Supervisión y Cumplimiento
La Ley de IA de la UE establece un sistema de supervisión y cumplimiento de varios niveles, que involucra tanto a los Estados miembros como a los organismos a nivel de la UE. A nivel del Estado miembro, cada país debe designar al menos una «autoridad notificadora» responsable de evaluar y notificar a los organismos de evaluación de la conformidad, y al menos una Autoridad de Vigilancia del Mercado (MSA) para supervisar el cumplimiento general. Estas autoridades nacionales competentes deben estar equipadas con recursos adecuados para cumplir sus tareas, que incluyen proporcionar orientación, realizar investigaciones y hacer cumplir las disposiciones de la Ley de IA. Las MSA, en particular, ejercen un poder significativo en virtud del Reglamento de Vigilancia del Mercado, incluida la autoridad para exigir información, realizar inspecciones, emitir órdenes correctivas y, en última instancia, imponer sanciones por infracciones.
A nivel de la UE, la Oficina de IA sirve como un organismo central para desarrollar experiencia, coordinar la implementación y supervisar los modelos de IA de propósito general. La Oficina de IA desempeña un papel clave en la prestación de orientación y apoyo, y actúa como autoridad de supervisión para los modelos de IA de propósito general y sus proveedores. Está trabajando para fomentar el cumplimiento de la Ley de IA elaborando directrices y ofreciendo a las empresas una forma de comprender mejor sus obligaciones. Un nuevo Consejo de IA, compuesto por representantes de cada Estado miembro, asesora y asiste a la Comisión Europea y a los Estados miembros para garantizar una aplicación coherente y eficaz de la Ley de IA en toda la Unión. La propia Comisión Europea conserva responsabilidades como la preparación de documentación, la adopción de actos delegados y el mantenimiento de la base de datos de sistemas de IA de alto riesgo.
Poderes de Ejecución y Sanciones
El marco de sanciones descrito en la Ley de IA incluye multas sustanciales que dependen de la gravedad y el tipo de infracción. El incumplimiento de las normas relativas a las prácticas de IA prohibidas podría dar lugar a multas de hasta 35 millones de euros o el 7% de la facturación anual total mundial. Otros incumplimientos pueden acarrear sanciones de hasta 15 millones de euros o el 3% de la facturación, mientras que el suministro de información incorrecta o engañosa podría acarrear multas de 7,5 millones de euros o el 1% de la facturación. Estas sanciones pueden aplicarse en casos específicos, por lo que siguen siendo coherentes. Es importante tener en cuenta que estas multas se suman a cualquier otra sanción prescrita por las leyes de los Estados miembros. El enfoque de doble capa de las sanciones puede aumentar la presión para tener éxito, y las empresas deben ser conscientes no sólo de la regulación general de la UE, sino también de las posibles sanciones añadidas a las de los Estados miembros individuales.
El uso de la Guía de la Ley de IA de la UE puede ayudar a los profesionales del derecho.
Esta guía está diseñada como un recurso práctico para los profesionales del derecho internos que navegan por las complejidades de la Ley de IA de la UE. Se centra en proporcionar información y estrategias fácilmente aplicables para ayudar a las empresas a comprender y cumplir con las nuevas regulaciones. La guía describe las áreas clave de la Ley de IA que tienen más probabilidades de afectar a las empresas, prestando mucha atención a las distintas obligaciones impuestas a los proveedores y usuarios de IA. Al estructurar su contenido en torno a los pasos prácticos de cumplimiento que las empresas deben considerar, permite a los profesionales del derecho traducir eficientemente los requisitos de la Ley de IA en políticas y procedimientos internos aplicables.
Dentro de cada sección, la guía no solo explica los requisitos legales impuestos por la Ley de IA, sino que también explora las implicaciones prácticas para las empresas. Una característica central de la guía es su atención al detalle al describir las medidas de cumplimiento que las empresas pueden considerar tomar, cerrando así la brecha entre la comprensión legal y la implementación práctica. Además, reconociendo la intrincada relación entre la Ley de IA y el RGPD, la guía incorpora una discusión específica de su interrelación, lo que permite a los profesionales del derecho aprovechar los programas de cumplimiento existentes y potencialmente agilizar el proceso de cumplimiento.
Pasos Prácticos de Cumplimiento e Interrelación con el RGPD
Cada sección ofrece cuadros dedicados de «Pasos Prácticos de Cumplimiento», que proporcionan acciones concretas que las empresas pueden tomar para cumplir con sus obligaciones. Además, los cuadros de «Interrelación» resaltan la relación entre la Ley de IA y el RGPD, ofreciendo ideas sobre los programas de cumplimiento del RGPD existentes que pueden adaptarse para el cumplimiento de la Ley de IA. Se utilizan iconos para indicar visualmente el nivel de superposición, incluyendo superposición sustancial (que requiere un esfuerzo adicional mínimo), superposición moderada (que sirve como punto de partida) y ninguna superposición (que requiere medidas completamente nuevas). Este enfoque permite a los profesionales del derecho evaluar eficientemente el impacto de la Ley de IA en sus organizaciones y desarrollar estrategias de cumplimiento adecuadas.
La Ley de IA de la UE propone cambios regulatorios significativos para las empresas.
La Ley de IA de la UE introduce cambios regulatorios sustanciales que afectan a las empresas que operan dentro de la Unión Europea, así como a aquellas que implementan o proporcionan sistemas o modelos de IA dentro del mercado de la UE, independientemente de su ubicación física. La Ley impone obligaciones a varios actores en el ecosistema de la IA, incluidos los proveedores, implementadores, importadores y distribuidores de sistemas de IA. Dependiendo del tipo de sistema de IA empleado, la Ley especifica plazos de cumplimiento que oscilan entre 6 y 36 meses después de su entrada en vigor, lo que requiere que los equipos legales internos evalúen rápidamente el impacto potencial de la Ley y desarrollen estrategias de implementación eficaces. No abordar de forma proactiva estas nuevas obligaciones puede dejar a las empresas sin preparación, lo que podría generar limitaciones de recursos durante la fase de implementación del cumplimiento.
El impacto en las empresas depende de su papel como proveedores o implementadores de tipos particulares de sistemas de IA y/o modelos de IA de propósito general. Ciertos sistemas de IA ahora se consideran prohibidos directamente debido a sus riesgos inherentes para los derechos fundamentales. Otros sistemas de IA, como los utilizados en infraestructura crítica, empleo o servicios públicos, se clasifican como de alto riesgo y, por lo tanto, están sujetos a requisitos rigurosos detallados en la Ley de IA. Además, la Ley incluye regulaciones específicas para los modelos de IA de propósito general, dependiendo de si se considera que presentan un riesgo sistémico. Por lo tanto, las empresas deben llevar a cabo un análisis exhaustivo de sus sistemas de IA para determinar si están sujetos a las regulaciones. Esto incluye la realización de evaluaciones de riesgos adecuadas, la implementación de salvaguardias técnicas, la garantía de la supervisión humana y el mantenimiento de una documentación transparente.
Obligaciones Prácticas para Todas las Empresas
Más allá de los requisitos sectoriales y por niveles de riesgo, la Ley de IA de la UE exige un cambio fundamental para todas las empresas, independientemente de su participación específica en el desarrollo o la implementación de la IA, mediante el establecimiento de obligaciones de alfabetización en IA. El artículo 4 estipula que tanto los proveedores como los implementadores de sistemas de IA deben garantizar un nivel adecuado de alfabetización en IA entre su personal, teniendo en cuenta sus respectivas funciones y el uso previsto de los sistemas de IA. Esto incluye, entre otras cosas, proporcionar capacitación y educación continuas a los miembros del personal. La intención es fomentar una comprensión de las tecnologías de IA, sus riesgos potenciales y los requisitos reglamentarios impuestos por la Ley de IA. Esto garantiza el desarrollo, la implementación y el uso responsables de los sistemas de IA, salvaguardando la salud, la seguridad y los derechos fundamentales.
Los hitos clave del cronograma de la Ley de IA están claramente definidos.
El viaje de la Ley de IA de la UE desde la propuesta hasta la aplicación ha estado marcado por hitos claramente definidos. La consulta pública inicial se cerró el 6 de agosto de 2021, sentando las bases para la acción legislativa. La Comisión Europea publicó formalmente la propuesta de la Ley de IA el 21 de abril de 2021, estableciendo el marco para la regulación de la IA. El Parlamento Europeo adoptó su posición negociadora el 14 de junio de 2023, señalando sus prioridades para la Ley. El Consejo adoptó su posición común/enfoque general el 6 de diciembre de 2022, lo que indica la alineación entre los Estados miembros. Crucialmente, el 9 de diciembre de 2023, el Parlamento Europeo y el Consejo llegaron a un acuerdo provisional. Estos puntos de referencia muestran la naturaleza colaborativa e iterativa de la legislación de la UE, garantizando a todas las partes involucradas una estrategia estructurada hacia la gobernanza de la IA.
Fechas de Implementación y Aplicación
Después de alcanzar un acuerdo político, los pasos formales hacia la implementación incluyeron el lanzamiento de la Oficina de IA el 21 de febrero de 2024. El Parlamento Europeo dio su aprobación final el 13 de marzo de 2024, seguido por el respaldo del Consejo el 24 de mayo de 2024. La Ley de IA se publicó en el Diario Oficial de la UE el 12 de julio de 2024, antes de entrar formalmente en vigor el 1 de agosto de 2024. Las diferentes categorías de sistemas de IA tienen fechas de aplicación escalonadas, lo que permite a las empresas ajustarse estratégicamente. Los sistemas identificados como prohibidos y los programas de alfabetización en IA entraron en vigor el 2 de febrero de 2025. Las obligaciones generales del modelo de IA entraron en vigor el 2 de agosto de 2025, seguidas de la mayoría de las obligaciones adicionales (incluidos los sistemas de IA de alto riesgo del Anexo III) dos años después de la entrada en vigor de la Ley, el 2 de agosto de 2026. Los sistemas de IA de alto riesgo incluidos en el Anexo I entrarán en vigor el 2 de agosto de 2027. Estos plazos ofrecen una estrategia gradual adaptada para proveedores e implementadores, dependiendo del tipo de sistema de IA.
Comprender el alcance de la Ley de IA es esencial para las empresas.
El alcance territorial de la Ley de IA se extiende más allá de las fronteras físicas de la UE, impactando a las empresas a nivel mundial. La aplicabilidad territorial se determina mediante tres criterios clave: la ubicación de la entidad, la colocación en el mercado del sistema o modelo de IA y el uso geográfico del resultado del sistema de IA. Si una empresa está establecida o ubicada dentro de la UE y despliega un sistema de IA, se aplica la Ley de IA. Además, la Ley abarca a los proveedores, independientemente de su ubicación, que colocan sistemas de IA en el mercado de la UE o los ponen en servicio dentro de la UE. Esto incluye los sistemas de IA empleados por los fabricantes de productos bajo su propia marca. Fundamentalmente, la Ley de IA también se dirige tanto a los proveedores como a los implementadores cuyos resultados de los sistemas de IA se utilizan dentro de la UE, independientemente de su ubicación de establecimiento, y protege a las personas dentro de la UE afectadas por el uso de sistemas de IA. Este amplio alcance exige que las empresas, independientemente de su base geográfica, determinen meticulosamente sus obligaciones en virtud de la Ley de IA para garantizar el cumplimiento, evitar posibles sanciones y mantener la integridad operativa dentro del mercado de la UE.
Más allá del alcance territorial, es crucial comprender el alcance personal y material de la Ley de IA. Los principales objetivos de la Ley son los proveedores e implementadores de sistemas de IA, cada uno con responsabilidades distintas. Sin embargo, la definición de «proveedor» puede extenderse a los importadores, distribuidores e incluso a los fabricantes de productos en determinadas condiciones. Específicamente, si estas entidades fijan su marca a un sistema de IA de alto riesgo, lo modifican sustancialmente o alteran su propósito previsto para clasificarlo como de alto riesgo, asumen las obligaciones de un proveedor. No obstante, la Ley establece varias excepciones, como para los implementadores que son personas físicas que utilizan sistemas de IA para actividades puramente personales y no profesionales, y para los sistemas de IA desarrollados únicamente para investigación y desarrollo científico. Un alcance temporal escalonado también impacta en la comprensión de la Ley de IA. Los deberes de cumplimiento se introducen gradualmente, desde seis hasta treinta y seis meses a partir de la entrada en vigor de la Ley, dependiendo del tipo de sistema de IA. Los sistemas de IA de alto riesgo que ya estén en el mercado antes del 2 de agosto de 2026, solo entran en el ámbito de la Ley tras alteraciones significativas en el diseño. Esta complejidad subraya la necesidad de que las empresas evalúen cuidadosamente sus funciones y los plazos aplicables para una planificación integral del cumplimiento.
Se proporciona la definición de conceptos cruciales dentro de la Ley de IA.
La Ley de IA se basa en un conjunto de conceptos definidos con precisión que determinan su alcance y aplicación. El término «sistema de IA» en sí mismo se define meticulosamente como un sistema basado en máquinas diseñado para operar con distintos grados de autonomía, capaz de adaptarse después de su despliegue. Este sistema infiere de sus entradas cómo generar salidas tales como predicciones, contenido, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales, explícita o implícitamente. Esta amplia definición abarca una amplia gama de tecnologías, lo que requiere un análisis cuidadoso para determinar si un sistema en particular entra dentro del ámbito de la Ley. El «propósito previsto» también es fundamental; se refiere al uso para el que un sistema de IA está diseñado por el proveedor, incluyendo el contexto específico y las condiciones de uso, tal y como se detalla en las instrucciones de uso, los materiales promocionales y la documentación técnica. Esta definición enfatiza el papel del proveedor en la definición del alcance de los usos aceptables y destaca la importancia de una comunicación clara y precisa a los implementadores. Comprender el «Uso Indebido Razonablemente Previsible» de un sistema de IA, definido como el uso no alineado con su propósito previsto pero que resulta del comportamiento humano anticipado o la interacción con otros sistemas, es también un elemento crucial que enmarca las preocupaciones sobre la gestión de riesgos y la responsabilidad.
Otros conceptos que refinan el panorama legal son los relacionados con la disponibilidad en el mercado. «Puesta a disposición en el mercado» se refiere al suministro de un sistema de IA para su distribución o uso dentro de la UE, ya sea a título oneroso o gratuito, en el curso de una actividad comercial. «Introducción en el mercado» denota la primera instancia de puesta a disposición de un sistema de IA dentro de la UE. «Puesta en servicio» significa el suministro de un sistema de IA para su uso inicial directamente al implementador o para el propio uso del proveedor dentro de la UE, en consonancia con su propósito previsto. Estas definiciones aclaran el momento en que se activan las diversas obligaciones en virtud de la Ley de IA, en particular para los proveedores e importadores. Por último, la Ley define cuidadosamente lo que constituye un Incidente Significativo, que está sujeto a obligaciones de notificación específicas. Un «incidente grave» incluye eventos tales como la muerte, daños graves a la salud, interrupciones importantes de la infraestructura, violaciones de los derechos fundamentales o daños significativos a la propiedad o al medio ambiente causados por el mal funcionamiento del sistema de IA. Estas definiciones establecen un marco jerárquico para evaluar el riesgo y determinar las obligaciones regulatorias correspondientes dentro del ecosistema de la IA.
Aplicaciones prácticas para las empresas están establecidas.
La Ley de IA de la UE introduce un nuevo paradigma para las empresas que desarrollan, implementan o utilizan sistemas de IA. Comprender las obligaciones derivadas de esta legislación es crucial para la planificación estratégica y la mitigación de riesgos. Al reconocer los roles y responsabilidades específicos asignados a los proveedores e implementadores de IA, las empresas pueden abordar de manera proactiva los requisitos de cumplimiento e integrarlos en sus marcos existentes. Esta sección proporciona una descripción detallada de las aplicaciones prácticas para las empresas y un desglose sistemático de las medidas que se pueden tomar para el cumplimiento práctico.
Las empresas deben comenzar realizando una auditoría integral de IA para identificar todos los sistemas de IA en uso y clasificarlos según su nivel de riesgo. Esto implica identificar si el sistema de IA está prohibido, es de alto riesgo o está sujeto a simples requisitos de transparencia. A continuación, los sistemas de IA deben clasificarse además en función de si la empresa califica como proveedor de IA o implementador de IA, según el marco de riesgo. Comprender la interacción entre las responsabilidades del proveedor y del implementador es esencial, ya que las organizaciones podrían asumir ambos roles. Esta cuidadosa clasificación delimitará las obligaciones precisas e informará las estrategias específicas requeridas para su contexto único.
Obligaciones del proveedor
Los proveedores de sistemas de IA de alto riesgo deben adoptar un enfoque proactivo y holístico. Deben establecer un sistema integral de gestión de riesgos para identificar y mitigar los riesgos razonablemente previsibles durante todo el ciclo de vida de la IA, incluida la gestión de la calidad de los datos, la documentación técnica, el mantenimiento de registros y las acciones correctivas. También deben garantizar la transparencia para los implementadores y definir medidas de supervisión humana. Para los proveedores del sistema, el seguimiento posterior a la comercialización y la gestión de incidentes se vuelven esenciales. Los requisitos de transparencia se extienden a informar a las personas sobre la interacción con un sistema de IA y a marcar el contenido generado por IA en consecuencia. Para los proveedores de IA de modelos de IA de propósito general, esta política debe cumplir con los estrictos requisitos de la ley de derechos de autor de la UE. El cumplimiento de las normas armonizadas ayuda a demostrar el cumplimiento de los requisitos de la Ley de IA.
Obligaciones del implementador
Los implementadores deben asegurar la alineación con las instrucciones de uso del proveedor y asignar una supervisión humana competente. Si un implementador tiene control sobre los datos de entrada, debe asegurarse de que los datos sean apropiados. Deben monitorear los sistemas de IA e informar los incidentes de manera apropiada. Al implementar sistemas de IA en el lugar de trabajo, la transparencia con los empleados es obligatoria. Además, los requisitos de transparencia se extienden a informar a las personas sobre la interacción con un sistema de IA, e informarles si se trata de asistir en la toma de decisiones que involucren a dicha persona. En algunos casos, los implementadores deben llevar a cabo evaluaciones de impacto de los derechos fundamentales o, de lo contrario, dejar claras las políticas de IA relacionadas con el procesamiento de datos.
Se ofrecen directrices prácticas para que todas las empresas las adopten para cumplir con la ley.
La Ley de IA de la UE exige varios pasos prácticos para todas las empresas, independientemente de su papel específico como proveedores o implementadores de sistemas de IA. Un requisito fundamental es alcanzar un nivel suficiente de alfabetización en IA entre el personal y el personal relevante. Esto requiere medidas para garantizar que las personas involucradas en la operación y el uso de sistemas de IA posean el conocimiento técnico, la experiencia, la educación y la capacitación necesarios. El nivel apropiado de alfabetización dependerá del contexto en el que se utilicen los sistemas de IA y del impacto potencial en individuos o grupos. Por lo tanto, las empresas deben invertir activamente en programas de alfabetización en IA adaptados a diferentes roles y responsabilidades dentro de la organización, promoviendo una comprensión tanto de los beneficios potenciales como de los riesgos inherentes asociados con las tecnologías de IA.
Las empresas deben evaluar qué sistemas de IA están proporcionando o implementando y asegurarse de que su personal esté adecuadamente preparado para trabajar con estos sistemas. Un programa de capacitación en IA sólido, que se mantenga actualizado, será esencial para cumplir con esta disposición. Se pueden aprovechar los programas de educación y capacitación del RGPD, pero probablemente requerirán actualizaciones o nuevos procesos (algunos técnicos) para garantizar el cumplimiento de los criterios de calidad de datos específicos de la Ley de IA para los datos de capacitación, validación y prueba en relación con el desarrollo de sistemas de IA. Es posible que las empresas puedan aprovechar ciertos esfuerzos de responsabilidad del RGPD en el proceso de preparación de documentación técnica, como para la descripción de las medidas de ciberseguridad aplicables. Los requisitos de registro se superponen parcialmente con los requisitos de seguridad de datos y las mejores prácticas según el RGPD, pero son más específicos y requieren implementación técnica. Se espera que las organizaciones desarrollen e implementen capacidades técnicas y procesos específicos para cumplir con este requisito. Los proveedores también deberán considerar el período de retención de los registros en sus calendarios de retención de protección de datos.
Se presentan las obligaciones prácticas para las empresas relativas a los proveedores de la Ley de IA.
La Ley de IA de la UE impone importantes obligaciones prácticas a las empresas que se consideran «proveedores» de sistemas de IA. Estas obligaciones varían según el nivel de riesgo del sistema de IA, y los requisitos más estrictos se aplican a los sistemas de IA de alto riesgo. Los proveedores son responsables de garantizar que sus sistemas de IA cumplan con los requisitos de la Ley de IA antes de comercializarlos o ponerlos en servicio. Las obligaciones abarcan un amplio espectro, incluyendo la gestión de riesgos, la gobernanza de datos, la documentación técnica, la transparencia, la supervisión humana y la ciberseguridad. Un tema central es la implementación de sistemas sólidos de gestión de la calidad (SGC) para garantizar el cumplimiento continuo durante todo el ciclo de vida del sistema de IA. El incumplimiento de estas obligaciones puede resultar en multas sustanciales y daños a la reputación, lo que enfatiza la necesidad de un enfoque proactivo e integral de la gobernanza de la IA.
Para los sistemas de IA de alto riesgo, los proveedores deben establecer un sistema de gestión de riesgos para identificar, analizar y mitigar los riesgos potenciales para la salud, la seguridad y los derechos fundamentales. Esto implica controles de calidad de los datos, pruebas rigurosas y medidas de ciberseguridad. La Ley de IA exige la creación de documentación técnica que detalle el diseño, la funcionalidad y el rendimiento del sistema. La documentación debe ser completa y actualizarse continuamente para reflejar cualquier cambio o modificación en el sistema de IA. Los proveedores también deben garantizar una transparencia adecuada proporcionando instrucciones claras y accesibles para los usuarios, detallando las características, limitaciones y riesgos potenciales del sistema de IA. Para aumentar aún más la confianza y la fiabilidad del usuario, el proveedor debe garantizar niveles adecuados de supervisión humana del sistema, permitiendo a los operadores invalidar cuando sea necesario.
Modelos de IA de propósito general
Para los modelos de IA de propósito general, los proveedores deben cumplir con el conjunto de condiciones clave del artículo 53. En primer lugar, quienes desarrollen los modelos deben mantener completa y actualizada la documentación del sistema, incluyendo la capacitación, la evaluación y las pruebas pertinentes. La documentación y los detalles deben transmitirse a otros sistemas de IA que tengan la intención de integrar el modelo de IA de propósito general. Las empresas que crean IA deben implementar políticas para cumplir con los derechos de autor, así como los resúmenes del contenido utilizado para entrenar el modelo de IA. Los modelos de IA de propósito general que también tienen riesgo sistémico están sujetos a obligaciones más estrictas, incluyendo evaluaciones de riesgos sistémicos potenciales a nivel de la UE, el mantenimiento de la ciberseguridad relacionada con el modelo, y un informe sin demora de información relevante sobre incidentes graves y medidas potencialmente correctivas.
Se describen las obligaciones prácticas para las empresas en relación con los implementadores de la Ley de IA.
La Ley de IA impone varias obligaciones prácticas a los implementadores de sistemas de IA, en particular a aquellos clasificados como de alto riesgo. Uno de los requisitos más importantes es el cumplimiento de las instrucciones de uso del proveedor. Los implementadores deben implementar medidas técnicas y organizativas apropiadas para garantizar que los sistemas de IA de alto riesgo se operen de acuerdo con las instrucciones proporcionadas por el proveedor del sistema. Esto implica una comprensión exhaustiva de las capacidades, limitaciones y propósito previsto del sistema, así como la implementación de controles para prevenir el uso indebido o la desviación de los parámetros operativos prescritos. Para facilitar el cumplimiento, los implementadores deben mantener un registro de los sistemas de alto riesgo en uso, junto con las instrucciones correspondientes. Asignar la responsabilidad del seguimiento del cumplimiento dentro de la organización también puede reforzar significativamente la rendición de cuentas. Además, es crucial que los implementadores se mantengan informados de cualquier actualización o cambio en las instrucciones a través de canales de comunicación establecidos con los proveedores del sistema de IA.
Más allá del cumplimiento de las instrucciones del proveedor, los implementadores están obligados a implementar supervisión humana. Esto implica la asignación de personas con la competencia, formación, autoridad y apoyo necesarios para supervisar el uso de sistemas de IA de alto riesgo. Estas personas deben poseer una comprensión integral de las capacidades y limitaciones del sistema, estar atentas contra el sesgo de automatización, interpretar con precisión las salidas del sistema y tener la autoridad para ignorar, anular o revertir la entrada del sistema cuando sea necesario. Además, los implementadores que ejercen control sobre los datos de entrada para sistemas de IA de alto riesgo deben asegurarse de que los datos sean relevantes y suficientemente representativos a la luz del propósito previsto del sistema. Esto requiere un proceso de preselección para evaluar la aptitud de los datos, incluida su precisión y ausencia de sesgos, para garantizar que el sistema funcione de manera eficaz y justa. Las obligaciones continuas para los implementadores incluyen el seguimiento continuo de los sistemas de IA y, en algunos casos, la realización de evaluaciones de impacto de los derechos fundamentales.
Requisitos Específicos de Transparencia
La Ley también incluye requisitos de transparencia para los implementadores que utilizan sistemas como el reconocimiento de emociones y la categorización biométrica, y aquellos que generan o manipulan imágenes, audio, vídeo y texto. Los requisitos de transparencia, como los incluidos en el artículo 50 (5) de la Ley de IA, crean requisitos adicionales para los implementadores a fin de garantizar que, a más tardar en la primera interacción, el sistema de IA se implemente de forma transparente.
Se establece el marco para la supervisión y el cumplimiento de la Ley de IA.
La supervisión y el cumplimiento de la Ley de IA se gestionarán tanto a nivel de los Estados miembros como de la UE, asignando funciones y responsabilidades distintas a varias autoridades. A nivel de los Estados miembros, cada país debe designar al menos una «autoridad notificadora» responsable de evaluar y supervisar los organismos de evaluación de la conformidad, y al menos una «Autoridad de Vigilancia del Mercado» (AVM) para supervisar el cumplimiento por parte de los proveedores, desplegadores y otras entidades dentro de la cadena de valor de la IA. Las AVM reciben amplias facultades de vigilancia del mercado, investigación y cumplimiento, incluida la capacidad de exigir información, realizar inspecciones in situ, emitir órdenes de cumplimiento, adoptar medidas correctivas e imponer sanciones. Los Estados miembros también tienen el mandato de establecer un único punto de contacto para la Ley de IA a fin de facilitar la comunicación y la coordinación. Todas las empresas sujetas a la Ley de IA deben cooperar plenamente con estas autoridades nacionales competentes.
A nivel de la UE, la Oficina de IA, establecida por la Comisión Europea, desempeña un papel clave en el desarrollo de conocimientos especializados, contribuyendo a la aplicación del Derecho de la UE en materia de IA y supervisando el cumplimiento con respecto a los modelos de IA de uso general. La Junta de IA, compuesta por representantes de cada Estado miembro, asesora y asiste a la Comisión Europea y a los Estados miembros para garantizar una aplicación coherente y eficaz de la Ley de IA. La Comisión Europea también tiene varias responsabilidades, como la preparación de documentación, la adopción de actos delegados y la gestión de la base de datos para sistemas de IA de alto riesgo. Las facultades de ejecución de las que disponen las AVM incluyen multas significativas por incumplimiento, estructuradas en función de la gravedad de la infracción, aplicándose las sanciones más elevadas a las prácticas de IA prohibidas. Además, las personas y organizaciones tienen derecho a presentar reclamaciones a su AVM nacional si creen que se ha producido una infracción de la Ley de IA, lo que refuerza los mecanismos de rendición de cuentas de la Ley.
Se compila un glosario de términos utilizados en la Ley de IA.
La Ley de IA de la UE introduce numerosos términos técnicos y legales. Comprender estas definiciones es crucial para que las empresas cumplan con las disposiciones de la Ley. Si bien un glosario completo está fuera del alcance de esta sección, términos clave como «sistema de IA», «modelo de IA de propósito general», «propósito previsto», «uso indebido razonablemente previsible», «puesta a disposición en el mercado», «introducción en el mercado», «puesta en servicio» e «incidente grave» son fundamentales para interpretar y aplicar los requisitos de la Ley. Estas definiciones, tal como se establecen en el Artículo 3 de la Ley de IA, delinean los límites de su alcance y las obligaciones de varios actores. La interpretación consistente de estos términos en toda la UE es necesaria para la aplicación y el cumplimiento uniformes de la Ley de IA, lo que garantiza un mercado armonizado para las tecnologías de IA.
Distinguir entre actores clave como «proveedores» y «implementadores» también es esencial, ya que cada rol conlleva distintas responsabilidades según la Ley de IA. Un proveedor es generalmente la entidad que desarrolla o introduce un sistema de IA en el mercado, mientras que un implementador utiliza el sistema de IA en sus operaciones. Las responsabilidades de cada uno, articuladas a lo largo de la Ley, están intrínsecamente vinculadas. Por ejemplo, la comunicación clara del propósito previsto de un sistema de IA del proveedor al implementador es crucial para que el implementador utilice el sistema en cumplimiento tanto de las instrucciones del proveedor como de los requisitos más amplios de la Ley. Además, el concepto de «propósito previsto» es en sí mismo un término definido, lo que enfatiza la importancia de interpretar los sistemas de IA y su uso de acuerdo con la información proporcionada por el proveedor.
Definiciones y Conceptos Clave
Para promover la alfabetización en IA y facilitar una mayor claridad, la Comisión de la UE publicó directrices que especifican aún más la definición de «sistema de IA» según la Ley de IA. Además de la delimitación precisa proporcionada por estas definiciones, es importante una comprensión más amplia de los conceptos subyacentes, como el enfoque basado en el riesgo, la transparencia y la supervisión humana. Sin una comprensión firme de estas definiciones y conceptos críticos, el cumplimiento de la Ley de IA sigue siendo un objetivo difícil de alcanzar. La revisión y comprensión periódicas de la orientación en evolución de la Comisión de la UE, la Oficina de IA y la Junta de IA serán fundamentales para mantener una interpretación precisa de los términos y definiciones de la Ley.
Se enumeran secciones de contacto importantes para diferentes miembros del liderazgo y los equipos de la UE/Reino Unido.
Este documento culmina con secciones de contacto integrales designadas tanto para el personal de liderazgo como para los miembros de los equipos de la UE/Reino Unido. Estas secciones sirven como recursos esenciales para las personas que buscan experiencia o asistencia específica relacionada con el cumplimiento de la Ley de IA. Al proporcionar acceso directo a personas clave dentro de los respectivos equipos, el documento tiene como objetivo facilitar una comunicación clara y eficiente, permitiendo a las partes interesadas navegar por las complejidades de la regulación de la IA con mayor facilidad. Una comunicación adecuada es de suma importancia en esta fase incipiente de la aplicación normativa, ya que tanto las autoridades como las organizaciones comienzan a lidiar con las implicaciones prácticas de la Ley de IA de la UE.
La inclusión de información de contacto detallada para los miembros del liderazgo subraya la importancia de la supervisión ejecutiva en el cumplimiento de la Ley de IA. Estas personas a menudo poseen la visión estratégica y la autoridad para tomar decisiones necesarias para guiar a las organizaciones a través del panorama regulatorio. Mientras tanto, la lista de los miembros del equipo de la UE/Reino Unido reconoce los distintos matices regionales de la regulación de la IA, reconociendo que las estrategias de cumplimiento pueden tener que adaptarse a jurisdicciones específicas. Esta dualidad garantiza que las partes interesadas tengan acceso tanto a la orientación estratégica de alto nivel como a la experiencia práctica relevante para sus circunstancias particulares. En conjunto, estas secciones priorizan tanto la información de alto nivel como la práctica para orientar a los usuarios con sus preguntas legales y de implementación con respecto a la ley.
