Perspectivas

9 octubre 2024

Cómo aplicar en la empresa la ley de inteligencia artificial

Qué implica, a qué obliga y cómo cumplir con el Reglamento europeo de Inteligencia Artificial.

 “La primera ley integral sobre IA del mundo”. Con esta grandilocuencia anunció la Unión Europea (EU) la aprobación del primer intento de una región de influencia global para contar con un marco jurídico transversal y uniforme para el desarrollo confiable de la inteligencia artificial (IA). Es el conocido como Reglamento europeo de Inteligencia Artificial(RIA). Su aplicación implica un reto mayúsculo para las organizaciones europeas obligadas a aplicar una ley pionera en el mundo en un contexto temprano tanto de definición de obligaciones como de riesgos.

El pasado 13 de julio de 2024 se publicaba en el Diario Oficial de la Unión Europea el Reglamento 2024/1689 del Parlamento Europeo y del Consejo, que entraba en vigor en agosto. Se iniciaba así un periodo de aplicación progresiva de 24 meses, hasta el 2 de agosto de 2026, si bien el proceso contempla demoras en su aplicación en algunos casos excepcionales.

Se trata de una regulación observada con lupa desde otras regiones del mundo y, de modo muy especial, por los grandes operadores tecnológicos. Algunos de ellos ya han advertido de un carácter en exceso restringido como garante del derecho de los ciudadanos. Empresas como Meta y Ericsson han firmado este mes de septiembre una carta conjunta acusando al reglamento de “rechazar el progreso”, asegurando que “Europa se quedará rezagada por su incoherencia”. Las discrepancias también llegan del seno de la propia UE, el informe de Mario Draghi del 9 de septiembre pide que Europa aproveche el potencial de la IA para reducir la brecha tecnológica con Estados Unidos y China.

Desde el punto de vista de los usuarios, las voces críticas creen que en breve el teléfono móvil de un abogado sevillano podría ser menos eficiente que el de un neoyorquino. Pero la UE se mantiene firme en su decisión de garantizar que el despliegue de estos modelos de IA no atente los derechos de los ciudadanos europeos.

Un punto donde también pone el acento la Organización de las Naciones Unidas. La ONU ha anunciado la creación de un Órgano Consultivo de Alto Nivel sobre Inteligencia Artificial, del que forma parte Carme Artigas, secretaria de Estado de Digitalización e Inteligencia Artificial, encargado de supervisar un despliegue “seguro y garantista” de estas tecnologías. Este organismo propone una gobernanza global de la IA bajo los preceptos del humanismo tecnológico, un presupuesto que coincide con los objetivos del RIA.

 

Objetivos del Reglamento europeo de Inteligencia Artificial

Cuatro son los objetivos prioritarios en los que se puede concretar los grandes objetivos del Reglamento sobre IA de la Unión Europea:

  • Crear un marco jurídico uniforme en toda la UE sobre esta materia.
  • Abordar el desarrollo y la implantación de la IA con un enfoque basado en el riesgo, tal como ocurrió con la RGPD con la protección de datos individuales.
  • Fomentar la ética y proteger los derechos de las personas sin renunciar al desarrollo de estas tecnologías consideradas estratégicas.
  • Favorecer la gobernanza de los organismos públicos y privados, estableciendo los controles de riesgos asociados, así como promover la alfabetización en IA.

Además, el Reglamento faculta a los estados miembros para crear una o más entidades de supervisión de la ley. Con esta misión, en España se ha constituido la Agencia Española de Supervisión de Inteligencia Artificial. Bajo su responsabilidad, queda el control del régimen sancionador, calificado por Cuatrecasas como severo, “con multas, en los casos más graves, de hasta los 35 millones de euros o el 7% del volumen de negocios total anual a nivel mundial, si esta cantidad fuera mayor”.

 

Implicaciones de la nueva Ley IA para las organizaciones

La Ley sobre IA es ya una realidad y la pregunta que se plantea en los despachos es cómo deben responder las empresas. La consultora KPMG ha trazado las líneas maestras de la implantación empresarial de la nueva norma en un paper titulado Aspectos clave para entender la primera regulación del mundo de Inteligencia Artificial.

 

1- Identificación de los modelos de IA

La primera pregunta que debe plantearse una organización es qué sistemas IA tiene implementados.

El Reglamento define la IA como “un sistema basado en una máquina diseñado para funcionar con distintos niveles de autonomía y que puede mostrar capacidad de adaptación tras su despliegue y que, para objetivos explícitos o implícitos, infiere, a partir de los datos de entrada que recibe, la manera de generar información de salida como predicciones, contenidos, recomendaciones o decisiones que puede influir en entornos físicos o virtuales”.

 

2- Clasificación de la IA

El Reglamento europeo distingue entre diferentes niveles de riesgo: inaceptable, alto, limitado y mínimo o nulo. Además, desde el punto de vista de la finalidad del sistema, se identifica una categoría denominada modelos de IA de uso general. Esta clasificación es clave para la implantación de la norma como explica el despacho Uría Menéndez “el Reglamento IA adapta el tipo y contenido de sus normas a la intensidad y alcance de los riesgos que presentan los sistemas de IA sobre los que se aplica”.

Riesgo inaceptable

Esta línea en el uso de la IA, ya infranqueable por ley, incluye a sistemas que “representan una amenaza directa a la seguridad pública, los derechos fundamentales o la privacidad”. Su uso está solo consentido para situaciones excepcionales.

Estos sistemas se caracterizan por:

  • Manipular cognitivamente el comportamiento de la persona.
  • Manipular el comportamiento que aprovecha la vulnerabilidad de personas o grupos concretos.
  • Evaluar o puntuar socialmente.
  • Identificar biométricamente en tiempo real en espacios públicos.
  • Inferencia de emociones en centros educativos o de trabajo.
  • Predicción de potencial de criminalidad.

Riesgo alto

Son los sistemas IA que podrían tener un impacto considerable sobre los derechos fundamentales de los individuos por su relación con los servicios y procesos que afectan a áreas tan sensibles como las de salud o seguridad. Su uso está permitido, pero siempre que respeten unas salvaguardas extras que deben estar supervisadas.

Las condiciones que el Reglamento contempla para ser considerado como IA de riesgo alto pueden ser dos:

  • Estar diseñados y destinados como componente de seguridad de un producto, por lo que deben someterse a una evaluación de conformidad por terceros con vistas a la comercialización o puesta en servicio de producto.
  • La segunda condición alude a los sistemas específicos recogidos en el Anexo III del Reglamento, “cuando influyen en la toma de decisiones que pueden suponer un riesgo sobre la salud, la seguridad o los derechos fundamentales”.

La recomendación para las organizaciones que aquí hace KPMG es “revisar en cada momento si el sistema de IA puede ser catalogado como de riesgo alto, dado que la tipología de casos puede cambiar en el tiempo”.

Riesgo limitado

Estos sistemas de IA están sometidos a algunas obligaciones concretas de transparencia que se verán más adelante, es el caso:

  • Sistemas de reconocimiento de emociones o que determinen la asociación a categorías sociales concretas a partir de datos biométricos.
  • Sistemas que manipulen contenido (imagen, sonido, vídeo, etc) que asemeje a personas, objetos, lugares y entidades y puedan inducir erróneamente a una persona a pensar que son auténticos o verídicos.

Riesgo mínimo o nulo

La gran mayoría de los sistemas de IA no plantean riesgos y, por lo tanto, pueden seguir utilizándose. Estos sistemas no se ven afectados por el RIA.

Modelos de IA de uso general

Son sistemas basados en un modelo de IA de uso general, no limitados a una función específica, por lo que pueden servir para multitud de usos y además pueden integrarse en otras inteligencias artificiales. Se distingue entre modelo de IA de uso general con riesgo sistémico y no sistémico.

  • Con riesgo sistémico son los que tienen capacidades de “gran impacto” por su potencial de cálculo. En concreto, cuando la cantidad acumulada de cálculo medida en operaciones de coma flotante es superior a 10^25 (10 elevado a la potencia de 25). Este tipo de modelos están sujetos a condiciones estrictas.
  • Sin riesgo sistémico. Los que así son considerados están sujetos a algunas limitaciones, por ejemplo, con respecto a la transparencia.


3- Aplicación del modelo de gobernanza

Identificados y clasificados los modelos de IA de las organizaciones, el siguiente paso contemplado por el Reglamento de la UE es demostrar la existencia de un sistema de gobernanza y diligencia acorde al nivel de riesgo. Teniendo en cuenta que cuando la organización cuenta con modelos de IA con calificación de riesgo alto, hay una obligación adicional de registro. En todos los casos, el objetivo es que todos los modelos de las empresas sean responsables y confiables.

La recomendación de la consultora KPMG es crear una cultura en la que todas las partes involucradas (empleados, clientes, terceros externos) entiendan los riesgos asociados a los sistemas conforme a los marcos de gobernanza que se establezcan, impulsando la alfabetización en IA (formación y concienciación) al respecto.

Obligaciones específicas para los sistemas de alto riesgo

Sistemas de selección de personal para empresas, de verificación de la autenticidad de los documentos de viaje, robots médicos supervisados por IA o sistemas de evaluación y puntuación para la obtención de crédito. Cuatro ejemplos de sistemas de IA considerados como alto riesgo, que según indica la consultora KPMG deben cumplircon unas obligaciones epcíficas:

  • Implantación de un sistema de gestión de riesgos (conocidos y razonablemente previstos) y de calidad.
  • Gobernanza de datos adecuada a la finalidad prevista del sistema IA.
  • Transparencia y comunicación de información a los responsables del despliegue.
  • Supervisión humana (para prevenir o reducir riesgos).
  • Precisión, solidez y ciberseguridad.
  • Evaluación del impacto sobre los derechos fundamentales y evaluación de conformidad.
  • Establecer y mantener la documentación técnica asociada a un sistema de IA de alto riesgo.
  • Se permitirá técnicamente el registro automático de acontecimientos y la trazabilidad a lo largo de todo el ciclo de vida del sistema.

Sanciones por incumplimiento

Finalmente, es importante señalar que el RIA contempla un severo régimen sancionador, en especial por el incumplimiento en sistemas de IA de alto riesgo. Estas multas serán aplicables a partir de los seis meses después de la entrada en vigor de la ley: el 2 de agosto de 2025.

En los artículos 99, 100 y 101 del reglamento se articulan el régimen sancionador al que pueden llegar:

  • Hasta los 35 millones de euros o hasta el 7% del volumen de negocio mundial total del ejercicio financiero anterior de la empresa, para el caso de incumplimiento en los sistemas de riesgo alto.
  • Hasta los 15 millones de euros o hasta el 3% de la facturación anual global para la mayoría de las demás infracciones.
  • Hasta los 7,5 millones de euros o el 1% de la facturación anual global por suministrar información inexacta, incompleta o engañosa.
Twitter Linkedin