La RIA se publicó en el Diario Oficial de la Unión Europea el 12 de julio de 2024. Tras su entrada en vigor será plenamente aplicable 24 meses después.
Este 1 de agosto marcará un nuevo hito para la legislación en materia tecnológica: la primera regulación integral de la inteligencia artificial (IA) a nivel mundial, la Ley de IA de la Unión Europea (UE) -o AI Act- entrará en vigor, tras su publicación en el Diario Oficial de la UE (DOUE).
La Ley de IA busca garantizar que los sistemas de IA que se comercializan y se utilizan en el mercado europeo sean seguros y respeten los derechos fundamentales y los valores de la UE. La base de la normativa establece regular esta tecnología en función de su capacidad para causar daños a la sociedad, siguiendo un planteamiento “basado en el riesgo”: a mayor riesgo, más estrictas las normas.
Así, el documento divide los sistemas de IA en varios niveles: riesgo inaceptable, que incluye usos de la IA que están prohibidos; alto riesgo, que necesitan ser evaluados antes de su puesta en el mercado y a lo largo de su ciclo de vida, y que incluye infraestructuras críticas y electorales; riesgo limitado; y riesgo mínimo.
Entre otras cosas, la Ley establece normas sobre los modelos de IA de propósito general de alto impacto que puedan causar un riesgo sistémico en el futuro, así como sobre los sistemas de IA de alto riesgo; un sistema revisado de gobernanza con algunos poderes coercitivos a nivel de la UE; una lista de prohibiciones; y una mejor protección de los derechos mediante la obligación de que quienes desplieguen sistemas de IA de alto riesgo realicen una evaluación de impacto sobre los derechos fundamentales antes de poner en funcionamiento un sistema de IA.
En cuanto a las prohibiciones, el reglamento afirma que no se podrá realizar una manipulación cognitiva del comportamiento, la extracción no selectiva de imágenes faciales de internet o de grabaciones de CCTV, el reconocimiento de emociones en el lugar de trabajo y en instituciones educativas, la puntuación social, la categorización biométrica para inferir datos sensibles, como la orientación sexual o las creencias religiosas, y algunos casos de vigilancia policial predictiva de personas.
Las sanciones por incumplir el nuevo reglamento consisten en multas que ascienden a los 35 millones de euros o el 7% por infracciones de las aplicaciones de IA prohibidas; 15 millones de euros o el 3% por infracciones de las obligaciones de la ley de IA; y 7,5 millones de euros o el 1,5% por el suministro de información incorrecta. A pesar de lo anterior, se prevé multas más proporcionadas para las pymes y las empresas de nueva creación.
Además, la Ley establece la puesta en marcha de la Oficina de IA, para velar por una aplicación coherente de la normativa en cada país y para fomentar la investigación e innovación en torno a una IA fiable y responsable. Esta oficina se puso en marcha el pasado mes de junio y cuenta con un equipo de trabajo de 140 personas, entre los que se encuentran especialistas en tecnología y políticas públicas, economistas, asistentes administrativos y abogados.
A nivel nacional, ya se ha presentado la Agencia Española de Supervisión de la Inteligencia Artificial (Aesia), cuya sede estará en A Coruña y que será presidida por Ignasi Belda. La Aesia tendrá como funciones principales inspeccionar y sancionar el uso incorrecto de esta tecnología, así como asesorar a los sectores público y privado y apoyar el desarrollo y uso de sistemas energéticamente eficientes y sostenibles mediante la divulgación, concienciación y el uso ético de la IA. Contará con un presupuesto de cinco millones para su lanzamiento y con unos 40 profesionales especializados en distintas ramas de las TIC, administraciones públicas o en legislación.
El reglamento, no obstante, considera una aplicación de dos años, por lo que las organizaciones deberán cumplir con los requisitos a partir del 1 de agosto de 2026, con destacadas excepciones:
- A los 6 meses: se deberán implementar las disposiciones generales, las obligaciones de los sistemas prohibidos o de riesgo inaceptable, y los códigos de conducta (de carácter voluntario).
- A los 9 meses: los códigos de buenas prácticas para los modelos de IA de uso general (también voluntario).
- A los 12 meses: las disposiciones de los modelos de IA de uso general (GPAI, por sus siglas en inglés), los requisitos de gobernanza y las sanciones (salvo excepciones).
- A los 24 meses: se aplicarán las sanciones del artículo 101.
- A los 36 meses: las obligaciones para los sistemas de IA de alto riesgo.
- 2030: entrarán en marcha las normas para los sistemas informáticos de gran alcance que incluyan IA, como aquellos relativos a las esferas de la libertad, la seguridad y la justicia.
El impacto global de esta nueva ley dependerá de la adaptación que hagan los países, que ya han mostrado divergencias iniciales en su interpretación. Esta división de criterios podría suponer un desafío para las organizaciones que operan a nivel internacional, por lo que es esencial desarrollar estrategias de IA flexibles que puedan adaptarse a medida que se clarifiquen los detalles durante la implementación. Así, es crucial una preparación anticipada para cumplir con la nueva regulación a la hora de aprovechar oportunidades emergentes en el campo de la IA.