El 8 de diciembre, los responsables de políticas de la Unión Europea alcanzaron un hito significativo al finalizar la Ley de Inteligencia Artificial (Ley de IA), estableciéndola como el primer marco regulatorio integral del mundo para la inteligencia artificial. Como líder en gobernanza digital y de datos global, la UE ha establecido consistentemente estándares en numerosos temas, incluidos la privacidad de datos y las prácticas de publicidad dirigida. Tras un largo proceso legislativo que comenzó en abril de 2021, la Ley de IA está lista para transformar la gobernanza de la inteligencia artificial, marcando el 'Efecto Bruselas' que elevará los estándares de IA en la economía global.
El texto oficial está en revisión final, pero se espera que la histórica Ley de IA sea adoptada oficialmente en abril de 2024, con una implementación gradual comenzando en 2026.
¿Qué es la Ley de IA de la UE?
La Ley de IA de la UE representa un marco legal innovador introducido por la Comisión Europea en abril de 2021, con el objetivo de garantizar la seguridad, responsabilidad y transparencia de los sistemas de IA en el mercado europeo. Aplicando un enfoque basado en riesgos, la Ley supervisará a desarrolladores, distribuidores, importadores y usuarios de IA, evaluando cuidadosamente los posibles impactos adversos de los sistemas de IA. Cuanto mayor sea el posible daño de una aplicación de IA, más fuerte será la supervisión requerida. Esta legislación es similar al Reglamento General de Protección de Datos (RGPD) de la UE, que ha influido en los estándares de privacidad global desde su implementación en 2016.
¿Quiénes se ven afectados por la Ley de IA?
La Ley de IA define responsabilidades específicas para diversas entidades del ecosistema de IA, incluyendo desarrolladores, distribuidores y usuarios. Es importante destacar que incluso las empresas con sede fuera de la UE pueden caer bajo la jurisdicción de la Ley si sus sistemas de IA generan resultados utilizados dentro de la UE. Por ejemplo, una empresa sudamericana que desarrolle un sistema de IA que afecte a residentes de la UE podría estar sujeta a la Ley.
La Ley de IA no se aplicará a aplicaciones militares o de seguridad nacional, pero establece condiciones estrictas para el uso de sistemas de identificación biométrica remota por parte de las fuerzas del orden.
El borrador de la Ley de IA, adoptado por el Parlamento Europeo en junio de 2023, destaca dos categorías clave de actores:
- Proveedor: Se refiere a los desarrolladores que ofrecen sistemas de IA bajo su propia marca, ya sea de forma gratuita o mediante pago. Un ejemplo es OpenAI con ChatGPT en el mercado de la UE.
- Desplegador: Anteriormente conocido como "Usuario", ahora describe a las entidades que utilizan sistemas de IA para fines profesionales o comerciales.
Las obligaciones de cumplimiento recaen principalmente en el Proveedor de IA, reflejando cómo el RGPD asigna la responsabilidad a los controladores de datos. Sin embargo, el número de usuarios de IA (Desplegadores) superará con creces el de Proveedores, especialmente en sistemas de alto riesgo, donde los Desplegadores jugarán un papel crucial en la gestión de riesgos relacionados con la IA.
Clasificación de Riesgos de Prácticas de IA
Con un enfoque en la protección de los derechos y la seguridad del usuario final, la Ley de IA clasifica los sistemas de IA en cuatro categorías de riesgo:
1. IA Inaceptable: Esta categoría prohíbe el uso de tecnologías de IA que amenacen valores democráticos o derechos humanos, como los sistemas de crédito social y la vigilancia biométrica intrusiva.
2. IA de Alto Riesgo: Los sistemas de IA que podrían causar daños significativos a sectores críticos—como infraestructura, empleo y salud pública—se consideran de alto riesgo. Los desarrolladores de tales sistemas deben cumplir con requisitos rigurosos, incluyendo evaluaciones de conformidad, registro, gobernanza de datos y protocolos de ciberseguridad.
3. IA de Bajo Riesgo: Los sistemas que representan riesgos menores, como chatbots básicos, requieren medidas de transparencia, exigiendo que los usuarios sean informados cuando el contenido es generado por IA.
4. IA Mínima o Sin Riesgo: Esta categoría abarca aplicaciones de bajo riesgo, incluyendo resúmenes automatizados y filtros de spam, que típicamente no representan riesgos significativos para los usuarios.
Penalizaciones por Incumplimiento
Violar las disposiciones de la Ley de IA puede acarrear sanciones sustanciales. Las multas oscilan entre 7,5 millones de euros o el 1,5% de los ingresos anuales globales, hasta 35 millones de euros o el 7% de los ingresos globales, según la gravedad de la infracción. La versión del Parlamento de 2023 propone las siguientes multas potenciales:
- IA Inaceptable: Hasta el 7% de los ingresos anuales globales, un aumento del 6% anterior.
- IA de Alto Riesgo: Hasta 20 millones de euros o el 4% de los ingresos globales.
- IA de Propósito General (por ejemplo, ChatGPT): Multas de hasta 15 millones de euros o el 2% de los ingresos globales, con disposiciones especiales para aplicaciones de IA generativa.
- Información Incorrecta: Multas de hasta 7,5 millones de euros o el 1,5% de los ingresos globales.
Preparación para la Ley de IA
Para navegar eficazmente la Ley de IA, las organizaciones deben adoptar una estrategia de gobernanza integral que incluya controles internos robustos y gestión de la cadena de suministro. Las empresas que desarrollan o despliegan sistemas de IA de alto riesgo deben realizar evaluaciones exhaustivas de sus operaciones y considerar las siguientes preguntas:
- ¿Qué departamentos están utilizando herramientas de IA?
- ¿Estas herramientas están procesando información confidencial o datos personales sensibles?
- ¿Estos casos de uso caen dentro de las categorías de inaceptables, alto o bajo a nulo riesgo según lo definido por la Ley de IA?
- ¿La empresa actúa como Proveedor de IA o como Desplegador de IA?
- ¿Qué estipulaciones existen en los acuerdos con proveedores en relación con la protección de datos y el cumplimiento?
El avance de la UE con la Ley de IA podría provocar cambios significativos en los enfoques legislativos globales para gestionar los riesgos de la IA. Junto con el reciente Decreto Ejecutivo de IA de EE. UU. anunciado en octubre, este acuerdo fundamental señala una era transformadora en la forma en que las empresas pueden aprovechar la tecnología de IA de manera responsable y efectiva.
Clasificación
