La Ley de IA de la UE: Primeras Obligaciones en Marcha

La Ley de IA de la UE: Las Primeras Obligaciones Entraron en Vigor

La Ley de IA tiene como objetivo crear un marco legal uniforme para el desarrollo, la comercialización y el uso de sistemas de inteligencia artificial (IA) dentro de la UE. Esto se realiza de acuerdo con los valores europeos, promoviendo una IA centrada en el ser humano y confiable, garantizando al mismo tiempo un alto nivel de protección de la salud, la seguridad y los derechos fundamentales, tal como se establece en la Carta de Derechos Fundamentales de la Unión Europea.

La Ley de IA se aplica a los proveedores que comercializan sistemas de IA o los ponen en servicio, así como a los desplegadores que utilizan estos sistemas. Por ejemplo, si un empleador utiliza sistemas de IA en el proceso de reclutamiento, deberá tener en cuenta principalmente las obligaciones que recaen sobre los desplegadores.

Alfabetización en IA

La primera obligación que ha entrado en vigor, desde el 2 de febrero de 2025, es garantizar un nivel suficiente de alfabetización en IA. El objetivo es asegurar que todas las personas involucradas en los sistemas de IA dentro de la organización posean las habilidades y conocimientos necesarios para tomar decisiones informadas y utilizar los sistemas de IA de manera responsable.

Al tomar medidas para garantizar un nivel suficiente de competencia en IA, se deben tener en cuenta:

• El conocimiento técnico, la experiencia, la educación y la formación del personal y de otras personas que operan y usan sistemas de IA;
• El contexto en el que se utilizarán los sistemas de IA.

Los empleadores también deben considerar a las personas o grupos de personas sobre los que se utilizarán los sistemas de IA. La Ley de IA no especifica qué medidas debe tomar un empleador para lograr un nivel “suficiente” de alfabetización en IA, lo que puede dificultar la demostración de cumplimiento, pero también ofrece la oportunidad de que los empleadores determinen qué es “suficiente” para su organización y empleados.

Por esta razón, las organizaciones que utilizan sistemas de IA deberían organizar cursos de capacitación sobre alfabetización en IA. La implementación de una política de uso responsable de la IA también contribuiría al cumplimiento de la obligación de alfabetización en IA. No todos los empleados necesitan alcanzar el mismo nivel de alfabetización en IA; se requiere un enfoque más personalizado. Sin embargo, se espera que todos los que entren en contacto con la IA comprendan los principios básicos y puedan tratar los sistemas de IA de manera responsable y crítica. El cumplimiento de esta obligación es un proceso continuo y dinámico.

Es importante señalar que la Oficina de IA, un organismo establecido dentro de la Comisión Europea como el «centro de experiencia en IA», ha publicado un repositorio vivo de prácticas de alfabetización en IA. Estas prácticas no son exhaustivas y se espera que se actualicen regularmente, con el objetivo de fomentar el aprendizaje y el intercambio de conocimientos entre proveedores y desplegadores de sistemas de IA. Sin embargo, implementar las prácticas establecidas no garantiza automáticamente el cumplimiento de la Ley de IA.

Prácticas de IA Prohibidas

A partir del 2 de febrero de 2025, la Ley de IA ha prohibido una serie de prácticas en el campo de la IA que se consideran inaceptables. Estas prácticas son contrarias a las normas y valores fundamentales europeos, como la violación de los derechos fundamentales establecidos en la Carta.

Por ejemplo, las siguientes prácticas de IA (entre otras) están ahora prohibidas:

• Sistemas de IA que implementen técnicas subliminales más allá de la conciencia de una persona o que utilicen técnicas manipulativas o engañosas;
• Sistemas de IA que exploten vulnerabilidades de una persona o grupo debido a su edad o discapacidad;
• Sistemas de IA que evalúen o clasifiquen a las personas en función de su comportamiento social o características personales conocidas, inferidas o predichas (conocido como “scoring social”);
• Sistemas de IA que creen o expandan bases de datos de reconocimiento facial mediante la recopilación indiscriminada de imágenes faciales;
• Sistemas de IA que infieran las emociones de una persona, excepto cuando se utilicen por razones médicas o de seguridad.

Las empresas que desarrollen o utilicen prácticas de IA prohibidas estarán sujetas a multas administrativas de hasta 35 millones de euros o, si el infractor es una empresa, hasta el 7% de su facturación anual total a nivel mundial, lo que sea mayor. Cuando se impongan multas a PYMES y startups, se tendrán en cuenta sus intereses y viabilidad económica, y se podrá imponer una multa menor.

Política de IA

De acuerdo con sus obligaciones bajo la Ley de IA, la Oficina de IA de la UE fomentará y facilitará la elaboración de códigos de prácticas, teniendo en cuenta enfoques internacionales. Aunque el término “códigos de conducta” se interpreta de manera amplia, no está del todo claro si esto incluye una política de IA. Sin embargo, establecer tal política es recomendado.

En una política de IA, los empleadores pueden crear directrices claras para el uso de IA dentro de la empresa. Esto puede incluir qué sistemas de IA pueden usarse, por quién y hasta qué punto se pueden utilizar en relación con ciertos empleados. La política también puede determinar cómo el personal puede mantenerse suficientemente alfabetizado en IA.

Conclusiones para Empleadores

Las primeras obligaciones bajo la Ley de IA ya están en vigor. Esta regulación global de IA, tan esperada, comienza a arraigarse en el mundo real de los negocios, por lo que es crucial que los empleadores sean plenamente conscientes de sus obligaciones. Los empleadores deben:

• Mapear qué sistemas de IA se utilizan dentro de su organización;
• Calificar estos sistemas de IA según su nivel de riesgo;
• Dejar de usar cualquier sistema de IA que presente un nivel de riesgo inaceptable.

Después de esto, deben mapear el nivel actual de alfabetización en IA dentro de la organización y evaluar qué medidas adicionales son necesarias (por ejemplo, capacitación, regulaciones internas, etc.).

Aunque no es obligatorio, también se recomienda redactar una política de IA con directrices claras sobre el uso de IA dentro de la empresa. Creemos que elaborar una política de IA es una manera relativamente sencilla y accesible para que los empleadores den el primer paso hacia la consecución de un nivel suficiente de alfabetización en IA.

Finalmente, es importante estar atentos a los desarrollos futuros: las próximas obligaciones bajo la Ley de IA entrarán en vigor el 2 de agosto de 2025.

Las consecuencias de un mal cumplimiento son significativas, por lo que se recomienda que los empleadores consideren buscar asesoría legal profesional si tienen dudas sobre recursos humanos, privacidad y IA en su organización, o si desean asistencia para redactar una política de IA o para organizar cursos de capacitación.