Actualizado: 20 de junio de 2024
Colaboradores: Matt Kosinski y Mark Scapicchio
La Ley de Inteligencia Artificial de la Unión Europea, también conocida como la Ley de IA de la UE o la Ley de IA, es una ley que regirá el desarrollo y/o el uso de la inteligencia artificial (IA) en la Unión Europea (UE). La ley adopta un enfoque de la regulación basado en el riesgo, y aplica normas diferentes a las IA en función del riesgo que planteen.
Considerada el primer marco regulatorio integral del mundo para la IA, la Ley de IA de la UE prohíbe por completo algunos usos de la IA e implementa estrictos requisitos de gobierno, gestión de riesgos y transparencia para otros.
La ley también crea reglas para modelos de inteligencia artificial de propósito general, como el modelo fundacional de código abierto Granite de IBM y Llama 3 de Meta.
Las sanciones pueden oscilar entre 7,5 millones de euros o el 1,5 % de la facturación anual mundial y 35 millones de euros o el 7 % de la facturación anual mundial, según el tipo de incumplimiento.
De la misma manera que el Reglamento General de Protección de Datos (RGPD) de la UE puede inspirar a otras naciones a adoptar leyes de protección de datos, los expertos anticipan que la Ley de Inteligencia Artificial de la UE impulsará el desarrollo de normas de gobierno y ética de IA en la UE.
Regístrese para leer el informe de IDC
La Ley de IA de la UE se aplica a múltiples operadores en la cadena de valor de la IA, como proveedores, implementadores, importadores, distribuidores, fabricantes de productos y representantes autorizados). Vale la pena mencionar las definiciones de proveedores, implementadores e importadores según la Ley de IA de la UE.
Los proveedores son personas u organizaciones que desarrollan un sistema de IA o un modelo de IA de uso general (GPAI), o lo hacen desarrollar en su nombre, y que lo comercializan o ponen en servicio el sistema de IA bajo su nombre o marca registrada.
La ley define un sistema de IA como un aquel que puede, con cierto nivel de autonomía, procesar entradas para inferir cómo generar salidas (por ejemplo, predicciones, recomendaciones, decisiones, contenido) que pueden influir en entornos físicos o virtuales. Define el GPAI como modelos de IA que muestran una generalidad significativa, son capaces de realizar de manera competente una amplia gama de tareas distintas y que pueden integrarse en una variedad de sistemas o aplicaciones de IA posteriores. Por ejemplo, un modelo fundacional es un GPAI; una herramienta de chatbot o IA generativa construida sobre ese modelo sería un sistema de IA.
Los implementadores son personas u organizaciones que utilizan sistemas de IA. Por ejemplo, una organización que utiliza un chatbot de IA externo para gestionar las consultas del servicio de atención al cliente sería un implementador.
Los importadores son personas y organizaciones ubicadas o establecidas en la UE que llevan al mercado de la UE sistemas de IA de una persona o empresa establecida fuera de la UE.
La Ley de IA de la UE también se aplica a los proveedores e implementadores de fuera de la UE si su IA, o los resultados de la IA, se utilizan en la UE.
Por ejemplo, supongamos que una empresa de la UE envía datos a un proveedor de IA fuera de la UE, que utiliza la IA para procesar los datos y, a continuación, devuelve los datos a la empresa en la UE para que los utilice. Dado que la salida del sistema de IA del proveedor se utiliza en la UE, el proveedor está sujeto a la Ley de IA de la UE.
Los proveedores de fuera de la UE que ofrezcan servicios de IA en la UE deben designar representantes autorizados en la UE para coordinar en su nombre los esfuerzos de conformidad.
Si bien el alcance de la ley es amplio, algunos usos de la IA están exentos. Los usos puramente personales de la IA y los modelos y sistemas de IA utilizados únicamente para la investigación y el desarrollo científicos son ejemplos de usos exentos de la IA.
La Ley de IA de la UE regula los sistemas de IA en función del nivel de riesgo. El riesgo aquí se refiere a la probabilidad y gravedad del daño potencial. Algunas de las disposiciones más importantes incluyen:
- la prohibición de determinadas prácticas de IA que se consideren de riesgo inaceptable,
- estándares para desarrollar e implementar ciertos sistemas de IA de alto riesgo,
- reglas para modelos de IA de uso general (GPAI).
Los sistemas de IA que no entran en una de las categorías de riesgo de la Ley de IA de la UE no están sujetos a los requisitos establecidos en la Ley (a menudo se denominan categoría de "riesgo mínimo"), aunque algunos pueden tener que cumplir obligaciones de transparencia y deben cumplir otras leyes existentes. Algunos ejemplos pueden ser el correo electrónico, los filtros de spam y los videojuegos. Muchos de los usos habituales de la IA en la actualidad entran en esta categoría.
Cabe señalar que muchos de los detalles de aplicación de la Ley de IA de la UE aún están en fase de perfeccionamiento. Por ejemplo, el acto señala que la Comisión Europea publicará nuevas orientaciones sobre requisitos como los planes de seguimiento poscomercialización y los resúmenes de datos de formación.
La Ley de IA de la UE enumera explícitamente ciertas prácticas de IA prohibidas que se considera que plantean un nivel de riesgo inaceptable. Por ejemplo, el desarrollo o el uso de un sistema de IA que manipula intencionalmente a las personas para que tomen decisiones dañinas que de otro modo no tomarían se considera que representa un riesgo inaceptable para los usuarios y es una práctica de IA prohibida.
La Comisión de la UE puede modificar la lista de prácticas prohibidas en la ley, por lo que es posible que se prohíban más prácticas de IA en el futuro.
Una lista parcial de prácticas de IA prohibidas en el momento de la publicación de este artículo incluye:
- Sistemas de puntuación social: sistemas que evalúan o clasifican a los individuos en función de su comportamiento social, lo que conduce a un trato perjudicial o desfavorable en contextos sociales no relacionados con la recopilación de datos original e injustificados o desproporcionados con respecto a la gravedad del comportamiento
- Sistemas de reconocimiento de emociones en el trabajo y en los centros educativos, excepto cuando estas herramientas se utilizan con fines médicos o de seguridad
- La IA se utiliza para explotar las vulnerabilidades de las personas (p. ej. vulnerabilidades debidas a la edad o discapacidad)
- Extracción no selectiva de imágenes faciales de Internet o CCTV para bases de datos de reconocimiento facial
- Sistemas de identificación biométrica que identifican a las personas en función de características sensibles
- Aplicaciones de políticas predictivas específicas
- Uso policial de sistemas de identificación biométrica a distancia en tiempo real en público (a menos que se aplique una excepción y se requiera generalmente la autorización previa de una autoridad judicial o administrativa independiente).
Los sistemas de IA se consideran de alto riesgo con arreglo a la Ley de IA de la UE si son un producto, o un componente de seguridad de un producto, regulado por leyes específicas de la UE a las que hace referencia la ley, como las leyes sobre seguridad de los juguetes y sobre productos sanitarios para diagnóstico in vitro.
La ley también enumera usos específicos que generalmente se consideran de alto riesgo, incluidos los sistemas de IA utilizados:
- en contextos laborales, como los que se utilizan para reclutar candidatos, evaluar a los solicitantes y tomar decisiones de promoción
- en determinados productos sanitarios
- en determinados contextos de educación y formación profesional
- en el proceso judicial y democrático, como los sistemas que están destinados a influir en el resultado de las elecciones
- para determinar el acceso a servicios privados o públicos esenciales, incluidos los sistemas que evalúan el derecho a prestaciones públicas y las puntuaciones de crédito.
- en la gestión de infraestructuras cruciales (por ejemplo, suministros de agua, gas y electricidad, etc.)
- en cualquier sistema de identificación biométrica que no estén prohibidos, excepto para los sistemas cuyo único propósito sea verificar la identidad de una persona (por ejemplo, usar un escáner de huellas dactilares para otorgar a alguien acceso a una aplicación bancaria).
Para los sistemas incluidos en esta lista, puede haber una excepción si el sistema de IA no representa una amenaza importante para la salud, la seguridad o los derechos de las personas. La ley especifica criterios, uno o más de los cuales deben cumplirse, antes de que se pueda activar una excepción (por ejemplo, cuando el sistema de IA está destinado a realizar una tarea de procedimiento limitada). Si se basa en esta excepción, el proveedor debe documentar su evaluación de que el sistema no es de alto riesgo, y los reguladores pueden solicitar ver esa evaluación. La excepción no está disponible para los sistemas de IA que procesan automáticamente datos personales para evaluar o predecir algún aspecto de la vida de una persona, como sus preferencias de productos (elaboración de perfiles), que siempre se consideran de alto riesgo.
Al igual que con la lista de prácticas prohibidas de IA, la Comisión de la UE podrá actualizar la lista de sistemas de IA de alto riesgo en el futuro.
Los sistemas de IA de alto riesgo deben cumplir con requisitos específicos. Algunos ejemplos son:
- Implementar un sistema continuo de gestión de riesgos para monitorizar la IA a lo largo de su ciclo de vida. Por ejemplo, se espera que los proveedores mitiguen los riesgos razonablemente previsibles que plantea el uso previsto de sus sistemas.
- Adoptar prácticas rigurosas de gobierno de datos para garantizar que los datos de entrenamiento, validación y prueba cumplan con criterios de calidad específicos. Por ejemplo, debe existir un gobierno en torno al proceso de recopilación de datos y el origen de los datos, y medidas para prevenir y mitigar los sesgos
- Mantener una documentación técnica exhaustiva con información específica que incluya especificaciones de diseño del sistema, capacidades, limitaciones y esfuerzos de cumplimiento normativo.
Existen obligaciones de transparencia adicionales para tipos específicos de IA. Por ejemplo:
- Los sistemas de IA destinados a interactuar directamente con los individuos deben diseñarse para informar a los usuarios de que están interactuando con un sistema de IA, a menos que esto sea obvio para el individuo por el contexto. Un chatbot, por ejemplo, debe diseñarse para notificar a los usuarios que es un chatbot.
- Los sistemas de IA que generan texto, imágenes u otros contenidos deben utilizar formatos legibles por máquina para marcar las salidas como generadas o manipuladas por IA. Esto incluye, por ejemplo, IA que genera deepfakes: imágenes o vídeos alterados para mostrar a alguien haciendo o diciendo algo que no hizo ni dijo.
A continuación, destacamos algunas obligaciones de los principales operadores de sistemas de IA de alto riesgo en la cadena de valor de la IA (proveedores e implementadores).
Los proveedores de sistemas de IA de alto riesgo deben cumplir requisitos que incluyen:
- Garantizar que los sistemas de IA de alto riesgo cumplan con los requisitos para los sistemas de IA de alto riesgo descritos en la ley. Por ejemplo, implementar un sistema de gestión continua de riesgos
- Contar con un sistema de gestión de la calidad
- Implementación de planes de seguimiento posteriores a la comercialización para supervisar el rendimiento del sistema de IA y evaluar su cumplimiento continuo a lo largo del ciclo de vida del sistema.
Los que implementen sistemas de IA de alto riesgo tendrán obligaciones que incluyen:
- Tomar las medidas técnicas y organizativas adecuadas para garantizar que utilizan dichos sistemas de acuerdo con sus instrucciones de uso
- Mantener los registros del sistema de IA generados automáticamente, en la medida en que dichos registros estén bajo su control, durante un período específico
- En el caso de los implementadores que utilizan sistemas de IA de alto riesgo para prestar determinados servicios esenciales, como organismos gubernamentales u organizaciones privadas que prestan servicios públicos, que realizan evaluaciones de impacto sobre los derechos fundamentales antes de utilizar determinados sistemas de IA de alto riesgo por primera vez.
La Ley de IA de la UE crea normas separadas para los modelos de IA de uso general (GPAI). Los proveedores de modelos GPAI tendrán obligaciones como las siguientes:
- Establecer políticas que respeten la legislación de la UE sobre derechos de autor
- Redactar y poner a disposición del público resúmenes detallados de los conjuntos de datos de formación.
Si un modelo GPAI se clasifica como de riesgo sistémico, los proveedores tendrán obligaciones adicionales. El riesgo sistémico es un riesgo específico de las capacidades de alto impacto de los modelos GPAI que tienen un impacto significativo en el mercado de la UE debido a su alcance o debido a efectos negativos reales o razonablemente previsibles sobre la salud pública, la seguridad, la seguridad pública, los derechos fundamentales o la sociedad en su conjunto, que pueden propagarse a escala a través de la cadena de valor. La ley utiliza los recursos de entrenamiento como uno de los criterios para identificar el riesgo sistémico: si la cantidad acumulada de potencia informática utilizada para entrenar un modelo es superior a 1025 operaciones en coma flotante (FLOP), se presume que tiene capacidades de alto impacto y plantea un riesgo sistémico. La Comisión de la UE también puede clasificar un modelo como de riesgo sistémico.
Los proveedores de modelos GPAI que supongan un riesgo sistémico, incluidos los modelos gratuitos y de código abierto, deben cumplir algunas obligaciones adicionales, por ejemplo:
- Documentar y notificar incidentes graves a la Oficina de Inteligencia Artificial de la UE y a los reguladores nacionales pertinentes
- Implementación de una seguridad informática adecuada para proteger el modelo y su infraestructura física.
Por no cumplir con las prácticas de IA prohibidas, las organizaciones pueden recibir una multa de hasta 35 000 000 euros o el 7 % de la facturación anual mundial, lo que sea mayor.
Para la mayoría de las demás infracciones, incluido el incumplimiento de los requisitos para sistemas de IA de alto riesgo, las organizaciones pueden recibir multas de hasta 15 000 000 euros o el 3 % de la facturación anual mundial, lo que sea mayor.
El suministro de información incorrecta, incompleta o engañosa a las autoridades puede provocar que las organizaciones reciban una multa de hasta 7 500 000 euros o el 1 % de la facturación anual mundial, lo que sea mayor.
En particular, la Ley de IA de la UE tiene diferentes normas para multar a las empresas emergentes y otras organizaciones pequeñas y medianas. Para estas empresas, la multa es el menor de los dos importes posibles especificados anteriormente
Propuesta inicialmente por la Comisión Europea en abril de 2021, la Ley de IA de la UE fue aprobada por el Parlamento Europeo el 22 de abril de 2024 y por los Estados miembros de la UE el 21 de mayo de 2024. La ley entrará en vigor de forma escalonada 20 días después de su publicación en el Diario Oficial de la UE. Algunas de las fechas más notables incluyen:
- A los seis meses, entrarán en vigor las prohibiciones de las prácticas prohibidas de IA.
- A los 12 meses, entrarán en vigor las normas relativas a la IA de propósito general para los nuevos modelos GPAI. Los proveedores de modelos GPAI que ya estén en el mercado 12 meses antes de la entrada en vigor de la ley tendrán 36 meses a partir de la fecha de entrada en vigor para cumplirla.
- A los 24 meses, entrarán en vigor las normas para los sistemas de IA de alto riesgo.
- A los 36 meses, se aplicarán las normas aplicables a los sistemas de IA que sean productos o componentes de seguridad de productos regulados por leyes específicas de la UE.
Implemente e integre de manera sencilla la IA en su empresa, gestione todas las fuentes de datos y acelere los flujos de trabajo de la IA de forma responsable, todo en una sola plataforma.
Simplifique la gobernanza de los datos, la gestión del riesgo y el cumplimiento normativo con IBM OpenPages, una plataforma GRC unificada, altamente escalable e impulsada por la IA.
Nuestro último libro electrónico esboza los elementos fundamentales de la gobierno de la IA y comparte un marco detallado de gobierno de la IA que puede aplicar en su organización.
Explore el potencial transformador de la IA responsable para su organización y conozca los factores cruciales que impulsan la adopción de prácticas éticas de IA.
Únase al debate sobre por qué las empresas deben dar prioridad a la gobierno de la IA para implementar una IA responsable.
Descubra cómo el gobierno de los datos garantiza que las empresas saquen el máximo partido de sus activos de datos.
La IA explicable es crucial para que una organización genere confianza y credibilidad al poner en producción modelos de IA.
La ética de la IA es un campo multidisciplinar que estudia cómo optimizar el impacto beneficioso de la IA a la vez que se reducen los riesgos y los resultados adversos. Conozca la visión de IBM sobre la ética de la IA.
El cliente es responsable de garantizar el cumplimiento de las leyes y regulaciones aplicables. IBM no presta asesoramiento legal ni declara o garantiza que sus servicios o productos aseguren que el cliente cumpla con cualquier ley o regulación.