La Ley de Inteligencia Artificial de la UE es el primer reglamento exhaustivo sobre inteligencia artificial de un regulador importante a nivel mundial. Este nuevo marco legal clasifica las aplicaciones de IA en tres categorías de riesgo para garantizar su uso seguro y ético.
Tres categorías de riesgo para aplicaciones de IA
- Riesgo inaceptable: la Ley prohíbe aplicaciones y sistemas que supongan un riesgo inaceptable, como los sistemas de puntuación social gestionados por el gobierno, similares a los utilizados en China.
- Riesgo alto: las aplicaciones de alto riesgo, como las herramientas de escaneo de CV que clasifican a los solicitantes de empleo, están sujetas a requisitos legales específicos para asegurar su transparencia y equidad.
- Riesgo bajo: las aplicaciones que no están explícitamente prohibidas o catalogadas como de alto riesgo quedan en gran medida sin regular, permitiendo una mayor flexibilidad en su desarrollo y uso.
Importancia global de la Ley de IA de la UE
La IA influye en muchos aspectos de la vida diaria, desde la personalización de contenidos en Internet hasta la aplicación de la ley y la atención médica. Al igual que el Reglamento General de Protección de Datos (RGPD) de la UE del 2018, la Ley de IA de la UE tiene el potencial de convertirse en una norma mundial, asegurando que la IA tenga un efecto positivo y no negativo en la vida de las personas en todo el mundo. Su regulación ya está generando impacto internacional, como se evidencia en la reciente aprobación de un marco legal para la IA por el Congreso de Brasil en septiembre del 2021.
Aplicación de la Ley por organizaciones
Para ayudar a las PYME y startups europeas a comprender sus posibles obligaciones legales bajo la Ley de IA de la UE, se ha desarrollado un comprobador de cumplimiento de la Ley de IA. Esta herramienta, aunque en progreso, ofrece una indicación inicial sobre las obligaciones que podrían enfrentar los sistemas de IA de una organización. Además, permite a las empresas aplicar la ley para destacarse como más confiables en el mercado.
Resumen en cuatro puntos
La Ley de IA las clasifica en función de su riesgo:
- Se prohíben los riesgos inaceptables (por ejemplo, los sistemas de puntuación social y la IA manipuladora).
- La mayor parte del texto aborda los sistemas de IA de alto riesgo, que están regulados.
- Una sección más pequeña se ocupa de los sistemas de IA de riesgo limitado, sujetos a obligaciones de transparencia más ligeras: los desarrolladores e implantadores deben garantizar que los usuarios finales sean conscientes de que están interactuando con IA (chatbots y deepfakes).
- El riesgo mínimo no está regulado (incluida la mayoría de las aplicaciones de IA actualmente disponibles en el mercado único de la UE, como los videojuegos con IA y los filtros de spam, al menos en el 2021; esto está cambiando con la IA generativa).
La mayoría de las obligaciones recaen en los proveedores (desarrolladores) de sistemas de IA de alto riesgo.
- Los que pretendan comercializar o poner en servicio sistemas de IA de alto riesgo en la UE, independientemente de que tengan su sede en la UE o en un tercer país.
- Y también proveedores de terceros países en los que el producto del sistema de IA de alto riesgo se utiliza en la UE.
Los usuarios son personas físicas o jurídicas que despliegan un sistema de IA a título profesional, no usuarios finales afectados.
- Los usuarios (implantadores) de sistemas de IA de alto riesgo tienen algunas obligaciones, aunque menos que los proveedores (desarrolladores).
- Esto se aplica a los usuarios ubicados en la UE y a los usuarios de terceros países en los que la producción del sistema de IA se utiliza en la UE.
IA de propósito general (GPAI):
- Todos los proveedores de modelos GPAI deben proporcionar documentación técnica, instrucciones de uso, cumplir la directiva sobre derechos de autor y publicar un resumen sobre los contenidos utilizados para la formación.
- Los proveedores de modelos GPAI de licencia libre y abierta sólo tienen que respetar los derechos de autor y publicar el resumen de datos de formación, a menos que presenten un riesgo sistémico.
- Todos los proveedores de modelos GPAI que presenten un riesgo sistémico -abiertos o cerrados- también deben realizar evaluaciones de modelos, pruebas de adversarios, rastrear y notificar incidentes graves y garantizar protecciones de ciberseguridad.
Sistemas de IA prohibidos
Los siguientes tipos de sistemas de IA están «prohibidos» según la Ley de IA.
Sistemas de IA:
- Despliegue de técnicas subliminales, manipuladoras o engañosas para distorsionar el comportamiento y perjudicar la toma de decisiones con conocimiento de causa, causando un daño significativo.
- Explotar las vulnerabilidades relacionadas con la edad, la discapacidad o las circunstancias socioeconómicas para distorsionar el comportamiento, causando daños significativos.
- Sistemas de categorización biométrica que infieran atributos sensibles (raza, opiniones políticas, afiliación sindical, creencias religiosas o filosóficas, vida u orientación sexual), excepto el etiquetado o filtrado de conjuntos de datos biométricos adquiridos legalmente o cuando las fuerzas de seguridad categoricen datos biométricos.
- Puntuación social, es decir, evaluar o clasificar a individuos o grupos basándose en comportamientos sociales o rasgos personales, causando un trato perjudicial o desfavorable a esas personas.
- Evaluar el riesgo de que un individuo cometa delitos penales basándose únicamente en perfiles o rasgos de personalidad, excepto cuando se utilice para aumentar las evaluaciones humanas basadas en hechos objetivos y verificables directamente relacionados con la actividad delictiva.
- Compilación de bases de datos de reconocimiento facial mediante el raspado no selectivo de imágenes faciales de Internet o de grabaciones de CCTV.
- Inferir emociones en lugares de trabajo o centros educativos, salvo por razones médicas o de seguridad.
- Identificación biométrica remota (RBI) «en tiempo real» en espacios de acceso público para las fuerzas de seguridad excepto cuando:
- Haya búsqueda de personas desaparecidas, víctimas de secuestros y personas víctimas de la trata de seres humanos o la explotación sexual;
- Prevenir una amenaza sustancial e inminente para la vida, o un ataque terrorista previsible; o
- Identificar a sospechosos de delitos graves (por ejemplo, asesinato, violación, robo a mano armada, tráfico de estupefacientes y armas ilegales, delincuencia organizada y delitos contra el medio ambiente, etc.).