El texto completo y definitivo de la Ley de IA de la UE, la histórica regulación basada en el riesgo de la Unión Europea para las aplicaciones de la inteligencia artificial, se ha publicado en el Diario Oficial del bloque. En 20 días, el 1 de agosto, la nueva ley entrará en vigor y en 24 meses, es decir, a mediados de 2026, sus disposiciones serán en general de aplicación plena a los desarrolladores de IA. Sin embargo, la ley adopta un enfoque gradual para implementar el reglamento de IA de la UE, lo que significa que hay varios plazos importantes hasta entonces, y algunos incluso más tarde, ya que comenzarán a aplicarse diferentes disposiciones legales. Los legisladores de la UE alcanzaron un acuerdo político sobre el primer reglamento integral del bloque para la IA en diciembre del año pasado. El marco impone diferentes obligaciones a los desarrolladores de IA, según los casos de uso y el riesgo percibido. La mayor parte de los usos de la IA no estarán regulados, ya que se consideran de bajo riesgo, pero una pequeña cantidad de casos de uso potenciales para la IA están prohibidos por la ley. Los llamados casos de uso de “alto riesgo” (como los usos biométricos de la IA o la IA utilizada en la aplicación de la ley, el empleo, la educación y la infraestructura crítica) están permitidos por la ley, pero los desarrolladores de dichas aplicaciones enfrentan obligaciones en áreas como la calidad de los datos y la lucha contra los sesgos. Un tercer nivel de riesgo también aplica algunos requisitos de transparencia más ligeros para los creadores de herramientas como los chatbots de IA. Para los creadores de modelos de IA de propósito general (GPAI), como GPT de OpenAI, la tecnología subyacente a ChatGPT, también existen algunos requisitos de transparencia. También se puede exigir a las GPAI más potentes, generalmente establecidas en función del umbral de cómputo, que realicen una evaluación de riesgo sistémico. La intensa presión ejercida por algunos elementos de la industria de la IA, respaldada por un puñado de gobiernos de los Estados miembros, intentó diluir las obligaciones sobre las GPAI por temor a que la ley pudiera frenar la capacidad de Europa de producir gigantes de la IA de cosecha propia para competir con rivales en los EE. UU. y China. Implementación gradual En primer lugar, la lista de usos prohibidos de la IA se aplicará seis meses después de que la ley entre en vigor, es decir, a principios de 2025. Los casos de uso prohibidos (o de «riesgo inaceptable») para la IA que pronto serán ilegales incluyen la calificación crediticia social al estilo chino; la compilación de bases de datos de reconocimiento facial mediante raspado no dirigido de Internet o CCTV; el uso de biometría remota en tiempo real por parte de las fuerzas del orden en lugares públicos a menos que se aplique una de varias excepciones, como durante una búsqueda de personas desaparecidas o secuestradas. A continuación, nueve meses después de la entrada en vigor, es decir, alrededor de abril de 2025, se aplicarán códigos de práctica a los desarrolladores de aplicaciones de IA en el ámbito de aplicación. La Oficina de IA de la UE, un organismo de construcción y supervisión del ecosistema establecido por la ley, es responsable de proporcionar estos códigos. Pero quién escribirá realmente las directrices sigue planteando preguntas. Según un informe de Euractiv a principios de este mes, la UE ha estado buscando empresas de consultoría para redactar los códigos, lo que provocó preocupaciones de la sociedad civil de que los actores de la industria de la IA podrán influir en la forma de las reglas que se les aplicarán. Más recientemente, MLex informó que la Oficina de IA lanzará una convocatoria de manifestaciones de interés para seleccionar a las partes interesadas que redacten los códigos de práctica para los modelos de IA de propósito general, tras la presión de los parlamentarios europeos para que el proceso sea inclusivo. Otro plazo clave es el de 12 meses después de la entrada en vigor (o el 1 de agosto de 2025), cuando comenzarán a aplicarse las normas de la ley sobre los modelos de IA de propósito general que deben cumplir con los requisitos de transparencia. A un subconjunto de sistemas de IA de alto riesgo se les ha concedido el plazo de cumplimiento más generoso, con 36 meses después de la entrada en vigor (hasta 2027) para que cumplan con sus obligaciones. Otros sistemas de alto riesgo deben cumplir antes, después de 24 meses.
