White cyborg robotic hand pointing his finger to human hand with stretched finger - ai artificial intelligence.
Este 1 de agosto marcará un nuevo hito para la legislación en materia tecnológica: la primera regulación integral de la inteligencia artificial (IA) a nivel mundial, la Ley de IA de la Unión Europea (UE) -o AI Act- entrará en vigor, tras ser publicada este viernes en el Diario Oficial de la UE (DOUE).
Ha sido un camino largo y no exento de obstáculos para la Ley de IA. La Comisión llevaba cinco años trabajando en la normativa y en 2021 presentó una primera versión de la Ley de IA. No obstante, en lo que ha sido uno de los giros de guion más espectaculares del mundo tecnológico desde la aparición de internet, OpenAI, la empresa de IA liderada por Sam Altman, lanzaba en noviembre de 2022 su popular ChatGPT, dando inicio a la era de la IA generativa. La rápida democratización a nivel social y empresarial de esta tecnología obligó a cambiar aspectos de la Ley de IA que se estaba debatiendo.
Con múltiples promotores y detractores (que veían en la normativa un freno a la innovación y a la competitividad europea en materia de IA), el reglamento fue finalmente aprobado el 8 de diciembre 2023 por los Estados miembros de la UE, bajo la presidencia española del Consejo, y por el Parlamento Europeo el pasado mes de marzo.
Así, Bruselas espera que la Ley de IA se transforme en un referente a nivel global, como ocurrió con el Reglamento Europeo de Protección de Datos (GDPR, por sus siglas en inglés).
Para Carmen Muñoz García, profesora titular de Derecho Civil en la Universidad Complutense de Madrid (UCM), se trata de “una norma valiente, muy ambiciosa y compleja, pero porque es una norma dirigida sobre todo a los operadores de los sistemas y modelos de IA. Está lleno de obligaciones, de requisitos técnicos, pero también cuenta con un consistente sistema de gobernanza, de sanciones, de posibilidad de respuesta y, en definitiva, de capacidad para adaptarse a los cambios”.
La académica destacó esta adaptabilidad. “La norma prevé que se pueden ir haciendo cambios, modificar definiciones, plazos y requisitos y, además, se admite que los sistemas no son estancos, sino que lo que hoy es un sistema de bajo riesgo puede mañana ser de alto riesgo”, dijo a ComputerWorld.
La Ley de IA busca garantizar que los sistemas de IA que se comercializan y se utilizan en el mercado europeo sean seguros y respeten los derechos fundamentales y los valores de la UE. La base de la normativa establece regular esta tecnología en función de su capacidad para causar daños a la sociedad, siguiendo un planteamiento “basado en el riesgo”: a mayor riesgo, más estrictas las normas.
Así, el documento divide los sistemas de IA en varios niveles: riesgo inaceptable, que incluye usos de la IA que están prohibidos; alto riesgo, que necesitan ser evaluados antes de su puesta en el mercado y a lo largo de su ciclo de vida, y que incluye infraestructuras críticas y electorales; riesgo limitado; y riesgo mínimo.
Entre otras cosas, la Ley establece normas sobre los modelos de IA de propósito general de alto impacto que puedan causar un riesgo sistémico en el futuro, así como sobre los sistemas de IA de alto riesgo; un sistema revisado de gobernanza con algunos poderes coercitivos a nivel de la UE; una lista de prohibiciones; y una mejor protección de los derechos mediante la obligación de que quienes desplieguen sistemas de IA de alto riesgo realicen una evaluación de impacto sobre los derechos fundamentales antes de poner en funcionamiento un sistema de IA.
En cuanto a las prohibiciones, el reglamento afirma que no se podrá realizar una manipulación cognitiva del comportamiento, la extracción no selectiva de imágenes faciales de internet o de grabaciones de CCTV, el reconocimiento de emociones en el lugar de trabajo y en instituciones educativas, la puntuación social, la categorización biométrica para inferir datos sensibles, como la orientación sexual o las creencias religiosas, y algunos casos de vigilancia policial predictiva de personas.
Las sanciones por incumplir el nuevo reglamento consisten en multas que ascienden a los 35 millones de euros o el 7% por infracciones de las aplicaciones de IA prohibidas; 15 millones de euros o el 3% por infracciones de las obligaciones de la ley de IA; y 7,5 millones de euros o el 1,5% por el suministro de información incorrecta. A pesar de lo anterior, se prevé multas más proporcionadas para las pymes y las empresas de nueva creación.
Además, la Ley establece la puesta en marcha de la Oficina de IA, para velar por una aplicación coherente de la normativa en cada país y para fomentar la investigación e innovación en torno a una IA fiable y responsable. Esta oficina se puso en marcha el pasado mes de junio y cuenta con un equipo de trabajo de 140 personas, entre los que se encuentran especialistas en tecnología y políticas públicas, economistas, asistentes administrativos y abogados.
A nivel nacional, ya se ha presentado la Agencia Española de Supervisión de la Inteligencia Artificial (Aesia), cuya sede estará en A Coruña y que será presidida por Ignasi Belda. La Aesia tendrá como funciones principales inspeccionar y sancionar el uso incorrecto de esta tecnología, así como asesorar a los sectores público y privado y apoyar el desarrollo y uso de sistemas energéticamente eficientes y sostenibles mediante la divulgación, concienciación y el uso ético de la IA. Contará con un presupuesto de cinco millones para su lanzamiento y con unos 40 profesionales especializados en distintas ramas de las TIC, administraciones públicas o en legislación.
Para muchos de sus detractores, la Ley de IA supondrá un freno a la innovación dentro del bloque y hará que Europa pierda competitividad frente a otras regiones en el desarrollo y uso de la IA.
“Yo no lo creo”, afirmó Muñoz. “Para que haya innovación tiene que haber seguridad jurídica. El reglamento lo que hace es generar seguridad jurídica: cualquier empresa que desee implementar, desarrollar o usar un sistema o un modelo de IA sabe qué es lo que quiere Europa, sabe lo que regula, sabe cuáles son las condiciones, sabe que hay sistemas prohibidos que no podrán ser admitidos y que hay sistemas a los que se les exige mayor número de obligaciones y requisitos”, sostuvo.
Es cierto, admite, que la aplicación de una nueva ley genera incertidumbre hasta que ésta no se conoce y las organizaciones no se acostumbran a trabajar con ella, “pero la innovación va a seguir adelante. Nadie puede parar la evolución tecnológica y el texto, lo que se ha pretendido desde el primer momento, es que sea capaz de permitir la innovación, pero preservando derechos fundamentales de las personas, derechos consolidados”.
Muñoz compara los resquemores de la Ley de IA con lo que en su momento generó el GDPR. “Hubo mucho recelo, muchos miedos e incertidumbres, pero la realidad es que al final todos se han adaptado. Ahora sabemos que, si se lesiona la protección de nuestros datos, tenemos siempre un reglamento que nos apoya, que nos permite desde plantear una reclamación ante la agencia estatal correspondiente hasta exigir reparación de daños y perjuicios”, explicó.
Este viernes, la Ley de IA se ha publicado en el Diario Oficial de la Unión Europea (DOUE), entrando en vigor 20 días a partir de hoy, es decir, el 1 de agosto. El reglamento, no obstante, considera una aplicación de dos años, por lo que las organizaciones deberán cumplir con los requisitos a partir del 1 de agosto de 2026, con destacadas excepciones:
Para la académica de la UCM, se trata de plazos ambiciosos, pero razonables: “Llevan preparándonos para esto desde abril del 2021, se estuvo informando de manera permanente”. Ve con buenos ojos la aplicación anticipada voluntaria de los códigos de conducta y de los códigos de buenas prácticas, que ayudarán a las empresas y a las instituciones públicas a que asimilen la normativa.
Aun así, ve un problema en la hoja de ruta establecida. Para Muñoz, no sirve que se establezcan las obligaciones en torno a los sistemas prohibidos a los seis meses de entrada en vigor de la Ley si no hay un sistema de gobernanza funcionando, algo que está previsto para un año después. “Es como prohibir sin que existan todavía los mecanismos oportunos para, en definitiva, llevar a efecto dichas prohibiciones. Es quizás, para mí, una de las mayores incoherencias”, destacó.
Para Muñoz, el mayor desafío en la implementación de la Ley de IA europea por parte de las organizaciones será encontrar a profesionales preparados para ello. “Desde el primer momento, la Comisión Europea dijo que quería que esto fuese una IA segura y confiable. Entonces, el desafío es entender cuál era el propósito de la Comisión desde el comienzo; ya dejó de manifiesto cuáles eran sus objetivos y, sin duda, las empresas tienen que prepararse para esos desafíos y tener personal preparado”, analizó.
A pesar de la incertidumbre que puede generar la Ley de IA y de los retos que su aplicación presenta para todas las organizaciones europeas, la académica aseguró que la normativa tiene más fortalezas que debilidades. “Yo creo que es un texto ejemplar, es un hito a nivel mundial, y va a seguirse por muchos otros países o Estados fuera de la Unión Europea. Es un muy buen texto e, independientemente de que tiene carencias, a partir de ahí se empezarán también a perfilar o generar códigos de conducta, códigos de buenas prácticas e inspirar. Todo va a ser un aprendizaje”, concluyó.
Cookie | Duración | Descripción |
---|---|---|
__cf_bm | 1 hour | This cookie, set by Cloudflare, is used to support Cloudflare Bot Management. |
_GRECAPTCHA | 6 months | Google Recaptcha service sets this cookie to identify bots to protect the website against malicious spam attacks. |
cookielawinfo-checkbox-advertisement | 1 year | Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category. |
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
CookieLawInfoConsent | 1 year | CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie. |
csrftoken | 1 year | This cookie is associated with Django web development platform for python. Used to help protect the website against Cross-Site Request Forgery attacks |
opt_out | 1 year | This cookie is used for preventing the installation of third party advertiser or other cookies on the browser. |
PHPSESSID | 24 minutes | This cookie is native to PHP applications. The cookie stores and identifies a user's unique session ID to manage user sessions on the website. The cookie is a session cookie and will be deleted when all the browser windows are closed. |
rc::a | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::b | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::c | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::f | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
ts | 1 year 1 month | PayPal sets this cookie to enable secure transactions through PayPal. |
usprivacy | 1 year 1 month | This is a consent cookie set by Dailymotion to store the CCPA consent string (mandatory information about an end-user being or not being a California consumer and exercising or not exercising its statutory right). |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
wordpress_test_cookie | session | WordPress sets this cookie to determine whether cookies are enabled on the users' browsers. |
Cookie | Duración | Descripción |
---|---|---|
cX_G | 1 year 1 month | Cxense sets this cookie for storing the global ID, mapping different ids together into one ID. |
v1st | 1 year 1 month | The v1st cookie is set by TripAdvisor to collect details about how visitors use the website, by displaying user reviews, awards and information received on the TripAdvisor community. |
yt-player-headers-readable | never | The yt-player-headers-readable cookie is used by YouTube to store user preferences related to video playback and interface, enhancing the user's viewing experience. |
yt-remote-cast-available | session | The yt-remote-cast-available cookie is used to store the user's preferences regarding whether casting is available on their YouTube video player. |
yt-remote-cast-installed | session | The yt-remote-cast-installed cookie is used to store the user's video player preferences using embedded YouTube video. |
yt-remote-connected-devices | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-device-id | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-fast-check-period | session | The yt-remote-fast-check-period cookie is used by YouTube to store the user's video player preferences for embedded YouTube videos. |
yt-remote-session-app | session | The yt-remote-session-app cookie is used by YouTube to store user preferences and information about the interface of the embedded YouTube video player. |
yt-remote-session-name | session | The yt-remote-session-name cookie is used by YouTube to store the user's video player preferences using embedded YouTube video. |
ytidb::LAST_RESULT_ENTRY_KEY | never | The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future. |
Cookie | Duración | Descripción |
---|---|---|
_gat | 1 minute | Google Universal Analytics sets this cookie to restrain request rate and thus limit data collection on high-traffic sites. |
dmvk | session | The dmvk cookie is set by Dailymotion to record data of visitor behaviour on the website. |
Cookie | Duración | Descripción |
---|---|---|
_fbp | 3 months | Facebook sets this cookie to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising after visiting the website. |
_ga | 1 year 1 month 4 days | Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors. |
_gid | 1 day | Google Analytics sets this cookie to store information on how visitors use a website while also creating an analytics report of the website's performance. Some of the collected data includes the number of visitors, their source, and the pages they visit anonymously. |
cX_P | 1 year 1 month | Cxense sets this cookie for site-specific user sessions - across sessions. |
Cookie | Duración | Descripción |
---|---|---|
guest_id | 1 year 1 month | Twitter sets this cookie to identify and track the website visitor. It registers if a user is signed in to the Twitter platform and collects information about ad preferences. |
test_cookie | 15 minutes | doubleclick.net sets this cookie to determine if the user's browser supports cookies. |
VISITOR_INFO1_LIVE | 6 months | YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface. |
VISITOR_PRIVACY_METADATA | 6 months | YouTube sets this cookie to store the user's cookie consent state for the current domain. |
YSC | session | Youtube sets this cookie to track the views of embedded videos on Youtube pages. |
yt.innertube::nextId | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
yt.innertube::requests | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
Cookie | Duración | Descripción |
---|---|---|
__cflb | 1 day | This cookie is used by Cloudflare for load balancing. |
_awl | 1 year 1 month | No description available. |
_pcid | 1 year 1 month | Description is currently not available. |
_pctx | 1 year 1 month | Description is currently not available. |
gckp | 1 year | This cookie is set by the provider Cxense. This cookie is used for building user profile information across all sites in the Cxense network. |
itsec-hb-login-27e4caa2b0fb20a2dee118de04e9de77 | 1 hour | Description is currently not available. |
ntvSession | session | Description is currently not available. |