Los sistemas y programas de inteligencia artificial (IA) son capaces de realizar tareas propias de la inteligencia humana, como razonar, aprender (machine learning), percibir, comprender el lenguaje natural y resolver problemas. Ya está presente en todos los ámbitos de nuestra vida, desde las aplicaciones habituales de compras o visionado de películas hasta el desarrollo de nuevas fórmulas farmacéuticas o la organización de procesos de producción. Permite automatizar tareas, tomar decisiones, mejorar la eficiencia y aportar soluciones en ámbitos tan diversos como la medicina, la industria, la robótica o los servicios financieros. La ley europea de IA comienza desde ahora a aplicarse gradualmente con el objetivo de garantizar su desarrollo con unos criterios éticos y legales. Estas son 10 respuestas a las dudas que genera una iniciativa pionera en el mundo:
¿Por qué Europa la regula?
La inteligencia artificial aporta beneficios sociales, fomenta el crecimiento económico y mejora la innovación y competitividad. Estas aplicaciones, en general, plantean un riesgo bajo o nulo. Pero otras pueden generar situaciones contrarias a los derechos y libertades, como los usos de inteligencia artificial para generar imágenes pornográficas no deseadas o la utilización de datos biométricos para categorizar a las personas por rasgos de su aspecto o su aplicación en procesos de contratación, educación, asistencia sanitaria o de actuación policial predictiva.
¿Cuáles son las categorías de riesgo?
Riesgo mínimo: En esta categoría están la mayoría de sistemas. Para estas aplicaciones, el proveedor, de forma voluntaria, puede adoptar los requisitos éticos y adherirse a códigos de conducta. Se considera IA de uso general aquella entrenada con una potencia informática de 10²⁵ operaciones de coma flotante por segundo (FLOPS, por sus siglas en inglés). FLOPS es la medida del rendimiento de una computadora y la Comisión considera la mencionada dimensión como el umbral de posibles riesgos sistémicos. La UE considera que ChatGPT-4, de OpenAI, y Gemini, de Google DeepMind, podrían estar en este umbral, que podrá revisarse mediante un acto delegado.
Alto riesgo: Son los modelos que, potencialmente, pueden afectar a la seguridad de las personas o a sus derechos. La lista está abierta a revisión permanente, pero la norma prevé ya ámbitos de aplicación incluidos en esta categoría, como infraestructuras críticas de comunicación y suministro, educación, gestión del personal o acceso a servicios esenciales.
Riesgo inadmisible: Los sistemas que se incluyan en esta categoría están prohibidos porque vulneran los derechos fundamentales. En esta lista están aquellos de clasificación o puntuación social, los que aprovechan la vulnerabilidad de las personas y los de identificación de raza, opinión, creencia, orientación sexual o reacción emocional. Se prevén excepciones para su uso policial con el fin de perseguir 16 delitos concretos relacionados con la desaparición de personas, secuestros, trata y explotación sexual, prevención de amenazas para la vida o la seguridad o respuesta a la amenaza actual o previsible de un ataque terrorista. En caso de urgencia, se puede autorizar un uso excepcional, pero, si se deniega, todos los datos e información tienen que ser suprimidos. En circunstancias no urgentes, ha de ir precedida de una evaluación previa de las repercusiones desde el punto de vista de los derechos fundamentales y debe notificarse a la autoridad de vigilancia del mercado pertinente y a la autoridad de protección de datos.
Riesgo específico para la transparencia: Se refiere a los peligros de manipulación que se generan con bulos de apariencia real (deepfakes) o con aplicaciones conversacionales. La norma obliga a dejar patente de forma inequívoca que el usuario está ante una creación artificial o que se interactúa con una máquina.
Riesgo sistémico: La norma tiene en cuenta que el uso generalizado de sistemas de gran capacidad puede ocasionar daños masivos o de amplio alcance, como el caso de ciberataques o de propagación de un bulo financiero o un sesgo.
¿Quiénes deben someterse a la ley?
Todos los agentes, tanto públicos como privados, que utilicen sistemas de inteligencia artificial dentro de la UE deben someterse a la ley, sean o no europeos. Afecta a los proveedores de programas, a los que los aplican y a quienes los compran. Todos deben velar por que su sistema sea seguro y conforme a la ley. En el caso de sistemas de alto riesgo, antes y después de ser comercializados o puestos en servicio, los sistemas deberán ser sometidos a una evaluación de conformidad para garantizar la calidad de los datos, trazabilidad, transparencia, supervisión humana, exactitud, ciberseguridad y solidez. Esta evaluación debe repetirse si el sistema o su finalidad se modifican sustancialmente. Los sistemas de inteligencia artificial de alto riesgo utilizados por las autoridades o entidades que actúen en su nombre deberán, además, estar registrados en una base de datos pública de la UE, a menos que tales sistemas se empleen a efectos policiales y de migración. Los proveedores de modelos con riesgos sistémicos (potencia informática de más de 10²⁵ FLOPS) tienen la obligación de evaluarlos y mitigarlos, notificar los incidentes graves, llevar a cabo pruebas y evaluaciones avanzadas, garantizar la ciberseguridad y facilitar información sobre el consumo de energía de sus modelos.
¿Qué debe incluir una evaluación de conformidad?
Los procesos, el período y la frecuencia de uso, las categorías de personas físicas y grupos afectados, los riesgos específicos, las medidas de vigilancia humana y el plan de actuación en caso de materialización de los riesgos.
¿Cómo sabe un proveedor los efectos de su producto?
Las grandes corporaciones ya cuentan con sistemas propios para adaptarse a la norma. Para las entidades menores y aquellas que usen sistemas de código abierto, la ley crea espacios controlados de pruebas y ensayo en condiciones reales, que aportan un entorno controlado para probar tecnologías innovadoras durante seis meses prorrogables a otros tantos. Podrán ser objeto de inspecciones.
¿Quiénes están exentos?
Los proveedores de modelos gratuitos y de código abierto están exentos de las obligaciones relacionadas con la comercialización, pero no de la obligación de evitar los riesgos. Tampoco afecta la norma a las actividades de investigación, desarrollo y creación de prototipos o a los desarrollos destinados a usos de defensa o de seguridad nacional. Los sistemas de IA de uso general sí tendrán que cumplir los requisitos de transparencia, como la elaboración de documentación técnica, el cumplimiento de la legislación de la UE en materia de derechos de autor y la difusión de resúmenes detallados sobre los contenidos utilizados para el entrenamiento del sistema.
¿Quién vigila el cumplimiento?
Se establece una Oficina Europea de Inteligencia Artificial, un panel de asesoramiento científico y autoridades de vigilancia nacionales para el seguimiento de los sistemas y autorización de aplicaciones. Las agencias y oficinas de IA deberán tener acceso a la información necesaria para cumplir sus obligaciones.
¿Cuándo será plenamente aplicable la Ley de IA?
Tras su adopción, la Ley de IA entra en vigor a los 20 días de su publicación y será plenamente aplicable en 24 meses, de forma gradual. En los primeros seis meses, los Estados miembros deben eliminar los sistemas prohibidos. En un año, se impondrán las obligaciones de gobernanza para la IA de uso general. En dos años, deben estar adecuados todos los sistemas alto riesgo.
¿Cuáles son las sanciones por las infracciones?
Cuando se comercialicen o utilicen sistemas de inteligencia artificial que no cumplan los requisitos del Reglamento, los Estados miembros deberán establecer sanciones efectivas, proporcionadas y disuasorias por las infracciones y notificarlas a la Comisión. Se prevén multas de hasta 35 millones de euros o el 7% del volumen de negocios anual a escala mundial del ejercicio financiero anterior, hasta 15 millones de euros o el 3% del volumen de negocios y hasta 7,5 millones de euros o el 1,5% del volumen de negocios. En cada categoría de infracción, el umbral sería el menor de los dos importes para las pymes y el más elevado para las demás empresas.
¿Qué puede hacer la víctima de una infracción?
La Ley de IA prevé el derecho a presentar una denuncia ante una autoridad nacional y facilita a las personas la reclamación de una indemnización por los daños causados por sistemas de inteligencia artificial de alto riesgo.
Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para recibir nuestra newsletter semanal.
Suscríbete para seguir leyendo
Lee sin límites
_