¿Se aplica la Ley de IA de la UE a las empresas del Reino Unido?
Sí, la Ley de IA de la UE se aplica a las empresas del Reino Unido si comercializan sistemas de IA en el mercado de la UE o si los resultados de sus sistemas de IA se utilizan en la UE, independientemente de dónde esté establecida la empresa. Este alcance extraterritorial es similar al del RGPD. Las empresas del Reino Unido que prestan servicios a clientes de la UE deben cumplir con las obligaciones de la Ley de IA de la UE, además de cualquier normativa sectorial específica del Reino Unido en materia de IA.
En resumen, el Brexit no exime a las organizaciones del Reino Unido de la Ley de IA de la UE. Si su producto de IA es utilizado por, comercializado a, o genera resultados consumidos en cualquiera de los 27 estados miembros de la UE, está sujeto a la ley. La cuestión práctica no es sean estás dentro del alcance, pero lo cual Se aplican las obligaciones y se explica cómo demostrar su cumplimiento.
Para obtener una explicación completa del acto en sí, consulte nuestra Centro de cumplimiento de la Ley de IA de la UEEsta página se centra específicamente en la aplicabilidad en el Reino Unido, las obligaciones y cómo ISO 42001, Ofrece a las organizaciones del Reino Unido una vía estructurada para el cumplimiento normativo.
¿Cuándo se aplica la Ley de IA de la UE más allá de la UE?
El artículo 2 de la Ley de IA de la UE establece su ámbito de aplicación, y los factores desencadenantes extraterritoriales son amplios. Una empresa del Reino Unido está sujeta a la Ley si se cumple alguna de las siguientes condiciones:
- Usted es un proveedor que introduce un sistema de IA en el mercado de la UE., independientemente de si su empresa está establecida en la UE. Si su producto de IA o modelo de IA de propósito general (GPAI) se pone en servicio o se pone a disposición de los usuarios en la UE, queda sujeto a la normativa.
- Usted es un proveedor de servicios de despliegue establecido en la UE.o un proveedor fuera de la UE cuyo sistema de IA se utilice en la UE.
- Usted es un importador o distribuidor. introducir un sistema de IA de terceros en el mercado de la UE desde el Reino Unido.
- Usted es un fabricante de productos Introducir un sistema de IA en el mercado de la UE junto con su producto bajo su propio nombre o marca comercial.
- Usted es un representante autorizado de un proveedor no perteneciente a la UE, establecido en la UE.
La frase clave es «resultados utilizados en la Unión». Una empresa británica de software como servicio (SaaS) cuya función de IA sea utilizada por un cliente de la UE, o cuyo modelo genere recomendaciones consumidas por una empresa de la UE, está incluida en el ámbito de aplicación, incluso sin tener ninguna entidad, servidor o empleado en la UE.
Comparación del alcance extraterritorial con el RGPD
Los equipos del Reino Unido que ya estén familiarizados con el alcance extraterritorial del RGPD reconocerán este patrón. Mientras que el RGPD afecta a los responsables del tratamiento de datos de fuera de la UE que ofrecen bienes o servicios a interesados de la UE o que monitorizan su comportamiento, la Ley de IA de la UE afecta a los proveedores y operadores de sistemas de IA de fuera de la UE cuyos sistemas o resultados tienen contacto con el mercado de la UE. La lección práctica es la misma: la ubicación geográfica de la incorporación no define el alcance. Lo que sí lo define es a dónde van sus usuarios y sus resultados.
¿Cuáles son las normas de inteligencia artificial del Reino Unido?
El Reino Unido ha optado deliberadamente por un camino diferente. En lugar de una única ley horizontal sobre IA, el Libro Blanco del Gobierno británico de 2023, titulado «Un enfoque proinnovación para la regulación de la IA», estableció un marco basado en principios y liderado por sectores. Este enfoque se fundamenta en cinco principios intersectoriales:
- Seguridad, protección y robustez
- Transparencia y explicabilidad adecuadas
- Justicia
- Rendición de cuentas y gobernanza
- Impugnabilidad y reparación
Estos principios son implementados por los reguladores británicos existentes (ICO, FCA, Ofcom, CMA, MHRA y otros) dentro de sus competencias actuales, en lugar de por una nueva autoridad legal de IA. El Reino Unido también creó el Instituto de Seguridad de la IA (ahora Instituto de Seguridad de la IA) para evaluar los modelos más avanzados y ha anunciado legislación específica para los modelos más capaces, manteniendo al mismo tiempo el marco general basado en principios.
Para las organizaciones del Reino Unido, esto crea una realidad de doble vía:
- Actividad exclusiva para el Reino UnidoExpectativas de los reguladores del sector, legislación vigente (protección de datos, igualdad, consumidores, seguridad de los productos, servicios financieros) y principios intersectoriales.
- actividad del mercado de la UE: el régimen completo de niveles de riesgo de la Ley de IA de la UE, además de las obligaciones del Reino Unido.
An programa de gobernanza de la IA Un enfoque que solo aborda las expectativas del Reino Unido es insuficiente para cualquier empresa con exposición a la UE. Del mismo modo, un proyecto de la Ley de IA de la UE que ignora las expectativas del regulador británico no abarca una parte importante del panorama para una organización con sede en el Reino Unido. ISO 42001 frente a la Ley de IA de la UE La comparación explica cómo un único sistema de gestión puede satisfacer ambas necesidades.
¿Qué empresas del Reino Unido deben cumplir con la Ley de IA de la UE?
No todas las empresas del Reino Unido están automáticamente sujetas a la ley. Esta se aplica a funciones específicas en toda la cadena de valor de la IA. Las organizaciones del Reino Unido deben superar la siguiente prueba.
| Función en virtud de la Ley de IA de la UE | Ejemplo típico de una empresa británica | En el ámbito de aplicación si… |
|---|---|---|
| Proveedor | Empresa británica de software como servicio (SaaS) o de productos de inteligencia artificial que vende a clientes de la UE. | Usted desarrolla un sistema de IA o un modelo de IA general y lo introduce en el mercado de la UE, o lo pone en servicio en la UE, bajo su propio nombre o marca registrada. |
| Implementador | Empresa británica que utiliza un sistema de IA cuyos resultados afectan a usuarios de la UE. | Usted utiliza un sistema de IA bajo su autoridad y el resultado se utiliza en la UE (por ejemplo, para la selección de candidatos a puestos de trabajo en la UE o para el procesamiento de consultas de clientes de la UE). |
| Importador | Un distribuidor británico introduce en la UE un producto de IA no perteneciente a la UE. | Usted coloca un sistema de IA de un proveedor no perteneciente a la UE en el mercado de la UE. |
| Mayorista | Un socio británico pone a disposición un sistema de IA en la cadena de suministro de la UE. | Usted pone a disposición un sistema de IA en el mercado de la UE sin cambiar sus propiedades. |
| Fabricante del producto | Fabricante británico que integra inteligencia artificial en un producto regulado (dispositivo médico, componente de vehículo). | Usted coloca el producto con el sistema de IA en el mercado de la UE bajo su nombre. |
| Representante autorizado | Entidad establecida en la UE que actúa en nombre de un proveedor del Reino Unido. | Usted ha sido designado formalmente por un proveedor del Reino Unido de un sistema de IA de alto riesgo o un modelo GPAI. |
Una empresa del Reino Unido puede desempeñar más de un rol. Una empresa británica en expansión que crea su propio modelo, lo integra en un producto y también lo revende. IA de terceros Las funciones incluirán las de proveedor, implementador y, potencialmente, distribuidor. Cada rol conlleva sus propias obligaciones, por lo que un análisis detallado del alcance es el primer paso práctico.
Todo lo que necesitas para ISO 42001
Contenido estructurado, riesgos mapeados y flujos de trabajo integrados para ayudarlo a gobernar la IA de manera responsable y con confianza.
¿Cuáles son las principales obligaciones de la Ley de IA de la UE para los proveedores y operadores del Reino Unido?
La Ley de IA de la UE clasifica los sistemas de IA según su riesgo: prohibidos, de alto riesgo, de riesgo limitado y de riesgo mínimo, con un régimen específico para los modelos de IA de propósito general (GPAI). Las obligaciones se incrementan en función del riesgo. Las mayores obligaciones recaen sobre los proveedores de sistemas de IA de alto riesgo y los proveedores de modelos GPAI con riesgo sistémico.
Obligaciones de los proveedores
- Prácticas prohibidas (Artículo 5)Ningún proveedor del Reino Unido podrá introducir en el mercado de la UE ni poner en servicio sistemas de IA que utilicen técnicas prohibidas (por ejemplo, la extracción indiscriminada de imágenes faciales para crear bases de datos de reconocimiento, la puntuación social, el reconocimiento de ciertas emociones en lugares de trabajo y escuelas).
- Sistemas de IA de alto riesgo (Capítulo III): establecer y mantener un sistema de gestión de riesgos a lo largo de todo el ciclo de vida, garantizar la gobernanza de datos para los conjuntos de datos de formación, validación y prueba, elaborar documentación técnica, mantener registros automáticos, garantizar la supervisión humana, lograr la precisión, la solidez y la ciberseguridad adecuadas, registrar el sistema en la base de datos de la UE, realizar una evaluación de la conformidad y colocar el marcado CE.
- modelos GPAI: publicar documentación técnica, publicar un resumen suficientemente detallado del contenido de la capacitación, implementar una política de derechos de autor y, para los modelos con riesgo sistémico, realizar evaluaciones de modelos, evaluar y mitigar los riesgos sistémicos, realizar un seguimiento e informar sobre incidentes graves y garantizar la protección de la ciberseguridad.
- Transparencia (Artículo 50): informar a los usuarios cuando interactúan con un sistema de IA, etiquetar las falsificaciones profundas y el contenido generado por IA, y señalar el texto generado por IA sobre asuntos de interés público.
Obligaciones de los implementadores
- Utilice los sistemas de IA de alto riesgo de acuerdo con las instrucciones de uso.
- Asigne la supervisión humana a personas competentes y capacitadas.
- Asegúrese de que los datos de entrada sean relevantes y suficientemente representativos para el propósito previsto.
- Supervisar el funcionamiento del sistema de IA e informar al proveedor y a la autoridad de vigilancia del mercado sobre incidentes graves y fallos de funcionamiento.
- Conservar los registros generados automáticamente durante al menos seis meses.
- Realizar una evaluación del impacto en los derechos fundamentales cuando sea necesario (determinados organismos del sector público y de servicios esenciales).
- Informe a los representantes de los trabajadores y a los trabajadores afectados antes de poner en funcionamiento un sistema de IA de alto riesgo en el lugar de trabajo.
Estas obligaciones se ajustan perfectamente a un sistema de gestión de estilo ISO. Los controles del Anexo A de la norma ISO 42001 abordan la gobernanza de datos, los controles del ciclo de vida, la evaluación de impacto, la supervisión humana, las relaciones con terceros y la información a las partes interesadas, razón por la cual muchas organizaciones del Reino Unido utilizan la ISO 42001 como base de su respuesta a la Ley de IA de la UE. Consulte nuestro informe completo. Controles del anexo A Consulte la referencia para obtener más detalles.
¿Cuándo entra en vigor la Ley de IA de la UE?
La Ley de IA de la UE entró en vigor el 1 de agosto de 2024, pero sus obligaciones se aplican por fases. Las organizaciones del Reino Unido deben planificar teniendo en cuenta los siguientes hitos.
| Obligación de la Ley de IA de la UE | Fecha efectiva | A quién se aplica | Implicaciones para el Reino Unido |
|---|---|---|---|
| Prácticas prohibidas (Artículo 5) y obligaciones de alfabetización en IA (Artículo 4) | 2 de Febrero de 2025 | Todos los proveedores y operadores con exposición a la UE | Los proveedores del Reino Unido deben eliminar de inmediato los casos de uso prohibidos de los productos dirigidos a la UE y garantizar que el personal tenga los conocimientos adecuados sobre IA. |
| Obligaciones y normas de gobernanza del modelo de IA de propósito general (GPAI, por sus siglas en inglés) | 2 de septiembre de 2025 | Proveedores de modelos GPAI ubicados en el mercado de la UE | Los laboratorios de IA del Reino Unido y los proveedores de modelos básicos deben publicar documentación técnica, resúmenes de datos de entrenamiento y políticas de derechos de autor para los modelos disponibles en la UE. |
| Obligaciones, sanciones y organismos notificados relativos a los sistemas de IA de alto riesgo (sistemas del Anexo III). | 2 de septiembre de 2026 | Proveedores y operadores de sistemas de IA de alto riesgo | Los proveedores británicos de sistemas de alto riesgo (contratación, calificación crediticia, servicios esenciales, apoyo a las fuerzas del orden y similares) deben completar una evaluación de conformidad antes de comercializar sus sistemas en el mercado de la UE. |
| Aplicación completa, incluyendo la IA de alto riesgo integrada en productos regulados (Anexo I) | 2 de septiembre de 2027 | Proveedores de IA integrada en productos cubiertos por la legislación de armonización de la UE. | Los fabricantes británicos de productos regulados (dispositivos médicos, maquinaria, juguetes, vehículos) con componentes de IA deben cumplir con los requisitos de la Ley de IA de la UE, además del marcado CE existente. |
La planificación por fases es importante para el Reino Unido. Las prácticas prohibidas y la alfabetización en IA ya están en vigor. Las obligaciones de GPAI están en vigor para los proveedores del modelo básico. Las obligaciones de alto riesgo llegarán en agosto de 2026, que es la fecha límite práctica para la mayoría de los productos comerciales de IA dirigidos a clientes de la UE. Esperar hasta 2027 no es una opción. Para obtener más información sobre cada fase, consulte nuestra guía sobre Todo lo que necesitas saber sobre la Ley de IA de la UE.
¿Cómo ayuda la norma ISO 42001 a las empresas del Reino Unido a cumplir con la Ley de IA de la UE?
La norma ISO/IEC 42001:2023 es la primera norma internacional para sistemas de gestión de IA. Es independiente de la jurisdicción y se basa en 10 cláusulas de requisitos del sistema de gestión, 38 controles del Anexo A distribuidos en 9 áreas de control, directrices normativas de implementación en el Anexo B y una correspondencia con otros marcos, incluida la Ley de IA de la UE, en el Anexo D.
Para las empresas del Reino Unido que deben cumplir tanto con las expectativas de los reguladores del sector británico como con la Ley de IA de la UE, la norma ISO 42001 ofrece un marco de control único que satisface ambas. La superposición es sustancial:
- Política y gobernanza de la IALa cláusula 5.2 y el anexo A.2 de la norma ISO 42001 exigen una política, funciones y responsabilidades documentadas en materia de IA. Esto evidencia las expectativas de rendición de cuentas del Reino Unido y los requisitos de gobernanza de la Ley de IA de la UE.
- Gestión del riesgo: La cláusula 6.1.2 requiere un Gestión de riesgos de IA proceso. Esto se corresponde directamente con el sistema de gestión de riesgos exigido para los sistemas de alto riesgo en virtud del artículo 9 de la Ley de IA de la UE.
- Evaluación del impacto de los sistemas de IALa cláusula 6.1.4 y el anexo A.5 exigen evaluaciones de impacto. Esto proporciona la estructura para las evaluaciones de impacto sobre derechos fundamentales que se requieren de ciertos implementadores.
- Gobierno de DatosEl Anexo A.7 aborda la adquisición, la calidad, la procedencia y la preparación de los datos. Esto se ajusta a los requisitos de gobernanza de datos establecidos en el Artículo 10 de la Ley de IA de la UE.
- Controles del ciclo de vida de la IAEl Anexo A.6 abarca los objetivos, el diseño, el desarrollo, el despliegue, la operación y la validación. Esto sustenta las obligaciones relativas a la documentación técnica, el registro, la precisión y la robustez establecidas en los Artículos 11 a 15.
- Transparencia e informaciónEl Anexo A.8 contiene información para las partes interesadas. Esto respalda los requisitos de transparencia de los artículos 13 y 50.
- Gestión de terceros y proveedoresEl Anexo A.10 trata sobre las relaciones con los proveedores. Esto es fundamental para los implementadores que integran sistemas de IA de terceros en servicios dirigidos a la UE.
- Supervisión humana y uso responsable: El Anexo A.9 sobre el uso de sistemas de IA respalda las obligaciones de supervisión humana del Artículo 14.
Certificado ISO 42001 Sistema de gestión de inteligencia artificial (AIMS) Por sí solo, no produce una evaluación de conformidad con la Ley de IA de la UE. Sin embargo, sí proporciona el sistema de gestión subyacente, los controles y las pruebas que hacen que una evaluación de conformidad sea demostrable en lugar de una mera aspiración. Cabe esperar que los organismos notificados de la UE y las autoridades de vigilancia del mercado consideren un sistema de gestión de IA (AIMS) ISO 42001 sólido como prueba fehaciente de la madurez de la gobernanza de la IA en la organización.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
Cómo ISMS.online mapea el cumplimiento de la normativa de IA del Reino Unido y la UE en una sola plataforma.
SGSI.online Ofrece a las organizaciones del Reino Unido un único espacio de trabajo para gestionar la norma ISO 42001, cumplir con las obligaciones de la Ley de IA de la UE y demostrar que se cumplen las expectativas de los reguladores británicos, sin necesidad de mantener tres programas paralelos. Las capacidades clave para la realidad de doble vía del Reino Unido y la UE incluyen:
- OBJETIVOS preconfigurados. Un sistema de gestión de IA en funcionamiento, alineado con las 10 cláusulas de la norma ISO 42001, listo para adaptarse a su ámbito de aplicación en el Reino Unido y la UE desde el primer día.
- Definición del alcance basada en roles. Registre las funciones que le corresponden según la Ley de IA de la UE (proveedor, implementador, importador, distribuidor) para cada sistema de IA, de modo que las obligaciones se asignen a la entidad correcta.
- Registro de riesgos de IA y herramientas de evaluación de impacto. Registros específicos para la Cláusula 6.1.2 sobre riesgos de IA y la Cláusula 6.1.4 sobre evaluación del impacto en los sistemas de IA, estructurados para documentar la gestión de riesgos del Artículo 9 de la Ley de IA de la UE y las evaluaciones de impacto en los derechos fundamentales cuando sea necesario.
- Paquetes de políticas alineados con el Anexo A.2. Borrador previo política de IA Plantillas con control de versiones, flujos de trabajo de aprobación y certificaciones de usuario para que las políticas estén demostrablemente vigentes.
- Generador de declaraciones de aplicabilidad. Mantenga una Declaración de Aplicabilidad actualizada para los 38 controles del Anexo A, con referencias cruzadas a los artículos de la Ley de IA de la UE y a las expectativas de los reguladores del Reino Unido.
- Gestión de auditorías. Planificar y llevar a cabo auditorías internas (Cláusula 9.2) que cumplan con la norma ISO 42001, la Ley de IA de la UE y los principios del Reino Unido, y cuyos hallazgos estén vinculados a acciones correctivas.
- Integración multiestándar. Comparta datos sobre riesgos, evidencia y políticas con la norma ISO 27001 y otros estándares que ya utiliza, de modo que la gobernanza de la IA se integre como una extensión de su sistema de gestión existente, y no como un proyecto independiente.
El resultado es que cuando un cliente de la UE pregunta cómo se abordan los artículos 9, 10 o 14, o cuando un regulador del Reino Unido pregunta cómo se demuestra la equidad, la rendición de cuentas y la supervisión humana, la respuesta es un análisis detallado en una sola plataforma, no un ejercicio de recopilación de pruebas en cinco herramientas. Consulte nuestra Guía de implementación para el proceso de adopción integral.
¿Por qué elegir ISMS.online para el cumplimiento de la Ley de IA de la UE?
SGSI.online Está diseñado para ofrecer a las organizaciones del Reino Unido una vía práctica para cumplir con la Ley de IA de la UE, basada en la norma ISO 42001, sin necesidad de combinar hojas de cálculo ni herramientas GRC genéricas. Esto es lo que obtendrá:
- Un sistema de objetivos funcional desde el primer día. Marco preconfigurado que cubre las 10 cláusulas y 38 Controles del anexo A, de modo que tu equipo empieza a adaptar en lugar de diseñar desde cero.
- Definición clara del papel de la UE. Registrar la condición de proveedor, implementador, importador y distribuidor por cada sistema de IA, para que las obligaciones de la Ley de IA de la UE se asignen correctamente desde el principio.
- Herramientas específicas para la evaluación de riesgos e impactos en inteligencia artificial. Registros específicos para la evaluación de riesgos e impacto de los sistemas de IA, con sistemas de puntuación, planes de tratamiento y ciclos de revisión alineados con las expectativas de la norma ISO 42001 y la Ley de IA de la UE.
- Biblioteca de políticas con seguimiento de la adopción. Políticas de IA predefinidas con flujos de trabajo de aprobación, certificaciones de usuario e informes de adopción en tiempo real, de modo que la política esté demostrablemente vigente tanto para los reguladores del Reino Unido como para las autoridades de vigilancia del mercado de la UE.
- Datos compartidos multiestándar. Una única plataforma para ISO 42001, ISO 27001 y más, con riesgos, controles y evidencias compartidos, para que evite la duplicación de esfuerzos en organizaciones que utilizan múltiples sistemas de gestión.
- Método de resultados garantizados. Un enfoque de implementación probado que ha ayudado a cientos de organizaciones a obtener la certificación a la primera, respaldado por la incorporación, el apoyo a la adopción y la ayuda humana en directo.
- Soporte con sede en el Reino Unido. Un equipo británico que comprende tanto las expectativas de los reguladores del sector en el Reino Unido como las obligaciones del mercado de la UE, con asistencia en tiempo real cuando surgen dudas sobre el alcance del proyecto.
¿Listo para ver la plataforma en acción? Agendar demo .
Preguntas Frecuentes
¿Se aplica la Ley de IA de la UE a las empresas del Reino Unido que no tienen oficina en la UE?
Sí, si el sistema de IA se comercializa en la UE, se pone en servicio en la UE o sus resultados se utilizan en la UE. Una empresa británica de software como servicio (SaaS) sin entidad, personal ni servidores en la UE sigue estando sujeta a la normativa si los clientes de la UE utilizan la función de IA o consumen sus resultados. La prueba se centra en dónde se implementa el sistema de IA o sus resultados, no en dónde está registrada la empresa.
¿Existe en el Reino Unido un equivalente a la Ley de IA de la UE?
No se trata de una única ley horizontal. El Reino Unido ha adoptado un enfoque pro-innovación, basado en principios y liderado por sectores, con principios intersectoriales (seguridad, transparencia, equidad, rendición de cuentas, competencia) implementados por los reguladores existentes. El Gobierno ha anunciado legislación específica para los modelos más capaces. Por ahora, las obligaciones del Reino Unido en materia de IA se enmarcan dentro de la legislación vigente (protección de datos, igualdad, seguridad de los productos, servicios financieros) y las directrices de los reguladores, en lugar de estar recogidas en una Ley de IA específica.
¿Cuándo deben las empresas del Reino Unido cumplir con la Ley de IA de la UE?
Las obligaciones se aplican por fases. Las prácticas prohibidas y los requisitos de alfabetización en IA se aplican desde el 2 de febrero de 2025. Las obligaciones para modelos de IA de propósito general se aplican desde el 2 de agosto de 2025. Las obligaciones para sistemas de IA de alto riesgo se aplican desde el 2 de agosto de 2026. La aplicación completa, incluida la IA integrada en productos regulados, se aplica desde el 2 de agosto de 2027. Las empresas del Reino Unido deben considerar agosto de 2026 como fecha límite para la mayoría de los productos comerciales de IA dirigidos a clientes de la UE.
¿La certificación ISO 42001 significa que cumplimos con la Ley de IA de la UE?
No automáticamente. La certificación ISO 42001 demuestra que se cuenta con un sistema de gestión de IA maduro que aborda la gobernanza, el riesgo, el ciclo de vida, los datos, la transparencia y la supervisión. Proporciona una sólida evidencia de la gobernanza de IA de la organización y se ajusta estrechamente a la Ley de IA de la UE, pero esta ley exige evaluaciones de conformidad específicas a nivel de producto y registros para sistemas de alto riesgo que se sitúan por encima del sistema de gestión. Un sistema de gestión de IA certificado según la norma ISO 42001 hace que dichas evaluaciones de conformidad sean demostrables, en lugar de meras aspiraciones.
¿Están los proveedores británicos de herramientas de IA de terceros dentro del ámbito de aplicación de la Ley de IA de la UE?
Sí, si el resultado del sistema de IA se utiliza en la UE. Una empresa del Reino Unido que utilice una herramienta de IA de terceros para seleccionar candidatos a puestos de trabajo en la UE, recomendar productos a consumidores de la UE o procesar consultas de clientes de la UE se considera un implementador según la Ley. Las obligaciones del implementador son menos estrictas que las del proveedor, pero aun así incluyen seguir las instrucciones de uso, garantizar la supervisión humana, monitorizar el funcionamiento, conservar los registros y (en algunos casos) realizar una evaluación del impacto en los derechos fundamentales.
¿Cuáles son las sanciones para las empresas del Reino Unido que infrinjan la Ley de IA de la UE?
Las sanciones son escalonadas y significativas. Las infracciones relacionadas con prácticas de IA prohibidas pueden acarrear multas de hasta 35 millones de euros o el 7 % de la facturación anual mundial, la cantidad que sea mayor. El incumplimiento de la mayoría de las demás obligaciones (requisitos de sistemas de alto riesgo, transparencia, etc.) puede acarrear multas de hasta 15 millones de euros o el 3 % de la facturación anual mundial. Proporcionar información incorrecta o engañosa a las autoridades puede acarrear multas de hasta 7.5 millones de euros o el 1 % de la facturación anual mundial. Las pymes y las empresas emergentes se enfrentan a la menor de las dos cifras. La constitución de una empresa en el Reino Unido no exime a la empresa de estas sanciones cuando la Ley sea aplicable.
¿Cómo debería una empresa del Reino Unido empezar a prepararse para cumplir con la Ley de IA de la UE?
Comience con un análisis preliminar: enumere todos los sistemas de IA que desarrolla, implementa, importa o distribuye, e identifique cuáles están expuestos a riesgos en la UE. Para cada uno, determine su función (proveedor, implementador, importador, distribuidor) y el nivel de riesgo (prohibido, alto riesgo, limitado, mínimo o IA pública). A continuación, adopte un Sistema de Gestión de IA ISO 42001 como base, de modo que la gobernanza, el riesgo, los datos, el ciclo de vida, la transparencia y la supervisión se gestionen en un único marco. SGSI.online Le proporciona un AIMS preconfigurado, los registros y las políticas que necesita, y una vía para obtener la certificación ISO 42001 que, además, sirve como prueba de su preparación para la Ley de IA de la UE.
