La Inteligencia Artificial se ha convertido en una herramienta clave en sectores estratégicos y en la toma de decisiones. Hasta ahora, Europa no contaba con un marco regulatorio común, pero la aprobación del Reglamento (UE) 2024/1689, también conocido como Reglamento de Inteligencia Artificial (RIA), supone un hito histórico. Su objetivo es combinar la innovación y la protección de los derechos fundamentales.
¿Qué cambia con la nueva normativa?
El Reglamento UE 2024/1689 clasifica la inteligencia artificial según el nivel de riesgo: inaceptable, alto, limitado y mínimo.
Los sistemas de riesgo inaceptable están prohibidos, incluyendo IA que manipule el comportamiento humano, puntúe socialmente, reconozca emociones en el trabajo o realice identificación biométrica en tiempo real, salvo excepciones judiciales. También se limita la creación de bases de datos biométricas sensibles.
Los sistemas de alto riesgo, usados en sectores críticos como salud, educación o seguridad, solo pueden operar cumpliendo requisitos de seguridad y evaluaciones de conformidad. Los de riesgo limitado deben cumplir obligaciones de transparencia, y los de riesgo mínimo pueden usarse libremente, con códigos de conducta recomendados.
Además, todo contenido generado o manipulado por IA, incluidos los deepfakes, debe estar claramente etiquetado. Este enfoque por niveles de riesgo protege los derechos fundamentales y promueve una IA segura e innovadora en Europa.
Fechas clave y sanciones en la Ley de IA de la UE
La Ley de IA de la UE establece un calendario claro: desde febrero de 2025 se prohíben prácticas incompatibles con los valores democráticos; en agosto de 2026 entran en vigor las obligaciones para sistemas de alto riesgo; y a partir de agosto de 2027, el registro público de estos sistemas será obligatorio.
Cada Estado miembro podrá fijar sus propias multas y sanciones, designando al menos una autoridad nacional encargada de supervisar la aplicación de la normativa y la vigilancia del mercado, asegurando el cumplimiento de la Ley de IA.
¿Cómo deben actuar las empresas que utilizan sistemas de IA?
Las empresas que implementen sistemas de inteligencia artificial deben establecer marcos sólidos de gobernanza y gestión de riesgos basados en ética, eficiencia y legalidad. Esto se articula a través del modelo GRC (Gobernanza, Riesgo y Cumplimiento):
- Gobernanza: Alinear procesos y decisiones con los objetivos estratégicos de la organización.
- Riesgo: Identificar, evaluar y gestionar los riesgos asociados a la IA.
- Cumplimiento: Garantizar que todas las actividades cumplen los requisitos legales y reglamentarios.
En el caso de sistemas de alto riesgo, la normativa exige además:
- Documentación técnica actualizada y registros automáticos de actividad.
- Información clara a los usuarios sobre capacidades, requisitos, ámbito de aplicación, precisión y supervisión humana.
- Posibilidad de supervisión humana durante el uso.
- Nivel adecuado de precisión, robustez y ciberseguridad, reflejado en la documentación.
Es clave fomentar una cultura de riesgo, formando y concienciando a todas las partes sobre los posibles impactos de la IA. Las empresas deben conocer exactamente dónde encajan sus sistemas, aplicar los marcos de gobernanza correspondientes y cumplir rigurosamente con las obligaciones establecidas por la Ley de IA de la UE.