La ley, aprobada en el Parlamento Europeo en marzo, y publicada en el boletín oficial de la Comisión Europea en julio, estipula a partir de este 1 de agosto una serie de plazos, entre meses y años, para que las empresas que desarrollan y utilizan IA adopten la normativa.
La AI Act establece normas y plazos diferenciados para su adopción según una clasificación de cuatro niveles de riesgo: sin riesgo; riesgo mínimo; riesgo alto y prohibición de sistemas IA.
Esta norma se aplicará a todas los sistemas IA que ya estan en funcionamiento y también a cualquier nuevo desarrollo.
Las prácticas de mayor riesgo, que estarán prohibidas por completo a partir de febrero de 2025, serán aquellas que manipulen a través de IA la toma de decisiones de los usuarios y, por otro lado, las que amplíen las bases de datos de reconocimiento facial mediante scraping, o raspado, de páginas web. La normativa hace una prohibición expresa de los sistemas que permitan la implementación de «social scoring«, o puntuación social, por parte de gobiernos o compañias argumentando que violan los derechos humanos fundamentales.
El scraping es una forma de recopilación de datos por la cual un bot simula la actividad de navegación de un usuario y realiza una alta cantidad de peticiones a páginas web. Esta práctica, incluso antes de ser potenciada por IA, presentaba cuestiones legales como las del caso de eBay en el cual un tribunal estadounidense falló en contra de la empresa Bidder’s Edge, que usaba un software para ofertar automáticamente por productos. Esta actividad es igualmente necesaria para el funcionamiento de muchas páginas como por ejemplo aquellas que comparan precios de vuelos de distintas aerolíneas. Lo que se prohíbe aquí es su uso potenciado por IA para recopilar bases de datos que puedan servir para reconocimiento facial.
En la escala siguiente, considerada de “alto riesgo”, encontramos IAs cuyo uso no será prohibido pero que deberán seguir las regulaciones más estrictas. Entre ellas se encuentra las que recolectan otros tipos de datos biométricos, incluida información general como etnia o sexo; el software médico basado en IA y también aquellas aplicaciones de Inteligencia Artifical utilizadas en infraestructura crítica y decisiones de empleo y contratación.
Las compañías que utilicen soluciones de IA de esta categoría deberán mostrar los datasets, o conjuntos de datos, con los que entrenan sus programas y proporcionar pruebas de supervisión humana sobre las decisiones tomadas.
Algunos ejemplos para imaginarnos que actividades caerían en este nivel son el de una IA tomando la decisión automática de despedir empleados luego de evaluar datos de su rendimiento o decidiendo abrir las compuertas de alivio de una represa hidroeléctrica sin supervisión humana.
Luego tenemos la categoría de “riesgo mínimo” en la que según Thomas Regnier, portavoz de la Comisión Europea, entraría el 85% de las aplicaciones de IA.
Aqui se incluyen la mayoria de las aplicaciones de las grandes empresas de IA, como OpenAI y DeepMind, consideradas “IAs de uso general”.
Las empresas que desarrollan IA de uso general deben demostrar que cumplen con las leyes de derechos de autor, publicar un resumen de los datos de entrenamiento y demostrar que protegen la ciberseguridad. Además, sistemas como los chatbots deben informar claramente a los usuarios que están interactuando con una máquina, mientras que los contenidos generados por IA deben estar etiquetados como tales.
Algunas de las noramas cristalizadas en la Ley de IA repiten protocolos ya adoptados por estas empresas. Vemos en el caso del famoso ChatGPT o de la nueva IA integrada en las apps de Meta que los chatbots evitan dar información sobre actividades que pueden ser ilegales y tampoco generan imagenes con derechos de autor.
En la categoría de «sin riesgo» entran los filtros de spam y la mayoría de videojuegos habilitados con IA. Estos no tienen ninguna obligación bajo la Ley de IA pero las empresas pueden adoptar voluntariamente códigos de conducta adicionales.
La ley también incluye la creación de la Oficina de IA de la Comisión Europea que supervisará la aplicación de la norma. Cuenta con un staff de unas 140 personas con delegados de los 27 estados miembro de la UE. Actualmente trabajan en la reglamentación de la ley en cada país. Los países miembros tienen hasta agosto del año que viene para establecer autoridades nacionales competentes en esta materia.
Expertos estiman que la adaptación a la nueva normativa le llevará a las empresas de 3 a 6 meses dependiendo el tamaño de la compañía y el rol que tiene en ellas la IA. Esto disparará la contratación de consultores de IA que auditen de manera completa las tecnologías usadas y asesoren a las compañías en materia legal, tecnológica y de seguridad.
Si una empresa infringe la Ley de Inteligencia Artificial, se enfrenta a una multa equivalente a un porcentaje de su facturación anual global del año anterior o a una cantidad fija (la que sea mayor). Las multas pueden oscilar entre 35 millones de euros (38 millones de dólares) o el 7% de la facturación global, y 7,5 millones de euros (8,1 millones de dólares) o el 1% de la facturación.
Los claros pasos a seguir para adoptarla sumado al reconocimiento cada vez más extendido de que una regulación para la Inteligencia Artificial es necesaria nos hace pensar que la adopción de estas medidas será amplia. Sin embargo, habrá que esperar que suceda algún litigio al respecto de esta ley como para ver de qué forma es aplicada efectivamente además de cómo se determina la jurisdicción que debe actuar teniendo en cuenta el carácter transnacional del ciberespacio y la falta de normativas similares en otros países.
Unas 700 compañias comunicaron que firmaran un “Pacto IA” comprometiéndose a cumplir las normas europeas tempranamente.
Es probable que su aplicación en los primeros años sea complicada debido a la multiplicididad de tecnologías de diferente naturaleza que pretende englobar y la miríada de aplicaciones que puedan tener, incluidas todas aquellas que todavía no fueron inventadas y que surgiran en los próximos años.
Volviendo al caso de alto riesgo de la central hidroelectrica, si bien es una infraestrctura crítica no es lo mismo utilizar IA para decidir abrir las compuertas que para manejar un dron que tome imagenes aéreas, escanee constantemente la represa y evalue las reparaciones. Sin embargo con la amplitud de las definiciones actuales ambos usos podrían caer en la categoría de alto riesgo.
“Lo que se oye por todas partes es que lo que hace la UE es pura regulación (…) y que eso bloqueará la innovación. Eso no es correcto”, afirmó Regnier. “La legislación no está ahí para disuadir a las empresas de lanzar sus sistemas, sino todo lo contrario.”
“Queremos que operen en la UE, pero queremos proteger a nuestros ciudadanos y proteger a nuestras empresas”.
En línea con esto hay que tener en cuenta que la Comisión esta preparando un paquete de inversión en desarrollos IA que prevé una inyección de mil millones de euros para este año y una meta de 20 mil millones para 2030.