Aprobado el pasado 13 de marzo de 2024, hoy, 1 de agosto, ha entrado en vigor la primera ley de inteligencia artificial (IA) del mundo, impulsada por la Unión Europea.
Con ella se quiere proporcionar a los desarrolladores e implementadores de IA, así como a los usuarios de la misma una serie de requisitos y obligaciones claros en relación con los usos específicos de esta tecnología.
Por usuarios, en este caso, se entiende a aquellos que explotan estos sistemas y quienes, a partir de ahora, deberán velar por el respeto a los derechos ciudadanos. Es decir, que la norma promueve tanto la adopción y el desarrollo de la inteligencia artificial como mitiga los riesgos que un mal uso de esta tecnología puede suponer para la salud, la seguridad y los derechos fundamentales.
Quedan exentos de su aplicación las autoridades públicas de terceros países así como las organizaciones internacionales cuando utilicen sistemas IA en el ámbito de la cooperación policial o judicial con la UE. Tampoco aplica a los sistemas de uso militar o utilizados en el contexto de la seguridad nacional ni a los usados con el solo propósito de la investigación y el desarrollo científico.
Tabla de contenidos
Usos prohibidos
La Ley de IA evalúa a las empresas en función del riesgo de la inteligencia artificial que utilizan. Entre los usos prohibidos que más llaman la atención caben señalarse:
– El uso de sistemas de IA que desplieguen técnicas subliminales con el objetivo de distorsionar el comportamiento de una persona, de manera que pueda causarle daños físicos o psicológicos a él o a otros.
– Los sistemas que exploten vulnerabilidades de un grupo específico de personas por su edad, discapacidad o situación social u otras circunstancias.
– La elaboración de perfiles de personas según su comportamiento
– El uso para aplicaciones policiales o de orden público de la identificación biométrica en tiempo real en lugares accesibles al público por parte de las fuerzas y cuerpos de seguridad, o en su nombre, salvo en algunos casos.
– Los sistemas de categorización biométrica por creencias políticas, religiosas, filosóficas o por su raza y orientación sexual. Y la captura indiscriminada de imágenes faciales de Internet o grabaciones de cámaras de vigilancia para crear bases de datos de reconocimiento facial.
– El reconocimiento de emociones en el lugar de trabajo y en las escuelas.
– La actuación policial predictiva cuando se base únicamente en el perfil de una persona o en la evaluación de sus características.
Categorías de riesgo
Como indicábamos en este otro artículo, la normativa distingue cuatro tipos de sistemas de inteligencia artificial con un enfoque basado en el riesgo, de mayor a menor, según supongan una amenaza para la seguridad, los medios de vida y los derechos de las personas. Los niveles son:
1. Los niveles son de riesgo inaceptable, donde se sanciona su aplicación en áreas como las infraestructuras críticas (por ejemplo, el transporte), que podrían poner en peligro la vida y la salud de los ciudadanos; la formación educativa o profesional, que puede determinar el acceso a la educación y el curso profesional de la vida de una persona (por ejemplo, puntuación de los exámenes); Empleo, gestión de trabajadores y acceso al trabajo por cuenta propia (por ejemplo, software de clasificación de CV para procedimientos de contratación); o componentes de seguridad de los productos (por ejemplo, aplicación de IA en cirugía asistida por robot), entre otros.
2. Alto riesgo. Aquí se incluye la IA utilizada en infraestructuras críticas, empleo, servicios públicos o esenciales, componentes de seguridad en los productos, administración de Justicia y procesos democráticos, entre otros. Estos sistemas de alto riesgo estarán sujetos a obligaciones muy estrictas para su comercialización. Se incluyen también en este apartado los sistemas de identificación biométrica remota los cuales se consideran de alto riesgo y están sujetos a requisitos estrictos.
3. Riesgo limitado. Se refiere a los riesgos asociados con la falta de transparencia en el uso de la IA. Por ejemplo, cuando se utilizan sistemas de IA como los chatbots, los humanos deben ser conscientes de que están interactuando con una máquina para que puedan tomar una decisión informada de continuar o dar un paso atrás.
Los proveedores también tendrán que garantizar que el contenido generado por la IA sea identificable. Además, el texto generado por la IA publicado con el fin de informar al público sobre asuntos de interés público debe etiquetarse como generado artificialmente. Esto también se aplica al contenido de audio y video que constituye falsificaciones profundas.
4. Riesgo mínimo o nulo. La Ley de IA permite el uso gratuito de IA de riesgo mínimo. Esto incluye aplicaciones como videojuegos habilitados para IA o filtros de spam. La inmensa mayoría de los sistemas de IA utilizados actualmente en la UE entran en esta categoría.
Sanciones por el incumplimiento
Aunque corresponde a cada Estado miembro establecer el importe de las multas por el incumplimiento de la ley, el Reglamento europeo fija tres niveles máximos en atención a la gravedad de la infracción. Las multas se modularán según las circunstancias y valorarán el tamaño del proveedor. Para quienes incumplan la normativa referente a la prohibición de las prácticas de IA se prevén multas con un rango que va desde los 35 millones de euros o el 7% del volumen global de negocio.
El incumplimiento de cualquier otro requisito u obligación del Reglamento, el tope se fija en los 15 millones de euros o el 3% del volumen de negocio si esta cifra fuera superior.
El suministro de información incorrecta, incompleta o engañosa a los organismos notificados o a las autoridades nacionales competentes en respuesta a una solicitud se sancionará con multas administrativas de hasta 7,5 millones de euros o, si el infractor es una empresa, de hasta el 1 % de su volumen de negocios total anual a escala mundial correspondiente al ejercicio anterior, si esta cifra es superior.
Implantación paulatina
Tras la entrada en vigor, la ley será de plena aplicación veinticuatro meses después, con excepción de las prohibiciones de prácticas, que se aplicarán seis meses después de la fecha de entrada en vigor, es decir, en febrero de 2025.
En agosto de 2025 empezarán a aplicarse las normas para los modelos de uso generalista, como ChatGPT, y un año después, en agosto de 2026, se aplicará la ley de manera general, salvo algunas disposiciones. Las obligaciones para los sistemas de alto riesgo comenzarán a aplicarse 36 meses después, en agosto de 2027.
Implicaciones para las empresas
Además de tener que ajustarse a los usos regulados conforme a los grados de riesgo, empresas como Enreach, proveedor de comunicaciones de empresa all-in-one, identifica algunas tareas que deberán realizar aquellas empresas en sus servicios de atención al cliente, las cuales deberán tener en cuenta los límites que establece la ley. Entre ellos cita:
Establecimiento de elementos autorreguladores: Aunque la mayoría de los sistemas de inteligencia artificial que se usan en los servicios de atención al cliente no se consideran de alto riesgo, y en consecuncia, no necesitan una regulación estricta, recomiendan establecer elementos autorreguladores.
Informar sobre el uso de la IA: Para cumplir con el rango de transparencia recomienda a las compañías informar mínimamente a los usuarios de que están interactuando con un sistema de IA, ya sea en llamadas telefónicas o en chats donde interfieran chatbots.
Conocer si se está bajo una regulación específica: La automatización de las tareas de los agentes de contact center no será objeto de una regulación específica bajo la Ley de la IA, solo en aquellos casos que tenga que ver con decisiones que influyen en la vida de las personas.
Por su parte, desde la consultoría fiscal, laboral y jurídica Ce Consulting recomiendan también a las empresas tener en cuenta una serie de aspectos en las áreas que atañen a:
Impacto fiscal: cómo las nuevas regulaciones afectarán las obligaciones fiscales de las empresas que desarrollan o utilizan inteligencia artificial.
Implicaciones laborales: Los cambios en las normativas laborales y cómo las empresas deben adaptarse para cumplir con las nuevas leyes de protección y formación de empleados en el ámbito de la inteligencia artificial.
Cumplimiento jurídico: Los requisitos legales que las empresas deben cumplir para evitar sanciones, incluyendo la gestión de datos y la privacidad en la inteligencia artificial. Asimismo, en opinión de José Andrés García Bueno, country leader de Qlik para España y Portugal: “La Ley de IA va a traducirse en seguridad jurídica para las empresas porque, a partir de ahora, ya saben lo que está regulando Europa si desea implementar, desarrollar o usar un modelo de IA. Es responsabilidad de las organizaciones conocer cuáles son los sistemas prohibidos y también aquellos que están sujetos a un mayor número de controles.
Adaptación de las Pymes: Las estrategias y mejores prácticas para que las pequeñas y medianas empresas puedan adaptarse rápidamente y de manera eficiente a las nuevas regulaciones, minimizando riesgos y maximizando oportunidades.
Otros retos corporativos en el uso de la IA
Según un estudio realizado por Qlik, empresa especializada en la integración de datos, análisis e inteligencia artificial, en colaboración con TechTarget, un 97% de las organizaciones ya están aplicando la IA Generativa de alguna forma. Sin embargo, un 74% afirma que carece de un enfoque unificado sobre IA responsable”.
Los resultados del informe destacan la urgencia de priorizar su uso responsable y garantizar su transparencia, no solo para cumplir con las regulaciones emergentes sino también para fomentar la confianza en estas herramientas. Entre los retos y las iniciativas estratégicas que rodean esta tecnología resaltan:
Brecha entre inversión y estrategia: Si bien todos los encuestados reconocen estar invirtiendo en IA, un 61% está dedicando un presupuesto significativo a estas tecnologías. Pese a esto, un 74% de las organizaciones admiten que aún carecen de una estrategia unificado a nivel organizativo cuando se trata de implementar la IA de forma responsable.
Desafíos éticos de la IA: El informe destaca varios desafíos clave a los que se enfrentan las organizaciones. Así un 86% de ellas tienen dificultades para garantizar la comprensión y la transparencia de sistemas basados en IA. Asimismo, casi la totalidad de las organizaciones (99%) tienen dificultades a la hora de cumplir con las regulaciones y estándares normativos, subrayando la complejidad legislativa que rodea todavía a esta tecnología.
Impacto de la IA responsable en las operaciones: A pesar de los retos, un 74% de las organizaciones sitúan como máxima prioridad el uso de una IA responsable. Más de una cuarta parte de las organizaciones afirman que se han encontrado con un incremento de costes operativos, un escrutinio normativo y retrasos en la salida al mercado, debido a una falta de responsabilidad aplicada a la IA.
Los stakeholders también deben tomar decisiones sobre la IA: La investigación resalta la participación de los stakeholders en este ámbito, poniendo el foco en los departamentos de TI, que estarían desempeñando el papel más proactivo. Todo ello enfatiza la necesidad de plantear enfoques inclusivos y colaborativos a nivel de stakeholders en el despliegue y la gobernanza ética de la IA.
