No cabe duda de que ha oído hablar de ello: la Ley de IA fue aprobada oficialmente por el Parlamento Europeo y el texto entró en vigor el 1 de agosto de 2024. Al igual que el RGPD en su día, este nuevo reglamento marca un punto de inflexión importante en el campo de la inteligencia artificial y los datos, y tendrá un profundo impacto en nuestras prácticas como profesionales de los datos.
Para los científicos de datos, esto significa repensar nuestros métodos de trabajo y mejores prácticas para garantizar el cumplimiento de este nuevo marco legal. Sin embargo, ante la complejidad del texto y la multitud de anuncios en torno a su adopción, no es fácil orientarse.
Esta serie de artículos tiene como objetivo comprender mejor qué es la Ley de IA y extraer los elementos clave que conciernen directamente a nuestra profesión. El objetivo es ayudarlo, como profesional de datos, a comprender lo que establecen las regulaciones, identificar las obligaciones que se derivan de ellas y adaptar sus prácticas en consecuencia.
En este primer artículo, exploraremos primero los fundamentos:
- ¿Qué es la Ley de IA y por qué se promulgó?
- ¿Cómo se define un sistema de inteligencia artificial?
- ¿Quiénes son los actores involucrados y cuándo están involucrados?
- ¿Qué es el enfoque de categorización de riesgos?
- Y, por último, ¿cómo se aplicará la ley a lo largo del tiempo, por qué autoridades y con qué consecuencias en caso de incumplimiento?
I. ¿Qué es la Ley de IA y por qué se creó?
La Ley de IA es, por lo tanto, el primer marco jurídico integral de la Unión Europea destinado a proporcionar un marco para el desarrollo, la comercialización y el uso de los sistemas de inteligencia artificial (IA) en los Estados miembros.
Su principal ambición: garantizar que los sistemas de IA sean confiables, que respeten la salud, la seguridad y los derechos fundamentales de los ciudadanos europeos, al tiempo que promueven la innovación tecnológica, ética y responsable.
El texto no solo enmarca la comercialización y la puesta en marcha de los sistemas de IA, sino también su uso práctico. Para ello, se basa en un enfoque basado en el nivel de riesgo que representa un sistema de IA según su caso de uso. Cada nivel de riesgo corresponde a las obligaciones que deben respetar los diferentes actores del ciclo de vida de la IA. Detallaremos esta categorización más adelante en el artículo.
Por último, la Ley de IA presta especial atención a los modelos de GPAI: IA de uso general modelos, o modelos de IA de uso general, debido a su impacto transversal en numerosos campos de aplicación.
II. ¿Cómo define la Ley de IA un «sistema de IA»?
Lo sabemos: el término «Inteligencia Artificial» puede significar diferentes cosas según la persona con la que se esté hablando. Por eso es fundamental entender exactamente lo que la Ley de Inteligencia Artificial entiende por Sistema de IA, para saber a qué casos y prácticas se aplica realmente este reglamento.
Para ello, podemos referirnos a ElSección 3 Un poco de texto. Así es como se describe un sistema de IA:
»«sistema de IA»: un sistema basado en máquinas que está diseñado para funcionar con diferentes niveles de autonomía y que puede mostrar capacidad de adaptación tras el despliegue y que, para objetivos explícitos o implícitos, deduce, a partir de la información que recibe, cómo generar resultados como predicciones, contenido, recomendaciones o decisiones que pueden influir en los entornos físicos o virtuales;»
Esta definición permite identificar varios criterios clave para que un sistema entre en el ámbito de aplicación de la Ley de IA:
- En primer lugar, se trata de un sistema y no de un modelo simple.
- Se basa en máquinas y no en el tratamiento humano.
- Tiene un cierto nivel de autonomía y puede adaptarse después del despliegue, lo que implica la capacidad de aprender o adaptarse, y no un simple conjunto de instrucciones fijas.
- Por último, sus resultados deberían tener un impacto potencial en el mundo real o virtual.
Por lo tanto, podemos deducir que cualquier sistema que integre un modelo de aprendizaje automático o aprendizaje profundo, o que utilice un LLM (modelo de lenguaje grande) en un punto determinado de su funcionamiento, se considerará un sistema de IA en el sentido de la Ley de IA. Por el contrario, un sistema basado únicamente en reglas estáticas o en una lógica determinista no entra dentro de este ámbito.
El texto también especifica lo que se entiende por el término»riesgo», el concepto central del dispositivo, al que el texto hace referencia en numerosas ocasiones. El riesgo se define como la combinación entre la probabilidad de que se produzca un daño y la gravedad de ese daño. Sobre esta base, los sistemas de inteligencia artificial se clasificarán en varias categorías de riesgo en el resto del texto.
Ahora que sabemos qué tipos de sistemas se ven afectados por la Ley de IA, analicemos a los actores afectados por esta regulación y las fases del ciclo de vida en las que participan.
III. ¿Quiénes son los actores afectados por la Ley de IA y cuándo?
Uno de los puntos clave de la Ley de IA es la definición clara de las responsabilidades de acuerdo con el papel desempeñado por cada entidad en el ciclo de vida de un sistema de IA. El texto distingue principalmente entre cuatro tipos de actores que deben cumplir con ciertas obligaciones en función de su nivel de intervención en el sistema.
1. El Proveedor (proveedor)
Se trata de cualquier persona física o jurídica que desarrolla un sistema de IA o que lo hace desarrollar para comercializarlo o ponerlo a disposición (de forma gratuita o no), con su propio nombre o marca.
Por ejemplo, se considera que una empresa que diseña e implementa un sistema de IA para optimizar su servicio postventa internamente o que lo comercializa entre sus clientes para sus necesidades de servicio posventa es Proveedor.
2. El Despliegue (usuario)
El Despliegue es cualquier persona física o jurídica que utiliza un sistema de IA en un contexto profesional u organizacional, es decir, con un propósito que no sea puramente personal.
Es el caso de una empresa que se suscribe a una solución de IA para gestionar su contratación o ventas.
Nota: si el Despliegue realiza cambios en el sistema (por ejemplo, mediante un Afinación fina) o aplica su propia marca al sistema, pasa al rol de Proveedor, con las obligaciones correspondientes.
3. ELimportar
LAimportar es una entidad con sede en la UE que coloca en el mercado europeo un sistema de IA desarrollado fuera de la Unión y lo hace bajo la marca de un proveedor no europeo. Esta función también implica responsabilidades de cumplimiento, incluida la garantía de que el sistema cumple los requisitos establecidos en la Ley de Inteligencia Artificial antes de su comercialización.
4. El distribuidora
También mencionado en el texto, el distribuidora es una entidad que hace que un sistema de IA esté disponible en el mercado europeo sin ser el desarrollador, el importador o el proveedor. Por ejemplo, esto podría incluir un mercado o un distribuidor de SaaS.
¿Y qué pasa con las empresas no europeas?
Es importante señalar que la Ley de Amnistía Internacional tiene un alcance extraterritorial. Cualquier empresa, incluso establecida fuera de la UE, se ve afectada por el texto cuando:
- su sistema de IA se utiliza en la Unión Europea, o
- los resultados del sistema tienen un impacto en los ciudadanos europeos.
En otras palabras, un sistema de IA desarrollado en el extranjero, pero utilizado por una empresa europea o que tenga efectos mensurables en la UE (por ejemplo, una plataforma de contenido generativo), entra en el ámbito de aplicación del reglamento.
Responsabilidad compartida a lo largo del ciclo de vida
Por último, es importante señalar que las obligaciones no se limitan a la fase de comercialización. La ley insiste en que el cumplimiento se aplica durante todo el ciclo de vida del sistema, incluidas las actualizaciones, los cambios funcionales e incluso los cambios en las condiciones de uso.
IV. El enfoque de categorización de riesgos
Ahora que sabemos qué tipos de sistemas se ven afectados por la Ley de IA y cuáles son las funciones de los distintos actores involucrados, es hora de analizar un aspecto central de esta regulación: el sistema de categorización por nivel de riesgo.
El principio es simple: para cada sistema de IA, es necesario evaluar el riesgo que su uso representa para la salud, la seguridad y los derechos fundamentales de los ciudadanos europeos. Es este nivel de riesgo el que determina las obligaciones reglamentarias que deben respetarse, tanto para Proveedor Solo para Despliegue.
Es importante señalar que el nivel de riesgo no se basa en la tecnología utilizada, sino en el caso de uso del sistema y, por lo tanto, en cómo puede afectar a los ciudadanos europeos. Este punto es importante porque permite que el texto de la ley siga siendo relevante, incluso ante la aparición de nuevos enfoques tecnológicos. Por lo tanto, un sistema de IA, incluso uno muy básico, se utiliza para evaluar a los ciudadanos con el propósito de Puntuación social se considerará que corre un riesgo inaceptable. Mientras que un sistema de IA que utilice un modelo avanzado (por ejemplo, un LLM) para generar diseños de videojuegos podría clasificarse como de riesgo mínimo.
Veamos cuáles son los 4 niveles de riesgo definidos por la Ley de IA:
Riesgo inaceptable • Calificación social • Elaboración de perfiles • Inferencia de emociones en el lugar de trabajo • Aprovechar las vulnerabilidades de las personas • Señales subliminales para manipular el comportamiento
Alto riesgo • Biometría • Reclutamiento • Acceso a servicios esenciales • Justicia y policía • Inmigración • Proceso democrático
Riesgo moderado • Chatbot • Generación de contenido • Recomendación
Bajo riesgo
• Filtro de spam • Clasificación de fotos personales • Recomendación de listas de reproducción
1. Riesgo inaceptable (prohibido)
Este nivel de riesgo se atribuye a los sistemas de IA cuyo caso de uso representa una clara amenaza para la salud, la seguridad y los derechos fundamentales de los ciudadanos europeos. El artículo 5 de la ley define las directrices para saber qué tipos de sistemas entran en esta categoría. En particular:
- sistemas que explotan las vulnerabilidades de individuos o grupos de personas (niños, ancianos, discapacitados);
- sistemas que utilizan señales subliminales para manipular el comportamiento;
- sistemas de puntuación social;
- sistemas de elaboración de perfiles;
- sistemas de inferencia emocional en el lugar de trabajo, entre otros. Simplemente está prohibido que los sistemas clasificados en esta categoría de riesgo sean implementados (por los implementadores) y utilizados (por los proveedores).
2. Alto riesgo (regulado)
Los sistemas clasificados como de alto riesgo representan un peligro potencial significativo, pero son aceptables si cumplen con un conjunto estricto de requisitos técnicos, organizativos y documentales.
Se refieren principalmente a dos casos:
- Los sistemas de IA se integran en productos que se rigen por las regulaciones sectoriales existentes (por ejemplo, dispositivos médicos, vehículos autónomos) y desempeñan un papel como componente de seguridad.
- Los sistemas utilizados en una de las 8 áreas críticas enumeradas en apéndice III del texto de la ley, que incluyen: Biometría, contratación y gestión del personal, acceso a la educación, los servicios esenciales o la asistencia social, justicia y aplicación de la ley, control fronterizo e inmigración, proceso democrático
Les Proveedores y Desplegadores de estos sistemas deben cumplir con una serie de requisitos: gestión de riesgos, documentación, transparencia, auditabilidad, ciberseguridad, gobernanza de datos, etc.
Sin el cumplimiento de estas obligaciones, el sistema no puede comercializarse ni utilizarse en la UE.
3. Riesgo moderado (mayor transparencia)
Los sistemas de riesgo moderado no representan una amenaza directa para los derechos fundamentales, pero aun así pueden influir en el comportamiento o las decisiones de los usuarios. Estos incluyen sistemas diseñados para interactuar con personas, como los chatbots o las herramientas de generación o recomendación de contenido.
Están sujetos principalmente a obligaciones de transparencia.
4. Riesgo mínimo o bajo (no regulado)
Por último, la categoría de menor riesgo se refiere a los sistemas que no representan un riesgo significativo para los derechos fundamentales de los ciudadanos y, por lo tanto, no están sujetos a requisitos específicos en virtud de la Ley de IA. Se trata, por ejemplo, de sistemas para clasificar fotos personales, recomendar listas de reproducción musicales o filtrar el correo basura.
Sin embargo, incluso para estos sistemas, se siguen recomendando buenas prácticas, especialmente en términos de transparencia, solidez y ética.
V. Calendario de aplicación de la Ley de Amnistía Internacional y sanciones en caso de incumplimiento
Ahora que hemos visto los principales principios regulatorios de la Ley de Inteligencia Artificial, veamos cuándo entrarán en vigor las distintas regulaciones y qué sanciones están disponibles para los actores que no las cumplan. La Ley de IA fue aprobada formalmente por el Parlamento Europeo el 13 de marzo de 2024 y entró en vigor el 1 de agosto de 2024. El texto no se aplicará inmediatamente en su totalidad.
- 2 de febrero de 2025: Se prohíben los sistemas inaceptablemente riesgosos
- 2 de agosto de 2025: se aplican las reglas modelo de GPAI, gobernanza y privacidad
- 2 de agosto de 2026: entra en vigor el resto de la ley, excepto los sistemas de alto riesgo
- 2 de agosto de 2027: se aplican las regulaciones para los sistemas de alto riesgo.
Sanciones por incumplimiento
La Ley de Amnistía Internacional establece un régimen sancionador que es proporcional a la gravedad del incumplimiento. Las multas pueden ascender a hasta 35 millones de euros o el 7% de la facturación anual mundial.
VI. Organización de los organismos responsables de la aplicación de la Ley de IA
Para garantizar una aplicación coherente y armonizada de la Ley de IA en toda la Unión Europea, el reglamento ha previsto varios órganos de gobierno. Cada uno de ellos desempeña un papel específico en la supervisión, coordinación, asesoramiento o seguimiento del desarrollo de la IA.
En primer lugar, tenemos la Oficina de IA (dentro de la Comisión Europea). Es el actor central del sistema. Su función consiste en supervisar la aplicación general del texto legislativo, supervisar la evolución de los modelos de la GPAI, pero también emitir directrices y aclaraciones sobre la interpretación del texto y sancionar los sistemas que no lo cumplan (con poderes de control directo e investigación). También es responsable de colaborar con las autoridades nacionales y otras autoridades europeas, en particular en los casos transfronterizos.
La Junta de Inteligencia Artificial, o Comité Europeo de Inteligencia Artificial, reúne a representantes de las autoridades competentes de cada Estado miembro. En particular, permite garantizar una aplicación uniforme de la Ley sobre la IA en toda la UE, coordinar a las autoridades nacionales (equivalentes a las CNIL locales) y emitir dictámenes técnicos y compartir las mejores prácticas.
El Panel de Expertos Independientes reúne a expertos científicos, técnicos, legales y éticos en IA. Su función consiste en emitir una opinión independiente sobre determinados sistemas o modelos, contribuir a la evaluación de los GPAI y alertar sobre los nuevos riesgos tecnológicos o sociales. Su opinión no es legalmente vinculante, pero puede influir considerablemente en las decisiones de la Oficina de Inteligencia Artificial.
Incluso antes de que el texto entrara en vigor, la Comisión lanzó una iniciativa denominada «Pacto sobre la IA». Esta iniciativa no vinculante permite a las empresas que lo deseen cumplir cuanto antes la Ley de Inteligencia Artificial y contribuir a las mejores prácticas en materia de IA responsable. Es una forma de que las organizaciones comiencen su transformación normativa mientras interactúan con los reguladores.
En conclusión
La Ley de IA marca un punto de inflexión en la forma en que se piensa, desarrolla y utiliza la inteligencia artificial en la Unión Europea. Como científicos de datos, ya no somos solo actores técnicos: también nos estamos convirtiendo en garantes del cumplimiento, la transparencia y la ética.
Comprender los fundamentos de esta nueva regulación, identificar las funciones y responsabilidades que se derivan de ella, integrar la lógica de gestión de riesgos en nuestros proyectos... son muchos los reflejos que adoptar ahora para anticipar con calma los próximos plazos.
En el siguiente artículo, analizaremos las obligaciones de un proveedor (una función que incluye la de desarrollador) en el contexto de los sistemas de IA de alto riesgo, que es la categoría sujeta a los requisitos más estrictos. Veremos cómo adaptar de forma concreta nuestro flujo de trabajo de ciencia de datos para integrar las mejores prácticas necesarias para el cumplimiento y contribuir así a unos sistemas de IA más sostenibles y fiables.
