La inminente adopción del AI Act de la UE marca el inicio de una era transformadora en la gobernanza de la IA. Pone el énfasis en un enfoque basado en el riesgo para regular el despliegue y el uso de los sistemas de IA en toda la Unión Europea, pero tendrá implicaciones a nivel mundial.
Esta ley es importante porque está llamada a impactar en cómo las empresas se mueven en el mundo de la inteligencia artificial, y cumplirla no será un paseo. Igual que un equipo estudia el reglamento antes de un partido, las empresas deben familiarizarse con el AI Act para asegurarse de jugar dentro de las reglas y evitar sanciones cuando termine el periodo de gracia (previsto para finales de 2025 o principios de 2026).
Empecemos por el principio. ¿Qué es el AI Act de la UE, cuál es su alcance y cómo pueden prepararse las organizaciones?
De forma similar al Reglamento General de Protección de Datos (GDPR), que trajo a la UE leyes integrales de protección de datos, el AI Act busca establecer directrices para las tecnologías de IA y abordar los riesgos potenciales asociados a la inteligencia artificial. En particular, esta regulación adopta un enfoque basado en el riesgo, categorizando los sistemas de IA según el nivel de riesgo que suponen.
Es importante señalar que el AI Act no se trata de proteger al mundo de teorías conspirativas imaginarias o escenarios rebuscados. Más bien se centra en evaluaciones de riesgo prácticas y en regulaciones que afrontan amenazas al bienestar y los derechos fundamentales de las personas.
El recorrido legislativo de esta regulación histórica comenzó con su propuesta en abril de 2021. Desde entonces ha pasado por debates, negociaciones y matizaciones rigurosas dentro de los órganos legislativos de la UE. El Parlamento Europeo le dio luz verde en junio de 2023 y se prevé que sea finalizada a principios de 2024.
Una vez adoptado, el AI Act iniciará un periodo de transición de al menos 18 meses antes de entrar plenamente en vigor. Durante este periodo de gracia, empresas y organizaciones se moverán para alinear sus sistemas y prácticas de IA con los requisitos descritos en el AI Act.
La ley no solo afectará a las entidades dentro de la UE, sino también a los proveedores globales que vendan o pongan sus sistemas a disposición de los usuarios de la UE. De nuevo, como el GDPR, es una regulación creada por y para la UE, pero impactará a organizaciones de todo el mundo.
Aunque pueda sonar a que la UE se prepara para una batalla contra robots que se apoderan del mundo, el verdadero propósito del AI Act es más prosaico: salvaguardar la salud, la seguridad y los derechos fundamentales de las personas que interactúan con sistemas de IA. Pretende mantener un entorno equilibrado y justo para el despliegue y la utilización de las tecnologías de IA.
Imagínelo como un libro de principios rectores que asegura que los sistemas de IA jueguen con las reglas, se ajusten a las directrices éticas y prioricen el bienestar de los usuarios y la sociedad. Funciona como una medida proactiva para evitar que la IA se convierta en un escenario al estilo del Lejano Oeste, donde todo vale, y, en su lugar, fomenta un ecosistema en el que la IA opera de forma responsable, ética y en el mejor interés de todas las partes implicadas.
Entonces, ¿a quién afecta exactamente el AI Act?
Cualquier sistema de IA que se venda u ofrezca en el mercado de la UE, se ponga en servicio o se utilice dentro de las fronteras de la UE entra en el ámbito del AI Act. Ya se trate de un desarrollador local que vende su software de IA innovador o de un gigante tecnológico mundial que pone sus servicios de IA a disposición de los usuarios europeos, esta ley garantiza que todos los esfuerzos en IA jueguen con los mismos estándares éticos y de seguridad.
No se trata solo de dónde tienen su sede los desarrolladores de IA o dónde se utilizan las herramientas de IA: va más allá de las fronteras geográficas. Tiene en cuenta los escenarios en los que la salida producida por los sistemas de IA se utiliza dentro de la UE. Esto significa que, aunque un sistema de IA opere o esté alojado fuera de la UE, si sus resultados se usan dentro de la Unión, se aplicará el AI Act.
Hemos hablado de qué hace y a quién afecta, ahora hablemos del «cómo». El AI Act introduce un mecanismo sistemático de categorización de riesgos, dividiendo los sistemas de IA en cuatro categorías diferenciadas, cada una con implicaciones específicas y un foco regulatorio propio:
1. Riesgo inaceptable: los sistemas de IA que entran en esta categoría están directamente prohibidos. Estos sistemas presentan un potencial significativo de causar daño, como manipular el comportamiento mediante mensajes subliminales o explotar vulnerabilidades basadas en la edad, la discapacidad o el estatus socioeconómico. Además, los sistemas de IA implicados en la puntuación social (evaluar a las personas según su comportamiento social) están estrictamente prohibidos.
2. Alto riesgo: los sistemas clasificados como de alto riesgo están sujetos a las regulaciones más estrictas. Esta categoría incluye sistemas de IA utilizados en aplicaciones críticas para la seguridad (como dispositivos médicos o identificación biométrica) y sectores sensibles concretos como las fuerzas del orden, la educación y el acceso a servicios esenciales. El foco regulatorio insiste en garantizar la conformidad con estándares predefinidos, la transparencia, la supervisión humana y las prácticas de documentación para mitigar los riesgos potenciales.
3. Riesgo limitado: los sistemas de IA con un potencial de manipulación limitado entran en esta categoría. Aunque no están tan estrictamente regulados como los de alto riesgo, se les exige cumplir con obligaciones de transparencia. Ejemplos de estos sistemas son los sistemas de IA en los que la interacción con los usuarios debe ser revelada (como los chatbots), garantizando claridad y comprensión sobre la implicación de la IA en el proceso.
4. Riesgo mínimo o nulo: esta categoría engloba a los sistemas de IA que suponen un riesgo mínimo o nulo para las personas (por ejemplo, algunos videojuegos y filtros de spam). Estos sistemas requieren menos regulación que los de las otras categorías. El AI Act no exige una supervisión exhaustiva ni medidas de cumplimiento estrictas para ellos por su impacto insignificante en la salud, la seguridad o los derechos fundamentales.
Comprender la categorización es fundamental para que las organizaciones evalúen sus sistemas de IA con precisión. Garantiza el alineamiento con las disposiciones de la ley y permite a las empresas adoptar las medidas y estrategias de cumplimiento necesarias y específicas para la categoría de riesgo de sus sistemas.
Los sistemas de IA de alto riesgo son los que más obligaciones afrontan bajo el AI Act, y deben cumplir con un conjunto integral de estándares para garantizar la seguridad, la precisión y la protección de los derechos fundamentales o de los ciudadanos de la UE. Los requisitos específicos para estos sistemas incluyen:
Los desarrolladores de sistemas de IA de alto riesgo deben establecer protocolos sólidos de gestión de riesgos. Esto implica una evaluación sistemática de los riesgos potenciales asociados al despliegue del sistema de IA, la implementación de prácticas de gobernanza de datos que aseguren la calidad de los datos y el mantenimiento de documentación detallada que describa el desarrollo, la función y la operación del sistema de IA.
Los sistemas de IA de alto riesgo deben proporcionar información clara, especialmente cuando interactúan con usuarios, permitiendo que estos comprendan y reconozcan que están interactuando con un sistema de IA. Además, es necesaria la supervisión humana para monitorizar e intervenir cuando se requiera. Los estándares de precisión también juegan un papel importante, asegurando la fiabilidad y exactitud de las salidas del sistema de IA.
También se exige que los sistemas de IA de la categoría de alto riesgo estén registrados en una base de datos pública a nivel de la UE, lo que permite una mejor supervisión, trazabilidad y rendición de cuentas dentro del marco regulatorio europeo.
Los desarrolladores de sistemas de IA de alto riesgo deben implementar medidas de ciberseguridad para hacer frente a vulnerabilidades específicas. Esto incluye defenderse de los intentos de «data poisoning» que corrompen los datos de entrenamiento, protegerse de los «adversarial examples» destinados a engañar a la IA y abordar los fallos inherentes al modelo.
A medida que el AI Act se acerca a su adopción, las organizaciones deben evaluar de forma proactiva sus sistemas de IA para garantizar el cumplimiento de los requisitos de la ley.
Las disposiciones del AI Act pueden suponer retos para las empresas, en particular para los sectores que dependen mucho de las tecnologías de IA. El cumplimiento exige ajustes significativos en la gobernanza de la IA, las prácticas de gestión de riesgos y los procedimientos de documentación existentes.
Mientras esperamos a que se negocie y publique la versión final del AI Act, esto es lo que las organizaciones pueden esperar abordar en el futuro próximo:
Autoevaluación: las organizaciones deben realizar una evaluación a fondo de sus sistemas de IA frente a las categorías de riesgo del AI Act. Comprender en qué categoría de riesgo cae cada sistema es clave. Esta autoevaluación determinará el nivel de cumplimiento necesario y las correspondientes obligaciones que deben cumplirse bajo el AI Act.
Comprender y categorizar los sistemas de IA: categorizar correctamente los sistemas de IA garantiza la alineación con los requisitos y obligaciones específicos detallados en el AI Act.
Preparación durante el periodo de gracia: con el periodo de gracia de 18 meses como fase de transición, las organizaciones deben aprovechar este tiempo de forma efectiva. Priorice las auditorías internas y las evaluaciones de los sistemas de IA para identificar posibles brechas entre las prácticas existentes y los requisitos del AI Act. Desarrolle e inicie estrategias para cerrar esas brechas y asegurar una transición fluida hacia el cumplimiento total.
Estructuras de supervisión y colaboración: establezca dentro de su organización estructuras dedicadas a supervisar la gobernanza de la IA, la gestión de riesgos y el cumplimiento.
Notificación de incidentes: el énfasis del AI Act en la notificación de incidentes y el seguimiento postcomercialización exige estrategias para hacer un seguimiento y mejorar la seguridad de la IA. Las organizaciones deben prepararse para gestionar y notificar incidentes de forma efectiva, mejorando sus prácticas de diseño, desarrollo e implementación de IA a partir de los aprendizajes obtenidos de esos incidentes.
Safetica está especializada en medidas de ciberseguridad y aporta apoyo esencial para navegar las complejidades del cumplimiento de la IA. Nuestras soluciones de Data Loss Prevention (DLP) ofrecen enfoques a medida y dotan a las empresas de las herramientas necesarias para tomar decisiones informadas sobre la integración de tecnologías de IA de vanguardia.
Las capacidades de bloqueo proactivo y de evaluación de riesgos de Safetica funcionan como un baluarte para las organizaciones, fortaleciendo su postura de seguridad de los datos y asegurando una utilización responsable de las herramientas de IA en el lugar de trabajo. Apoyándose en la experiencia y las herramientas de Safetica, las empresas pueden aprovechar con confianza el potencial de las tecnologías avanzadas de IA mientras protegen su información sensible.
Con el apoyo de Safetica, las empresas pueden establecer una estrategia robusta que se alinee con los exigentes requisitos del AI Act de la UE, asegurando el cumplimiento y la protección de datos en un panorama digital en constante evolución.