Reconociendo la necesidad de un desarrollo y uso responsable de la IA, la Unión Europea adoptó oficialmente la Ley de Inteligencia Artificial (AI Act) el 1 de agosto de este año (2024). Esta legislación histórica establece un marco regulatorio integral para garantizar que los sistemas de IA sean seguros, transparentes y respeten los derechos fundamentales. La nueva ley se implementará en etapas entre 2025 y 2030, comenzando con la implementación de prácticas de IA prohibidas a partir de febrero de 2025.
En este artículo, exploraremos los aspectos clave de la Ley de IA, sus requisitos, quién debe cumplir y cómo CyberCoach puede ayudar a tu organización a navegar en este nuevo panorama regulatorio.
La Ley de IA es el esfuerzo ambicioso de la UE para regular las tecnologías de IA, buscando equilibrar la innovación con la protección de los derechos fundamentales y los intereses públicos. Aquí están los elementos clave de la ley:
La Ley de IA introduce un enfoque basado en el riesgo, clasificando los sistemas de IA en diferentes niveles según su impacto potencial.
Prácticas de IA Prohibidas: Se prohíben los sistemas de IA que presenten riesgos inaceptables, como IA que manipula el comportamiento humano en detrimento de los usuarios, sistemas utilizados para la puntuación social por parte de gobiernos y ciertos tipos de vigilancia biométrica.
Sistemas de IA de Alto Riesgo: Estos sistemas tienen un impacto significativo en la seguridad de las personas o los derechos fundamentales. Ejemplos incluyen IA utilizada en infraestructura crítica, educación, empleo, puntuación crediticia, fuerzas del orden y gestión de la migración. Estos sistemas deben cumplir con estrictas obligaciones antes de ser comercializados o puestos en servicio.
Sistemas de IA de Riesgo Limitado: Sistemas de IA con obligaciones específicas de transparencia, como chatbots y generadores de deepfake. Los usuarios deben ser informados de que están interactuando con un sistema de IA.
Sistemas de IA de Riesgo Mínimo: Todos los demás sistemas de IA que presentan poco o ningún riesgo se permiten sin requisitos legales adicionales.
Los sistemas de IA de alto riesgo deben cumplir con requisitos estrictos, incluyendo:
Sistema de Gestión de Riesgos: Monitorear y reducir los riesgos a lo largo de la vida útil del sistema de IA.
Gobernanza de Datos: Utilizar datos de alta calidad, sin errores ni sesgos.
Documentación Técnica: Mantener registros detallados que demuestren cómo se cumple con la Ley de IA, incluyendo detalles de diseño y propósito del sistema.
Registro de Operaciones: Mantener registros de las decisiones y operaciones del sistema de IA.
Transparencia y Provisión de Información: Proporcionar información a los usuarios sobre las capacidades, limitaciones y usos previstos del sistema de IA.
Supervisión Humana: Diseñar sistemas de IA que permitan la supervisión humana.
Precisión, Robustez y Ciberseguridad: Asegurar que los sistemas de IA sean precisos, confiables y seguros.
Además de los requisitos de transparencia para los sistemas de IA de alto riesgo, los proveedores de ciertos sistemas, incluidos los sistemas de IA de propósito general, están sujetos a obligaciones específicas de transparencia. Esto incluye la responsabilidad de asegurar que las personas sepan que están interactuando con un sistema de IA, a menos que sea evidente para una persona razonablemente informada.
También es responsabilidad de los proveedores garantizar que cualquier salida de audio, imagen, video o texto sintético sea claramente identificable como generada artificialmente.
Antes de que los sistemas de IA de alto riesgo puedan colocarse en el mercado de la UE, deben someterse a una evaluación de conformidad para verificar el cumplimiento de la Ley de IA. Los sistemas que pasen la evaluación recibirán un marcado CE, que indica conformidad con los requisitos de seguridad, salud y protección ambiental de la UE.
La ley establece autoridades nacionales de supervisión y un Consejo Europeo de Inteligencia Artificial para supervisar el cumplimiento, realizar vigilancia del mercado y hacer cumplir las regulaciones.
Las multas máximas son bastante altas:
Para startups y pymes, se aplicará el monto más bajo de los dos. Para las organizaciones más grandes, se aplicará el monto más alto.
La Oficina de IA de la UE ha lanzado el Pacto de IA, que invita a los proveedores y usuarios de sistemas de IA a implementar voluntariamente algunas de las disposiciones clave de la Ley de IA antes de que entre en vigor.
2 de febrero de 2025 |
Prohibición de prácticas de IA que representen riesgos inaceptables. |
2 de agosto de 2025 |
|
2 de febrero de 2026 |
La Comisión implementará legislación sobre monitoreo posterior a la comercialización. |
2 de agosto de 2026 |
|
2 de agosto de 2027 |
|
Para finales de 2030 |
Entrada en vigor de obligaciones para ciertos sistemas de IA que formen parte de sistemas de tecnología de información a gran escala establecidos por la legislación de la UE en materia de libertad, seguridad y justicia, como el Sistema de Información Schengen. |
El Acta de IA tiene un alcance amplio y se aplica a:
Proveedores: Organizaciones que desarrollan o colocan sistemas de IA en el mercado de la UE o los ponen en servicio, independientemente de si están establecidas dentro de la UE o en un país tercero.
Usuarios: Personas o entidades que usan sistemas de IA dentro de la UE, especialmente sistemas de IA de alto riesgo.
Importadores y Distribuidores: Aquellos que importan o distribuyen sistemas de IA dentro de la UE deben asegurar que los sistemas cumplan con los requisitos del Acta de IA.
Representantes autorizados: Los proveedores no pertenecientes a la UE deben designar un representante con sede en la UE responsable del cumplimiento.
Cumplir con el Acta de IA es tanto una obligación legal como una oportunidad para generar confianza con clientes y partes interesadas. Las consideraciones clave incluyen:
Evaluar los sistemas de IA: Identificar cuáles de tus sistemas de IA están clasificados como de alto riesgo y comprender las obligaciones específicas que se aplican.
Implementar medidas de cumplimiento: Establecer procesos para la gestión de riesgos, gobernanza de datos, documentación técnica, transparencia y supervisión humana.
Actualizar las prácticas operativas: Adaptar tus prácticas de desarrollo, implementación y monitoreo para cumplir con los requisitos del Acta de IA.
Capacitación y concientización: Asegurarte de que tu equipo entienda las obligaciones regulatorias y cómo implementarlas de manera efectiva.
En CyberCoach, nos especializamos en mantener a tus empleados informados sobre lo que realmente importa.
Elige entre una completa biblioteca de contenidos de aprendizaje basados en roles para mantener a tus empleados capacitados en el uso seguro y conforme de las tecnologías de IA.
La mayoría de las plataformas de capacitación en seguridad hoy en día ponen a los empleados en riesgo alimentando sus datos de comportamiento en sistemas de IA y perfilándolos. Capacitar a tus empleados para usar la IA de manera segura y responsable comienza procesando sus datos personales de manera responsable.
Puedes contar con que el contenido de CyberCoach se actualice mensualmente para cubrir las últimas amenazas y desarrollos regulatorios relevantes.
No es necesario gestionar múltiples plataformas. Las evaluaciones de riesgo en el chat de CyberCoach también cubren riesgos de IA/ML y están disponibles dentro de Teams o Slack (o en el navegador).
¿Listo para capacitar a tu equipo para usar la IA de manera responsable?
Descargo de Responsabilidad: Este artículo es solo para fines informativos y no constituye asesoría legal. Para obtener orientación específica sobre el cumplimiento de la Ley de Inteligencia Artificial, consulta a profesionales legales o publicaciones oficiales de la UE.