Cumplir con el Acta de IA de la UE: Nuevos Desafíos y Oportunidades

Construir una vez, cumplir dos veces: La próxima fase de la Ley de IA de la UE está a la vuelta de la esquina

La Unión Europea ha iniciado una nueva era de regulación de la inteligencia artificial (IA). Con la entrada en vigor de la Ley de Inteligencia Artificial (“la Ley”) el 1 de agosto de 2024, la UE ha establecido el primer marco legal integral para la inteligencia artificial a nivel mundial. Esta legislación histórica está redefiniendo cómo se desarrolla, despliega y gobierna la IA, no solo dentro de Europa, sino a nivel global. Las primeras obligaciones sustantivas de la Ley comenzaron a aplicarse a principios de 2025, y el próximo hito crítico—que impone amplias obligaciones para los modelos de IA de Propósito General (“GPAI”) y nuevas estructuras de gobernanza—entrará en vigor el 2 de agosto de 2025. Para desarrolladores, proveedores y desplegadores de IA, especialmente aquellos que operan a través de fronteras, este hito marca un cambio significativo de preparación a implementación. Comprender lo que se avecina es esencial para mantenerse conforme y competitivo en un paisaje de IA cada vez más regulado.

Implementación por fases

Para facilitar la transición a este nuevo régimen regulatorio, la Ley de IA de la UE se está implementando en fases. Cada etapa introduce nuevas obligaciones, dando tiempo a las organizaciones para adaptar sus operaciones, gobernanza e infraestructura técnica.

• 2 de febrero de 2025: Esta fecha marcó el primer gran plazo de cumplimiento. Desde este momento, se hicieron aplicables las prohibiciones de la Ley sobre ciertas prácticas de IA de alto riesgo e inaceptables—desglosadas en el Artículo 5. Estas incluyen prohibiciones sobre técnicas de IA manipulativas, sistemas explotadores que apuntan a grupos vulnerables, y vigilancia biométrica en tiempo real en espacios públicos (con excepciones limitadas). Las organizaciones también son responsables de garantizar que el personal que interactúa con sistemas de IA posea una adecuada alfabetización en IA.
• 2 de agosto de 2025: Esta fecha introduce la próxima ola de obligaciones, enfocándose en la gobernanza y los modelos GPAI. Esta fase activa la Oficina Europea de IA y el Consejo Europeo de Inteligencia Artificial (“EAIB”), que supervisarán la aplicación y coordinación a través de los estados miembros. Las autoridades nacionales también deben ser designadas para esta fecha. Los proveedores de modelos GPAI—particularmente aquellos que ofrecen modelos de lenguaje grande (“LLMs”)—enfrentarán nuevas obligaciones horizontales, incluyendo transparencia, documentación y cumplimiento de derechos de autor.
• 2 de agosto de 2026: Veremos que el marco más amplio entre en pleno efecto, incluyendo obligaciones para la mayoría de los sistemas de IA de alto riesgo.
• 2 de agosto de 2027: Marca el plazo final de cumplimiento, cuando las obligaciones del Artículo 6(1) para sistemas de alto riesgo sean completamente aplicables.

¿Qué es la Ley de IA de la UE?

La Ley de IA de la UE (Reglamento (UE) 2024/1689) establece el primer marco legal integral para regular la inteligencia artificial. La Ley introduce un enfoque basado en el riesgo para la regulación de la IA y busca asegurar que los sistemas de IA que se introduzcan en el mercado de la UE sean seguros y respeten los derechos fundamentales. La Ley clasifica los sistemas de IA según el riesgo asociado:

• Riesgo Inaceptable: Prácticas de IA consideradas como una clara amenaza para la seguridad, el sustento o los derechos están prohibidas según el Artículo 5. Esto incluye sistemas que emplean técnicas subliminales para manipular conductas, explotar vulnerabilidades de grupos específicos, o implementar calificaciones sociales por parte de autoridades públicas.
• Alto Riesgo: Los sistemas de IA de alto riesgo son aquellos que están involucrados en funciones críticas como identificación biométrica remota, seguridad de infraestructuras, educación, empleo y acceso a servicios públicos y privados.
• Riesgo Limitado: Los chatbots de IA generalmente caen en la categoría de riesgo limitado y deben cumplir con ciertas obligaciones de transparencia.
• Mínimo o Ningún Riesgo: La gran mayoría de los sistemas de IA utilizados actualmente en la UE caen en esta categoría y no están sujetos a obligaciones legales adicionales según la Ley.

Modelos y sistemas de IA de Propósito General

La Ley distingue entre modelos GPAI y sistemas GPAI. Un modelo GPAI es la base que puede integrarse en un sistema de IA. Los Artículos 53 a 55 establecen las obligaciones regulatorias para el proveedor del modelo. Un sistema GPAI se refiere a un sistema de IA construido utilizando un modelo GPAI. Si el sistema GPAI se despliega en un contexto de alto riesgo, puede estar sujeto a la totalidad de las obligaciones para sistemas de IA de alto riesgo bajo la Ley.

El próximo hito: obligaciones GPAI entran en vigor el 2 de agosto de 2025

Previsto para implementación el 2 de agosto de 2025, el Capítulo V de la Ley establece los requisitos de clasificación y cumplimiento para los modelos de IA de Propósito General (“GPAI”). El Artículo 3 de la Ley define un modelo GPAI como un modelo de IA que muestra una generalidad significativa y es capaz de desempeñar una amplia gama de tareas distintas. Los proveedores de modelos GPAI deben cumplir con obligaciones de transparencia, incluyendo:

• Preparar y actualizar documentación técnica para el modelo, incluyendo su proceso de entrenamiento y evaluación.
• Preparar información para los proveedores que desean integrar el modelo GPAI en su propio sistema de IA.
• Establecer una política para el cumplimiento de la legislación de derechos de autor de la UE.
• Publicar un resumen detallado del contenido utilizado para los datos de entrenamiento.

Además, el Artículo 51 define criterios para determinar si un modelo GPAI debe clasificarse como un modelo GPAI con riesgo sistémico, requiriendo mayor transparencia y supervisión.

Códigos de Práctica

El Artículo 56 describe los Códigos de Práctica (“el Código”), que se espera que entren en vigor el 2 de agosto de 2025. El Código es un conjunto de directrices para asegurar el cumplimiento de la Ley entre la entrada en vigor de las obligaciones del proveedor de modelos GPAI y la adopción de estándares europeos armonizados en agosto de 2027. El Código tiene tres secciones: Transparencia, Derechos de Autor y Seguridad.

El Código no es vinculante legalmente, pero los proveedores de GPAI pueden confiar en el Código para demostrar cumplimiento con las obligaciones de los Artículos 53 y 55 hasta que se desarrollen estándares armonizados.

Alcance Extraterritorial

Una de las características definitorias de la Ley de IA de la UE es su alcance extraterritorial. La Ley se aplica no solo a entidades establecidas dentro de la Unión Europea, sino también a organizaciones no pertenecientes a la UE cuyos sistemas de IA o resultados se utilizan dentro de la UE. Esto refleja la intención de la UE de asegurar que los sistemas de IA que afectan su mercado interno cumplan con sus estándares regulatorios, independientemente de su origen.

Consideraciones Estratégicas

El incumplimiento de las obligaciones bajo la Ley puede resultar en multas administrativas de hasta €35 millones o el 7% de los ingresos anuales globales del año financiero anterior, lo que sea mayor. Para los desarrolladores de IA de EE. UU., la Ley crea un perímetro regulatorio que debe considerarse junto con los marcos legales y éticos de EE. UU. Para evitar riesgos significativos de cumplimiento, las empresas deben considerar tomar varias acciones proactivas ahora:

• Mapear la exposición a la UE: Identificar qué modelos o servicios de IA son accesibles por usuarios o entidades con sede en la UE.
• Clasificar sistemas de IA: Realizar una evaluación estructurada de riesgo de los sistemas de IA para determinar su clasificación.
• Revisar prácticas de desarrollo de modelos: Prepararse para divulgar resúmenes de datos de entrenamiento y implementar estrategias robustas de mitigación de riesgos.
• Planificar la gobernanza interna: Crear o fortalecer funciones de cumplimiento con experiencia específica en IA.
• Designar un representante en la UE temprano: Identificar y contratar a un representante autorizado para asegurar una transición fluida hacia el cumplimiento.
• Monitorear la guía de la UE y estándares armonizados: Mantenerse involucrado con organismos de normalización y reguladores europeos es esencial.

La Ley de IA de la UE podría convertirse en un modelo regulatorio global, con su énfasis en la documentación, la mitigación de riesgos y la transparencia de los modelos. Las empresas pueden optar por un enfoque orientado a Europa para el cumplimiento de la IA, lo que podría simplificar el cumplimiento en otras jurisdicciones donde las regulaciones de IA están emergiendo rápidamente.