¡Ya es oficial! la regulación basada en riesgos de la Unión Europea (UE) para aplicaciones de Inteligencia Artificial (IA) entró en vigor a partir del día de ayer (jueves) 1 de agosto del presente año 2024. Vale la pena señalar que, esto marca el inicio de una serie de plazos de cumplimiento escalonados que la ley aplicará a diferentes tipos de desarrolladores y aplicaciones de Inteligencia Artificial. Es de resaltar que, la mayoría de las disposiciones serán completamente aplicables a mediados de 2026. Pero… el primer plazo, que impone prohibiciones a un pequeño número de usos prohibidos de la IA en contextos concretos, como el uso de biometría remota por parte de las fuerzas del orden en lugares públicos, se aplicará en tan solo 6 meses. La normatividad de IA de la UE entra en vigencia y esto es lo que tiene que conocer al respecto.
La normatividad de IA entró en vigor
Es crucial destacar que según el enfoque del bloque, la mayoría de las aplicaciones de Inteligencia Artificial (IA) se consideran de bajo o nulo riesgo, por lo que no estarán dentro del alcance de la regulación.
Ahora bien, un subconjunto de usos potenciales de la IA se clasifica como de alto riesgo, como la biometría y el reconocimiento facial, así como el software médico basado en IA o la Inteligencia Artificial utilizada en ámbitos como la educación y así mismo, el empleo. Sus desarrolladores tendrán que garantizar el cumplimiento de las obligaciones de gestión de riesgos y calidad, incluida la realización de una evaluación de conformidad previa a la comercialización, con la posibilidad de estar sujetos a una auditoría reglamentaria. Los sistemas de alto riesgo usados por las autoridades del sector público o sus proveedores igualmente deberán registrarse en una base de datos de la Unión Europea.
Por su parte, un tercer nivel de “riesgo limitado” se aplica a las tecnologías de IA, como los chatbots o las herramientas que podrían usarse para producir deepfakes. Las mismas, tendrán que cumplir algunos requisitos de transparencia para poder garantizar que los usuarios no sean engañados.
Las sanciones también se encuentran escalonadas, con multas de hasta el 7% de la facturación anual global por violaciones de aplicaciones de Inteligencia Artificial prohibidas; hasta el 3% por incumplimiento de otras obligaciones; y así mismo, hasta el 1,5% por suministrar información incorrecta a los reguladores.
Otra inherente vertiente de la ley se aplica a los desarrolladores de las denominadas Inteligencia Artificial de propósito general (GPAI). Una vez más, la Unión Europea ha adoptado un enfoque basado en el riesgo, y la mayoría de los desarrolladores de GPAI se enfrentan a requisitos de transparencia laxos, aunque deberán suministrar un resumen de los datos de entrenamiento y al mismo tiempo, comprometerse a tener políticas que garanticen el respeto de las normas de derechos de autor, entre otros requisitos.
Lo cierto es que, se espera que sólo un subconjunto de los modelos más potentes también realice evaluaciones de riesgos y medidas de mitigación. Hoy por hoy, estos GPAI con el potencial de presentar un riesgo sistémico se definen como modelos entrenados usando una potencia de cálculo total de más de 10^25 FLOP.
Aunque la aplicación de las normas generales de la Ley de Inteligencia Artificial (IA) se encuentra delegada a organismos de nivel de estado miembro, las normas para las IAGP se aplican a nivel de la UE.
Todavía se está debatiendo qué deberán hacer exactamente los desarrolladores de GPAI para cumplir con la Ley de IA, debido a que todavía no se han elaborado los Códigos de Práctica. A principios de esta semana, la Oficina de IA, un organismo de supervisión estratégica y creación de ecosistemas de Inteligencia Artificial, inició una consulta y un llamado a la participación en este proceso de elaboración de normas, y señaló que espera finalizar los Códigos en el mes de abril de 2025.
En su propia introducción a la Ley de IA a finales del mes pasado, OpenAI, escribió que esperaba trabajar “estrechamente con la Oficina de IA de la UE y otras autoridades relevantes a medida que se implemente la nueva ley en los próximos meses”.
Cabe aclarar que, eso incluye la elaboración de documentación técnica y otras orientaciones para los proveedores y los implementadores de sus modelos GPAI.
“Si su organización está tratando de determinar cómo cumplir con la Ley de IA, primero debe intentar clasificar los sistemas de IA que se encuentran dentro del alcance. Identifique qué GPAI y otros sistemas de IA utiliza, determine cómo se clasifican y considere qué obligaciones se derivan de sus casos de uso”, añadió OpenAI, brindando algunas pautas de cumplimiento propias para los desarrolladores de Inteligencia Artificial.
Así mismo comentó, “También debe determinar si es un proveedor o implementador con respecto a los sistemas de IA que se encuentran dentro del alcance. Estas cuestiones pueden ser complejas, por lo que debe consultar con un asesor legal si tiene preguntas”.
No se debe pasar por alto señalar que, los requisitos exactos para los sistemas de IA de alto riesgo bajo la Ley también son un trabajo en progreso, puesto que los organismos de normalización europeos se encuentran involucrados en el desarrollo de estas estipulaciones.
La Comisión ha dado a los organismos de normalización hasta el mes de abril de 2025 para llevar a cabo este trabajo, tras lo cual evaluará sus resultados. Las normas tendrán que ser aprobadas por la UE antes de que entren en vigor para los desarrolladores.
