El 13 de junio de 2024 se aprobó la Ley de Inteligencia Artificial Act 1 mediante el Reglamento (UE) 2024/1689, publicado el 12 de julio de 2024. Su objetivo es regular el uso de la inteligencia artificial (IA) garantizando que sea seguro, transparente y ético. El Reglamento busca asegurar que los sistemas de IA comercializados y utilizados en la Unión Europea sean seguros, respeten los derechos fundamentales y los valores de la Unión, y promuevan la inversión y la innovación en este sector dentro de Europa.
¿A quién se dirige?
El Reglamento está pensado para:
- Las empresas y personas que desarrollan o utilizan inteligencia artificial dentro de la Unión Europea;
- Aquellos que, aunque estén fuera de la UE, ofrecen sistemas de IA cuyos resultados se usan dentro del territorio europeo;
- Quienes importan o distribuyen sistemas de IA en el mercado europeo.
Sin embargo, el «AI Act» no se aplica a los sistemas de IA usados con fines militares, en investigaciones científicas, para uso personal o no profesional, ni, en parte, a aquellos con licencias de código abierto o libre acceso.
Principales novedades del Reglamento sobre inteligencia artificial
El Reglamento introduce nuevas obligaciones para quienes desarrollan sistemas de inteligencia artificial (IA), entre las que se incluyen:
- Evaluación de riesgos: todos los sistemas de IA deben ser evaluados según el impacto potencial de sus decisiones.
- Clasificación por niveles de riesgo: los sistemas de IA se dividen en 4 categorías, según su nivel de riesgo:
-
- Riesgo inaceptable: están prohibidos.
- Alto riesgo: deben cumplir requisitos estrictos, como normas técnicas armonizadas y supervisión por parte de autoridades competentes.
- Riesgo limitado: deben respetar ciertas obligaciones de transparencia, como proporcionar información clara y accesible al usuario final.
- Riesgo mínimo: no están sujetos a obligaciones específicas.
- Marcado CE: los sistemas de IA de alto riesgo deben llevar el marcado CE antes de ser comercializados en la UE.
- Gestión de datos: se establecen reglas estrictas sobre cómo se recogen, gestionan y almacenan los datos usados para desarrollar y operar los sistemas de IA.
- Transparencia: los proveedores deben ofrecer información clara y comprensible sobre cómo funciona el sistema, sus capacidades, limitaciones y riesgos potenciales.
Ejemplos de sistemas de IA considerados de alto riesgo:
- Infraestructuras críticas como la energía, el transporte, el agua, el gas y otras redes esenciales.
- Sectores educativos y de formación profesional.
- Servicios públicos esenciales como la sanidad, la seguridad social o los servicios financieros.
- Identificación biométrica en espacios públicos, vigilancia y control.
- Seguridad de productos como dispositivos médicos o vehículos autónomos.
- Sistemas que puedan explotar vulnerabilidades de las personas (por edad, discapacidad o situación social o económica).
- Sistemas que asignan puntuaciones sociales a personas basándose en su comportamiento, características personales o criterios que puedan llevar a la discriminación.
¿Qué cambia para las empresas y cómo se aplicará el Reglamento?
Con su entrada en vigor, el reglamento tendrá un impacto directo en las empresas, organismos públicos y desarrolladores que trabajen con sistemas de inteligencia artificial (IA). Las fechas clave son:
- 01/08/2024: entrada en vigor del Reglamento (20 días después de su publicación en el Diario Oficial de la UE).
- 02/02/2025: comienzan a aplicarse las normas sobre prácticas prohibidas de IA.
- 02/08/2025: entran en vigor las disposiciones relativas a las autoridades nacionales de notificación, los modelos de IA de propósito general, la gobernanza, las sanciones (excepto las multas para proveedores de modelos de propósito general) y la confidencialidad de la información.
- 02/08/2026: se aplican todas las secciones del Reglamento, excepto lo previsto en el siguiente punto.
- 02/08/2027: se aplican las obligaciones específicas para los sistemas de alto riesgo que sean productos o componentes definidos en el artículo 6, apartado 1.
Por lo tanto, las empresas, organismos y desarrolladores deberán preparar una documentación técnica adecuada que permita evaluar los riesgos, garantizar el cumplimiento normativo, aplicar medidas de seguridad y proteger los datos, con el fin de evitar riesgos legales y financieros.
