IA 360
Marco regulatorio

El Parlamento Europeo aprueba la Ley de IA: qué cambia y cuándo

El Parlamento Europeo ha dado luz verde a la Ley de IA, el reglamento que ordenará los usos de esta tecnología según su riesgo. Prohíbe ciertas prácticas, vigila los sistemas sensibles y exige transparencia a los modelos generativos.

6 min de lectura Read in English

El Parlamento Europeo ha aprobado este miércoles la Ley de IA de la Unión Europea, el primer reglamento horizontal del mundo dedicado a esta tecnología. El texto obtuvo 523 votos a favor, 46 en contra y 49 abstenciones, y fija obligaciones distintas según el peligro que un sistema pueda plantear para la seguridad y los derechos fundamentales.

La votación cierra la fase parlamentaria de una norma negociada durante años y acordada políticamente por las instituciones europeas en diciembre. Aún falta la adopción formal por el Consejo de la UE y su publicación en el Diario Oficial, pero el contenido que condicionará a empresas, administraciones y desarrolladores ya está definido.

Una regulación basada en el riesgo, no en la tecnología

La Ley de IA no regula por igual cualquier programa que use inteligencia artificial. Su idea central es clasificar los sistemas según el riesgo de daño que pueden causar. Cuanto más sensible sea el contexto —contratar a una persona, conceder un crédito, seleccionar alumnado o identificar a alguien en la calle—, más controles deberá superar.

Los usos considerados de riesgo inaceptable quedarán prohibidos. Entre ellos están los sistemas de puntuación social, que clasifican a las personas según su comportamiento o características; la extracción indiscriminada de imágenes faciales de internet o cámaras de vigilancia para crear bases de datos; y el reconocimiento de emociones en centros educativos y lugares de trabajo.

También se vetan los sistemas de policía predictiva basados únicamente en perfiles o rasgos personales. La norma prohíbe, además, la categorización biométrica destinada a deducir datos especialmente sensibles, como las creencias religiosas, la orientación sexual o el origen racial.

El uso policial de identificación biométrica remota en espacios públicos tendrá límites especialmente estrictos. Solo podrá emplearse en supuestos excepcionales, como la búsqueda de víctimas de determinados delitos, la prevención de una amenaza grave e inminente o la localización de sospechosos de delitos graves. Requerirá autorización previa y estará sujeto a límites temporales y geográficos.

Qué se considerará IA de alto riesgo

La categoría más relevante para buena parte de empresas y administraciones es la de los sistemas de alto riesgo. No son necesariamente ilegales, pero deberán demostrar que funcionan con garantías antes de ponerse en el mercado o utilizarse.

La lista abarca sistemas empleados en infraestructuras críticas, educación y formación, selección de personal, acceso a servicios esenciales públicos o privados, fuerzas de seguridad, migración y control fronterizo, justicia y procesos democráticos. Un algoritmo que ayude a filtrar candidaturas para un empleo, por ejemplo, tendrá exigencias muy diferentes a un recomendador de música.

Los proveedores de estos sistemas deberán implantar mecanismos de gestión de riesgos, usar datos de calidad, documentar cómo funciona el sistema, conservar registros de actividad y permitir supervisión humana. También tendrán que cumplir requisitos de precisión, solidez técnica y ciberseguridad.

La ley incorpora una cuestión que hasta ahora había quedado con frecuencia fuera de las discusiones puramente técnicas: el impacto sobre los derechos fundamentales. Determinados organismos públicos y entidades privadas que usen sistemas de alto riesgo deberán evaluar sus posibles efectos antes de desplegarlos.

ChatGPT y los grandes modelos también entran en la ley

El texto aprobado dedica un régimen específico a la IA de propósito general: modelos capaces de realizar muchas tareas distintas y que sirven de base a productos como chatbots, generadores de imágenes o asistentes de programación.

Sus desarrolladores tendrán que elaborar documentación técnica, establecer una política para respetar la normativa europea de derechos de autor y publicar un resumen suficientemente detallado del contenido utilizado para entrenar los modelos. Es una obligación relevante para un sector acostumbrado a tratar los datos de entrenamiento como información reservada.

Los modelos de propósito general que puedan generar riesgos sistémicos —por su potencia, alcance o capacidad de propagarse a muchos productos— afrontarán controles adicionales. Deberán evaluar y reducir esos riesgos, informar de incidentes graves y reforzar la seguridad frente a usos maliciosos.

La ley también obliga a informar cuando una persona interactúa con una máquina en determinados contextos y exige que los contenidos sintéticos, como los deepfakes, puedan identificarse. El objetivo no es impedir la generación de imágenes, voz o texto artificial, sino evitar que se presenten de forma engañosa cuando puedan afectar a la información pública o a los derechos de terceros.

Las reglas llegarán de forma escalonada

La Ley de IA será un reglamento, no una directiva. Eso significa que, una vez entre en vigor, se aplicará directamente en todos los Estados miembros sin necesidad de que cada país redacte una ley nacional de transposición.

La mayor parte de sus disposiciones comenzará a aplicarse 24 meses después de su entrada en vigor. Las prohibiciones llegarán antes, a los seis meses. Las obligaciones para modelos de propósito general entrarán en aplicación a los doce meses, mientras que algunas normas para sistemas de alto riesgo tendrán un plazo de 36 meses.

Ese calendario reconoce que adaptar productos, procesos de contratación y sistemas públicos no será inmediato. Pero también deja claro que las organizaciones que ya emplean IA en decisiones sensibles no deberían esperar a que venza el plazo: necesitarán saber qué modelos usan, qué datos manejan, quién responde por ellos y cómo se revisan sus errores.

Europa no ha resuelto con esta ley todos los dilemas de la inteligencia artificial. La aplicación práctica dependerá de normas técnicas, autoridades supervisoras y de la capacidad de hacer cumplir las obligaciones a compañías de dentro y fuera de la UE. Sin embargo, la votación convierte una idea debatida desde 2021 en un marco jurídico concreto: en el mercado europeo, no bastará con que una IA sea útil; deberá poder demostrar que respeta unas reglas.

Compartir este artículo

Este sitio web utiliza cookies para mejorar la experiencia de navegación. Política de cookies.