A partir del 1 de agosto de 2024, entra en vigor la primera regulación a nivel europeo sobre inteligencia artificial, conocida como la "AI Act". La normativa, que fue publicada en el Diario Oficial de la Unión Europea en junio pasado, es el resultado de años de negociaciones entre los 27 Estados Miembros. Esta legislación establece un marco normativo pionero que impondrá cambios progresivos en el uso y desarrollo de sistemas de IA, con el objetivo de garantizar la seguridad y los derechos fundamentales de los ciudadanos.
La implementación de la AI Act será gradual. Aunque la ley ya está activa, se espera que su cumplimiento total no sea obligatorio hasta agosto de 2026. En una primera fase, a partir del 2 de febrero de 2025, se deberán cumplir las disposiciones generales y prohibiciones para riesgos inaceptables. Tres meses después, el 2 de mayo de 2025, se implementarán los códigos de buenas prácticas. Para el 2 de agosto de 2025, las normas generales estarán en vigor y cada país deberá haber actualizado sus leyes para aplicar sanciones a las empresas que no cumplan con la normativa.
Para los sistemas de "alto riesgo", como los modelos de IA más avanzados, se ha otorgado un margen de 36 meses para cumplir con todas las obligaciones. Esto significa que estos sistemas no estarán completamente regulados hasta agosto de 2027, fecha en la cual deberán documentar su funcionamiento y ser transparentes en cuanto a sus procesos.
Desafíos en "Alto Riesgo"
Uno de los aspectos más complejos de la AI Act es la definición y clasificación de los sistemas de IA según su nivel de riesgo. La ley establece que los sistemas de "alto riesgo" son aquellos que pueden tener un impacto significativo en la salud, la seguridad y los derechos fundamentales de las personas. Este grupo incluye sistemas que afecten sectores críticos como la educación, los procesos democráticos y la seguridad.
No obstante, ha surgido cierta controversia respecto a la omisión de la videovigilancia masiva en la categorización de "alto riesgo". Aunque el reconocimiento facial en directo está prohibido, la normativa permite el uso de sistemas de identificación biométrica, como los utilizados para el control fronterizo. Organizaciones defensoras de la privacidad, como EDRi, han expresado su preocupación por estas lagunas en la legislación.
Enfoque en los Desarrolladores y Sanciones
La AI Act centra sus regulaciones principalmente en los desarrolladores de modelos de IA de "alto riesgo", dejando fuera a la mayoría de sistemas de "riesgo mínimo", como filtros y chatbots. Este enfoque busca responsabilizar a quienes crean los modelos, más que a quienes los implementan. Un ejemplo de esto es la relación entre Google y fabricantes de teléfonos móviles como Samsung u OPPO, que adaptan modelos como Gemini pero no los desarrollan desde cero. Una crítica adicional a la ley es que no exime a los modelos "open source" del cumplimiento de sus disposiciones. Esto incluye plataformas como LLaMa de Meta, Stable Diffusion y Mistral.
Las sanciones por incumplimiento de la AI Act pueden llegar hasta el 7% de la facturación anual mundial de la empresa infractora. Estas multas son superiores a las establecidas por el Reglamento General de Protección de Datos, que fija un máximo del 4%, y por la Ley de Servicios Digitales, que llega al 6%. La Oficina Europea de Inteligencia Artificial será la entidad responsable de supervisar el cumplimiento de la ley, elaborar informes y actualizar los requisitos.
La entrada en vigor de la AI Act marca un hito en la regulación de la inteligencia artificial, con Europa liderando el camino hacia un uso más seguro y responsable de estas tecnologías emergentes.