MENÚ
MALDITA TECNOLOGÍA

¿Qué es la Ley Europea de Inteligencia Artificial? ¿Cuándo entra en vigor? ¿Quién debe cumplirla y cuáles son las sanciones si no se hace? Preguntas y respuestas sobre la AI Act

Publicado
Actualizado
Claves
  • La Ley de Inteligencia Artificial, que entra en vigor oficialmente el 1 de agosto, es el primer marco jurídico integral sobre IA en todo el mundo y pretende regular los sistemas de IA que operen en la Unión Europea 
  • La ley establece prohibiciones y obligaciones en base al riesgo de los sistemas de IA y fija cuatro niveles de peligrosidad: riesgo inaceptable (completamente prohibido), alto riesgo, riesgo limitado y riesgo mínimo 
  • Los proveedores y desarrolladores que incumplan la prohibición de prácticas de IA de riesgo inaceptable pueden enfrentar multas de hasta 35 millones de euros o el 7% de la facturación total anual mundial de la empresa
  • Además de la nueva ley de IA, los modelos y herramientas de IA deben cumplir con sus obligaciones de propiedad intelectual, protección de datos, responsabilidad y ciberseguridad
Comparte
Categorías
Inteligencia artificial
Legislación
Recursos utilizados
Legislación

La Unión Europea ha marcado un hito con la Ley de Inteligencia Artificial (AI Act, en inglés): es el primer marco jurídico integral sobre IA en todo el mundo. La legislación tiene como objetivo establecer requisitos y obligaciones claras para los operadores de esta tecnología en relación al uso de los modelos en la UE. La Ley de IA entra oficialmente en vigor el 1 de agosto de 2024 en todos los países miembros, aunque esto no significa que todos los cambios deben hacerse para esa fecha: las prohibiciones aplicarán desde el 2 de febrero de 2025 y el resto de obligaciones lo harán progresivamente hasta el 2027. 

La Comisión Europea la define como una ley “con enfoque basado en el riesgo” y determina cuatro niveles de peligrosidad de un sistema de IA: riesgo inaceptable, alto riesgo, riesgo limitado y riesgo mínimo. La IA de riesgo inaceptable está completamente prohibida y su incumplimiento conlleva multas de hasta 35 millones de euros o el 7% de la facturación total anual mundial de la empresa. 

A un clic, ¿de qué hablamos en este tema? Pincha para ampliar

¿Qué es la Ley de Inteligencia Artificial de la Unión Europea?

La Ley de Inteligencia Artificial es el marco jurídico único para los sistemas de IA que operen en la Unión Europea, aprobada el 13 de marzo de 2024 y publicada en el Diario Oficial de la Unión Europea el 12 de julio de 2024. Su objetivo es imponer a los desarrolladores e implementadores de esta tecnología requisitos y obligaciones claras en relación con los usos de la IA. También busca reducir las cargas administrativas y financieras para las empresas, en particular las pequeñas y medianas (pymes). 

La Ley de IA hace historia al ser el primer marco jurídico integral sobre IA en todo el mundo. De esta manera, la Unión Europea pretende liderar la regulación sobre inteligencia artificial global, fomentando “una IA fiable en Europa y fuera de ella, garantizando que los sistemas de IA respeten los derechos fundamentales, la seguridad y los principios éticos y abordando los riesgos de modelos de IA muy potentes e impactantes", afirma la Comisión Europea

¿A quién aplica la AI Act?

La Ley de IA aplica a todos los operadores que  comercializan sistemas de inteligencia artificial que se usan en el territorio de la Unión Europea. Aunque la mayor parte de las obligaciones de la legislación van dirigidas a proveedores, es decir, aquellos que desarrollan el sistema, también existen medidas específicas para otros actores dentro de la cadena de valor de la IA. En cambio, no se contemplan obligaciones para los usuarios finales.

¿Cómo se distribuyen las distintas obligaciones y prohibiciones?

La nueva Ley de IA europea tiene un enfoque basado en el riesgo, es decir, regula según el peligro que pueda suponer el modelo de inteligencia artificial para la seguridad y los derechos fundamentales. Para ello define cuatro tipos de riesgos: riesgo inaceptable, alto riesgo, riesgo limitado y riesgo mínimo o nulo. 

Los sistemas de riesgo inaceptable (considerados una amenaza para la seguridad, los medios de vida y los derechos de las personas) están completamente prohibidos. Dentro de esta categoría se encuentran sistemas capaces de identificar emociones como enfado o sorpresa a través de datos biométricos o asistentes de voz que motivan comportamientos peligrosos. Si quieres consultar el listado completo de las prácticas prohibidas, revisa el artículo 5 de la ley.

Los llamados modelos de uso general (GPAI, por sus siglas en inglés), como GPT-4, DALL-E, BERT o Midjourney 5.1, que pueden llevar a cabo muchas tareas diferentes entre sí e integrarse en varios sistemas o aplicaciones, se clasifican de otra forma aunque parecida: modelos GPAI estándar o modelos GPAI con riesgo sistémico.

Si alcanza cierto umbral técnico de recursos computacionales o puede tener efectos negativos previsibles, será considerado modelo GPAI con riesgo sistémico. Sus proveedores se verán sometidos a obligaciones más exigentes que las medidas básicas de transparencia.  

¿Cuáles son las obligaciones y prohibiciones para las distintas categorías? 

Siguiendo la clasificación por riesgo que establece la ley, las empresas o individuos responsables de cada sistema de IA se enfrentan a obligaciones más o menos exigentes según la categoría en la que se encuentre ese sistema. Es decir, una misma empresa que ofrezca distintos servicios de IA o que haya desarrollado distintas herramientas puede responder a distintos niveles de riesgo según cada IA.

Las obligaciones según la categoría son:

  • Riesgo Inaceptable: estos sistemas no están sujetos a obligaciones pues están directamente prohibidos.

  • Alto Riesgo: los sistemas y proveedores deben estar registrados en una base de datos europea antes de ser operativos y deben cumplir con obligaciones relacionadas con su entrenamiento y gobernanza de datos, trazabilidad, supervisión humana y ciberseguridad.

  • Riesgo Limitado: las obligaciones de este grupo son principalmente de transparencia.

  • Riesgo Mínimo o Nulo: no se especifican obligaciones específicas para estos sistemas.

¿Qué dice sobre los sistemas que usan datos biométricos?

La inteligencia artificial se puede emplear en sistemas que utilizan datos biométricos (nuestras características físicas, fisiológicas y conductuales, como la huella dactilar o imágenes faciales). Son datos muy sensibles y si se utilizan, por ejemplo, para obtener información sobre nuestro comportamiento o con fines fraudulentos, como la suplantación de identidad, puede implicar riesgos para nuestra privacidad y derechos fundamentales.

La AI Act contempla los usos de IA y datos biométricos y también los regula según el nivel de riesgo que suponen. Hay algunas prácticas prohibidas, como el reconocimiento de emociones en espacios de trabajo o estudio, la identificación biométrica en tiempo real en espacios públicos con fines policiales y la creación o ampliación de bases de datos de reconocimiento facial con imágenes de internet o CCTV. 

Por otro lado, hay otros sistemas permitidos pero de alto riesgo, que deben cumplir con una serie de obligaciones para reducir sus peligros. Estos son los de identificación biométrica remota (con excepciones), categorización biométrica por atributos y reconocimiento de emociones con fines de seguridad y médicos. 

Te lo explicamos en detalle en este artículo

¿A qué sistemas aplica la excepción de seguridad nacional y qué consecuencias puede tener?

La Ley de IA contiene una excepción en la que no aplica ninguna de las obligaciones que dicta. Es la seguridad nacional, que exime de ellas a los sistemas de IA que se utilicen exclusivamente con fines militares, de defensa o seguridad nacional, independiente de si se desarrollan o usan por entidades públicas o privadas, según el artículo 2.3.

Esto puede ser ambiguo y generar dudas a la hora de su aplicación. Organizaciones como la red EDRi han manifestado su preocupación por la “laguna jurídica” que introduce esta excepción. Los expertos consultados por Maldita.es afirman que existe para respetar la soberanía de los Estados miembros, pero que no es una carta blanca y su uso debe cumplir con la normativa que regula la Política común de seguridad y defensa de la UE y con la propia normativa de seguridad nacional de cada país. 

Puedes leer más aquí

¿Cuándo entra en vigor y cómo se implementará? ¿Quién vigila que se cumpla?

La Ley de IA entra en vigor el 1 de agosto de 2024. Esto no significa que todos los operadores deben cambiar ya de ya todo para ajustarse a la ley: las prohibiciones se aplicarán desde el 2 de febrero de 2025 y el resto de obligaciones serán aplicables de forma progresiva hasta el 2027. Puedes revisar el calendario completo de implementación en este enlace

Los encargados de que se cumpla la ley son la Comisión Europea y los estados miembros. ¿Cómo? Cada país debe crear o designar una autoridad independiente para supervisar el cumplimiento. En España, es la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), establecida en A Coruña, la que cumplirá este rol. Además, representantes de cada estado formarán el Consejo de IA para apoyar la implementación. 

Por otro lado, la Comisión ha creado la Oficina Europea de IA como parte de la Dirección General de Redes de Comunicación, Contenido y Tecnologías. Este centro de expertos apoyará la labor de implementación y supervisará el cumplimiento de las obligaciones para modelos de uso general. Además, fomentará el desarrollo y el uso de IA confiable y la cooperación internacional en este ámbito.

¿Cuáles son las sanciones si se incumple la AI Act?

Los operadores que incumplan la prohibición de prácticas de IA de riesgo inaceptable pueden enfrentar multas de hasta 35 millones de euros o el 7% de la facturación total anual mundial si el infractor es una empresa. 

Las otras sanciones descritas en la Ley de IA varían según su severidad y la naturaleza de las violaciones. Los infractores pueden enfrentarse a multas que van desde los 2 millones de euros por infracciones menores a 15 millones por infracciones de alto riesgo. 

Ojo, que ahora exista una Ley de Inteligencia Artificial no significa que sea la única legislación que regule estas tecnologías. Los modelos, sistemas y herramientas de IA deben cumplir con sus obligaciones en materia de propiedad intelectual, protección de datos, responsabilidad y ciberseguridad. Además, “la Ley de IA forma parte de un paquete más amplio de medidas políticas para apoyar el desarrollo de una IA fiable, como el paquete de innovación en IA y el plan coordinado sobre IA ”, afirma la Comisión Europea

Primera fecha de publicación de este artículo: 31/07/2024

Glosario
Mándanos tus preguntas
TU KIT DE PRIVACIDAD
Servicios alternativos para tu día a día digital
Canal de Telegram
Hazte maldito, Hazte maldita
Únete y apóyanos en nuestra batalla contra la mentira
Usa tus superpoderes y ayúdanos en esta batalla contra la mentira
Hazte maldito, Hazte maldita
Te necesitamos para combatir los bulos y la mentira: sólo juntos podemos pararla. En Maldita.es queremos darte herramientas para protegerte contra la desinformación, pero sólo con tu apoyo será posible.

Eres muy importante en esta batalla para que no nos la cuelen. Seguro que tienes conocimientos útiles para nuestra batalla contra los bulos. ¿Tienes conocimientos de idiomas? ¿Lo tuyo es la historia? ¿Sabes mucho sobre leyes? ¡Préstanos tu Superpoder y acabemos juntos con los bulos!

También puedes apoyarnos económicamente. Maldita.es una entidad sin ánimo de lucro y que sea sostenible e independiente, libre de publicidad y con profesionales bien remunerados dedicados a luchar, contigo, contra la desinformación depende de tu ayuda. Cada aportación cuenta, cualquier cantidad es importante.