Inicio
Temas
ley de ia de la ue
Actualizado: 20 de septiembre de 2024
Colaboradores: Matt Kosinski y Mark Scapicchio
La Ley de Inteligencia Artificial de la Unión Europea, también conocida como Ley de IA de la UE o Ley de IA, es una ley que rige el desarrollo y/o uso de la inteligencia artificial (IA) en la Unión Europea (UE). La ley adopta un enfoque de regulación basado en el riesgo, aplicando diferentes reglas a la IA según los riesgos que plantean.
Considerada el primer marco regulatorio integral del mundo para la IA, la Ley de IA de la UE prohíbe algunos usos de IA de manera estricta e implementa estrictos requisitos de gobernanza, gestión de riesgos y transparencia para otros.
La ley también crea reglas para modelos de inteligencia artificial de propósito general, como Granite de IBM y el modelo fundacional de código abierto Llama 3 de Meta.
Las sanciones ascienden a entre 7.5 millones EUR o el 1.5% de la facturación anual mundial a 35 millones EUR o el 7 % de la facturación anual mundial, dependiendo del tipo de incumplimiento.
De la misma manera que el Reglamento General de Protección de Datos (RGPD) de la UE puede inspirar a otras naciones a adoptar leyes de privacidad de datos, los expertos anticipan que la Ley de IA de la UE estimulará el desarrollo de normas de gobernanza de la IA y ética de IA en todo el mundo.
La Ley de IA de la UE se aplica a múltiples operadores en la cadena de valor de la IA, como proveedores, responsables del despliegue, importadores, distribuidores, fabricantes de productos y representantes autorizados). Es importante mencionar las definiciones de proveedores, responsables del despliegue e importadores en virtud de la Ley de IA de la UE.
Los proveedores son personas u organizaciones que desarrollan un sistema de IA o un modelo de IA de propósito general (GPAI), o que lo hacen desarrollar en su nombre, y que lo comercializan o ponen el sistema de IA en servicio bajo su nombre o marca registrada.
La ley define ampliamente un sistema de IA como un sistema que puede, con cierto nivel de autonomía, procesar entradas para inferir cómo generar resultados (por ejemplo, predicciones, recomendaciones, decisiones, contenido) que puedan influir en entornos físicos o virtuales. Define a GPAI como modelos de IA que muestran una generalidad significativa, son capaces de realizar de manera competente una amplia gama de tareas distintas y que pueden integrar en una variedad de sistemas o aplicaciones de IA descendentes. Por ejemplo, un modelo fundacional es una GPAI; un chatbot o una herramienta de IA generativa construida sobre ese modelo sería un sistema de IA.
Los responsables del despliegue son personas o organizaciones que utilizan sistemas de IA. Por ejemplo, una organización que utiliza un chatbot AI de terceros para atender las consultas de atención al cliente sería un responsables del despliegue.
Los importadores son personas y organizaciones ubicadas o establecidas en la UE que llevan al mercado de la UE sistemas de IA de una persona o empresa establecida fuera de la UE
La Ley de IA de la UE también se aplica a los proveedores y responsables del despliegue fuera de la UE si su IA, o los resultados de la IA, se utilizan en la UE.
Por ejemplo, supongamos que una compañía de la UE envía datos a un proveedor de IA fuera de la UE, que usa la IA para procesar los datos y, a continuación, devuelve los resultados a la compañía de la UE para su uso. Dado que los resultados del sistema de IA del proveedor se usan en la UE, el proveedor está obligado por la Ley de IA de la UE.
Los proveedores que se encuentran fuera de la UE y ofrecen servicios de IA en la UE deben designar representantes autorizados en la UE para coordinar los esfuerzos de cumplimiento en su nombre.
Si bien la ley tiene un amplio alcance, algunos usos de la IA están exentos. Los usos puramente personales de IA y los modelos de IA utilizados solo para investigación y desarrollo científicos son ejemplos de usos exentos de IA.
La Ley de IA de la UE regula los sistemas de IA en función del nivel de riesgo. El riesgo aquí se refiere a la probabilidad y gravedad del daño potencial. Algunas de las disposiciones más importantes incluyen:
Los sistemas de IA que no entran dentro de una de las categorías de riesgo de la Ley de IA de la UE no están sujetos a los requisitos de la ley (a menudo se les conoce como la categoría de “riesgo mínimo”), aunque algunos pueden necesitar cumplir con las obligaciones de transparencia y deben cumplir con otras leyes existentes. Los ejemplos pueden incluir filtros de spam de correo electrónico y videojuegos. Muchos usos comunes de la IA hoy en día se ubican en esta categoría.
Vale la pena señalar que muchos de los detalles más precisos de la Ley de IA de la UE en torno a la implementación aún se están ultimando. Por ejemplo, la ley señala que la Comisión Europea publicará directrices adicionales sobre otros requisitos, como planes de seguimiento para etapas posteriores a la comercialización y resúmenes de datos de entrenamiento.
La Ley de IA de la UE enumera explícitamente ciertas prácticas prohibidas de IA que se considera que plantean un nivel de riesgo inaceptable. Por ejemplo, desarrollar o utilizar un sistema de IA que manipula intencionalmente a las personas para que tomen decisiones dañinas que de otro modo no tomarían se considera por la ley que representa un riesgo inaceptable para los usuarios, y es una práctica de IA prohibida.
La Comisión de la UE puede modificar la lista de prácticas prohibidas en la ley, por lo que es posible que se prohíban más prácticas de IA en el futuro.
Una lista parcial de prácticas de IA Prohibida en el momento de la publicación de este artículo incluye:
Los sistemas de IA se consideran de alto riesgo en virtud de la Ley de IA de la UE si son un producto, o un componente de seguridad de un producto, regulado por leyes específicas de la UE a las que hace referencia la ley, como las leyes de seguridad de los juguetes y de productos médicos de diagnóstico in vitro.
La ley también enumera usos específicos que generalmente se consideran de alto riesgo, incluidos los sistemas de IA utilizados:
Para los sistemas incluidos en esta lista, puede haber una excepción si el sistema de IA no representa una amenaza significativa para el estado, la seguridad o los derechos de las personas. La ley especifica criterios, uno o más de los cuales deben cumplirse, antes de que se pueda activar una excepción (por ejemplo, cuando el sistema de IA está destinado a realizar una tarea procesal limitada). Si se basa en esta excepción, el proveedor debe documentar su evaluación de que el sistema no es de alto riesgo, y los reguladores pueden solicitar ver esa evaluación. La excepción no está disponible para los sistemas de IA que procesan automáticamente datos personales para evaluar o predecir algún aspecto de la vida de una persona, como sus preferencias de productos (elaboración de perfiles), que siempre se consideran de alto riesgo.
Al igual que con la lista de prácticas prohibidas de IA, la Comisión de la UE puede actualizar la lista de sistemas de IA de alto riesgo en el futuro.
Los sistemas de IA de alto riesgo deben cumplir con requisitos específicos. Algunos ejemplos incluyen:
Existen obligaciones de transparencia adicionales para tipos específicos de IA. Por ejemplo:
A continuación, destacamos algunas obligaciones de los operadores clave de sistemas de IA de alto riesgo en la cadena de valor de IA (proveedores y responsables del despliegue).
Los proveedores de sistemas de IA de alto riesgo deben cumplir con requisitos que incluyen:
Los responsables del despliegue de sistemas de IA de alto riesgo tendrán obligaciones entre las que se encuentran:
La Ley de IA de la UE crea normas separadas para los modelos de IA de propósito general. Los proveedores de modelos GPAI tendrán obligaciones que incluyen lo siguiente:
Si al clasificar un modelo GPAI se determina que representa un riesgo sistémico, los proveedores tendrán obligaciones adicionales. El riesgo sistémico es un riesgo específico de que las capacidades de alto impacto de los modelos GPAI tengan un impacto significativo en el mercado de la UE debido a su alcance o debido a efectos negativos reales o razonablemente previsibles en la salud pública, la seguridad pública, los derechos fundamentales o la sociedad en su conjunto, que pueden propagarse a escala a lo largo de la cadena de valor. La ley utiliza recursos de entrenamiento como criterios clave para identificar el riesgo sistémico. Si la cantidad acumulada de potencia informática utilizada para entrenar un modelo es superior a 10^25 operaciones de punto flotante (FLOP), se considera que tiene capacidades de alto impacto y representa un riesgo sistémico. La Comisión de la UE también puede clasificar un modelo como de riesgo sistémico.
Los proveedores de modelos GPAI que representan un riesgo sistémico, incluidos los modelos gratuitos y de código abierto, deben cumplir con algunas obligaciones adicionales, por ejemplo:
Por incumplimiento de las prácticas de IA prohibidas, las organizaciones pueden ser multadas con hasta 35 millones EUR o el 7 % de la facturación anual mundial, lo que sea mayor.
Para la mayoría de las demás infracciones, incluido el incumplimiento de los requerimientos de los sistemas de IA de alto riesgo, las organizaciones pueden recibir multas de hasta 15 millones EUR o el 3 % de la facturación anual mundial, lo que sea mayor.
El suministro de información incorrecta, incompleta o engañosa a las autoridades puede dar lugar a que las organizaciones reciban multas de hasta 7.5 millones EUR o el 1 % de la facturación anual mundial, lo que sea mayor.
En particular, la Ley de Inteligencia Artificial de la UE tiene normas distintas para sancionar a las empresas emergentes y otras organizaciones pequeñas y medianas. Para estas empresas, la multa es la menor de las dos cantidades posibles especificadas anteriormente.
La ley entró en vigor el 1 de agosto de 2024 y las distintas disposiciones de la misma entraron en vigor por etapas. Algunas de las fechas más destacadas incluyen:
Despliegue e integre de manera sencilla la IA en toda su empresa, gestione todas las fuentes de datos y acelere los flujos de trabajo responsables de la IA, todo en una sola plataforma.
Simplifique la gobernanza de los datos, la gestión de riesgos y el cumplimiento normativo con IBM OpenPages, una plataforma de GRC unificada, impulsada por IA y altamente escalable.
Nuestro último libro electrónico esboza los elementos fundamentales de la gobernanza de la IA y comparte un marco detallado de gobernanza de la IA que puede aplicar en su organización.
Explore el potencial transformador de la IA responsable para su organización y conozca los factores cruciales que impulsan la adopción de prácticas éticas de IA.
Únase al debate sobre por qué las empresas deben dar prioridad a la gobernanza de la IA para desplegar una IA responsable.
Descubra cómo la gobernanza de datos garantiza que las empresas saquen el máximo partido de sus activos de datos.
La IA explicable es decisiva para que una organización cree confianza y seguridad a la hora de poner en producción modelos de IA.
La ética de la IA es un campo multidisciplinario que estudia cómo optimizar el impacto beneficioso de la IA al tiempo que se reducen los riesgos y los resultados adversos. Conozca el enfoque de IBM con respecto a la ética de la IA.
El cliente es responsable de garantizar el cumplimiento de las leyes y reglamentos aplicables. IBM no brinda asesoría legal ni declara o garantiza que sus servicios o productos aseguren que el cliente cumpla con cualquier ley o reglamento.