¿Cómo me protege la ley europea de IA? Las claves para entender un texto que entra en vigor hoy
La UE restringe mucho la identificación automática con datos biométricos
BarcelonaLa Eurocámara aprobó en marzo la primera ley específica para la inteligencia artificial del mundo, que entra en vigor este 1 de agosto. Su articulado se centra sobre todo en poner límites –y sanciones– a las empresas que desarrollen sistemas de IA con potenciales riesgos. Éstas son algunas de las claves del articulado.
¿Quién está afectado por la ley?
Todos los operadores que comercialicen un sistema de inteligencia artificial con presencia en el territorio de la Unión Europea. Los proveedores son los que quedan sujetos al cumplimiento de las disposiciones, pero también el resto de actores de la cadena de valor –es decir, empresas intermediarias– pueden responder por sus acciones. En cambio, no existen obligaciones previstas para los usuarios finales.
¿Qué riesgos considera la ley?
El articulado prevé cuatro categorías de riesgo, ordenadas de mayor a menor: inaceptable, alto, limitado y mínimo o nulo. Como indica su nombre, los sistemas con riesgos inaceptables están directamente prohibidos, puesto que pueden comportar una amenaza para la seguridad de las personas, sus medios de vida o sus derechos. En el caso de sistemas de riesgo alto, se requiere que los sistemas estén registrados en una base de datos europea antes de empezar a operar, y se les exige unas obligaciones que tienen que ver con cómo entrenan los algoritmos y la ciberseguridad. También se requiere que exista supervisión humana y se exige trazabilidad de las respuestas generadas. En el caso de los sistemas de riesgo limitado, lo que se pide tiene sobre todo que ver con la transparencia. Y no existen obligaciones específicas para los sistemas de la categoría de riesgo mínimo o nulo.
¿Qué prácticas quedan prohibidas?
El artículo quinto detalla qué usos están prohibidos. No se permite, por ejemplo, “utilizar técnicas subliminares que trasciendan la conciencia de una persona” para alterar su comportamiento y orientarla a una conducta dañina. Ni tampoco explotar las vulnerabilidades de un ciudadano a partir de su edad o discapacidad, o de una situación social específica. La clasificación de personas en diferentes perfiles a partir de datos biométricos tiene también limitaciones, sobre todo si se utiliza para discriminar. Y la IA no puede realizar evaluaciones de un individuo sobre el riesgo de que cometa un delito a partir de rasgos y características de su personalidad.
¿Aborda la ley el reconocimiento facial en espacios públicos?
Sí. Una de las provisiones es que no se pueden crear bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes de caras extraídas de internet o circuitos cerrados de televisión. Tampoco se pueden utilizar sistemas en el trabajo o en la escuela que infieran las emociones de una persona (con la excepción de si existe una justificación médica o de seguridad). La UE no permite la categorización biométrica que clasifique a un individuo según raza, opiniones políticas, orientación sexual o convicciones religiosas. Una de las excepciones que se prevé en el reconocimiento facial es rastrear posibles víctimas de secuestros o prevenir una amenaza “específica, importante e inminente para la vida o la seguridad”, lo que abre la puerta al uso de estas herramientas para parte de cuerpos policiales.
¿Quién hará cumplir la ley?
Aunque la ley entre en vigor este 1 de agosto, las prohibiciones tienen un período de moratoria y no se empezarán a aplicar hasta el 2 de febrero de 2025. En cuanto a las obligaciones, se podrán implementar de forma progresiva, pero tendrán que estar ya a pleno rendimiento en el año 2027. A partir de aquí, serán los estados los responsables de velar por la correcta aplicación de la ley en sus territorios. En el caso de España, el organismo que se encargará será la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña. La UE, por su parte, ha creado una Oficina Europea de la IA: un centro de expertos que apoyará a los estados, desempeñará tareas de supervisión y promoverá la cooperación internacional.
¿Qué multas se prevén?
Los operadores que cometan un riesgo considerado inaceptable se enfrentarán a multas que pueden alcanzar los 35 millones de euros o el 7% de su facturación total anual mundial. Éste es el caso más extremo. Para faltas de riesgo alto, hay una horquilla que va de los 2 a los 15 millones de euros. Sin embargo, hay que tener presente que esta ley se centra en los riesgos para los ciudadanos, pero que los sistemas de IA pueden tener otros frentes abiertos, por ejemplo en materia de derechos intelectuales. Y, por tanto, están sometidas a otros cuerpos legislativos, también.