Decodificando la Ley de Inteligencia Artificial de la UE

La IA encierra una promesa de ampliar el horizonte de lo que se puede lograr y de impactar al mundo en nuestro beneficio, pero gestionar los riesgos de la IA y sus posibles consecuencias negativas conocidas y desconocidas será fundamental. La Ley de IA estará finalizada en 2024 y tiene como objetivo garantizar que los sistemas de IA sean seguros, respeten los derechos fundamentales, fomenten la inversión en IA, mejoren la gobernanza y fomenten un mercado único armonizado de la UE para la IA.

Se prevé que la definición de la Ley de IA sea amplia e incluya diversas tecnologías y sistemas. Como resultado, es probable que las organizaciones se vean significativamente afectadas por la ley. Se espera que la mayoría de las obligaciones entren en vigor a principios de 2026. Sin embargo, los sistemas de IA prohibidos deberán eliminarse gradualmente seis meses después de que la Ley de IA entre en vigor. Se espera que las normas que rigen la IA de uso general se apliquen a principios de 2025.¹

La Ley de IA aplica un enfoque basado en el riesgo, dividiendo los sistemas de IA en diferentes niveles de riesgo: riesgo inaceptable, alto, limitado y mínimo.²

Los sistemas de IA de alto riesgo están permitidos, pero sujetos a las obligaciones más estrictas. Estas obligaciones afectarán no solo a los usuarios sino también a "proveedores" de sistemas de IA. El término "proveedor" en la Ley de IA abarca organismos en desarrollo de sistemas de IA, incluidas organizaciones que desarrollan sistemas de IA para uso estrictamente interno. Es importante saber que una organización puede ser tanto usuario como proveedor.

Es probable que los proveedores deban garantizar el cumplimiento de estándares estrictos relacionados con la gestión de riesgos, la calidad de los datos, la transparencia, la supervisión humana y la solidez.

Los usuarios son responsables de operar estos sistemas de IA dentro de los límites legales de la Ley de IA y de acuerdo con las instrucciones específicas del proveedor. Esto incluye obligaciones sobre el propósito previsto y los casos de uso, el manejo de datos, la supervisión y el seguimiento humanos.

Se han agregado nuevas disposiciones para abordar los avances recientes en los modelos de IA de propósito general (GPAI), incluidos los grandes modelos de IA generativa.³ Estos modelos pueden usarse para una variedad de tareas y pueden integrarse en una gran cantidad de sistemas de IA, incluidos sistemas de alto riesgo y se están convirtiendo cada vez más en la base de muchos sistemas de IA en la UE. Para tener en cuenta la amplia gama de tareas que los sistemas de IA pueden realizar y la rápida expansión de sus capacidades, se acordó que los sistemas GPAI y los modelos en los que se basan deben cumplir requisitos de transparencia. Además, los modelos GPAI de alto impacto, que poseen complejidad, capacidades y rendimiento avanzados, enfrentarán obligaciones más estrictas. Este enfoque ayudará a mitigar los riesgos sistémicos que puedan surgir debido al uso generalizado de estos modelos.⁴

Siguen aplicándose las leyes vigentes de la Unión, por ejemplo, sobre datos personales, seguridad de los productos, protección del consumidor, política social y legislación y prácticas laborales nacionales, así como los actos legislativos sectoriales de la Unión relacionados con la seguridad de los productos. El cumplimiento de la Ley de IA no eximirá a las organizaciones de sus obligaciones legales preexistentes en estas áreas.

Las organizaciones deben tomarse el tiempo para crear un mapa de los sistemas de IA que desarrollan y utilizan y categorizar sus niveles de riesgo según se define en la Ley de IA. Si alguno de sus sistemas de IA cae en la categoría de riesgo limitado, alto o inaceptable, deberán evaluar el impacto de la Ley de IA en su organización. Es imperativo comprender este impacto (y cómo responder) lo antes posible.