Ley de IA de la Unión Europea: marco jurídico para la in­te­li­ge­n­cia ar­ti­fi­cial

En 2024, la Unión Europea aprobó el Re­gla­me­n­to sobre la In­te­li­ge­n­cia Ar­ti­fi­cial (Ar­ti­fi­cial in­te­lli­ge­n­ce act), con el objetivo de es­ta­ble­cer un marco jurídico uniforme para el de­sa­rro­llo y uso de sistemas de IA. Esta re­gu­la­ción, la primera de su tipo a nivel mundial, busca fomentar las opo­r­tu­ni­da­des que ofrece la te­c­no­lo­gía IA, y al mismo tiempo, minimizar sus posibles riesgos.

¿Por qué se introdujo este re­gla­me­n­to?

El Re­gla­me­n­to de la IA de la UE se introdujo con el fin de es­ta­ble­cer un marco legal claro y uniforme para el uso de la in­te­li­ge­n­cia ar­ti­fi­cial en Europa. La Comisión Europea presentó el primer borrador en abril de 2021 y, tras largas ne­go­cia­cio­nes, la versión final fue aprobada en enero de 2024. El trasfondo de esta re­gu­la­ción son los rápidos avances te­c­no­ló­gi­cos en el ámbito de la IA, que ofrecen tanto opo­r­tu­ni­da­des como riesgos co­n­si­de­ra­bles. Los desafíos sociales y éticos, como la di­s­cri­mi­na­ción provocada por al­go­ri­t­mos sesgados, la falta de tra­n­s­pa­re­n­cia en de­ci­sio­nes au­to­ma­ti­za­das o el uso indebido de la IA para la vi­gi­la­n­cia masiva, exigían con urgencia una re­gu­la­ción legal.

El objetivo del re­gla­me­n­to es fomentar la in­no­va­ción sin poner en peligro los valores europeos fu­n­da­me­n­ta­les como la pro­te­c­ción de datos, la seguridad y los derechos humanos. La UE adopta un enfoque basado en el riesgo, en el que las apli­ca­cio­nes de IA es­pe­cia­l­me­n­te pe­li­gro­sas están sujetas a una re­gu­la­ción estricta o incluso pueden ser prohi­bi­das. Al mismo tiempo, el re­gla­me­n­to pretende fo­r­ta­le­cer a las empresas europeas en la co­m­pe­te­n­cia global, generando confianza y seguridad jurídica.

Cla­si­fi­ca­ción de los sistemas de IA según ca­te­go­rías de riesgo

El re­gla­me­n­to adopta un enfoque basado en el riesgo y clasifica los di­fe­re­n­tes sistemas de IA en cuatro ca­te­go­rías:

1. Riesgo in­ace­p­ta­ble: en esta categoría se incluyen todos los sistemas de IA que se co­n­si­de­ran una amenaza para la seguridad, los medios de su­b­si­s­te­n­cia o los derechos de las personas. Estos sistemas están prohi­bi­dos. Ejemplos de ello son los sistemas de social scoring, es decir, la eva­lua­ción del co­m­po­r­ta­mie­n­to o la pe­r­so­na­li­dad de in­di­vi­duos por parte de las entidades estatales, o los sistemas de IA que se pueden usar para el re­co­no­ci­mie­n­to facial en espacios públicos sin co­n­se­n­ti­mie­n­to.
2. Alto riesgo: estos sistemas están pe­r­mi­ti­dos, pero están sujetos a estrictos re­qui­si­tos y conllevan amplias obli­ga­cio­nes para los pro­vee­do­res y ope­ra­do­res de los sistemas. A esta clase de riesgo pe­r­te­ne­cen, por ejemplo, los sistemas de IA en in­frae­s­tru­c­tu­ras críticas, como en el sector del tra­n­s­po­r­te para ga­ra­n­ti­zar la seguridad. También la IA en la gestión de personal, que influye en de­ci­sio­nes sobre co­n­tra­ta­cio­nes o despidos, está sujeta a re­qui­si­tos es­pe­cia­les.
3. Riesgo limitado / Riesgo de tra­n­s­pa­re­n­cia: la tercera clase de riesgo incluye sistemas de IA con re­qui­si­tos es­pe­cí­fi­cos de tra­n­s­pa­re­n­cia, de­s­ti­na­dos a la in­ter­ac­ción directa con los usuarios. Los usuarios deben ser in­fo­r­ma­dos sobre la in­ter­ac­ción con dichos sistemas. La mayoría de las IA ge­ne­ra­ti­vas pe­r­te­ne­cen a esta categoría.
4. Riesgo mínimo: la mayoría de los sistemas de IA pe­r­te­ne­cen a la cuarta categoría y no están sujetos a re­qui­si­tos es­pe­cí­fi­cos según el Re­gla­me­n­to sobre la IA de la UE. Ejemplos son los filtros de spam o los pe­r­so­na­jes co­n­tro­la­dos por IA en vi­deo­jue­gos.

Re­qui­si­tos y obli­ga­cio­nes para de­sa­rro­lla­do­res y pro­vee­do­res

Para los de­sa­rro­lla­do­res y pro­vee­do­res de sistemas de IA, es­pe­cia­l­me­n­te aquellos con alto riesgo, el Re­gla­me­n­to Europeo sobre la IA establece una serie de re­qui­si­tos de­s­ti­na­dos a ga­ra­n­ti­zar que estas te­c­no­lo­gías se utilicen de manera re­s­po­n­sa­ble. Estos re­qui­si­tos abarcan diversos aspectos, in­clu­ye­n­do tra­n­s­pa­re­n­cia, seguridad, precisión, así como la calidad de los datos su­b­ya­ce­n­tes. Su objetivo es conseguir la seguridad y fomentar la confianza en las te­c­no­lo­gías de IA, sin ob­s­ta­cu­li­zar in­ne­ce­sa­ria­me­n­te la in­no­va­ción.

Gestión de riesgos

Las empresas deben im­ple­me­n­tar un sistema continuo de gestión de riesgos que ide­n­ti­fi­que, evalúe y minimice los peligros po­te­n­cia­les. Esto incluye la revisión periódica del impacto del sistema de IA tanto en las personas como en la sociedad en su conjunto. Se presta especial atención a posibles di­s­cri­mi­na­cio­nes, sesgos in­vo­lu­n­ta­rios en la toma de de­ci­sio­nes y riesgos para la seguridad pública.

Calidad de los datos y evitación de sesgos

Los datos de en­tre­na­mie­n­to uti­li­za­dos para de­sa­rro­llar un sistema de IA deben cumplir con altos es­tá­n­da­res de calidad. Esto significa que deben ser re­pre­se­n­ta­ti­vos, libres de errores y su­fi­cie­n­te­me­n­te diversos para evitar di­s­cri­mi­na­ción y sesgos. Las empresas están obligadas a es­ta­ble­cer me­ca­ni­s­mos para verificar y corregir sesgos, es­pe­cia­l­me­n­te cuando la in­te­li­ge­n­cia ar­ti­fi­cial se utiliza en ámbitos sensibles como la toma de de­ci­sio­nes de personal o la apli­ca­ción de la ley.

Do­cu­me­n­ta­ción y registros

Los de­sa­rro­lla­do­res deben crear y mantener una do­cu­me­n­ta­ción técnica exhau­s­ti­va de sus sistemas de IA. Esta do­cu­me­n­ta­ción no solo debe describir la es­tru­c­tu­ra y el fu­n­cio­na­mie­n­to del sistema, sino también hacer co­m­pre­n­si­bles los procesos de toma de de­ci­sio­nes de la IA. Además, las empresas deben llevar registros sobre el fu­n­cio­na­mie­n­to de sus sistemas de IA para permitir un análisis posterior y, en su caso, la co­rre­c­ción de errores.

Tra­n­s­pa­re­n­cia e in­fo­r­ma­ción al usuario

La ley de la IA establece que los usuarios deben ser in­fo­r­ma­dos cla­ra­me­n­te cuando in­ter­ac­túan con una IA. Por ejemplo, los chatbots o asi­s­te­n­tes virtuales deben indicar que no son in­te­r­lo­cu­to­res humanos. En los casos en que los sistemas de IA tomen de­ci­sio­nes que tengan un impacto si­g­ni­fi­ca­ti­vo en las personas (como so­li­ci­tu­des de crédito o procesos de selección), las personas afectadas tienen derecho a recibir una ex­pli­ca­ción sobre cómo se llegó a esa decisión.

Su­pe­r­vi­sión humana y po­si­bi­li­da­des de in­te­r­ve­n­ción

Los sistemas de IA de alto riesgo no deben operar de forma co­m­ple­ta­me­n­te autónoma. Las empresas deben ga­ra­n­ti­zar que se integren me­ca­ni­s­mos de control humano, de modo que las personas puedan in­te­r­ve­nir y corregir el sistema cuando este se comporte de forma errónea o ine­s­pe­ra­da. Esto es es­pe­cia­l­me­n­te im­po­r­ta­n­te en áreas como el dia­g­nó­s­ti­co médico o la movilidad autónoma, donde los errores pueden tener co­n­se­cue­n­cias graves.

Precisión, robustez y ci­be­r­se­gu­ri­dad

La ley de IA exige que los sistemas de IA sean fiables y robustos para minimizar errores en la toma de de­ci­sio­nes y riesgos de seguridad. Los de­sa­rro­lla­do­res deben demostrar que sus sistemas funcionan de manera estable bajo diversas co­n­di­cio­nes y que no pueden ser fá­ci­l­me­n­te afectados por ataques o ma­ni­pu­la­cio­nes externas. Esto incluye medidas de ci­be­r­se­gu­ri­dad, como la pro­te­c­ción contra fugas de datos o la ma­ni­pu­la­ción no au­to­ri­za­da de al­go­ri­t­mos.

Eva­lua­ción de co­n­fo­r­mi­dad y ce­r­ti­fi­ca­ción

Antes de que un sistema de IA de alto riesgo salga al mercado, debe pasar por una eva­lua­ción de co­n­fo­r­mi­dad que verifique si cumple con todos los re­qui­si­tos re­gu­la­to­rios. En algunos casos, es necesaria una auditoría externa realizada por un organismo no­ti­fi­ca­do. Este re­gla­me­n­to también contempla una su­pe­r­vi­sión continua y re­eva­lua­cio­nes pe­rió­di­cas de los sistemas para ga­ra­n­ti­zar que sigan cu­m­plie­n­do con los es­tá­n­da­res.

Impactos y desafíos para las empresas

La ley de IA de la UE crea un marco legal claro para las empresas, diseñado para fomentar la in­no­va­ción y la confianza en las te­c­no­lo­gías de la IA, pero al mismo tiempo implica un mayor esfuerzo en cuanto a cu­m­pli­mie­n­to normativo, ajustes técnicos y es­tra­te­gias de mercado. Las empresas que de­sa­rro­llan o utilizan te­c­no­lo­gías de IA deben abordar a fondo las nuevas di­s­po­si­cio­nes para evitar riesgos legales y mantener su co­m­pe­ti­ti­vi­dad a largo plazo.

Costes más altos y carga bu­ro­crá­ti­ca

Uno de los mayores desafíos para las empresas son los costes adi­cio­na­les derivados del cu­m­pli­mie­n­to de las nuevas no­r­ma­ti­vas. Es­pe­cia­l­me­n­te para los pro­vee­do­res y usuarios de sistemas de IA de alto riesgo, se requieren medidas extensas que implican in­ve­r­sio­nes en nuevas te­c­no­lo­gías, personal cua­li­fi­ca­do y, po­si­ble­me­n­te, también en co­n­su­l­to­res externos o entidades au­di­to­rias. En pa­r­ti­cu­lar, las pequeñas y medianas empresas (SME) podrían tener di­fi­cu­l­ta­des para reunir los recursos fi­na­n­cie­ros y humanos ne­ce­sa­rios para cumplir con todos los re­qui­si­tos re­gu­la­to­rios.

Las empresas que no cumplan con las no­r­ma­ti­vas se arriesgan a sanciones elevadas, de forma similar a los que ya ocurre con el Re­gla­me­n­to General de Pro­te­c­ción de Datos (RGPD).

Fomento de la in­no­va­ción

A pesar de las re­gu­la­cio­nes adi­cio­na­les, el re­gla­me­n­to puede co­n­tri­buir a largo plazo a fo­r­ta­le­cer la confianza en los sistemas de IA y a promover la in­no­va­ción. Las empresas que se adapten pronto a las nuevas di­s­po­si­cio­nes y de­sa­rro­llen so­lu­cio­nes de IA tra­n­s­pa­re­n­tes, seguras y éticas pueden obtener una ventaja co­m­pe­ti­ti­va.

La in­tro­du­c­ción de reglas claras crea un marco legal uniforme dentro de la UE que reduce las in­ce­r­ti­du­m­bres en el de­sa­rro­llo y uso de la IA. Esto facilita a las empresas co­me­r­cia­li­zar sus te­c­no­lo­gías en toda la UE sin tener que en­fre­n­tar­se a di­fe­re­n­tes no­r­ma­ti­vas na­cio­na­les. Además, el Re­gla­me­n­to Europeo sobre la IA es uno de los primeros de sus ca­ra­c­te­rí­s­ti­cas en el mundo y establece altos es­tá­n­da­res. Las empresas que los cumplan pueden po­si­cio­nar­se como pro­vee­do­res co­n­fia­bles en el mercado y obtener así una ventaja frente a co­m­pe­ti­do­res que están sujetos a re­gu­la­cio­nes menos estrictas.

Efecto ex­tra­te­rri­to­rial e impacto en empresas in­te­r­na­cio­na­les

La ley de IA no afecta úni­ca­me­n­te a las empresas con sede en la UE, sino también a compañías in­te­r­na­cio­na­les que ofrezcan sistemas de IA en la Unión Europea o que utilicen datos re­co­pi­la­dos en te­rri­to­rio europeo para apli­ca­cio­nes de IA. Esto significa, por ejemplo, que una empresa es­ta­dou­ni­de­n­se que ofrezca un software de selección de personal basado en IA en la UE deberá cumplir con la normativa europea.

Este efecto ex­tra­te­rri­to­rial obliga a muchas empresas fuera de la UE, incluidas las es­ta­dou­ni­de­n­ses, a adaptar sus productos y servicios a los nuevos es­tá­n­da­res si desean operar en el mercado europeo. Aunque esto podría conducir a un enfoque más uniforme a nivel global en cuanto a la re­gu­la­ción de la IA, también podría suponer un obstáculo para que empresas no europeas accedan al mercado de la UE.

También existe el temor de que las empresas europeas puedan quedar rezagadas a nivel in­te­r­na­cio­nal debido a esta re­gu­la­ción. Mientras que en países como Estados Unidos o China la in­no­va­ción en IA suele avanzar con pocas re­s­tri­c­cio­nes, las estrictas no­r­ma­ti­vas de la UE podrían hacer que las empresas europeas de­sa­rro­llen e im­ple­me­n­ten nuevas te­c­no­lo­gías más le­n­ta­me­n­te. Esto podría suponer un desafío es­pe­cia­l­me­n­te para las startups y las pequeñas y medianas empresas europeas, que deben competir con gigantes te­c­no­ló­gi­cos que cuentan con recursos mucho mayores.