Una compleja carrera contra el reloj para adaptarse al nuevo marco legal de la IA

El 1 de agosto de 2024 entraba en vigor el Reglamento de Inteligencia Artificial (RIA), una norma también conocida como ley Europea de Inteligencia Artificial . Este conjunto de normas constituye la primera regulación general a nivel mundial en esta materia y su objetivo es garantizar que los sistemas de IA desarrollados y utilizados en Europa sean seguros, transparentes y respetuosos con los derechos fundamentales de los ciudadanos. El Reglamento afecta principalmente a las empresas que desarrollan sistemas de IA y los lanzan al mercado, pero también a quienes utilizan herramientas de IA para actividades que no sean puramente personales. La implementación de esta ley es gradual y se basa en el nivel de riesgo de la inteligencia artificial. Se prevé que esté plenamente operativa en 2027 . Mientras tanto, este año tendrá cuatro importantes hitos: el 2 de febrero comenzarán a aplicarse las prohibiciones sobre determinados sistemas de IA y los requisitos sobre alfabetización en IA; el 2 de mayo marca el plazo para que los códigos de buenas prácticas estén listos; y el próximo 2 de agosto, se aplicarán normas sobre organismos notificados, modelos GPAI, gobernanza, confidencialidad y sanciones. «Por un lado, el Reglamento se aplica a proveedores que comercializan o ponen en servicio sistemas de IA o que comercializan modelos de uso general, es decir, empresas que venden u ofrecen sistemas o modelos de IA –explica Erika Mahler, del departamento de Propiedad Intelectual y Nuevas Tecnologías de Auris Abogados–. Eso podría incluir empresas como OpenAI (los creadores de ChatGPT ) o Google (que utiliza algoritmos de búsqueda basados en IA entre otros). Asimismo, se aplica a empresas que implanten sistemas de IA en sus empresas dentro de la Unión Europea. Esto podría incluir cualquier tipo de empresas, desde bancos que utilizan IA para optimizar sus procesos de análisis de riesgo hasta tiendas de cualquier tipo que utilicen IA para gestionar sus inventarios. También se aplica a los proveedores e implantadores de fuera de la UE, cuando el producto generado por el sistema de IA se utilice en la Unión». Aunque el Reglamento de Inteligencia Artificial es una norma de impacto multisectorial, que incluye al sector privado y al público, existen diversos sectores particularmente afectados, al hilo de calificación de ciertos sistemas de IA por la norma como de alto riesgo de forma directa, como son el sector financiero y asegurador , infraestructuras críticas, salud o educación, entre otros. «De hecho, en la Unión Europea se ha lanzado una consulta pública sobre la aplicación del RIA al sector financiero, dadas las particularidades y obligaciones específicas dispuestas por relación a este sector. Esto demuestra que aún queda mucho por determinar y concretar en relación al contenido y las obligaciones generales del RIA, así como acerca del papel que van a jugar los actuales reguladores y demás autoridades de supervisión y control a nivel sectorial», explica Noemí Brito, socia responsable del área de IT, IP y ‘Legal Operations’ en KPMG Abogados. El Reglamento no solo afecta a empresas que vendan o utilicen dentro de sus servicios o productos la IA, sino que se aplica también a importadores y distribuidores de sistemas de IA. Esto incluiría, por ejemplo, cualquier empresa que se dedique a importar un sistema de IA y a comercializarlo en la Unión. Asimismo, afecta a empresas que fabriquen productos que incorporen un sistema de IA, como por ejemplo podría ser una empresa de coches que incorporan asistentes basados en IA. El Reglamento establece que recae sobre «personas afectadas que se encuentren en la Unión». Esta afectación incluye tanto a usuarios de plataformas digitales, como podría ser cualquier usuario de Instagram, como consumidores de cualquiera de los proveedores, distribuidores o implantadores anteriores. «Desde nuestra experiencia en Auris, hemos observado que las empresas españolas están atravesando un proceso complejo de adaptación a la nueva regulación de la IA . La transición no está siendo sencilla, ya que, aunque la inteligencia artificial se ha consolidado como una herramienta en casi todas las empresas, su uso no siempre se acompaña del nivel de conocimiento necesario sobre las obligaciones legales que esta implica. Observamos que muchas empresas utilizan IA cada vez más, tanto para llevar a cabo sus gestiones diarias como para implementar nuevos servicios para sus clientes. Lo que ocurre en muchos casos es que sin darse cuenta están haciendo uso de un Sistema de IA de Alto Riesgo o un Sistema de IA Prohibido sin ser conscientes de ello», explica Erika Mahler. El próximo 2 de febrero comienzan a aplicarse las prohibiciones sobre determinados sistemas de IA. «Urge que las sociedades empiecen a adaptarse al Reglamento para que cuando llegue el momento de aplicación de las medidas, no se vean sancionadas. Muchas empresas utilizan en su día a día herramientas de IA sin darse cuenta de que ya está en vigor el nuevo Reglamento y que a partir de 2025 se van a empezar a aplicar sus restricciones y, en consecuencia, sanciones. Las empresas van a necesitar tiempo para adaptar sus usos de la IA en todos los aspectos para que cumplan con la nueva normativa, y la falta de preparación va a suponer un problema grave», afirma Mahler. «En los casos más graves de incumplimiento, por ejemplo, por el no respeto de la prohibición de las prácticas de inteligencia artificial se aplicarán multas administrativas de hasta 35 millones de euros o, si el infractor es una empresa, de hasta el 7% de su volumen de negocios mundial total correspondiente al ejercicio financiero anterior, si esta cuantía fuese superior –indica Noemí Brito–. Pero más allá de las sanciones meramente pecuniarias, es importante también considerar el riesgo reputacional , y el impacto económico indirecto, derivado de una pérdida de confianza de los grupos de interés en el mercado (usuarios, clientes, inversores, etc.). De hecho, en los procesos de inversión y compra de compañías ya empieza a analizarse el grado del cumplimiento del RIA en los análisis legales y financieros correspondientes». De ahí que muchas organizaciones ya estén desplegando sistemas de control de los riesgos asociados a los sistemas de IA y desarrollando funciones de supervisión y control internas en este sentido, así como métricas e indicadores para medir en el tiempo del grado de cumplimiento asociado. También se está reforzando el control de riesgo de terceros, por ejemplo, para proveedores de los sistemas o soluciones en inteligencia artificial. «Hay que considerar que, de media, más del 60% de las soluciones de inteligencia artificial en las organizaciones son de terceros ajenas a estas», explica Mónica Brito. Por ello, al margen del papel de las autoridades de supervisión y control, como la Aesia (Asociación Española de Supervisión de Inteligencia Artificial), es muy recomendable considerar las directrices y recomendaciones de otros supervisores sectoriales, en especial, para ciertos sectores de actividad como el sector financiero.