La Ley de AI de la UE ha sido aprobada unánimemente por los Estados miembros y, en general, será plenamente aplicable dentro de dos años. Esta legislación pionera es la primera a nivel mundial que establece normas para la inteligencia artificial y su uso, de forma parecida a como el GDPR estableció el listón para la regulación de la privacidad de los datos.
Cualquier empresa que utilice IA en la Unión Europea se verá afectada por la Ley de IA de la UE. Y al igual que el GDPR, las sanciones por incumplimiento son duras. Los peores infractores se enfrentarán a multas de hasta 35 millones de euros o el 7% de la facturación global anual. El objetivo general de la Ley de IA de la UE es imponer normas éticas y supervisión humana en torno al uso de la IA para proteger a los ciudadanos de posibles peligros. Sin duda, la IA puede resolver muchos retos con poco riesgo. Sin embargo, algunas aplicaciones de la IA pueden causar daños importantes a los derechos humanos y a la sociedad en general, y es ahí donde se centran las nuevas normas.
Muchas organizaciones ya han tomado medidas por su cuenta para garantizar un uso responsable y puede que sólo necesiten cambios relativamente menores para demostrar su cumplimiento. Sin embargo, si no has tenido en cuenta los riesgos de la IA o no has elaborado un plan sobre cómo utilizarla, tendrás que evaluar tu posición y determinar qué se necesita para cumplirla. AI
El riesgo y su significado
La Ley de IA de la UE prohíbe rotundamente algunos usos de la IA. Y cuando se permita, el uso debe ser responsable, franco y transparente. Las normas clasifican los riesgos de la IA según el potencial de daño. Hay cuatro categorías principales:
Riesgos prohibidos. Esta es la categoría más grave. Los sistemas de IA que supongan una amenaza clara para la seguridad, los derechos humanos fundamentales o el sustento de una persona son inaceptables. No puedes utilizar datos biométricos, por ejemplo, para rastrear la raza, la orientación sexual, las creencias o la afiliación sindical de una persona. No puedes crear una base de datos extrayendo imágenes faciales de Internet o de un circuito cerrado de televisión. La puntuación social también está prohibida.
- Qué hacer: Determina si estás utilizando la IA de forma prohibida.
- Cuándo: Tienes seis meses desde la entrada en vigor para cumplir.
Alto riesgo. Esta categoría está muy regulada e incluye los sistemas de IA utilizados en infraestructuras críticas que podrían poner en peligro la salud de los ciudadanos (como el transporte público), los componentes de seguridad de los productos (como la cirugía asistida por IA), la formación educativa que podría determinar el curso de la vida de alguien (como la calificación de exámenes), el empleo (como la selección de currículos) y los servicios esenciales (como la calificación de préstamos).
- Qué hay que hacer: Estos sistemas deben cumplir unos requisitos estrictos antes de poder salir al mercado. Deben tener procesos definidos para evaluar y mitigar los riesgos, para la gobernanza de los datos y la formación, y para documentar el cumplimiento. Los sistemas también deben tener una supervisión humana adecuada y una ciberseguridad robusta.
- Cuándo: Tienes 24 meses tras la entrada en vigor para cumplir.
Una mirada práctica a los sistemas de IA de alto riesgo
Si desarrollas lo que la normativa considera un sistema de IA de alto riesgo, deberás seguir unos pasos específicos para obtener la aprobación antes de poder comercializar la tecnología.
- Evalúa el sistema para garantizar el cumplimiento de los requisitos de la IA y notifícalo al órgano de gobierno correspondiente.
- Registra el sistema de IA en una base de datos de la UE.
- Firma una declaración de conformidad e identifica el sistema como aprobado.
Una vez que el sistema esté en el mercado, debes informar de los incidentes graves y de cualquier fallo de funcionamiento y garantizar la supervisión humana. Las autoridades mantendrán la supervisión del mercado.
Riesgo limitado. Esta categoría está poco regulada y se refiere principalmente a los riesgos asociados a la falta de transparencia en el uso de la IA. Las personas deben ser informadas, por ejemplo, cuando se utiliza IA para potenciar chatbots, para que puedan decidir si continuar o terminar la interacción. Las organizaciones también deben identificar el contenido generado por IA como tal. Este etiquetado se aplica tanto al texto como al contenido de audio y vídeo.
- Qué hacer: Determina cómo utilizas la IA y qué contenidos/interacciones deben etiquetarse.
- Cuándo: Dispones de 36 meses tras la entrada en vigor para cumplir.
Riesgo mínimo o nulo. Esta categoría incluye el uso general de la IA que no tiene una finalidad predeterminada. La mayoría de los sistemas de IA actuales entran en esta categoría.
- Qué hacer: Aunque el uso no está restringido, la Ley de IA de la UE exige la autoevaluación y mitigación de los riesgos sistémicos, la documentación técnica, las instrucciones de uso, el cumplimiento de los derechos de autor y la supervisión humana de sistemas como los chatbots. Todos los proveedores de estos modelos deben realizar pruebas contradictorias, informar de los incidentes graves y garantizar que se aplican las medidas de ciberseguridad adecuadas. Los sistemas de riesgo mínimo, como los juegos y los filtros de spam, pueden utilizarse libremente.
- Cuándo: Dispones de 12 meses tras la entrada en vigor para cumplir.
Cómo empezar
Ante la inminencia de los plazos, tómate tiempo ahora para comprender tus obligaciones legales y el curso de acción.
1. Realiza un análisis de carencias para determinar qué cambios son necesarios en tus estructuras de gobierno de datos, políticas, procesos de evaluación de riesgos, etc., para lograr el cumplimiento y proporcionar la documentación adecuada a los reguladores.
2. Operacionaliza tus procesos para inculcar los pasos necesarios y garantizar la alineación en toda la organización. Los requisitos deben entretejerse en los flujos de trabajo de cumplimiento corporativo existentes. Y debe haber controles periódicos para reevaluar los riesgos en caso de que cambie la categoría.
3. Asigna responsabilidades de evaluación de riesgos, seguimiento, métricas, supervisión y cumplimiento a la junta directiva, la dirección ejecutiva, los directivos, etc., de acuerdo con tu cultura y las prácticas existentes. Piensa a quién se avisa cuando hay un problema.
4. Invierte en la alfabetización en IA formando a los empleados en ética de la IA y en los aspectos específicos de la Ley de IA de la UE. Es probable que los científicos de datos y los ingenieros necesiten una formación y un desarrollo especiales para sus funciones.
El camino por recorrer
La inteligencia artificial -y la IA generativa en particular- está evolucionando a una velocidad vertiginosa, y la Ley de IA de la UE se ha elaborado para adaptarse a los futuros cambios tecnológicos. Una constante, sin embargo, es que las aplicaciones de IA deben seguir siendo fiables, y los proveedores deben seguir evaluando y mitigando los riesgos a lo largo del ciclo de vida de la aplicación.
Los consejos de administración y la alta dirección son los responsables últimos de proteger a la organización de los riesgos, incluidos los normativos y los de reputación. Y en un mundo perfecto, verían la Ley de IA de la UE como un punto de partida para reforzar la fiabilidad de la marca. Sin embargo, en la práctica, alcanzar ese ideal puede resultar difícil. Las prioridades contrapuestas y los recursos limitados pueden limitar las acciones a hacer simplemente lo necesario para marcar la casilla de cumplimiento.
Sea cual sea el camino que tomes, los líderes deben participar en la evaluación de los riesgos y en la determinación del curso de acción adecuado, dada la gravedad de las multas por incumplimiento. Las herramientas tecnológicas pueden ayudar proporcionando una forma coherente de evaluar los riesgos, supervisar las acciones, realizar un seguimiento de las métricas y colaborar entre funciones. Pero esta ley no es un reglamento de “todo listo”. Incluso algo tan simple como suministrar información incompleta o engañosa puede desencadenar una multa de 7 millones de euros o el 1% de la facturación anual global.
La IA ofrece posibilidades apasionantes, y las empresas pueden y deben seguir innovando. La Ley de la UE sobre la IA garantiza que los miembros de la sociedad -individual y colectivamente- puedan disfrutar de los beneficios de las capacidades actuales y futuras de la IA sin temor al lado oscuro.
Para saber más sobre el cumplimiento corporativo eficiente, descarga nuestro ebook, Transformar el cumplimiento de Check-the-Box a Champion, y echa un vistazo a la solución de software de Cumplimiento de Riskonnect.