La Unión Europea ha marcado un hito con la Ley de Inteligencia Artificial (AI Act, en inglés): es el primer marco jurídico integral sobre IA en todo el mundo. La legislación tiene como objetivo establecer requisitos y obligaciones claras para los operadores de esta tecnología en relación al uso de los modelos en la UE. La Ley de IA entra oficialmente en vigor el 1 de agosto de 2024 en todos los países miembros, aunque esto no significa que todos los cambios deben hacerse para esa fecha: las prohibiciones aplicarán desde el 2 de febrero de 2025 y el resto de obligaciones lo harán progresivamente hasta el 2027.
La Comisión Europea la define como una ley “con enfoque basado en el riesgo” y determina cuatro niveles de peligrosidad de un sistema de IA: riesgo inaceptable, alto riesgo, riesgo limitado y riesgo mínimo. La IA de riesgo inaceptable está completamente prohibida y su incumplimiento conlleva multas de hasta 35 millones de euros o el 7% de la facturación total anual mundial de la empresa.
A un clic, ¿de qué hablamos en este tema? Pincha para ampliar
¿Cómo se distribuyen las distintas obligaciones y prohibiciones?
¿Cuáles son las obligaciones y prohibiciones para las distintas categorías?
¿A qué sistemas aplica la excepción de seguridad nacional y qué consecuencias puede tener?
¿Cómo afecta a los centros educativos que utilizan sistemas de IA?
¿Qué es la Ley de Inteligencia Artificial de la Unión Europea?
La Ley de Inteligencia Artificial es el marco jurídico único para los sistemas de IA que operen en la Unión Europea, aprobada el 13 de marzo de 2024 y publicada en el Diario Oficial de la Unión Europea el 12 de julio de 2024. Su objetivo es imponer a los desarrolladores e implementadores de esta tecnología requisitos y obligaciones claras en relación con los usos de la IA. También busca reducir las cargas administrativas y financieras para las empresas, en particular las pequeñas y medianas (pymes).
La Ley de IA hace historia al ser el primer marco jurídico integral sobre IA en todo el mundo. De esta manera, la Unión Europea pretende liderar la regulación sobre inteligencia artificial global, fomentando “una IA fiable en Europa y fuera de ella, garantizando que los sistemas de IA respeten los derechos fundamentales, la seguridad y los principios éticos y abordando los riesgos de modelos de IA muy potentes e impactantes", afirma la Comisión Europea.
¿A quién aplica la AI Act?
La Ley de IA aplica a todos los operadores que comercializan sistemas de inteligencia artificial que se usan en el territorio de la Unión Europea. Aunque la mayor parte de las obligaciones de la legislación van dirigidas a proveedores, es decir, aquellos que desarrollan el sistema, también existen medidas específicas para otros actores dentro de la cadena de valor de la IA. En cambio, no se contemplan obligaciones para los usuarios finales.
¿Cómo se distribuyen las distintas obligaciones y prohibiciones?
La nueva Ley de IA europea tiene un enfoque basado en el riesgo, es decir, regula según el peligro que pueda suponer el modelo de inteligencia artificial para la seguridad y los derechos fundamentales. Para ello define cuatro tipos de riesgos: riesgo inaceptable, alto riesgo, riesgo limitado y riesgo mínimo o nulo.
Los sistemas de riesgo inaceptable (considerados una amenaza para la seguridad, los medios de vida y los derechos de las personas) están completamente prohibidos. Dentro de esta categoría se encuentran sistemas capaces de identificar emociones como enfado o sorpresa a través de datos biométricos o asistentes de voz que motivan comportamientos peligrosos. Si quieres consultar el listado completo de las prácticas prohibidas, revisa el artículo 5 de la ley.
Los llamados modelos de uso general (GPAI, por sus siglas en inglés), como GPT-4, DALL-E, BERT o Midjourney 5.1, que pueden llevar a cabo muchas tareas diferentes entre sí e integrarse en varios sistemas o aplicaciones, se clasifican de otra forma aunque parecida: modelos GPAI estándar o modelos GPAI con riesgo sistémico.
Si alcanza cierto umbral técnico de recursos computacionales o puede tener efectos negativos previsibles, será considerado modelo GPAI con riesgo sistémico. Sus proveedores se verán sometidos a obligaciones más exigentes que las medidas básicas de transparencia.
¿Cuáles son las obligaciones y prohibiciones para las distintas categorías?
Siguiendo la clasificación por riesgo que establece la ley, las empresas o individuos responsables de cada sistema de IA se enfrentan a obligaciones más o menos exigentes según la categoría en la que se encuentre ese sistema. Es decir, una misma empresa que ofrezca distintos servicios de IA o que haya desarrollado distintas herramientas puede responder a distintos niveles de riesgo según cada IA.
Las obligaciones según la categoría son:
Riesgo Inaceptable: estos sistemas no están sujetos a obligaciones pues están directamente prohibidos.
Alto Riesgo: los sistemas y proveedores deben estar registrados en una base de datos europea antes de ser operativos y deben cumplir con obligaciones relacionadas con su entrenamiento y gobernanza de datos, trazabilidad, supervisión humana y ciberseguridad.
Riesgo Limitado: las obligaciones de este grupo son principalmente de transparencia.
Riesgo Mínimo o Nulo: no se especifican obligaciones específicas para estos sistemas.
¿Qué dice sobre los sistemas que usan datos biométricos?
La inteligencia artificial se puede emplear en sistemas que utilizan datos biométricos (nuestras características físicas, fisiológicas y conductuales, como la huella dactilar o imágenes faciales). Son datos muy sensibles y si se utilizan, por ejemplo, para obtener información sobre nuestro comportamiento o con fines fraudulentos, como la suplantación de identidad, puede implicar riesgos para nuestra privacidad y derechos fundamentales.
La AI Act contempla los usos de IA y datos biométricos y también los regula según el nivel de riesgo que suponen. Hay algunas prácticas prohibidas, como el reconocimiento de emociones en espacios de trabajo o estudio, la identificación biométrica en tiempo real en espacios públicos con fines policiales y la creación o ampliación de bases de datos de reconocimiento facial con imágenes de internet o CCTV.
Por otro lado, hay otros sistemas permitidos pero de alto riesgo, que deben cumplir con una serie de obligaciones para reducir sus peligros. Estos son los de identificación biométrica remota (con excepciones), categorización biométrica por atributos y reconocimiento de emociones con fines de seguridad y médicos.
Te lo explicamos en detalle en este artículo.
¿A qué sistemas aplica la excepción de seguridad nacional y qué consecuencias puede tener?
La Ley de IA contiene una excepción en la que no aplica ninguna de las obligaciones que dicta. Es la seguridad nacional, que exime de ellas a los sistemas de IA que se utilicen exclusivamente con fines militares, de defensa o seguridad nacional, independiente de si se desarrollan o usan por entidades públicas o privadas, según el artículo 2.3.
Esto puede ser ambiguo y generar dudas a la hora de su aplicación. Organizaciones como la red EDRi han manifestado su preocupación por la “laguna jurídica” que introduce esta excepción. Los expertos consultados por Maldita.es afirman que existe para respetar la soberanía de los Estados miembros, pero que no es una carta blanca y su uso debe cumplir con la normativa que regula la Política común de seguridad y defensa de la UE y con la propia normativa de seguridad nacional de cada país.
Puedes leer más aquí.
¿Cómo afecta a los centros educativos que utilizan sistemas de IA?
La inteligencia artificial ya está presente en las aulas. En la Unión Europea lo saben y han incluido en la ley las aplicaciones en el ámbito educativo de esta tecnología, con el fin de limitar sus efectos negativos en los alumnos. Para ello, la AI Act prohíbe los sistemas de reconocimiento de emociones en centros de estudios. Además, limita e impone obligaciones a los sistemas de alto riesgo, como aquellos que se usan para la admisión, evaluación y categorización de los alumnos, y los que se utilizan para detectar comportamientos prohibidos durante los exámenes virtuales (proctoring).
Como implementadores, los centros educativos tienen obligaciones y deben asegurar que su uso cumpla con la ley. Si deciden incorporar sistemas de alto riesgo, deberán hacer análisis de riesgos sobre la salud y seguridad de los alumnos, además de contar con supervisión humana a la hora de usarlos, para evitar que se cometan errores o se tomen decisiones injustas. Si no lo hacen, tanto los proveedores como los implementadores se pueden enfrentar a sanciones.
Más detalles sobre el tema aquí.
¿Cuándo entra en vigor y cómo se implementará? ¿Quién vigila que se cumpla?
La Ley de IA entra en vigor el 1 de agosto de 2024. Esto no significa que todos los operadores deben cambiar ya de ya todo para ajustarse a la ley: las prohibiciones se aplicarán desde el 2 de febrero de 2025 y el resto de obligaciones serán aplicables de forma progresiva hasta el 2027. Puedes revisar el calendario completo de implementación en este enlace.
Los encargados de que se cumpla la ley son la Comisión Europea y los estados miembros. ¿Cómo? Cada país debe crear o designar una autoridad independiente para supervisar el cumplimiento. En España, es la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), establecida en A Coruña, la que cumplirá este rol. Además, representantes de cada estado formarán el Consejo de IA para apoyar la implementación.
Por otro lado, la Comisión ha creado la Oficina Europea de IA como parte de la Dirección General de Redes de Comunicación, Contenido y Tecnologías. Este centro de expertos apoyará la labor de implementación y supervisará el cumplimiento de las obligaciones para modelos de uso general. Además, fomentará el desarrollo y el uso de IA confiable y la cooperación internacional en este ámbito.
¿Cuáles son las sanciones si se incumple la AI Act?
Los operadores que incumplan la prohibición de prácticas de IA de riesgo inaceptable pueden enfrentar multas de hasta 35 millones de euros o el 7% de la facturación total anual mundial si el infractor es una empresa.
Las otras sanciones descritas en la Ley de IA varían según su severidad y la naturaleza de las violaciones. Los infractores pueden enfrentarse a multas que van desde los 2 millones de euros por infracciones menores a 15 millones por infracciones de alto riesgo.
Ojo, que ahora exista una Ley de Inteligencia Artificial no significa que sea la única legislación que regule estas tecnologías. Los modelos, sistemas y herramientas de IA deben cumplir con sus obligaciones en materia de propiedad intelectual, protección de datos, responsabilidad y ciberseguridad. Además, “la Ley de IA forma parte de un paquete más amplio de medidas políticas para apoyar el desarrollo de una IA fiable, como el paquete de innovación en IA y el plan coordinado sobre IA ”, afirma la Comisión Europea.
Primera fecha de publicación de este artículo: 31/07/2024