¿Qué es la Ley Europea sobre Inteligencia Artificial? (AI Act)

¿TIENE ALGUNA PREGUNTA? ESTAREMOS ENCANTADOS DE AYUDARLE
  

Home » Temas » AI Act

Con la Ley de Inteligencia Artificial (AI Act), la Comisión Europea crea el marco jurídico para el uso de sistemas de IA en la empresa, la administración y la investigación.

La normativa clasifica las aplicaciones de IA en diferentes clases de riesgo, cada una con sus propios requisitos y obligaciones. Averigüe a quién afecta la Ley de IA, qué requisitos conlleva y cuál es la situación actual.

¿A quién afecta la Ley de IA?

La Ley de IA  aplica a:

Los proveedores (también de terceros países) que comercialicen u operen dentro de la Unión Europea los sistemas de IA desarrollados

Importadores

Operadores

Distribuidores

Usuarios de sistemas de IA ubicados en la UE

Proveedores y usuarios ubicados en un tercer país si la producción generada por un sistema de IA se utiliza en la UE

directiva-nis-2

¿Qué clasificación de riesgo contiene la Ley de IA?

La Ley de IA divide los sistemas de IA en 4 clases de riesgo diferentes, que están asociadas a distintos requisitos legales:

  1. Riesgo inaceptable
  2. Riesgo alto (sistemas de IA de alto riesgo)
  3. Riesgo limitado
  4. Riesgo bajo

Cuanto mayor sea el riesgo potencial asociado al uso de un sistema de IA, más amplios serán los requisitos asociados, como evaluaciones de riesgos, obligaciones de documentación, declaraciones de conformidad de la UE o supervisión por parte del operador.

La Ley de IA y otras normativas

Además de la regulación general de la Ley de IA, ya existen -y existirán- normativas sectoriales específicas que exigen medidas adicionales o diferentes basadas en el riesgo, como la Directiva de Maquinaria para plantas industriales, las Directrices de Ciberseguridad para Automoción (UN ECE)  para vehículos de motor o el MDR para máquinas asistidas por IA en el sector sanitario.

Sistemas de IA con riesgo inaceptable

Los sistemas de IA que entren en esta clase de riesgo estarán prohibidos en el futuro en virtud de la Ley de IA. La razón es que tienen un potencial considerable para violar los derechos humanos o los principios fundamentales.

Incluye aplicaciones que,

  • manipulan a las personas mediante técnicas subliminales o las dañan física o mentalmente,
  • explotan las debilidades de determinados grupos de personas debido a su edad o a deficiencias físicas o mentales para influir deliberadamente en ellas,
  • realizan evaluaciones o clasificaciones de la fiabilidad de las personas durante un determinado período de tiempo basándose en su comportamiento social o en rasgos de su personalidad que puedan conducir a una evaluación social negativa, o,
  • permiten la identificación biométrica de personas en espacios de acceso público en tiempo real a distancia (excepción: fuerzas del orden)

Sistemas de IA de alto riesgo

Se considera que una aplicación es un sistema de IA de alto riesgo si plantea un riesgo potencialmente elevado para la salud, la seguridad o los derechos fundamentales de las personas. Los sistemas que entran en esta categoría son, por ejemplo:

  • Sistemas de IA que se utilizan para la identificación biométrica de personas, 
  • Sistemas de IA que extraen conclusiones sobre las características personales de los individuos, incluidos los sistemas de reconocimiento de emociones. 
  • Sistemas utilizados para la gestión y explotación de infraestructuras críticas, 
  • Sistemas de IA para la educación o la formación relacionados con la valoración y evaluación de exámenes y logros educativos, y 
  • Sistemas de IA relacionados con la selección o filtrado de solicitudes de empleo o cambios de empleo o asignación de tareas.
Obligaciones de los sistemas de IA de alto riesgo

Las obligaciones asociadas a los sistemas de IA de alto riesgo incluyen:

  • Establecimiento, aplicación y documentación de un sistema de gestión de riesgos
  • Cumplimiento de los requisitos de administración y gestión de datos, en particular con respecto a los conjuntos de datos de entrenamiento, validación y prueba.
  • Creación y actualización periódica de la documentación técnica (documentación técnica)
  • Obligación de registrar eventos («logs») y registro de datos
  • Transparencia y suministro de información a los usuarios
  • Supervisión por personal humano
  • Cumplimiento de un nivel adecuado de precisión, solidez y ciberseguridad. En caso de uso de datos privados o de uso en entornos de infraestructuras críticas según la NIS2, deben aplicarse medidas organizativas y técnicas de ciberseguridad de última generación.

Sistemas de IA con riesgo limitado

Las aplicaciones con un riesgo limitado incluyen sistemas de IA que interactúan con humanos. Ejemplos de ello son los sistemas de reconocimiento de emociones o los sistemas de categorización biométrica. Con respecto a estos, los proveedores deben garantizar que las personas físicas sean informadas de que están interactuando con un sistema de IA o que esto debe ser evidente para los usuarios debido al contexto.

Sistemas de IA de bajo riesgo

Actualmente no existen requisitos legales para las aplicaciones que entran en la categoría de «bajo» riesgo. Entre ellas figuran, por ejemplo, los filtros de spam o los sistemas de mantenimiento predictivo.

Sin embargo, se requiere documentación técnica y una evaluación de riesgos para ser clasificada como aplicación de bajo riesgo.

Sanciones por infracciones

El incumplimiento de la prohibición de un sistema de IA (artículo 5) o el incumplimiento de los requisitos definidos (artículo 10) se castiga con multas de hasta 35 millones de euros o hasta el 7% del volumen de negocios total anual a nivel mundial.

El incumplimiento de los requisitos y obligaciones establecidos en la Ley de IA -a excepción de los artículos 5 y 10- se sanciona con multas de hasta 15 millones de euros o hasta el 3% del volumen de negocios total anual a nivel mundial.

El suministro de información falsa, incompleta o engañosa a los organismos notificados y a las autoridades nacionales competentes se sanciona con multas de hasta 7,5 millones de euros o hasta el 1,5% del volumen de negocios mundial anual total.

¿Cuál es la situación actual de la Ley de IA?

La Ley de IA fue adoptada por el Parlamento de la UE el 14.06.2023 Los Estados miembros de la UE aprobaron la ley el 21.05.2024. 

Tras su publicación en el Diario Oficial de la UE, cabe esperar un periodo de transición de hasta 2 años. 

¿Cómo pueden prepararse hoy las empresas para la Ley de IA?

Designar responsabilidades

Aunque la Ley de la IA aún no se haya adoptado oficialmente, tiene sentido que las empresas empiecen a revisar los requisitos en una fase temprana. Es aconsejable definir las responsabilidades correspondientes desde el principio. De este modo, ya pueden tomarse medidas preventivas sobre cómo deben gestionarse en el futuro los nuevos desarrollos o la compra y uso de aplicaciones de IA.

Gap Analysis  y plan de acción

Para determinar la situación actual en lo que respecta a la aplicación de la Ley de IA, es aconsejable llevar a cabo un Gap Analysis. A partir de ahí, se puede desarrollar un plan de acción a llevar a cabo. En este contexto, también es importante que las empresas identifiquen qué aplicaciones y soluciones de IA se utilizan realmente y a cuál de las distintas categorías de riesgo pertenecen. Esta categorización da lugar a los requisitos básicos que deben observarse.

Pensar en la seguridad de la IA desde el principio

Los expertos en IA de TÜVIT prestan apoyo a las empresas durante el desarrollo de sistemas para que se  tengan en cuenta desde el principio la seguridad, la solidez y la transparencia de dichas aplicaciones. También llevan a cabo gap analysis y otros análisis detallados (por ejemplo, la revisión del diseño del modelo); así mismo, ofrecen pruebas de seguridad utilizando un software de pruebas especializado. La mejor manera de que las empresas se preparen para los próximos requisitos es que un tercero independiente compruebe y/o certifique las propiedades de seguridad de su solución de IA. Esto es posible actualmente, por ejemplo, de acuerdo con el propio Esquema de Producto de Confianza de TÜVIT.

Supervisión continua

También es aconsejable supervisar continuamente si se añaden nuevas aplicaciones de IA o se producen cambios legales.

Proyecto final (2024) de la Ley de AI

La información de esta página se basa en el proyecto final de la Ley de AI. Puede encontrarlo en el sitio web oficial del Parlamento Europeo.

IR AL TEXTO LEGAL

¿Tiene alguna pregunta? Estaré encantado de ayudarle.

Por favor, consulta nuestra Política de Privacidad.


Esto también podría interesarle

Directiva NIS-2

Ofrecemos soporte para cumplir la Directiva NIS-2 mediante auditorías, evaluación de riesgos y asesoría en ciberseguridad para proteger infraestructuras críticas.
Más información

Directiva RED

Ayudamos a cumplir la Directiva RED ofreciendo asesoría, evaluación de conformidad y certificación para comercializar equipos radioeléctricos.
Más información

Directiva NIS-2

Ofrecemos soporte para cumplir la Directiva NIS-2 mediante auditorías, evaluación de riesgos y asesoría en ciberseguridad para proteger infraestructuras críticas.
Más información

Directiva RED

Ayudamos a cumplir la Directiva RED ofreciendo asesoría, evaluación de conformidad y certificación para comercializar equipos radioeléctricos.
Más información