La UE firma las primeras regulaciones de la Ley para la IA: desde ChatGPT a la identificación biométrica por cámaras, sanciones y prohibiciones

La UE tenía que cerrar las primeras regulaciones de la Ley de la IA antes de finalizar el año para poderla hacer entrar en vigor antes del año siguiente que está a punto de entrar. Tras 24 horas de duro debate ininterrumpido que dio como anécdota la rotura de la máquina de café de la sala, las primeras medidas ya están sobre la mesa. El marco ha sido complicado y tiene que seguir siendo especificado y precisado más adelante, pero eso es algo común a cualquier ley, la cual va desde las grandes generalidades hasta los casos concretos conforme se avanza en ella. Dicho esto, estas son las primeras regulaciones oficiales de la Ley para la IA en la UE.

Aunque no lo parezca, la UE ha tenido que definir lo que se va a entender por un sistema de IA, ya que a fin de cuentas en un software muy avanzado y tiene que tener sus particularidades frente a cualquier otro más simple. Una vez hecho esto, el segundo paso fue establecer que esta Ley no afecta a las competencias de los estados en cuenta a materia de seguridad nacional, o con fines militares o de defensa. Por si fuese poco, también están exentos de la regulación los sistemas de IA con el único fin de investigación e innovación, así como las personas que utilicen la IA por motivos no profesionales.

Regulaciones de la Ley para la IA, ¿qué hay de nuevo?

Ley-IA-UE-regulación-excesiva

Pues en primer lugar el acuerdo de compromiso al que se ha llegado revela una capa horizontal de protección con una clasificación de alto riesgo. Estos sistemas de alto riesgo de IA tienen unos requisitos y obligaciones para entrar en el mercado de la UE.

Algunos requisitos ya los vimos, solo recordar que lo que vamos a ver es una aclaración de la primera Ley de IA, por lo que se va a profundizar en los requisitos de forma más técnica. Por ello, vamos a verlos detenidamente.

Excepciones concretas

Robots IA trabajadores

Se habla de "autoridades encargadas de hacer cumplir la ley" aquí, lo que entendemos como fuerzas de seguridad del estado en España, los cuales tendrán, según el texto de la UE, unas "salvaguardias adecuadas" para respetar la confidencialidad de los datos sensibles.

¿A qué se refieren exactamente? Pues por ejemplo, la nulidad de usar sistemas de identificación biométrica remota en espacios públicos, salvo en los casos que sean usados con fines policiales.

Aquí entran los ataques terroristas, búsqueda de personas con delitos muy graves, prevención de amenazas genuinas, víctimas de delitos y un largo etcétera con trama policial o judicial vinculada a la primera.

 IA de propósito general y modelos básicos

Inteligencia-Artificial-General-AGI

IA con diferentes propósitos, o IA que se integran en sistemas de alto riesgo para formar lo que se conoce como Sistemas de IA de propósito general o GPAI. Requisitos de transparencia y elaboración de documentación técnica ahora son necesarios para entrar a "jugar" en la UE, además de cumplimentar los derechos de autor de la comunidad económica y resúmenes detallados de los algoritmos y su entrenamiento.

Los llamados modelos de riesgo sistémico y GPAI de alto impacto tienen que pasar evaluaciones de modelos y mitigación, pruebas adversas y por supuesto, tienen que informar a la Comisión Europea de los incidentes graves como obligación, sean o no cibernéticos.

Habrá una Oficina de IA dentro de la Comisión y un panel científico de expertos independientes para asesorarla sobre temas técnicos, así como un foro consultivo. Por último, se ha aclarado que:

Los entornos limitados de pruebas regulatorios de IA, que se supone que deben establecer un entorno controlado para el desarrollo, prueba y validación de sistemas de IA innovadores, también deberían permitir probar sistemas de IA innovadores en condiciones del mundo real.

Además, se han agregado nuevas disposiciones que permiten probar sistemas de IA en condiciones del mundo real, bajo condiciones y salvaguardias específicas. Para aliviar la carga administrativa para las empresas más pequeñas, el acuerdo provisional incluye una lista de acciones que deben emprenderse para apoyar a dichos operadores y prevé algunas derogaciones limitadas y claramente especificadas. 

Prohibiciones de la IA en la Ley de la UE

Prohibiciones-de-la-IA

Medidas muy concretas que las vamos a resumir por puntos para que sean de fácil lectura:

  • Sistemas de categorización biométrica que utilizan características sensibles como creencias políticas, religiosas, filosóficas, orientación sexual y raza.
  • Extracción no dirigida de imágenes faciales de Internet o imágenes de CCTV para crear bases de datos de reconocimiento facial.
  • Reconocimiento de emociones en el ámbito laboral y en las instituciones educativas.
  • Puntuación social basada en el comportamiento social o características personales.
  • Sistemas de IA que manipulan el comportamiento humano para eludir su libre albedrío.
  • La IA solía explotar las vulnerabilidades de las personas debido a su edad, discapacidad, situación social o económica.

Sanciones y penalizaciones

Sanciones-hacia-la-IA

O comúnmente llamadas multas por violaciones de la Ley de IA y sus regulaciones, se establecen como un porcentaje de la facturación anual global de la empresa infractora en el año financiero anterior o una cantidad predeterminada, la que sea mayor de las dos. La UE especifica los siguientes ejemplos en concreto:

Esto equivaldría a 35 millones de euros o el 7% por violaciones de las aplicaciones de IA prohibidas, 15 millones de euros o el 3% por violaciones de las obligaciones de la ley de IA y 7,5 millones de euros o el 1,5% por el suministro de información incorrecta. 

Sin embargo, el acuerdo provisional establece límites más proporcionados a las multas administrativas para las pymes y las empresas de nueva creación en caso de infracción de las disposiciones de la Ley de IA.

Entrada en vigor y conclusiones

Clones IA crear Eternity.AC-Ley IA regulaciones

Por último, la entrada en vigor de estas regulaciones de la Ley para la IA. Según establece Europa en el texto, se debería aplicar a los dos años después de su entrada en vigor, con algunas excepciones para disposiciones específicas.

Dicho esto, el texto también dice que en las próximas semanas se seguirá trabajando a nivel técnico para ultimar los detalles del nuevo reglamento. Tras ello, la Presidencia presentará el texto transaccional a los representantes de los Estados Miembros para su aprobación y tiene que ser confirmado por ambas instituciones y sometido después a una revisión jurídico-lingüística antes de su adopción formal por los colegisladores.

En otras palabras, entrará en vigor en 2025 si no la terminan antes de final de año, o en 2026 si ahora se meten de lleno en 2024, lo cual es un poco irrelevante porque ya ha sido aprobada como tal y falta, como bien dice, terminar el nivel técnico como tal.

Con ello, Europa se pone otra vez a la cabeza del mundo en cuanto a regulación y crea un marco para las empresas de dos años donde ya pueden trabajar en adaptar sus departamentos legales, de personal y de hardware y software para cuando esté en vigor y tengan que presentar las documentaciones correspondientes, lanzando con ello al sector hacia el futuro.