Entra en vigor la Ley de Inteligencia Artificial de la Unión Europea

Las aplicaciones y los sistemas inteligentes que infieren atributos sensibles como la raza, las opiniones políticas y la orientación sexual están prohibidas

Con la llegada de agosto, entra en vigor la primera ley que busca regular los sistemas la inteligencia artificial (IA) con el fin de garantizar la seguridad y los derechos fundamentales de los ciudadanos de la Unión Europa ante los riesgos que plantea esta tecnología.

La legislación europea es pionera a nivel mundial en regular una tecnología tan compleja como la inteligencia artificial, presente desde hace años en servicios digitales de uso diario, como las redes sociales, los sistemas de contenidos de streaming y los buscadores como Google o Bing. También se utiliza en sectores como las finanzas, la salud, la atención al cliente, la agricultura y la logística, por citar algunos.

La nueva norma pretende que la adopción de esta tecnología se haga con el ser humano en el centro, con el objetivo de que sea fiable y “garantice un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales consagrados en la Carta de los Derechos Fundamentales de la Unión Europea, incluidos la democracia, el Estado de Derecho y la protección del medio ambiente”, para protegerlos de los “efectos perjudiciales” que puedan derivar de los sistemas de IA.

Tras publicarse el pasado 12 de julio en el Diario Oficial de la UE, el reglamento de la IA entra en vigor oficialmente, aunque su aplicación obligatoria comenzará en dos años.

Enfoque basado en el nivel de riesgo

Las aplicaciones y sistemas de IA que “suponen un riesgo inaceptable” directamente están prohibidos. Aunque el listado es amplio, esta categoría engloba los casos en los que se utilizan sistemas de categorización biométrica que infieren atributos sensibles como la raza, las opiniones políticas y la orientación sexual.

También los sistemas de puntuación social como el utilizado en países como China y a técnicas subliminales, manipuladoras o engañosas que buscan distorsionar el comportamiento y perjudicar la toma de decisiones.

El reglamento se centra principalmente en los llamados sistemas de IA de alto riesgo, es decir, aquellos que “tengan un efecto perjudicial considerable en la salud, la seguridad y los derechos fundamentales de las personas”.

Modelos de IA de uso general

El Reglamento también recoge los modelos, atendiendo en este caso a los de uso general, que entiende como aquellos que se entrenan con grandes volúmenes de datos y a través de métodos como el aprendizaje autosupervisado, no supervisado o por refuerzo. Matiza que, aunque los modelos son componentes esenciales de los sistemas y forman parte de ellos, no constituyen por sí mismos sistemas de IA.

Esos modelos de IA de uso general están disponibles en el mercado a través de bibliotecas, de interfaces de programación de aplicaciones (API), como descarga directa o como copia física, y pueden modificarse o perfeccionarse y transformarse en nuevos modelos.

Responsabilidad y revisión

Esta ley se fija en el proveedor de los sistemas y los modelos de IA, que puede ser el distribuidor, el importador, el responsable del despliegue u otro tercero, y en quien recae la responsabilidad sobre esta tecnología a lo largo de su cadena de valor.

A grandes rasgos, exige que realice evaluaciones del nivel de riesgo de sus productos y de los riesgos que puedan plantear tanto antes de llevarlos al mercado como una vez en él, así como que ponga las medidas necesarias para evitarlos o mitigarlos. También el seguimiento de un código de buenas prácticas, que supervisará Oficina de IA, y que estará en la base del cumplimiento de las obligaciones pertinentes.

El Reglamento, asimismo, tiene en cuenta la rapidez con la que avanza el desarrollo de esta tecnología, y tiene previstas evaluaciones y revisiones periódicas del reglamento y de los sistemas de IA, especialmente de la IA de alto riesgo, los ámbitos de alto riesgo y las prácticas prohibidas, para su actualización.

Aspectos clave para la ciberseguridad

El nuevo reglamento recoge algunos puntos clave que tienen implicaciones directas a nivel de ciberseguridad para los usuarios y aseguran un buen uso, tal y como destacaron en marzo desde la firma Check Point, con motivo de su aprobación por parte del Parlamento Europeo.

La ley obliga a disponer de directrices de desarrollo e implementación más estrictas, que tengan en cuenta la seguridad desde el inicio, por ejemplo, con la incorporación de prácticas de codificación seguras y garantizando que los sistemas de IA sean resistentes a los ciberataques.

También reclama que las empresas responsables adopten medidas pertinentes para evitar y afrontar brechas de seguridad, y que sean más transparentes, especialmente en los sistemas de alto riesgo, para ayudar a identificar vulnerabilidades y mitigar posibles amenazas.

La norma también busca evitar el uso de la IA con fines malintencionados, como la creación de deepfakes o la automatización de ciberataques, mediante la regulación de ciertos usos de esta tecnología. Esto ayuda a reducir el riesgo de que se utilice como una herramienta de ciberguerra.

Igualmente, el reglamento aboga por mitigar los sesgos y la discriminación, para lo que insta a garantizar que los sistemas de IA se entrenan con conjuntos de datos diversos y representativos para reducir los procesos de toma de decisiones sesgados.