El Reglamento (UE) 2024/1689, conocido como la Ley de Inteligencia Artificial (IA), establece un marco jurídico armonizado para el desarrollo, comercialización y uso de sistemas de IA en la Unión Europea.
1. Objetivos y Ámbito de Aplicación.
El objetivo principal del Reglamento es mejorar el funcionamiento del mercado interior y promover una IA fiable y centrada en el ser humano. Busca garantizar un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales (incluyendo la democracia y el Estado de Derecho) frente a los efectos perjudiciales de la IA, mientras se apoya la innovación en la Unión.
El Reglamento se aplica a:
• Proveedores que introduzcan o pongan en servicio sistemas de IA o modelos de IA de uso general en la Unión, independientemente de si están establecidos en la UE o en un tercer país.
• Responsables del despliegue ubicados en la Unión.
• Proveedores y responsables de terceros países cuando los resultados de salida del sistema se utilicen en la Unión.
• Importadores, distribuidores y fabricantes de productos que integren IA.
Se definen los sistemas de IA como sistemas basados en máquinas, diseñados para funcionar con distintos niveles de autonomía, que pueden adaptarse tras su despliegue y que infieren cómo generar predicciones, contenidos o decisiones que influyen en entornos físicos o virtuales.
2. Prácticas de IA Prohibidas.
El Reglamento adopta un enfoque basado en el riesgo, prohibiendo prácticas que se consideran una amenaza para los valores de la Unión. Las prácticas prohibidas incluyen:
• Sistemas que utilicen técnicas subliminales, manipuladoras o engañosas para alterar sustancialmente el comportamiento humano y causar perjuicios considerables.
• Explotación de vulnerabilidades de personas por su edad, discapacidad o situación socioeconómica.
• Sistemas de puntuación ciudadana (social scoring) por parte de agentes públicos o privados que deriven en tratos desfavorables injustificados.
• Evaluaciones de riesgo para predecir la comisión de delitos basadas únicamente en el perfilado o rasgos de personalidad (policía predictiva individualizada).
• Extracción no selectiva de imágenes faciales de internet o CCTV para crear bases de datos de reconocimiento facial.
• Inferencia de emociones en el lugar de trabajo o en centros educativos (salvo por motivos médicos o de seguridad).
• Categorización biométrica para deducir datos sensibles (raza, opiniones políticas, orientación sexual, etc.).
Asimismo, se prohíbe el uso de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho, salvo excepciones estrictas como la búsqueda de víctimas de secuestro, prevención de amenazas terroristas inminentes o localización de sospechosos de delitos graves.
3. Sistemas de IA de Alto Riesgo.
Los sistemas de IA se clasifican como de alto riesgo si son componentes de seguridad de productos ya sujetos a evaluaciones de conformidad por terceros (como juguetes, máquinas o productos sanitarios) o si se utilizan en ámbitos específicos con gran impacto social.
Ámbitos de Alto Riesgo-:
1. Biometría: Identificación remota, categorización sensible y reconocimiento de emociones.
2. Infraestructuras críticas: Gestión de tráfico, agua, gas y electricidad.
3. Educación: Admisión, evaluación de resultados y seguimiento de comportamiento en exámenes.
4. Empleo: Selección de personal, promoción, rescisión y asignación de tareas.
5. Servicios esenciales: Evaluación de solvencia (créditos), seguros de vida/salud y triaje en emergencias médicas.
6. Garantía del cumplimiento del Derecho: Evaluación de fiabilidad de pruebas y riesgo de reincidencia.
7. Migración y asilo: Examen de solicitudes de visado y control fronterizo.
8. Justicia y democracia: Apoyo a autoridades judiciales e influencia en procesos electorales.
Requisitos para Sistemas de Alto Riesgo:
Los proveedores deben cumplir con requisitos rigurosos, entre los que destacan:
• Sistema de gestión de riesgos: Un proceso iterativo durante todo el ciclo de vida para detectar y mitigar riesgos.
• Gobernanza de datos: Los conjuntos de datos de entrenamiento deben ser pertinentes, representativos y estar libres de errores en la medida de lo posible para evitar sesgos,.
• Documentación técnica: Elaboración de información detallada para demostrar la conformidad ante las autoridades.
• Transparencia: Instrucciones de uso que permitan a los usuarios interpretar los resultados del sistema.
• Supervisión humana: Diseño que permita a personas físicas vigilar el funcionamiento y, si es necesario, detener el sistema.
• Solidez y ciberseguridad: Niveles adecuados de precisión y resiliencia frente a ataques como el «envenenamiento de datos»,.
4. Modelos de IA de Uso General (GPAI).
El Reglamento introduce normas para los modelos de IA de uso general, que son aquellos entrenados con grandes volúmenes de datos y capaces de realizar una amplia variedad de tareas (como los modelos fundacionales o la IA generativa),.
Todos los proveedores de GPAI deben,:
• Mantener documentación técnica actualizada.
• Proporcionar información a los proveedores posteriores que integren el modelo.
• Respetar el Derecho de la Unión sobre derechos de autor.
• Publicar un resumen detallado de los contenidos utilizados para el entrenamiento.
Si un modelo presenta riesgos sistémicos (generalmente aquellos con una capacidad de cálculo superior a 10 FLOPS), el proveedor debe realizar pruebas de evaluación del modelo (incluyendo simulaciones de adversarios), mitigar riesgos sistémicos, vigilar incidentes graves y garantizar un nivel elevado de ciberseguridad.
5. Transparencia para Determinados Sistemas.
Existen obligaciones de transparencia específicas para sistemas que no siempre son de alto riesgo:
• Interacción humana: Los sistemas de IA destinados a interactuar con personas deben informar de ello, a menos que sea obvio por el contexto.
• Contenido sintético: Los proveedores deben marcar los resultados de salida (imágenes, audio, vídeo o texto generados por IA) en un formato legible por máquina para que sea detectable.
• Ultrasuplantaciones (Deepfakes): Los responsables del despliegue deben revelar que el contenido ha sido generado o manipulado artificialmente, con excepciones limitadas para fines artísticos o satíricos.
6. Apoyo a la Innovación y Pymes.
Para fomentar el desarrollo tecnológico, los Estados miembros deben establecer al menos un espacio controlado de pruebas para la IA (regulatory sandbox). Estos entornos permiten probar sistemas innovadores bajo vigilancia regulatoria antes de su comercialización. El Reglamento prevé un acceso prioritario para pymes y empresas emergentes. Asimismo, se establecen medidas para reducir la carga administrativa de las microempresas, como la posibilidad de cumplir ciertos requisitos de gestión de calidad de forma simplificada.
7. Gobernanza y Sanciones.
A escala de la Unión, se crea la Oficina de IA (dentro de la Comisión), el Consejo Europeo de Inteligencia Artificial (compuesto por representantes de los Estados miembros), un grupo de expertos científicos independientes y un foro consultivo.
El incumplimiento del Reglamento conlleva sanciones económicas severas:
• Infracciones por prácticas prohibidas: multas de hasta 35 millones de euros o el 7 % del volumen de negocios mundial anual.
• Incumplimiento de otras obligaciones (como las de alto riesgo): hasta 15 millones de euros o el 3 %.
• Suministro de información inexacta a las autoridades: hasta 7,5 millones de euros o el 1 %.
8. Cronograma de Aplicación.
El Reglamento entró en vigor el 1 de agosto de 2024 y será aplicable, con carácter general, a partir del 2 de agosto de 2026. No obstante:
• Las prohibiciones de prácticas de IA se aplicarán desde el 2 de febrero de 2025.
• Las normas sobre gobernanza y modelos de IA de uso general se aplicarán desde el 2 de agosto de 2025.
• Ciertas obligaciones para sistemas de IA de alto riesgo integrados en productos se aplicarán a partir del 2 de agosto de 2027.
Comentarios recientes