La Unión Europea ha establecido un precedente global con la “EU AI Act”, el primer marco regulatorio integral para la inteligencia artificial. En vigor desde agosto de 2024, con una implementación gradual hasta agosto de 2027, esta normativa establece una serie de estándares para garantizar el desarrollo de la IA desde un enfoque seguro, ético y respetuoso con los derechos fundamentales.

En línea con la legislación, España ha aprobado recientemente el “Anteproyecto de Ley para el Buen Uso y la Gobernanza de la Inteligencia Artificial”, que refuerza el enfoque europeo, obligando a proveedores y desarrolladores que operan en el continente a cumplir estándares estrictos para evitar posibles sanciones. Conocedores del nuevo marco legislativo y respondiendo a las necesidades de sus clientes, los expertos de Innova-tsn, consultora especializada en el ciclo de vida integral del dato e inteligencia artificial, han identificado los puntos clave de la normativa para una adopción responsable:

• Riesgos: el anteproyecto clasifica los sistemas de IA en cuatro niveles de riesgo para aplicar regulaciones proporcionales a su impacto. Los sistemas de riesgo inaceptable, como aquellos que violan derechos fundamentales o manipulan el comportamiento humano, están prohibidos en toda la Unión Europea. Los de alto riesgo, como los utilizados para diagnósticos médicos o selección de personal, están permitidos, pero sujetos a requisitos estrictos como evaluaciones de conformidad, supervisión humana y mecanismos de gobernanza.

Por otra parte, los sistemas de riesgo limitado, como generadores de texto o imágenes, están sujetos a obligaciones de transparencia hacia el usuario. Finalmente, los de riesgo mínimo, como filtros de spam o asistentes virtuales, no están sujetos a una regulación específica, aunque deben respetar normas de cumplimento común como el Reglamento General de Protección de Datos (GDPR).

• Régimen sancionador: la legislación impone multas proporcionales a la gravedad de la infracción, que pueden alcanzar hasta 35 millones de euros o el 7% de la facturación global, aplicándose siempre la cifra mayor, en casos graves, como la creación o uso de sistemas prohibidos. Otros incumplimientos, como no presentar la documentación exigida o falsear información ante una solicitud oficial, pueden suponer penalizaciones de hasta 15 millones de euros o el 3% del negocio global.

Para los incumplimientos de menor gravedad, se prevén multas de 7,5 millones de euros o el 1% de la facturación. En cambio, el anteproyecto adopta un enfoque más permisivo con el sector público, contemplándose únicamente amonestaciones o apercibimientos, incluso ante casos de uso de tecnologías prohibidas o de alto riesgo, como la identificación biométrica remota.

• Transparencia: los sistemas de IA deberán aportar documentación clara y accesible sobre la lógica detrás del funcionamiento del modelo, el uso de datos y las decisiones automatizadas, especialmente en casos con posible impacto sobre derechos fundamentales. Esta transparencia debe mantenerse durante todo el ciclo de vida del modelo, abarcando desde la recolección y preparación de datos hasta la monitorización y mantenimiento final.

En el caso de sistemas de IA generativa, como ChatGPT o Copilot, se exigen requisitos adicionales como resúmenes detallados de los datos de entrenamiento, marcas de agua para identificar contenidos sintéticos y consentimiento explícito para el uso de datos biométricos, limitando el almacenamiento de dichos datos al tiempo estrictamente necesario.

• Explicabilidad: además de asegurar la transparencia, las organizaciones deberán garantizar que usuarios y responsables comprendan el funcionamiento de los sistemas de IA, proporcionando justificaciones claras sobre su comportamiento, tanto en términos técnicos como funcionales. En este sentido, la formación continua de los equipos implicados cobra especial importancia para promover un uso informado y ético.

• Seguridad: la normativa exige a las organizaciones proteger la integridad, confidencialidad y disponibilidad, tanto de los datos como de los modelos y la infraestructura que los soporta. Para ello, es recomendable implementar medidas alineadas con la norma ISO 27001, como el cifrado de datos, autenticación multifactor (MFA), restricción de accesos y evaluaciones periódicas con supervisión humana.

• Privacidad: Las organizaciones deben garantizar la protección de los datos personales y control por parte de los usuarios durante todo el ciclo de vida del modelo, cumpliendo con la RGPD. Medidas como la anonimización de los datos identificativos cuando se entrenar los modelos favorecen este principio.

• Sostenibilidad: teniendo en cuenta que el entrenamiento de un modelo extenso de lenguaje (LLM) puede consumir hasta 10 GWh, equivalente al suministro anual de más de mil hogares estadounidenses, la sostenibilidad se convierte en foco determinante de la legislación. Estrategias como la optimización algorítmica, el uso de modelos pre-entrenados y arquitecturas eficientes pueden reducir el impacto medioambiental.

• Equidad: Paralelamente, para minimizar los posibles sesgos discriminatorios y garantizar el bienestar social, se recomienda la utilización de muestras de datos equilibrados y la intervención de equipos multidisciplinares en todas las fases del proyecto.

• Gobierno de la IA: para una correcta adopción de la legislación, las organizaciones deben establecer procesos, políticas y estructuras internas que aseguren la operatividad responsable de la IA. Este enfoque de gobernanza abarca dos dimensiones: la institucional, que se ocupa de aspectos organizativos como la asignación de roles y creación de estructuras de gobierno, y la operativa, que se centra en los aspectos técnicos de la implantación. Combinar ambas perspectivas puede ser una estrategia efectiva para alinear el cumplimiento normativo con los objetivos de negocio.

Más allá de evitar posibles sanciones, la EU AI Act ofrece a las empresas oportunidades para destacar en sectores regulados. En palabras de Begoña Vega, Head of AI Models & Applications de Innova-tsn: “cada sistema de IA tiene sus particularidades, por lo que habrá que analizar los casos detenidamente para una correcta clasificación. En este sentido, un partner estratégico puede facilitar el proceso de evaluación, categorización y despliegue de soluciones alineadas con la regulación y los principios de una IA responsable”.