Faltan seis meses para su entrada en vigor y las empresas desarrolladoras de aplicaciones y los científicos de datos enfocan ya su actividad en base a la nueva normativa. Publicada en el pasado trece de marzo, basa los límites de empleo profesional del machine learning y de la IA generativa en los niveles de riesgo que suponga para la seguridad, la salud y los derechos fundamentales de los ciudadanos. Es decir, que nace con la vocación de que estas nuevas herramientas no supongan un perjuicio para la vida real de las personas.
EU AI Act, una ley de alcance global
Además, lo hace, observan desde PredictLand AI, con un alcance extracomunitario: toda empresa que compre, desarrolle, customice o utilice sistemas de IA en servicios, que pudieran afectar a un ciudadano de la Unión Europea, tendrá que responder ante el EU AI Act, como se conoce a la nueva ley.
No hay que olvidar, en este sentido, puntualiza Bruno Gerlic, que los usuarios de plataformas de IA generativa como OpenAI, Google o Microsoft se encuentran en cualquier rincón del planeta. Pero, además, esta ley es susceptible de condicionar a organizaciones con base fuera de la UE y que pudieran tener relaciones o transacciones con ciudadanos europeos, por ejemplo, a la hora de realizar procesos de selección con IA o de valorar la aceptación de un microcrédito mediante algoritmos de scoring.
Legislar en base a tres niveles de riesgo de la IA
"Un sistema basado en máquinas diseñado para operar con niveles variables de autonomía, que puede mostrar adaptabilidad después de su implementación y que, para objetivos explícitos o implícitos, infiere de la entrada que recibe, cómo generar salidas como predicciones, contenido, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales". Así definen las autoridades europeas la Inteligencia Artificial, ante la que establece un sistema de nivel de riesgo: inaceptable, alto, bajo, y de propósito general.
Los que se engloban bajo el epígrafe "inaceptable" tienen que ver con la vulneración de la identidad, la protección de la privacidad, la manipulación de personas discapacitadas con el fin de cambiar sus pautas de consumo y, por supuesto, los que incluyan sesgos que concluyan en un tratamiento social diferente.
La lista de los de alto riesgo cubre sistemas que no están prohibidos, pero sí altamente escrutados. La ley EU AI Act regula específicamente los sectores de IA en dispositivos médicos, vehículos, así como en los sistemas de reconocimiento de emociones y de vigilancia y control.
Así, además de mantener y asegurar la calidad de los datos de cada modelo, será necesario proporcionar documentación y rastreabilidad de los mismos. Con la transparencia como bandera, se requerirá también supervisión humana, sobre todo en cuanto a la utilización de los resultados y respuestas del sistema. Se deberá, asimismo, garantizar la ciberseguridad y el cumplimiento de evaluaciones de impacto.
Los modelos de propósito general, por su parte, son programas como GPT4, o Claude, o Gemini, sistemas que tienen casos de uso muy amplios y pueden ser embebidos en otros programas. Así, GPT4 per se no se encuentra en una categoría de alto riesgo ni prohibida, pero no podrá ser utilizado en sistemas de policía predictiva.
Los profesionales de PredictLand AI, enfocada a la creación de aplicaciones de IA predictiva y generativa, admiten que en el contexto actual, la ley comunitaria induce a las empresas a ser parte de la respuesta. Una vez detectado un incumplimiento, los científicos de datos se verán impelidos a solucionar el error en tiempo récord.
Con la IA, mejor prevenir que curar
Esta ley pone claramente a las empresas sobre aviso, insiste Bruno Gerlic. "Les será difícil evadir su responsabilidad, y recomiendo a los profesionales de la IA, estén donde estén, que se familiaricen cuanto antes con los requerimientos de la ley, especialmente antes de diseñar sus soluciones. Mejor prevenir que curar, como dicen. Y en sistemas de IA, que solo cuentan con datos sin instrucciones, curar puede conllevar un coste muy elevado – hasta tener que retirar el producto a falta de alternativas viables".
Las penalizaciones por saltarse la ley, recuerda Bruno Gerlic, pueden llegar a los 35 millones de euros, o bien suponer el 7% de los ingresos globales del último ejercicio.
Un dato importante, por último, para los usuarios particulares: la ley no cubre actividades personales, siempre y cuando no se incurra en aspectos recogidos en las anteriores en las categorías.
