Cualquier empresa que venda productos o servicios en la Unión Europea (UE) que utilicen inteligencia artificial (IA) debe cumplir con la Ley de IA de la UE, independientemente de dónde se encuentre.
La primera fase de la ley se convertirá en ley el próximo mes. Este es el artículo 5, que cubre las prácticas prohibidas de IA y los usos inaceptables de la IA. El texto del Artículo 5 se finalizó el 12 de julio de 2024 y entrará en vigor seis meses después, lo que significa que a partir de febrero, las organizaciones que creen sistemas de IA o que utilicen IA como parte de sus productos y servicios de la UE deberán demostrar que sus sistemas cumplen con el Artículo 5.
Listo para el artículo 5
Entre los usos de la IA que están prohibidos en virtud del artículo 5 se encuentran los sistemas de IA que utilizan técnicas subliminales más allá de la conciencia de una persona o técnicas deliberadamente manipuladoras o engañosas. El artículo 5 también prohíbe el uso de sistemas de IA que exploten cualquiera de las vulnerabilidades de una persona o de un grupo específico de personas debido a su edad, discapacidad o una situación social o económica específica. Los sistemas que analizan comportamientos sociales y luego utilizan esta información de manera perjudicial también están prohibidos en virtud del artículo 5 si su uso va más allá de la intención original de la recopilación de datos.
Otras áreas cubiertas por el artículo 5 incluyen el uso de sistemas de inteligencia artificial en la aplicación de la ley y la biometría. Los observadores de la industria describen la ley como un enfoque “basado en el riesgo” para regular la inteligencia artificial.
Si bien el artículo 5 entrará en vigor a partir de febrero, la siguiente fase de la implementación de la Ley de IA es la aplicación de códigos de prácticas para sistemas de IA de uso general. Estos son sistemas que pueden realizar tareas para las que no han sido especialmente capacitados. Dichos sistemas cubren la IA básica, como los modelos de lenguajes grandes (LLM). Esta próxima fase de la Ley de IA de la UE entrará en vigor en mayo de 2025.
Las empresas que venden o utilizan IA en la UE deben cumplir con la Ley de IA, independientemente de dónde tengan su sede. Según Deloitte, el alcance de la ley presenta a las empresas multinacionales tres opciones potenciales: pueden desarrollar sistemas de IA específicamente para el mercado de la UE, adoptar la Ley de IA como estándar global o restringir sus ofertas de alto riesgo dentro de la UE.
El panorama regulatorio
Bart Willemsen, vicepresidente analista de Gartner, dice que está abordando cientos de conversaciones sobre el tema de la Ley de IA de la UE y lo que significa para los líderes de TI y los directores de seguridad de la información. Antes de unirse a la firma de analistas, Willemsen ocupó puestos de director de privacidad y seguridad en varias organizaciones. Su experiencia y la conclusión de la conversación con los clientes de Gartner es que la Ley de IA de la UE se basa en el Reglamento General de Protección de Datos (GDPR).
Según el RGPD, los datos deben recopilarse para un propósito específico y legítimo y deben procesarse de manera legal, justa y transparente. Específicamente, la recopilación de datos debe limitarse a lo estrictamente necesario y debe mantenerse la exactitud de los datos. Recientemente, con la introducción del Estándar y Criterio de Certificación GDPR BC 5701:2024, las organizaciones ahora pueden demostrar que cumplen con un nivel de competencia en el manejo de información de identificación personal (PII).
Hay muchas lecciones que se pueden aprender del RGPD que deberían aplicarse a la Ley de IA de la UE. Aunque el texto del RGPD se finalizó en 2016, no entró en vigor hasta 2018.
“Los legisladores han aprendido un poco de la experiencia del RGPD”, afirma Willemsen. “Dos años después del período de gracia en mayo de 2018, todo el mundo empezó a llamarme para preguntarme por dónde empezar”. En otras palabras, las organizaciones pasaron dos años durante el período de gracia sin hacer nada con respecto al RGPD.
Pero no se trata sólo del RGPD. “Una de las cosas que tengo que explicar a las organizaciones es que consideren la Ley de IA en el contexto del marco legislativo”, dice Willemsen: “Está flanqueada por cosas como la Ley de Servicios Digitales, la Ley de Mercados Digitales, la Ley de Datos Ley de Gobernanza, e incluso la Directiva de Informes de Sostenibilidad Corporativa (CSRD)”.
Se prevé que el crecimiento de la IA, junto con el mayor uso de la nube y los crecientes volúmenes de datos en las aplicaciones tradicionales, generarán emisiones de carbono de TI significativamente mayores en todas las industrias.
Por ejemplo, si bien muchas organizaciones confían en que pueden informar sobre las emisiones de gases de efecto invernadero para cumplir con la CSDR de la UE, la consultora de gestión Bain & Company ha pronosticado que para 2030, el crecimiento de la IA, junto con un mayor uso de la nube y volúmenes crecientes de datos en Las aplicaciones tradicionales generarán emisiones de carbono de TI significativamente mayores en todas las industrias.
Las organizaciones que operan en la UE deberán tener en cuenta la CSDR. Dada la naturaleza ávida de poder del aprendizaje automático y la inferencia de la IA, la medida en que se utilice la IA bien puede verse influenciada por dichas regulaciones en el futuro.
Si bien se basa en las regulaciones existentes, como señalan Mélanie Gornet y Winston Maxwell en el artículo de Hal Open Science El enfoque europeo para regular la IA a través de estándares técnicosla Ley de IA sigue un camino diferente. Su observación es que la Ley de IA de la UE se inspira en las normas europeas de seguridad de los productos.
Como explican Gornet y Maxwell: “Los sistemas de IA requerirán una evaluación de la conformidad que se basará en normas armonizadas, es decir, especificaciones técnicas elaboradas por organizaciones europeas de normalización (ESO)”.
Los autores señalan que estos poseen diversas propiedades jurídicas, como la de generar una presunción de conformidad con la legislación. Esta evaluación de conformidad da como resultado la marca de Conformidad Europea (CE) del producto de IA para demostrar el cumplimiento de las regulaciones de la UE. A diferencia de otras normas de seguridad de productos, Gornet y Maxwell señalan que la Ley de IA no sólo pretende proteger contra riesgos para la seguridad, sino también contra efectos adversos sobre los derechos fundamentales.
Estándares y mejores prácticas
“Lo que hemos visto en la última década es relevante ahora cuando nos preparamos para la Ley de IA”, dice Willemsen, cuando se le pregunta qué medidas deberían tomar las organizaciones para garantizar que siguen cumpliendo con la ley. Insta a las organizaciones que se embarcan en una estrategia de IA a no subestimar la relevancia de estos requisitos legales.
En un blog que analiza la importancia de la Ley de IA de la UE, Martin Gill, vicepresidente y director de investigación de Forrester, describe la legislación como “un estándar mínimo, no una mejor práctica”.
Dice: “Generar confianza con los consumidores y usuarios será clave para el desarrollo de experiencias de IA. Para las empresas que operan dentro de la UE, e incluso fuera de ella, seguir las recomendaciones de gobernanza y categorización de riesgos que establece la Ley de IA de la UE es un enfoque sólido y orientado al riesgo que, como mínimo, ayudará a crear empresas seguras, confiables y centradas en el ser humano. Experiencias de IA que no causan daño, evitan pasos en falso costosos o vergonzosos e, idealmente, impulsan la eficiencia y la diferenciación”.
Asumir la responsabilidad de la IA
Willemsen no cree que las organizaciones necesiten crear un puesto de director de IA. “No es una disciplina diferente como la seguridad o la privacidad. La mayoría de las veces, la IA se considera un nuevo tipo de tecnología”, afirma.
Sin embargo, se requieren medidas de privacidad y seguridad al considerar cómo implementar la tecnología de IA. Es por eso que Willemsen considera que el RGPD es una de las regulaciones que las organizaciones deben utilizar para enmarcar su estrategia de IA.
Insta a las organizaciones a implementar medidas estratégicas, tácticas y operativas al implementar sistemas de IA. Esto requiere un equipo de IA multidisciplinario y de múltiples partes interesadas, que según Willemsen debe crecer a medida que crecen los proyectos, generando conocimiento y experiencia. “En este equipo, verá las partes interesadas en seguridad, privacidad, asuntos legales, cumplimiento y negocios”, agrega.
Si bien los líderes empresariales pueden sentir que su propia estrategia de IA cumple con la Ley de IA de la UE, no ocurre lo mismo con los proveedores y los sistemas empresariales habilitados para IA. En el artículo de Gartner, Preparándose para la Ley de IA de la UE, fase 3la firma de analistas recomienda que los líderes empresariales y de TI incluyan la Ley de IA en cualquier evaluación de riesgos de terceros. Esto, dice Gartner, debería incluir revisiones contractuales y un impulso para modificar los contratos existentes con un nuevo lenguaje para reforzar los requisitos regulatorios emergentes.
Como señala Gartner, existe una buena posibilidad de que el mayor riesgo de IA de una organización no tenga nada que ver con la IA que ella misma desarrolla. En cambio, aún puede correr el riesgo de no cumplir con la Ley de IA de la UE si sus proveedores de TI y proveedores utilizan los datos de la organización para entrenar sus modelos.
“La mayoría de las organizaciones dicen que sus contratos con proveedores no les permiten utilizar sus datos, pero la mayoría de los contratos con proveedores tienen una cláusula de mejora del producto”, advierte Gartner. Una cláusula de este tipo podría interpretarse en el sentido de que otorga al proveedor el derecho de utilizar los datos de la organización para ayudarla a mejorar sus propios productos.
Lo que está claro es que, independientemente de si una organización tiene oficinas en la UE, si proporciona productos y servicios a ciudadanos de la UE, es esencial una evaluación del impacto de la Ley de IA. El incumplimiento de los requisitos de la ley podría costar a las empresas hasta 15 millones de euros o el 3% de la facturación global. La violación del artículo 5, que cubre los usos prohibidos de la IA, puede dar lugar a multas de hasta 35 millones de euros o el 7% de la facturación mundial.
