24/10/2024
La Inteligencia Artificial (IA) ha revolucionado rápidamente las industrias, las economías y las sociedades de todo el mundo. Reconociendo tanto el enorme potencial como los riesgos intrínsecos de la tecnología de IA, la Unión Europea (UE) ha puesto en marcha una amplia legislación para regular el desarrollo y la utilización de la IA. A continuación, Rob Nidschelm profundizará en los hitos, la historia y los objetivos de la nueva legislación de la UE sobre IA, explorará su relación con otros marcos normativos (como el GDPR, el NIS2 y el DORA) y examinará iniciativas similares fuera de la UE.
Breve historia de la legislación sobre IA en la UE
Los esfuerzos legislativos de la UE en materia de IA comenzaron seriamente a finales de la década de 2010, con el objetivo de fomentar la innovación y salvaguardar al mismo tiempo los derechos y la seguridad de los ciudadanos. Entre los principales hitos figuran:
- Abril de 2018: La Comisión Europea dio a conocer la Estrategia Europea sobre Inteligencia Artificial, concentrándose en amplificar las inversiones públicas y privadas en IA, prepararse para las transformaciones socioeconómicas y garantizar un marco ético y jurídico adecuado.
- Diciembre de 2018: Adopción del Plan Coordinado sobre Inteligencia Artificial, que fomenta la colaboración entre los Estados miembros para maximizar el impacto de las inversiones en IA tanto a nivel nacional como de la UE.
- Abril de 2019: El Grupo de Expertos de Alto Nivel sobre IA publicó las Directrices éticas para una IA digna de confianza, en las que se esbozan principios como la transparencia, la rendición de cuentas y la supervisión humana.
- Febrero de 2020: Publicación del Libro Blanco sobre Inteligencia Artificial de la Comisión Europea, en el que se proponen opciones políticas para permitir un desarrollo fiable y seguro de la IA en Europa.
- Abril de 2021: Presentación de la propuesta de Ley de Inteligencia Artificial (AI Act), cuyo objetivo es establecer un marco jurídico para la IA que equilibre la innovación con la protección de los derechos fundamentales.
Entender la Ley de Inteligencia Artificial
La propuesta de Ley de Inteligencia Artificial representa un hito legislativo destinado a regular las tecnologías de IA en función de sus riesgos potenciales. Adopta un enfoque basado en el riesgo, categorizando los sistemas de IA para garantizar niveles adecuados de regulación sin ahogar la innovación.
En lo más alto de la jerarquía están los sistemas de IA que plantean un "riesgo inaceptable". Están prohibidos por su potencial para amenazar la seguridad, los medios de subsistencia o los derechos fundamentales. Esto incluye sistemas que manipulan el comportamiento humano para eludir el libre albedrío de los usuarios, o que permiten el escrutinio social por parte de los gobiernos.
A continuación están las aplicaciones de IA de "alto riesgo", que están sujetas a estrictas obligaciones antes de poder comercializarse. Estos sistemas suelen utilizarse en sectores críticos como la sanidad, el transporte y las fuerzas de seguridad. Estas normas incluyen la realización de evaluaciones de riesgo, la garantía de conjuntos de datos de alta calidad, el mantenimiento de registros de actividades y la posibilidad de supervisión humana.
Los sistemas de "riesgo limitado" son aquellos con obligaciones específicas de transparencia. Por ejemplo, los chatbots deben informar a los usuarios de que están interactuando con una máquina, para garantizar el consentimiento informado.
Por último, pueden desarrollarse y utilizarse sistemas de IA de "riesgo mínimo", abiertos a la legislación vigente sin requisitos legales adicionales.
La Ley de IA en relación con el GDPR, el NIS2 y el DORA
La Ley de Inteligencia Artificial no existe en el vacío, sino que complementa y se entrecruza con otros importantes marcos normativos de la UE, lo que crea un entorno cohesionado para la gobernanza de la tecnología.
El Reglamento General de Protección de Datos (RGPD), en vigor desde mayo de 2018, es la piedra angular de la protección de datos y la privacidad en la UE. La Ley de IA se basa en los principios del RGPD al abordar la calidad de los datos y la gobernanza en los sistemas de IA. Ambas normativas hacen hincapié en la protección de los datos personales, la transparencia y los derechos de las personas. Por ejemplo, los sistemas de IA deben garantizar la minimización de los datos y el tratamiento lícito, en consonancia con los requisitos del RGPD.
La Directiva sobre Seguridad de las Redes y de la Información 2 (NIS2) pretende reforzar la ciberseguridad en toda la UE, abarcando sectores críticos y servicios esenciales. La Ley de IA cumple la NIS2 al garantizar que los sistemas de IA, especialmente los de alto riesgo, sean seguros y resistentes frente a las ciberamenazas. Esta unidad es crucial porque los sistemas de IA podrían convertirse en objetivos o herramientas de ciberataques, comprometiendo potencialmente la seguridad y la privacidad.
La Ley de Resiliencia Operativa Digital (DORA) se centra en la capacidad del sector financiero para resistir y recuperarse de las perturbaciones relacionadas con las TIC. La Ley de IA complementa a la DORA garantizando que los sistemas de IA utilizados en las finanzas sean fiables y seguros. Juntas, promueven la resistencia operativa, haciendo hincapié en la gestión de riesgos, la notificación de incidentes y una sólida supervisión.
Al alinear la Ley de IA con GDPR, NIS2 y DORA, la UE crea un entorno normativo unificado que aborda la protección de datos, la ciberseguridad y la resiliencia operativa, fomentando un ecosistema fiable para el desarrollo y la implementación de IA.
Objetivos de la nueva legislación sobre IA
La legislación de la UE sobre IA aspira a alcanzar varios objetivos clave. Uno de los principales es la protección de los derechos fundamentales y la seguridad, garantizando que los sistemas de IA se desarrollen y utilicen respetando principios como la no discriminación, la privacidad y la protección de datos.
Otro objetivo central es promover una IA digna de confianza. Mediante el establecimiento de reglas y normas claras, la legislación pretende aumentar la confianza del público en las tecnologías de IA, lo que es esencial para que sean adoptadas y aceptadas. La UE también quiere fomentar la innovación creando un mercado único de aplicaciones de IA legales, seguras y fiables. Con ello se pretende limitar la fragmentación del mercado y ofrecer seguridad jurídica a empresas e innovadores.
Garantizar la transparencia y la rendición de cuentas es crucial. La legislación impone medidas de transparencia, como revelar cuándo las personas interactúan con los sistemas de IA, y garantizar que los sistemas sean auditables y rindan cuentas. Esta apertura está pensada para empoderar a los usuarios y mantener la confianza pública en las tecnologías de IA.
Impacto en las empresas
Para las empresas que operan en la UE o que manejan datos de ciudadanos de la UE, la Ley de IA presenta tanto retos como oportunidades. Las empresas tendrán que evaluar sus sistemas de IA para determinar su categoría de riesgo y asegurarse de que cumplen las obligaciones pertinentes. Esto puede implicar ajustes significativos en sus procesos de desarrollo e implantación.
Los requisitos de cumplimiento podrían significar inversiones necesarias en nuevos sistemas y procesos, en particular para los que despliegan sistemas de IA de alto riesgo. Sin embargo, una normativa clara puede proporcionar un entorno estable para la innovación, fomentando la inversión en tecnologías de IA que sean conformes y fiables. Dado que la UE a menudo sienta precedentes en materia de normas reguladoras (como se ha visto con el GDPR), las empresas se beneficiarán de alinearse con las regulaciones de la UE, obteniendo potencialmente una ventaja competitiva en los mercados globales.
Legislación similar fuera de la UE
El reconocimiento del profundo impacto de la IA no se limita a Europa; en todo el mundo, los países están desarrollando sus propios marcos para regular la IA, lo que refleja una tendencia mundial hacia una gobernanza responsable de la IA.
En Estados Unidos, se ha adoptado un enfoque sectorial, con varias agencias federales que publican directrices específicas para sus dominios. Se ha propuesto la Ley de Responsabilidad Algorítmica para exigir a las empresas que evalúen el impacto de los sistemas automatizados de toma de decisiones y mitiguen cualquier riesgo. Aunque todavía no se ha promulgado, esta legislación significa una creciente concienciación sobre la necesidad de supervisar la IA.
El Reino Unido, tras el Brexit, está elaborando su estrategia de IA centrándose en una regulación favorable a la innovación. El Reino Unido planea introducir un marco normativo que fomente la innovación al tiempo que aborda los riesgos asociados a la IA. Este enfoque pretende equilibrar la posición del Reino Unido como líder en el desarrollo de la IA con la necesidad de salvaguardar los intereses públicos.
En China, el gobierno ha puesto en marcha normativas sobre IA, especialmente centradas en la seguridad de los datos y el uso ético de la IA. El enfoque chino combina una estricta supervisión gubernamental con un agresivo impulso al liderazgo tecnológico en IA. La normativa hace hincapié en la necesidad de que la IA se ajuste a los valores sociales y a los intereses de seguridad nacional.
En Canadá, el Gobierno ha propuesto la Ley de Inteligencia Artificial y Datos (AIDA), cuyo objetivo es regular los sistemas de IA de alto impacto y garantizar que se desarrollen e implanten de forma responsable. La ley exigiría a las organizaciones adoptar medidas para mitigar los riesgos y establecer mecanismos de supervisión.
En Australia, el gobierno publicó el Marco Ético de la IA, que proporciona principios voluntarios para guiar a empresas y gobiernos en el diseño, desarrollo e implementación de la IA. Aunque no es jurídicamente vinculante, refleja el compromiso de Australia de garantizar que las tecnologías de IA sean seguras y fiables.
En Japón, el gobierno ha promovido los Principios Sociales de la IA Centrada en el Ser Humano, centrándose en principios como los derechos humanos, la privacidad y la promoción de la innovación. El enfoque japonés hace hincapié en la coexistencia armoniosa de los seres humanos y la IA, con el objetivo de fomentar la confianza y la aceptación del público.
En Brasil, el gobierno está estudiando el Marco Legal para la Inteligencia Artificial, que pretende establecer principios, derechos y deberes para el desarrollo y la aplicación de la IA. El marco se centra en promover la innovación al tiempo que garantiza el respeto de las normas éticas y los derechos fundamentales.
En Sudáfrica , como parte del creciente interés del continente africano por la IA, el gobierno ha empezado a explorar el potencial de la IA y las respuestas normativas necesarias. La Comisión Presidencial sobre la Cuarta Revolución Industrial ha recomendado desarrollar un marco político y legislativo global para la IA, centrado en el crecimiento inclusivo y en consideraciones éticas.
Estas iniciativas proceden de todos los continentes y ponen de relieve un movimiento mundial hacia el establecimiento de marcos reguladores que equilibren la innovación con consideraciones éticas y la gestión de riesgos. El enfoque de cada país refleja su contexto socioeconómico, sus tradiciones jurídicas y sus prioridades estratégicas, lo que contribuye a la diversidad del panorama mundial de la gobernanza de la IA.
De cara al futuro
La Ley de AI aún se está debatiendo y está sujeta a enmiendas. Debe ser aprobada tanto por el Parlamento Europeo como por el Consejo antes de convertirse en ley. Una vez adoptada, un período de transición permitirá a las partes interesadas adaptarse a la nueva normativa. La integración con el GDPR, el NIS2 y el DORA subraya el enfoque holístico de la UE en materia de regulación, garantizando que los sistemas de IA no solo sean innovadores, sino también seguros, transparentes y respetuosos con los derechos individuales.
Principales conclusiones
- La UE lidera la creación de una legislación exhaustiva sobre IA con la propuesta de Ley de IA.
- La Ley de IA complementa otras normativas como GDPR, NIS2 y DORA, creando un marco cohesivo para la protección de datos, la ciberseguridad y la resiliencia operativa.
- Un enfoque basado en el riesgo clasifica los sistemas de IA en riesgo inaceptable, alto, limitado y mínimo.
- La legislación pretende proteger los derechos fundamentales, promover la confianza, fomentar la innovación y garantizar la transparencia.
- Las empresas deben prepararse para cumplir las nuevas obligaciones, que pueden afectar a las estrategias de desarrollo e implantación.
- En todo el mundo se están realizando esfuerzos reguladores similares, lo que refleja el reconocimiento mundial de la necesidad de una gobernanza responsable de la IA.
- Mantenerse informado y comprometido con el proceso legislativo es crucial para las organizaciones afectadas por estos cambios.
Al comprender la historia y los objetivos de la legislación de la UE sobre IA y su relación con otros marcos reguladores, las empresas pueden navegar por el nuevo entorno normativo con eficacia y contribuir al desarrollo de tecnologías de IA que sean innovadoras y estén en consonancia con los valores sociales.
Para saber más sobre lo que significará para ti el marco de IA de la UE, ponte en contacto con uno de nuestros expertos. Te ayudaremos a preparar tu empresa para los cambios mencionados y a utilizar la IA de forma legal y éticamente responsable.