Ir al contenido principal
Antecedentes del héroe

Ley de la UE sobre la inteligencia artificial

¿Qué es la Ley de IA de la UE?

La Ley de IA de la UE (Ley de Inteligencia Artificial de la Unión Europea) es un marco normativo integral que regula el desarrollo, la comercialización, la implantación y el uso de los sistemas de inteligencia artificial en la UE. Se aplica independientemente del lugar en el que esté establecido el proveedor, lo que significa que las organizaciones situadas fuera de la UE también pueden entrar en su ámbito de aplicación si sus sistemas de IA se comercializan en el mercado de la UE o si sus resultados se utilizan en dicho mercado. 

En esencia, el reglamento introduce un modelo de gobernanza basado en el riesgo, lo que significa que las obligaciones dependen del nivel de riesgo que un sistema de IA supone para la salud, la seguridad y los derechos fundamentales. Abarca todo el ecosistema de la IA, incluidos los proveedores, los responsables de la puesta en servicio, los importadores, los distribuidores y los fabricantes que integran la IA en sus productos. 

La Ley de IA de la UE también establece normas para los modelos de IA de uso general (GPAI), incluidos los modelos base, con obligaciones adicionales para aquellos modelos de GPAI que se consideren que plantean un riesgo sistémico. 

Ajustarse al marco normativo de la UE 

La Ley de IA de la UE se complementa con otras normativas digitales importantes de la UE, entre las que se incluyen: 

En conjunto, estas normativas conforman un marco coherente de gobernanza digital centrado en la confianza, la transparencia, la ciberseguridad y la innovación responsable. 

Calendario de implementación por fases 

La Ley de IA de la UE es un marco normativo recientemente aprobado que se está implantando de forma escalonada, y cuyos requisitos se van aplicando progresivamente. 

Entrada en vigor (agosto de 2024): El reglamento entra oficialmente en vigor, dando inicio al período de aplicación gradual.  

Seis meses (febrero de 2025): Entran en vigor las prácticas prohibidas en materia de IA, junto con las obligaciones de alfabetización en IA para las organizaciones que desarrollen o implanten sistemas de IA.  

Doce meses (agosto de 2025): Entran en vigor las obligaciones relativas a los modelos de IA de uso general, incluidos los requisitos de gobernanza y transparencia.  

Veinticuatro meses (agosto de 2026): La mayoría de las disposiciones restantes pasarán a ser aplicables a todos los sistemas de IA regulados.  

Treinta y seis meses (agosto de 2027): Se aplicarán plenamente determinados requisitos para los sistemas de IA de alto riesgo, completando así la implantación de las obligaciones. 

Importancia de la Ley de IA de la UE

Repercusiones en los sectores críticos y los servicios públicos 

La Ley de IA de la UE reviste especial importancia para los sectores en los que la IA influye directamente en la seguridad, los derechos fundamentales y los servicios esenciales. Entre estos sectores se encuentran la sanidad, el transporte, la energía, los servicios financieros, la administración pública y las infraestructuras críticas. 

En estos entornos, la normativa refuerza la rendición de cuentas al exigir una gestión estructurada de los riesgos, una documentación exhaustiva, supervisión humana y un seguimiento continuo. Estas medidas contribuyen a garantizar que las decisiones basadas en la inteligencia artificial sigan siendo transparentes, trazables y fiables en entornos críticos para la misión. 

Alineación con las prácticas de gobernanza y seguridad 

La Ley de IA de la UE se ajusta en gran medida a las prácticas consolidadas de seguridad y gobernanza empresarial. A las organizaciones que ya aplican un desarrollo «seguro desde el diseño», una documentación estructurada y una supervisión continua, muchos de sus requisitos les resultarán familiares. 

El reglamento refuerza la importancia de un cumplimiento demostrable al exigir pruebas de que los sistemas de inteligencia artificial se desarrollan, prueban, implementan y supervisan de acuerdo con las expectativas normativas. Esto contribuye a una gestión más sólida de los riesgos jurídicos, operativos y de reputación. 

Claridad operativa mediante la clasificación de riesgos 

Una de las características distintivas de la Ley de IA de la UE es su marco estructurado de clasificación de riesgos. Los sistemas de IA se clasifican en función de su nivel de riesgo: inaceptable, alto, limitado o mínimo, y a cada nivel corresponden unas obligaciones específicas. 

Este marco de clasificación facilita la toma de decisiones fundamentadas en materia de adquisición, gobernanza, desarrollo e implementación, al tiempo que reduce la probabilidad de que se produzcan incumplimientos normativos o medidas coercitivas. 

Elementos clave de la Ley de IA de la UE

Sistemas de IA con un riesgo inaceptable 

Los sistemas de IA que entrañan un riesgo inaceptable están prohibidos en virtud de la Ley de IA de la UE, ya que se consideran incompatibles con los derechos fundamentales de la UE y presentan niveles de riesgo inaceptables. 

Algunos ejemplos son: 

  • Sistemas de puntuación social que dan lugar a un trato injustificado o discriminatorio hacia las personas  

  • Ciertas formas de identificación biométrica remota en tiempo real en espacios de acceso público, con sujeción a excepciones limitadas y estrictamente definidas en el marco de las actuaciones policiales.  

  • Sistemas de inteligencia artificial que manipulan el comportamiento de tal forma que causan o pueden causar un daño significativo, o que se aprovechan de las vulnerabilidades de personas o grupos concretos  

  • Recopilación indiscriminada de imágenes faciales de Internet o de fuentes de videovigilancia para crear o ampliar bases de datos de reconocimiento facial 

Sistemas de IA de alto riesgo 

Los sistemas de IA de alto riesgo siguen estando permitidos, pero están sujetos a amplios requisitos normativos en virtud de la Ley de IA de la UE. 

Entre los ejemplos se incluyen las aplicaciones de la IA en: 

  • Infraestructuras críticas  

  • Empleo y gestión de la plantilla  

  • Educación y evaluación de los alumnos  

  • Sanidad y dispositivos médicos  

  • Evaluación de la solvencia y acceso a los servicios básicos  

  • Fuerzas del orden  

  • Gestión de fronteras  

  • Administración de justicia  

Estos sistemas están sujetos a obligaciones estrictas, entre las que se incluyen sistemas de gestión de riesgos, requisitos de gobernanza de datos, documentación técnica, registro y conservación de registros, transparencia y facilitación de información a los usuarios, supervisión humana, precisión, solidez y requisitos de ciberseguridad. 

Sistemas de IA de riesgo limitado 

Los sistemas de IA de riesgo limitado están sujetos principalmente a obligaciones de transparencia en virtud de la Ley de IA de la UE. 

Algunos ejemplos son: 

  • Chatbots que interactúan directamente con las personas  

  • Sistemas de inteligencia artificial que generan o manipulan contenidos que requieren su divulgación  

  • Sistemas diseñados para simular la interacción humana  

Los requisitos son los siguientes: 

  • Informar a las personas cuando interactúan con sistemas de inteligencia artificial  

  • Indicación de los contenidos generados por IA o manipulados cuando sea necesario  

  • Garantizar que los resultados se identifiquen claramente como generados por IA, cuando proceda 

Sistemas de IA con riesgo mínimo o nulo 

Los sistemas de IA de riesgo mínimo o nulo no están sujetos a las obligaciones exigidas por la Ley de IA de la UE. 

Se considera que estos sistemas presentan un riesgo mínimo o nulo para la salud, la seguridad o los derechos fundamentales y, por lo tanto, quedan excluidos de los requisitos específicos de cumplimiento de la ley. 

Algunos ejemplos son: 

  • Filtros antispam y herramientas de clasificación de correos electrónicos  

  • Videojuegos y funciones de entretenimiento basados en la inteligencia artificial  

  • Herramientas básicas de optimización de inventario o logística  

  • Sistemas sencillos de recomendación o personalización  

Aunque no estén reguladas por la Ley de IA de la UE, las organizaciones pueden seguir aplicando medidas de gobernanza voluntarias, como prácticas de transparencia, pruebas internas y controles de ciberseguridad. Dependiendo del contexto de uso, pueden seguir siendo de aplicación otros marcos normativos, como el RGPD. 

Casos de uso de la Ley de IA de la UE

Aplicación de la Ley de la UE sobre la IA 

El cumplimiento de la Ley de IA de la UE suele comenzar con un inventario exhaustivo de los sistemas de IA, incluidas las soluciones desarrolladas internamente, las capacidades de IA integradas y las herramientas de terceros. Cada sistema se clasifica en función de su finalidad prevista, su impacto en los usuarios y su categoría de riesgo normativo. 

Una gobernanza interfuncional en la que participen los departamentos jurídico, de ciberseguridad, de ingeniería, de privacidad, de compras y la dirección ejecutiva contribuye a establecer una responsabilidad clara a lo largo de todo el ciclo de vida de la IA. 

Muchas organizaciones adaptan sus actividades de gobernanza a normas reconocidas, como la ISO/IEC 42001 para los sistemas de gestión de la inteligencia artificial, la ISO/IEC 27001 para la seguridad de la información y la ISO/IEC 23894 para la gestión de riesgos de la inteligencia artificial. 

Pruebas, validación y documentación 

Se espera que las pruebas realizadas en el marco de la Ley de IA de la UE sean rigurosas y repetibles. Las actividades de validación pueden incluir pruebas de rendimiento, evaluaciones de robustez, evaluaciones de equidad cuando proceda y pruebas de resiliencia frente a ataques adversarios. 

Una documentación exhaustiva sirve de base para las evaluaciones de conformidad y la supervisión normativa. Entre los registros habituales se incluyen la documentación técnica, las descripciones de los sistemas, la información sobre los modelos, la documentación sobre la gestión de datos, las pruebas realizadas y las actividades de seguimiento continuo. 

La diligencia debida con los proveedores también contribuye al cumplimiento normativo al mejorar la transparencia en torno a las capacidades de los modelos, sus limitaciones y las prácticas de gobernanza. 

Adquisiciones, operaciones y seguridad 

La contratación pública constituye una función clave de gobernanza en el marco de la Ley de IA de la UE. Las evaluaciones de los proveedores suelen tener en cuenta las capacidades de los modelos, el uso previsto, la calidad de la documentación, el registro de datos, la explicabilidad, la auditabilidad y los controles de seguridad. 

La supervisión operativa incluye un seguimiento continuo de las desviaciones en el rendimiento, las anomalías operativas y los riesgos de ciberseguridad. Los controles de apoyo suelen incluir el cifrado, la gestión de accesos, las prácticas de implementación segura, los procesos de respuesta ante incidentes y la supervisión continua del cumplimiento normativo. 

Conocimientos básicos sobre IA 

La Ley de IA de la UE exige a las organizaciones que adopten medidas que fomenten un nivel adecuado de conocimientos sobre IA entre el personal que participa en el desarrollo, la implantación o la supervisión de los sistemas de IA. La formación debe reflejar las responsabilidades operativas, los requisitos de gobernanza y el nivel de riesgo asociado a cada sistema de IA. 

Cumplimiento de la Ley de IA de la UE

La Ley de IA de la UE debe considerarse un marco de gobernanza en constante evolución, más que una iniciativa de aplicación puntual. Para mantener el cumplimiento normativo es necesario realizar un seguimiento continuo de la evolución de la normativa, las normas emergentes y las directrices publicadas por las autoridades europeas. 

Una estrategia de cumplimiento madura integra la gobernanza, la ciberseguridad, la contratación pública, la documentación y la supervisión operativa en un ciclo de vida continuo. Este enfoque garantiza el cumplimiento normativo y, al mismo tiempo, facilita la innovación responsable, la resiliencia operativa y la adopción de una IA fiable en la administración pública, las infraestructuras críticas y otros sectores altamente regulados. 

BlackBerry para comunicaciones seguras

Para entornos en los que el fracaso no es una opción

BlackBerry Secure Communications es la solución líder que ofrece una experiencia sin igual para proteger las comunicaciones más críticas del mundo.

Explore las soluciones de comunicaciones seguras de BlackBerry