumplimiento legal.

Cualquier empresa que utilice servicios de IA debe crear un comité profesional y realizar auditorías independientes para determinar en qué categoría de riesgo puede entrar la tecnología de IA.

Las empresas pueden utilizar Termly's Generador de Política de Privacidad para añadir una cláusula de uso de IA que revele adecuadamente los sistemas de IA que utilizan y cómo procesa los datos personales de los consumidores.

Más sobre el autor

Escrito por Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha es Especialista en Seguridad de la Información y Protección de Datos y Responsable Certificada de Protección de Datos. Ha sido Responsable de Protección de Datos durante los últimos seis años, ayudando a pequeñas y medianas empresas a cumplir la legislación. También ha sido mentora en materia de cumplimiento de la privacidad para muchas aceleradoras de empresas internacionales. Está especializada en implementar, supervisar y auditar el cumplimiento empresarial de la normativa sobre privacidad (HIPAA, PIPEDA, Directiva ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha estudió Derecho en la Universidad de Belgrado y aprobó el examen de abogacía en 2016. Más sobre el autor