Entra en vigor la primera Ley de Inteligencia Artificial de la UE

Este jueves comenzará a regir la primera normativa destinada a regular los sistemas de inteligencia artificial (IA) con el fin de garantizar la seguridad y los derechos fundamentales de los ciudadanos de la Unión Europea frente a los riesgos asociados a esta tecnología.

La normativa europea es innovadora a nivel mundial en la regulación de una tecnología tan avanzada como la inteligencia artificial, que ha estado presente durante años en servicios digitales de uso cotidiano, como las redes sociales, los sistemas de contenido en 'streaming' y los motores de búsqueda como Google o Bing.

Además, se utiliza en sectores como las finanzas, la salud, la atención al cliente, la agricultura y la logística, entre otros.

(Leer más: Amparo Grisales denuncia que están utilizando Inteligencia Artificial con su imagen y voz para estafar personas). 

Esta legislación busca regular su uso bajo un marco legal uniforme, facilitando así la comercialización y circulación de productos y sistemas basados en IA, sin olvidar la ciberseguridad y el desarrollo tecnológico desde una perspectiva ética.

Se pretende que la adopción de esta tecnología se realice con el ser humano en el centro, con el objetivo de que sea confiable y "garantice un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales consagrados en la Carta de los Derechos Fundamentales de la Unión Europea, incluidos la democracia, el Estado de Derecho y la protección del medio ambiente", para protegerlos de los "efectos adversos" que puedan surgir de los sistemas de IA.

Tras su publicación el pasado 12 de julio en el Diario Oficial de la UE, el reglamento de la IA entra en vigor oficialmente este jueves, aunque su aplicación obligatoria comenzará en dos años.

Para entender los aspectos clave que agrupa esta normativa, es necesario considerar que se ha desarrollado con un enfoque basado en los niveles de peligro que presenta la IA, los cuales se dividen en tres categorías: los sistemas que representan un peligro inaceptable, los sistemas de alto peligro y los sistemas de peligro limitado.

Las aplicaciones y sistemas de IA que "representan un peligro inaceptable" están directamente prohibidos. Aunque la lista es extensa, esta categoría incluye los casos en los que se utilizan sistemas de categorización biométrica que infieren atributos sensibles como la raza, las opiniones políticas y la orientación sexual.

(Seguir leyendo: Meta AI en WhatsApp, Facebook e Instagram: ¿qué le puede preguntar a esta Inteligencia Artificial y qué no? Así puede usarla). 

También se incluyen los sistemas de puntuación social, como los utilizados en países como China, que clasifican a los s para otorgar ciertos derechos o sancionar comportamientos inadecuados, y las técnicas subliminales, manipuladoras o engañosas que buscan distorsionar el comportamiento y perjudicar la toma de decisiones.

Sin embargo, existen algunas excepciones. Por ejemplo, aunque el uso de sistemas de identificación biométrica por parte de las fuerzas de seguridad está prohibido, se podrá utilizar en situaciones específicas y definidas de manera estricta, siempre y cuando se obtenga un permiso previamente autorizado por un juez.

La normativa se centra principalmente en los denominados sistemas de IA de alto peligro, es decir, aquellos que "tengan un efecto perjudicial considerable en la salud, la seguridad y los derechos fundamentales de las personas".

(Le puede interesar: Colombia acogerá la primera cumbre ministerial de inteligencia artificial de América Latina y el Caribe). 

Bajo esta descripción se incluyen sistemas tan variados como los de identificación biométrica remota, los utilizados para el seguimiento y detección de comportamientos prohibidos en estudiantes durante exámenes, los que evalúan la solvencia de personas físicas, los detectores de mentiras y herramientas similares, y los diseñados para influir en el resultado de una elección o en el comportamiento electoral de las personas.

La normativa también abarca los modelos, en este caso, los de uso común, definidos como aquellos que se entrenan con grandes volúmenes de datos mediante métodos como el aprendizaje autosupervisado, no supervisado o por refuerzo.

Aclara que, aunque los modelos son componentes fundamentales de los sistemas y forman parte de ellos, no constituyen sistemas de IA por sí mismos.

(Seguir leyendo: En Medellín se hablará de Humanidad Aumentada ¿en qué consiste este concepto?). 

Estos modelos de IA de uso común están disponibles en el mercado a través de bibliotecas, interfaces de programación de aplicaciones (API), como descarga directa o en formato físico, y pueden ser modificados o mejorados y transformarse en nuevos modelos.

Un ejemplo de estos modelos es la inteligencia artificial generativa, que permite la creación de nuevos contenidos en diversos formatos como texto, imagen, vídeo y audio, adaptándose a una amplia gama de tareas, como ocurre con Gemini de Google o GPT de OpenAI.

La ley reconoce que pueden incluir componentes de IA de código abierto o ser distribuidos bajo una licencia libre y de código abierto, resaltando en este caso su alto grado de transparencia, pero subraya la necesidad de proteger los derechos de autor en lo que respecta a la información sustancial y a los contenidos de las bases de datos con los que se entrenan.

(Le puede interesar: Cinco preguntas que nunca debería hacerle a la Inteligencia Artificial de WhatsApp). 

Además, menciona que estos modelos de IA de uso común pueden presentar riesgos sistémicos, que aumentan con sus capacidades y alcance, y pueden surgir en todo el ciclo de vida del modelo.

Insta a seguir la legislación internacional y estar atentos a usos indebidos como el descubrimiento y explotación de vulnerabilidades en sistemas informáticos, la interferencia en el funcionamiento de infraestructuras críticas, o incluso la posibilidad de que algunos modelos pueden autorreplicarse y entrenar otros modelos.

Esta normativa se enfoca en el proveedor de los sistemas y modelos de IA, que puede ser el distribuidor, el importador, el responsable del despliegue u otra entidad, y sobre quien recae la responsabilidad a lo largo de la cadena de valor de esta tecnología.

En términos generales, exige que se realicen evaluaciones del nivel de peligro de sus productos y de los peligros que puedan surgir tanto antes de su lanzamiento al mercado como después de estar en él, así como la implementación de medidas necesarias para evitarlos o mitigarlos.

(Puede ver: Ahora podrá saber si una grabación de voz es real o fue generada con Inteligencia Artificial con este sistema). 

También se requiere el seguimiento de un código de buenas prácticas, supervisado por la Oficina de IA, y que será fundamental para el cumplimiento de las obligaciones pertinentes.

El reglamento también toma en cuenta la velocidad con la que avanza el desarrollo de esta tecnología y tiene previstas evaluaciones y revisiones periódicas del reglamento y de los sistemas de IA, especialmente de la IA de alto peligro, los ámbitos de alto peligro y las prácticas prohibidas, para su actualización.

La nueva normativa incluye puntos clave que tienen implicaciones directas en la ciberseguridad para los s y aseguran un uso adecuado, como destacaron en marzo desde la empresa Check Point, con motivo de su aprobación por el Parlamento Europeo.

La ley exige directrices de desarrollo e implementación más rigurosas, que consideren la seguridad desde el inicio, por ejemplo, mediante la incorporación de prácticas de codificación seguras y garantizando que los sistemas de IA sean resistentes a los ciberataques.

(Continuar leyendo: Acuerdo latinoamericano sobre Inteligencía Artificial se firmará en Colombia). 

También requiere que las empresas responsables adopten medidas pertinentes para prevenir y abordar brechas de seguridad, y que sean más transparentes, especialmente en los sistemas de alto riesgo, para ayudar a identificar vulnerabilidades y mitigar posibles amenazas.

La normativa también busca evitar el uso de la IA con fines malintencionados, como la creación de 'deepfakes' o la automatización de ciberataques, mediante la regulación de ciertos usos de esta tecnología. Esto contribuye a reducir el riesgo de que se utilice como una herramienta de ciberguerra.

Asimismo, el reglamento promueve la mitigación de sesgos y la discriminación, instando a garantizar que los sistemas de IA se entrenen con conjuntos de datos diversos y representativos para reducir los procesos de toma de decisiones sesgados.