Conoce Atico34 - Solicita presupuesto
Inteligencia artificial

Ley de Inteligencia Artificial de la UE

Aunque la UE lleva varios años trabajando en crear un reglamento para regular el uso de la inteligencia artificial (IA), no ha sido hasta la irrupción de modelos como ChatGPT, Google Bard, DALL-E o Midjourney, que ha decidido pisar el acelerador y, tras arduas negociaciones, presentar la primera Ley de Inteligencia Artificial del mundo. En este artículo repasamos los aspectos clave del marco regulatorio para el uso de la inteligencia artificial en la Unión Europea.

¿Qué es la Ley de Inteligencia Artificial?

La Ley de Inteligencia Artificial es el marco regulatorio común para el uso de sistemas de IA en la UE y el EEE (Espacio Económico Europeo). La IA Act de la UE regula el uso de los sistemas de IA en base a su nivel de riesgo para los derechos de los ciudadanos y la democracia y establece prohibiciones para la aplicación de sistemas de inteligencia artificial, por considerarlos como una amenaza potencial para estos.

Estamos ante un reglamento y no una directiva de inteligencia artificial, por lo que su aplicación será automática en toda la UE y el EEE, una vez se publique en el Diario Oficial de la UE y entre en vigor.

La Ley de Inteligencia Artificial europea es una ley pionera, puesto que no existe ninguna ley que regule la inteligencia artificial en ningún otro país; por ejemplo, todavía no hay una ley de inteligencia artificial en España, aunque los derechos ante la IA sí que están contemplados en la Carta de Derechos Digitales española, un documento que tiene como fin ser un marco de referencia para el desarrollo de nuevas normativas.

¿Por qué es necesaria una Ley de Inteligencia Artificial?

La Ley de Inteligencia Artificial de la UE es necesaria porque, hasta ahora, el uso y desarrollo de esta tecnología carece de una regulación específica, lo que genera, por un lado, inseguridad jurídica entre desarrolladores y usuarios, y, por otro lado, la posibilidad de explotar usos abusivos, e incluso dañinos, de los modelos de IA (un buen ejemplo lo tenemos en la creación de deep fakes con fines pornográficos o para llevar a cabo estafas y fraudes).

Si bien es cierto que en lo que respecta a la IA, pueden ser de aplicación otras leyes, como ocurre con la inteligencia artificial y la protección de datos, con el estudio y análisis al que se está sometiendo a ChatGPT por parte de varias autoridades de control europeas, lo cierto es que el potencial que tiene la IA y sus usos, hacen indispensable que se articule una regulación por parte de los legisladores para evitar un desarrollo y uso descontrolado de esta tecnología y sus aplicaciones, que podrían tener un enorme impacto en la sociedad actual.

De hecho, han sido varias las voces de expertos en el campo de las nuevas tecnologías en general y de la IA en particular, las que han pedido tanto una regulación de la misma como que se eche el freno temporalmente en el desarrollo de estos sistemas, porque de un tiempo a esta parte se está experimentando un avance mucho más rápido de lo que se tenía previsto.

Sirva como ejemplo la propia regulación en la que trabaja la UE; en 2021 se publicó la primera propuesta de esta futura ley, en ella solo una vez se mencionaba a los chatbots, porque estos aún no tenían el desarrollo que los modelos de lenguaje como ChatGPT están alcanzando. En 2023, nos encontramos con sistemas de IA que imitan el lenguaje natural, pero también son capaces de escribir artículos, entre otras cosas, y que tienen un enorme potencial para ser empleados con fines poco o nada éticos (como campañas de desinformación), por no mencionar los problemas que generan en torno a los derechos de autor. El texto final de la Ley de Inteligencia Artificial sí que toma en consideración estos nuevos desarrollos.

Hablamos de derechos de autor, de manipulación y desinformación, de protección de datos, privacidad, control y decisiones automatizadas, de equidad y no discriminación en el desarrollo de aplicaciones de inteligencia artificial, y, sí, también de la posible destrucción de empleo. La IA tiene un gran potencial para mejorar muchos aspectos de nuestras vidas, pero también lo tiene para causar graves daños, porque, como todo desarrollo tecnológico, tiene riesgos. Además, entre esos riesgos está que no sabemos cuán lejos puede llegar la IA (hablar de la singularidad suena a ciencia ficción, pero modelos como ChatGPT o Bard también lo hacían hasta hace no mucho, en cualquier caso, este aspecto de la IA se sale de lo que estamos tratando en este artículo, aunque os invitamos a informaros sobre ello).

Evitar escenarios como los vividos con las redes sociales, vacíos legales y minimizar los riesgos que el desarrollo de la IA trae asociados, pasa por regularla, aunque un exceso de regulación puede suponer una limitación para su avance y desarrollo, por lo que es necesario encontrar un equilibro, y eso es lo que busca alcanzar también el reglamento de inteligencia artificial del Parlamento Europeo.

ley de inteligencia artificial

Objetivos y alcance de la Ley de Inteligencia de la UE

La Ley de Inteligencia Artificial tiene cuatro objetivos:

  • Garantizar que los sistemas de IA introducidos y usados en la UE sean seguros y respeten la legislación vigente en materia de derechos fundamentales y valores de la UE.
  • Garantizar la seguridad jurídica para facilitar la inversión e innovación en IA.
  • Mejorar la gobernanza y la aplicación efectiva de la legislación vigente en materia de derechos fundamentales y los requisitos de seguridad aplicables a los sistemas de IA.
  • Facilitar el desarrollo de un mercado único para hacer un uso legal, seguro y fiable de las aplicaciones de IA y evitar la fragmentación del mercado.

De manera que el reglamento de IA establece:

  • Normas armonizadas para la introducción en el mercado, la puesta en servicio y la utilización de sistemas de inteligencia artificial en la UE.
  • Prohibiciones de determinadas prácticas de IA.
  • Requisitos específicos para los sistemas de IA de alto riesgo y obligaciones para los operadores de dichos sistemas.
  • Normas armonizadas de transparencia aplicables a los sistemas de IA destinados a interactuar con personas físicas, los sistemas de reconocimiento de emociones y los sistemas de categorización biométrica, así como para generar o manipular imágenes, archivos de audio o vídeos.
  • Normas para el control y la vigilancia del mercado.

La Ley de Inteligencia Artificial afectará y será de aplicación a:

  • Proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA en la UE, tanto si están establecidos dentro de la misma o fuera de ella.
  • Usuarios de sistemas de IA de la UE.
  • Proveedores o usuarios de sistemas de IA en un tercer país, cuando la información de salida generada por el sistema se utilice en la UE.

El reglamento también nos da una definición de sistema de inteligencia artificial:

El software que se desarrolla empleando una o varias técnicas y estrategias que puede, para un conjunto determinado de objetivos definidos por seres humanos, generar información de salida como contenidos, predicciones, recomendaciones o decisiones que influyan en los entornos con los que interactúa.

Esas técnicas y estrategias se recogen en un anexo y son:

  • Estrategias de aprendizaje automático, incluidos el aprendizaje supervisado, el no supervisado y el realizado por refuerzo, que emplean una amplia variedad de métodos, entre ellos el aprendizaje profundo.
  • Estrategias basadas en la lógica y el conocimiento, especialmente la representación del conocimiento, la programación (lógica) inductiva, las bases de conocimiento, los motores de inferencia y deducción, los sistemas expertos y de razonamiento (simbólico).
  • Estrategias estadísticas, estimación bayesiana, métodos de búsqueda y optimización.

Como veis, la definición intenta ser lo más amplia y neutra posible, para poder dar cabida a futuros desarrollos y usos de la IA.

Respecto a las prácticas de IA, la regulación de las mismas se basa en los riesgos que tendría su utilización, con especial foco en cómo afectarían a los derechos y libertades fundamentales de los ciudadanos de la UE. Para ello se establecen dos «categorías», una de prácticas de IA prohibidas y otra de prácticas de alto riesgo, que estarán permitidas, siempre y cuando se cumplan los requisitos y obligaciones establecidos en el reglamento.

Prácticas de IA prohibidas en la IA Act de la UE

La Ley de Inteligencia Artificial prohíbe las siguientes prácticas de IA:

  • Sistemas de IA que usen técnicas subliminales para alterar de manera sustancial el comportamiento de las personas, provocando o que pueda provocar perjuicios físicos o psicológicos.
  • Sistemas de IA que aprovechen alguna vulnerabilidad de un grupo específico de personas para alterar su comportamiento, provocando o que pueda provocar perjuicios físicos o psicológicos.
  • Sistemas de IA utilizados por autoridades públicas o en su representación con el fin de evaluar o clasificar la fiabilidad de personas físicas durante un periodo de tiempo determinado, basado en su conducta social o en características personales o de su personalidad conocidas o predichas y que dicha clasificación pueda provocar tratos perjudiciales o desfavorables hacia determinadas físicas o colectivos enteros.
  • Usos de sistemas de identificación biométrica remota en tiempo real en espacios públicos con fines de aplicación de la ley, salvo que la medida tenga uno o varios de estos fines:
    • Búsqueda selectiva de posibles víctimas.
    • Prevenir amenazas específicas.
    • Detección, localización, identificación o enjuiciamiento de una persona por haber cometido o ser sospechosa de haber cometido delitos contemplados en el artículo 2 del apartado 2 de la Decisión Marco 2002/584/JAI del Consejo.

Prácticas de IA consideradas de alto riesgo

Las prácticas de IA consideradas de alto riesgo son aquellas que puedan afectar negativamente a la seguridad o los derechos fundamentales y se dividen en dos categorías:

  • Sistemas de IA utilizados en productos sujetos a la legislación de la UE sobre seguridad de los productos (aviación, automóviles, dispositivos, médicos, ascensores y juguetes).
  • Sistemas de IA pertenecientes a ocho ámbitos específicos, que deberán registrarse en una base de datos de la UE:
    • Identificación biométrica y categorización de personas físicas.
    • Gestión y explotación de infraestructuras críticas.
    • Educación y formación profesional.
    • Empleo, gestión de trabajadores y acceso al autoempleo.
    • Acceso y disfrute de servicios privados esenciales y servicios y prestaciones públicas de la ley.
    • Gestión de la migración, el asilo y el control de fronteras.
    • Asistencia en la interpretación jurídica y aplicación de la ley.

Los sistemas de IA de alto riesgo deberán ser transparentes, contar con un sistema de gestión de riesgos, gobernanza de datos en el caso de sistemas entrenados mediante datos, documentación técnica y archivo de registros, supervisión humana, precisión, solidez y ciberseguridad.

IA generativa y prácticas de IA de riesgo limitado

La Ley de IA de la UE también contempla sistemas de IA cuyo riesgo considera menor o limitado, como las IA generativas de texto o imagen, el reconocimiento de emociones o los bots en videojuegos.

Para estos sistemas de IA de riesgo limitado, la Ley impone el cumplimiento de unos requisitos mínimos de transparencia que permitan a los usuarios tomar decisiones conscientes de las consecuencias. Así mismo, los usuarios deben ser conscientes de cuándo están interactuando con una IA.

Respecto a la IA generativa, esta tendrá que cumplir con los siguientes requisitos:

  • Revelar que el contenido ha sido generado por IA.
  • Diseñar el modelo para evitar la generación de contenidos ilegales.
  • Respetar las leyes sobre derechos de autor de la UE y los Estados miembros.
  • Publicar resúmenes de los datos protegidos por derechos de autor utilizados para el entrenamiento del modelo.

Obligaciones para proveedores de sistemas de IA

Los proveedores de sistemas de IA deberán cumplir con una serie de obligaciones:

  • Tener un sistema de gestión de calidad.
  • Elaborar documentación técnica del sistema de IA.
  • Conservación de los archivos de registro.
  • Someter el sistema de IA a un procedimiento de evaluación de conformidad antes de su introducción en el mercado o puesta en servicio.
  • Cumplir con las obligaciones de registro que se establezcan en el reglamento.
  • Adoptar medidas correctoras cuando el sistema IA no cumpla con los requisitos del reglamento.
  • Informar a las autoridades nacionales competentes de los casos de no conformidad y de las medidas correctoras adoptadas.
  • Colaborar con el marcado CE.
  • Poder demostrar que sus sistemas IA cumplen con los requisitos establecidos en el reglamento.

Oficina Europa de IA y autoridades de control

La Ley de Inteligencia Artificial también establece la creación de autoridades de notificaciones y de control, así como la creación de una Oficina Europea de IA, para controlar la aplicación del reglamento en los Estados miembros.

Así mismo, establece normas para, una vez introducidos en el mercado, llevar un seguimiento de los sistemas de IA y la información sobre incidentes, además de normas armonizadas para el apoyo a la innovación.

tarifas proteccion datos

Sanciones por infringir la IA Act de la UE

La IA Act de la UE contempla un régimen sancionador para quienes infrinjan el reglamento, para asegurar así su cumplimiento.

Por un lado, establece una serie de sanciones en el propio reglamento, y, por otro lado, permite a los Estados miembros crear sus propios regímenes sancionadores basados en las infracciones del reglamento.

Las sanciones establecidas en la Ley de IA son las siguientes:

  • 35 millones de euros o el 7% del volumen global de negocio para las infracciones de aplicaciones de IA prohibidas.
  • 15 millones de euros o el 3% del volumen global de negocio para el incumpliendo del reglamento de IA.
  • 7,5 millones de euros o el 1,5% del volumen global de negocio por la presentación de información inexacta.

Cabe señalar que se contempla la imposición de multas administrativas más proporcionadas cuando la infractora sea una pyme o una empresa emergente.

Además, también se contemplan sanciones administrativas para instituciones, agencias y organismos de la UE que puedan cometer infracciones en materia de IA. La autoridad sancionadora en este caso será el Supervisor Europeo de Protección de Datos.

¿Cuándo entrará en vigor la Ley de Inteligencia Artificial de la Unión Europea?

La Ley de Inteligencia Artificial de la Unión Europea entrará en vigor en 2026, aunque lo hará de forma gradual y en diferentes fases de implementación:

  • El primer trimestre de 2026 se implementarán las medidas menos complejas y de menor impacto en el uso de sistemas de IA.
  • En el segundo trimestre de 2026 se implementarán de forma progresiva las disposiciones del reglamento.
  • En el tercer trimestre de 2026 se implementarán las medidas de mayor calado, como la regulación de los sistemas de vigilancia biométrica y los sistemas de IA generativa.
  • En el cuarto trimestre de 2026 se terminará de implementar el resto de disposiciones.

En definitiva, con la Ley de Inteligencia Artificial de la UE se pone a la vanguardia en la regulación del uso de los sistemas de IA, en un intento por reducir los riesgos que el desarrollo de esta tecnología plantea para la sociedad. Y lo hace intentando encontrar un equilibrio entre una regulación que proteja los derechos y libertades fundamentales de los ciudadanos de la UE y una regulación que no ahogue la innovación y deje a la Unión atrasada o fuera de esta carrera tecnológica.