[Comisión Europea] 'Inteligencia artificial — Preguntas y respuestas '

 '¿Por qué debemos regular el uso de la inteligencia artificial?

La Ley de IA de la UE es la primera ley global en materia de IA del mundo. Su objetivo es abordar los riesgos para la salud, la seguridad y los derechos fundamentales. El Reglamento también protege la democracia, el Estado de Derecho y el medio ambiente.

La adopción de los sistemas de IA puede aportar importantes beneficios sociales y crecimiento económico, así como mejorar la innovación en la UE y la competitividad mundial. Sin embargo, en determinados casos, las características específicas de determinados sistemas de IA pueden crear nuevos riesgos relacionados con la seguridad de los usuarios, incluida la seguridad física, y los derechos fundamentales. Algunos modelos potentes de IA que se utilizan ampliamente podrían incluso plantear riesgos sistémicos.

Esto da lugar a inseguridad jurídica y a una adopción potencialmente más lenta de las tecnologías de IA por parte de las autoridades públicas, las empresas y los ciudadanos, debido a la falta de confianza. La disparidad de las respuestas reglamentarias de las autoridades nacionales entrañaría el riesgo de fragmentar el mercado interior.

En respuesta a estos retos, era necesaria una acción legislativa para garantizar el buen funcionamiento del mercado interior de los sistemas de IA en el que se aborden adecuadamente tanto los beneficios como los riesgos.

 ¿A quién se aplica la Ley de Inteligencia Artificial?

El marco jurídico se aplicará a los agentes tanto públicos como privados dentro y fuera de la UE siempre que el sistema de IA se introduzca en el mercado de la Unión o su uso repercuta en las personas ubicadas en la UE.

Las obligaciones pueden afectar tanto a los proveedores (por ejemplo, al desarrollador de una herramienta de control de CV) como a los implementadores de sistemas de IA (por ejemplo, un banco que compra esta herramienta de cribado). Existen algunas excepciones al Reglamento. Las actividades de investigación, desarrollo y creación de prototipos que tengan lugar antes de la comercialización de un sistema de IA no están sujetas a estas normas. Además, los sistemas de IA diseñados exclusivamente con fines militares, de defensa o de seguridad nacional también están exentos, independientemente del tipo de entidad que lleve a cabo esas actividades.

¿Cuáles son las categorías de riesgo?

La Ley de IA introduce un marco uniforme en todos los Estados miembros de la UE, basado en una definición prospectiva de la IA y en un enfoque basado en el riesgo: 

• Riesgo inaceptable: Un conjunto muy limitado de usos especialmente nocivos de la IA que contravienen los valores de la UE porque violan los derechos fundamentales y, por tanto, serán prohibidos:

• • Explotación de las vulnerabilidades de las personas, manipulación y uso de técnicas subliminales; 
  • Puntuación social con fines públicos y privados; 
  • Unaactuación policial predictiva individual basada únicamente en la elaboración de perfiles de las personas; 
  • Raspado no selectivo de internet o CCTV para imágenes faciales con el fin de crear o ampliar bases de datos; 
  • Reconocimiento de emociones en el lugar de trabajo y en las instituciones educativas, salvo por razones médicas o de seguridad (es decir, el seguimiento de los niveles de cansancio de un piloto); 
  • Categorización biométrica de las personas físicas para deducir o inferir su raza, opiniones políticas, afiliación sindical, creencias religiosas o filosóficas u orientación sexual. El etiquetado o el filtrado de conjuntos de datos y la categorización de los datos en el ámbito de la aplicación de la ley seguirán siendo posibles; 
  • Identificación biométrica remota en tiempo real en espacios de acceso público por parte de las fuerzas y cuerpos de seguridad, con algunas excepciones (véase más adelante).

• La Comisión publicará orientaciones sobre las prohibiciones antes de su entrada en vigor el 2 de febrero de 2025.
• Alto riesgo: Se considera de alto riesgo un número limitado de sistemas de IA definidos en la propuesta, que pueden tener un impacto negativo en la seguridad de las personas o sus derechos fundamentales (protegidos por la Carta de los Derechos Fundamentales de la UE). Se adjuntan a la Ley las listas de sistemas de IA de alto riesgo, que pueden revisarse para adaptarlas a la evolución de los casos de uso de la IA.
• Entre ellos figuran los componentes de seguridad de los productos contemplados en la legislación sectorial de la Unión. Siempre se considerarán de alto riesgo cuando estén sujetos a una evaluación de la conformidad por terceros con arreglo a dicha legislación sectorial.
• Estos sistemas de IA de alto riesgo incluyen, por ejemplo, los sistemas de IA que evalúan si alguien puede recibir un determinado tratamiento médico, obtener un determinado empleo o préstamo para comprar un apartamento.  Otros sistemas de IA de alto riesgo son los utilizados por la policía para elaborar perfiles de personas o evaluar su riesgo de cometer un delito (a menos que esté prohibido en virtud del artículo 5). Y de alto riesgo también podrían ser sistemas de IA que funcionen robots, drones o dispositivos médicos.

• Riesgoespecíficode transparencia: Para fomentar la confianza, es importante garantizar la transparencia en torno al uso de la IA. Por lo tanto, la Ley de IA introduce requisitos específicos de transparencia para determinadas aplicaciones de IA, por ejemplo cuando existe un riesgo claro de manipulación (por ejemplo, mediante el uso de chatbots) o ultrafalsificaciones. Los usuarios deben ser conscientes de que están interactuando con una máquina. 

• Riesgo mínimo: La mayoría de los sistemas de IA pueden desarrollarse y utilizarse con sujeción a la legislación vigente sin obligaciones jurídicas adicionales. De forma voluntaria, los proveedores de estos sistemas pueden optar por aplicar los requisitos de una IA digna de confianza y adherirse a códigos de conducta voluntarios.

Además, la Ley de IA tiene en cuenta los riesgos sistémicos que podrían derivarse de los modelos de IA de uso general, incluidos los grandes modelos de IA generativa. Estas pueden utilizarse para diversas tareas y se están convirtiendo en la base de muchos sistemas de IA en la UE. Algunos de estos modelos podrían entrañar riesgos sistémicos si son muy capaces o se utilizan ampliamente. Por ejemplo, modelos potentes podrían provocar accidentes graves o utilizarse indebidamente para ciberataques de gran alcance. Muchas personas podrían verse afectadas si un modelo propaga sesgos nocivos en muchas aplicaciones.  

¿Cómo sé si un sistema de IA es de alto riesgo?

La Ley de IA establece una metodología sólida para clasificar los sistemas de IA como de alto riesgo. El objetivo es aportar seguridad jurídica a las empresas y otros agentes económicos.

La clasificación del riesgo se basa en la finalidad prevista del sistema de IA, en consonancia con la legislación vigente de la UE en materia de seguridad de los productos. Significa que la clasificación depende de la función desempeñada por el sistema de IA y de la finalidad específica y las modalidades para las que se utiliza.

Los sistemas de IA pueden clasificarse como de alto riesgo en dos casos: 

• Si el sistema de IA está integrado como componente de seguridad en productos cubiertos por la legislación vigente sobre productos (anexo I) o constituye por sí mismo dicho producto. Podría tratarse, por ejemplo, de software médico basado en la IA. 

• Si el sistema de IA está destinado a utilizarse en un caso de uso de alto riesgo, enumerado en el anexo III de la Ley de IA. La lista incluye casos de uso en ámbitos como la educación, el empleo, la aplicación de la ley o la migración. 

La Comisión está preparando directrices para la clasificación de alto riesgo, que se publicarán antes de la fecha de aplicación de estas normas. 

¿Cuáles son los ejemplos de casos de uso de alto riesgo definidos en el anexo III?

El anexo III comprende ocho ámbitos en los que el uso de la IA puede ser especialmente sensible y enumera casos de uso concretos para cada ámbito. Un sistema de IA se clasifica como de alto riesgo si está destinado a ser utilizado en uno de estos casos de uso.

Ejemplos:

• Sistemas de IA utilizados como componentes de seguridad en determinadas infraestructuras críticas, por ejemplo en los ámbitos del tráfico por carretera y el suministro de agua, gas, calefacción y electricidad;
• Sistemas de IA utilizados en la educación y la formación profesional, por ejemplo, para evaluar los resultados del aprendizaje y dirigir el proceso de aprendizaje y el seguimiento del engaño;
• Sistemas de IA utilizados en el empleo y la gestión de los trabajadores y el acceso al trabajo por cuenta propia, por ejemplo, para publicar anuncios de empleo específicos, para analizar y filtrar las solicitudes de empleo y para evaluar a los candidatos;
• Sistemas de IA utilizados en el acceso a servicios y beneficios públicos y privados esenciales (por ejemplo, asistencia sanitaria), evaluación de la solvencia de las personas físicas, y evaluación de riesgos y fijación de precios en relación con los seguros de vida y de enfermedad;
• Los sistemas de IA utilizados en los ámbitos de la aplicación de la ley, la migración y el control fronterizo, en la medida en que no estén ya prohibidos, así como en la administración de justicia y los procesos democráticos;
• Sistemas de IA utilizados para la identificación biométrica, la categorización biométrica y el reconocimiento de emociones, en la medida en que no estén prohibidos.

¿Cuáles son las obligaciones de los proveedores de sistemas de IA de alto riesgo?

Antes de comercializar un sistema de IA de alto riesgo en el mercado de la Unión o de ponerlo en servicio de otra forma, los proveedores deberán someterlo a una evaluación de la conformidad. Esto les permitirá demostrar que su sistema cumple los requisitos obligatorios de una IA fiable (por ejemplo, calidad de los datos, documentación y trazabilidad, transparencia, supervisión humana, exactitud, ciberseguridad y solidez). Esta evaluación debe repetirse si el sistema o su finalidad se modifican sustancialmente.

Los sistemas de IA que sirven como componentes de seguridad de productos cubiertos por la legislación sectorial de la Unión siempre se considerarán de alto riesgo cuando estén sujetos a una evaluación de la conformidad por terceros con arreglo a dicha legislación sectorial. Además, todos los sistemas biométricos, independientemente de su aplicación, requerirán una evaluación de la conformidad por terceros.

Los proveedores de sistemas de IA de alto riesgo también tendrán que aplicar sistemas de calidad y gestión de riesgos para garantizar su conformidad con los nuevos requisitos y minimizar los riesgos para los usuarios y las personas afectadas, incluso después de que un producto se haya comercializado.

Los sistemas de IA de alto riesgo desplegados por autoridades públicas o entidades que actúen en su nombre tendrán que registrarse en una base de datos pública de la UE, a menos que dichos sistemas se utilicen para la aplicación de la ley y la migración. Este último deberá registrarse en una parte no pública de la base de datos a la que solo podrán acceder las autoridades de control pertinentes.

Para garantizar el cumplimiento a lo largo de todo el ciclo de vida del sistema de IA, las autoridades de vigilancia del mercado llevarán a cabo auditorías periódicas y facilitarán el seguimiento posterior a la comercialización y permitirán a los proveedores denunciar voluntariamente cualquier incidente grave o incumplimiento de las obligaciones en materia de derechos fundamentales que lleguen a su conocimiento.  En casos excepcionales, las autoridades podrán conceder exenciones para la introducción en el mercado de sistemas de IA de alto riesgo específicos.

En caso de infracción, los requisitos permitirán a las autoridades nacionales acceder a la información necesaria para investigar si el uso de la IA cumplió la legislación.

¿Cuál sería el papel de la normalización en la Ley de IA?

En virtud de la Ley de IA, los sistemas de IA de alto riesgo estarán sujetos a requisitos específicos. Las normas armonizadas europeas desempeñarán un papel clave en la aplicación de estos requisitos. 

En mayo de 2023, la Comisión Europea encargó a las organizaciones europeas de normalización CEN y CENELEC que elaboraran normas para estos requisitos de alto riesgo. Este mandato se modificará ahora para adaptarlo al texto final de la Ley de IA. 

Las organizaciones europeas de normalización tendrán hasta finales de abril de 2025 para elaborar y publicar normas. A continuación, la Comisión evaluará y posiblemente aprobará estas normas, que se publicarán en el Diario Oficial de la UE. Una vez publicadas, estas normas otorgarán una «presunción de conformidad» a los sistemas de IA desarrollados con arreglo a ellas. 

¿Cómo se regulan los modelos de IA de uso general?

Losmodelos de IA de uso general, incluidos los grandesmodelos de IA generativa, pueden utilizarse para diversas tareas. Los modelos individuales pueden integrarse en un gran número de sistemas de IA.

Es fundamental que un proveedor de un sistema de IA que integre un modelo de IA de uso general tenga acceso a toda la información necesaria para garantizar que el sistema sea seguro y conforme con la Ley de IA.

Por lo tanto, la Ley de IA obliga a los proveedores de dichos modelos a revelar determinada información a los proveedores de sistemas posteriores. Esta transparencia permite comprender mejor estos modelos.

Además, los proveedores de modelos deben contar con políticas que garanticen que respetan la legislación en materia de derechos de autor a la hora de formar sus modelos.

Además, algunos de estos modelos podrían plantear riesgos sistémicos, ya que son muy capaces o ampliamente utilizados.

En la actualidad, se considera que los modelos de IA de uso general que hayan sido entrenados utilizando una potencia informática total de más de 10 to 25 FLOP plantean riesgos sistémicos. La Comisión podrá actualizar o completar este umbral a la luz de los avances tecnológicos y también podrá designar otros modelos como que plantean riesgos sistémicos sobre la base de otros criterios (por ejemplo, el número de usuarios o el grado de autonomía del modelo).

Los proveedores de modelos con riesgos sistémicos están obligados a evaluar y mitigar los riesgos, notificar incidentes graves, realizar pruebas de última generación y evaluaciones de modelos y garantizar la ciberseguridad de sus modelos.

Se invita a los proveedores a colaborar con la Oficina de IA y otras partes interesadas para elaborar un código de buenas prácticas en el que se detallen las normas y, de este modo, se garantice el desarrollo seguro y responsable de sus modelos. Este Código debe representar una herramienta central para que los proveedores de modelos de IA de uso general demuestren el cumplimiento.

¿Por qué 10 de 25 FLOP son un umbral adecuado para la GAAP con riesgos sistémicos?

Flop es un indicador de las capacidades del modelo, y la Comisión puede actualizar al alza o a la baja el umbral exacto de FLOP, por ejemplo, a la luz de los avances en la medición objetiva de las capacidades de los modelos y de la evolución de la potencia de cálculo necesaria para un determinado nivel de rendimiento.

Las capacidades de los modelos por encima de este umbral aún no se comprenden suficientemente. Podrían plantear riesgos sistémicos, por lo que es razonable someter a sus proveedores al conjunto de obligaciones adicionales.

¿Cuáles son las obligaciones relativas al marcado de agua y el etiquetado de la información de salida de IA establecidas en la Ley de IA? 

La Ley de IA establece normas de transparencia para los contenidos producidos por la IA generativa a fin de abordar el riesgo de manipulación, engaño y desinformación.  

Obliga a los proveedores de sistemas de IA generativos a marcar la información de salida de la IA en un formato legible por máquina y a garantizar que sean detectables como generados o manipulados artificialmente. Las soluciones técnicas deben ser eficaces, interoperables, sólidas y fiables en la medida en que ello sea técnicamente viable, teniendo en cuenta las especificidades y limitaciones de los diversos tipos de contenidos, los costes de aplicación y el estado de la técnica generalmente reconocido, tal como puedan reflejarse en las normas técnicas pertinentes.  

Además, los implementadores de sistemas de IA generativos que generen o manipulen contenidos de imagen, audio o vídeo que constituyan ultrafalsificaciones deben revelar visiblemente que el contenido se ha generado o manipulado artificialmente. Los implementadores de un sistema de IA que genere o manipule textos publicados con el fin de informar al público sobre asuntos de interés público también deben revelar que el texto se ha generado o manipulado artificialmente. Esta obligación no se aplicará cuando el contenido generado por IA haya sido sometido a un proceso de revisión humana o control editorial y cuando una persona física o jurídica sea responsable editorial de la publicación del contenido. 

La Oficina de IA publicará directrices para proporcionar orientaciones adicionales a los proveedores e implementadores sobre las obligaciones establecidas en el artículo 50, que serán aplicables dos años después de la entrada en vigor de la Ley de IA (el 2 de agosto de 2026).

La Oficina de IA también fomentará y facilitará el desarrollo de códigos de buenas prácticas a escala de la Unión para racionalizar la aplicación efectiva de las obligaciones relacionadas con la detección y el etiquetado de contenidos generados artificialmente o manipulados.  

¿Está preparada la Ley de IA para el futuro?

La Ley de IA establece un marco jurídico que responde a los nuevos avances, fácil y rápido de adaptarse y permite una evaluación frecuente.

La Ley de IA establece requisitos y obligaciones orientados a los resultados, pero deja las soluciones técnicas concretas y la puesta en práctica a normas y códigos de prácticas impulsados por la industria que sean flexibles para adaptarse a los diferentes casos de uso y permitir nuevas soluciones tecnológicas.

Además, la propia legislación puede modificarse mediante actos delegados y de ejecución, por ejemplo para revisar la lista de casos de uso de alto riesgo del anexo III.

Por último, se llevarán a cabo evaluaciones frecuentes de determinadas partes de la Ley de IA y, en última instancia, de todo el Reglamento, garantizando que se detecte cualquier necesidad de revisión y modificación.

¿Cómo regula la Ley de IA la identificación biométrica?

Queda prohibido el uso de la identificación biométrica remota en tiempo real en espaciosde acceso público (es decir, el reconocimiento facial mediante CCTV) con fines policiales. Los Estados miembros pueden introducir excepciones por ley que permitan el uso de la identificación biométrica remota en tiempo real en los siguientes casos:

• Actividades policiales relacionadas con 16 delitos muy graves especificados;
• Búsqueda selectiva de víctimas específicas, secuestro, trata y explotación sexual de seres humanos y personas desaparecidas; o
• La prevención de amenazas para la vida o la seguridad física de las personas o la respuesta a la amenaza actual o previsible de un ataque terrorista.

Cualquier uso excepcional estará sujeto a la autorización previa de una autoridad judicial o administrativa independiente cuya decisión sea vinculante. En caso de urgencia, la aprobación podrá concederse en un plazo de 24 horas; si se rechaza la autorización, deben suprimirse todos los datos y el resultado.

Tendría que ir precedida de una evaluación de impacto previa en materia de derechos fundamentales y debería notificarse a la autoridad de vigilancia del mercado pertinente y a la autoridad de protección de datos. En caso de urgencia, el uso del sistema podrá iniciarse sin registro.

El uso de sistemas de IA para la identificación biométrica remota (identificación de personas en material previamente recogido) de personas investigadas requiere la autorización previa de una autoridad judicial o una autoridad administrativa independiente, así como la notificación a la autoridad pertinente de protección de datos y vigilancia del mercado.

¿Por qué son necesarias normas específicas sobre la identificación biométrica remota? 

La identificación biométrica puede adoptar distintas formas. La autenticación y verificación biométricas, es decir, la desbloqueo de un teléfono inteligente o la verificación/autenticación en los pasos fronterizos para comprobar la identidad de una persona con sus documentos de viaje (correspondencia individual) siguen sin estar reguladas, ya que no suponen un riesgo significativo para los derechos fundamentales.

Por el contrario, la identificación biométrica también puede utilizarse a distancia, por ejemplo, para identificar a personas en una multitud que puede afectar significativamente a la privacidad en el espacio público.

La precisión de los sistemas de reconocimiento facial puede verse influida significativamente por una amplia gama de factores, como la calidad de la cámara, la luz, la distancia, la base de datos, el algoritmo y la etnia, la edad o el género del sujeto. Lo mismo se aplica a los sistemas de reconocimiento vocal y de la forma de andar y otros sistemas biométricos. Unos sistemas muy avanzados están reduciendo sin cesar sus tasas de falsa aceptación.

Si bien un índice de precisión del 99 % puede parecer bueno en general, es considerablemente arriesgado cuando el resultado puede dar lugar a la sospecha de una persona inocente. Incluso una tasa de error del 0,1 % puede tener un impacto significativo cuando se aplica a grandes poblaciones, por ejemplo en las estaciones de tren.

¿Cómo protegen las normas los derechos fundamentales?

Ya existe una sólida protección de los derechos fundamentales y de la no discriminación a escala de la UE y de los Estados miembros, pero la complejidad y la opacidad de determinadas aplicaciones de IA («cajas negras») pueden plantear problemas.

Un planteamiento centrado en el ser humano en materia de IA supone velar por que las aplicaciones de IA cumplan la legislación en materia de derechos fundamentales. Mediante la integración de los requisitos de rendición de cuentas y transparencia en el desarrollo de sistemas de IA de alto riesgo y la mejora de las capacidades de ejecución, podemos garantizar que estos sistemas se diseñen teniendo en cuenta desde el principio el cumplimiento legal. En caso de infracción, los requisitos permitirán a las autoridades nacionales acceder a la información necesaria para investigar si el uso de la IA cumple el Derecho de la UE.

Además, la Ley de IA exige que determinados implementadores de sistemas de IA de alto riesgo lleven a cabo una evaluación de impacto sobre los derechos fundamentales.

¿Qué es una evaluación de impacto sobre los derechos fundamentales? ¿Quién debe llevar a cabo dicha evaluación y cuándo?

Los proveedores de sistemas de IA de alto riesgo deben llevar a cabo una evaluación de riesgos y diseñar el sistema de manera que se minimicen los riesgos para la salud, la seguridad y los derechos fundamentales.

Sin embargo, algunos riesgos para los derechos fundamentales solo pueden identificarse plenamente teniendo en cuenta el contexto de uso del sistema de IA de alto riesgo. Cuando se utilicen sistemas de IA de alto riesgo en ámbitos especialmente sensibles de posible asimetría de potencia, es necesario tener en cuenta estos riesgos adicionales.

Por consiguiente, los implementadores que sean organismos de Derecho público o operadores privados que presten servicios públicos, así como los operadores que suministren sistemas de IA de alto riesgo que lleven a cabo evaluaciones de solvencia crediticia o evaluaciones de precios y riesgos en los seguros de vida y de enfermedad, llevarán a cabo una evaluación del impacto en los derechos fundamentales y notificarán a la autoridad nacional los resultados.

En la práctica, muchos implementadores también tendrán que llevar a cabo una evaluación de impacto relativa a la protección de datos. Para evitar solapamientos sustanciales en tales casos, la evaluación de impacto sobre los derechos fundamentales se llevará a cabo junto con dicha evaluación de impacto relativa a la protección de datos.

¿Cómo hace frente este Reglamento a los sesgos raciales y de género en la IA?

Es muy importante subrayar que los sistemas de IA no crean ni reproducen sesgos. Más bien, cuando se diseñan y utilizan adecuadamente, los sistemas de IA pueden contribuir a reducir los sesgos y la discriminación estructural existente y, por tanto, dar lugar a decisiones más equitativas y no discriminatorias (por ejemplo, en la contratación).

Los nuevos requisitos obligatorios aplicables a todos los sistemas de IA de alto riesgo servirán para este fin. Los sistemas de IA deben ser técnicamente sólidos para garantizar que son adecuados para su finalidad y no producen resultados sesgados, como falsos positivos o negativos, que afecten de manera desproporcionada a los grupos marginados, incluidos los basados en el origen racial o étnico, el sexo, la edad y otras características protegidas.

Los sistemas de alto riesgo también tendrán que formarse y probarse con conjuntos de datos suficientemente representativos para minimizar el riesgo de sesgos injustos integrados en el modelo y garantizar que puedan abordarse mediante la detección de sesgos adecuados, la corrección y otras medidas de mitigación.

También deben ser trazables y auditables, garantizando que se conserve la documentación adecuada, incluidos los datos utilizados para entrenar el algoritmo que sería clave en las investigaciones ex post.

El sistema de cumplimiento antes y después de su comercialización habrá de garantizar que estos sistemas sean objeto de un seguimiento periódico y que se solventen rápidamente los riesgos potenciales.

¿Cuándo será plenamente aplicable la Ley de Inteligencia Artificial?

La Ley de IA se aplicará dos años después de su entrada en vigor el 2 de agosto de 2026, con excepción de las siguientes disposiciones específicas:

• Las prohibiciones, definiciones y disposiciones relacionadas con la alfabetización en materia de IA se aplicarán 6 meses después de su entrada en vigor el 2 de febrero de 2025;

• Que las normas sobre gobernanza y las obligaciones relativas a la IA de uso general sean aplicables 12 meses después de su entrada en vigor el 2 de agosto de 2025;

• Las obligaciones de los sistemas de IA de alto riesgo que se clasifican como de alto riesgo porque están integrados en productos regulados, enumerados en el anexo II (lista de legislación de armonización de la Unión), se aplican 36 meses después de su entrada en vigor el 2 de agosto de 2027.

¿Cómo se aplicará la Ley de Inteligencia Artificial?

La Ley de IA establece un sistema de gobernanza de dos niveles, en el que las autoridades nacionales son responsables de supervisar y hacer cumplir las normas relativas a los sistemas de IA, mientras que el nivel de la UE es responsable de regular los modelos de IA de uso general.

Para garantizar la coherencia y la cooperación a escala de la UE, se creará el Comité Europeo de Inteligencia Artificial (Comité de IA), compuesto por representantes de los Estados miembros, con subgrupos especializados para los reguladores nacionales y otras autoridades competentes.

La Oficina de IA, el organismo de ejecución de la Ley de IA de la Comisión, proporcionará orientación estratégica al Comité de IA.

Además, la Ley de Inteligencia Artificial establece dos órganos consultivos para aportar aportaciones de expertos: la Comisión Técnica Científica y el Foro Consultivo. Estos organismos ofrecerán información valiosa de las partes interesadas y de las comunidades científicas interdisciplinarias, que servirán de base para la toma de decisiones y garantizarán un enfoque equilibrado del desarrollo de la IA.

¿Por qué es necesario un Comité Europeo de Inteligencia Artificial y qué hará?

El Comité Europeo de Inteligencia Artificial está compuesto por representantes de alto nivel de los Estados miembros y del Supervisor Europeo de Protección de Datos. Como asesor clave, el Comité de IA proporciona orientaciones sobre todas las cuestiones relacionadas con la política de IA, en particular la regulación de la IA, la política de innovación y excelencia y la cooperación internacional en materia de IA.

El Comité de IA desempeña un papel crucial a la hora de garantizar una aplicación fluida, eficaz y armonizada de la Ley de IA. El Comité servirá de foro en el que los reguladores de la IA, a saber, la Oficina de IA, las autoridades nacionales y el EPDS, puedan coordinar la aplicación coherente de la Ley de IA.

¿Cuáles son las sanciones por las infracciones?

Los Estados miembros tendrán que establecer sanciones efectivas, proporcionadas y disuasorias para las infracciones de las normas aplicables a los sistemas de IA.

El Reglamento fija umbrales que deberán tenerse en cuenta:

• Hasta 35 millones EUR o el 7 % del volumen de negocios total anual mundial del ejercicio financiero anterior (si esta cifra es superior) en el caso de infracciones de prácticas prohibidas o incumplimientos relacionados con los requisitos en materia de datos;
• Hasta 15 millones EUR o el 3 % del volumen de negocios total anual mundial del ejercicio financiero anterior en caso de incumplimiento de cualquiera de los demás requisitos u obligaciones del Reglamento;
• Hasta 7.5 millones EUR o el 1,5 % del volumen de negocios total anual mundial del ejercicio financiero anterior por el suministro de información incorrecta, incompleta o engañosa a los organismos notificados y a las autoridades nacionales competentes en respuesta a una solicitud;
• Para cada categoría de infracción, el umbral sería el más bajo de los dos importes para las pymes y el más elevado para las demás empresas.

La Comisión también puede hacer cumplir las normas sobre los proveedores de modelos de IA de uso general mediante multas, teniendo en cuenta el siguiente umbral:

• Hasta 15 millones EUR o el 3 % del volumen de negocios total anual mundial del ejercicio financiero anterior en caso de incumplimiento de cualquiera de las obligaciones o medidas solicitadas por la Comisión en virtud del Reglamento.

Se espera que las instituciones, agencias u organismos de la UE den ejemplo, por lo que también estarán sujetos a las normas y a posibles sanciones. El Supervisor Europeo de Protección de Datos estará facultado para imponerles multas en caso de incumplimiento.

¿Cómo se redactará el Código de buenas prácticas para la IA de uso general?

La elaboración del primer Código sigue un proceso inclusivo y transparente. Se establecerá un pleno del Código de Buenas Prácticas para facilitar el proceso de redacción iterativa, compuesto por todos los proveedores de modelos de IA de uso general interesados y elegibles, los proveedores posteriores que integren un modelo de IA de uso general en su sistema de IA, otras organizaciones del sector, otras organizaciones de partes interesadas, como la sociedad civil o las organizaciones de titulares de derechos, así como el mundo académico y otros expertos independientes.

La Oficina de IA ha puesto en marcha una convocatoria de manifestaciones de interés para participar en la elaboración del primer Código de buenas prácticas. Paralelamente a la presente convocatoria de manifestaciones de interés, se pone en marcha una consulta multilateral para recabar opiniones y aportaciones de todas las partes interesadas sobre el primer Código de buenas prácticas. Las respuestas y presentaciones constituirán la base de la primera redacción del Código de buenas prácticas. Desde el principio, el Código se basa, por tanto, en una amplia gama de perspectivas y conocimientos especializados.

El pleno se estructurará en cuatro grupos de trabajo para permitir debates centrados en temas específicos pertinentes para detallar las obligaciones de los proveedores de modelos de IA de uso general y modelos de IA de uso general con riesgo sistémico. Los participantes en el pleno son libres de elegir uno o más grupos de trabajo en los que deseen participar. Las reuniones se celebran exclusivamente en línea.

La Oficina de IA nombrará presidentes y, en su caso, vicepresidentes para cada uno de los cuatro grupos de trabajo del pleno, seleccionados entre expertos independientes interesados. Los presidentes sintetizarán las contribuciones y los comentarios de los participantes en el Pleno para redactar iterativamente el primer Código de buenas prácticas.

Como principales destinatarios del Código, se invitará a los proveedores de modelos de IA de uso general a talleres específicos para contribuir a informar a cada ronda de redacción iterativa, además de su participación en el Pleno.

Transcurridos 9 meses, la versión final del primer Código de buenas prácticas se presentará en un pleno de clausura, cuya celebración está prevista para abril, y se publicará. El pleno de clausura ofrece a los proveedores de modelos de IA de uso general la oportunidad de expresarse si tienen previsto utilizar el Código. 

Si se aprueba, ¿cómo sirve el Código de buenas prácticas para los proveedores de modelos de IA de uso general como herramienta central para el cumplimiento?

Al final del proceso de elaboración del Código de Buenas Prácticas, la Oficina de IA y el Comité de IA evaluarán la adecuación del Código y publicarán su evaluación. Tras dicha evaluación, la Comisión podrá decidir aprobar un Código de buenas prácticas y conferirle validez general dentro de la Unión mediante actos de ejecución. Si, en el momento en que el Reglamento es aplicable, la Oficina de IA no considera adecuado el Código de Buenas Prácticas, la Comisión podrá establecer normas comunes para el cumplimiento de las obligaciones pertinentes.

Por lo tanto, los proveedores de modelos de IA de uso general pueden basarse en el Código de buenas prácticas para demostrar el cumplimiento de las obligaciones establecidas en la Ley de IA.

Con arreglo a la Ley de IA, el Código de buenas prácticas debe incluir objetivos, medidas y, en su caso, indicadores clave de rendimiento (ICR).

Los proveedores que se adhieran al Código deben informar periódicamente a la Oficina de IA sobre la aplicación de las medidas adoptadas y sus resultados, también medidos con respecto a los indicadores clave de rendimiento, según proceda.

Esto facilita la ejecución por parte de la Oficina de IA, que se basa en las competencias conferidas a la Comisión por la Ley de IA. Esto incluye la capacidad de llevar a cabo evaluaciones de modelos de IA de uso general, solicitar información y medidas a los proveedores de modelos y aplicar sanciones. 

La Oficina de IA fomentará y facilitará, según proceda, la revisión y la adaptación del Código para reflejar los avances en la tecnología y el estado de la técnica.

Una vez que se publique una norma armonizada y se considere adecuada para cubrir las obligaciones pertinentes de la Oficina de IA, el cumplimiento de una norma armonizada europea debe conceder a los proveedores la presunción de conformidad.

Además, los proveedores de modelos de IA de uso general deben poder demostrar el cumplimiento utilizando medios alternativos adecuados, si no se dispone de códigos de buenas prácticas o normas armonizadas, o deciden no basarse en ellos.

¿Contiene la Ley de Inteligencia Artificial disposiciones relativas a la protección del medio ambiente y la sostenibilidad?

El objetivo de la propuesta sobre IA es abordar los riesgos para la seguridad y los derechos fundamentales, incluido el derecho fundamental a una protección medioambiental de alto nivel. El medio ambiente es también uno de los intereses jurídicos explícitamente mencionados y protegidos.

Se pide a la Comisión que pida a las organizaciones europeas de normalización que elaboren un documento de normalización sobre los procesos de notificación y documentación para mejorar el rendimiento de los recursos de los sistemas de IA, como la reducción del consumo de energía y otros recursos del sistema de IA de alto riesgo durante su ciclo de vida, y sobre el desarrollo eficiente desde el punto de vista energético de modelos de IA de uso general.

Además, a más tardar dos años después de la fecha de aplicación del Reglamento y posteriormente cada cuatro años, se pide a la Comisión que presente un informe sobre la revisión de los avances en la elaboración de documentos de normalización sobre el desarrollo eficiente desde el punto de vista energético de modelos de uso general y evalúe la necesidad de nuevas medidas o acciones, incluidas medidas o acciones vinculantes.

Además, los proveedores de modelos de IA de uso general, formados en grandes cantidades de datos y, por tanto, propensos a un elevado consumo de energía, están obligados a revelar el consumo de energía. En el caso de los modelos de IA de uso general con riesgos sistémicos, también debe evaluarse la eficiencia energética.

La Comisión está facultada para desarrollar una metodología de medición adecuada y comparable para estas obligaciones de divulgación.

¿Cómo podrán apoyar la innovación las nuevas normas?

La normativa podrá mejorar la aceptación de la IA de dos maneras. Por una parte, la mayor confianza de los usuarios aumentará la demanda de IA utilizada por las empresas y las autoridades públicas. Por otra parte, al aumentar la seguridad jurídica y armonizar las normas, los proveedores de IA accederán a mercados más grandes, con productos que los usuarios y consumidores apreciarán y adquirirán. Las normas solo se aplicarán cuando sea estrictamente necesario y de manera que se reduzca al mínimo la carga para los agentes económicos, con una estructura de gobernanza ligera.

La Ley de IA también permite la creación de espacios controlados de pruebas y pruebas en el mundo real, que proporcionan un entorno controlado para probar tecnologías innovadoras durante un tiempo limitado, fomentando así la innovación por parte de las empresas, las pymes y las empresas emergentes de conformidad con la Ley de IA. Estas, junto con otras medidas, como las redes adicionales de centros de excelencia en IA y la asociación público-privada sobre inteligencia artificial, datos y robótica, y el acceso a centros de innovación digital y a instalaciones de ensayo y experimentación contribuirán a crear las condiciones marco adecuadas para que las empresas desarrollen y desplieguen la IA.

Las pruebas en condiciones reales de sistemas de IA de alto riesgo pueden llevarse a cabo durante un máximo de 6 meses (que pueden prolongarse otros 6 meses). Antes del ensayo, debe elaborarse y presentarse un plan a la autoridad de vigilancia del mercado, que debe aprobar el plan y las condiciones específicas de ensayo, con aprobación tácita por defecto si no se ha dado respuesta en un plazo de 30 días. Los ensayos podrán ser objeto de inspecciones sin previo aviso por parte de la autoridad.

Las pruebas en el mundo real solo pueden llevarse a cabo con salvaguardias específicas, por ejemplo, los usuarios de los sistemas sometidos a pruebas en el mundo real deben dar su consentimiento informado, las pruebas no deben tener ningún efecto negativo en ellos, los resultados deben ser reversibles o desbaratibles, y sus datos deben suprimirse una vez concluidos los ensayos. Debe concederse una protección especial a los grupos vulnerables, es decir, debido a su edad, discapacidad física o mental.

¿Qué papel desempeña el Pacto sobre la IA en la aplicación de la Ley de IA?

Iniciado por el comisario Breton en mayo de 2023, el Pacto sobre la IA tiene por objeto reforzar el compromiso entre la Oficina y las organizaciones de IA (primer pilar) y fomentar el compromiso voluntario de la industria de empezar a aplicar los requisitos de la Ley de IA antes del plazo legal (pilar II).

En particular, en el marco del primer pilar, los participantes contribuirán a la creación de una comunidad colaborativa, compartiendo sus experiencias y conocimientos. Esto incluye talleres organizados por la Oficina de IA que proporcionan a los participantes una mejor comprensión de la Ley de IA, sus responsabilidades y la manera de prepararse para su aplicación. A su vez, la Oficina de IA puede recabar información sobre las mejores prácticas y los retos a los que se enfrentan los participantes.

En el marco del segundo pilar, se anima a las organizaciones a divulgar de forma proactiva los procesos y prácticas que están aplicando para anticipar el cumplimiento, a través de compromisos voluntarios. Los compromisos se conciben como «declaraciones de compromiso» y contendrán acciones (previstas o en curso) para cumplir algunos de los requisitos de la Ley de IA.

La mayoría de las normas de la Ley de IA (por ejemplo, algunos requisitos sobre los sistemas de IA de alto riesgo) se aplicarán al final de un período transitorio (es decir, el período comprendido entre la entrada en vigor y la fecha de aplicabilidad).

En este contexto, y en el marco del Pacto sobre la IA, la Oficina de IA pide a todas las organizaciones que anticipen y apliquen de forma proactiva algunas de las disposiciones clave de la Ley de IA, con el fin de mitigar los riesgos para la salud, la seguridad y los derechos fundamentales lo antes posible.

Más de 700 organizaciones ya han manifestado su interés por adherirse a la iniciativa del Pacto de IA, a raíz de una convocatoria publicada en noviembre de 2023. El 6 de mayo se celebró una primera sesión informativa en línea, con 300 participantes. La firma oficial de los compromisos voluntarios está prevista para otoño de 2024. En la primera semana de septiembre se celebrará un taller sobre el Pacto sobre la IA.

¿Cuál es la dimensión internacional del planteamiento adoptado por la UE?

La IA tiene consecuencias y retos que trascienden las fronteras; por lo tanto, la cooperación internacional es importante. La Oficina de IA se encarga del compromiso internacional de la Unión Europea en el ámbito de la IA, sobre la base de la Ley de Inteligencia Artificial y el Plan Coordinado sobre la IA. La UE pretende promover la gestión responsable y la buena gobernanza de la IA en colaboración con socios internacionales y en consonancia con el sistema multilateral basado en normas y los valores que defiende.

La UE se compromete bilateral y multilateralmente a promover una IA fiable, centrada en el ser humano y ética. Por consiguiente, la UE participa en foros multilaterales en los que se debate la IA — en particular el G7, el G20, la OCDE, el Consejo de Europa, la Alianza Mundial sobre la Inteligencia Artificial y las Naciones Unidas- y la UE mantiene estrechos vínculos bilaterales con, por ejemplo, Canadá, los Estados Unidos, la India, Japón, Corea del Sur, Singapur y la región de América Latina y el Caribe.'

Fuente: Comunicado de la Comisión Europea de 01/08/2024

Entradas relacionadas:

• [02/08/2024] [Comisión Europea] 'Entrada en vigor de la Ley Europea de Inteligencia Artificial'