Los legisladores de la UE finalmente llegaron a un acuerdo sobre la Ley de IA a finales de 2023, una legislación que se había estado elaborando durante años para common la inteligencia synthetic y prevenir el uso indebido de la tecnología.
Ahora el texto está pasando por una serie de votaciones antes de que se convierta en ley de la UE y parece possible que entre en vigor en el verano de 2024.
Eso significa que cualquier empresa, grande o pequeña, que produzca o implemente modelos de IA en la UE tendrá que empezar a pensar en un nuevo conjunto de reglas y obligaciones a seguir. No se espera que ninguna empresa cumpla inmediatamente después de que se apruebe la ley; de hecho, la mayoría de las empresas pueden esperar un período de transición de dos años. Pero aún así vale la pena planificar con anticipación, especialmente para las empresas emergentes con equipos legales más pequeños o sin equipos legales.
“No escondas la cabeza en la enviornment”, cube Marianne Tordeux-Bitker, directora de asuntos públicos de la startup y foyer de capital riesgo France Digitale. “Implemente los procesos que le permitirán anticiparse”.
“Aquellos que comiencen y desarrollen sistemas que cumplan con las normas desde el diseño obtendrán una ventaja competitiva actual”, añade Matthieu Luccheshi, especialista en regulación digital del bufete de abogados Gide Loyrette Nouel.
Dado que es possible que una lectura completa de la Ley de IA genere más preguntas de las que responde, Sifted reunió los elementos clave que los fundadores deben tener en cuenta mientras se preparan para las nuevas reglas.
¿A quién le preocupa?
Algunos elementos de la ley se aplican a cualquier empresa que desarrolle, proporcione o implemente sistemas de inteligencia synthetic con fines comerciales en la UE.
Esto incluye empresas que construyen y venden sistemas de IA a otras empresas, pero también aquellas que utilizan IA para sus procesos, ya sea que desarrollen la tecnología internamente o paguen por herramientas disponibles en el mercado.
Sin embargo, la mayor parte de la regulación recae sobre las empresas que crean sistemas de inteligencia synthetic. Aquellos que sólo implementan una herramienta de origen externo en su mayoría necesitan asegurarse de que el proveedor de tecnología cumpla con la ley.
La regulación también afecta a las empresas con sede fuera de la UE que importan sus sistemas y modelos de IA dentro del bloque.
¿Qué es un enfoque basado en riesgos?
Los legisladores de la UE adoptaron un “enfoque basado en el riesgo” para la ley que identifica el nivel de riesgo que plantea un sistema de IA en función de para qué se utiliza. Esto abarca desde herramientas de calificación crediticia impulsadas por inteligencia synthetic hasta filtros antispam.
Una categoría de casos de uso denominada “riesgo inaceptable” está completamente prohibida. Se trata de sistemas de inteligencia synthetic que pueden amenazar los derechos de los ciudadanos de la UE, como la puntuación social de los gobiernos. En la Ley de IA se publica una lista inicial de sistemas que entran en esta categoría.
Otros casos de uso se clasifican como de alto riesgo, bajo riesgo o mínimo riesgo y cada uno tiene un conjunto diferente de reglas y obligaciones.
Por lo tanto, el primer paso para los fundadores es mapear todos los sistemas de inteligencia synthetic que su empresa está construyendo, vendiendo o implementando, y determinar en qué categoría de riesgo caen.
¿Su sistema de IA entra en la categoría de alto riesgo?
Un sistema de IA se considera de alto riesgo si se utiliza para aplicaciones en los siguientes sectores:
Infraestructura crítica; Educación y formación profesional; Componentes y productos de seguridad; Empleo; Servicios públicos y privados esenciales; Cumplimiento de la ley; Gestión de la migración, el asilo y el management de fronteras; Administración de justicia y procesos democráticos.
“Debería ser bastante obvio. Los casos de uso de IA de alto riesgo son cosas que naturalmente se considerarían de alto riesgo”, cube Jeannette Gorzala, vicepresidenta del Foro Europeo de IA, que representa a los empresarios de IA en Europa.
Gorzala estima que entre el 10% y el 20% de todas las aplicaciones de IA entran en la categoría de alto riesgo.
¿Qué debe hacer si está desarrollando un sistema de IA de alto riesgo?
Si está desarrollando un sistema de IA de alto riesgo, ya sea para usarlo internamente o para venderlo, tendrá que cumplir con varias obligaciones antes de que la tecnología pueda comercializarse e implementarse. Incluyen la realización de evaluaciones de riesgos, el desarrollo de sistemas de mitigación, la redacción de documentación técnica y el uso de datos de capacitación que cumplan con ciertos criterios de calidad.
Una vez que el sistema haya cumplido estos requisitos, se debe firmar una declaración de conformidad y el sistema puede enviarse a las autoridades de la UE para obtener el marcado CE, un sello de aprobación que certifica que un producto cumple con los estándares de salud y seguridad de la UE. Después de esto, el sistema se registrará en una base de datos de la UE y podrá comercializarse.
Un sistema de IA utilizado en un sector de alto riesgo puede considerarse de no alto riesgo según el caso de uso exacto. Por ejemplo, si se implementa para tareas procesales limitadas, el modelo no necesita obtener el marcado CE.
¿Qué pasa con los sistemas de bajo y mínimo riesgo?
“Creo que la mayor dificultad no estará relacionada con los sistemas de alto riesgo. Será para diferenciar entre sistemas de bajo riesgo y de riesgo mínimo”, cube Chadi Hantouche, socio de datos e inteligencia synthetic de la consultora Wavestone.
Los sistemas de inteligencia synthetic de riesgo limitado son aquellos que interactúan con individuos, por ejemplo a través de contenido de audio, video o texto, como chatbots. Estos estarán sujetos a obligaciones de transparencia: las empresas deberán informar a los usuarios que el contenido que ven fue generado por IA.
Todos los demás casos de uso, como los filtros antispam, se consideran de riesgo mínimo y se pueden crear e implementar libremente. La UE cube que la “gran mayoría” de los sistemas de inteligencia synthetic actualmente desplegados en el bloque entrarán en esta categoría.
“Sin embargo, en caso de duda, vale la pena ser demasiado cauteloso y agregar una nota que muestre que el contenido fue generado por IA”, cube Hantouche.
¿Cuál es el problema con los modelos de cimentación?
La mayor parte de la Ley de IA tiene como objetivo common los sistemas de IA en función de para qué se utilizan. Pero el texto también incluye disposiciones para common los modelos de IA más grandes y potentes, independientemente de los casos de uso que permitan.
Estos modelos se conocen como IA de propósito common (GPAI) y son el tipo de tecnologías que impulsan herramientas como ChatGPT.
Las empresas que construyen modelos GPAI, como la startup francesa Mistral AI o la alemana Aleph Alpha, tienen diferentes obligaciones según el tamaño del modelo que están construyendo y si es o no de código abierto.
Las reglas más estrictas se aplican a los modelos de código cerrado que fueron entrenados con una potencia informática superior a ten^25 FLOP, una medida de cuánta computación se utilizó para entrenar el sistema. La UE cube que GPT-4 de OpenAI y Gemini de Google DeepMind probablemente crucen ese umbral.
Estos deben elaborar documentación técnica sobre cómo se construye su modelo, implementar una política de derechos de autor y proporcionar resúmenes de datos de capacitación, así como seguir otras obligaciones que van desde controles de ciberseguridad, evaluaciones de riesgos y notificación de incidentes.
Los modelos más pequeños, así como los modelos de código abierto, están exentos de algunas de estas obligaciones.
Las reglas que se aplican a los modelos GPAI son independientes de las que se refieren a casos de uso de alto riesgo. Una empresa que construye un modelo básico no necesariamente tiene que cumplir con las regulaciones que rodean los sistemas de IA de alto riesgo. Es la empresa que está aplicando ese modelo a un caso de uso de alto riesgo la que debe seguir esas reglas.
¿Debería examinar los entornos limitados de pruebas regulatorios?
Durante los próximos dos años, todos los países de la UE establecerán entornos de pruebas regulatorios, que permitirán a las empresas desarrollar, entrenar, probar y validar sus sistemas de inteligencia synthetic bajo la supervisión de un organismo regulador.
“Se trata de relaciones privilegiadas con los organismos reguladores, donde acompañan y apoyan a la empresa en su proceso de cumplimiento”, afirma Tordeux Bitker.
“Dado lo mucho que el marcado CE cambiará la hoja de ruta de los productos para las empresas, recomendaría a cualquier empresa que construya un sistema de inteligencia synthetic de alto riesgo que pase por una zona de pruebas”.
¿Cuál es la línea de tiempo?
El cronograma dependerá de la votación remaining sobre la Ley de IA, que se espera que tenga lugar en los próximos meses. Una vez aprobado, el texto será plenamente aplicable dos años después.
Hay algunas excepciones: los sistemas de IA de riesgo inaceptable deberán retirarse del mercado en los próximos seis meses, y los modelos GPAI deberán ser compatibles el año siguiente.
¿Te podrían multar?
El incumplimiento puede tener un precio elevado. La comercialización de un sistema de IA prohibido será sancionada con una multa de 35 millones de euros o hasta el 7% de la facturación international. El incumplimiento de las obligaciones que cubren los sistemas de alto riesgo corre el riesgo de recibir una multa de 15 millones de euros o el 3% de la facturación international. Y proporcionar información inexacta será multado con 7,5 millones de euros o el 1% de la facturación international.
Para empresas emergentes y PYMES, la multa será hasta el porcentaje o monto que sea menor.
“No creo que las multas lleguen inmediatamente y de la nada”, cube Hantouche. “Con el RGPD, por ejemplo, las primeras multas importantes llegaron después de unos años, varias advertencias y muchos intercambios”.
En caso de duda, ¿quién es tu mejor POC?
A cada Estado miembro de la UE se le ha encomendado la tarea de nombrar una autoridad nacional responsable de aplicar y hacer cumplir la Ley. Estos también ayudarán a las empresas a cumplir con la ley.
Además, la UE establecerá una nueva Oficina Europea de IA, que será el principal punto de contacto de las empresas para presentar su declaración de conformidad si tienen un sistema de IA de alto riesgo.
