¿Qué cambia con la Ley de Inteligencia Artificial? Medidas para ChatGPT y riesgo de multas de 35 millones de euros

Este jueves ha marcado un hito en la historia de la tecnología y la legislación con la entrada en vigor de la primera Ley de Inteligencia Artificial (IA) del mundo, implementada por la Unión Europea (UE). Esta normativa pionera tiene como objetivo regular las posibilidades y el uso de la IA, con el propósito de minimizar los riesgos asociados con estas tecnologías.

La nueva ley requiere que todos los Estados miembros de la UE, así como las empresas que desarrollan y comercializan tecnología de IA, se preparen para cumplir con las disposiciones establecidas. El incumplimiento de la normativa podría resultar en sanciones significativas para aquellas entidades que desarrollen, vendan o utilicen sistemas de IA que supongan algún tipo de riesgo.

Aunque la ley entra en vigor de inmediato, sus reglas no serán obligatorias de inmediato, ya que se ha previsto una aplicación gradual que se extenderá hasta 2030. El primer conjunto de reglas que será obligatorio es el listado de prácticas prohibidas, con fecha de inicio el 1 de febrero de 2025.

Categorías de riesgo en el reglamento de IA

El Reglamento de IA de la UE se ha estructurado en torno a una evaluación del riesgo, dividida en cuatro categorías principales. Por una parte, un riesgo inaceptable, que incluye prohibiciones como la calificación social. Alto riesgo, que abarca sistemas utilizados para la puntuación crediticia o el acceso a seguros. Riesgo medio que incluye tecnologías como los chatbots. Por último, riesgo bajo, ejemplificado por filtros de correo spam, sobre los cuales no se impone ninguna obligación.

Además, tras el lanzamiento de ChatGPT, la ley incorporó una "sub-pirámide" para regular los modelos de propósito general, con o sin riesgo sistémico, imponiendo diversas obligaciones según el caso.

Algunos sistemas de IA o usos de la IA serán prohibidos por contradecir los valores fundamentales de la UE, como el derecho a la no discriminación, la protección de datos y la privacidad. Entre estos, se encuentran los sistemas que emplean técnicas subliminales para distorsionar el comportamiento de una persona, causando potencialmente daños físicos o psicológicos. Además, los sistemas de categorización biométrica basados en creencias políticas, religiosas, filosóficas, raza u orientación sexual.

Obligaciones para sistemas de alto riesgo

Los sistemas clasificados como de alto riesgo estarán sujetos a obligaciones estrictas. Entre estos se incluyen infraestructuras críticas, educación y formación profesional, y empleo. Estos sistemas deben evaluar y mitigar riesgos, mantener registros de uso, ser transparentes y precisos, y contar con supervisión humana.

En el ámbito laboral, se consideran de alto riesgo los sistemas utilizados para el reclutamiento, selección, supervisión y evaluación del desempeño de los empleados. También se incluyen los sistemas que determinan la solvencia o puntuación crediticia de las personas físicas. En educación, se regula el uso de sistemas que determinan el acceso a instituciones educativas o supervisan el comportamiento durante exámenes.

Los responsables de ciertos sistemas de IA deben cumplir con requisitos de transparencia para no engañar a los consumidores. Esto incluye informar claramente a los usuarios cuando interactúan con chatbots o contenido creado por IA, como los ‘deepfakes’. Las multas por incumplimiento de la normativa variarán según el riesgo, desde 35 millones de euros o el 7% del volumen global de negocio de las empresas, hasta 7,5 millones de euros o el 1,5% del volumen global de negocio.

Opiniones de los consumidores

La Federación de Consumidores y Usuarios (CECU) ha expresado preocupaciones sobre el alcance y la efectividad del Reglamento. En este sentido, desde la federación consideran que "la definición técnica de IA en la normativa deja fuera a muchos algoritmos en uso actualmente, y que el enfoque basado en el riesgo omite importantes áreas como el perfilado y la personalización online". También critican la insuficiencia de reglas claras para modelos de propósito general, como el que sustenta ChatGPT.

Tras su entrada en vigor el 1 de agosto, la ley será de plena aplicación a partir de 24 meses, es decir, en agosto de 2026, salvo algunas disposiciones específicas. Las prohibiciones de prácticas entrarán en vigor en febrero de 2025, las normas para modelos de uso generalista en agosto de 2025, y las obligaciones para sistemas de alto riesgo en agosto de 2027.

El Informe 'Infoempleo Adecco' revela que un 50,59% de las empresas considera que no están preparadas para la transformación digital en curso. Solo el 8,24% de las empresas se sienten sobrepasadas por los rápidos cambios. Un 44,71% no contempla la implementación de sistemas de IA en el corto plazo, mientras que el 29,41% tiene pensado hacerlo próximamente, y un 20% ya están introduciendo estos sistemas. Un pequeño porcentaje (5,88%) ya tiene completamente integrada la IA en su actividad.

Usos actuales de la inteligencia artificial en empresas

Entre las empresas que ya utilizan IA, los usos más comunes son la automatización de tareas administrativas (68,18%), procesos productivos (59,09%) y análisis de datos (59,09%). También se utilizan asistentes virtuales y sistemas de atención al cliente (45,45%), control de calidad (18,18%) y en procesos de selección de personal (9,09%). Sin embargo, un 77,65% de las empresas no cuenta con un código ético para el uso de herramientas de IA, mientras que solo un 22,35% regula internamente su uso.

La consultora CE Consulting, especializada en el asesoramiento a pequeñas y medianas empresas, ha observado que la norma europea va a tener un impacto fiscal sobre muchas empresas, importantes implicaciones laborales para garantizar la formación de los empleados en el ámbito de la IA, y va a requerir un profundo conocimiento jurídico para evitar las sanciones y asegurar la adecuada gestión de los datos y de la privacidad.

Víctor Millán, abogado especialista en esta materia de esta consultora, ha apuntado que las empresas tratarán de realizar todo tipo de estrategias de optimización fiscal, y con ese objetivo buscarán incentivos fiscales y subvenciones para el desarrollo e implementación de sistemas de inteligencia artificial, o invertirán en formación y reciclaje profesional para que sus empleados se adapten a los cambios tecnológicos y asegurar un uso "seguro y ético" de éstos.

A su juicio, la nueva ley presenta para las empresas "desafíos y oportunidades", porque fomenta la innovación "responsable" e incentiva a las empresas a desarrollar tecnologías basadas en la inteligencia artificial  "siempre que sean éticas y seguras", pero establece un marco regulador "riguroso".

En el mismo sentido, la empresa Enreach, especializada en servicios de comunicaciones como la automatización de los servicios de atención al cliente, ha incidido en cómo la inteligencia artificial puede ser un aliado perfecto de las empresas para atender a sus clientes a través de múltiples disciplinas como el "aprendizaje automático", el "procesamiento del lenguaje natural" o la IA generativa.

Esta compañía ha observado que, de acuerdo con la nueva norma, los sistemas de IA que impliquen niveles de riesgo "mínimos" se pueden usar libremente; los de riesgo "limitado" -como los "chatbots" que simulan una conversación y proveen respuestas automáticas- requieren que se informe de su uso; y los de "alto riesgo" sólo se podrán usar en el territorio UE si respetan los valores y derechos europeos y estarán estrictamente vigilados.