Ley de Inteligencia Artificial: nueva normativa de la UE para el uso de la IA
La Ley de Inteligencia Artificial que ha aprobado el Parlamento de la Unión Europea ha hecho historia. Hasta ahora no existía una normativa que regulara la manera en la que los proveedores y responsables de despliegue de los servicios IA ofrecían sus servicios, ya no solo en territorio europeo, sino a nivel mundial.
Ahora, a falta de unos últimos trámites –corrección de errores y ser refrendada por el Consejo Europeo–, todo parece indicar que en el 2026 la nueva Ley de IA será de obligada aplicación en todos los estados miembros. Por ello, en las próximas líneas repasamos las claves de un texto que, sin duda, servirá como hoja de ruta de las futuras regulaciones que se quieran realizar sobre inteligencia artificial.
Índice:
- ¿Qué es Ley de Inteligencia Artificial Europea?
- ¿Por qué es necesaria una Ley de IA?
- ¿Qué regula la Ley de Inteligencia Artificial?
- Niveles de riesgo de la Ley de Inteligencia Artificial de la UE
- ¿Cuándo entra en vigor la Ley de IA?
- ¿Que va a suponer esta nueva normativa para las empresas?
- Supervisión y aplicación de la Ley de la IA Europea
- ¿Qué multas y penalizaciones establece la Ley de Inteligencia Artificial?
- ¿Qué esperar a partir de ahora de la Ley de IA? Próximos pasos
¿Qué es Ley de Inteligencia Artificial Europea?
Tal y como explica la Comisión Europea en un espacio dedicado a responder a las grandes preguntas que está planteando el Reglamento, la Ley de Inteligencia Artificial nace con la intención de proteger a los ciudadanos de los desafíos que plantea esta tecnología en materia de “riesgos para la salud, la seguridad y los derechos fundamentales. El Reglamento también protege la democracia, el Estado de Derecho y el medio ambiente”.
El Reglamento pone el foco en los proveedores y responsables de despliegue de los servicios IA, para garantizar que la tecnología utilizada se desarrolla dentro de un marco de seguridad para los ciudadanos. Por ello, antes de continuar analizando los pormenores del texto recién aprobado, se considera necesario hacer un alto en el camino para explicar qué se entiende por sistema de IA. La respuesta la encontramos en el artículo 3.1 del Reglamento en el que se define como “un sistema basado en una máquina diseñado para funcionar con distintos niveles de autonomía, que puede mostrar capacidad de adaptación tras el despliegue y que, para objetivos explícitos o implícitos, infiere de la información de entrada que recibe la manera de generar información de salida, como predicciones, contenidos, recomendaciones o decisiones, que puede influir en entornos físicos o virtuales”.
¿Por qué es necesaria una Ley de IA?
Precisamente, ha sido el rápido desarrollo tecnológico que ha experimentado la inteligencia artificial el que ha promovido la necesidad de impulsar una Ley de IA en la Unión Europea. En concreto, según recuerda la Comisión, el punto de atención está puesto en “los llamados «modelos de inteligencia artificial de uso general», que se están integrando en numerosos sistemas de inteligencia artificial, se están volviendo demasiado importantes para la economía y la sociedad como para no ser objeto de regulación. A la luz de sus posibles riesgos sistémicos, la UE establece normas y mecanismos de supervisión eficaces”.
¿Qué regula la Ley de Inteligencia Artificial?
La razón de ser la Ley de IA la encontramos en el artículo 1 del Reglamento en el que se especifica que su objetivo “es mejorar el funcionamiento del mercado interior y promover la adopción de una inteligencia artificial (IA) centrada en el ser humano y fiable, garantizando al mismo tiempo un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales consagrados en la Carta de los Derechos Fundamentales, en particular la democracia, el Estado de Derecho y la protección del medio ambiente, frente a los efectos perjudiciales de los sistemas de inteligencia artificial («sistemas de IA») en la Unión, así como brindar apoyo a la innovación”.
Es decir, La Ley de Inteligencia Artificial no busca frenar el desarrollo tecnológico, pero sí fijar unas condiciones para asegurar que los avances que se realicen en este ámbito caminen de la mano con la salvaguarda de los derechos y las libertades de los ciudadanos, creando un marco de aplicación común a todos los proveedores y responsables de despliegue de los servicios de IA implementados dentro de la Unión.
Niveles de riesgo de la Ley de Inteligencia Artificial de la UE
El Reglamento vertebra toda su normativa en base a un concepto, el riesgo que ese desarrollo puede entender para los ciudadanos de la Unión. Un riesgo que define en su artículo 3.2 como “la combinación de la probabilidad de que se produzca un perjuicio y la gravedad de dicho perjuicio”, y del que establece una clasificación de niveles en base a los que se puede clasificar cada sistema de inteligencia artificial que van de inaceptable a mínimo.
Riesgo inaceptable
Se refiere a las prácticas recogidas en el artículo 5 del Reglamento que pasan a estar taxativamente prohibidas porque, tal y como explica la Comisión Europea es “un conjunto muy limitado de usos especialmente nocivos de la inteligencia artificial que se oponen a los valores de la UE porque vulneran los derechos fundamentales”.
Alto riesgo
Obtienen esta clasificación aquellos sistemas de IA en los que concurran las condiciones especificadas en el artículo 6 del Reglamento y que la Comisión Europea resume como aquellos “sistemas de inteligencia artificial definidos en la propuesta y que tienen un impacto potencial negativo en la seguridad de las personas o en sus derechos fundamentales, tal y como están protegidos por la Carta de los Derechos Fundamentales de la UE”.
Riesgo mínimo
Este nivel se reserva tal y como explica el texto de la Comisión para la mayoría de los sistemas que cuentan con inteligencia artificial implementada y no constituyen un riesgo para los derechos, libertades y seguridad de los ciudadanos. En concreto, se remarca que, en estos supuestos, “pueden desarrollarse y utilizarse con arreglo a la legislación vigente, sin obligaciones jurídicas adicionales”, aunque de forma voluntaria pueden incorporar los requisitos que consideren oportunos.
Riesgo específico para la transparencia
Este nivel está pensado solo para aquellos sistemas de IA en los que la transparencia sea el factor determinante para garantizar que los derechos y libertades de los ciudadanos sean plenamente respetados.
Riesgo sistémico
Por último, el Reglamento hace referencia a aquellos sistemas de IA que representan “un riesgo específico de las capacidades de gran impacto de los modelos de IA de uso general, que tienen unas repercusiones considerables en el mercado de la Unión debido a su alcance o a los efectos negativos reales o razonablemente previsibles en la salud pública, la seguridad, la seguridad pública, los derechos fundamentales o la sociedad en su conjunto, que puede propagarse a gran escala a lo largo de toda la cadena de valor” (3.65 del Reglamento). Como recuerda la Comisión, un ejemplo práctico es la utilización de un modelo de IA de uso general como base de un ciberataque a gran escala, como algunos relativamente recientes que han conllevado pérdidas de dinero importante para grandes corporaciones.
¿Cuándo entra en vigor la Ley de IA?
Según se especifica en el artículo 113 del Reglamento “entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea”, siendo de implantación obligatoria para todos los estados miembros a los “veinticuatro meses después de la fecha de entrada en vigor del presente Reglamento”.
Las únicas excepciones, tal y como se expone en el Reglamento y que resume el Parlamento Europeo en su comunicado de prensa, serán “las prohibiciones de prácticas (se aplicarán seis meses después de la fecha de entrada en vigor); los códigos de buenas prácticas (nueve meses después); las normas sobre la IA de uso general, incluida la gobernanza (doce meses después), y las obligaciones para los sistemas de alto riesgo (treinta y seis meses después)”.
¿Que va a suponer esta nueva normativa para las empresas?
La entrada en vigor de la Ley de IA supondrá que desde ese momento, tal y como señala el artículo 5 del Reglamento, quedará prohibido “la introducción en el mercado, la puesta en servicio o la utilización de un sistema de IA” que implique, entre otros:
- La manipulación del ciudadano en la toma de decisiones o servirse de sus vulnerabilidades.
- El estudio de personas para medir las probabilidades de que cometan infracciones penales.
- La creación de bases de datos de rasgos faciales, además de la utilización de aspectos biométricos para identificación y seguimiento en tiempo real –no aplicable a las Fuerzas y Cuerpos de Seguridad del Estado en casos como el terrorismo, aunque se establecen límites en su implementación–.
Al margen de las prácticas que se consideran prohibidas, los proveedores y responsables de sistemas de IA deberán cumplir una serie de requisitos y obligaciones que afectan, principalmente, al control, registro, información y cooperación con las autoridades competentes.
Supervisión y aplicación de la Ley de la IA Europea
El Reglamento es de obligada aplicación por todos los estados miembros, que son los responsables de controlar su correcta implementación en su territorio nacional, con un representante propio en el Comité Europeo de Inteligencia Artificial.
Además se crea la Oficina Europea de Inteligencia Artificial para controlar que los estados miembros cumplan sus obligaciones en este ámbito. En este sentido, la Comisión añade que “su labor incluye la elaboración de códigos de prácticas para detallar las normas, su participación en la clasificación de modelos con riesgos sistémicos y el seguimiento de la aplicación y el cumplimiento efectivos del Reglamento”. También coordinar la actuación entre instituciones, ayudar a las empresas a que sean capaces de cumplir con la normativa establecida y mantener un espacio de diálogo abierto con la comunidad científica.
¿Qué multas y penalizaciones establece la Ley de Inteligencia Artificial?
Aunque corresponde a cada Estado miembro ser el encargado de establecer esas multas, el Reglamento fija tres niveles máximos en atención a la gravedad de la infracción y que la Comisión resume en:
- Incumplimiento o prácticas prohibidas en relación con los requisitos sobre los datos: el máximo se fijará en 35 millones de euros o el 7% del volumen de negocio si esta cifra fuera superior.
- Incumplimiento de cualquier otro requisito u obligación del Reglamento: el tope se fija en los 15 millones de euros o el 3% del volumen de negocio si esta cifra fuera superior.
- Suministro de información incorrecta, incompleta o engañosa: la multa no podrá exceder de los siete millones y medio o el 1,5% del volumen de negocio si esta cifra fuera superior.
Importante remarcar que en el caso de las pymes siempre se deberá elegir la penalización menos gravosa y a la inversa en el supuesto de las grandes empresas.
¿Qué esperar a partir de ahora de la Ley de IA? Próximos pasos
Aunque el Parlamento Europeo ha dado un apoyo prácticamente unánime a la primera regulación del mundo en materia de inteligencia artificial ––523 votos a favor frente a 46 en contra y 49 abstenciones––, quedan dos pequeños trámites: el procedimiento de corrección de errores, al que seguirá una aprobación definitiva y el refrendo del Consejo de la Unión Europea. A partir de aquí, y conocidos los plazos legales fijados en el Reglamento para su entrada en vigor, en el 2026 el Reglamento debería estar ya aplicado en todos los estados miembros.