Inicio topics ley de ia de la ue ¿Qué es la Ley de Inteligencia Artificial de la Unión Europea (Ley de IA de la UE)?
Explore la solución de gobernanza de IA de IBM Suscríbase para recibir actualizaciones de IA
Diagrama abstracto de un árbol de decisión

Fecha de publicación: 8 de abril de 2024
Colaboradores: Matt Kosinski
¿Qué es la Ley de IA de la UE?

La Ley de Inteligencia Artificial de la UE o la Ley de IA de la UE es una ley que rige el desarrollo y el uso de la inteligencia artificial en la Unión Europea (UE). La ley adopta un enfoque de regulación basado en el riesgo, aplicando diferentes reglas a los sistemas de IA de acuerdo con las amenazas que representan para la salud, la seguridad y los derechos humanos.

Considerado el primer marco regulatorio integral del mundo para aplicaciones de IA, la Ley de IA de la UE prohíbe algunos usos de la IA y aplica estrictas normas de seguridad y transparencia para otros.

La ley también crea reglas específicas para diseñar, entrenar e implementar modelos de inteligencia artificial de uso general, como los modelos fundacionales que impulsan ChatGPT y Google Gemini.

Las sanciones por incumplimiento pueden alcanzar los 35 millones EUR o el 7 % de los ingresos anuales de una empresa en todo el mundo, el importe que sea mayor.

De la misma manera que el Reglamento General de Protección de Datos (RGPD) de la UE inspiró a otras naciones a aprobar leyes de privacidad de datos, los expertos anticipan que la Ley de IA de la UE estimulará el desarrollo de normas más estrictas de gobernanza y ética de la IA en todo el mundo.
Qué supone la Ley de IA de la UE para usted y cómo prepararse
Contenido relacionado

Regístrese para obtener el informe de IDC
¿A quién se aplica la Ley de IA de la UE?

La Ley de IA de la UE se aplica a los proveedores, responsables de implementación, importadores y distribuidores de sistemas y modelos de IA en la UE.

La ley define a los sistemas de IA como sistemas que pueden, con cierto nivel de autonomía, procesar información de entrada para generar resultados que influyen en las personas y en los entornos. Estos resultados influyentes incluyen cosas como predicciones, decisiones y contenido. 

En el lenguaje de la ley, el término modelo de IA se refiere principalmente a IA de uso general (GPAI) que se puede adaptar para crear varios sistemas de IA. Por ejemplo, el modelo de lenguaje de gran tamaño GPT-4 es un modelo de IA. El chatbot ChatGPT basado en GPT-4 es un sistema de IA.

Otros términos importantes que incluye la ley son los siguientes:

  • Los proveedores son las personas y organizaciones que crean sistemas y modelos de IA.

  • Los responsables de implementación son las personas y organizaciones que utilizan herramientas de IA. Por ejemplo, una organización que compra y utiliza un chatbot de IA para atender las consultas de atención al cliente sería un responsable de implementación.

  • Los importadores son personas y organizaciones que traen sistemas y modelos de IA al mercado de la UE desde fuera de Europa.
 Aplicación de la ley fuera de la UE

La Ley de IA de la UE se aplica a personas y organizaciones que se encuentran fuera de Europa si sus herramientas de IA, o los resultados de esas herramientas, se utilizan en la UE. 

Por ejemplo, digamos que una empresa situada en la UE envía datos de clientes a un tercero ubicado fuera de la UE. Ese tercero utiliza IA para procesar los datos de los clientes y envía los resultados de regreso a la empresa. Dado que la empresa utiliza los resultados obtenidos con el sistema de IA del tercero que está situado dentro de la UE, el tercero está obligado a respetar la Ley de IA de la UE. 

Los proveedores que se encuentran fuera de la UE y ofrecen servicios de IA en la UE deben designar representantes autorizados en la UE para coordinar los esfuerzos de cumplimiento en su nombre.

 Excepciones

Si bien la ley tiene un amplio alcance, algunos usos de la IA están exentos. Por ejemplo:

  • Usos meramente personales

  • Modelos y sistemas desarrollados únicamente para la defensa militar y nacional

  • Modelos y sistemas utilizados solo para investigación y desarrollo

  • La mayoría de las disposiciones de la Ley de IA no se aplican a los modelos de IA gratuitos, de código abierto y de bajo riesgo que comparten públicamente sus parámetros y arquitectura, pero se aplican algunas. (Consulte "Reglas para modelos de IA de uso general (GPAI)" a continuación para obtener más información).
 Descubra cómo la plataforma de datos e IA IBM watsonx ayuda a las organizaciones a crear aplicaciones de IA responsables y que cumplen con la normativa Descubra cómo la plataforma de datos e IA IBM watsonx ayuda a las organizaciones a crear aplicaciones de IA responsables y que cumplen con la normativa
¿Qué requisitos impone la Ley de IA de la UE?

La Ley de IA de la UE contiene una serie de disposiciones destinadas a apoyar el uso y desarrollo responsables de la IA. Algunas de las disposiciones más importantes incluyen prohibiciones de IA peligrosa, normas para desarrollar e implementar IA de alto riesgo, obligaciones de transparencia y reglas para modelos de uso general. 

Vale la pena señalar que muchos de los detalles más precisos de la Ley de IA de la UE en torno a la implementación aún se están ultimando. Por ejemplo, la ley señala que la Comisión Europea publicará directrices adicionales sobre otros requisitos, como planes de seguimiento para etapas posteriores a la comercialización y resúmenes de datos de entrenamiento. 
Regulaciones de la IA basadas en riesgos

La Ley de IA de la UE clasifica los sistemas de IA en diferentes categorías según el nivel de riesgo. El riesgo aquí se refiere a la probabilidad y gravedad del daño potencial que una IA podría causar a la salud, la seguridad o los derechos humanos. 

En líneas generales, la ley aborda cuatro categorías de riesgo de IA:

·       Riesgo inaceptable

-       Riesgo alto

·       Riesgo limitado

·       Riesgo mínimo
Riesgo inaceptable

Las aplicaciones de IA que plantean un nivel de riesgo inaceptable están prohibidas. La Ley de IA de la UE enumera explícitamente todas las prácticas prohibidas para la IA, que incluyen:

  • Sistemas que manipulan a las personas de forma intencional para que tomen decisiones perjudiciales que de otro modo no tomarían.

  • Sistemas que explotan la edad, la discapacidad o la situación social o económica de una persona para influir materialmente en su comportamiento. 

  • Sistemas de categorización biométrica que utilizan datos biométricos para inferir información personal delicada, como la raza, la orientación sexual o las opiniones políticas.

  • Sistemas de calificación social que utilizan comportamientos y características irrelevantes o intrascendentes para promover un trato perjudicial para las personas.

  • Sistemas de identificación biométrica remota y en tiempo real utilizados en lugares públicos con fines policiales. Existen algunas excepciones limitadas, como el uso de estas herramientas en búsquedas específicas de víctimas de determinados delitos graves.

  • Sistemas policiales predictivos que elaboran perfiles de las personas para evaluar su probabilidad de cometer un delito. 

  • Bases de datos de reconocimiento facial que extraen imágenes no focalizadas de Internet o CCTV.

  • Herramientas de reconocimiento de emociones utilizadas en escuelas o lugares de trabajo, excepto cuando estas herramientas se utilizan con fines médicos o de seguridad.

La Comisión Europea se reserva el derecho de revisar y modificar esta lista, por lo que es posible que se prohíban más usos de la IA en el futuro.
Riesgo alto

La mayor parte de la ley trata sobre sistemas de IA de riesgo alto. Hay dos formas de que un sistema se considere de riesgo alto en virtud de la Ley de IA de la UE: si se utiliza en un producto regulado o si se denomina explícitamente como de riesgo alto. 

Los productos de algunos sectores, como los juguetes, los equipos de radio y los dispositivos médicos, ya están regulados por leyes preexistentes de la UE. Cualquier sistema de IA que sirva como componente de seguridad de estos productos regulados, o que actúe como producto regulado en sí mismo, se considera automáticamente de riesgo alto. 

La ley también enumera usos específicos de la IA que siempre se consideran de riesgo alto. A modo de ejemplo:

  • Todo sistema biométrico que no esté prohibido expresamente por la Ley de IA de la UE u otras leyes de la UE o de los Estados miembros, con excepción de los sistemas que verifican la identidad de una persona (por ejemplo, el uso de un escáner de huellas digitales para otorgar a alguien acceso a una aplicación bancaria).

  • Sistemas utilizados como componentes de seguridad para infraestructuras críticas, como suministros de agua, gas y electricidad.

  • Sistemas utilizados en la educación y formación profesional, incluidos los sistemas que monitorean el rendimiento de los estudiantes, detectan trampas y dirigen las admisiones.

  • Sistemas utilizados en entornos laborales, como los que se utilizan para seleccionar candidatos, evaluar a los postulantes y tomar decisiones de promoción.

  • Sistemas utilizados para determinar el acceso a servicios públicos o privados esenciales, como los sistemas que evalúan el cumplimiento de los requisitos para acceder a beneficios públicos y evalúan puntajes crediticios. No se incluyen los sistemas utilizados para detectar fraudes financieros.

  • Sistemas utilizados para la aplicación de la ley, como polígrafos habilitados para IA y análisis de pruebas.

  • Sistemas utilizados para la migración y el control fronterizo, como los sistemas que procesan solicitudes de visa. No se incluyen los sistemas que verifican los documentos de viaje.

  • Sistemas utilizados en procesos judiciales y democráticos, como sistemas que influyen directamente en los resultados de las elecciones.

  • La elaboración de perfiles (el procesamiento automático de datos personales para evaluar o predecir algún aspecto de la vida de una persona, como sus preferencias de productos) siempre es de riesgo alto.

Al igual que con la lista de prohibiciones establecidas para la IA, la Comisión Europea puede actualizar esta lista en el futuro.

Los proveedores de sistemas de riesgo alto deben seguir estas reglas:

  • Implementar un sistema de gestión de riesgos continua para monitorear la IA y garantizar el cumplimiento a lo largo de su ciclo de vida. Se espera que los proveedores mitiguen los riesgos planteados tanto por el uso previsto como por el mal uso previsible de sus sistemas.

  • Adoptar normas rigurosas de gobernanza de datos para garantizar que los datos de entrenamiento y prueba se recopilen, manejen y protejan de forma adecuada. Los datos también deben ser de alta calidad, pertinentes para el propósito del sistema y deben estar razonablemente libres de sesgos.

  • Mantener una documentación técnica completa de las especificaciones de diseño del sistema, capacidades, limitaciones y esfuerzos de cumplimiento normativo.

  • Implementar registros de eventos automatizados en herramientas de IA para ayudar a rastrear las operaciones del sistema, rastrear los resultados e identificar riesgos e incidentes graves.

  • Proporcionar a los responsables de la implementación de sistemas de IA la información que necesitan para cumplir con la normativa, lo que incluye instrucciones claras sobre cómo usar el sistema, interpretar los resultados y mitigar los riesgos.

  • Diseñar sistemas para respaldar y permitir la supervisión humana, por ejemplo, proporcionando interfaces que permitan a los usuarios monitorear, anular e intervenir en las operaciones del sistema.

  • Asegurarse de que los sistemas de IA sean razonablemente precisos, robustos y seguros. Esto puede incluir la creación de sistemas de respaldo, el diseño de algoritmos para evitar sesgos e implementar los controles adecuados de ciberseguridad.

Si un sistema de IA se ubica en una de las categorías de riesgo alto, pero no representa una amenaza significativa para la salud, la seguridad o los derechos, los proveedores pueden dejar sin efecto estos requisitos. El proveedor debe documentar pruebas de que el sistema no representa ningún riesgo y los reguladores pueden penalizar a las organizaciones por la clasificación errónea de los sistemas.
Descubra cómo watsonx.governance ayuda a las organizaciones a mitigar riesgos, gestionar políticas y cumplir con los requisitos de cumplimiento con flujos de trabajo de IA explicables
Riesgo limitado

Los sistemas de IA de riesgo limitado son sistemas que cumplen obligaciones de transparencia específicas, es decir, reglas que deben seguir determinados tipos de IA, independientemente de su nivel de riesgo. Algunas de estas reglas son las siguientes:

  • Los sistemas de IA deben informar claramente a los usuarios cuando interactúan con la inteligencia artificial. Por ejemplo, un chatbot debe decirle a las personas que es un chatbot.

  • Las organizaciones deben informar a las personas cada vez que utilizan sistemas de reconocimiento de emociones o de categorización biométrica. Todos los datos personales recopilados a través de estos sistemas deben manejarse de acuerdo con el RGPD. 

  • Los sistemas de IA generativa que crean texto, imágenes u otros contenidos deben utilizar marcas de agua u otras señales legibles por máquina que indiquen que ese contenido fue generado por IA

  • Los responsables de la implementación deben etiquetar claramente los deepfakes y comunicar este hecho a la audiencia.

  • Los responsables de la implementación que utilizan IA para producir textos sobre asuntos de interés público, como artículos de noticias, deben etiquetar el texto como generado por IA, a menos que un editor humano lo revise y asuma la responsabilidad.
Riesgo mínimo

La categoría de riesgo mínimo (a veces llamada “categoría de riesgo mínimo o nulo”) incluye las herramientas de IA que no interactúan directamente con las personas o que tienen muy poco impacto material cuando lo hacen. Los ejemplos incluyen filtros de spam de correo electrónico e IA en videojuegos. Muchos usos comunes de la IA hoy en día se ubican en esta categoría. 

La mayoría de las disposiciones de la Ley de IA no se aplican a la IA de riesgo mínimo (aunque es posible que algunas deban cumplir con las obligaciones de transparencia enumeradas anteriormente).
Descubra cómo watsonx.governance ayuda a las organizaciones a mitigar riesgos, gestionar políticas y cumplir con los requisitos de cumplimiento con flujos de trabajo de IA explicables
Reglas para modelos de IA de uso general (GPAI)

Debido a que los modelos GPAI son tan adaptables, puede ser difícil categorizarlos según el nivel de riesgo. Por esta razón, la Ley de IA de la UE crea un conjunto separado de reglas explícitamente para los modelos GPAI.

Todos los proveedores de modelos GPAI deben:

  • Mantener la documentación técnica actualizada que describa, entre otras cosas, los procesos de diseño, pruebas y entrenamiento del modelo.

  • Proporcionar a los responsables de la implementación de sus modelos, como las organizaciones que crean sistemas de IA sobre ellos, la información que necesitan para usar el modelo de manera responsable. Esta información incluye las capacidades, limitaciones y el propósito previsto del modelo.

  • Establecer políticas para cumplir con las leyes sobre derechos de autor de la UE.

  • Redactar y poner a disposición del público resúmenes detallados de los conjuntos de datos de entrenamiento.

La mayoría de los modelos GPAI gratuitos y de código abierto están exentos de cumplir los dos primeros requisitos. Solo deben cumplir las leyes sobre derechos de autor y compartir resúmenes de los datos de entrenamiento.
Reglas para modelos GPAI que plantean un riesgo sistémico

La Ley de IA de la UE considera que algunos modelos GPAI suponen un riesgo sistémico. El riesgo sistémico es el potencial de un modelo para causar daños graves y de gran alcance a la salud pública, la seguridad o los derechos fundamentales. 

Según la ley, se dice que un modelo representa un riesgo sistémico si tiene "capacidades de alto impacto". Básicamente, esto significa que las capacidades del modelo igualan o superan las del modelo GPAI más avanzado disponible en ese momento. 

La ley utiliza recursos de entrenamiento como criterios clave para identificar el riesgo sistémico. Si la cantidad acumulada de potencia informática utilizada para entrenar un modelo es superior a 1025 operaciones de punto flotante (FLOP), se considera que tiene capacidades de alto impacto y representa un riesgo sistémico. 

La Comisión Europea también puede clasificar un modelo como de riesgo sistémico si determina que el modelo tiene un impacto equivalente a esas capacidades de riesgo alto, incluso si no alcanza el umbral de FLOP. 

Los modelos GPAI que plantean un riesgo sistémico (incluidos los modelos gratuitos y de código abierto) deben cumplir todos los requisitos anteriores, además de algunas obligaciones adicionales:

  • Realizar evaluaciones estandarizadas de los modelos, incluso pruebas adversarias, para identificar y mitigar riesgos sistémicos.

  • Documentar y notificar incidentes graves a la Oficina de IA de la UE y a los organismos reguladores estatales pertinentes.

  • Implementar controles de seguridad adecuados para proteger el modelo y su infraestructura física.

Los proveedores de modelos GPAI pueden lograr el cumplimiento mediante la adopción de códigos de prácticas voluntarios, que la Oficina de IA de la UE está elaborando actualmente. Se espera que los códigos se completen dentro de los nueve meses posteriores a la entrada en vigor de la ley. Los proveedores que no adopten estos códigos deben demostrar su cumplimiento de otras maneras. 
Requisitos adicionales

Los proveedores, responsables de implementación, importadores y distribuidores generalmente son responsables de garantizar que los productos de IA que fabrican, usan o circulan cumplan con las normas. Deben documentar pruebas de su cumplimiento y compartirlas con las autoridades cuando así lo soliciten. También deben compartir información y cooperar entre sí para garantizar que todas las organizaciones de la cadena de suministro de IA puedan cumplir con la Ley de IA de la UE.

Los proveedores y responsables de implementación también deben asegurarse de que los miembros del personal u otras partes que trabajan con IA en nombre de la organización tengan los conocimientos necesarios sobre IA para manejar la IA de manera responsable.

Más allá de estos requisitos generales, cada parte tiene sus propias obligaciones específicas.
Obligaciones de los proveedores
  • Diseñar sistemas y modelos de IA para cumplir con los requisitos pertinentes.

  • Enviar nuevos productos de IA de riesgo alto a las autoridades correspondientes para realizar evaluaciones de conformidad antes de comercializarlos. Las evaluaciones de conformidad son evaluaciones realizadas por terceros para determinar el cumplimiento de un producto con la Ley de IA de la UE. 

  • Si un proveedor realiza un cambio sustancial en un producto de IA que altera su propósito o afecta su situación de cumplimiento, el proveedor debe volver a enviar el producto para su evaluación.

  • Registrar productos de IA de riesgo alto en la base de datos a nivel de la UE.

  • Implementar planes de monitoreo posteriores a la comercialización para rastrear el rendimiento de la IA y garantizar el cumplimiento continuo durante el ciclo de vida del sistema.

  • Informar a las autoridades de los Estados miembros sobre incidentes graves relacionados con la IA, como muertes, interrupciones de infraestructuras críticas e infracciones de los derechos fundamentales, y tomar las medidas correctivas necesarias. 
Obligaciones de los responsables de la implementación
  • Utilizar los sistemas de IA para el fin previsto y según las instrucciones de los proveedores.

  • Garantizar que los sistemas de riesgo alto cuenten con supervisión humana adecuada.

  • Informar a proveedores, distribuidores, autoridades y otras partes pertinentes sobre incidentes graves relacionados con la IA.

  • Conservar los registros del sistema de IA durante al menos seis meses o más, en función de la legislación de los Estados miembros.

  • Los responsables de la implementación que utilizan sistemas de IA de alto riesgo para proporcionar servicios esenciales, como instituciones financieras, organismos gubernamentales y organismos encargados de hacer cumplir la ley, deben realizar evaluaciones de impacto en los derechos fundamentales antes de utilizar una IA por primera vez.
Obligaciones de importadores y distribuidores

Los importadores y distribuidores deben asegurarse de que los sistemas y modelos de IA que circulan cumplan con la Ley de IA de la UE. 

Un importador o distribuidor se considera proveedor de IA si pone su propio nombre o marca comercial en un producto o realiza un cambio sustancial en el producto. En este caso, el importador o distribuidor debe asumir todas las responsabilidades del proveedor descritas en la ley.
Descubra cómo IBM OpenPages puede simplificar la gobernanza de datos y el cumplimiento normativo
¿Cómo se aplicará la Ley de IA de la UE?

La responsabilidad de aplicar la ley se dividirá entre algunos organismos diferentes.

A nivel de la UE, la Comisión Europea ha creado la Oficina de Inteligencia Artificial para ayudar a coordinar la aplicación coherente de la ley en todos los Estados miembros. La Oficina de IA también hará cumplir directamente las reglas para los modelos GPAI, con la capacidad de multar a las organizaciones y obligar a tomar medidas correctivas. 

Cada Estado miembro designará a las autoridades nacionales competentes para hacer cumplir todas las normas aplicables a modelos que no sean de uso general. La ley exige que cada Estado establezca dos autoridades diferentes: una autoridad de vigilancia del mercado y una autoridad de notificación.

Las autoridades de vigilancia del mercado garantizan que las organizaciones cumplan con la Ley de IA de la UE. Pueden escuchar las quejas de los consumidores, investigar infracciones y multar a las organizaciones.

Las autoridades de notificación supervisan a los terceros que realizan evaluaciones de conformidad para nuevos productos de IA de riesgo alto.
Sanciones de la Ley de IA de la UE

Por utilizar prácticas prohibidas relacionadas con la IA, las organizaciones pueden ser sancionados con multas de hasta 35 millones EUR o el 7 % de las ventas en todo el mundo, el importe que sea mayor.

Por otras infracciones, incluidas las infracciones de las normas para modelos GPAI, las organizaciones pueden ser sancionadas con multas de hasta 15 millones EUR o el 3 % de las ventas en todo el mundo, el importe que sea mayor.

Por proporcionar información incorrecta o engañosa a las autoridades, las organizaciones pueden ser sancionadas con multas de hasta 7.5 millones EUR o el 1 % de las ventas en todo el mundo, el importe que sea mayor.

En particular, la Ley de Inteligencia Artificial de la UE tiene normas diferentes para multar a las nuevas empresas y otras organizaciones pequeñas. Para estas empresas, la multa es el menor de los dos importes posibles. Esto coincide con el esfuerzo general de la ley por garantizar que los requisitos no sean tan onerosos que excluyan a las pequeñas empresas del mercado de la IA.
¿Cuándo entra en vigor la Ley de IA de la UE?

El Parlamento Europeo aprobó la Ley de IA de la UE el 13 de marzo de 2024. El Consejo Europeo completará una ronda final de controles y la ley entrará en vigor 20 días después de su publicación en el Diario Oficial de la Unión Europea. Los observadores esperan que esto suceda en mayo de 2024.

El alcance total de la ley no entrará en vigencia hasta 2026, con diferentes disposiciones que se implementarán de forma gradual con el tiempo:

  • A los seis meses, entrarán en vigor las prohibiciones sobre sistemas de riesgo inaceptable.

  • A los 12 meses, las reglas para la IA de uso general entrarán en vigencia para los nuevos modelos GPAI. Los modelos GPAI que ya están en el mercado tendrán 24 meses para cumplir con la normativa.

  • A los 24 meses, entrarán en vigor las reglas para los sistemas de IA de riesgo alto.
Soluciones relacionadas
watsonx

Despliegue e integre de manera sencilla la IA en toda su empresa, gestione todas las fuentes de datos y acelere los flujos de trabajo responsables de la IA, todo en una sola plataforma.

 Explore watsonx
IBM OpenPages

Simplifique la gobernanza de los datos, la gestión de riesgos y el cumplimiento normativo con IBM OpenPages, una plataforma de GRC unificada, impulsada por IA y altamente escalable.

 Explorar OpenPages
Recursos Cree un flujo de trabajo de IA responsable

Nuestro último libro electrónico esboza los elementos fundamentales de la gobernanza de la IA y comparte un marco detallado de gobernanza de la IA que puede aplicar en su organización.

 Tres razones clave por las que su organización necesita una IA responsable

Explore el potencial transformador de la IA responsable para su organización y conozca los factores cruciales que impulsan la adopción de prácticas éticas de IA.

 ¿Su IA es confiable?

Únase al debate sobre por qué las empresas deben dar prioridad a la gobernanza de la IA para desplegar una IA responsable.

 ¿Qué es la gobernanza de datos?

Descubra cómo la gobernanza de datos garantiza que las empresas saquen el máximo partido de sus activos de datos.

 ¿Qué es la IA explicable?

La IA explicable es decisiva para que una organización cree confianza y seguridad a la hora de poner en producción modelos de IA.

 ¿Qué es la ética de la IA?

La ética de la IA es un campo multidisciplinario que estudia cómo optimizar el impacto beneficioso de la IA al tiempo que se reducen los riesgos y los resultados adversos. Conozca el enfoque de IBM con respecto a la ética de la IA.
Dé el siguiente paso

Acelere los flujos de trabajo de IA responsables, transparentes y explicables a lo largo del ciclo de vida, tanto para modelos generativos como de aprendizaje automático. Dirija, gestione y controle las actividades de IA de su organización para gestionar mejor la creciente normativa sobre IA y detectar y mitigar los riesgos.

 Explore watsonx.governance Reserve una demostración en vivo