La Ley de IA de la UE: Todo lo que necesita saber

El mundo de la Inteligencia Artificial está evolucionando a un ritmo increíble, y con ello viene la necesidad de un marco claro y responsable que guíe su desarrollo y uso.

La Ley de Inteligencia Artificial de la UE, el primer marco jurídico completo del mundo para la IA, está llamada a configurar el futuro de la tecnología no solo en Europa, sino en todo el mundo.

Al igual que el Reglamento General de Protección de Datos (RGPD) estableció un nuevo estándar para la privacidad de los datos, la Ley de IA de la UE pretende establecer un nuevo estándar de referencia para una IA fiable. Pero, ¿qué significa realmente y cuáles son sus principios fundamentales?

Un enfoque basado en el riesgo

El núcleo de la Ley de IA de la UE es su enfoque basado en el riesgo. La normativa no trata a todos los sistemas de IA por igual. Los clasifica en cuatro categorías en función del daño potencial que puedan causar a la salud, la seguridad y los derechos fundamentales de las personas.

1. Riesgo inaceptable: Estos sistemas suponen una clara amenaza para los derechos fundamentales y están directamente prohibidos. Esto incluye prácticas como la "puntuación social" por parte de los gobiernos, algunos tipos de categorización biométrica y la identificación biométrica remota en tiempo real en espacios públicos para el cumplimiento de la ley, con excepciones muy limitadas. El mensaje es claro: ciertos usos de la IA son sencillamente demasiado peligrosos para permitirlos.

2. Alto riesgo: se trata de sistemas de IA con un potencial significativo para afectar a la vida de las personas. Esta categoría incluye la IA utilizada en infraestructuras críticas (como redes de agua o electricidad), educación (para calificar o evaluar a estudiantes), empleo (para clasificar solicitudes de trabajo) y aplicación de la ley. Los proveedores de sistemas de IA de alto riesgo se enfrentan a obligaciones estrictas, entre las que se incluyen:

• Implantar un sólido sistema de gestión de riesgos.
• Garantizar una gobernanza de datos de alta calidad.
• Mantener una documentación técnica detallada.
• Someterse a una evaluación de conformidad para demostrar su cumplimiento.
• Garantizar la supervisión humana para evitar sesgos o errores.

Riesgo limitado: estos sistemas de IA no están clasificados como de alto riesgo, pero requieren obligaciones específicas de transparencia. La regla principal aquí es simple: los usuarios deben ser conscientes de que están interactuando con una IA. Esto se aplica a chatbots, deepfakes y otros sistemas que generan contenido. El objetivo es garantizar que las personas puedan tomar decisiones informadas y saber cuándo no están tratando con un humano.

Riesgo mínimo: Esta categoría incluye la gran mayoría de los sistemas de IA actualmente en uso, como los videojuegos con IA y los filtros de spam. Se considera que plantean poca o ninguna amenaza y en gran medida no están regulados, aunque la UE anima a los desarrolladores a crear voluntariamente códigos de conducta para estos sistemas.

Cómo se ajusta una empresa como Sherpa.ai a la Ley de IA de la UE

Para las empresas que operan en el espacio de la IA, el enfoque de la Ley de IA de la UE en la privacidad, la seguridad y la ética no es un concepto nuevo, sino un refuerzo de los principios existentes. Sherpa.ai, una empresa española especializada en IA que preserva la privacidad, es un buen ejemplo de cómo las empresas ya se están preparando para este nuevo panorama normativo.

La oferta principal de Sherpa.ai es su plataforma de aprendizaje federado. Esta tecnología permite a las organizaciones entrenar modelos de IA de alta precisión utilizando datos que nunca se recopilan o comparten de forma centralizada. En su lugar, los datos permanecen in situ, detrás del cortafuegos del propietario. Esta elección arquitectónica aborda inherentemente varias de las preocupaciones clave de la Ley de IA de la UE, en particular en la categoría de "alto riesgo".

• Privacidad por diseño: Al mantener los datos descentralizados, la plataforma minimiza los riesgos de transferencia de datos y la exposición de una empresa a las violaciones de datos. Esto se alinea directamente con el énfasis de la Ley en la calidad de los datos y la seguridad de los sistemas de alto riesgo.

• Menor sesgo: Dado que los datos no se agregan en un repositorio central, ayuda a mantener la integridad de los datos y puede ayudar a prevenir algunas formas de sesgo algorítmico que pueden surgir de conjuntos de datos centralizados sesgados o no representativos.

• Fundamento legal y ético: Sherpa.ai se ha centrado durante mucho tiempo en la construcción de su plataforma para cumplir con regulaciones estrictas como GDPR e HIPAA. El énfasis de la empresa en "la privacidad y la seguridad como valores fundamentales" y su uso de tecnologías avanzadas de mejora de la privacidad (PET), como la privacidad diferencial y la computación multipartita segura , la posicionan naturalmente para cumplir los estrictos requisitos técnicos de la Ley de Inteligencia Artificial de la UE.

Para sectores con aplicaciones de alto riesgo, como la sanidad y los servicios financieros, este enfoque es especialmente valioso. Permite el desarrollo de potentes sistemas de IA -por ejemplo, para acelerar ensayos clínicos o detectar delitos financieros- sin poner en peligro los datos sensibles de las personas.

Disposiciones clave y calendario

La Ley de Inteligencia Artificial de la UE entró oficialmente en vigor en agosto de 2024, pero sus disposiciones se están introduciendo gradualmente en los próximos meses y años.

• Febrero de 2025: El primer plazo clave, con la entrada en vigor de la prohibición de los sistemas de IA de riesgo inaceptable.

• Agosto de 2026: entran en vigor las obligaciones de cumplimiento para los sistemas de IA de alto riesgo. Este es el gran momento para muchas empresas.

• Agosto de 2027: Cumplimiento total de todas las disposiciones.

Impacto en las empresas y la innovación

La Ley de Inteligencia Artificial de la UE tiene un amplio alcance extraterritorial. Si desarrolla, implanta o vende un sistema de IA que afecta a usuarios de la UE, la ley le será aplicable, independientemente de dónde tenga su sede su empresa.

Aunque las nuevas normas pueden parecer un reto, muchos expertos las consideran un paso positivo. Al crear un marco claro y predecible, la Ley pretende:

• Fomentar la confianza: Un ecosistema de IA transparente y responsable genera confianza entre consumidores e inversores.

• Fomentar la innovación: La creación de "areneros regulatorios" permite a las startups y pequeñas empresas probar nuevas tecnologías de IA en un entorno controlado, fomentando la innovación responsable.

• Crear una ventaja competitiva: Para las empresas que priorizan la seguridad y la ética desde el principio, el cumplimiento de la Ley de IA de la UE puede convertirse en un diferenciador competitivo significativo en el mercado global.

La Ley de la IA de la UE no pretende ahogar la innovación. Se trata de garantizar que, a medida que la IA se integre más en nuestras vidas, se desarrolle y utilice de forma segura, ética y respetuosa con los derechos humanos fundamentales. La era de la IA fiable ha comenzado.