Los reguladores del bloque europeo pueden prohibir el uso de los sistemas de IA que consideran que pueden plantear «riesgo inaceptable» o daño.
El 2 de febrero es la fecha límite de cumplimiento para la Ley de IA de la UE, el marco regulatorio integral de IA que el Parlamento Europeo finalmente aprobó en marzo pasado después de años de desarrollo. El acto oficialmente entró en vigor el 1 de agosto. Lo que sigue ahora es el primero de los plazos de cumplimiento.
Los detalles se establecen en el artículo 5 pero en términos generales, el acto está diseñado para cubrir una miríada de casos de uso en los que la IA puede aparecer e interactuar con las personas, desde aplicaciones de consumo hasta entornos físicos.
Bajo eeste enfoque existen cuatro niveles de riesgo amplios: (1) el riesgo mínimo (por ejemplo, los filtros de correo de correo electrónico) no requieren supervisión regulatoria; (2) el riesgo limitado, que incluye chatbots de servicio al cliente, tendrá una supervisión regulatoria ligera; (3) Alto riesgo – AI para recomendaciones de atención médica es un ejemplo – enfrentará una gran supervisión regulatoria; y (4) las aplicaciones de riesgo inaceptables, el enfoque de los requisitos de cumplimiento de este mes, estarán prohibidas por completo.
Algunas de las actividades inaceptables incluyen:
- La IA utilizada para la puntuación social (por ejemplo, la construcción de perfiles de riesgo basados en el comportamiento de una persona).
- Ai que manipula las decisiones de una persona sublimínea o engañosamente.
- AI que explota vulnerabilidades como la edad, la discapacidad o el estado socioeconómico.
- AI que intenta predecir personas que cometen crímenes en función de su apariencia.
- AI que usa biometría para inferir las características de una persona, como su orientación sexual.
- AI que recopila datos biométricos «en tiempo real» en lugares públicos a los efectos de la aplicación de la ley.
- Ai que intenta inferir las emociones de las personas en el trabajo o la escuela.
- AI que crea, o expande, bases de datos de reconocimiento facial raspando imágenes en línea o de cámaras de seguridad.
Las empresas que se encuentran utilizando cualquiera de las aplicaciones AI anteriores en la UE estarán sujetas a multas, independientemente de dónde tengan su sede. Podrían estar en el gancho por hasta 35 millones de euros (~ $ 36 millones), o el 7% de sus ingresos anuales del año fiscal anterior, lo que sea mayor.
Las multas no se activan por algún tiempo, señaló Rob Sumroy, jefe de tecnología del bufete de abogados británico Slaughter y May.
«Se espera que las organizaciones cumplan completamente el 2 de febrero, pero … la próxima fecha límite que las empresas deben tener en cuenta es en agosto», dijo Sumroy. «Para entonces, sabremos quiénes son las autoridades competentes, y las multas y las disposiciones de ejecución entrarán en vigencia».
Promesas preliminares
La fecha límite comentada del 2 de febrero es básicamente una formalidad.
En septiembre pasado, más de 100 compañías firmaron el Pacto de AI de la UE, una promesa voluntaria de comenzar a aplicar los principios de la Ley AI antes de su entrada a la solicitud. Como parte del pacto, los firmantes, que incluían Amazon, Google y OpenAI, se comprometieron a identificar los sistemas de IA que probablemente se clasificarán como alto riesgo bajo la Ley de IA.
Algunos gigantes tecnológicos, especialmente Meta y Apple, se saltaron el pacto. La startup francesa de IA Mistral, con críticas más duras sobre la Ley AI, también optó por no firmar.
Eso no sugiere que Apple, Meta, Mistral u otros que no estuvieran de acuerdo con el pacto no cumplirán con sus obligaciones, incluida la prohibición de sistemas con riesgos inaceptables. Sumroy señala que, dada la naturaleza de los casos de uso prohibidos establecidos, la mayoría de las empresas no participarán en esas prácticas de todos modos.
«Para las organizaciones, una preocupación clave en torno a la Ley de AI de la UE es si las pautas claras, los estándares y los códigos de conducta llegarán a tiempo, y de manera crucial, si proporcionarán a las organizaciones claridad sobre el cumplimiento», dijo Sumroy. «Sin embargo, los grupos de trabajo hasta ahora están cumpliendo sus plazos en el Código de Conducta para … desarrolladores».
Posibles exenciones
Hay excepciones a varias de las prohibiciones de la Ley AI.
Por ejemplo, la Ley permite a la aplicación de la ley utilizar ciertos sistemas que recopilan biometría en lugares públicos si esos sistemas ayudan a realizar una «búsqueda específica» para, por ejemplo, una víctima de secuestro, o para ayudar a prevenir una amenaza «específica, sustancial e inminente» a la vida. Esta exención requiere la autorización del órgano de gobierno apropiado, y la Ley enfatiza que la policía no puede tomar una decisión que «produce un efecto legal adverso» en una persona basada únicamente en los resultados de estos sistemas.
La Ley también provoca excepciones para sistemas que infieren las emociones en los lugares de trabajo y las escuelas donde hay una justificación de «médica o seguridad», como los sistemas diseñados para uso terapéutico.
La Comisión Europea, la rama ejecutiva de la UE, dijo que lanzaría pautas adicionales a principios de 2025 «, después de una consulta con las partes interesadas en noviembre. Sin embargo, esas pautas aún no se han publicado.
Sumroy dijo que tampoco está claro cómo otras leyes en los libros podrían interactuar con las prohibiciones y disposiciones relacionadas de la Ley AI. La claridad no puede llegar hasta más adelante en el año, a medida que se acerca la ventana de aplicación.
«Es importante que las organizaciones recuerden que la regulación de la IA no existe de forma aislada», dijo Sumroy. “Otros marcos legales, como GDPR, NIS2 y Dora, interactuarán con la Ley AI, creando desafíos potenciales, particularmente en torno a los requisitos de notificación de incidentes superpuestos. Comprender cómo estas leyes encajan serán tan cruciales como comprender el acto de IA en sí «.
