La UE aprueba el AI Act para regular la inteligencia artificial

La regulación de la inteligencia artificial en la Unión Europea: un nuevo horizonte

A partir del domingo, los reguladores de la Unión Europea (UE) tienen la autoridad para prohibir el uso de sistemas de inteligencia artificial (IA) que consideren que representan un "riesgo inaceptable" o que puedan causar daño. Esta medida marca un hito en la regulación de la tecnología en el continente, dado que busca establecer un marco legal claro que proteja a los ciudadanos de los posibles efectos adversos que la IA podría acarrear.

La legislación sobre IA ha sido una larga travesía para la UE, que culminó con la aprobación del AI Act por parte del Parlamento Europeo el pasado marzo. Después de años de debates y negociaciones, la normativa entró en vigor oficialmente el 1 de agosto, y ahora se inicia el proceso de cumplimiento que culminará el 2 de febrero, una fecha clave para las empresas que operan dentro del bloque.

Un marco regulador en cuatro niveles de riesgo

La estructura del AI Act se articula en torno a cuatro niveles de riesgo que abarcan diversas aplicaciones de la IA, desde las más benignas hasta las más controvertidas. Este enfoque busca garantizar que las medidas regulatorias sean proporcionales al nivel de riesgo que cada aplicación conlleva.

El primer nivel, el riesgo mínimo, incluye aplicaciones que no requieren supervisión regulatoria, como los filtros de spam en el correo electrónico. El segundo nivel, el riesgo limitado, abarca herramientas como los chatbots de atención al cliente, que estarán sujetos a una supervisión regulatoria ligera. En el tercer nivel, el alto riesgo, se incluyen aplicaciones críticas como la IA utilizada para recomendaciones en el ámbito de la salud, que enfrentarán una supervisión rigurosa. Por último, el cuarto nivel, el de riesgo inaceptable, es donde se encuentran las aplicaciones prohibidas, que son el foco de atención de las primeras obligaciones de cumplimiento.

Las actividades que caen bajo la categoría de riesgo inaceptable son alarmantes y pueden tener un impacto significativo en la vida de las personas.

Aplicaciones de IA que serán prohibidas

Entre las actividades inaceptables que el AI Act prohíbe se encuentran:

1. La utilización de IA para el scoring social, que implica la creación de perfiles de riesgo basados en el comportamiento de las personas.
2. Sistemas de IA que manipulan decisiones de forma subliminal o engañosa, lo que plantea serias cuestiones éticas sobre la autonomía personal.
3. La explotación de vulnerabilidades como la edad, discapacidad o situación socioeconómica para influir en decisiones.
4. Sistemas que intentan predecir delitos basándose en la apariencia física de las personas, lo que puede llevar a prácticas discriminatorias.
5. La inferencia de características personales a través de biometría, como la orientación sexual.
6. La recolección de datos biométricos en tiempo real en lugares públicos con fines de aplicación de la ley, lo que plantea preocupaciones sobre la privacidad.
7. Sistemas que intentan inferir emociones en contextos laborales o educativos, lo que puede resultar en situaciones de abuso.
8. La creación o expansión de bases de datos de reconocimiento facial mediante la recopilación de imágenes en línea o de cámaras de seguridad.

Las empresas que sean sorprendidas utilizando alguna de estas aplicaciones en la UE se enfrentarán a sanciones severas, independientemente de su ubicación geográfica. Las multas podrían ascender hasta 35 millones de euros o el 7% de sus ingresos anuales, lo que sea mayor.

La primera fecha de cumplimiento y su importancia

El 2 de febrero se considera una fecha formal en el calendario de cumplimiento, aunque ya en septiembre pasado más de 100 empresas habían firmado el Pacto de IA de la UE, un compromiso voluntario para adoptar los principios del AI Act antes de su implementación oficial. Entre los signatarios se encontraban gigantes tecnológicos como Amazon, Google y OpenAI, quienes se comprometieron a identificar sistemas de IA que probablemente serían clasificados como de alto riesgo bajo la nueva legislación.

La participación de las grandes empresas en el Pacto es un indicativo de la seriedad con la que se toman estas regulaciones.

Sin embargo, algunas empresas, como Meta y Apple, decidieron no firmar el Pacto, lo que ha suscitado interrogantes sobre su cumplimiento con la nueva normativa. A pesar de esto, se estima que la mayoría de las empresas ya no estarán involucradas en prácticas prohibidas, dadas las implicaciones éticas y legales que estas conllevan.

Expectativas sobre la claridad de las regulaciones

Un aspecto crucial que preocupa a las organizaciones es la claridad en torno a las directrices, estándares y códigos de conducta que se establecerán. Rob Sumroy, responsable de tecnología en un importante bufete de abogados británico, señala que la llegada de estos lineamientos es fundamental para que las empresas puedan cumplir con la legislación de manera efectiva.

Es fundamental que las organizaciones comprendan que la regulación de la IA no existe en un vacío. Otras normativas, como el GDPR y la NIS2, interactuarán con el AI Act, lo que podría generar desafíos adicionales, especialmente en torno a los requisitos de notificación de incidentes. La necesidad de entender cómo se entrelazan estas leyes será tan importante como conocer las disposiciones del AI Act en sí.

Excepciones y usos permitidos de la IA

No obstante, el AI Act también contempla excepciones a algunas de sus prohibiciones. Por ejemplo, se permite a las fuerzas del orden utilizar sistemas que recojan datos biométricos en lugares públicos, siempre y cuando estos sistemas sean utilizados para realizar búsquedas dirigidas, como en el caso de una víctima de secuestro, o para prevenir una amenaza inminente y sustancial a la vida.

Sin embargo, esta excepción requiere autorización del organismo gubernamental competente, y la legislación enfatiza que las decisiones tomadas por las fuerzas del orden no pueden basarse exclusivamente en los resultados de estos sistemas, ya que esto podría generar efectos legales adversos para las personas implicadas.

Asimismo, se establecen excepciones para los sistemas que intentan inferir emociones en entornos laborales o educativos, siempre que haya una justificación médica o de seguridad, como en el caso de sistemas diseñados para usos terapéuticos.

Futuro incierto: expectativas y retos

La Comisión Europea ha anunciado que publicará directrices adicionales en "principios de 2025", tras una consulta con las partes interesadas que tuvo lugar en noviembre. Sin embargo, hasta la fecha, estas directrices aún no se han publicado, lo que genera incertidumbre entre las empresas sobre cómo deberán adaptarse a la nueva legislación.

La falta de claridad en torno a las regulaciones podría generar un clima de inseguridad en el que las empresas no sepan cómo actuar para cumplir con la normativa. A medida que se acerca el período de aplicación, la presión sobre las organizaciones para que se alineen con los nuevos estándares aumentará.

La interacción de la legislación sobre IA con otras normativas existentes también plantea preguntas sobre cómo se abordarán las posibles superposiciones y los conflictos entre las distintas leyes. La comprensión de cómo estas regulaciones se integran será esencial para evitar sanciones y asegurar un cumplimiento efectivo.

La implementación del AI Act es un paso significativo hacia una regulación más estricta de la inteligencia artificial en Europa. La manera en que las empresas se adapten a estas nuevas normativas y cómo los reguladores implementen y hagan cumplir estas leyes determinará el futuro del uso de la IA en la región. La vigilancia y la adaptación continua serán claves para navegar este nuevo panorama regulador.