El pasado 1 de agosto entró en vigor la nueva normativa europea sobre inteligencia artificial, aunque su aplicación se irá haciendo de forma escalonada en los próximos meses. Os contamos los puntos clave.

Ya es oficial: la llamada AI Act, la nueva ley de la Unión Europea que regula la inteligencia artificial (IA), entró en vigor el jueves 1 de agosto de 2024.

Por tanto, se ha puesto oficialmente en marcha el cronómetro para que se ajusten a la normativa los distintos proveedores de sistemas y modelos de IA que se pongan en servicio o comercialicen dentro de la UE o cuya salida sea en la UE.

La Ley de Inteligencia Artificial concierne a todas las personas que explotan este tipo de sistemas, pero su foco son los creadores (desarrolladores) de los modelos de IA, más que quienes lo aplican (implementadores). Por ejemplo, el regulador europeo piensa más en Google con Gemini que en Samsung, que adapta el modelo de Google para sus funciones, pero no lo ha desarrollado.

La normativa está basada en una escala y clasifica las aplicaciones de inteligencia artificial según el nivel de riesgo percibido. A partir de este enfoque, ha determinado tres categorías: los sistemas que suponen un riesgo inaceptable —y que, por tanto, están prohibidos—, los de alto riesgo y los de riesgo limitado.

Según el planteamiento de la UE, la mayoría de las aplicaciones de IA se consideran de bajo o nulo riesgo, por lo que la nueva ley no entra a regularlas. En cambio, las clasificadas como de «riesgo limitado», que incluyen los chatbots o las herramientas que pueden producir deepfakes, tendrán que cumplir algunos requisitos de transparencia para evitar que se engañe a los usuarios.

Por su parte, los desarrolladores de las tecnologías clasificadas como «de alto riesgo» tendrán que cumplir obligaciones adicionales de gestión de riesgos y calidad, como llevar a cabo una evaluación antes de comercializar sus productos o servicios, con la posibilidad de someterse a una auditoría reglamentaria.

¿Qué sistemas de IA están prohibidos?

Los sistemas de inteligencia artificial que se considera que contradicen los valores fundamentales de la UE —como el derecho a la no discriminación, a la privacidad y la protección de los datos personales— han quedado prohibidos.

Entre ellos, están los sistemas de categorización biométrica por raza u orientación sexual, o por creencia política, religiosa o filosófica, así como el reconocimiento de las emociones en el puesto de trabajo y en los centros educativos.

Igualmente, la nueva ley prohíbe la captura indiscriminada de imágenes de rostrosen Internet o de grabaciones de cámaras de vigilancia para crear bases de datos de reconocimiento facial.

Y las aplicaciones de inteligencia artificial que despliegan técnicas subliminales, manipuladoras o engañosas con el objetivo de explotar las vulnerabilidades de las personas e influir en su toma de decisiones o distorsionar su comportamiento, de manera que puedan incluso causar daños físicos o psicológicos a sí mismas o a otros.

También se prohíben los sistemas de puntuación «social» en función del comportamiento o los antecedentes, como el que hay en China, con el que se clasifica a las personas para otorgarles derechos o sancionar conductas.

Por último, no se permite la actuación policial predictiva cuando esta se base solo en el perfil de una persona o en la evaluación de sus características.

Todas estas prohibiciones, junto con las disposiciones generales, deberán cumplirse en seis meses, es decir, a partir del 2 de febrero de 2025.

Las autoridades quedan fuera de la normativa

No obstante, la AI Act permite excepciones a estas prohibiciones. La ley no se aplica a las autoridades públicas de terceros países ni a organizaciones internacionales que utilizan sistemas de IA para la cooperación policial o judicial con la UE.

También se excluyen las aplicaciones de uso militar o de seguridad nacional, así como las que se utilizan en el marco de la investigación o el desarrollo científicos.

Por lo tanto, aunque de modo general las fuerzas del orden no podrán emplear sistemas de identificación biométrica, la puerta queda abierta para su aplicación en una serie de situaciones y delitos, por ejemplo: para la prevención de atentados terroristas o la búsqueda de víctimas de secuestro, tráfico o explotación sexual.

Las fuerzas de seguridad también pueden recurrir a estos sistemas en la vigilancia a posteriori, para buscar a personas condenadas o sospechosas, pero este uso se considera de alto riesgo, por lo que se requiere autorización judicial.

En todo caso, los sistemas de alto riesgo utilizados por las autoridades o sus proveedores también tendrán que registrarse en una base de datos de la UE.

¿Qué se considera sistemas de IA de alto riesgo?

Los sistemas de alto riesgo son los que pueden tener «un efecto perjudicial considerable» en la salud, la seguridad y los derechos y libertades fundamentales de las personas, y, por lo tanto, están sujetos a obligaciones estrictas en la nueva normativa.

Algunos ejemplos de inteligencia artificial de alto riesgo son los que se aplican en las infraestructuras críticas, en la educacióny formación profesional, y en el empleo.

En la educación, entran en esta categoría los sistemas para determinar el acceso a las instituciones educativas o para detectar comportamientos prohibidos durante los exámenes.

En el ámbito laboral, se consideran de alto riesgo los sistemas que se utilizan para seleccionar trabajadores o para supervisar y evaluar el rendimiento o la manera de comportarse.

Otros sistemas en esta categoría de riesgo son los que se usan para evaluar la solvencia de las personas físicas o establecer su puntuación crediticia, además de los que están diseñados para influir en el comportamiento electoral de la población.

Por ello, los desarrolladores de sistemas de alto riesgo deberán evaluar y reducir los riesgos, mantener registros de uso, ser transparentes y precisos en cuanto a su funcionamiento, y contar con supervisión humana.

Esta obligación de documentar todo su funcionamiento empezará a aplicarse de aquí a tres años, en agosto de 2027.

¿Cuáles son los sistemas de riesgo limitado?

Finalmente, la categoría de riesgo limitado engloba modelos que se entrenan con un gran volumen de datos, como la llamada inteligencia artificial generativa, que permite crear contenidos de texto, imagen, vídeo o audio, como el famoso ChatGPT de Open AI o los chatbots.

Estos sistemas tienen que cumplir una serie de requisitos de transparencia, incluido informar a los usuarios para que no piensen que interactúan con personas reales o con contenido creado por ellas, y evitar usos engañosos, por ejemplo, con deepfakes.

Las normas para los modelos de uso generalista, como ChatGPT, se empezarán a aplicar en agosto de 2025.

¿Qué implicaciones tiene la nueva ley de IA para la ciberseguridad?

De acuerdo con el enfoque basado en riesgos, una gran cantidad de desarrolladores tendrán que cumplir a partir de ahora requisitos de transparencia, además de proporcionar un resumen de los datos de entrenamiento y comprometerse a aplicar políticas para respetar las leyes de propiedad intelectual.

Por otro lado, la Ley de Inteligencia Artificial les obliga a tener directrices más estrictas de desarrollo e implementación que tengan en cuenta la seguridad, y obliga a las empresas creadoras a ajustarse a un código de buenas prácticas de programación que incorpora garantías para que los sistemas de IA sean resistentes a ciberataques.

Dado que los modelos de inteligencia artificial general no tienen ningún propósito concreto, pero se pueden entrenar o modificar para cumplir una función, se podrían convertir en sistemas de alto riesgo que aumenten la capacidad y el alcance de los ciberdelincuentes con la posibilidad, por ejemplo, de que algunos modelos se autorrepliquen y entrenen otros modelos.

La normativa quiere evitar el uso de la IA como herramienta de ciberguerra con la automatización de ciberataques. Por ello, insta a los desarrolladores a estar atentos a posibles usos indebidos y a seguir la legislación internacional, por ejemplo, en cuanto al descubrimiento de vulnerabilidades en sistemas informáticos.

Aplicación de la Ley de Inteligencia Artificial

A este fin, la ley prevé un régimen escalonado de sanciones. Las sanciones por incumplir la nueva normativa ascienden a los 35 millones de euros o al 7 % de la facturación anual global por infracciones relativas a las aplicaciones de IA prohibidas; 15 millones de euros o el 3 % por incumplir obligaciones; y 7,5 millones de euros o hasta el 1,5 % por facilitar información incorrecta a los reguladores. A pesar de lo anterior, las multas para pymes y empresas de nueva creación son más reducidas.

La aplicación de la Ley de Inteligencia Artificial es competencia de cada uno de los Estados miembros, pero las normas generales vienen marcadas a escala europea. Para ello, se ha puesto en marcha la Oficina de Inteligencia Artificial, que ha de velar por una aplicación coherente de la normativa en todos los países, ir actualizando los requisitos para los desarrolladores, prestar apoyo a las empresas para adaptarse a la ley y fomentar la investigación e innovación en torno a la IA.

En España, a finales de 2023 se presentó la Agencia Española de Supervisión de la Inteligencia Artificial (Aesia), con sede en A Coruña. Sus funciones principales serán inspeccionar el uso de esta tecnología y sancionar si hace falta los usos indebidos, así como asesorar a los sectores público y privado, y fomentar la divulgación, concienciación y aplicación ética de la IA.

Aún faltan por concretar varios detalles

La UE todavía no ha elaborado los códigos de buenas prácticas que deben seguir los desarrolladores de IA, por lo que aún está por ver exactamente qué tendrán que hacer los creadores de estos sistemas para cumplir la nueva ley. 

Hace unos días, la Oficina de Inteligencia Artificial afirmó que espera finalizar estos códigos en abril de 2025 y abrió una consulta para la redacción de las normas sobre IA.

Los responsables de OpenIA, creadores de ChatGPT, escribieron que preveían trabajar «estrechamente con la Oficina de IA de la UE y otras autoridades pertinentes durante la aplicación de la nueva ley en los próximos meses».

¿Se queda corta la nueva ley?

En un campo como la inteligencia artificial, lo que ayer era novedad mañana puede ser cosa del pasado. Es por eso por lo que algunos críticos consideran que el texto publicado, basado en una propuesta de 2021, corre riesgo de quedar desfasado rápidamente.

Por eso, los reguladores han previsto evaluaciones y revisiones periódicas de la ley y de los sistemas de IA, especialmente los que se consideran de alto riesgo.

En todo caso, varias organizaciones, incluida la OCU, han alertado de que la ley sobre inteligencia artificial por sí sola no es suficiente. Como la misma UE reconoce, esta ley debe ser complementada.

Según explicaba Nicolas Schmit, comisario de Asuntos Sociales, la Ley de Inteligencia Artificial se centra en una perspectiva de mercado, pero no en los riesgos específicos de su uso (o abuso) en momentos concretos, como la afectación a los trabajadores.

Por tanto, parece evidente que será necesario redactar nuevas normas o actualizar las existentes para establecer una protección efectiva de la población ante los continuos desarrollos tecnológicos.