La Ley de IA europea entra en vigor el 1 de agosto: examinamos sus plazos y requisitos

El proceso para la Ley de IA no ha sido sencillo. La Comisión Europea llevaba cinco años trabajando en esta normativa. La irrupción de OpenAI con su popular ChatGPT en noviembre de 2022, que marcó el inicio de la era de la IA generativa, obligó a modificar aspectos del reglamento en discusión.

A pesar de las críticas y apoyos que generó, la Ley fue finalmente aprobada el 8 de diciembre de 2023 por los Estados miembros de la UE y por el Parlamento Europeo en marzo de 2024. Bruselas espera que la Ley de IA se convierta en un referente global, similar al Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés).

Se trata de una norma muy ambiciosa y compleja, dirigida principalmente a los operadores de sistemas y modelos de IA. Está llena de obligaciones y requisitos técnicos, pero también cuenta con un sólido sistema de gobernanza, sanciones y capacidad de adaptación a cambios. La norma permite realizar ajustes, modificar definiciones, plazos y requisitos, y reconoce que los sistemas no son estáticos; lo que hoy es de bajo riesgo, mañana podría ser de alto riesgo.

La Ley de IA pretende garantizar que los sistemas de IA comercializados y utilizados en Europa sean seguros y respeten los derechos fundamentales y los valores de la UE.

La normativa se basa en un enfoque de riesgo: a mayor riesgo, más estrictas son las normas.

El reglamento clasifica los sistemas de IA en varios niveles:

• Riesgo inaceptable (prohibidos).
• Riesgo alto (requieren evaluación antes y durante su uso, incluyendo infraestructuras críticas y electorales).
• Riesgo limitado.
• Riesgo mínimo.

Entre otros puntos, la ley establece normas para modelos de IA de propósito general con alto impacto y sistemas de alto riesgo; un sistema de gobernanza revisado con poderes coercitivos a nivel de la UE; una lista de prohibiciones; y una mejor protección de los derechos mediante evaluaciones de impacto sobre los derechos fundamentales antes de implementar sistemas de alto riesgo.

Prohíbe la manipulación cognitiva, la extracción no selectiva de imágenes faciales de internet o CCTV, el reconocimiento de emociones en el lugar de trabajo y en instituciones educativas, la puntuación social, la categorización biométrica para inferir datos sensibles, como orientación sexual o creencias religiosas, y ciertos casos de vigilancia policial predictiva.

Las sanciones por incumplimiento incluyen multas de hasta 35 millones de euros o el 7% de los ingresos por aplicaciones de IA prohibidas; 15 millones de euros o el 3% por violaciones de obligaciones generales; y 7,5 millones de euros o el 1,5% por suministro de información incorrecta. Las multas serán proporcionalmente menores para pymes y empresas emergentes.

Además, se establecerá una Oficina de IA para garantizar la aplicación coherente de la normativa en cada país. Esta oficina cuenta con 140 especialistas en tecnología, políticas públicas, economía, administración y derecho.

En España, se ha creado la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) Esta entidad se encargará de inspeccionar y sancionar el uso incorrecto de IA, asesorar a sectores público y privado, y apoyar el desarrollo de sistemas eficientes y sostenibles. Cuenta con un presupuesto inicial de cinco millones de euros y un equipo de 40 profesionales especializados en TIC, administración pública y legislación.

Algunos críticos creen que la Ley de IA frenará la innovación en Europa y reducirá su competitividad en IA, sin embargo, sus defensores creen que el reglamento proporciona seguridad jurídica: las empresas sabrán qué espera Europa, qué regula y qué condiciones deben cumplir. La innovación ha de continuar y preservar los derechos fundamentales.

La nueva Ley de IA entra en vigor este 1.º de agosto. Sin embargo, su aplicación plena se extenderá hasta el 1 de agosto de 2026, con excepciones:

• A los 6 meses: disposiciones generales, obligaciones de sistemas prohibidos o de riesgo inaceptable, y códigos de conducta (voluntarios).
• A los 9 meses: códigos de buenas prácticas para modelos de IA de uso general (voluntarios).
• A los 12 meses: disposiciones para modelos de IA de uso general, requisitos de gobernanza y sanciones (con excepciones).
• A los 24 meses: sanciones del artículo 101.
• A los 36 meses: obligaciones para sistemas de IA de alto riesgo.
• 2030: normas para sistemas informáticos de gran alcance con IA, en áreas de libertad, seguridad y justicia.

El Parlamento Europeo ha creado un grupo de trabajo para supervisar la implementación del Reglamento de IA, un marco regulatorio crucial de la UE que gestiona la inteligencia artificial basándose en el riesgo y su posible capacidad de causar daño. Esta iniciativa se suma a los esfuerzos anteriores con la formación de grupos para monitorizar la aplicación del Digital Services Act (DSA) y el Digital Markets Act (DMA).

El mayor desafío será encontrar profesionales capacitados para implementar la Ley de IA europea, las empresas deberán prepararse y contar con personal cualificado. (Fuente CW)