Cuatro Maneras de Iniciar el Cumplimiento con la Ley de IA de la UE
La Ley de Inteligencia Artificial (IA) de la Unión Europea representa la primera regulación integral de IA en el mundo y está destinada a afectar a empresas más allá de las fronteras de Europa. Esta ley compleja regula el desarrollo, la implementación y el uso de sistemas de IA y modelos de IA de propósito general dentro de la UE. Sin embargo, también tiene un alcance extraterritorial, imponiendo obligaciones a muchas organizaciones con sede en EE.UU. que desarrollan, venden o utilizan tecnologías de IA.
Cómo Prepararse para el Cumplimiento en EE.UU.
La Ley de IA adopta un enfoque escalonado para su aplicación. El primer conjunto de obligaciones, sobre prácticas de IA prohibidas y alfabetización en IA, entró en vigor en febrero de 2025. Los requisitos para los proveedores de modelos de IA de propósito general (GPAI) entrarán en vigor el 2 de agosto de 2025, y muchas de las reglas restantes se programan para entrar en vigor el 2 de agosto de 2026. Ahora es el momento para que las empresas estadounidenses inicien sus trayectorias de cumplimiento. A continuación, se presentan cuatro pasos clave para prepararse para esta nueva ley.
1. Determinar si su organización está dentro del alcance
El primer paso es determinar si su organización cae dentro del alcance de la Ley de IA de la UE. La Ley de IA se aplica ampliamente a proveedores, desplegadores, importadores y distribuidores de sistemas de IA que operan en la UE. También tiene un alcance extraterritorial, extendiéndose a organizaciones fuera de la UE que (1) colocan sistemas de IA en el mercado de la UE o los ponen en servicio dentro de la UE, o (2) permiten que los resultados de IA sean utilizados por individuos ubicados en la UE (sujeto a ciertas excepciones). Dado este alcance expansivo, las obligaciones de cumplimiento pueden aplicarse a una amplia gama de entidades estadounidenses en diversas industrias, incluidos proveedores de servicios en la nube, proveedores de seguridad y empresas que ofrecen servicios como verificación de identidad, herramientas de recursos humanos, chatbots de atención al cliente, detección de amenazas y sistemas de toma de decisiones impulsados por IA.
2. Identificar dónde se encuentran sus sistemas de IA en el espectro de riesgo y si son GPAI
Si su organización está cubierta, el siguiente paso es comprender cómo se ajusta su producto dentro del espectro de riesgo de la Ley de IA, que clasifica los sistemas de IA según si representan un riesgo inaceptable, alto, limitado o mínimo. Esta clasificación es esencial porque cada nivel tiene obligaciones distintas. Las organizaciones deben inventariar los sistemas de IA actualmente en uso o en desarrollo y evaluar cuáles sistemas pertenecen a qué nivel para identificar los requisitos aplicables. Las organizaciones deben tener especial cuidado de señalar los productos que podrían considerarse de alto riesgo o potencialmente prohibidos bajo la ley.
Una breve descripción de los niveles y sus respectivas obligaciones es la siguiente:
- La ley prohíbe el uso de sistemas de IA en relación con prácticas específicas que implican un riesgo inaceptable, como la puntuación social por parte de gobiernos o ciertas vigilancias biométricas en tiempo real.
- Los sistemas de alto riesgo, como los utilizados en infraestructura crítica, reclutamiento, educación, seguros de vida, aplicación de la ley o verificación de identidad, están sujetos a estrictos requisitos regulatorios bajo la Ley de IA. Las obligaciones para los proveedores de estos sistemas incluyen evaluaciones de riesgos obligatorias, documentación técnica detallada, mecanismos de supervisión humana y controles de ciberseguridad y gobernanza de datos.
- Ciertos sistemas de IA de riesgo limitado necesitan cumplir con requisitos de transparencia mínima y/o etiquetado. Estas obligaciones recaen principalmente en los sistemas de IA diseñados para interactuar directamente con personas naturales.
- Los sistemas de IA de riesgo mínimo pueden estar cubiertos por futuros códigos de conducta voluntarios que se establecerán.
La ley también tiene reglas específicas para los GPAI, que entran en vigor el 2 de agosto de 2025, y se aplican incluso a aquellos modelos que se coloquen en el mercado o se pongan en servicio antes de esa fecha. Estos modelos se entrenan con una gran cantidad de datos utilizando la auto-supervisión a escala, lo que muestra una gran generalidad y es capaz de realizar competentemente una amplia gama de tareas distintas. La Ley de IA impone reglas más estrictas (por ejemplo, evaluaciones de modelos, planes de mitigación de riesgos, informes de incidentes y medidas mejoradas de ciberseguridad) para los modelos que representan “riesgos sistémicos”.
3. Diseñar un programa de gobernanza y tomar medidas hacia el cumplimiento
Con el análisis de aplicabilidad y el inventario de sistemas de IA completados, su organización debería realizar una evaluación de brechas en relación con sus medidas de cumplimiento existentes. A partir de ahí, puede identificar los pasos que aún deben tomarse. Crear manuales interfuncionales para clasificación, transparencia y supervisión será beneficioso a medida que la ley entre en vigor y comience la aplicación. Ejemplos de los pasos que las organizaciones deberían emprender para estar listas para el cumplimiento incluyen:
- Gobernanza Interna: Establecer comités internos de gobernanza de IA para rastrear casos de uso, actualizar registros de riesgos, involucrar a equipos legales, de cumplimiento y de seguridad.
- Documentación de Riesgos y Controles Técnicos: Mantener documentación detallada para los sistemas de IA, particularmente aquellos clasificados como de alto riesgo. Implementar controles técnicos y realizar evaluaciones de riesgos periódicas de acuerdo con los requisitos de la Ley de IA.
- Mecanismos de Supervisión Humana: Asegurar que el personal calificado pueda comprender, monitorear y, cuando sea necesario, anular los procesos de toma de decisiones automatizados para cumplir con los requisitos de supervisión humana de la Ley de IA.
- Supervisión de Terceros y Alfabetización en IA: Involucrar a proveedores, socios y contratistas para confirmar que mantienen niveles apropiados de gobernanza y alfabetización en IA, especialmente donde sus herramientas o servicios están dentro del alcance de la Ley de IA o se integran dentro de sus propios sistemas de IA o GPAI.
- Programas de Capacitación y Concienciación: Implementar un programa de capacitación en IA en toda la organización con módulos mejorados adaptados a los empleados directamente involucrados en el desarrollo, implementación o supervisión de IA.
- Preparación Cibernética: Aunque la ley no especifica medidas específicas de protección de datos, este ejercicio brinda una buena oportunidad para revisar y actualizar las prácticas de protección de datos y ciberseguridad de su organización. Las organizaciones pueden tener obligaciones existentes respecto a principios de protección de datos de la UE, como la minimización de datos, la limitación de propósito y la obtención legal de datos, especialmente al manejar datos de residentes de la UE. Agregar IA a la mezcla de productos y servicios puede agregar complejidad, ya que pueden ser necesarias medidas de seguridad adicionales para prevenir ataques adversariales, manipulación de modelos y acceso no autorizado, particularmente para sistemas de alto riesgo.
4. Mantener un ojo en EE.UU. (y otras jurisdicciones)
EE.UU. aún no tiene una regulación nacional de IA análoga a la Ley de IA; sin embargo, eso no significa que las empresas pueden ignorar los desarrollos internos. Mientras que tanto la administración de Biden como la de Trump han emitido órdenes ejecutivas sobre IA, la formulación de políticas federales sigue en las primeras etapas. Pero hay mucha actividad a nivel estatal. Un programa de cumplimiento robusto debería rastrear las leyes federales y estatales emergentes y considerar cómo interactúan con la Ley de IA.
Un ejemplo notable de una ley estatal de EE.UU. es la Ley de Inteligencia Artificial de Colorado, aprobada en 2024 y programada para entrar en vigor en 2026. Al igual que la Ley de IA, utiliza un enfoque basado en riesgos e impone obligaciones a los desarrolladores y desplegadores de sistemas de IA de alto riesgo. Pero también hay diferencias clave con la Ley de IA, como la ley de Colorado siendo más limitada en su alcance y definiendo alto riesgo más generalmente, en lugar de codificar usos específicos como de alto riesgo.
Las organizaciones también deberían prestar atención a otros mercados, ya que otras jurisdicciones podrían seguir el ejemplo de la UE en la regulación de la IA.
Conclusión
La preparación debe comenzar ahora, ya que la fecha de vigencia del 2 de agosto de 2025 se acerca rápidamente. Estos pasos ayudarán a los profesionales internos a operacionalizar estos requisitos legales y garantizar el cumplimiento, incluso en medio de un panorama legal en rápida evolución.
