¿Qué es el Reglamento de IA de la UE?
El Reglamento de Inteligencia Artificial de la UE (conocido por su denominación, en inglés, AI Act) es un nuevo marco jurídico para regular, en todos los sectores, el uso de los sistemas de inteligencia artificial en la Unión Europea (UE). Establece normas armonizadas para el uso de los sistemas de inteligencia artificial, incluida la IA generativa y la de propósito general. La normativa tiene un enfoque basado en el riesgo: clasifica los sistemas de IA según sus impactos potenciales en la salud, la seguridad y los derechos fundamentales, y recoge las medidas concretas necesarias para evitarlos.
¿Por qué es relevante el Reglamento para las empresas?
El ámbito de aplicación del Reglamento de Inteligencia Artificial es extraterritorial, lo que significa que todas aquellas empresas que desarrollan o implementan sistemas de IA para el mercado de la UE están sujetas a su normativa. Las entidades de fuera de la Unión Europea entran en el ámbito de aplicación como cuando lanzan sistemas de IA a través de sus filiales de la unión y también cuando sus modelos no se despliegan en la zona pero sus resultados están destinados a ser utilizados en la UE.
Mientras otras regiones desarrollan sus propias normativas sobre IA, el Reglamento de IA de la UE es un punto de referencia en todo el mundo. Los retos que plantea la IA requerirán en última instancia medidas legislativas en todos los países. Sin embargo, actualmente se basa en las leyes y marcos existentes, estimando que se necesita más tiempo para comprender mejor los riesgos, las oportunidades y las respuestas normativas adecuadas. Existe un amplio acuerdo sobre los riesgos y principios de la IA en todas las jurisdicciones, pero la divergencia normativa sigue siendo un reto potencial para las empresas.
¿Cuándo entrará en vigor?
Se han establecido plazos de cumplimiento para diferentes clasificaciones de riesgo. Las organizaciones deben clasificar y evaluar proactivamente los riesgos de sus sistemas de IA en los próximos meses para evitar sanciones y los daños a su reputación.
Por ejemplo, una empresa que ponga en marcha un sistema de IA calificado como prohibido, como uno que infiera emociones en el lugar de trabajo, seis meses después de la entrada en vigor de la normativa, podría enfrentarse a multas de hasta 35 millones de euros o el 7% de su facturación anual global del año financiero anterior, la cantidad que sea más alta. Dicho sistema tendría que ser retirado del mercado europeo o rediseñado de manera que ya cumpla con los criterios definidos por la legislación de la unión
Recomendaciones para las empresas europeas
Las empresas europeas deben actuar ahora para cumplir con los requisitos del Reglamento de IA de la UE. Aunque la mayoría de las obligaciones, incluyendo las de los sistemas de alto riesgo, entrarán en vigor en 24 meses, algunas medidas se aplicarán antes y otras después. Por ejemplo, las prohibiciones de determinados sistemas de IA entrarán en vigor a finales de 2024, y los requisitos para la IA de uso general se aplicarán a mediados de 2025.
Recomendaciones para las empresas:
Evalúa el impacto de cumplimiento y revisar cómo el reglamento va a afectar los marcos de compliance existentes.
Clasifica los sistemas de IA y elabora un inventario: categorizar los sistemas según las clasificaciones de riesgo y mantén un inventario dinámico basado en la taxonomía de la UE.
Identifica los sistemas prohibidos y toma medidas: señala y aborda los sistemas que estarán prohibidos a finales de 2024.
Revisa el modelo de gestión de la IA: actualiza los marco de gobernanza para alinearlos con el reglamento.
Marco de gestión de riesgos: desarrolla y aplica procedimientos exhaustivos de gestión de riesgos, pruebas y validaciones.
Gestión de datos: garantiza prácticas sólidas en la gestión de datos.
Garantiza los controles adecuados: confirma que se aplican los controles apropiados, especialmente para los sistemas avanzados de IA.
Mapea las interdependencias: comprender las dependencias internas y externas relacionadas con los sistemas de IA. Genera confianza con los proveedores de plataformas en la nube y de terceros para asegurar visiones, funciones y responsabilidades compartidas, aplicando los controles y las salvaguardas adecuados.
- Identifica la responsabilidad que le corresponde a la empresa, en función de los roles que recoge la Regulación: Deployers, Providers, Importers y Distributors.
- Establece y documenta el proceso de cumplimiento con las disposiciones y obligaciones sobre la comprensión, explicabilidad y transparencia de los sistemas IA. (Instrucciones de uso, información sobre el diseño/implementación del proceso de toma de decisiones, especificaciones técnicas, etc).
- Establece un sistema de monitorización y vigilancia continua a lo largo del ciclo de vida del sistema IA, con el objetivo de garantizar la seguridad, eficacia y conformidad; desde su origen hasta su retirada.
Es probable que la nueva normativa plantee nuevos retos de cumplimiento, pero también ofrece la oportunidad de alinear el desarrollo y la implantación de la IA con tus prioridades estratégicas. Abordar estos retos de forma proactiva puede mejorar las capacidades de innovación, garantizar las prácticas éticas en el uso de la IA y reforzar la ventaja competitiva que supone para tu compañía.
