Ya es oficial. Europa es la primera región del mundo que cuenta con una normativa sobre el buen uso de la Inteligencia Artificial, tras la aprobación el pasado 8 de diciembre de la primera ley de Inteligencia Artificial de la historia. La nueva ley europea de IA todavía no está en vigor (eso será en 2026 y una vez que la Eurocámara la ratifique en febrero de 2024) pero ya están los cimientos de lo que será el uso de esta tecnología en toda la Unión Europea ya que se aplicará por igual en todos los estados miembros.
La nueva normativa quiere garantizar el Estado de derecho y la sostenibilidad ambiental y para ello clasifica la IA en cuatro niveles de riesgo; su uso y prohibiciones se fijan justamente en función del riesgo que genera para las personas, además de identificar sistemas de alta amenaza que solo se podrán utilizar al demostrarse que respetan los derechos fundamentales.
Así afecta a las empresas
Entelgy, The BusinessTech Consultancy, apunta las claves que las empresas deben tener en cuenta para cuando esté en vigor en 2026.
La nueva normativa afecta a aquellas empresas que utilicen la IA en áreas que tengan que ver con las personas, como la medicina, el reclutamiento o la optimización en la toma de decisiones. Las empresas desarrolladoras de IA, como parte de un ejercicio de transparencia, deberán revelar cómo funciona el algoritmo, cómo ha sido entrenado y desarrollado, así como el contenido que genera.
Para ello, se proporcionarán plantillas con los datos técnicos que deban facilitar y se creará un registro de la IA a escala europea, una base de datos pública donde las aplicaciones de alto riesgo tendrán que publicar toda la información. En el caso de que estos datos aportados por las empresas no sean claros, los reguladores tendrán la posibilidad de investigar los algoritmos y solicitar más información.
Finalmente, en el caso de que se encuentren infracciones, el sistema de IA podría cerrarse, retirarse del mercado, solicitar cambios, además de conllevar multas significativas que dependerán de la infracción y del tamaño de la empresa: 35 millones de euros o el 7% del volumen de negocios global (hasta 7,5 millones) o el 1,5% del volumen de negocio.
Por otro lado, la ley no obliga a las empresas a designar una supervisión humana encargada de revisar los resultados de la Inteligencia Artificial, pero recomienda que exista una persona que valide el trabajo final de la IA, para que el algoritmo no sea el factor decisivo.
En cuanto a los productores de LLM (modelos de lenguaje de gran tamaño), estos deberán introducir de forma proactiva en el diseño y el desarrollo sistemas de seguridad para que el contenido final de la máquina no sea perjudicial y contrario a la ley. Además, en materia de propiedad intelectual, los desarrolladores tendrán la obligación de ser transparentes sobre el material protegido por derechos de autor que utilizan.
Niveles de riesgo que fija la ley europea de IA
La nueva normativa establece obligaciones para proveedores y usuarios en función del nivel de riesgo de la IA. Así, considera un riesgo inaceptable y por lo tanto estarán prohibidos, los sistemas de IA que se consideran una amenaza para las personas, como la “manipulación cognitiva del comportamiento de personas o grupos vulnerables específicos: por ejemplo, juguetes activados por voz que fomentan comportamientos peligrosos en los niños”, “la puntuación social o clasificación de personas en función de su comportamiento, estatus socioeconómico o características personales” y los “sistemas de identificación biométrica en tiempo real y a distancia, como el reconocimiento facial”. Esos últimos, solo se permitirán para “perseguir delitos graves y sólo cuando haya previa aprobación judicial”.
Además, se consideran de alto riesgo los sistemas de IA que afecten negativamente a la seguridad o a los derechos fundamentales. Estos sistemas serán evaluados antes de su comercialización y a lo largo de su ciclo de vida.
Aquí estarían incluidos los sistemas de IA que se utilicen en productos sujetos a la legislación de la UE sobre seguridad de los productos: juguetes, aviación, automóviles, dispositivos médicos y ascensores.
La misma consideración tienen los sistemas de IA pertenecientes a ocho ámbitos específicos que deberán registrarse en una base de datos de la UE, como la identificación biométrica y categorización de personas físicas, la gestión y explotación de infraestructuras críticas, la educación y formación profesional, el empleo, gestión de trabajadores y acceso al autoempleo, el acceso y disfrute de servicios privados esenciales y servicios y prestaciones públicas, la aplicación de la ley, la gestión de la migración, el asilo y el control de fronteras y la asistencia en la interpretación jurídica y aplicación de la ley.
¿Qué pasa con la IA generativa?
En lo que se refiere a productos de IA generativa como ChatGPT se les exige el cumplimiento de unos requisitos de transparencia, como “revelar que el contenido ha sido generado por IA, diseñar el modelo para evitar que genere contenidos ilegales y publicar resúmenes de los datos protegidos por derechos de autor utilizados para el entrenamiento”.
Los sistemas de IA de riesgo limitado deben cumplir unos requisitos mínimos de transparencia para que los usuarios sepan en todo momento que están interactuando con IA y puedan decidir si quieren seguir utilizándola, entre otras exigencias. Aquí estarían contemplados los sistemas de IA que generan o manipulan contenidos de imagen, audio o vídeo (por ejemplo, deepfakes).
