El pasado 12 de julio se hacía público el Reglamento (UE) 2024/1689 en materia de Inteligencia Artificial, cuyo objetivo es mejorar el funcionamiento del mercado interior mediante el establecimiento de un marco jurídico uniforme, en particular para el desarrollo, la introducción en el mercado, la puesta en servicio y la utilización de sistemas de IA, a fin de promover la adopción de una IA centrada en el ser humano y fiable, garantizando, al mismo tiempo, un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales consagrados en la Carta de los Derechos Fundamentales de la Unión Europea.
Dicho reglamento está formado por un total de 13 capítulos y 113 artículos, además de trece anexos que responden a criterios de diferentes artículos.
Entrada en vigor y consideraciones
El presente Reglamento entró en vigor el 1 de agosto de 2024. No obstante, será aplicable a partir del 2 de agosto de 2026, teniendo en cuenta algunas consideraciones que aplicarán a diferentes capítulos y/o artículos antes de dicha fecha.
- Los capítulos I y II (Disposiciones Generales y Prácticas de IA prohibidas) serán aplicables a partir del 2 de febrero de 2025.
- El capítulo III (Sistemas de IA de alto riesgo), sección 4 (Autoridades notificantes y organismos notificados), el capítulo V (Modelos de IA de uso general), el capítulo VII (Gobernanza) y el capítulo XII (Sanciones) y el artículo 78 (Confidencialidad) serán aplicables a partir del 2 de agosto de 2025, a excepción del artículo 101 (Multas a proveedores de modelos de IA de uso general).
- El artículo 6 (Reglas de clasificación de los sistemas de IA de alto riesgo), apartado 1, y las obligaciones correspondientes del presente Reglamento serán aplicables a partir del 2 de agosto de 2027.
El concepto IA
Tal y como vamos conociendo, aunque el término, per se, no es nuevo, la IA es un conjunto de tecnologías en rápida evolución que contribuye a generar beneficios, muy diversos, en todos los sectores económicos, medioambientales y actividades sociales.
El uso de la IA puede proporcionar ventajas competitivas esenciales a las empresas y facilitar la obtención de resultados positivos desde el punto de vista social y medioambiental en múltiples ámbitos (desde la asistencia sanitaria, pasando la seguridad alimentaria, la educación y la formación, los medios de comunicación, el deporte, la gestión de infraestructuras, la energía, el transporte y la logística, los servicios públicos, la seguridad, la justicia, la eficiencia de los recursos o la energía, entre otros), a fin de mejorar la predicción, optimizar las operaciones y la asignación de los recursos, y personalizar las soluciones digitales que se encuentran a disposición de la población y las organizaciones.
Derechos que hay que proteger y retos a los que se enfrentan las organizaciones
Uno de los puntos más relevantes del reglamento, hace alusión a los derechos que se quieren proteger, como el derecho a la dignidad humana; el respeto de la vida privada y familiar; la protección de datos de carácter personal; o todo lo que va implícito en términos de diversidad, no discriminación y equidad (“promover la igualdad de acceso, la igualdad de género y la diversidad cultural, al tiempo que se evitan los efectos discriminatorios y los sesgos injustos prohibidos por el Derecho nacional o de la Unión”).
En términos generales, el reglamento presenta varios retos significativos para las organizaciones que desarrollan, implementan y utilizan sistemas de inteligencia artificial. Por ello, las organizaciones deberán considerar aspectos como:
- Costes. Inversión en Tecnología, Consultoría y Asesoramiento Legal, Formación y capacitación a los profesionales, tanto en aspectos legales como técnicos.
- Evaluación y Certificación. Los sistemas de alto riesgo de IA deberán someterse a una evaluación de conformidad, algo que puede llegar a ser un proceso complejo y prolongado; el tiempo y los recursos podría llegar a ralentizar el lanzamiento de productos al mercado y, además, las organizaciones deberán asegurarse de que sus sistemas permanezcan conformes a lo largo del tiempo, lo cual requiere revisiones y actualizaciones periódicas.
- Transparencia y Comunicación. En términos de comunicación a los usuarios cuando están interactuando con sistemas de IA, explicando las capacidades y limitaciones de dichos sistemas; también la forma de explicar los modelos, algo que no es sencillo para todas las personas y que puede llegar a ser, técnicamente, desafiante para modelos complejos.
- Protección de Datos y Privacidad. La Ley de IA deberás alinearse con el Reglamento General de Protección de Datos (GDPR), desde la gestión de datos, asegurando que el manejo de datos personales utilizado por los sistemas de IA cumpla con el GDPR, como el consentimiento y derechos del usuario, con el fin de obtener el consentimiento adecuado y respetar los derechos de los usuarios en cuanto a sus datos.
- Innovación y Competitividad. En este sentido, sin ninguna duda, nos encontraremos con barreras a la innovación, por una cuestión de la cantidad de requisitos regulatorios existentes; además, la competencia global, si comparamos la aceleración regulatoria en Europa, comparada con otros continentes, las organizaciones europeas podrían verse en desventaja competitiva frente a empresas de regiones con regulaciones menos estrictas.
- Seguimiento y Adaptación. Este punto será uno de los desafíos importante a los que nos enfrentaremos, teniendo en cuenta que la legislación puede evolucionar, y las organizaciones deben mantenerse actualizadas y adaptarse a cambios regulatorios futuros. Asimismo, será necesario prestar atención a las prácticas y estándares del mercado, con el fin de asegurar el cumplimiento continuo y mantener la competitividad.
- Ética y Responsabilidad Social. Finalmente, aunque no menos importante, la ética profesional y la responsabilidad social serán fundamentales para garantizar que los sistemas de IA no incurran en discriminación ni generen sesgos. Es común pensar que los sesgos son inherentes a los humanos, ya sean conscientes o inconscientes, pero es crucial que la IA se mantenga libre de estos prejuicios. Además, la transparencia en el uso de datos es esencial, desde la recolección hasta su aplicación, asegurando así la equidad en las decisiones automatizadas.
Un Reglamento Complejo con Puntos Relevantes
Aunque no es un reglamento fácil de «asimilar» debido a su extensión y la multitud de conceptos involucrados (hasta 68 definiciones diferentes), uno de los aspectos más importantes es la clasificación de los sistemas de IA según el riesgo que pueden representar y su uso. La categorización de los riesgos es la siguiente:
- Riesgo Inaceptable. Esta categoría incluye sistemas de IA que están prohibidos debido a los riesgos severos que representan para la seguridad, los derechos fundamentales y la privacidad. Ejemplos incluyen técnicas de manipulación subliminal, explotación de vulnerabilidades, o sistemas de evaluación de comportamiento o personalidad que determinan el acceso a servicios y oportunidades.
- Riesgo Alto. Aquí se encuentran los sistemas que tienen un impacto significativo en la vida de las personas y, por tanto, están sujetos a estrictos requisitos de conformidad. Estos requisitos abarcan la evaluación de riesgos, documentación técnica, transparencia, supervisión humana y robustez. Algunos ejemplos incluyen modelos usados en infraestructuras críticas; sistemas que influyen en decisiones educativas; procesos de contratación, promoción y despido de empleados; modelos que determinan el acceso a servicios públicos y beneficios sociales; y aquellos involucrados en decisiones legales y jurídicas.
- Riesgo Limitado. Esta categoría abarca sistemas sujetos a requisitos específicos de transparencia, aunque no tan rigurosos como los de alto riesgo. Estos sistemas deben informar a los usuarios que están interactuando con una IA y proporcionar cierta información sobre su funcionamiento. Ejemplos conocidos incluyen Chatbots y Asistentes Virtuales; filtros de contenido en plataformas y servicios; y sistemas recomendadores de contenido, entre otros.
Por último, aunque no se menciona explícitamente como una categoría separada, también se reconoce una categoría implícita de riesgo mínimo. Esta incluye sistemas de IA con riesgos insignificantes o nulos, que por lo tanto están sujetos a pocas o ninguna obligación regulatoria. Estos sistemas generalmente no tienen un impacto significativo en la vida de las personas y su uso es ampliamente aceptado sin necesidad de regulaciones estrictas.
Porcentaje de uso de tecnologías IA
Según datos del Ministerio de Economía, Comercio y Empresa, y el Ministerio de Asuntos Económicos y Transformación Digital, a través de su Observatorio Nacional de Tecnología y Sociedad, el porcentaje de empresas españolas que utilizan tecnologías de IA, se aproximan al 12%, aunque si consultamos en fuentes de Eurostat, las cifras indican algunos puntos porcentuales menos (9,2% en 2023, frente al 7,7% de 2021, en España), situándonos por encima de la media europea (7% en 2023).
Es evidente que este uso aumentará en un futuro cercano, aunque también es cierto que dependerá de numerosos factores, tanto directos como indirectos, con un enfoque integral, pero sin perder el foco y avanzando de manera gradual; la madurez de las empresas será fundamental para poder comenzar a implementarlo.
En resumen, las organizaciones se enfrentan a una serie compleja de desafíos técnicos, legales, financieros, organizativos y éticos al tratar de cumplir con la Ley de IA de la UE. Encontrar el equilibrio entre la conformidad, el rigor y la innovación será esencial para lograr el éxito en este nuevo marco regulatorio.