Después de superar varias fases y trámites a lo largo de los cinco años que han pasado desde que fue propuesta, la ya conocida como Ley de IA se ha aprobado hoy en el Parlamento Europeo por 523 votos a favor, 46 en contra y 49 abstenciones. De esta manera, después de que los representantes de los 27 países de la UE hayan dado su visto bueno al texto y su normativa, la Ley de IA entrará en su siguiente fase, de cara a su futura entrada en vigor.
La normativa permite o prohíbe el uso de la inteligencia artificial en función del riesgo que suponga para los ciudadanos y, con ella, la UE pretende dar ejemplo al resto del mundo e impulsar a la industria europea frente a Estados Unidos y China.
A partir de ahora, esta ley, que muchos esperan que se convierta en pionera para que gobiernos de otras regiones tengan una base para establecer una normativa que regule la Inteligencia Artificial, solo está a falta de solventar unos cuantos flecos para que se convierta en una ley como tal. Esto sucederá probablemente en los próximos meses de mayo o junio, después de que todos los países miembros de la UE le hayan dado su visto bueno.
Entonces comenzarán las medidas necesarias para su entrada en vigor, que requiere que los distintos países de la UE bloqueen los sistemas de IA prohibidos en un plazo máximo de seis meses después de que la ley esté vigente. Las normas para los sistemas de IA de propósito general, como los chatbots, empezarán a aplicarse un año después de que la ley entre en vigor.
Para mediados del año 2026, el conjunto completo de normas y regulaciones sobre IA de la ley, incluidos los requisitos que tienen que cumplir los sistemas considerados como de alto riesgo, estará en vigor. Por lo que respecta a la aplicación de la Ley de IA, cada país miembro de la UE creará su propio organismo encargado de vigilar que se cumpla. Los ciudadanos de cada país podrán formular una queja o poner una denuncia si creen que han sido víctimas de una violación de sus normas.
Mientras tanto, en Bruselas se creará una Oficina de la IA, que tendrá como misión vigilar el cumplimiento de la Ley de IA para sistemas de Inteligencia Artificial de propósito general en todo el territorio de la Unión Europea. En caso de que se detecten violaciones por parte de esta oficina, o de las nacionales, se podría multar a los infractores con sanciones que pueden llegar a los 35 millones de euros, o al 7% de los ingresos globales de la empresa en cuestión, tal como establece la Ley de IA recién aprobada.
Ley de IA: normas para sistemas de riesgo bajo y elevado
La Ley de IA, en principio, tenía como fin servir como una ley para proteger la seguridad de los consumidores, a partir de un enfoque basado en los riesgos que se podían correr con el uso de los productos y servicios impulsados por IA. Cuando más riesgos ofreciese un sistema o una aplicación de IA, mayores serían los exámenes y requisitos a cumplir.
Así, los sistemas de riesgo bajo, como los de recomendación de contenidos o los filtros antispam, solo tendrán que cumplir unas normas muy básicas, como informar de que utilizan IA a sus usuarios. La UE espera que la mayoría de sistemas de Inteligencia Artificial pertenezcan a esta categorías.
Mientras tanto, los sistemas de alto riesgo con IA, como los utilizados en diversos dispositivos médicos, o en infraestructura crítica como las redes eléctricas, tendrán que cumplir normativas bastante más exhaustivas. Entre las medidas que tendrán que tomar está el uso de datos de alta calidad o la obligatoriedad de informar con claridad sobre la incorporación de IA a sus usuarios.
Además, la Ley de IA prohibe ciertos casos de uso de la IA, ya que están considerados como una fuente de riesgo inaceptable. Entre ellos están los sistemas de puntuación social que gobiernan el comportamiento de las personas, y algunos tipos de políticas predictivas y sistemas de reconocimiento de emociones en centros de enseñanza y de trabajo.
También está prohibido el uso de escaneado facial en público por parte de la policía mediante sistemas de identificación biométrica en remoto. Hay, no obstante, una excepción a esto: su uso en delitos muy graves, como los secuestros o el terrorismo.
Los primeros borradores de la ley se centraban en sistemas de IA que realizan tareas muy limitadas, como resúmenes de textos. Pero la llegada de los modelos de IA generativa hizo que los legisladores tuviesen que añadir provisiones específicas sobre ellos a la ley.
Estas harán que los desarrolladores de modelos de IA de propósito general, tanto si son startups europeas como multinacionales, tengan que facilitar a las autoridades encargadas del cumplimiento y supervisión de la ley un sumario detallado del texto, imágenes, vídeo o de otros datos obtenidos de Internet que se haya usado, o se vaya a utilizar, en el entrenamiento de los sistemas. Además, claro está, de cumplir las leyes de derechos de autor de la UE.
Además, las imágenes, sonidos o vídeos de tipo deepfake que se hayan generado mediante IA tendrán que estar etiquetadas como manipuladas de manera artificial. Asimismo, habrá una vigilancia y examen adicional a los modelos de IA de mayor tamaño y potencia que ofrezcan riesgos sistémicos y de gran envergadura. Entre ellos, Gemini y GPT4.
A la UE le preocupan que estos sistemas puedan ocasionar accidentes graves, o utilizarse para impulsar el alcance de los ciberataques, entre otros malos usos. Otra de las preocupaciones de la UE con respecto a ellos es que la IA generativa pueda extender sesgos dañinos a través de varias aplicaciones.
Por todo esto, las empresas que ofrezcan estos sistemas tendrán que valorar y mitigar los daños que puedan causar, informar de cualquier incidente grave que sufran, como fallos que causen daños graves a personas y propiedades, tomar medidas sobre ciberseguridad para protegerlos y comunicar cuánta energía gastan sus modelos. Porque el consumo de estos sistemas también se ha convertido en motivo de preocupación en los últimos meses, debido a su gran consumo de recursos de computación para funcionar.