¿Cuándo entra en vigor la Ley de IA de la UE y qué significa esto para su negocio?
La Ley de IA de la UE se convirtió en ley oficial de la UE el 1 de agosto de 2024, pero las primeras medidas relacionadas con usos prohibidos de IA y los programas de alfabetización en IA para empresas en el ámbito de aplicación entran en vigor el 2 de febrero de 2025.
En este estudio, se analizará si y cómo su negocio está incluido en la Ley de IA. Al final, tendrá una comprensión de cómo la Ley de IA es relevante para su negocio y qué necesita hacer cuándo para cumplir con los requisitos. Las sanciones por incumplimiento pueden ser significativas, con multas máximas de hasta el 7% de los ingresos anuales globales de una empresa o 35 millones de EUR, lo que sea mayor.
¿Qué es la IA?
La Ley de IA adopta un enfoque en el que se considera que la inteligencia artificial no es una sola cosa, sino muchas. La ley se refiere a la IA como una «familia de tecnologías».
Sin embargo, necesitamos una definición de lo que se regula, que no es la IA en general, sino «sistemas de IA.» Un sistema de IA se define como:
un sistema basado en máquinas que está diseñado para operar con niveles variables de autonomía y que puede exhibir adaptabilidad después de su implementación, y que, para objetivos explícitos o implícitos, infiera, a partir de la entrada que recibe, cómo generar salidas como predicciones, contenido, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales.
¿Qué negocios están en el ámbito de aplicación de la Ley de IA?
Comencemos con qué negocios están excluidos. Si su negocio no proporciona ni utiliza IA en ningún sentido, puede ignorar la Ley de IA. Sin embargo, no es seguro que su negocio no esté proporcionando o utilizando IA, como se aprecia en la sección anterior que define los sistemas de IA.
Una exclusión más fácil son las personas naturales (en oposición a las personas jurídicas como las corporaciones) que utilizan IA en una capacidad no profesional. Por lo tanto, no es necesario registrar su asistente de OpenAI para escribir tarjetas navideñas o su bot de IA autodesarrollado que le recuerda hacer yoga con ninguna agencia reguladora.
Las instituciones de investigación pura también están fuera del ámbito de la Ley de IA. El trabajo de investigación y desarrollo también está excluido, con algunas salvedades que mencionaremos a continuación.
El último grupo excluido fue la industria de la defensa, que fue fuente de un debate significativo y cambios desde el primer borrador hasta el final.
Estas exclusiones nos dan ejemplos de cómo la Ley de IA pretende seguir un enfoque basado en riesgos que permite (y en algunos aspectos fomenta) la innovación mientras se gestionan los riesgos cuando la IA falla.
Los proveedores de IA son empresas que desarrollan y ponen a disposición herramientas de IA, mientras que los desplegadores de sistemas de IA son empresas que utilizan IA dentro de los procesos o productos de su negocio.
Mi negocio está en el ámbito de aplicación de la Ley de IA. ¿Ahora qué?
Los requisitos para empresas y agencias gubernamentales entran en vigor en diferentes lotes, con el próximo lote que se implementará el 2 de febrero de 2025, cubriendo específicamente los sistemas de IA prohibidos y los requisitos de alfabetización en IA.
El requisito de alfabetización en IA abarca un amplio espectro
A diferencia de la mayoría de la Ley de IA, el requisito de alfabetización en IA se aplica a todas las empresas que proporcionan o despliegan IA. Es tentador pensar que el uso de un servicio de IA no convierte a su empresa en un «desplegador» de IA, pero la definición en el Artículo 3(4) deja poco margen de duda que cualquier uso de IA en un contexto profesional convierte a su negocio en un «desplegador».
La forma precisa de la capacitación no está especificada por la Ley de IA. En su lugar, la orientación es asegurar, lo mejor que su empresa pueda, que la capacitación se ajuste al contexto de la IA que está utilizando y a los antecedentes de sus empleados.
El enfoque basado en riesgos de la Ley de IA
Para determinar qué acciones más allá de la alfabetización en IA necesita tomar su negocio cuándo, es útil primero comprender mejor el enfoque basado en riesgos.
Las clasificaciones de riesgo de la Ley de IA caen en dos áreas principales, que podemos llamar «riesgos de qué» y «riesgos de cómo». Los «riesgos de qué» se relacionan con la tarea que el sistema de IA está destinado a realizar, mientras que los «riesgos de cómo» se centran en cómo interactúa el sistema de IA con sus usuarios finales.
Las categorías de riesgo «qué» de la Ley de IA de la UE
Las categorías de «qué» se dividen según cuán graves serían los problemas causados por un sistema de IA que falla para la salud, seguridad o derechos fundamentales. Las categorías son «prohibidos», «de alto riesgo» y «de riesgo mínimo».
Los sistemas de IA prohibidos son aquellos considerados incompatibles con la salud, seguridad o derechos fundamentales de los residentes de la UE, como el scoring social fuera del contexto en el que se recopilaron los datos.
Los sistemas de IA de alto riesgo son aquellos en los que las tareas realizadas por sistemas de IA tienen un potencial reconocido para mejorar la vida de los residentes de la UE, pero también presentan riesgos para la salud, seguridad o derechos fundamentales.
La categoría final es de riesgo mínimo, lo que significa que los posibles inconvenientes de usar el sistema de IA son lo suficientemente pequeños como para que regularlos obstaculice la innovación sin proporcionar suficiente protección adicional a los residentes de la UE.
Las acciones requeridas por su negocio varían según si su sistema de IA es prohibido, de alto riesgo o de riesgo mínimo.
Las categorías de riesgo «cómo» de la Ley de IA: transparencia y IA de propósito general
Los «riesgos de cómo» caen en dos grupos: riesgo de transparencia y riesgo sistémico de IA de propósito general. Si su sistema de IA tiene un riesgo de transparencia, la Ley de IA establece medidas que debe tomar para asegurar el cumplimiento.
El enfoque principal de la Ley de IA es tomar el poder computacional necesario para entrenar el modelo de IA como determinante de tener un riesgo sistémico. Si el cómputo requerido para entrenar el modelo supera 10^25 operaciones de punto flotante (también conocido como FLOPs), entonces se considera que sus capacidades generales tienen un riesgo sistémico.
Lo que su negocio necesita hacer cuándo: un resumen
Ahora que tiene una visión general de las definiciones y conceptos más importantes de la Ley de IA de la UE, resumamos lo que su negocio debe hacer cuándo:
- 2 de febrero de 2025: Entrarán en vigor los requisitos de alfabetización en IA y sistemas de IA prohibidos.
- 2 de agosto de 2025: Entrarán en vigor los requisitos para IA de propósito general.
- 2 de agosto de 2026: Entrarán en vigor todos los requisitos restantes, incluidos los sistemas de IA de alto riesgo y de riesgo de transparencia.
- 2 de febrero de 2027: Entrarán en vigor requisitos para sistemas de IA de alto riesgo que están incorporados en productos ya regulados.
