¿Qué es la Ley de IA de la UE?

Actualizado: 20 de septiembre de 2024
Colaboradores: Matt Kosinski y Mark Scapicchio

La Ley de Inteligencia Artificial de la Unión Europea, también conocida como Ley de IA de la UE o Ley de IA, es una ley que rige el desarrollo y/o uso de la inteligencia artificial (IA) en la Unión Europea (UE). La ley adopta un enfoque de regulación basado en el riesgo, aplicando diferentes reglas a la IA según los riesgos que plantean.

Considerada el primer marco regulatorio integral del mundo para la IA, la Ley de IA de la UE prohíbe algunos usos de IA de manera estricta e implementa estrictos requisitos de gobernanza, gestión de riesgos y transparencia para otros.

La ley también crea reglas para modelos de inteligencia artificial de propósito general, como Granite de IBM y el modelo fundacional de código abierto Llama 3 de Meta.

Las sanciones ascienden a entre 7.5 millones EUR o el 1.5% de la facturación anual mundial a 35 millones EUR o el 7 % de la facturación anual mundial, dependiendo del tipo de incumplimiento.

De la misma manera que el Reglamento General de Protección de Datos (RGPD) de la UE puede inspirar a otras naciones a adoptar leyes de privacidad de datos, los expertos anticipan que la Ley de IA de la UE estimulará el desarrollo de normas de gobernanza de la IA y ética de IA en todo el mundo.

Qué supone la Ley de IA de la UE para usted y cómo prepararse

Contenido relacionado

Regístrese para obtener el informe de IDC

¿A quién se aplica la Ley de IA de la UE?

La Ley de IA de la UE se aplica a múltiples operadores en la cadena de valor de la IA, como proveedores, responsables del despliegue, importadores, distribuidores, fabricantes de productos y representantes autorizados). Es importante mencionar las definiciones de proveedores, responsables del despliegue e importadores en virtud de la Ley de IA de la UE.

Proveedores

Los proveedores son personas u organizaciones que desarrollan un sistema de IA o un modelo de IA de propósito general (GPAI), o que lo hacen desarrollar en su nombre, y que lo comercializan o ponen el sistema de IA en servicio bajo su nombre o marca registrada.

La ley define ampliamente un sistema de IA como un sistema que puede, con cierto nivel de autonomía, procesar entradas para inferir cómo generar resultados (por ejemplo, predicciones, recomendaciones, decisiones, contenido) que puedan influir en entornos físicos o virtuales. Define a GPAI como modelos de IA que muestran una generalidad significativa, son capaces de realizar de manera competente una amplia gama de tareas distintas y que pueden integrar en una variedad de sistemas o aplicaciones de IA descendentes. Por ejemplo, un modelo fundacional es una GPAI; un chatbot o una herramienta de IA generativa construida sobre ese modelo sería un sistema de IA.

Responsables de implementación

Los responsables del despliegue son personas o organizaciones que utilizan sistemas de IA. Por ejemplo, una organización que utiliza un chatbot AI de terceros para atender las consultas de atención al cliente sería un responsables del despliegue.

Importadores

Los importadores son personas y organizaciones ubicadas o establecidas en la UE que llevan al mercado de la UE sistemas de IA de una persona o empresa establecida fuera de la UE

Aplicación fuera de la UE

La Ley de IA de la UE también se aplica a los proveedores y responsables del despliegue fuera de la UE si su IA, o los resultados de la IA, se utilizan en la UE.

Por ejemplo, supongamos que una compañía de la UE envía datos a un proveedor de IA fuera de la UE, que usa la IA para procesar los datos y, a continuación, devuelve los resultados a la compañía de la UE para su uso. Dado que los resultados del sistema de IA del proveedor se usan en la UE, el proveedor está obligado por la Ley de IA de la UE.

Los proveedores que se encuentran fuera de la UE y ofrecen servicios de IA en la UE deben designar representantes autorizados en la UE para coordinar los esfuerzos de cumplimiento en su nombre.

Excepciones

Si bien la ley tiene un amplio alcance, algunos usos de la IA están exentos. Los usos puramente personales de IA y los modelos de IA utilizados solo para investigación y desarrollo científicos son ejemplos de usos exentos de IA.

Descubra cómo la plataforma de datos e IA IBM watsonx ayuda a las organizaciones a crear, escalar y gestionar soluciones de IA personalizadas

¿Qué requisitos impone la Ley de IA de la UE?

La Ley de IA de la UE regula los sistemas de IA en función del nivel de riesgo. El riesgo aquí se refiere a la probabilidad y gravedad del daño potencial. Algunas de las disposiciones más importantes incluyen:

una prohibición de ciertas prácticas de IA que se considera que plantean un riesgo inaceptable,
normas para desarrollar y desplegar ciertos sistemas de IA de alto riesgo,
reglas para modelos de IA de propósito general (GPAI).

Los sistemas de IA que no entran dentro de una de las categorías de riesgo de la Ley de IA de la UE no están sujetos a los requisitos de la ley (a menudo se les conoce como la categoría de “riesgo mínimo”), aunque algunos pueden necesitar cumplir con las obligaciones de transparencia y deben cumplir con otras leyes existentes. Los ejemplos pueden incluir filtros de spam de correo electrónico y videojuegos. Muchos usos comunes de la IA hoy en día se ubican en esta categoría.

Vale la pena señalar que muchos de los detalles más precisos de la Ley de IA de la UE en torno a la implementación aún se están ultimando. Por ejemplo, la ley señala que la Comisión Europea publicará directrices adicionales sobre otros requisitos, como planes de seguimiento para etapas posteriores a la comercialización y resúmenes de datos de entrenamiento.

Prácticas de IA prohibidas

La Ley de IA de la UE enumera explícitamente ciertas prácticas prohibidas de IA que se considera que plantean un nivel de riesgo inaceptable. Por ejemplo, desarrollar o utilizar un sistema de IA que manipula intencionalmente a las personas para que tomen decisiones dañinas que de otro modo no tomarían se considera por la ley que representa un riesgo inaceptable para los usuarios, y es una práctica de IA prohibida.

La Comisión de la UE puede modificar la lista de prácticas prohibidas en la ley, por lo que es posible que se prohíban más prácticas de IA en el futuro.

Una lista parcial de prácticas de IA Prohibida en el momento de la publicación de este artículo incluye:

Sistemas de puntuación social: sistemas que evalúan o clasifican a las personas en función de su comportamiento social, lo que lleva a un trato perjudicial o desfavorable en contextos sociales no relacionados con la recopilación de datos original e injustificado o desproporcionado con respecto a la gravedad del comportamiento.
Sistemas de reconocimiento de emociones en el trabajo y en las instituciones educativas, excepto cuando estas herramientas se utilicen con fines médicos o de seguridad
IA utilizada para explotar las vulnerabilidades de las personas (por ejemplo, vulnerabilidades debidas a la edad o discapacidad)
Extracción no dirigida de imágenes faciales de Internet o circuito cerrado de televisión (CCTV) para bases de datos de reconocimiento facial
Sistemas de identificación biométrica que identifican a las personas en función de características confidenciales
Aplicaciones específicas de vigilancia policial predictiva
Aplicación de la ley: uso público de sistemas de identificación biométrica remota en tiempo real (a menos que se aplique una excepción y, por lo general, se requiere la autorización previa de una autoridad administrativa judicial o independiente)

Normas para la IA de alto riesgo

Los sistemas de IA se consideran de alto riesgo en virtud de la Ley de IA de la UE si son un producto, o un componente de seguridad de un producto, regulado por leyes específicas de la UE a las que hace referencia la ley, como las leyes de seguridad de los juguetes y de productos médicos de diagnóstico in vitro.

La ley también enumera usos específicos que generalmente se consideran de alto riesgo, incluidos los sistemas de IA utilizados:

en contextos laborales, como los que se utilizan para seleccionar candidatos, evaluar a los postulantes y tomar decisiones de promoción.
en ciertos dispositivos médicos
en determinados contextos de educación y formación profesional
en el proceso judicial y democrático, como sistemas destinados a influir en el resultado de las elecciones
para determinar el acceso a servicios públicos o privados esenciales, como los sistemas que evalúan el cumplimiento de los requisitos para acceder a beneficios públicos y evalúan puntajes crediticios.
en la gestión de infraestructuras críticas (por ejemplo, suministro de agua, gas y electricidad, etc.)
en cualquier sistema de identificación biométrica que no esté prohibido, excepto en los sistemas cuyo único propósito sea verificar la identidad de una persona (por ejemplo, usar un escáner de huellas dactilares para otorgar a alguien acceso a una aplicación bancaria).

Para los sistemas incluidos en esta lista, puede haber una excepción si el sistema de IA no representa una amenaza significativa para el estado, la seguridad o los derechos de las personas. La ley especifica criterios, uno o más de los cuales deben cumplirse, antes de que se pueda activar una excepción (por ejemplo, cuando el sistema de IA está destinado a realizar una tarea procesal limitada). Si se basa en esta excepción, el proveedor debe documentar su evaluación de que el sistema no es de alto riesgo, y los reguladores pueden solicitar ver esa evaluación. La excepción no está disponible para los sistemas de IA que procesan automáticamente datos personales para evaluar o predecir algún aspecto de la vida de una persona, como sus preferencias de productos (elaboración de perfiles), que siempre se consideran de alto riesgo.

Al igual que con la lista de prácticas prohibidas de IA, la Comisión de la UE puede actualizar la lista de sistemas de IA de alto riesgo en el futuro.

Requisitos para sistemas de IA de alto riesgo

Los sistemas de IA de alto riesgo deben cumplir con requisitos específicos. Algunos ejemplos incluyen:

Implementar un sistema continuo de administración de riesgos para monitorear la IA a lo largo de su ciclo de vida. Por ejemplo, los proveedores deben mitigar los riesgos razonablemente previsibles que plantea el uso previsto de sus sistemas.
Adoptar prácticas rigurosas de gobernanza de datos para garantizar que los datos de entrenamiento, validación y prueba cumplan con criterios de calidad específicos. Por ejemplo, se debe implementar la gobernanza en torno al proceso de recopilación de datos y el origen de los datos, así como medidas para prevenir y mitigar los sesgos.
Mantener una documentación técnica completa con información específica, incluidas las especificaciones de diseño del sistema, las capacidades, las limitaciones y los esfuerzos de cumplimiento normativo.

Existen obligaciones de transparencia adicionales para tipos específicos de IA. Por ejemplo:

Los sistemas de IA destinados a interactuar directamente con las personas deben diseñarse para informar a los usuarios que están interactuando con un sistema de IA, a menos que esto sea obvio para la persona por el contexto. Un chatbot, por ejemplo, debe diseñarse para notificar a los usuarios que es un chatbot.
Los sistemas de IA que generan texto, imágenes u otro contenido determinado deben usar formatos legibles por máquina para marcar las resultados como generados o manipulados por IA. Esto incluye, por ejemplo, la IA que genera deepfakes: imágenes o videos alterados para mostrar a alguien haciendo o diciendo algo que no hizo ni dijo.

Obligaciones de los operadores de sistemas de IA de alto riesgo

A continuación, destacamos algunas obligaciones de los operadores clave de sistemas de IA de alto riesgo en la cadena de valor de IA (proveedores y responsables del despliegue).

Obligaciones de los proveedores de sistemas de IA de alto riesgo

Los proveedores de sistemas de IA de alto riesgo deben cumplir con requisitos que incluyen:

Garantizar que los sistemas de IA de alto riesgo cumplan con los requisitos para los sistemas de IA de alto riesgo descritos en la ley. Por ejemplo, implementar un sistema continuo de administración de riesgos.
Contar con un sistema de gestión de calidad.
Implementar planes de monitoreo posterior a la comercialización para monitorear el rendimiento del sistema de IA y evaluar su cumplimiento continuo durante el ciclo de vida del sistema.

Obligaciones de los responsables del despliegue de sistemas de IA de alto riesgo

Los responsables del despliegue de sistemas de IA de alto riesgo tendrán obligaciones entre las que se encuentran:

Adoptar las medidas técnicas y organizacionales adecuadas para garantizar que emplean dichos sistemas de acuerdo con sus instrucciones de uso.
Mantener los registros del sistema de IA generados automáticamente, en la medida en que dichos registros estén bajo su control, durante un periodo determinado.
En el caso de los responsables del despliegue que usan sistemas de IA de alto riesgo para prestar ciertos servicios esenciales (como organismos del gobierno u organizaciones privadas que brindan servicios públicos), estos deben realizar evaluaciones de impacto sobre los derechos fundamentales antes de usar ciertos sistemas de IA de alto riesgo por primera vez.

Reglas para modelos de IA de propósito general (GPAI)

La Ley de IA de la UE crea normas separadas para los modelos de IA de propósito general. Los proveedores de modelos GPAI tendrán obligaciones que incluyen lo siguiente:

Establecer políticas para respetar las leyes de derechos de autor de la UE.
Redactar y poner a disposición del público resúmenes detallados de los conjuntos de datos de entrenamiento.

Si al clasificar un modelo GPAI se determina que representa un riesgo sistémico, los proveedores tendrán obligaciones adicionales. El riesgo sistémico es un riesgo específico de que las capacidades de alto impacto de los modelos GPAI tengan un impacto significativo en el mercado de la UE debido a su alcance o debido a efectos negativos reales o razonablemente previsibles en la salud pública, la seguridad pública, los derechos fundamentales o la sociedad en su conjunto, que pueden propagarse a escala a lo largo de la cadena de valor. La ley utiliza recursos de entrenamiento como criterios clave para identificar el riesgo sistémico. Si la cantidad acumulada de potencia informática utilizada para entrenar un modelo es superior a 10^25 operaciones de punto flotante (FLOP), se considera que tiene capacidades de alto impacto y representa un riesgo sistémico. La Comisión de la UE también puede clasificar un modelo como de riesgo sistémico.

Los proveedores de modelos GPAI que representan un riesgo sistémico, incluidos los modelos gratuitos y de código abierto, deben cumplir con algunas obligaciones adicionales, por ejemplo:

Documentar y notificar incidentes graves a la Oficina de IA de la UE y a los reguladores nacionales pertinentes.
Implementar una ciberseguridad adecuada para proteger el modelo y su infraestructura física.

Multas conforme a la Ley de IA de la UE

Por incumplimiento de las prácticas de IA prohibidas, las organizaciones pueden ser multadas con hasta 35 millones EUR o el 7 % de la facturación anual mundial, lo que sea mayor.

Para la mayoría de las demás infracciones, incluido el incumplimiento de los requerimientos de los sistemas de IA de alto riesgo, las organizaciones pueden recibir multas de hasta 15 millones EUR o el 3 % de la facturación anual mundial, lo que sea mayor.

El suministro de información incorrecta, incompleta o engañosa a las autoridades puede dar lugar a que las organizaciones reciban multas de hasta 7.5 millones EUR o el 1 % de la facturación anual mundial, lo que sea mayor.

En particular, la Ley de Inteligencia Artificial de la UE tiene normas distintas para sancionar a las empresas emergentes y otras organizaciones pequeñas y medianas. Para estas empresas, la multa es la menor de las dos cantidades posibles especificadas anteriormente.

¿Cuándo entra en vigor la Ley de IA de la UE?

La ley entró en vigor el 1 de agosto de 2024 y las distintas disposiciones de la misma entraron en vigor por etapas. Algunas de las fechas más destacadas incluyen:

A partir del 2 de febrero de 2025 entrarán en vigor las prohibiciones de las prácticas prohibidas de IA.
A partir del 2 de agosto de 2025, las reglas para la IA de propósito general entrarán en vigor para los nuevos modelos de GPAI. Los proveedores de modelos GPAI comercializados antes del 2 de agosto de 2025 tendrán hasta el 2 de agosto de 2027 para cumplir la normativa.
A partir del 2 de agosto de 2026, entrarán en vigor las normas para los sistemas de IA de alto riesgo.
A partir del 2 de agosto de 2027, se aplicarán las normas a los sistemas de IA que sean productos o componentes de seguridad de productos regulados por leyes específicas de la UE.

Soluciones relacionadas

watsonx

Despliegue e integre de manera sencilla la IA en toda su empresa, gestione todas las fuentes de datos y acelere los flujos de trabajo responsables de la IA, todo en una sola plataforma.

Explore watsonx

IBM OpenPages

Simplifique la gobernanza de los datos, la gestión de riesgos y el cumplimiento normativo con IBM OpenPages, una plataforma de GRC unificada, impulsada por IA y altamente escalable.

Explorar OpenPages

Recursos

Cree un flujo de trabajo de IA responsable

Nuestro último libro electrónico esboza los elementos fundamentales de la gobernanza de la IA y comparte un marco detallado de gobernanza de la IA que puede aplicar en su organización.

Tres razones clave por las que su organización necesita una IA responsable

Explore el potencial transformador de la IA responsable para su organización y conozca los factores cruciales que impulsan la adopción de prácticas éticas de IA.

¿Su IA es confiable?

Únase al debate sobre por qué las empresas deben dar prioridad a la gobernanza de la IA para desplegar una IA responsable.

¿Qué es la gobernanza de datos?

Descubra cómo la gobernanza de datos garantiza que las empresas saquen el máximo partido de sus activos de datos.

¿Qué es la IA explicable?

La IA explicable es decisiva para que una organización cree confianza y seguridad a la hora de poner en producción modelos de IA.

¿Qué es la ética de la IA?

La ética de la IA es un campo multidisciplinario que estudia cómo optimizar el impacto beneficioso de la IA al tiempo que se reducen los riesgos y los resultados adversos. Conozca el enfoque de IBM con respecto a la ética de la IA.

Dé el siguiente paso

Acelere los flujos de trabajo de IA responsables, transparentes y explicables a lo largo del ciclo de vida, tanto para modelos generativos como de aprendizaje automático. Dirija, gestione y controle las actividades de IA de su organización para gestionar mejor la creciente normativa sobre IA y detectar y mitigar los riesgos.

Explore watsonx.governance

Reserve una demostración en vivo

El cliente es responsable de garantizar el cumplimiento de las leyes y reglamentos aplicables. IBM no brinda asesoría legal ni declara o garantiza que sus servicios o productos aseguren que el cliente cumpla con cualquier ley o reglamento.

¿Qué es la Ley de Inteligencia Artificial de la Unión Europea (Ley de IA de la UE)?