Desde el 2 de febrero de 2025, las primeras disposiciones de la Ley de Inteligencia Artificial de la Unión Europea (UE) son legalmente exigibles. En esta fase inicial, las empresas que operan en el mercado europeo y desarrollan o utilizan sistemas de inteligencia artificial (IA) deben garantizar que su personal cuente con formación en IA y evitar el uso de prácticas de IA prohibidas.
El Reglamento de Inteligencia Artificial de la UE (Reglamento 2024/1689) establece un marco normativo común para el desarrollo, comercialización, implementación y uso de los sistemas de IA dentro del territorio de la Unión. Aunque entró en vigor el 1 de agosto de 2024, sus obligaciones se están aplicando de forma progresiva, comenzando con los capítulos I y II en febrero de 2025.
Capítulo I: Requisitos de alfabetización en IA
El capítulo I del AI Act define las disposiciones generales y los conceptos clave, estableciendo la alfabetización en IA como un requisito obligatorio para las empresas que proporcionan o despliegan sistemas de IA.
El artículo 4 del reglamento impone la obligación de que las empresas garanticen que sus empleados y cualquier persona que interactúe con los sistemas de IA en su nombre tengan un nivel adecuado de conocimientos sobre la tecnología. La alfabetización en IA implica que los trabajadores comprendan el funcionamiento de los sistemas de IA, los riesgos y oportunidades que estos presentan, así como los posibles daños que su aplicación podría causar.
Para cumplir con este requisito, muchas empresas han desarrollado programas de formación interna o han contratado profesionales con conocimientos específicos en IA. La Comisión Europea anunció la creación de un repositorio con prácticas recomendadas para fomentar la alfabetización en IA entre los distintos actores del ecosistema tecnológico.
Capítulo II: Prohibición de determinadas prácticas de IA
El capítulo II, también aplicable desde el 2 de febrero de 2025, prohíbe ciertas prácticas de IA consideradas de alto riesgo o con un impacto negativo significativo en la sociedad. Entre los sistemas de IA que quedan expresamente prohibidos se encuentran:
- Técnicas subliminales o manipulativas que influyan en el comportamiento de una persona de forma no consciente o engañosa.
- Sistemas que exploten vulnerabilidades de grupos específicos, como menores de edad o personas en situaciones de vulnerabilidad económica o social.
- Inferencia emocional en entornos laborales o educativos, lo que excluye el uso de IA para evaluar emociones en el ámbito del trabajo o la educación.
- Sistemas de reconocimiento facial basados en imágenes obtenidas de internet o CCTV, lo que limita el uso de bases de datos creadas sin el consentimiento de los individuos.
Las empresas que incumplan estas normas pueden enfrentarse a sanciones severas, con multas de hasta 35 millones de euros o el 7% de su facturación anual global, según cuál sea la cifra más alta.
Excepciones y aplicación progresiva del AI Act
El reglamento contempla excepciones en ciertos casos de seguridad y aplicación de la ley. Por ejemplo, el uso de reconocimiento facial en tiempo real en espacios públicos por parte de las fuerzas del orden sigue permitido en determinadas circunstancias, como la prevención de amenazas terroristas o la investigación de delitos graves.
Además, la aplicación plena del AI Act se desarrollará de forma escalonada. La siguiente fase relevante será en agosto de 2025, cuando los Estados miembros designarán a las autoridades responsables de la supervisión y aplicación del reglamento. También se espera que la Comisión Europea publique en abril de 2025 el Código de Prácticas para Modelos de IA de Propósito General, con entrada en vigor en agosto del mismo año.
Implicaciones para las empresas
Con la regulación en IA en marcha, las empresas tecnológicas que operan en la UE deben adaptar sus políticas y procesos para garantizar el cumplimiento normativo. Entre las acciones prioritarias se incluyen:
- Evaluar el cumplimiento actual: Identificar si los sistemas de IA empleados o desarrollados caen dentro de las categorías de riesgo reguladas.
- Implementar programas de formación en IA: Asegurar que los empleados cuenten con el nivel requerido de alfabetización en IA.
- Revisar el uso de IA en productos y servicios: Determinar si alguna funcionalidad de IA utilizada por la empresa se encuentra en la lista de prácticas prohibidas.
- Prepararse para auditorías y controles regulatorios: Diseñar procesos de transparencia y documentación que permitan demostrar conformidad con la normativa.
Reacción del sector y perspectivas futuras
La Ley de Inteligencia Artificial ha generado opiniones divididas en el sector tecnológico. Mientras que algunos lo consideran un marco necesario para mitigar riesgos y garantizar un desarrollo seguro de la IA, otros advierten sobre el impacto que puede tener en la competitividad y la innovación en Europa.
Kirsten Rulf, coautora de la Ley y socia de BCG, ha señalado que este reglamento “no busca frenar la innovación, sino establecer bases sólidas para su crecimiento escalable y responsable”. No obstante, ha reconocido que la definición actual de IA dentro del reglamento es amplia y su interpretación puede suponer desafíos en términos de costos, burocracia y supervisión.
Más de 100 empresas, entre ellas Amazon, Google, Microsoft y OpenAI, han firmado el Pacto de Inteligencia Artificial de la UE, comprometiéndose voluntariamente a aplicar las disposiciones de la Ley de Inteligencia Artificial antes de que sean obligatorias. Esto sugiere que muchas organizaciones están alineadas con la necesidad de regulación en IA y buscan adelantarse a los requisitos normativos.
La implementación del AI Act seguirá desarrollándose en los próximos años, con revisiones anuales a la lista de prácticas prohibidas y la introducción progresiva de nuevas obligaciones para los proveedores de modelos de IA. Se espera que el impacto completo de esta legislación sea más evidente a medida que se establezcan los mecanismos de supervisión y aplicación en cada Estado miembro.
