La Ley de Inteligencia Artificial de la Unión Europea, una normativa destinada a garantizar que la IA esté centrada en el ser humano y sea digna de confianza, está a un paso de convertirse en realidad. Está previsto que el documento se publique en el Diario Oficial a principios de junio y entre en vigor 20 días después.
Este reglamento, llamado a ser la primera ley integral del mundo para la IA, está diseñado para mantener un equilibrio entre el fomento del avance tecnológico y la protección de los derechos de los consumidores europeos.
“Estamos regulando lo menos posible y lo más necesario, con medidas proporcionadas para los modelos de IA”, afirma el comisario de Mercado Interior, Thierry Breton, quien añade que la Ley de IA “será una plataforma de lanzamiento para que las startups de la UE lideren la carrera mundial por una IA digna de confianza”, y también beneficiará a las pequeñas y medianas empresas. “Estamos haciendo de Europa el mejor lugar del mundo para la IA fiable”, afirma.
La Ley de IA afecta principalmente a los desarrolladores de herramientas de IA, así como a quienes despliegan sistemas de IA de alto riesgo, y se aplica tanto a organizaciones públicas como privadas dentro y fuera de la UE, siempre que sus sistemas de IA se utilicen o vendan en el mercado europeo o afecten a ciudadanos europeos. Salvo algunas excepciones, se aplicará en todos los Estados miembros de la UE 24 meses después de su entrada en vigor, y a finales de este año deberán cumplirse las normas que prohíben determinadas prácticas de IA.
Asimismo, las normativas sobre modelos de IA de uso general, gobernanza y sanciones comenzarán a aplicarse 12 meses después de que la ley entre en vigor, y los requisitos para los sistemas de alto riesgo comenzarán a aplicarse 36 meses después de su entrada en vigor.
“Antes de entrar en modo pánico, las organizaciones necesitan entender lo que esta legislación realmente cambia”, dice el coponente Dragoș Tudorache, que fue el principal negociador de la Ley de IA en el Parlamento Europeo junto con Brando Benifei. “La gran mayoría de la IA que existe no se vería afectada por la ley, porque se produce en ámbitos que la normativa no identifica como áreas de riesgo”.
Los sistemas de IA en los que se centra sobre todo el documento entran en las categorías de riesgo inaceptable y alto riesgo. La primera incluye aplicaciones de IA prohibidas, como las que evalúan a las personas en función de su estatus socioeconómico. La UE también prohíbe a las fuerzas de seguridad realizar identificaciones biométricas remotas en tiempo real en espacios públicos, así como el reconocimiento de emociones en el lugar de trabajo y en la escuela. Esta última categoría abarca ámbitos como las infraestructuras críticas, la calificación de exámenes, la cirugía asistida por robots, la calificación crediticia que podría denegar préstamos y el software de clasificación de currículos.
Las organizaciones que trabajan con sistemas de alto riesgo y saben que se verán afectadas por esta ley deben empezar a prepararse. “Si se trata de una empresa que desarrolla sistemas de IA, entonces pueden anticiparse todas esas obligaciones que tienen que ver con la documentación técnica, con la transparencia de los conjuntos de datos”, afirma Tudorache.
Además, las empresas que deseen incorporar la IA a su modelo de negocio deben asegurarse de que confían en la tecnología que integran, para lo cual primero deben conocer a fondo los sistemas que implantan, a fin de evitar complicaciones en el futuro.
El mayor error que pueden cometer las organizaciones es no tomarse en serio la Ley de Inteligencia Artificial, porque es disruptiva y afectará masivamente a muchos modelos de negocio. “Espero que la Ley de Inteligencia Artificial tenga más repercusiones que el GDPR”, afirma Tim Wybitul, responsable de privacidad y socio de Latham & Watkins en Alemania.
Adaptarse a un reto cambiante
A medida que la Ley de IA empieza a remodelar el panorama de la tecnología europea, los líderes del sector intentan navegar por sus implicaciones. Danielle Jacobs, directora general de Beltug, la mayor asociación belga de directores de sistemas de información y líderes en tecnología digital, ha estado debatiendo la Ley de IA con sus colegas, y han identificado varios retos y acciones clave.
Muchos CIO belgas, por ejemplo, quieren educar a sus empleados y poner en marcha programas de concienciación centrados en explorar las formas más eficaces de utilizar la IA gen.
En lo que respecta a la IA, todas las empresas son pioneras, afirma Jacobs, porque el panorama evoluciona continuamente. “No hay mejores prácticas establecidas ni planes de TI”, afirma, lo que complica los preparativos para la ley de IA.
Algunos de sus colegas han expresado su preocupación por la seguridad y la privacidad de las herramientas basadas en IA que se utilizan habitualmente en el entorno empresarial, como las que sirven para transcribir reuniones. Otros opinan que no siempre se informa de las herramientas de terceros utilizadas por los empleados.
Beltug recomienda a las organizaciones que empiecen por clasificar los datos, y las empresas también deberían revisar cuidadosamente los permisos asociados a las aplicaciones de IA que utilizan, añade Jacobs.
Estos pasos pueden ayudar a comprender claramente dónde y cómo se utiliza la IA. Esta claridad es crucial porque la mayoría de las organizaciones subestiman la amplia gama de sistemas que se aplican a la Ley de IA. “A menudo se concentran en lo que perciben como ‘IA clásica’ y pasan por alto los plugins y otras funciones de IA integradas”, afirma Wybitul.
También recomienda a las empresas que lean detenidamente la Ley de IA en su totalidad. “Esto no es fácil, ya que la ley es muy compleja y a menudo vaga”, dice. “Las numerosas referencias a otras leyes de la UE no facilitan esta tarea”.
Pero la vaguedad del texto es una característica, no un defecto, dice Tudorache, porque permite flexibilidad. “Reconocimos que no tenemos suficientes conocimientos y experiencia, dada la fase inicial de la tecnología, para saber exactamente cómo medir la conformidad de estos modelos, por eso introdujimos flexibilidad en la aplicación”, explica. “Pensamos que sería bueno permitir la interacción entre el regulador y los desarrolladores, y construir un código de buenas prácticas que después aplicará la CE. Esto no se encuentra en muchos otros textos legislativos de la Unión Europea”.
Además de la Ley de IA, las organizaciones tienen que estar al día de otras leyes y directivas que se debaten en la UE. La CE publicó en septiembre de 2022 una propuesta de directiva sobre responsabilidad en materia de IA que no se aprobará en este Parlamento, pero probablemente será una prioridad para el próximo, dicen los expertos en política de la UE Rob van Kranenburg y Gaelle Le Gars.
Lo que no incluye la Ley de IA
Aunque la Ley de la IA tiene cientos de páginas, no abarca todo lo relacionado con ella. “Lo más sorprendente es lo poco que se aborda en el texto la cuestión clave de los sistemas autónomos y semiautónomos relacionados con robots, vehículos y drones”, afirma Kranenburg. “Sólo hay dos menciones explícitas a los sistemas autónomos en todo el texto”.
Le Gars añade que ella y Kranenburg esperaban más medidas de protección en la legislación, dados los conflictos militares en curso en Europa y otros lugares.
Tudorache sostiene que, aunque la IA se convertirá de hecho en una nueva tendencia bélica, la UE tiene una capacidad limitada para regular sus usos militares. “La defensa no es una competencia en la que la UE pueda regular”, afirma. “Sigue siendo una competencia nacional”, lo que significa que los Estados miembros deben establecer y aplicar independientemente sus propias normas. Tudorache añade que la OTAN, la alianza militar de la que forman parte la mayoría de los países europeos, “ya ha empezado a debatir muy seriamente el impacto de la IA en la guerra.”
En cuanto a sectores civiles como la aviación, la automoción y los dispositivos médicos, ya están muy regulados en la UE, añade Tudorache. La Ley de IA está concebida para mejorar, no duplicar, las normativas existentes, por lo que el razonamiento era integrar la Ley de IA con las normas ya establecidas, en lugar de imponer capas adicionales.
Además, el documento incluye muy poco sobre el mercado laboral, un sector que se verá profundamente afectado por la IA, ya que la UE no tiene competencias para regular el mercado laboral, dice Tudorache. Este tipo de decisiones se toman a nivel estatal.
Una advertencia para no ahogar la innovación
Algunos argumentan que la Ley de IA podría situar a Europa en desventaja competitiva, dado que EE.UU. y China tienen menos barreras para la IA. El abogado especializado en tecnología Jan Czarnocki, afincado en Suiza -país no perteneciente a la UE-, sugiere que esta normativa podría disuadir a las empresas extranjeras de entrar en el mercado europeo e impedir la innovación local.
En contra de estas preocupaciones, Tudorache sostiene que regular la IA es esencial y que la Ley de IA debe promover la innovación, no obstaculizarla. De hecho, el mayor error que podrían cometer empresas de todos los tamaños es desanimarse ante esta legislación y anteponer la conformidad a la innovación, afirma.
“Primero tenemos que ser capaces de innovar, y luego ver cómo esa innovación se ajusta y respeta las normas o no”, añade Tudorache. “Si subsumimos la innovación al cumplimiento de las normas en vez de al revés, sería un error, porque crearía casi una actitud de autocensura hacia la innovación y la creatividad, y eso es exactamente lo que no queremos conseguir con esta normativa”.
Por otra parte, Tudorache afirmó que el reglamento se elaboró para apoyar el crecimiento de las pyme de forma responsable. “Creo que la palabra pyme aparece al menos 40 veces en la Ley de IA”, afirma. “Y aparece porque hay normas específicas para las pyme destinadas a facilitarles el acceso gratuito a los cajones de arena [reguladores]”. Y estos permiten a las empresas probar productos, servicios o modelos de negocio innovadores bajo la supervisión de un regulador.
Tudorache destaca además que la Ley de IA permitirá una interacción constante entre las empresas y los futuros reguladores, tanto a nivel nacional como europeo.
“Será importante reunir a los dos mundos: los responsables de aplicar la legislación y los destinados a aplicarla”, afirma. “Desde nuestro punto de vista, haría la aplicación mucho más fluida y el cumplimiento mucho más llevadero”.
