Descripción general de la Ley de IA de la UE

Dec 19, 2023
Share

El último hito legislativo de la Unión Europea: Ley de Inteligencia Artificial Se prevé que sea el marco jurídico más amplio dedicado a la Inteligencia Artificial hasta la fecha. El 8 de diciembre de 2023, los legisladores europeos alcanzaron un acuerdo provisional sobre la Ley de IA de la UE. Según el calendario previsto, la Ley de IA entrará en vigor en 2026.

La Ley de IA se compara con el Reglamento General de Protección de Datos (RGPD), dado el amplio impacto de este último en la influencia sobre las leyes regionales de privacidad de datos fuera de la Unión Europea. La Ley de IA representa un paso significativo en la gobernanza y regulación de las tecnologías de IA dentro de la UE y sienta un precedente con implicaciones globales.

¿Cuál es la definición de sistemas de IA?

Para establecer una definición uniforme que pudiera aplicarse a futuros sistemas de IA y evitar malas interpretaciones, el Parlamento Europeo adoptó la definición de la OCDE. definición de un sistema de IA:

"Un sistema de IA es un sistema basado en máquinas que [...] deduce a partir de la información que recibe cómo generar resultados como predicciones, contenido, recomendaciones o decisiones que pueden afectar a entornos físicos o virtuales."

¿Cuál es el ámbito de aplicación de la Ley de IA de la UE?

La Ley de IA tiene carácter extraterritorial y se aplica a las entidades que crean, manipulan o implementan sistemas de IA relevantes, independientemente de su ubicación. Esto significa que las empresas y los particulares deben cumplir con la Ley siempre que estos sistemas se utilicen o tengan un impacto dentro de la Unión Europea. Por ejemplo, una empresa con sede en EE. UU. que implemente un sistema de IA que utilice datos de entrenamiento de ciudadanos europeos como entrada está obligada a cumplir con la Ley de IA.

Es importante señalar que la Ley excluye de su ámbito de aplicación ciertos sistemas de IA, concretamente:

  • Sistemas que se utilizan exclusivamente con fines militares o de defensa.
  • Sistemas dedicados exclusivamente a actividades de investigación e innovación.
  • Sistemas operados por particulares por motivos personales y no profesionales.

El objetivo principal del Parlamento Europeo al aprobar la Ley de IA es garantizar que los sistemas de inteligencia artificial con impacto directo en la UE sean seguros, transparentes, rastreables, no discriminatorios y respetuosos con el medio ambiente. Además, se hace especial hincapié en la supervisión humana de estos sistemas para mitigar el riesgo de efectos adversos y prevenir consecuencias perjudiciales.

¿Cómo se categoriza el riesgo de la IA?

Para empezar, la Ley de IA de la UE es un marco jurídico basado en el riesgo, ya que existen normas diferentes para cada nivel de riesgo. Estos riesgos se clasifican según el grado de amenaza que representan para la sociedad: inaceptable, de alto riesgo y de riesgo limitado.

Sistemas de IA de riesgo inaceptable

Los sistemas de IA catalogados como de riesgo inaceptable están absolutamente prohibidos. Estos incluyen:

  • Clasificación social: categorización de individuos en función de su comportamiento, antecedentes socioeconómicos o rasgos personales.
  • Uso de identificación biométrica: incluye reconocimiento facial, huellas dactilares y otros datos biométricos para diversos fines. Existen excepciones para el enjuiciamiento de delitos graves, pero solo con autorización judicial previa.
  • Manipulación a través del comportamiento cognitivo: escenarios como los juguetes activados por voz que podrían incitar a los niños a realizar acciones arriesgadas o dirigirse a grupos vulnerables.

Sistemas de IA de alto riesgo

La Unión Europea considera además que los sistemas de IA representan un alto riesgo debido a su posible impacto en la seguridad o los derechos fundamentales. Estos sistemas se dividen en dos categorías principales: los utilizados en productos regulados por la UE, como equipos de aviación, automóviles, juguetes y dispositivos médicos, y los implementados en ocho áreas específicas, entre las que se incluyen la aplicación de la ley, las infraestructuras críticas y la gestión de la migración, el asilo y el control de fronteras.

Es importante destacar que los sistemas de IA de alto riesgo deben someterse a una evaluación exhaustiva antes de su introducción en el mercado. Además, su rendimiento y el cumplimiento de las normas deben supervisarse continuamente a lo largo de su ciclo de vida, garantizando así su seguridad y el respeto de los derechos fundamentales.

Sistemas de IA de riesgo limitado

Los sistemas clasificados como de riesgo limitado, como la IA generativa tipo ChatGPT y los deepfakes, deben cumplir con estándares básicos de transparencia. Deben alertar a los usuarios de que están interactuando con un sistema de IA, permitiéndoles decidir si desean seguir utilizando estas aplicaciones tras una interacción inicial. Esto es especialmente relevante en los casos en que la IA se utiliza para generar o manipular contenido de imagen, audio o vídeo, como en el caso de los deepfakes.

¿Cuáles son las sanciones y los requisitos de cumplimiento?

Como se mencionó anteriormente, los sistemas de IA de riesgo inaceptable y de alto riesgo estarán sujetos a requisitos estrictos. Cualquier inteligencia artificial que presente un nivel de riesgo inaceptable está absolutamente prohibida y sujeta a severas sanciones económicas. Además, los sistemas de alto riesgo incluyen rigurosos requisitos de cumplimiento Entre otras medidas, se incluyen las evaluaciones obligatorias del impacto en los derechos fundamentales, el registro en bases de datos públicas de la UE y la obligación de proporcionar explicaciones sobre las decisiones basadas en inteligencia artificial que afectan a los derechos de los ciudadanos.

Por otro lado, los sistemas de IA con obligaciones de riesgo limitadas son relativamente sencillos y se centran principalmente en la transparencia, como el etiquetado adecuado del contenido, la información a los usuarios cuando interactúan con la IA y la transparencia a través de resúmenes de datos de entrenamiento y documentación técnica.

Las multas por incumplimiento de la Ley se calculan en función de un porcentaje de la facturación anual global de la parte infractora en el ejercicio financiero anterior o una cantidad fija, la que sea mayor:

  • 35 millones de euros o el 7% por usar aplicaciones de IA prohibidas.
  • 15 millones de euros o el 3% por infringir las obligaciones de la Ley.
  • 7,5 millones de euros o el 1,5% por proporcionar información incorrecta.

Cabe señalar que existen límites proporcionales a las multas administrativas para las pequeñas y medianas empresas (PYME) y las empresas emergentes.

¿Cómo puede Cyera ayudarle a prepararse para la Ley de IA de la UE?

La plataforma de seguridad de datos de Cyera permite descubrir, clasificar y evaluar los riesgos de los datos de entrenamiento utilizados por los sistemas de IA. Mediante la evaluación continua de estos datos, Cyera ayuda a las organizaciones a comprender mejor y proteger sus sistemas de IA, preparándose así para la Ley de IA de la UE.

Visibilidad holística

Cyera identifica y analiza la ubicación, la clasificación, la sensibilidad y los riesgos asociados de los datos de entrenamiento. La plataforma localiza dónde se almacenan los datos de entrenamiento en los distintos sistemas de la organización, lo que le ayuda a establecer una visión unificada de los datos utilizados por los sistemas de IA.

Evaluación de riesgos

Cyera evalúa los riesgos en función del contenido y el entorno de los datos. Por ejemplo, Cyera indica si los datos de entrenamiento contienen información de identificación personal (PII), si son de fácil acceso y si son reales y están expuestos en texto plano, lo que aumenta el riesgo asociado a dichos datos.

Además, Cyera calcula el riesgo de los datos de entrenamiento evaluando el entorno donde se almacenan. Por ejemplo, los riesgos asociados a esos datos pueden aumentar si se almacenan incorrectamente en entornos inseguros o si se desactiva el registro de actividad.

Gobernancia

Cyera permite auditar la configuración de los almacenes de datos que contienen información de capacitación, así como activar políticas y generar alertas cuando se detectan actividades sospechosas. Por ejemplo, si alguien traslada los datos a un entorno no autorizado, se activará una alerta que se enviará a los analistas de seguridad correspondientes para su revisión e intervención. Cyera también proporciona una auditoría completa de quién tiene acceso a los datos de capacitación, detallando los permisos de cada usuario y el propósito de su acceso.

Conclusión

Si bien la Ley de IA de la UE continúa desarrollándose, una vez promulgada formalmente, sin duda establecerá un estándar global para la regulación de la IA. Equilibra la necesidad de innovación con la imperiosa necesidad de garantizar la seguridad, la privacidad y las consideraciones éticas. Las severas sanciones impuestas por esta ley obligan a los operadores de sistemas de IA a cumplir con sus disposiciones.

Cyera permite a los equipos de seguridad saber dónde se encuentran sus datos, qué los expone a riesgos y tomar medidas inmediatas para corregir vulnerabilidades y garantizar el cumplimiento normativo sin interrumpir las operaciones. Cyera ofrece una solución moderna para un problema actual: ayudar a las organizaciones a comprender y proteger los datos utilizados y generados por sistemas de IA.

Para obtener más información sobre cómo Cyera puede ayudarle a gestionar los datos asociados a sus sistemas de IA, cronograma una demostración hoy.

Share