Por qué es hora de empezar a planificar la Ley de IA de la UE

Por Phil Muncaster • 26 Septiembre 2023

Pocas tecnologías tienen el potencial de preocupar tanto a los reguladores y deleitar a las empresas como la inteligencia artificial (IA). Ha existido durante años en diversas formas. Pero los legisladores europeos se han sentido obligados a intervenir a medida que los algoritmos inteligentes se integran cada vez más en los procesos empresariales y las tecnologías orientadas a los ciudadanos.

El desafío para las empresas que desarrollen tales sistemas será evaluar si cumplen con los estrictos criterios necesarios para llegar al mercado dentro del bloque. Para las empresas del Reino Unido, en particular, será necesario tomar una decisión sobre cómo gestionar los regímenes regulatorios divergentes.

¿Qué contiene la Ley de IA?

Los gobiernos de todo el mundo están analizando más de cerca la IA en un intento por minimizar el abuso o el uso indebido accidental. El El G7 lo está discutiendo. La Casa Blanca está intentando establecer reglas básicas para proteger los derechos individuales y garantizar desarrollo y despliegue responsable. Pero es la UE la que está más avanzada en materia de legislación plenamente formada. Es propuestas El Parlamento Europeo aprobó recientemente una nueva “Ley de IA”.

La Ley de IA buscará adoptar un enfoque basado en el riesgo, clasificando los modelos de IA según su riesgo “inaceptable”, “alto”, “limitado” y “mínimo”.

Riesgo inaceptable significa sistemas que amenazan la “seguridad, los medios de vida y los derechos” de las personas. Incluyen tecnología de reconocimiento facial, puntuación social gubernamental y vigilancia policial predictiva, y serán prohibidas por completo.

Alto riesgo Los sistemas podrían incluir IA utilizada en infraestructuras críticas, que podrían poner en riesgo la salud de los ciudadanos, o en entornos de formación educativa, donde podría utilizarse para calificar exámenes. Otros ejemplos son:

Uso de IA en entornos laborales, como la clasificación de CV.
Puntuacion de credito.
Verificación de documentos en el control fronterizo.
La policía evalúa las pruebas.

Los eurodiputados también sitúan en la categoría de alto riesgo los sistemas de recomendación de las redes sociales y la inteligencia artificial utilizada para influir en los votantes durante las elecciones.

Riesgo limitado Se refiere a sistemas de inteligencia artificial en los que se debe informar a los usuarios que están interactuando con una máquina, como un chatbot.

Mínimo/sin riesgo Los sistemas como los filtros de spam de IA o los videojuegos se pueden utilizar libremente y sin restricciones. La UE afirma que esta categoría comprende la mayoría de los productos de IA actualmente en uso.

¿Cuáles son las obligaciones de las empresas que cumplen?

Aquellos desarrolladores (proveedores) de IA potencialmente de alto riesgo deben pasar por múltiples obstáculos antes de que sus productos sean permitidos en el mercado. Éstas incluyen:

Evaluaciones de riesgos y sistemas de mitigación
Mantener conjuntos de datos de alta calidad para minimizar el riesgo y la discriminación.
Registro de actividad para agregar transparencia a los resultados.
Documentación detallada del sistema y su propósito para compartir con las autoridades.
Información clara y “adecuada” para los usuarios
Supervisión humana “apropiada” para minimizar el riesgo
Altos niveles de “robustez, seguridad y precisión”.

Una vez que se desarrolla un sistema y ha pasado una evaluación de conformidad, se registrará en una base de datos de la UE y se le otorgará la marca CE. Sin embargo, los usuarios corporativos de modelos de IA deben garantizar una supervisión y un seguimiento humanos continuos, mientras que los proveedores tienen la obligación de supervisar los sistemas una vez que estén en el mercado. Ambas partes interesadas deben informar de incidentes graves y de cualquier mal funcionamiento de los modelos de IA.

¿Cómo afectará la ley a las empresas del Reino Unido?

La diferencia entre este posible régimen y el del Reino Unido es marcada. Segun Para Edward Machin, abogado senior del equipo de datos, privacidad y ciberseguridad de Ropes & Gray, se afirma que este último está más impulsado por la innovación y pro-negocios.

“A diferencia de la UE, el gobierno del Reino Unido no planea introducir legislación sobre IA ni creará un nuevo regulador de IA. En cambio, las agencias existentes (por ejemplo, ICO, FCA) apoyarán el marco y emitirán orientaciones específicas para el sector”, dice a ISMS.online.

“Aunque el Reino Unido es algo atípico en su enfoque ligero, el marco se basa en principios (seguridad, transparencia, equidad, rendición de cuentas y reparación) comunes a la forma en que la mayoría de los legisladores piensan actualmente sobre la regulación de la IA”.

Sin embargo, es poco probable que las empresas del Reino Unido con operaciones en la UE puedan aprovechar este enfoque más ligero a menos que opten por apoyar los regímenes de cumplimiento divergentes, que conllevarán gastos generales adicionales.

“Si el Reino Unido continúa adoptando un enfoque regulatorio más ligero que la UE, las organizaciones británicas sujetas a la Ley de IA tendrán que decidir si adoptan o no un enfoque de cumplimiento único a nivel europeo”, continúa Machin.

“La alternativa es tener procesos separados para el Reino Unido y la UE, lo que para muchas empresas será costoso, difícil de poner en práctica y probablemente de beneficio comercial limitado. Si las empresas pueden separar clara y fácilmente ciertas obligaciones de cumplimiento por geografía, deberían, por supuesto, considerarlas y reconocer que, en la práctica, también necesitarán cumplir con los estándares más altos de la UE en otros casos”.

De qué tener cuidado

Por supuesto, las reglas aún están en estado de cambio hasta que se finalicen. La Comisión Europea, los estados miembros y los parlamentarios se reunirán en una serie de reuniones de “diálogo tripartito” para profundizar en los detalles. Por ejemplo, queda por ver cómo se tratarán los modelos de IA generativa. Todo lo que la comisión ha dicho hasta ahora es que deberán seguir requisitos de transparencia y se les impedirá generar “contenido ilegal” e infringir los derechos de autor. Los investigadores de Stanford ya han afirmado que muchos modelos de IA, incluido el GPT-4, no cumplen actualmente con la Ley de IA.

Machin añade que las empresas que desarrollan o utilizan modelos de alto riesgo también deben vigilar de cerca lo que sucede a continuación.

“Probablemente habrá desacuerdos sobre cómo se definen los sistemas de IA de 'alto riesgo', y las empresas estarán observando de cerca cómo se desarrolla esto, dado que los modelos y tecnologías fundamentales que impactan cada vez más en la vida de las personas (como en el empleo y los servicios financieros) quedar atrapados en esta definición”, argumenta.

Jonathan Armstrong, socio de Cordery, calcula que pasarán al menos cuatro meses antes de que las empresas obtengan la claridad que buscan.

“El consejo que damos a nuestros clientes en este momento es que realicen una evaluación formal, pero no tiene por qué ser demasiado oneroso. Hemos ayudado a los clientes a adaptar su proceso de evaluación del impacto de la protección de datos, por ejemplo. Esta es una buena base, ya que analiza algunas de las cosas que abordará la Ley de IA, como la equidad, la transparencia, la seguridad y la respuesta a las solicitudes”, le dice a ISMS.online.

“Eso también les ayudará a abordar los cinco principios de la IA en el [documento de política] del Reino Unido. Creo que no supone una carga adicional para la mayoría de las organizaciones si lo hacen GDPR cierto, pero para algunos, eso es un gran si”.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster

Seguridad de la información 9 December 2025

Un año en cumplimiento: cinco cosas que aprendimos en 2025

Un año de cumplimiento normativo: cinco cosas que aprendimos en 2025

Los últimos 12 meses han demostrado una vez más que el panorama de la ciberseguridad suele estar plagado de incidentes. Las brechas de seguridad importantes cuestan a las organizaciones...

Phil Muncaster

La seguridad cibernética 3 December 2025

Qué significa el proyecto de ley de ciberseguridad y resiliencia para las infraestructuras críticas

Ha tardado mucho en llegar. Tras haber sido objeto de reflexión desde el Discurso del Rey en 2024, el Proyecto de Ley de Ciberseguridad y Resiliencia (CSRB) ha llegado a su fin...

Phil Muncaster