Qué significa la Ley de IA de la UE para su empresa
Tabla de contenido:
El mes pasado se produjo la histórica regulación sobre inteligencia artificial de la Unión Europea. entrar en los libros de derecho. La Ley de IA de la UE, que fue aprobada abrumadoramente por el Parlamento Europeo con una votación de 523 a 46, describe una variedad de niveles de riesgo, obligaciones y requisitos para las empresas que desarrollan, implementan y utilizan soluciones o modelos de IA.
Si bien se trata de una ley europea, las empresas de tecnología británicas que quieran ofrecer sus servicios y modelos de IA en el mercado de la UE deberán cumplirla o enfrentarse a fuertes multas. Esto requerirá una comprensión concreta de cómo funciona la versión final de la ley y una revisión completa de los programas de cumplimiento corporativo.
Cambios clave en la Ley de IA de la UE
Uno de los cambios más significativos en la versión final de la Ley de IA de la UE es “un enfoque más basado en el riesgo” para regular la tecnología, según Jake Moore, asesor de ciberseguridad global del fabricante de antivirus ESET.
Moore le dice a ISMS.online que las reglas serán diferentes para las aplicaciones de IA de bajo y alto riesgo, y las más estrictas se aplicarán a "aquellas con mayor potencial de daño". Ejemplos de esto último serían los dispositivos médicos impulsados por inteligencia artificial y las tecnologías policiales automatizadas.
Agrega que la ley también obligará a las empresas a ser transparentes sobre su uso de IA, prohibir aplicaciones peligrosas de IA, como la vigilancia policial predictiva, y examinar modelos de IA generativa como ChatGPT 4 y Google Gemini.
"Esta es la primera señal de que nos hemos dado cuenta de que un tamaño de IA no sirve para todos", continúa Moore.
Leonie Power, socia y especialista en inteligencia artificial del bufete de abogados Fieldfisher, dice que los cambios clave incluyen una definición de inteligencia artificial similar a la adoptada por la Organización para la Cooperación y el Desarrollo Económicos (OCDE), además de disposiciones específicas para deepfakes y uso general. Modelos de IA.
Paolo Sbuttoni, socio del bufete de abogados Foot Anstey, señala que muchos de estos cambios se describieron en un proyecto legislativo filtrado que los legisladores de la UE acordaron provisionalmente en diciembre pasado. Incluía una definición final del sistema de IA, requisitos para una evaluación del impacto en los derechos fundamentales, limitaciones a la identificación biométrica en tiempo real y reglas para sistemas de IA de uso general, dice.
"Los colegisladores llevaron a cabo algunas modificaciones técnicas a la ley en enero de 2024 para alinear el texto de los considerandos con los artículos acordados durante las negociaciones de diciembre, pero no ha habido cambios materiales en el borrador de diciembre de 2023", le dice a ISMS. .en línea.
El impacto en las organizaciones del Reino Unido
Gran Bretaña puede haber abandonado la Unión Europea y desarrolló su propio enfoque a regular la tecnología de IA, pero esto no significa que la Ley de IA de la UE no afectará a las empresas del Reino Unido. Según Sbuttoni de Foot Anstey, cualquier empresa con sede en el Reino Unido que desee vender o instalar servicios de IA en la UE debe seguir las reglas.
Sin embargo, según el artículo 28, estas obligaciones variarán dependiendo de las modificaciones realizadas por los implementadores, distribuidores o importadores con sede en la UE de servicios de inteligencia artificial desarrollados u ofrecidos por empresas británicas, aclara. Estos grupos se conocen más ampliamente como “usuarios intermedios”, mientras que los proveedores de servicios de inteligencia artificial son entidades “ascendentes”.
Refiriéndose al artículo 3, punto 23, Sbuttoni afirma que los reguladores de la UE considerarán a estos grupos como proveedores de servicios si realizan cambios sustanciales en los sistemas proporcionados por las empresas británicas. En este contenido, dice que la entidad del Reino Unido necesitaría brindar al usuario intermedio de la UE (ahora el proveedor de servicios) documentos técnicos, información sobre capacidades y acceso y asistencia técnica para que la otra parte pueda cumplir con la ley.
Cumplir con estas obligaciones
Cuando se trata de cumplir con estos nuevos requisitos legales, las empresas británicas de IA que quieran operar en el mercado de la UE deberán realizar una serie de cambios en sus programas de cumplimiento. Fieldfisher's Power recomienda que las organizaciones comiencen este proceso revisando cualquier sistema de IA desarrollado, implementado o planificado y determinando el impacto que la Ley de IA de la UE tendrá sobre ellos.
Luego aconseja que las organizaciones clasifiquen los modelos y sistemas de IA según su nivel de riesgo, como un riesgo alto o sistemático, y comprendan el papel que desempeñan en la cadena de suministro de IA. El último paso es implementar un marco de gobernanza de la IA. Power dice que las organizaciones pueden aprovechar marcos de gobernanza y riesgo probados, como los que se utilizan para la privacidad de datos, para hacer esto.
“En particular, considere la superposición con RGPD "El cumplimiento y la medida en que la organización puede aprovechar esas medidas de cumplimiento para abordar las obligaciones de la Ley de IA de la UE", le dice a ISMS.online. "Al adoptar el enfoque anterior, las organizaciones deben tener en cuenta los períodos de transición para requisitos específicos, que varían entre seis y 36 meses".
Sbuttoni de Foot Anstey dice que las organizaciones deberían diseñar programas de cumplimiento en torno a los riesgos potenciales que plantean sus sistemas de IA. Las cuatro categorías de riesgo adoptadas por la Ley de IA de la UE son: mínimo, limitado, alto e inaceptable.
“Los sistemas de riesgo bajo/mínimo estarán sujetos a obligaciones limitadas, mientras que la ley impone una serie de requisitos importantes a los operadores de sistemas de alto riesgo. Entre ellos se incluyen la gestión de riesgos, las evaluaciones de conformidad y de impacto, la calidad de los datos, la transparencia o la supervisión humana”, afirma.
El incumplimiento de estas normas podría tener un coste financiero elevado. La UE podría multar a las empresas con hasta 35 millones de euros (30 millones de libras esterlinas) o el 7% de la facturación global del año anterior si incurren en prácticas prohibidas, 15 millones de euros (13 millones de libras esterlinas) o el 3% por no cumplir otros requisitos reglamentarios, y 7.5 millones de euros. (6.4 millones de libras esterlinas) o el 1% por proporcionar información falsa.
Cómo puede ayudar la ISO 42001
A medida que las empresas británicas adaptan sus programas de cumplimiento en función de los requisitos establecidos por la Ley de IA de la UE, también podría ser una buena idea implementar la norma ISO 42001 para sistemas de gestión de IA.
Fieldfisher's Power dice que aprovechar este estándar de la industria permitiría a las empresas cumplir con la Ley de IA de la UE "creando una cultura de transparencia, responsabilidad y uso ético de la IA".
Sbuttoni de Foot Anstey añade que la orientación técnica ofrecida por ISO 42001 ayudará a las empresas a gestionar los riesgos y oportunidades de la IA.
“Si bien no garantiza el cumplimiento de la ley, es un buen paso para ayudar a las empresas que utilizan IA a cumplir con los requisitos legales o de la industria”, argumenta.
Dado el tamaño del mercado europeo, muchas empresas británicas que esperan aprovechar el poder de la IA en sus ofertas de productos considerarán el estándar como una forma de agilizar su expansión internacional.
