Ley de IA de la UE: las normas más importantes y sus implicaciones para las empresas

Ley de IA de la UE: ¿de qué se trata?

El desarrollo de la inteligencia artificial (IA) dio un gran salto a finales de 2022 con ChatGPT (Chatbot Generative Pre-trained Transformer), cuya versión 4 está disponible desde marzo de 2023. El lanzamiento del primer modelo de la serie se remonta a junio de 2018, y ya en marzo de ese mismo año, la Comisión de la Unión Europea (UE) había establecido un grupo de expertos para desarrollar, entre otras cosas, una propuesta de directrices sobre la ética con respecto a la IA.

Actualmente, este enfoque se ha convertido en la propuesta de ley europea de inteligencia artificial, denominada Ley de IA de la UE. En junio de 2023, el Parlamento Europeo adoptó su posición negociadora sobre esta ley. Entretanto, se están manteniendo conversaciones en el Consejo con los países de la UE sobre la forma final de la ley.

Se trata de la primera iniciativa de este tipo en todo el mundo y tiene dos objetivos principales. Por un lado, pretende impulsar el desarrollo de la IA y reforzar el potencial competitivo mundial de la UE en este ámbito. Por otro, se propone garantizar que la tecnología se centre en el ser humano y resulte fiable. Para ello, la IA desarrollada y utilizada en la UE debe respetar los derechos y valores de la confederación. Además, la Ley de IA de la UE pretende establecer el marco jurídico para todo ello.

Es importante señalar que la ley propuesta es un reglamento, lo que significa que es de aplicación directa en los Estados miembro de la UE y no requiere transposición a la legislación nacional. Cuando entre en vigor, el reglamento pasará a formar parte de la legislación nacional y podrá aplicarse ante los países correspondientes.

En resumen: puntos más importantes de la ley

En esencia, se trata de una clasificación de los sistemas de IA en función de sus riesgos, sobre todo para la salud, la seguridad y los derechos fundamentales de las personas. De este modo, la Ley de IA de la UE establece cuatro niveles:

• Inaceptable
• Alto
• Limitado
• Mínimo

Los sistemas de IA con un riesgo inaceptable quedan prohibidos si suponen una amenaza para los seres humanos y manipulan su comportamiento. Esto se aplica, por ejemplo, a los juguetes activados por voz que fomentan comportamientos peligrosos en menores. Tampoco son aceptables los sistemas de Social Scoring ni los de identificación biométrica en tiempo real y a distancia (reconocimiento facial). Es decir, todos los programas que violan el derecho a la dignidad, la no discriminación, la igualdad y la justicia entran dentro de esta categoría.

Los sistemas de IA de alto riesgo son los que tienen un impacto negativo en la seguridad o los derechos fundamentales. Esto podría aplicarse a los programas informáticos para la aviación, los automóviles, los dispositivos médicos y los ascensores que entren en el ámbito de aplicación de la legislación de la UE sobre seguridad de los productos. Asimismo, este nivel se aplica a los sistemas de ocho sectores específicos que deben registrarse en una base de datos de la UE:
 

• Identificación biométrica y categorización de personas físicas
• Gestión y explotación de infraestructuras críticas
• Educación y formación profesional
• Empleo, gestión de personal y acceso al trabajo por cuenta propia
• Acceso y uso de servicios privados esenciales y servicios y prestaciones públicos
• Cumplimiento de la ley
• Gestión de la migración, el asilo y el control de fronteras
• Asistencia en la interpretación y aplicación de la ley

Todos los sistemas de IA de alto riesgo deberán evaluarse antes de su lanzamiento al mercado, así como durante todo su ciclo de vida.

Los sistemas de IA con riesgo limitado deben diseñarse para ser transparentes, de modo que las personas que se enfrenten a ellos puedan reconocer la IA que está detrás. Por ejemplo, los sistemas como ChatGPT deben revelar que sus contenidos son generados por IA y, además, ofrecer garantías contra la generación de contenidos ilegales.

Los sistemas de IA de riesgo mínimo o bajo deben cumplir la legislación vigente. Ejemplos de estos sistemas son los filtros de spam y los videojuegos.

La participación en prácticas prohibidas de IA puede suponer una multa de hasta 40 millones de euros o un importe equivalente a hasta el siete por ciento de la facturación mundial anual de una empresa; la cifra que sea más alta.

Esto va mucho más allá que la ley de protección de datos más importante de Europa hasta la fecha, el Reglamento General de Protección de Datos (RGPD). Esta última prevé multas de hasta 20 millones de euros o hasta el cuatro por ciento de la facturación mundial de una empresa. Sin embargo, en caso de múltiples infracciones, las multas pueden aumentar. La sociedad matriz de Facebook, Meta, resultó especialmente afectada y tuvo que pagar un total de 2500 millones de euros antes de mayo de 2023 por diversas infracciones de la normativa del RGPD.
 

¿A quién afecta la Ley de IA de la UE?

La ley se aplica en gran medida a los proveedores y operadores de sistemas de IA. Además, el actual proyecto del Parlamento establece que también se aplicará a los importadores y distribuidores de sistemas de IA, así como a los representantes autorizados de los proveedores de sistemas de IA establecidos en la UE.

Los proveedores son agentes que desarrollan sistemas de IA para comercializarlos o ponerlos en funcionamiento en la UE (por ejemplo, OpenAI). La ley se aplica independientemente de si están establecidos en la UE o no. Asimismo, el proyecto de ley pretende garantizar que sea de aplicación también a los proveedores que pongan en funcionamiento sistemas de IA fuera de la UE si el desarrollador o distribuidor del sistema de IA está establecido en la UE.

Por otra parte, los operadores de sistemas de IA son personas físicas o jurídicas que utilizan la IA en el marco de sus actividades profesionales. Pueden utilizar API (interfaces de programación de aplicaciones) para integrar productos de IA en sus propios productos o simplemente utilizar sistemas de IA como herramientas internas. Los proveedores y operadores de sistemas de IA establecidos fuera de la UE también pueden entrar en el ámbito de aplicación de esta ley si los resultados producidos van a utilizarse en la UE.

Los particulares que utilicen sistemas de IA en el curso de actividades privadas no profesionales no entran en el ámbito de aplicación de la ley.

La ley tampoco se aplica a determinadas categorías de sistemas de IA, como, por ejemplo, los que se utilizan con fines de investigación, prueba y desarrollo o los programas informáticos desarrollados o utilizados exclusivamente con fines militares.

¿Qué implica esta ley para las empresas?

Esta ley tendrá implicaciones en cierta medida para todas las empresas que desarrollen, apliquen o utilicen profesionalmente la IA en la UE o para un público de la UE. Sin embargo, debido a la forma en la que la ley define los sistemas de IA de alto riesgo, es poco probable que en esta categoría entre la mayor parte de las aplicaciones comerciales. Por ejemplo, es preciso distinguir el desarrollo de sistemas de IA con fines de edición musical o videojuegos, por un lado, de los sistemas diseñados para influir en las personas a través de las redes sociales o en los votantes en campañas políticas, por otro.

No obstante, la creciente popularidad de los sistemas de IA generativa implica que cada vez son más los desarrolladores que pueden entrar en el ámbito de aplicación de la ley. Si se aprueban las enmiendas actuales, lo más probable es que estos desarrolladores (no los operadores) tengan que cumplir ciertos requisitos aunque no entren en la categoría de alto riesgo.