El EU AI Act (Reglamento (UE) 2024/1689) es el primer marco jurídico integral del mundo para la inteligencia artificial. Adoptado por el Parlamento Europeo en marzo de 2024 y en vigor desde agosto de 2024, se aplica a todo proveedor, responsable del despliegue, importador o distribuidor de sistemas de IA utilizados en la Unión Europea, con independencia de dónde tenga su sede la organización.
Los cuatro niveles de riesgo
El reglamento clasifica los sistemas de IA en cuatro categorías de riesgo, cada una con obligaciones distintas.
Nivel 1, Riesgo inaceptable (prohibido): Determinadas aplicaciones de IA están directamente prohibidas porque suponen amenazas inaceptables para los derechos fundamentales. Algunos ejemplos son los sistemas de puntuación social operados por gobiernos o autoridades públicas, la vigilancia biométrica en tiempo real en espacios públicos (con excepciones limitadas para las fuerzas del orden), las técnicas de manipulación subliminal diseñadas para influir en el comportamiento sin que la persona sea consciente y los sistemas que explotan a grupos vulnerables.
Nivel 2, Alto riesgo: Los sistemas de IA utilizados en sectores críticos se enfrentan a los requisitos más estrictos. Los ámbitos de alto riesgo incluyen las infraestructuras críticas (energía, agua, transporte), la educación y la formación profesional, las decisiones de empleo y RR. HH. (cribado de currículums, supervisión del desempeño), los servicios privados y públicos esenciales (puntuación crediticia, seguros, prestaciones), la identificación y categorización biométricas, las fuerzas del orden, la migración y el control de fronteras, y la administración de justicia. Los proveedores de IA de alto riesgo deben implementar un sistema de gestión de riesgos, controles de gobernanza de datos, documentación técnica exhaustiva, registro y conservación de registros, información de transparencia para los responsables del despliegue, mecanismos de supervisión humana significativa y medidas de exactitud, solidez y ciberseguridad. Es necesaria una evaluación de la conformidad de la UE antes de introducir un sistema de alto riesgo en el mercado.
Nivel 3, Riesgo limitado: Los sistemas como los chatbots, el reconocimiento de emociones y las ultrafalsificaciones (deepfakes) generadas por IA conllevan obligaciones de transparencia. Los proveedores y los responsables del despliegue deben garantizar que los usuarios sean informados de que están interactuando con un sistema de IA o de que están viendo contenido generado por IA.
Nivel 4, Riesgo mínimo: La gran mayoría de las aplicaciones de IA, como los filtros de spam, la IA en los videojuegos y los motores de recomendación, se incluyen en esta categoría y no están sujetas a obligaciones específicas en virtud del reglamento, aunque se fomentan los códigos de conducta voluntarios.
Calendario: aplicación progresiva
El reglamento se aplica por fases. Los sistemas de IA prohibidos (nivel 1) quedaron vetados seis meses después de la entrada en vigor (febrero de 2025). Las obligaciones para los modelos de IA de uso general se aplican a partir de agosto de 2025. Los requisitos para los sistemas de IA de alto riesgo en la mayoría de los sectores se aplican a partir de agosto de 2026, y algunos sistemas de IA de alto riesgo utilizados en productos regulados (productos sanitarios, máquinas) disponen de plazo hasta agosto de 2027. Se espera la plena aplicación de todas las disposiciones para 2026-2027.
Obligaciones clave para la IA de alto riesgo
Las organizaciones que implementan IA de alto riesgo deben: establecer un sistema de gestión de riesgos que identifique y mitigue los riesgos previsibles a lo largo de todo el ciclo de vida de la IA; aplicar prácticas de gobernanza de datos que garanticen que los datos de entrenamiento sean pertinentes, representativos y estén libres de errores significativos; mantener una documentación técnica exhaustiva que pueda facilitarse a los reguladores cuando lo soliciten; habilitar el registro automático de eventos para facilitar la supervisión y la investigación posteriores a la comercialización; proporcionar instrucciones claras e información de transparencia a los operadores humanos; garantizar una supervisión humana significativa para que los operadores puedan comprender las salidas de la IA, intervenir y anularlas; y cumplir umbrales definidos de exactitud, solidez frente a errores y resiliencia en ciberseguridad.
Sanciones
El incumplimiento conlleva sanciones económicas importantes. Las infracciones relativas a aplicaciones de IA prohibidas (nivel 1) pueden dar lugar a multas de hasta 35 millones de euros o el 7 % de la facturación anual mundial, la cifra que sea más alta. Las infracciones de otras obligaciones, incluidos los requisitos de la IA de alto riesgo, conllevan sanciones de hasta 15 millones de euros o el 3 % de la facturación mundial. Facilitar información incorrecta o engañosa a las autoridades puede acarrear multas de hasta 7,5 millones de euros o el 1 % de la facturación mundial.
A quién afecta
El EU AI Act tiene alcance extraterritorial. Cualquier organización que introduzca un sistema de IA en el mercado de la UE, ponga en servicio un sistema de IA en la UE o utilice sistemas de IA de una manera que afecte a personas de la UE debe cumplirlo, con independencia de dónde tenga su sede. Esto significa que las empresas estadounidenses, británicas, australianas y asiáticas con clientes en la UE, empleados en la UE o sistemas de IA orientados a la UE están todas dentro del ámbito de aplicación.
Relevancia para Australia
Para las organizaciones australianas, el EU AI Act es relevante en dos frentes. En primer lugar, cualquier empresa australiana con operaciones en la UE, clientes en la UE o productos de IA orientados a la UE debe cumplirlo directamente, incluidas las fintech australianas, los proveedores de SaaS y las empresas con filiales o bases de clientes europeas. En segundo lugar, el EU AI Act señala la dirección que toma la regulación de la IA a escala mundial. El propio AI Safety Standard de Australia (publicado en agosto de 2024) y los próximos cambios legislativos se inspiran explícitamente en marcos internacionales, entre ellos el EU AI Act. Las organizaciones australianas que desarrollen ahora capacidades de cumplimiento del EU AI Act estarán mejor posicionadas ante los requisitos regulatorios nacionales a medida que surjan.