13 claves que toda empresa de IA necesita saber sobre la Nueva Ley de Inteligencia Artificial Europea.

En julio de 2024 entró en vigor la Ley de Inteligencia Artificial (IA) de la Unión Europea (UE). Esta legislación busca regular el desarrollo, despliegue y uso de sistemas de IA dentro de la Unión Europea, estableciendo un marco legal que promueva la innovación responsable y proteja los derechos de los ciudadanos. Para las empresas que operan en el ámbito de la IA, comprender los aspectos clave de esta ley es fundamental. 

Por ello, desde puente legal hemos elaborado este artículo que explora las 13 claves que toda empresa de IA debe conocer sobre la nueva ley de Inteligencia Artificial. 

1. Definición Amplia de IA y Clasificación de Riesgos

La ley define la IA de manera amplia, abarcando sistemas que exhiben capacidades que tradicionalmente se asocian con la inteligencia humana. Esto incluye, pero no se limita a, capacidades como el aprendizaje automático (machine learning), la toma de decisiones basada en datos, la adaptación a nuevas circunstancias y la autonomía en la ejecución de tareas.

Asimismo, la ley clasifica los sistemas de IA en cuatro niveles según el riesgo que representen en términos de derechos humanos, seguridad y ética. 

• Riesgo Alto: Estos sistemas son susceptibles de causar daños graves a las personas, tanto físicamente como en términos de derechos fundamentales. Algunos ejemplos son las tecnologías de IA que se usan en las esferas de la salud para el diagnóstico de enfermedades, en el transporte autónomo, o en la educación a través del uso de plataformas de evaluación de rendimiento académico de los estudiantes. 
• Riesgo Limitado: Incluye sistemas de IA que presentan riesgos significativos, pero menos severos que los de alto riesgo. 
• Riesgo Bajo: Se refiere a sistemas de IA que tienen un impacto mínimo en los derechos y la seguridad de las personas. Estos sistemas pueden incluir aplicaciones de IA integradas en electrodomésticos, chatbots simples o herramientas de procesamiento de texto básico. 

Excluidos del ámbito de aplicación: Hay sistemas de IA que están completamente excluidos del ámbito de aplicación de la ley debido al riesgo e impacto tan mínimo que presentan en los derechos de los individuos. Esto puede incluir herramientas de procesamiento de datos sin capacidad de toma de decisiones, sistemas que solo automatizan tareas simples y otras aplicaciones muy específicas que no presentan riesgos significativos.

2. Requisitos de los Sistemas de Alto Riesgo

Los sistemas clasificados como de alto riesgo deben cumplir con varios requisitos:

• Evaluación de Conformidad: Antes de que estos sistemas puedan ser introducidos en el mercado o utilizados en la UE, deben someterse a una evaluación exhaustiva de conformidad. Esta evalúa si el sistema cumple con los estándares específicos de seguridad, ética y legalidad establecidos por la propia ley.  La evaluación de conformidad es crucial para identificar y mitigar cualquier riesgo potencial que pueda afectar a los usuarios, la sociedad o el medio ambiente.
• Documentación Detallada: Las empresas desarrolladoras de sistemas de IA de alto riesgo deben proporcionar documentación detallada sobre el diseño, el funcionamiento y los posibles efectos del sistema. Esta documentación debe ser clara y completa, permitiendo a los reguladores y a los usuarios entender cómo funciona el sistema y qué medidas se han tomado para garantizar su seguridad y fiabilidad.
• Resultados de Pruebas: Además de la documentación, las empresas también deben presentar resultados de pruebas realizadas sobre el sistema de IA. Estas pruebas deben demostrar que el sistema opera de manera segura y eficaz bajo diversas condiciones y escenarios.
• Supervisión Continua: Una vez que un sistema de IA de alto riesgo está en funcionamiento, las empresas deben implementar un sistema de supervisión continua. Esto incluye monitorear el rendimiento del sistema, recopilar datos sobre su uso y efectos, y responder rápidamente a cualquier problema o incidente que pueda surgir. 

3. Prohibiciones Claras

La ley establece prohibiciones claras sobre ciertos uso de la IA. Estas son: 

• Manipulación Subliminal: Se prohíbe el uso de sistemas de IA diseñados para manipular el comportamiento de las personas de manera inconsciente. Un ejemplo es el uso de algoritmos en plataformas de redes sociales para personalizar el contenido que se muestra a los usuarios de manera que influya en sus decisiones sin que sean conscientes de ello.
• Vigilancia Masiva Indiscriminada: Está prohibido el uso de IA para llevar a cabo vigilancia a gran escala sin una base legal clara y justificada. Estas prácticas son susceptibles de violar los derechos a la privacidad o libertad de movimiento, especialmente si se utilizan para monitorear a los ciudadanos sin las pertinentes medidas de transparencia y control democrático. 
• Evaluación Social: Se prohíben los sistemas de IA que evalúen la reputación social de las personas por parte del gobierno o empresas, basándose en su comportamiento social y características personales. Por ejemplo, para la evaluación de candidatos a un puesto de trabajo, o la segmentación de clientes para lanzar campañas publicitarias o de marketing.  De este modo se evita la discriminación y protege la privacidad de los individuos.

4. Transparencia y Explicabilidad

Las empresas deben asegurarse de cumplir dos requisitos:  

• Informar a los Usuarios: Las empresas deben asegurarse de informar a los usuarios cuando interactúan con sistemas de IA. Esto significa que los usuarios deben ser conscientes de cuándo y cómo están interactuando con tecnologías basadas en IA, y qué implicaciones puede tener para ellos.
• Utilizar un lenguaje comprensibles: A la hora de informar a los usuarios, los sistemas deben proporcionar explicaciones claras y sencillas sobre cómo toman decisiones, especialmente en casos que afectan significativamente a los derechos de las personas (tratamientos médicos, postular a un empleo, etc.

5. Evaluaciones de Impacto

Para los sistemas de alto riesgo se requiere la realización de:

• Evaluaciones Preliminares: Antes de lanzar al público un sistema de IA de alto riesgo, las empresas deben realizar una evaluación de impacto preliminar. Esta evaluación tiene como objetivo identificar y analizar los posibles riesgos que el sistema podría plantear. Además, debe incluir medidas de mitigación para abordar estos riesgos y minimizar cualquier impacto negativo.
• Actualizaciones Continuas: Las evaluaciones de impacto no son estáticas; deben actualizarse regularmente. Esto garantiza que cualquier cambio en el uso del sistema de IA o en su entorno operativo se tenga en cuenta y se aborden los nuevos riesgos potenciales que puedan surgir. 

6. Conformidad y Certificación

Los sistemas de alto riesgo deben cumplir con los requisititos de conformidad y certificación. 

• Proceso de Certificación: Los sistemas de inteligencia artificial clasificados como de alto riesgo deben pasar por un proceso de certificación. Este proceso implica que una autoridad competente evalúe y confirme que el sistema cumple con los estándares establecidos por la UE.
• Auditorías Periódicas: Además de la certificación inicial, las empresas deben someter sus sistemas de IA a auditorías regulares. Estas auditorías tienen como objetivo verificar si el sistema continúa cumpliendo con los estándares de conformidad establecidos a lo largo de su ciclo de vida. Las auditorías periódicas son esenciales para detectar y corregir posibles desviaciones o riesgos que puedan surgir debido a cambios en el uso del sistema, actualizaciones tecnológicas o nuevas regulaciones.

7. Gestión de Datos

• Calidad de Datos: Los datos utilizados para entrenar sistemas de IA deben cumplir con altos estándares de calidad. Esto implica que los datos deben ser precisos, completos, relevantes y estar libres de sesgos.
• Recolección Responsable: La recopilación de datos debe realizarse de manera ética y respetando las normativas de privacidad vigentes, como el Reglamento General de Protección de Datos (GDPR) en la Unión Europea. Esto incluye obtener el consentimiento adecuado de los individuos cuando sea necesario, transparentar cómo se utilizarán los datos y protegerlos contra accesos no autorizados o uso indebido.

8. Supervisión Humana

• Intervención Humana: Los sistemas de IA clasificados como de alto riesgo deben diseñarse de manera que permitan la intervención humana en situaciones críticas o emergencias. Esto significa que los sistemas deben estar equipados con mecanismos que permitan a los humanos tomar el control o realizar acciones correctivas cuando se detecten problemas graves o inesperados. 
• Supervisión Continua: Los operadores humanos deben monitorear regularmente los sistemas de IA para asegurar su correcto funcionamiento.

9. Responsabilidad y Reglas de Seguridad

• Políticas de Seguridad: Las empresas que desarrollan y utilizan sistemas de IA deben establecer políticas robustas de seguridad. Estas políticas deben incluir medidas para proteger los sistemas de IA contra vulnerabilidades y posibles ataques cibernéticos. Esto implica la implementación de controles de acceso adecuados, cifrado de datos, monitoreo continuo de amenazas y otras prácticas de seguridad informática avanzadas.
• Actualizaciones de Seguridad: Los sistemas deben actualizarse periódicamente para abordar nuevas amenazas y vulnerabilidades.

10. Derechos de los Usuarios

• Explicaciones y Apelaciones: Los usuarios tienen derecho a recibir explicaciones sobre las decisiones automatizadas que les afectan y pueden solicitar una revisión humana de dichas decisiones.
• Protección de Datos: Se debe garantizar la protección de los datos personales utilizados y generados por los sistemas de IA.

11. Registro de Datos

• Documentación Detallada: Las empresas que desarrollan o utilizan sistemas de inteligencia artificial deben mantener registros detallados de los datos que utilizan y de las actividades relacionadas con sus sistemas de IA. Esto incluye información sobre la recopilación de datos, el procesamiento realizado por los algoritmos de IA, las decisiones automatizadas tomadas y cualquier otra actividad relevante relacionada con el uso de los datos.
• Accesibilidad para Auditorías: Estos registros deben estar disponibles y accesibles para ser auditados por las autoridades reguladoras competentes. Las auditorías pueden ser realizadas para verificar el cumplimiento de las normativas de inteligencia artificial, asegurando que los sistemas de IA operen de manera ética, transparente y conforme a la ley.

12. Colaboración Internacional

• Cumplimiento Multijurisdiccional: Las empresas que operan en múltiples países deben adaptar sus prácticas para cumplir tanto con la ley de la UE como con otras legislaciones internacionales.
• Intercambio de Buenas Prácticas: La ley de Inteligencia Artificial promueve activamente el intercambio de buenas prácticas entre empresas de diferentes jurisdicciones. Esto incluye compartir conocimientos, experiencias y metodologías efectivas en el desarrollo, despliegue y gestión de sistemas de inteligencia artificial. El objetivo es mejorar los estándares globales de ética y seguridad en el uso de la IA, fomentando una cooperación internacional que beneficie a todos los usuarios y partes interesadas involucradas.

13. Multas y Sanciones

• Penalizaciones Significativas: El incumplimiento de la ley puede resultar en multas de hasta 30 millones de euros o el 6% del volumen de negocios anual global de la empresa, lo que sea mayor.
• Sanciones Adicionales: Además de las multas monetarias, las autoridades reguladoras pueden imponer sanciones adicionales. Estas pueden incluir restricciones a la comercialización de sistemas de IA no conformes o la obligación de retirar del mercado o modificar productos que no cumplan con los estándares éticos, de seguridad o de protección de datos establecidos por la legislación.