La Ley de IA de la UE: Lo que las Empresas Globales Necesitan Saber
La Ley de IA de la Unión Europea (UE) entra en vigor con un alcance global. Las empresas de EE. UU. se enfrentan a nuevas reglas, riesgos y sanciones severas. A continuación, se presentan aspectos clave que los líderes deben conocer.
Los primeros dos capítulos de la Ley de IA de la UE entraron en vigor el 2 de febrero de 2025. Estas disposiciones abordan las prácticas de IA y la alfabetización en IA. El resto de las disposiciones de la ley se implementarán de manera gradual.
El Alcance Global de la Ley de IA
Si bien las implicaciones más grandes de la ley serán para las empresas ubicadas en la UE, aquellas fuera de la Unión Europea también se verán afectadas. La ley se aplica a todos los proveedores de sistemas de IA en el mercado de la UE, independientemente de si operan dentro de la UE o no.
La analista principal de Forrester, Enza Iannopollo, señala que “el alcance global de la Ley de IA de la UE, las sanciones significativas por incumplimiento y los extensos requisitos que abarcan toda la cadena de valor de la IA aseguran que las organizaciones de todo el mundo que utilizan tecnologías de IA deben cumplir con la regulación”.
Comprendiendo el Marco de Riesgo de la Ley de IA de la UE
El núcleo de la Ley de IA de la UE es su enfoque basado en el riesgo. Cuanto mayor sea el riesgo del caso de uso de IA o IA de propósito general (GPAI), más requisitos deberá cumplir y más estricta será la aplicación de esos requisitos. A medida que disminuye el riesgo, también lo hacen el número y la complejidad de los requisitos que una empresa debe seguir.
Yingbo Ma, profesor asistente de IA y aprendizaje automático en la Universidad Purdue Northwest, explica los cuatro niveles de riesgo:
- IA de Riesgo Inaceptable: Prohibida. Ejemplos: puntuación social, IA manipulativa e identificación biométrica en tiempo real en espacios públicos.
- IA de Alto Riesgo: Regulada Estrictamente. Ejemplos: IA en salud, contratación, finanzas y aplicación de la ley, que requieren cumplimiento con transparencia, gobernanza de datos y supervisión humana.
- IA de Riesgo Limitado: Requiere Transparencia. Ejemplos: chatbots y deep fakes, asegurando que los usuarios sean conscientes de que están interactuando con IA.
- IA de Riesgo Mínimo: No Regulada. Ejemplos: motores de recomendación y IA en videojuegos.
Los proveedores de sistemas de IA tienen diferentes obligaciones que los implementadores, pero el cumplimiento de cada actor depende del otro. Los proveedores deben proporcionar a los implementadores documentación detallada sobre el sistema (por ejemplo, capacidades, limitaciones, uso previsto) para que puedan desplegar los sistemas correctamente y comprender sus resultados de manera adecuada.
El Mandato sobre Alfabetización en IA
La Ley de IA exige que los proveedores y los implementadores tomen medidas para garantizar, en la medida de lo posible, que el personal y otras personas que tratan con sistemas de IA en su nombre (incluidos los consultores) tengan un nivel suficiente de alfabetización en IA.
La formación sobre alfabetización debe tener en cuenta su conocimiento técnico, experiencia, educación, formación y contexto en el que se utilizan los sistemas de IA. Este requisito se aplica a todos los sistemas de IA y no solo a aquellos considerados de alto riesgo bajo la ley.
¿Qué Más Necesitan Preparar las Empresas?
Más allá de los niveles de riesgo y la alfabetización, la Ley de IA de la UE introduce responsabilidades amplias que tocan modelos fundamentales, cadenas de suministro y el ecosistema de IA más amplio. Estas consideraciones adicionales añaden capas de complejidad y cumplimiento para las empresas que navegan por la regulación.
Nuevos Estándares para Sistemas de IA de Propósito General
La ley da un gran paso para abordar las obligaciones de los sistemas de IA de propósito general para los implementadores, según Jeff Le, principal gerente en la consultoría 100 Mile Strategies. “Un paso importante es el reconocimiento más allá de las reglas de transparencia de la UE para imponer un umbral más alto sobre los modelos fundamentales que podrían llevar a un riesgo mucho mayor y afectar toda la cadena de suministro de software, lo que podría tener implicaciones directas para los consumidores/usuarios”, dice Le.
Prepararse para Auditorías, Evaluaciones y Más
Las empresas deben pasar auditorías, cumplir con los estándares de transparencia y realizar evaluaciones, lo que dificulta la competencia de las startups con las grandes tecnologías, señala Amir Barsoum, fundador y socio gerente de InVitro Capital.
La Comisión Europea puede multar a los proveedores de modelos de IA de propósito general hasta 3% de su facturación global total anual del año fiscal anterior, o 15,000,000 €, lo que sea mayor. Estas multas pueden ser impuestas si la Comisión encuentra que el proveedor ha infringido intencionadamente o por negligencia las disposiciones relevantes de la ley.
Diseñando Sistemas de IA para la Explicabilidad
La ley exige transparencia en la toma de decisiones de IA, lo que debería reducir los riesgos de IA en caja negra en áreas como la contratación, la puntuación crediticia y la salud, según Barsoum. “Los consumidores de diferentes regiones esperan que las empresas sean explícitas sobre su uso de cualquier IA”, dice Iannopollo. “La ley exige que se informe claramente a las personas expuestas a un sistema de IA y GPAI de manera que sea fácil de detectar y entender, y que cumpla con los requisitos de accesibilidad”.
Provisiones Clave de la Ley de IA de la UE que Aún Están por Venir
La Ley de IA de la UE se está implementando en etapas. Otras reglas, como las relacionadas con modelos de GPAI, se aplicarán a partir de junio de 2025. Los requisitos sobre casos de uso de alto riesgo entrarán en vigor después de 24 a 36 meses. Es importante señalar que, aunque algunos requisitos entran en vigor en fechas posteriores, cumplir con las reglas de la ley requerirá un esfuerzo y tiempo sustancial para una empresa, especialmente en lo que respecta a los casos de uso de alto riesgo.
“Aún hay preguntas significativas sobre las posibles consecuencias no deseadas y los desafíos de implementación”, dice Le. El cronograma para la plena efectividad antes de agosto de 2026 podría ser visto como un desafío para la industria, especialmente a medida que continúan desarrollándose avances futuros.
