El plazo del 2 de agosto de 2026, fecha límite para el cumplimiento obligatorio de la Ley de IA de la UE para la IA de alto riesgo, se ha pospuesto. Las medidas incluidas en la ley recientemente aprobada Ómnibus Digital de la UE En materia de IA, se han aplazado algunos requisitos hasta el 2 de diciembre de 2027, y otros hasta el 2 de agosto de 2028.
La Comisión Europea anunció que el nuevo calendario de implementación de las normas que rigen los sistemas de alto riesgo "facilitará la aplicación de la Ley de IA a las empresas europeas, al tiempo que garantiza beneficios para la sociedad europea, la seguridad y los derechos fundamentales".
¿Qué obligaciones han cambiado con la Ley Ómnibus Digital, cuáles se han mantenido iguales y cómo pueden las organizaciones garantizar el cumplimiento antes de los nuevos plazos?
¿Qué cambios introduce el ómnibus digital?
La Ley Ómnibus Digital incluye medidas de simplificación específicas de la Ley de IA de la UE, entre las que se incluyen:
- Ampliar las simplificaciones normativas concedidas a las PYME para incluir a las PYME, lo que incluye documentación técnica simplificada y una consideración especial en la aplicación de sanciones.
- Eliminar la prescripción de un plan armonizado de seguimiento posterior a la comercialización.
- Reducir la carga de registro para los proveedores de sistemas de IA que se utilizan en áreas de alto riesgo, pero para los cuales el proveedor ha concluido que no son de alto riesgo ya que solo se utilizan para tareas específicas o procedimentales.
- Permitir que los proveedores y desarrolladores de IA procesen categorías especiales de datos personales para detectar y corregir sesgos algorítmicos.
- Un uso más amplio de los entornos de pruebas regulatorios de IA y las pruebas en el mundo real, y la facilitación de un entorno de pruebas regulatorios de IA a nivel de la UE que la Oficina de IA establecerá a partir de 2028.
- Cambios específicos que aclaren la interacción entre la Ley de IA de la UE y otras leyes de la UE, y que ajusten los procedimientos de la Ley para mejorar su implementación y funcionamiento generales.
La Comisión también está preparando una guía adicional para facilitar el cumplimiento de la Ley de IA de la UE, centrada en ofrecer instrucciones claras y prácticas para su aplicación en paralelo con otras leyes de la UE. Las nuevas fechas de aplicación vincularán los plazos de cumplimiento con la disponibilidad de esta guía.
Cumplimiento de las obligaciones de transparencia de la Ley de IA de la UE
Un lanzamiento recientemente Código de buenas prácticas sobre transparencia del contenido generado por IA Este documento aborda consideraciones clave para proveedores y usuarios de sistemas de IA que generan contenido comprendido en el ámbito del artículo 50 de la Ley, relativo a las obligaciones de transparencia de los proveedores y usuarios de determinados sistemas de IA. El Código está diseñado para ayudar a las organizaciones a demostrar el cumplimiento de las obligaciones, pero no constituye, por sí mismo, prueba concluyente del cumplimiento de las mismas.
Según los requisitos que entrarán en vigor próximamente, los proveedores de sistemas de IA destinados a interactuar directamente con personas deberán diseñar estos sistemas para informar a los usuarios de que están interactuando con un sistema de IA. Por ejemplo, un chatbot de atención al cliente deberá estar diseñado para notificar a los usuarios que se trata de un chatbot.
Además, el Código de Buenas Prácticas sobre Transparencia del Contenido Generado por IA detalla los requisitos específicos para los sistemas de IA que generan texto, imágenes, vídeo, audio o una combinación de estos formatos. Los proveedores y usuarios de estos sistemas deben utilizar formatos legibles por máquina para identificar los resultados como generados o manipulados por IA. Existen normas específicas para el etiquetado de deepfakes generados o manipulados por IA y de textos publicados sobre temas de interés público.
Requisitos existentes para sistemas de IA de alto riesgo
Los sistemas de IA se consideran de alto riesgo según la Ley de IA de la UE si representan una amenaza significativa para la salud, la seguridad o los derechos fundamentales, o si se utilizan en ámbitos como la biometría, la educación, el empleo o las infraestructuras críticas.
Los sistemas clasificados como de alto riesgo deben cumplir con requisitos específicos:
Gestión de riesgos: Es necesario implementar un sistema continuo de gestión de riesgos para supervisar la IA a lo largo de todo su ciclo de vida.
Dato de governancia: Es necesario adoptar prácticas de gobernanza de datos para garantizar que los datos de capacitación, validación y prueba cumplan con criterios de calidad específicos.
Documentación técnica: Los proveedores de sistemas de IA de alto riesgo deben mantener una documentación técnica completa sobre el sistema, que incluya las especificaciones de diseño, las capacidades, las limitaciones y las medidas de cumplimiento normativo.
Mantenimiento de registros: Los sistemas de IA de alto riesgo deben registrar automáticamente los eventos para garantizar la rendición de cuentas y la trazabilidad.
Supervisión humana: Los sistemas de IA de alto riesgo deben diseñarse de forma que permitan la supervisión humana, minimizando así los riesgos para la salud, la seguridad y los derechos fundamentales. El proveedor puede incorporar medidas de supervisión humana al sistema, o bien el usuario puede implementarlas.
Precisión, robustez y ciberseguridad: Los sistemas de IA de alto riesgo deben diseñarse y desarrollarse de forma que alcancen un nivel adecuado de precisión, robustez y ciberseguridad.
Evaluaciones de conformidad: Los sistemas de IA de alto riesgo deben someterse a evaluaciones de conformidad para garantizar que cumplen con los estándares legales, técnicos y éticos antes de ser comercializados o puestos en servicio.
Registración: Los proveedores de sistemas de IA de alto riesgo deben registrarse, junto con sus sistemas, en una base de datos centralizada de la UE antes de comercializar o poner en funcionamiento dichos sistemas.
Marcado CE: Los sistemas de IA de alto riesgo deben llevar el marcado CE para indicar que el producto cumple con las normas de seguridad de la UE, y dicho marcado debe ser claramente visible. Si no es posible colocar físicamente el marcado CE en el sistema, deberá incluirse en el embalaje o la documentación.
Cumplimiento correcto de la Ley de IA de la UE con la norma ISO 42001
Para todos los proveedores o implementadores de sistemas de IA de alto riesgo que estén comenzando a cumplir con sus obligaciones en virtud de la Ley, el nuevo cronograma ofrece un período de gracia extendido para incorporar un enfoque inteligente y estructurado para la gobernanza de la IA.
Aquí, ISO 42001, Proporciona un marco de buenas prácticas. Muchos de los requisitos de la norma coinciden con los de la Ley de IA de la UE: clasificación de riesgos, medidas de transparencia, estructuras de rendición de cuentas y supervisión humana. Sin embargo, el cumplimiento de la norma ISO 42001 no garantiza el cumplimiento de la Ley de IA de la UE, ni viceversa.
La norma ISO 42001 ofrece un enfoque lógico para la gobernanza de la IA, permitiendo a las organizaciones desarrollar un sistema de gestión de IA (AIMS) ético y sostenible. Al implementar la ISO 42001, las organizaciones pueden garantizar que los sistemas de IA se desarrollen, implementen y utilicen priorizando la seguridad, la transparencia y la rendición de cuentas, principios fundamentales de la ley.
El uso del marco ISO 42001 y su comparación con los requisitos de la Ley de IA de la UE permite a los proveedores y a quienes implementan sistemas de IA de alto riesgo incorporar una gobernanza sólida y abordar de forma proactiva los requisitos de la Ley que quedan fuera del alcance de la ISO 42001, garantizando así el cumplimiento antes de la fecha límite de 2027.
