Claves para comprender y adaptarse a la Ley de Inteligencia Artificial de la UE

En este contexto, el Parlamento Europeo aprobó la Ley de IA el 13 de marzo de 2024, marcando un hito en la regulación de esta tecnología.

¿Cuáles son las principales claves para comprender las implicaciones y obligaciones de las organizaciones con la introducción gradual de este marco de obligado cumplimiento?

 

1 Visión amplia de los sistemas de IA

La Ley de IA define un sistema de IA utilizando los términos ‘inferir’ y ‘autonomía’ para diferenciar claramente un sistema de IA de cualquier otro software donde el resultado está predeterminado por un algoritmo. Esta definición es intencionalmente amplia para garantizar que la Ley de IA no quede obsoleta en el futuro cercano. Además, este marco afecta a cualquier empresa que ofrezca sistemas de IA a personas dentro de la UE, independientemente de la ubicación de la organización.
 

2 Una lista cerrada de sistemas de IA prohibidos

La Ley de IA contiene una lista cerrada de prácticas de IA prohibidas (técnicas de manipulación, categorización biométrica, puntuación social, identificación biométrica remota en tiempo real, entre otros) que entrará en vigor el 2 de febrero para garantizar el cumplimiento y fomentar innovaciones en IA que respeten los estándares éticos.
 

3 Categorización y evaluación de los sistemas de IA de alto riesgo

El enfoque principal de la Ley de IA gira en torno a los sistemas y productos de inteligencia artificial de alto riesgo. Será crucial la categorización de los sistemas de IA de alto riesgo o la evaluación y justificación de su exención si no plantean riesgos significativos para la salud, la seguridad o los derechos fundamentales.
Los sistemas de IA categorizados de alto riesgo deberán ser evaluados de forma propia o por parte de un ‘organismo notificado’ según la tipología y el ámbito en el que se usen para poder obtener la declaración de conformidad antes de su comercialización.
 

4 La IA de propósito general sigue un esquema de categorización de riesgos diferente

Los modelos de IA de propósito general, que se entrenan en grandes conjuntos de datos y son capaces de realizar una amplia gama de tareas, están específicamente regulados y clasificados bajo la Ley de IA. Entre otros requerimientos, se deberá crear y mantener la documentación técnica del modelo, elaborar una política sobre cómo respetar la legislación en materia de derechos de autor y crear un resumen detallado de los datos utilizados para entrenar el modelo.
 

5 Sanciones significativamente más elevadas que en RGPD

La Ley otorgará a las autoridades de vigilancia del mercado la facultad de hacer cumplir las normas, investigar las denuncias e imponer sanciones por incumplimiento. La realización de una práctica de IA prohibida puede suponer una multa de hasta 35 millones de euros o el 7% de la facturación anual total mundial para las empresas, dependiendo de la gravedad de la infracción. En el caso de los sistemas de IA de alto riesgo o modelos de IA de propósito general, la multa puede llegar a los 15 millones de euros o al 3% de la facturación.

Como consecuencia de este ímpetu regulatorio, surge la figura de las agencias de supervisión de la inteligencia artificial, que en nuestro país ha supuesto la creación de la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA). Concretamente, a partir del próximo 2 de febrero, este organismo tendrá la capacidad de inspeccionar prácticas prohibidas en IA, y a partir del 2 de agosto, asumirá la plena potestad sancionadora y otras competencias de gobernanza establecidas por la normativa comunitaria.
 

¿Cuáles son las principales acciones que se deben adoptar para cumplir con la Ley de IA?

• Elaboración de un inventario de sistemas de IA: Determinar los sistemas de IA que intervienen en los distintos procesos, controles y datos de la organización.
• Identificación de los sistemas prohibidos: Identificar y eliminar los sistemas de IA que presentan casos de uso prohibidos.
• Identificación de sistemas de IA de alto riesgo: Determinar si los sistemas de IA que se utilizan se consideran de alto riesgo según la Ley.
• Evaluación de conformidad: Realizar una evaluación de conformidad de los sistemas de IA de alto riesgo existentes, así como de los nuevos sistemas antes de lanzarlos en el mercado.
• Documentación y transparencia: Mantener una documentación detallada y accesible sobre los sistemas de IA, incluyendo su diseño, desarrollo y funcionamiento, en concreto, en los modelos de IA de propósito general.

¿Cómo se debe garantizar el cumplimiento de la Ley de IA a lo largo del tiempo?

• Gestión de riesgos: Establecer un sistema de gestión de riesgos para identificar, evaluar y mitigar los riesgos asociados con los sistemas de IA.
• Supervisión humana: Implementar mecanismos para garantizar la supervisión humana de los sistemas de IA, especialmente aquellos de alto riesgo.
• Capacitación y formación: Proporcionar formación adecuada a los empleados sobre el uso seguro y ético de los sistemas de IA.
• Auditorías y revisiones: Realizar auditorías periódicas y revisiones de los sistemas de IA para asegurar el cumplimiento continuo de la Ley.

En definitiva, la Ley de IA es una pieza crucial dentro del complejo marco de regulación digital de la UE, orientada a abordar las complejidades y los riesgos potenciales asociados con los sistemas de IA. Aunque este artículo se centra en la Ley de IA, esta cuestión debe abordarse desde un enfoque holístico que contemple todo el panorama regulatorio digital de la UE (la privacidad y la transparencia de los algoritmos, los requisitos generales de ciberseguridad (NIS II) y sectoriales (DORA), y los diferentes requerimientos sobre los datos empleados en la IA).