Desde el 2 de agosto de 2024, la Unión Europea ha puesto en marcha una legislación pionera a nivel mundial que regula el uso de la inteligencia artificial (IA), la cual comenzará su aplicación obligatoria en dos años. Esta normativa busca crear un marco jurídico uniforme que facilite la comercialización y circulación de productos y sistemas basados en IA, al mismo tiempo que prioriza la ciberseguridad y el desarrollo tecnológico ético.

La legislación está diseñada para garantizar que la adopción de la IA se realice con el ser humano en el centro, asegurando que esta tecnología sea fiable y proteja un alto nivel de salud, seguridad y derechos fundamentales, tal como lo establece la Carta de los Derechos Fundamentales de la Unión Europea. Además, la normativa busca salvaguardar la democracia, el Estado de Derecho y la protección del medio ambiente, minimizando los posibles efectos perjudiciales que los sistemas de IA podrían ocasionar.

La inteligencia artificial ya está presente en una variedad de sectores, como las redes sociales, los servicios de ‘streaming’, los motores de búsqueda como Google o Bing, y otros ámbitos como las finanzas, la salud, la atención al cliente, la agricultura y la logística. Ante su creciente influencia, la Unión Europea ha decidido regular su uso para proteger a sus ciudadanos y asegurar que esta tecnología se desarrolle de manera segura y ética.

ENFOQUE BASADO EN EL NIVEL DE RIESGO

La nueva normativa, se ha diseñado con un enfoque basado en los niveles de riesgo que presentan estos sistemas. Clasifica los sistemas de IA en tres categorías de riesgo: inaceptable, alto riesgo y riesgo limitado.

En la categoría de «riesgo inaceptable», se incluyen aplicaciones y sistemas de IA que están prohibidos, como aquellos que emplean categorización biométrica para inferir atributos sensibles, como raza, opiniones políticas u orientación sexual. También se prohíben los sistemas de puntuación social, como los utilizados en China, y las técnicas manipuladoras que buscan distorsionar el comportamiento humano.

Sin embargo, existen algunas excepciones a estas prohibiciones. Por ejemplo, el uso de sistemas de identificación biométrica por parte de las fuerzas de seguridad está permitido en circunstancias específicas, siempre que cuenten con la autorización de un juez.

El reglamento pone especial atención en los sistemas de IA de «alto riesgo», aquellos que pueden tener un impacto significativo en la salud, la seguridad y los derechos fundamentales de las personas. Entre estos se encuentran sistemas de identificación biométrica remota, herramientas utilizadas para evaluar la solvencia de personas físicas, y tecnologías que podrían influir en el comportamiento electoral.

Esta normativa busca proteger a los ciudadanos de la Unión Europea de los riesgos que plantea la inteligencia artificial, estableciendo un marco jurídico que garantice un uso seguro y ético de esta tecnología.

MODELOS DE IA DE USO GENERAL

El Reglamento también se enfoca en los modelos de inteligencia artificial de uso general, definiéndolos como aquellos entrenados con grandes volúmenes de datos mediante métodos como el aprendizaje autosupervisado, no supervisado o por refuerzo. Aunque estos modelos son componentes clave en los sistemas de IA, no se consideran sistemas de IA por sí mismos.

Estos modelos de IA están disponibles en el mercado a través de bibliotecas, API (interfaces de programación de aplicaciones), como descargas directas o incluso como copias físicas. Además, pueden ser modificados, perfeccionados y transformados en nuevos modelos, lo que les confiere una gran versatilidad.

Un ejemplo destacado de estos modelos es la inteligencia artificial generativa, que permite la creación de nuevos contenidos en formatos como texto, imagen, vídeo y audio, y se adapta a una amplia variedad de tareas. Ejemplos de este tipo de IA incluyen Gemini de Google y GPT de OpenAI.

El reglamento también reconoce que algunos de estos modelos pueden ser de código abierto o estar disponibles bajo licencias libres, lo que les otorga un alto grado de transparencia. Sin embargo, subraya la importancia de proteger los derechos de autor, especialmente en relación con la información sustancial y los contenidos de las bases de datos utilizadas para entrenarlos.

Además, el reglamento alerta sobre los riesgos sistémicos que estos modelos pueden plantear, riesgos que aumentan con sus capacidades y alcance. Estos riesgos pueden manifestarse en cualquier etapa del ciclo de vida del modelo y pueden incluir usos indebidos, como la exploración de vulnerabilidades en sistemas informáticos, la interferencia en infraestructuras críticas, o incluso la posibilidad de que algunos modelos se autorreplicen y entrenen otros modelos.

El reglamento insta a seguir la legislación internacional y a prestar atención a estos posibles usos indebidos para mitigar los riesgos asociados con los modelos de IA de uso general.

RESPONSABILIDAD Y REVISIÓN

La nueva legislación se centra en los proveedores de sistemas y modelos de IA, ya sean distribuidores, importadores, responsables del despliegue u otros terceros, asignándoles la responsabilidad a lo largo de toda la cadena de valor.

En términos generales, se les exige llevar a cabo evaluaciones del nivel de riesgo de sus productos, tanto antes de su entrada en el mercado como después, y aplicar las medidas necesarias para prevenir o mitigar dichos riesgos. Estas evaluaciones deben estar alineadas con un código de buenas prácticas que será supervisado por la Oficina de IA, asegurando el cumplimiento de las obligaciones pertinentes.

El Reglamento también reconoce la velocidad con la que evoluciona la tecnología, por lo que establece revisiones y evaluaciones periódicas tanto del propio reglamento como de los sistemas de IA, con un enfoque especial en aquellos de alto riesgo, las áreas de riesgo elevado y las prácticas prohibidas, para garantizar su actualización continua.

ASPECTOS CLAVE PARA LA CIBERSEGURIDAD

El nuevo reglamento de IA incluye medidas fundamentales que impactan directamente en la ciberseguridad, con el objetivo de garantizar un uso responsable y seguro de la tecnología. En marzo, la firma Check Point subrayó algunos de estos puntos clave tras la aprobación de la norma por parte del Parlamento Europeo.

Una de las exigencias principales es la implementación de directrices más rigurosas para el desarrollo y despliegue de sistemas de IA, asegurando que la seguridad sea considerada desde el inicio. Esto incluye la adopción de prácticas de codificación seguras y la resistencia de los sistemas ante posibles ciberataques.

El reglamento también impone a las empresas responsables la obligación de tomar medidas para prevenir y gestionar brechas de seguridad, con un enfoque particular en la transparencia. Esto es especialmente relevante para los sistemas de alto riesgo, donde una mayor visibilidad puede facilitar la identificación de vulnerabilidades y la mitigación de amenazas.

Además, la normativa busca prevenir el uso malintencionado de la IA, como en la creación de ‘deepfakes’ o la automatización de ciberataques, regulando ciertos usos de la tecnología para reducir el riesgo de su empleo en ciberguerras.

Por último, se pone énfasis en la reducción de sesgos y discriminación en los sistemas de IA, instando a que estos se entrenen con datos diversos y representativos, con el fin de minimizar las decisiones sesgadas y promover una IA más justa y equitativa.