Aquí viene el cumplimiento con la Ley de IA de la UE
La inteligencia artificial alcanzó otro hito a principios de febrero de 2025, particularmente relevante para los oficiales de cumplimiento corporativo: el 2 de febrero de 2025, los primeros cinco artículos de la Ley de IA de la UE entraron en vigor.
Esto significa que la era del cumplimiento de IA ha comenzado formalmente. Si su empresa utiliza IA y opera en Europa, o desarrolla y vende sistemas de IA que se utilizan en Europa, podría estar sujeta a la aplicación regulatoria. Por lo tanto, es crucial comenzar a incorporar políticas y procedimientos conscientes del cumplimiento en la estrategia de adopción de IA de su empresa, cuanto antes mejor.
¿Qué es el Artículo 4 de la Ley de IA de la UE?
Comenzando con el Artículo 4. Este establece que todos los proveedores y desplegadores de sistemas de IA deben:
“Tomar medidas para garantizar, en la medida de lo posible, un nivel suficiente de alfabetización en IA de su personal y otras personas que manejen la operación y uso de sistemas de IA en su nombre, teniendo en cuenta su conocimiento técnico, experiencia, educación y formación y el contexto en el que se utilizarán los sistemas de IA, y considerando las personas o grupos de personas sobre los que se utilizarán los sistemas de IA.”
La definición de “alfabetización en IA” según la Ley de IA de la UE
La alfabetización en IA se refiere a las habilidades, conocimientos y comprensión que permiten a los proveedores, desplegadores y personas afectadas, teniendo en cuenta sus respectivos derechos y obligaciones en el contexto de esta regulación, realizar un despliegue informado de los sistemas de IA, así como adquirir conciencia sobre las oportunidades y riesgos de la IA y el posible daño que puede causar.
En otras palabras, su empresa debe capacitar a los empleados para que comprendan los riesgos que la IA puede causar – y a partir de ese aparentemente simple requisito, surgen una serie de desafíos prácticos.
El cumplimiento de IA comienza con la gobernanza de IA
Fundamentalmente, el desafío es este: no se puede desarrollar la necesaria alfabetización en IA en su organización si no sabe cómo la empresa está utilizando la IA. Eso es cada vez más problemático, porque ahora es tan fácil para los empleados incorporar inteligencia artificial en sus flujos de trabajo y rutinas diarias.
Solo hay que mirar a DeepSeek, la aplicación de IA generativa china que aparentemente surgió de la nada para convertirse en una de las aplicaciones más populares de Internet. ¿Cuáles son los riesgos de privacidad para DeepSeek? ¿Qué riesgos de ciberseguridad podría introducir en su organización? Nadie lo sabe. (Aunque prácticamente todos los reguladores de privacidad en Europa están tratando de averiguarlo).
Por lo tanto, antes de que siquiera comience a contemplar las políticas, procedimientos y capacitación que podrían ser necesarios en su negocio para lograr la alfabetización en IA que se supone que debe tener, su equipo de gestión primero necesita establecer algún tipo de mecanismo de gobernanza para guiar cómo los empleados usan IA en primer lugar.
Por ejemplo, una gran empresa podría establecer una «mesa de uso de IA» de algún tipo, donde los jefes de varias funciones operativas de Primera Línea se reúnan con funciones de gestión de riesgos de Segunda Línea (cumplimiento, privacidad, recursos humanos, legal, seguridad informática) para discutir las reglas para que los empleados adopten IA. Tal vez usen ciertos sistemas de IA pero no otros; tal vez usen IA para ciertas tareas pero no para otras; tal vez todos los sistemas de IA de cara al cliente comiencen con una interfaz de “estás usando IA”, y así sucesivamente.
¿Dónde encajan la ética, el tono desde arriba y la cultura corporativa en todo esto? Idealmente, deberían impregnar toda la discusión. Es decir, la alta dirección necesita demostrar un compromiso con el uso ético de la IA – incluso cuando la empresa no tiene claro todas las preocupaciones éticas para casos de uso específicos de IA; para eso está su mesa de gobernanza de IA.
Entonces, una vez que la alta dirección deje claro a todos que (a) claro, usar IA es genial, pero (b) la adoptaremos de manera cuidadosa, ética y conforme – esa fuerte cultura de ética impulsará una cultura de uso responsable de IA. Así, su búsqueda para encontrar el nivel apropiado de alfabetización en IA se volverá mucho más fácil de lograr.
¿Qué es el Artículo 5 de la Ley de IA de la UE?
También tenemos el Artículo 5, que introduce prácticas de IA prohibidas. Esta es una pieza crucial de la Ley de IA de la UE porque establece la idea de “niveles” de uso aceptable de IA – comenzando con los casos de uso más severos, que no se permitirán en absoluto.
Muchos de estos casos de uso prohibidos no sorprenderán a los ejecutivos occidentales. Por ejemplo, la ley prohíbe la IA que:
- Implanta “técnicas subliminales más allá de la conciencia de una persona o técnicas manipulativas o engañosas con el objetivo de “distorsionar materialmente el comportamiento de una persona al afectar de manera apreciable su capacidad para tomar una decisión informada.”
- Monitorea a una persona y luego predice el riesgo de que esa persona cometa un crimen, “basándose únicamente en el perfilado de una persona natural o en la evaluación de sus rasgos y características de personalidad.”
- Infiera las emociones de una persona en el trabajo o en la escuela, excepto por razones médicas o de seguridad.
No necesitamos revisar todos los usos prohibidos aquí. El punto para los oficiales de cumplimiento es que su organización necesitará políticas claras sobre qué usos de IA no adoptará, respaldadas por procedimientos para asegurarse de que nadie los adopte.
Por ejemplo, no es descabellado imaginar que algún contratista u otro socio comercial de su empresa utilice IA de manera prohibida en nombre de su empresa; por lo que necesitará políticas claras, así como una gestión de contratos sólida y capacidades de monitoreo de terceros. Y para subrayar nuestro punto de alfabetización en IA mencionado anteriormente, necesitará una capacitación sólida de sus propios empleados para asegurarse de que entiendan que este es un riesgo de IA de terceros, y la empresa necesitará su ayuda para evitarlo.
Con el tiempo, la Ley de IA de la UE introducirá otros niveles de uso de IA; cuanto menor sea el riesgo que presente el caso de uso, menos supervisión necesitará ejercer. Eso pondrá a prueba a los equipos de ética y cumplimiento corporativo de maneras completamente nuevas, a medida que desarrollen procesos para evaluar los riesgos de esos casos de uso e implementar controles apropiados.
En algunos aspectos, su programa de cumplimiento de IA seguirá descansando sobre los fundamentos de un sólido programa de ética y cumplimiento, como siempre. En otros aspectos, es un mundo valiente y nuevo – y, listos o no, ese mundo ya está aquí.
