Introducción a la Ley de Inteligencia Artificial de la Unión Europea

Actualización: El 25 de septiembre de 2024, firmamos los tres compromisos principales del Pacto de IA elaborado por la UE.

1. Adoptar una estrategia de gobernanza de la IA para fomentar el uso de la IA en el organismo y trabajar en pos del cumplimiento de la Ley de IA en el futuro.
2. Llevar a cabo, en la medida de lo posible, una cartografía de los sistemas de IA provistos o implementados en los sectores considerados de alto riesgo según la Ley de IA.
3. Promover la alfabetización de los empleados y de otras personas que traten con sistemas de IA en su nombre con respecto a la inteligencia artificial y generar conciencia sobre su uso (se debe tener en cuenta los conocimientos técnicos, la experiencia, la educación y capacitación de los empleados, así como el contexto en que se van a usar los sistemas de IA y a quiénes va a afectar su uso).

Creemos que el objetivo principal de la Ley de IA —a saber, la educación, la adopción y la gobernanza de la IA— encara las prioridades adecuadas a los efectos de garantizar que los beneficios de la IA se distribuyan de forma generalizada. Además, la legislación está en sintonía con nuestra misión de facilitar tecnologías seguras y de vanguardia que le sean de utilidad a la población general.

La Ley de IA de la UE⁠(se abre en una nueva ventana) es un importante marco legislativo concebido para regular el desarrollo, la implementación y el uso de la IA en toda Europa. Su eje principal no es solo garantizar la adopción fiable y segura de la IA en el continente, sino también velar por la salud, la seguridad y los derechos fundamentales de sus ciudadanos. Por ello, presenta normativa inédita basada en los riesgos que suponen los sistemas de IA y hace hincapié en los casos de uso de alto riesgo e inaceptables, así como en las obligaciones insoslayables de los modelos y sistemas de IA de uso general (general purpose AI, GPAI). 

El proceso legislativo se ha dado por finalizado y la ley entró en vigor en agosto de 2024, pero aún se deben confeccionar más normas generales y marcos legislativos sobre la aplicación de la IA para delimitar el alcance de la ley, sobre todo en relación con los modelos GPAI, como los de OpenAI. 

En OpenAI, nos comprometemos a cumplir la ley, y no solo porque tenemos una obligación legal, sino porque su objetivo concuerda con nuestra misión de desarrollar e implementar una IA segura que le sea útil a toda la humanidad. Nos enorgullece lanzar modelos líderes en el sector tanto por las capacidades como por la seguridad que ofrecen. Somos defensores de un sistema equilibrado y científico que integre las medidas de seguridad⁠ en el proceso de desarrollo desde el primer momento. Nuestros equipos se ocupan de una amplia variedad de cuestiones técnicas relacionadas con la seguridad de la IA, como evaluar los modelos según nuestro marco de preparación⁠ antes de su implementación, llevar a cabo laspruebas de los equipos rojos⁠ internos y externos, supervisar⁠ los usos indebidos de la IA tras su implementación, coordinar los programas Bug Bounty⁠ y de subvenciones de ciberseguridad⁠, colaborar en las normas de autenticidad⁠, entre otras. 

Conforme comience a regir la nueva ley en los próximos meses, trabajaremos codo a codo con la Oficina de la IA de la UE y con otras autoridades pertinentes, con la esperanza de que la experiencia que hemos adquirido contribuya al cumplimiento de los objetivos de la ley en lo que respecta a la implementación de una IA segura y beneficiosa.  

En este artículo, presentamos un panorama general de algunos de los temas más importantes de la Ley de IA, haciendo hincapié en los casos de uso prohibidos y de alto riesgo.

La Ley de IA entrará en vigencia el 1 de agosto de 2024, veinte días después de su publicación en el Diario Oficial de la Unión Europea. Aunque la mayoría de las disposiciones no comenzarán a aplicarse hasta veinticuatro meses después de su entrada en vigor, hay varios plazos importantes que deben tenerse en cuenta: 

• Las disposiciones sobre prácticas prohibidas se harán efectivas seis meses después de la entrada en vigor (febrero de 2025). 
• Los códigos de conducta, que abarcan muchos de los pormenores necesarios sobre la implementación de la IA para poder cumplir con la ley, deberán ultimarse en un plazo de nueve meses tras la entrada en vigor (mayo de 2025). 
• La mayoría de las obligaciones que competen a las IA de uso general se pondrán en vigencia doce meses después de la entrada en vigor (agosto de 2025). 
• Las obligaciones que corresponden a la mayoría de los sistemas de IA de alto riesgo se harán efectivas veinticuatro meses después de la entrada en vigor (agosto de 2026). 

Los sistemas GPAI preexistentes que no se hayan modificado de forma considerable y aquellas IA que forman parte de los sistemas informáticos a gran escala y se enumeran en el anexo X de la Ley de IA dispondrán de un plazo ampliado de treinta y seis meses (agosto de 2027) para cumplir con la ley.

La Ley de IA se aplica principalmente a “sistemas de IA”, que según la ley se definen como “un sistema virtual diseñado para funcionar con diversos niveles de autonomía, capaz de mostrar capacidad de adaptación tras su implementación y que, con el propósito de cumplir objetivos manifiestos o tácitos, infiere a partir de datos ingresados cómo generar resultados, tales como predicciones, contenido, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales”.  En líneas generales, esta definición coincide con la de la OCDE publicada en 2023 y con la que se utiliza en la Orden Ejecutiva 14110 “Desarrollo y uso seguro y confiable de la inteligencia artificial” emitida por el Gobierno de Biden.  

Debe destacarse que la Ley de IA distingue entre los conceptos de proveedores y administradores de sistemas de IA. Los proveedores son entidades, como OpenAI, que desarrollan sistemas de IA o modelos de IA de uso general. No obstante, el concepto también abarca entidades que encargan el desarrollo de un sistema o modelo de IA de uso general y lo comercializan, o que lo ponen en servicio bajo su nombre o marca comercial, ya sea a cambio de un pago o de manera gratuita. 

En cambio, los administradores son clientes o socios que usan estos sistemas o modelos en sus propias aplicaciones, por ejemplo integrar GPT‑4o en un caso de uso concreto. La mayoría de las obligaciones de esta ley recaen sobre los proveedores en vez de los administradores; pero cabe destacar que si estos últimos integran un modelo de IA a su sistema de IA, según la ley, pueden convertirse en proveedores; por ejemplo, si usan su propia marca comercial en un sistema de IA o si lo modifican de una manera no contemplada por el proveedor original.

Las empresas con sede fuera de la UE también deben cumplir la Ley de IA bajo una serie de condiciones que pueden llegar a tener un gran alcance.  Por ejemplo, la ley se aplica si se cumple lo siguiente: 

• Un proveedor comercializa un sistema de IA o un modelo GPAI en el mercado de la UE, independientemente de si la empresa tiene sede dentro de esta o en otro país. 
• Los administradores de un sistema de IA tienen sede o sucursales dentro de la UE. 
• Los proveedores y administradores de sistemas de IA tienen sede o sucursales en un tercer país, pero los resultados generados por el sistema de IA se usan en la UE.

El amplio alcance extraterritorial de la Ley de IA implica que las empresas que no son europeas deben cumplir con la ley para poder prestar servicio a sus clientes dentro de la UE, independientemente de si tienen sede o no en ella.

La Ley de IA se basa en un marco estratégico con diversos niveles de riesgo y detalla condiciones específicas que corresponden a los sistemas de IA de alto riesgo o inaceptable. La ley exige a las empresas que clasifiquen el nivel de riesgo de sus sistemas de IA a los efectos de determinar las obligaciones reglamentarias que les competen. Además, establece varias categorías o niveles de sistemas de IA que conllevan diversas obligaciones.

Aquellos usos de IA que planteen un riesgo inaceptable para los derechos de las personas quedan totalmente prohibidos. Por ejemplo:   

• Aplicar técnicas subliminales, de manipulación o engañosas para influenciar el comportamiento de los usuarios, afectar la toma de decisiones fundamentadas y causar daños considerables. 
• Aprovecharse de vulnerabilidades relacionadas con la edad, la discapacidad o las circunstancias socioeconómicas para influenciar el comportamiento de los usuarios y causar daños considerables. 
• Implementar sistemas de categorización biométrica que infieran atributos delicados como la raza, opiniones políticas, afiliación sindical, creencias religiosas o filosóficas y vida u orientación sexual (salvo unas pocas excepciones a los fines de etiquetar y filtrar conjuntos de datos adquiridos de forma legal, así como de garantizar la aplicación de la ley). 
• Usar sistemas de calificación social, como los que evalúan o clasifican a personas o grupos en función de su comportamiento social o rasgos personales y les causan perjuicios. 
• Evaluar los riesgos de que una persona cometa delitos penales basándose exclusivamente en determinados perfiles o rasgos de personalidad (salvo unas pocas excepciones). 
• Recopilar bases de datos de reconocimiento facial mediante el rastreo generalizado de rostros en internet o en grabaciones de cámaras de seguridad
• Inferir emociones en el trabajo o instituciones educativas. 
• Usar la identificación biométrica remota en tiempo real en lugares públicos para hacer cumplir la ley (salvo unas pocas excepciones).

Según la ley, los sistemas que se consideren una amenaza sustancial para la salud, la seguridad o los derechos fundamentales de las personas se clasifican como IA de alto riesgo, por lo que deben cumplir con obligaciones muy estrictas. En esta clasificación se incluyen: a) los componentes de seguridad de los productos sujetos a otras leyes de la UE, y b) casos de uso concretos, como los sistemas diseñados para determinar el acceso o la matrícula a instituciones educativas, contratar o seleccionar personal o supervisar su desempeño, determinar el cumplimiento de requisitos para recibir subsidios, definir la capacidad crediticia de personas y evaluar los requisitos y el precio de los seguros de salud, entre otros.  

Los sistemas de IA de alto riesgo deben cumplir con obligaciones normativas muy rigurosas, como establecer un sistema de gestión de riesgos que evalúe permanentemente los riesgos y estrategias de mitigación durante todo el ciclo de vida del sistema de IA de alto riesgo o establecer medidas generales de gobernanza de datos para probar y evaluar riesgos de sesgo, así como preparar documentación técnica detallada antes de presentar el sistema al mercado. 

Los sistemas de IA que no conllevan riesgos inaceptables o altos solo deben cumplir con unos pocos requisitos, como las obligaciones relativas a la transparencia de los modelos. Por ejemplo, la ley detalla que los sistemas deben informar a los usuarios que están interactuando con una IA, como un chatbot, y que las imágenes, los audios y los videos manipulados artificialmente tienen que estar claramente etiquetados. La mayoría de los sistemas de IA que hay en el mercado probablemente entren en esta categoría.

Los proveedores de modelos y sistemas de IA de uso general, como OpenAI, deben cumplir los siguientes requisitos especiales: 

• Redactar documentación técnica detallada sobre el modelo y enviársela a la Oficina de IA cuando esta la solicite
• Facilitar documentación a los administradores del modelo GPAI para que puedan diseñar sus propios sistemas de IA
• Implementar normas que apliquen la legislación de la UE sobre los derechos de autor
• Proporcionar un resumen del contenido utilizado para entrenar el modelo GPAI 

Por otra parte, los proveedores de modelos GPAI que presenten competencias de gran impacto que, según se considere, supongan “riesgos sistémicos” (p. ej., modelos entrenados con una gran capacidad de cómputo, definida técnicamente como 10^25 FLOP) tendrán las siguientes obligaciones: 

• Llevar a cabo evaluaciones de los modelos para determinar y atenuar los riesgos sistémicos, así como evaluar y mitigar de forma continua los riesgos que se presenten
• Notificar a la Comisión de la UE sobre los modelos que cumplan los criterios de esta categoría
• Hacer seguimiento de los incidentes graves y notificarlos 
• Aplicar las medidas de seguridad adecuadas según el modelo y su infraestructura física

Los proveedores de modelos GPAI pueden suscribir a un código de conducta para demostrar que cumplen con los requisitos de la Ley de IA. Los pormenores detallados necesarios para cumplir con estas obligaciones seguramente tengan su fundamento en estos códigos de conducta. Desde OpenAI, en los próximos nueve meses esperamos poder colaborar con la Oficina de la IA de la UE en la confección de estos documentos. 

En OpenAI, nos comprometemos a cumplir con la Ley de IA aprobada por la UE y trabajaremos codo a codo con la flamante Oficina de la IA de la UE conforme la legislación comience a aplicarse. En los próximos meses, seguiremos preparando la documentación técnica necesaria y otras directivas para los proveedores y administradores de nuestros modelos GPAI. Asimismo, continuaremos trabajando en la seguridad de los modelos que presentamos tanto en el mercado europeo como fuera de este.   

Si quieres hacer averiguaciones sobre cómo cumplir con la Ley de IA, lo primero que debes hacer es tratar de clasificar los sistemas de IA según su campo de acción. Determina qué GPAI y qué otros sistemas de IA usas, observa cómo están clasificados y analiza qué obligaciones derivan de tus casos de uso. También debes definir si eres proveedor o administrador de los sistemas de IA que te competen. Estas cuestiones suelen ser complejas, por lo que lo mejor es consultar con un asesor jurídico si tienes dudas.