La Ley de IA de la UE: antecedentes, novedades y plazos de aplicación

La regulación de la inteligencia artificial es inevitable, dado el avance y la integración de los sistemas de IA en prácticamente todas las facetas del mundo moderno. Jurisdicciones clave, como la Unión Europea, ya están dando los primeros pasos para introducir marcos legislativos diseñados para aportar el orden tan necesario a lo que se ha calificado como el «Salvaje Oeste» de la tecnología, y muchas otras seguirán su ejemplo a medida que crezca la necesidad de una supervisión a nivel gubernamental.  

La Ley de la UE sobre la IA
La Ley de la UE sobre la IA es una norma legislativa histórica cuyo objetivo es crear un marco jurídico integral que regule el uso y el desarrollo de la IA en todos los Estados miembros. Como componente fundamental de la estrategia digital más amplia de la UE, la Ley de la UE sobre la IA refleja un enfoque proactivo para abordar los retos éticos, sociales y técnicos que plantean las tecnologías de IA, en rápido avance.

La ley, aprobada por los legisladores europeos el 13 de marzo de 2024, tiene por objeto fomentar un entorno en el que las tecnologías de inteligencia artificial puedan prosperar, impulsando la innovación y el crecimiento económico, al tiempo que se garantiza que dichos avances beneficien a todos los ciudadanos y se ajusten al interés público. La ley también garantizará que los europeos puedan confiar en lo que ofrece la inteligencia artificial.  

La Ley de IA de la UE:

• Abordar los riesgos derivados específicamente de las aplicaciones de inteligencia artificial. 
• Prohibir las prácticas relacionadas con la inteligencia artificial que entrañen riesgos inaceptables. 
• Elaborar una lista de aplicaciones de alto riesgo. 
• Establecer requisitos claros para los sistemas de inteligencia artificial destinados a aplicaciones de alto riesgo. 
• Establecer obligaciones específicas para los responsables de la implantación y los proveedores de aplicaciones de IA de alto riesgo. 
• Establecer medidas de control una vez que un sistema de IA concreto se haya comercializado. 
• Establecer una estructura de gobernanza a nivel europeo y nacional. 
• Exigir una evaluación de la conformidad antes de que un sistema de inteligencia artificial entre en servicio.  
   

Un enfoque basado en el riesgo para la gobernanza de la IA
El marco normativo establecido por la Ley de IA introduce el principio de que, cuanto mayor sea el riesgo que plantee un sistema de IA, más estrictas serán las normas a las que se someta. Este enfoque garantiza que los sistemas de IA con el potencial de afectar de manera significativa a la sociedad o a las personas estén sujetos a una supervisión y un control más rigurosos.

Uno de los aspectos clave de la Ley de IA es la clasificación de determinadas aplicaciones de IA como de riesgo inaceptable, lo que supone, en la práctica, la prohibición de su uso en la Unión Europea. Esta categoría incluye las aplicaciones de IA que:

• Manipular el comportamiento humano hasta el punto de que pueda causar daño a las personas. Se trata de sistemas diseñados para influir en acciones o decisiones que podrían perjudicar su bienestar o su autonomía. 
• Facilitan la evaluación desfavorable de las personas en función de su comportamiento social o sus características personales. Un ejemplo claro es el sistema de crédito social implantado en China, que restringe las libertades y oportunidades de una persona en función de su estatus social, determinado por su comportamiento y otros rasgos personales. 
• Permitir la detección remota en tiempo real de personas en espacios públicos y su identificación biométrica sin su consentimiento. Aunque estas prácticas están prohibidas en general debido a su carácter intrusivo, la ley establece excepciones para la prevención del terrorismo o la investigación de delitos graves, reconociendo el equilibrio entre las preocupaciones en materia de privacidad y las necesidades de seguridad. 
   

Se prohibirán todos los sistemas de IA que se consideren una amenaza para la seguridad, los medios de vida y los derechos de las personas. Crédito de la imagen: Comisión Europea
Los sistemas de IA identificados como de alto riesgo incluirán aquellos utilizados en ámbitos clave como las infraestructuras críticas (p. ej., el transporte), la educación o la formación profesional (p. ej., la corrección de exámenes), los componentes de seguridad de los productos (p. ej., la IA en la cirugía asistida por robots) y el empleo (p. ej., el software de selección de currículos). Los sistemas de IA de alto riesgo estarán sujetos a obligaciones estrictas antes de que puedan comercializarse:

• Sistemas adecuados de evaluación y mitigación de riesgos. 
• Registro de la actividad para garantizar la trazabilidad de los resultados. 
• Información clara y adecuada para la persona que realiza el despliegue. 
• Medidas adecuadas de supervisión humana para minimizar el riesgo. 
• Alto nivel de solidez, seguridad y precisión. 
• La documentación detallada proporciona toda la información sobre el sistema y su finalidad, para que las autoridades puedan evaluar su conformidad. 
   

Por su parte, los sistemas de IA considerados de riesgo limitado estarán sujetos a obligaciones específicas de transparencia para garantizar que se informe a las personas cuando sea necesario. Al utilizar un chatbot, por ejemplo, se deberá informar a los usuarios de que están interactuando con una máquina, de modo que puedan decidir con conocimiento de causa si desean seguir utilizando el sistema. Los proveedores también deberán garantizar que el contenido generado por la IA sea identificable.

Los sistemas de IA con un riesgo mínimo no tendrán restricciones y podrán utilizarse libremente. Esto incluye aplicaciones como los videojuegos basados en IA o los filtros antispam.

¿A quiénes afectará?
La Ley de IA de la UE afectará principalmente a los proveedores, un concepto que se define de forma amplia para incluir a todas las entidades jurídicas —ya sean autoridades públicas, instituciones, empresas u otros organismos— que desarrollen sistemas de IA o encarguen el desarrollo de dichos sistemas. Esta amplia definición garantiza que cualquier organización que participe en la comercialización de tecnología de IA en el mercado de la UE o en la puesta en servicio de dichos sistemas dentro de la Unión quede incluida en el ámbito de aplicación de la Ley. Las responsabilidades de los proveedores en virtud de la Ley incluyen, entre otras, las siguientes:

• Respeto de los derechos humanos: Garantizar que sus sistemas de inteligencia artificial no pongan en peligro los derechos fundamentales de las personas, entre los que se incluyen la protección de la privacidad, la no discriminación y la protección de los datos personales. 
• Gestión de riesgos: Realizar evaluaciones exhaustivas de riesgos para identificar y mitigar cualquier daño potencial que sus sistemas de IA puedan suponer para las personas o la sociedad.
  Medidas de transparencia: Proporcionar información clara y comprensible sobre el funcionamiento de sus sistemas de IA, la lógica que subyace a las decisiones de la IA y las implicaciones de su uso. 
• Normas de calidad y seguridad: Cumplimiento de las normas de calidad y seguridad predefinidas que garantizan que los sistemas de IA sean fiables, seguros y adecuados para el fin al que están destinados. 
   

La Ley de IA de la UE también aborda las responsabilidades de los usuarios de sistemas de IA, incluidas las personas jurídicas y las personas físicas. De este modo, el ámbito de aplicación de la ley se amplía a los particulares, y no solo a las empresas u organizaciones.  

En virtud de la ley, se espera que los usuarios de sistemas de inteligencia artificial:

• Utiliza los sistemas de IA de forma responsable: sigue las instrucciones y directrices del fabricante para un uso adecuado y seguro de las tecnologías de IA. 
• Seguimiento y notificación: Realizar un seguimiento del rendimiento de los sistemas de IA en uso y notificar cualquier fallo o riesgo que se detecte a las autoridades o proveedores pertinentes. 
• Gobernanza de datos: Asegurarse de que todos los datos utilizados en combinación con sistemas de inteligencia artificial se traten de conformidad con la estricta legislación de la UE en materia de protección de datos, como el RGPD, con el fin de proteger la privacidad y los datos personales de los individuos. 
   

¿Qué regulará la Ley de IA de la UE?
La Ley de IA es una norma legislativa histórica que abordará varios ámbitos clave relacionados con la implantación y el funcionamiento de los sistemas de IA.  

Ética y responsabilidad
Los sistemas de inteligencia artificial pueden tener un impacto significativo en la sociedad, tanto positivo como negativo. Las consideraciones éticas son fundamentales, ya que las decisiones que toman estos sistemas pueden afectar a la vida, los medios de subsistencia y los derechos de las personas.  

La Ley de Inteligencia Artificial tiene por objeto garantizar que la inteligencia artificial se desarrolle y utilice de forma ética, respete los derechos humanos y proteja la seguridad de las personas. Hace hincapié en la necesidad de que los sistemas de inteligencia artificial se diseñen con un enfoque centrado en el ser humano, dando prioridad al bienestar humano y a las normas éticas.

Transparencia y rendición de cuentas
Uno de los retos que plantean los sistemas de inteligencia artificial, especialmente los basados en el aprendizaje automático y el aprendizaje profundo, es su naturaleza de «caja negra». Esta opacidad puede dificultar la comprensión de cómo se toman las decisiones, lo que suscita preocupaciones sobre la equidad, los sesgos y la discriminación.  

La Ley de IA exige una mayor transparencia y documentación en relación con los sistemas de IA, y requiere que se expliquen su funcionamiento, la lógica que subyace a sus decisiones y los datos que utilizan. Esto es fundamental para fomentar la rendición de cuentas y garantizar que los sistemas de IA no perpetúen ni agraven las desigualdades sociales.

Competitividad
En la carrera mundial por el avance tecnológico, la UE pretende posicionarse como líder en innovación ética en materia de IA. Mediante el establecimiento de normas claras y armonizadas para la IA, la Ley de IA pretende crear un entorno estable y predecible que fomente la inversión y la investigación en tecnologías de IA.  

Esta claridad normativa tiene por objeto impulsar la competitividad de las empresas europeas en el ámbito internacional, permitiéndoles innovar sin dejar de cumplir con elevados estándares éticos y de seguridad.

Confianza de los usuarios finales
La aceptación y la confianza del público en las tecnologías de IA son esenciales para su adopción generalizada y su éxito. La Ley de IA tiene como objetivo reforzar la confianza del público en los sistemas de IA mediante la implantación de salvaguardias sólidas, normas éticas y requisitos de transparencia.  

Se espera que garantizar que las tecnologías de IA se utilicen de forma que protejan y beneficien a la sociedad aumente la confianza de los ciudadanos, lo cual es fundamental para integrar la IA en diversos aspectos de la vida cotidiana y la economía.

Normativa sobre IA en otras jurisdicciones
La UE no es la única que se esfuerza por regular la IA: Estados Unidos y el Reino Unido han logrado avances significativos en la implantación de políticas nacionales.

En California, sede de empresas líderes en inteligencia artificial como OpenAI, Microsoft y Google, se ha presentado recientemente un proyecto de ley cuyo objetivo es establecer «normas de seguridad claras, predecibles y basadas en el sentido común para los desarrolladores de los sistemas de inteligencia artificial más grandes y potentes», adoptando un enfoque que se centra específicamente en las empresas que crean los modelos a mayor escala y en la posibilidad de que estos puedan causar daños generalizados si no se controlan adecuadamente.  

Por otra parte, la Ley Local 144 de la ciudad de Nueva York, que entró en vigor en 2021 y se aplica a los empleadores que utilizan sistemas automatizados de selección de personal (AEDT) para evaluar a los candidatos, exige que se lleve a cabo una auditoría de sesgos en los procesos de contratación automatizados.  

También se están tomando medidas a nivel federal. En octubre, el presidente Biden promulgó un decreto ejecutivo para establecer nuevas normas de seguridad y protección en materia de inteligencia artificial. El decreto establece las siguientes medidas:

• Los desarrolladores de los sistemas de inteligencia artificial más potentes deben compartir los resultados de sus pruebas de seguridad y otra información fundamental con el Gobierno de Estados Unidos.  
• Desarrollar normas, herramientas y pruebas que contribuyan a garantizar que los sistemas de inteligencia artificial sean seguros y fiables.  
• Protegerse contra los riesgos que conlleva el uso de la inteligencia artificial para crear materiales biológicos peligrosos. 
• Proteger a los estadounidenses frente al fraude y el engaño basados en la inteligencia artificial mediante el establecimiento de normas y buenas prácticas para detectar contenidos generados por la inteligencia artificial y verificar la autenticidad de los contenidos oficiales. 
• Establecer un programa avanzado de ciberseguridad para desarrollar herramientas de inteligencia artificial que permitan detectar y corregir vulnerabilidades en el software crítico. 
• Ordenar la elaboración de un memorándum de seguridad nacional que marque las líneas de actuación futuras en materia de inteligencia artificial y seguridad. 
   

Mientras tanto, los legisladores del Reino Unido también están elaborando su propia normativa. El Gobierno británico publicó en marzo de 2023 su Libro Blanco sobre la IA, en el que se recogen sus propuestas para regular el uso de la IA en el Reino Unido. El Libro Blanco es una continuación del Documento de Política Regulatoria sobre la IA, que presentó la visión del Gobierno británico sobre el futuro de un régimen regulador de la IA «favorable a la innovación» y «específico para cada contexto» en el Reino Unido.

El Libro Blanco propone un enfoque diferente al de la Ley de IA de la UE en materia de regulación de la IA. En lugar de introducir nuevas normas de amplio alcance para regular la IA en el Reino Unido, el Gobierno británico pretende establecer unas directrices para el desarrollo de la IA en colaboración con los organismos reguladores existentes, como la Autoridad de Conducta Financiera, y otorgarles competencias para regular el uso de la IA dentro de sus respectivas competencias.  

Interrelaciones entre la Ley de IA de la UE y el RGPD de la UE
Cuando entre en vigor la Ley de IA de la UE, se convertirá en una de las primeras y más amplias normativas del mundo en materia de inteligencia artificial. Como es lógico, esto ha llevado a la gente a reflexionar sobre sus implicaciones para el Reglamento General de Protección de Datos (RGPD), que entró en vigor en 2018.

La Ley de IA y el RGPD difieren en su ámbito de aplicación. La Ley de IA se aplica a los proveedores, usuarios y participantes de toda la cadena de valor de la IA, mientras que el RGPD se aplica de forma más restringida a quienes tratan datos personales u ofrecen bienes o servicios —incluidos los servicios digitales— a los interesados en la UE. Por lo tanto, los sistemas de IA que no traten datos personales no estarán sujetos al RGPD.  

Sin embargo, hay algunas salvedades al respecto. Una posible discrepancia entre la Ley de IA y el RGPD es el requisito de que los proveedores de sistemas de IA faciliten la supervisión humana. No obstante, aún no se ha definido qué medidas deben adoptarse para hacerlo posible ni en qué medida se exigirá la supervisión humana para sistemas de IA específicos. La posible consecuencia es que los sistemas de IA no se consideren parcialmente automatizados; por lo tanto, podrían aplicarse las obligaciones del artículo 22.  

La Ley de IA también señala que los proveedores de sistemas de IA de alto riesgo podrían verse obligados a tratar categorías especiales de datos personales con el fin de supervisar y detectar sesgos. Curiosamente, la Ley de IA no establece explícitamente una base jurídica para hacerlo, y las disposiciones del RGPD se sitúan en una zona gris cuando se aplican en este contexto.  

Podría existir una base jurídica para el tratamiento que permita evitar los sesgos en los datos y la discriminación, en virtud de la disposición sobre el interés legítimo prevista en el artículo 6, apartado 1, letra f), pero, al tratar categorías especiales de datos, también debe cumplirse una excepción prevista en el artículo 9, apartado 2. Esto significa que se requiere algo más que un interés legítimo. Si bien, en teoría, los operadores de los sistemas podrían obtener el consentimiento explícito de los interesados para tratar los datos con el fin de eliminar los sesgos, esto simplemente no es viable.

Estos son dos ejemplos de posibles puntos conflictivos que podrían surgir entre la Ley de IA de la UE y el RGPD. Ambos marcos jurídicos son normativas complejas con ámbitos de aplicación, definiciones y requisitos diferentes, lo que planteará retos en materia de cumplimiento y coherencia que deberán abordarse.

¿Cuándo entrará en vigor la Ley de IA?
En un principio, estaba previsto que la Ley de IA entrara en vigor en 2022, pero, como suele ocurrir con proyectos legislativos de tal envergadura, se han producido algunos contratiempos.  

La UE aprobó oficialmente la Ley de IA el 13 de marzo de 2024, cuando los eurodiputados del Parlamento Europeo votaron a favor de su adopción, con una mayoría de 523 votos a favor y 461 en contra. Ahora se espera que el Consejo Europeo apruebe formalmente el texto definitivo de la Ley de IA en abril de 2024. Tras este último paso formal y la finalización de los trabajos lingüísticos sobre la Ley de IA, la ley se publicará en el Diario Oficial de la UE y entrará en vigor 20 días después de su publicación.

Una vez que la Ley de IA entre en vigor, las organizaciones dispondrán de un plazo de entre seis y 36 meses a partir de su entrada en vigor para cumplir con sus disposiciones, en función del tipo de sistema de IA que desarrollen o implementen:

• 6 meses para los sistemas de IA prohibidos; 
• 12 meses para las obligaciones específicas relativas a los sistemas de IA de uso general; 
• 24 meses para la mayoría de los demás compromisos, incluidos los sistemas de alto riesgo del anexo III; y 
• 36 meses para las obligaciones relacionadas con los sistemas de alto riesgo del anexo II. 
   

A medida que esta legislación histórica avanza hacia su promulgación, las empresas deben comprender sus implicaciones y prepararse para los cambios que traerá consigo. Esta preparación implica varias medidas clave para garantizar el cumplimiento normativo y aprovechar las oportunidades que puede ofrecer un entorno de IA bien regulado.

En primer lugar, las empresas deben revisar a fondo sus sistemas y aplicaciones de IA existentes. Esta auditoría debe tener como objetivo identificar aquellas áreas en las que su tecnología podría no cumplir con la futura normativa. Dado que la Ley de IA se centra en los niveles de riesgo, es fundamental comprender en qué situación se encuentra cada sistema en lo que respecta a su impacto potencial sobre los derechos y la seguridad de las personas. Es posible que las empresas tengan que modificar o suspender determinadas funcionalidades de IA que se incluyan en las categorías de mayor riesgo o que se consideren inaceptables en virtud de la Ley.

Las empresas también deben centrarse en implementar procesos internos sólidos que garanticen la transparencia y la rendición de cuentas a la hora de utilizar la IA. Esto implica establecer prácticas de documentación transparentes, garantizar que los procesos de toma de decisiones basados en la IA sean explicables y crear mecanismos para supervisar e informar sobre el rendimiento y el impacto de la IA.