An Overview of the EU AI Act

El último hito legislativo de la Unión Europea, la Ley de Inteligencia Artificial, se prevé que sea el marco jurídico más amplio dedicado a la inteligencia artificial hasta la fecha. El 8 de diciembre de 2023, los legisladores europeos alcanzaron un acuerdo provisional sobre la Ley de IA de la UE. Según el calendario previsto, la Ley de IA entrará en vigor en 2026.

Se está comparando la Ley de IA con el Reglamento General de Protección de Datos (RGPD), dado el amplio impacto del RGPD en la influencia de las leyes regionales de privacidad de datos más allá de la Unión Europea. La Ley de IA representa un paso significativo en la gobernanza y regulación de las tecnologías de IA dentro de la UE y sienta un precedente con implicaciones globales.

¿Cuál es la definición de los sistemas de IA?

Para establecer una definición uniforme que pudiera aplicarse a futuros sistemas de IA y evitar interpretaciones erróneas, el Parlamento de la UE adoptó la definición de un sistema de IA de la OCDE:

"Un sistema de IA es un sistema basado en máquinas que [...] infiere, a partir de la entrada que recibe, cómo generar salidas como predicciones, contenido, recomendaciones o decisiones que pueden afectar entornos físicos o virtuales."

¿Cuál es el alcance de la Ley de IA de la UE?

La Ley de IA es extraterritorial y aplicable a las entidades que crean, manipulan o implementan sistemas de IA relevantes, sin importar su ubicación. Esto significa que las empresas y las personas deben cumplir con la Ley siempre que estos sistemas se utilicen o tengan impacto dentro de la Unión Europea. Por ejemplo, una empresa con sede en Estados Unidos que implemente un sistema de IA que utilice datos de entrenamiento de ciudadanos europeos como entrada debe cumplir con la Ley de IA.

Es importante señalar que la Ley excluye de su ámbito ciertos sistemas de IA, específicamente:

• Sistemas utilizados exclusivamente con fines militares o de defensa
• Sistemas dedicados exclusivamente a actividades de investigación e innovación
• Sistemas operados por personas para fines personales y no profesionales

El objetivo principal del Parlamento Europeo al introducir la Ley de IA es garantizar que los sistemas de IA que tienen un impacto directo dentro de la UE sean seguros, transparentes, trazables, no discriminatorios y respetuosos con el medio ambiente. Además, se hace un énfasis estricto en la supervisión humana de estos sistemas para mitigar el riesgo de efectos adversos y prevenir resultados perjudiciales.

¿Cómo se categoriza el riesgo de IA?

Para empezar, la Ley de IA de la UE es un marco jurídico basado en el riesgo, ya que existen reglas distintas para diferentes niveles de riesgo. Estos riesgos se clasifican según el grado de amenaza que representan para la sociedad: inaceptable, de alto riesgo y de riesgo limitado. 

Sistemas de IA de riesgo inaceptable

Los sistemas de IA clasificados como de riesgo inaceptable están absolutamente prohibidos. Estos incluyen:

• Puntuación social: clasificación de las personas según su comportamiento, antecedentes socioeconómicos o rasgos personales.
• Uso de identificación biométrica: incluye reconocimiento facial, huellas dactilares y otras biometrías para distintos fines. Hay excepciones para procesar delitos graves, pero solo con autorización judicial previa.
• Manipulación a través del comportamiento cognitivo: escenarios como juguetes activados por voz que podrían incitar acciones arriesgadas en niñas y niños o dirigirse a grupos vulnerables.

Sistemas de IA de alto riesgo

La Unión Europea también clasifica a los sistemas de IA como de alto riesgo debido a su posible impacto en la seguridad o en los derechos fundamentales. Se dividen en dos categorías principales: los sistemas de IA utilizados en productos regulados por la UE, como equipos de aviación, automóviles, juguetes y dispositivos médicos, y los que se implementan en ocho áreas específicas que incluyen la aplicación de la ley, la infraestructura crítica y la gestión de la migración, el asilo y el control fronterizo.

Es importante señalar que los sistemas de IA de alto riesgo deben someterse a una evaluación exhaustiva antes de ser introducidos en el mercado. Además, su desempeño y el cumplimiento de los estándares deberán monitorearse de forma continua a lo largo de su ciclo de vida, garantizando que se mantengan seguros y alineados con los derechos fundamentales.

Sistemas de IA de riesgo limitado

Los sistemas clasificados como de riesgo limitado, como la IA generativa tipo ChatGPT y los deepfakes, deben cumplir con estándares básicos de transparencia. Deben alertar a los usuarios de que están interactuando con un sistema de IA, permitiéndoles decidir si desean seguir usando estas aplicaciones después de una interacción inicial. Esto aplica especialmente en casos donde se usa IA para generar o manipular contenido de imagen, audio o video, como los deepfakes.

¿Cuáles son las sanciones y los requisitos de cumplimiento?

Como se mencionó anteriormente, los sistemas de IA de riesgo inaceptable y de alto riesgo enfrentarán requisitos estrictos. Cualquier inteligencia artificial que represente un nivel de riesgo inaceptable está absolutamente prohibida y sujeta a severas sanciones económicas. Además, los sistemas de alto riesgo incluyen rigurosos requisitos de cumplimiento, como evaluaciones obligatorias del impacto en los derechos fundamentales, registro en bases de datos públicas de la UE y obligaciones de proporcionar explicaciones sobre decisiones impulsadas por IA que afecten los derechos de los ciudadanos, entre otros.

Por otro lado, los sistemas de IA con obligaciones de riesgo limitado son relativamente ligeros y se enfocan principalmente en la transparencia, como el etiquetado adecuado del contenido, informar a los usuarios cuando interactúan con IA y la transparencia mediante resúmenes de los datos de entrenamiento y documentación técnica.

Las multas por infringir la Ley se calculan en función de un porcentaje de la facturación anual global de la parte infractora en el ejercicio financiero anterior o de una suma fija, lo que sea mayor:

• €35 millones o 7% por usar aplicaciones de IA prohibidas
• €15 millones o 3% por violar las obligaciones de la Ley
• €7.5 millones o 1.5% por proporcionar información incorrecta

Como nota, existen límites proporcionales a las multas administrativas para las pequeñas y medianas empresas (pymes) y las startups.

¿Cómo puede Cyera ayudarte a prepararte para la Ley de IA de la UE?

La plataforma de seguridad de datos de Cyera te permite descubrir, clasificar y evaluar los riesgos de los datos de entrenamiento utilizados por sistemas de IA. Mediante la evaluación continua de los datos de entrenamiento, Cyera ayuda a las organizaciones a comprender mejor y proteger sus sistemas de IA en preparación para la Ley de IA de la UE.

Visibilidad holística

Cyera identifica y analiza la ubicación, la clasificación, la sensibilidad y los riesgos asociados de los datos de entrenamiento. La plataforma localiza dónde se almacenan los datos de entrenamiento a través de los silos de la organización, ayudándote a establecer una vista unificada de los datos que usan los sistemas de IA.

Evaluación de Riesgos

Cyera evalúa los riesgos con base en el contenido de los datos y su entorno. Por ejemplo, Cyera te indica si los datos de entrenamiento contienen información de identificación personal (PII), si son ampliamente accesibles y si los datos son reales y están expuestos en texto plano, lo que incrementa el riesgo de esos datos.

Además, Cyera calcula el riesgo de los datos de entrenamiento evaluando el entorno donde se alojan los datos. Por ejemplo, los riesgos asociados con esos datos pueden aumentar si están mal almacenados en entornos inseguros o si el registro de eventos está desactivado.

Gobernanza

Cyera te permite auditar la configuración de los almacenes de datos que contienen datos de entrenamiento, así como activar políticas y disparar alertas cuando se detectan actividades sospechosas. Por ejemplo, si alguien mueve los datos a un entorno no autorizado, se activará una alerta para que los analistas de seguridad correspondientes la revisen e intervengan. Cyera también ofrece una auditoría integral de quién tiene acceso a los datos de entrenamiento, detallando los permisos de cada usuario y el propósito por el que accede a los datos.

Conclusión

Si bien los acontecimientos en torno a la Ley de IA de la UE siguen desarrollándose, la Ley, una vez promulgada formalmente, sin duda establecerá un estándar global para la regulación de la IA. Equilibra la necesidad de innovación con el imperativo de la seguridad, la privacidad y las consideraciones éticas. Las severas sanciones impuestas bajo esta ley obligan a los operadores de sistemas de IA a cumplir con sus disposiciones.

Cyera empodera a los equipos de seguridad para saber dónde está su información, qué la expone a riesgos y tomar medidas inmediatas para remediar las exposiciones y garantizar el cumplimiento sin interrumpir el negocio. Cyera ofrece una solución moderna para un problema moderno: ayudar a las organizaciones a comprender y asegurar los datos utilizados y generados por los sistemas de IA.

Para obtener más información sobre cómo Cyera puede ayudarte a gestionar los datos asociados con tus sistemas de IA, programa una demostración hoy mismo.