Por Marco Antonio Tena
La Unión Europea está desarrollando un marco regulatorio para abordar el despliegue y los riesgos asociados con sistemas de inteligencia artificial (IA). Esto forma parte del Acta de Inteligencia Artificial de la Unión Europea (el «AI Act»), que podría ser finalizada para el verano de 2025, con aplicación poco después. Según un comunicado de prensa de la Comisión Europea de diciembre de 2023, los sistemas de «IA Prohibida» serán eliminados dentro de seis meses después de la promulgación, se requerirá el cumplimiento de las obligaciones generales de gobernanza de la IA después de 12 meses, y todas las reglas, incluyendo las obligaciones para sistemas de alta peligrosidad, se harán efectivas entre 24 y 36 meses.
¿Quién se verá afectado?
El AI Act aplicará a entidades públicas y privadas que ofrezcan sus sistemas de IA en los mercados de la UE o que usen IA de manera que impacte a personas dentro de la UE. Esto incluye a negocios y organizaciones fuera de la UE que interactúen con los mercados de la UE. Tanto los desarrolladores de IA como aquellos que implementan sistemas de IA en la UE deben asegurar que cumplen con los requisitos del AI Act.
Se concederán exenciones para actividades de prototipado y desarrollo antes del lanzamiento al mercado de un sistema de IA y para propósitos militares o de seguridad nacional.
¿Qué requerirá el AI Act?
El AI Act introduce un enfoque basado en el riesgo con cuatro niveles:
- Riesgo Inaceptable/IA Prohibida: Estos son sistemas de IA que se consideran inseguros o que infringen derechos fundamentales, como aquellos que manipulan el comportamiento, usan identificación biométrica para la aplicación de la ley o llevan a cabo reconocimiento emocional en lugares de trabajo o entornos educativos. Estos sistemas serán prohibidos en la UE.
- Alto Riesgo: Esta categoría incluye sistemas de IA que podrían impactar la seguridad o los derechos fundamentales, incluyendo aquellos que gestionan infraestructura crítica, dispositivos médicos, vehículos, o evalúan la solvencia crediticia. El cumplimiento requerirá varias evaluaciones, registro en bases de datos públicas, gestión de riesgos y transparencia.
- Riesgo de Transparencia: Los sistemas de IA que potencialmente pueden manipular a los usuarios, como los chatbots, requerirán divulgaciones específicas para informar a los usuarios que están interactuando con una máquina.
- Riesgo Mínimo: Todos los demás sistemas de IA caen en esta categoría.
Sanciones por Incumplimiento
Las violaciones podrían dar lugar a sanciones severas:
- Hasta 35 millones de euros o el 7% de la facturación anual mundial (lo que sea mayor) por violaciones de IA prohibida.
- Hasta 15 millones de euros o el 3% de la facturación anual mundial por la mayoría de otras violaciones.
- Hasta 7,5 millones de euros o el 1,5% de la facturación anual mundial por proporcionar información incorrecta.
Cabe destacar que el Reglamento General de Protección de Datos (RGPD) de la UE tiene requisitos adicionales de notificación para la toma de decisiones automatizada, y el incumplimiento puede resultar en multas de hasta 20 millones de euros o el 4% de los ingresos anuales mundiales, con riesgos potenciales de sanciones combinadas con el AI Act.
Preparándose para el Cumplimiento
Si un negocio opera en la UE y usa IA, se recomienda tener en cuenta las cuatro categorías de sistemas de IA definidas en el AI Act. Mantener registros detallados de los tipos de datos utilizados por sus sistemas de IA y sus propósitos ayudará a asegurar el cumplimiento de los requisitos de transparencia y notificación tanto bajo el AI Act como bajo el RGPD.
Potencial Impacto en México
El marco regulatorio integral que está siendo desarrollado por la UE podría servir como modelo para otras regiones, incluyendo México.
A medida que las empresas mexicanas interactúen con los mercados de la UE o busquen desarrollar tecnologías de IA, podrían necesitar alinear sus prácticas con el AI Act para evitar sanciones y asegurar el cumplimiento. Esto podría conducir a cambios en el paisaje legal de México en torno a la regulación y gobernanza de la IA.
