Ley de IA de la UE: todo lo que necesita saber
El reglamento de la Unión Europea basado en el riesgo para la inteligencia artificial, también conocido como la Ley de IA de la UE, lleva años preparándose. Pero espere escuchar mucho más sobre la regulación en los próximos meses (y años) a medida que entren en vigor los plazos de cumplimiento clave. Mientras tanto, siga leyendo para obtener una descripción general de la ley y sus objetivos.
Entonces, ¿qué intenta lograr la UE? Retroceda el tiempo hasta abril de 2021, cuando la Comisión publicó la propuesta original y los legisladores la formulaban como una ley para reforzar la capacidad del bloque para innovar en IA fomentando la confianza entre los ciudadanos. El marco garantizaría que las tecnologías de inteligencia artificial siguieran estando “centradas en el ser humano” y al mismo tiempo daría a las empresas reglas claras para hacer funcionar su magia del aprendizaje automático, sugirió la UE.
La creciente adopción de la automatización en la industria y la sociedad ciertamente tiene el potencial de potenciar la productividad en diversos ámbitos. Pero también plantea riesgos de daños de rápida escala si los resultados son deficientes y/o cuando la IA se cruza con los derechos individuales y no los respeta.
Por lo tanto, el objetivo del bloque para la Ley de IA es impulsar la adopción de la IA y hacer crecer un ecosistema local de IA estableciendo condiciones destinadas a reducir los riesgos de que las cosas salgan terriblemente mal. Los legisladores creen que contar con barreras de seguridad aumentará la confianza de los ciudadanos en la IA y su adopción.
Esta idea de fomentar el ecosistema a través de la confianza era bastante poco controvertida a principios de la década, cuando se estaba discutiendo y redactando la ley. Sin embargo, en algunos sectores surgieron objeciones de que simplemente era demasiado pronto para regular la IA y que la innovación y la competitividad europeas podrían verse afectadas.
Por supuesto, pocos dirían que es demasiado pronto ahora, dado cómo la tecnología ha irrumpido en la conciencia generalizada gracias al auge de las herramientas de inteligencia artificial generativa. Pero todavía hay objeciones de que la ley obstaculiza las perspectivas de los empresarios locales de IA, a pesar de la inclusión de medidas de apoyo como entornos de pruebas regulatorios.
Aun así, el gran debate para muchos legisladores ahora gira en torno a cómo para regular la IA, y con la Ley de IA la UE ha marcado su rumbo. Los próximos años se centrarán en que el bloque ejecute el plan.
¿Qué exige la Ley de IA?
La mayoría de los usos de la IA son no regulados por la Ley de IA, ya que quedan fuera del alcance de las normas basadas en riesgos. (También vale la pena señalar que los usos militares de la IA están completamente fuera de alcance, ya que la seguridad nacional es una competencia legal de los estados miembros, y no a nivel de la UE).
Para los usos dentro del alcance de la IA, el enfoque basado en el riesgo de la Ley establece una jerarquía en la que un puñado de casos de uso potenciales (por ejemplo, “técnicas subliminales, manipuladoras y engañosas dañinas” o “puntuación social inaceptable”) se encuadran como que conllevan “inhibiciones inaceptables”. riesgo” y por lo tanto están prohibidos. Sin embargo, la lista de usos prohibidos está repleta de excepciones, lo que significa que incluso el pequeño número de prohibiciones de la ley conllevan muchas advertencias.
Por ejemplo, la prohibición de que las fuerzas del orden utilicen identificación biométrica remota en tiempo real en espacios de acceso público no es la prohibición general que algunos parlamentarios y muchos grupos de la sociedad civil habían presionado, con excepciones que permiten su uso para ciertos delitos.
El siguiente nivel por debajo del riesgo inaceptable/uso prohibido son los casos de uso de “alto riesgo”, como las aplicaciones de inteligencia artificial utilizadas para infraestructura crítica; aplicación de la ley; educación y formación profesional; cuidado de la salud; y más, donde los fabricantes de aplicaciones deben realizar evaluaciones de conformidad antes de su implementación en el mercado y de forma continua (por ejemplo, cuando realizan actualizaciones sustanciales a los modelos).
Esto significa que el desarrollador debe poder demostrar que cumple con los requisitos de la ley en áreas como calidad de datos, documentación y trazabilidad, transparencia, supervisión humana, precisión, ciberseguridad y solidez. Deben implementar sistemas de calidad y gestión de riesgos para poder demostrar el cumplimiento si una autoridad encargada de hacer cumplir la ley llama a la puerta para realizar una auditoría.
Los sistemas de alto riesgo implementados por organismos públicos también deben registrarse en una base de datos pública de la UE.
También hay una tercera categoría, de “riesgo medio”, que aplica obligaciones de transparencia a los sistemas de inteligencia artificial, como los chatbots u otras herramientas que pueden usarse para producir medios sintéticos. Aquí la preocupación es que podrían usarse para manipular a las personas, por lo que este tipo de tecnología requiere que los usuarios estén informados de que están interactuando o viendo contenido producido por IA.
Todos los demás usos de la IA se consideran automáticamente de riesgo bajo o mínimo y no están regulados. Esto significa que, por ejemplo, cosas como el uso de IA para clasificar y recomendar contenido de redes sociales o publicidad dirigida no tienen ninguna obligación según estas reglas. Pero el bloque alienta a todos los desarrolladores de IA a seguir voluntariamente las mejores prácticas para aumentar la confianza de los usuarios.
Este conjunto de reglas escalonadas basadas en riesgos constituye la mayor parte de la Ley de IA. Pero también existen algunos requisitos específicos para los modelos multifacéticos que sustentan las tecnologías de IA generativa, a los que la Ley de IA se refiere como modelos de “IA de propósito general” (o GPAI).
Este subconjunto de tecnologías de inteligencia artificial, que la industria a veces llama “modelos fundamentales”, generalmente se ubica antes de muchas aplicaciones que implementan inteligencia artificial. Los desarrolladores están aprovechando las API de GPAI para implementar las capacidades de estos modelos en su propio software, a menudo ajustado para un caso de uso específico para agregar valor. Todo lo cual quiere decir que las GPAI han ganado rápidamente una posición poderosa en el mercado, con el potencial de influir en los resultados de la IA a gran escala.
GenAI ha entrado al chat…
El auge de GenAI cambió algo más que la conversación en torno a la Ley de IA de la UE; condujo a cambios en el propio libro de reglas, ya que el largo proceso legislativo del bloque coincidió con el revuelo en torno a las herramientas GenAI como ChatGPT. Los legisladores del Parlamento Europeo aprovecharon la oportunidad para responder.
Los eurodiputados propusieron añadir reglas adicionales para las GPAI, es decir, los modelos que subyacen a las herramientas GenAI. Esto, a su vez, agudizó la atención de la industria tecnológica sobre lo que la UE estaba haciendo con la ley, lo que llevó a un feroz lobby para que se excluyeran las GPAI.
La empresa francesa de inteligencia artificial Mistral fue una de las voces más fuertes, argumentando que las reglas sobre los fabricantes de modelos frenarían la capacidad de Europa para competir contra los gigantes de la inteligencia artificial de Estados Unidos y China. Sam Altman de OpenAI también intervino, sugiriendo, en un comentario paralelo a los periodistas, que podría retirar su tecnología de Europa si las leyes resultaran demasiado onerosas, antes de recurrir apresuradamente a la tradicional presión (lobby) de los poderosos regionales después de que la UE lo llamara. esta torpe amenaza.
El hecho de que Altman recibiera un curso intensivo sobre diplomacia europea ha sido uno de los efectos secundarios más visibles de la Ley de IA.
El resultado de todo este ruido fue un viaje complicado para concluir el proceso legislativo. Fueron necesarios meses y una maratónica sesión de negociación final entre el Parlamento Europeo, el Consejo y la Comisión para sacar adelante el expediente el año pasado. El acuerdo político se alcanzó en diciembre de 2023, allanando el camino para la adopción del texto final en mayo de 2024.
La UE ha pregonado la Ley de IA como una “primicia mundial”. Pero ser el primero en este contexto tecnológico de vanguardia significa que aún quedan muchos detalles por resolver, como establecer los estándares específicos en los que se aplicará la ley y producir una guía detallada de cumplimiento (Códigos de Práctica) para que la supervisión y régimen de creación de ecosistemas que la Ley prevé que funcione.
Entonces, en lo que respecta a evaluar su éxito, la ley sigue siendo un trabajo en progreso, y lo será durante mucho tiempo.
Para las GPAI, la Ley de IA continúa con el enfoque basado en el riesgo, con requisitos (sólo) más ligeros para la mayoría de estos modelos.
Para las GPAI comerciales, esto significa reglas de transparencia (incluidos los requisitos de documentación técnica y las divulgaciones sobre el uso de material protegido por derechos de autor utilizado para entrenar modelos). Estas disposiciones están destinadas a ayudar a los desarrolladores intermedios a cumplir con su propia Ley de IA.
También hay un segundo nivel, para las GPAI más poderosas (y potencialmente riesgosas), donde la Ley aumenta las obligaciones de los fabricantes de modelos al exigir una evaluación proactiva de riesgos y mitigación de riesgos para las GPAI con “riesgo sistémico”.
En este caso, a la UE le preocupan los modelos de IA muy potentes que podrían plantear riesgos para la vida humana, por ejemplo, o incluso riesgos de que los fabricantes de tecnología pierdan el control sobre el desarrollo continuo de IA que se mejoran a sí mismas.
Los legisladores optaron por confiar en el umbral de cálculo para el entrenamiento de modelos como clasificador para este nivel de riesgo sistémico. Los GPAI entrarán en este grupo según la cantidad acumulada de computación utilizada para su entrenamiento medida en operaciones de punto flotante (FLOP) de más de 1025.
Hasta el momento no se cree que haya ningún modelo disponible, pero, por supuesto, eso podría cambiar a medida que GenAI continúe desarrollándose.
También hay cierto margen de maniobra para que los expertos en seguridad de la IA involucrados en la supervisión de la Ley de IA señalen preocupaciones sobre riesgos sistémicos que puedan surgir en otros lugares. (Para obtener más información sobre la estructura de gobernanza que el bloque ha ideado para la Ley de IA, incluidas las diversas funciones de la Oficina de IA, consulte nuestro informe anterior).
El lobby de Mistral et al. resultó en una dilución de las reglas para las GPAI, con requisitos más ligeros para los proveedores de código abierto, por ejemplo (¡qué suerte tiene Mistral!). La investigación y el desarrollo también se excluyeron, lo que significa que las GPAI que aún no se han comercializado quedan completamente fuera del alcance de la Ley, sin siquiera que se apliquen requisitos de transparencia.
Una larga marcha hacia el cumplimiento
La Ley de IA entró oficialmente en vigor en toda la UE el 1 de agosto de 2024. Esa fecha esencialmente fue un pistoletazo de salida, ya que los plazos para cumplir con los diferentes componentes se cumplirán en diferentes intervalos desde principios del próximo año hasta mediados de 2027.
Algunos de los principales plazos de cumplimiento son seis meses después de la entrada en vigor, cuando entran en vigor las normas sobre casos de uso prohibidos; nueve meses después de que comiencen a aplicarse los códigos de prácticas; 12 meses para requisitos de transparencia y gobernanza; 24 meses para otros requisitos de IA, incluidas las obligaciones para algunos sistemas de alto riesgo; y 36 meses para otros sistemas de alto riesgo.
Parte de la razón de este enfoque escalonado de las disposiciones legales es dar a las empresas suficiente tiempo para poner sus operaciones en orden. Pero aún más que eso, está claro que se necesita tiempo para que los reguladores determinen cómo se ve el cumplimiento en este contexto de vanguardia.
En el momento de redactar este informe, el bloque está ocupado formulando orientaciones para diversos aspectos de la ley antes de estos plazos, como códigos de práctica para los fabricantes de GPAI. La UE también está consultando sobre la definición de la ley de “sistemas de IA” (es decir, qué software estará dentro o fuera del alcance) y aclaraciones relacionadas con los usos prohibidos de la IA.
El panorama completo de lo que significará la Ley de IA para las empresas incluidas en el alcance aún se está matizando y desarrollando. Pero se espera que los detalles clave se consoliden en los próximos meses y en la primera mitad del próximo año.
Una cosa más a considerar: como consecuencia del ritmo de desarrollo en el campo de la IA, lo que se requiere para permanecer en el lado correcto de la ley probablemente seguirá cambiando a medida que estas tecnologías (y sus riesgos asociados) también sigan evolucionando. Así que éste es un libro de reglas que bien puede necesitar seguir siendo un documento vivo.
Aplicación de reglas de IA
La supervisión de las GPAI está centralizada a nivel de la UE, y la Oficina de IA desempeña un papel clave. Las sanciones que la Comisión puede imponer para hacer cumplir estas normas pueden alcanzar hasta el 3% del volumen de negocios global de los fabricantes de modelos.
En otros lugares, la aplicación de las normas de la Ley para los sistemas de IA está descentralizada, lo que significa que dependerá de las autoridades a nivel de los estados miembros (en plural, ya que puede haber más de un organismo de supervisión designado) evaluar e investigar los problemas de cumplimiento para la mayor parte de las aplicaciones de IA. . Queda por ver qué tan viable será esta estructura.
Sobre el papel, las sanciones pueden alcanzar hasta el 7% de la facturación global (o 35 millones de euros, lo que sea mayor) por incumplimiento de usos prohibidos. Las violaciones de otras obligaciones de IA pueden sancionarse con multas de hasta el 3% de la facturación global, o hasta el 1,5% por proporcionar información incorrecta a los reguladores. Por lo tanto, existe una escala móvil de sanciones que las autoridades encargadas de hacer cumplir las sanciones pueden alcanzar.