¿Qué implicaciones tiene la nueva Ley de IA aprobada en Europa?

La nueva Ley de IA de la Unión Europea fue aprobada el pasado miércoles, en una votación en la que el Parlamento Europeo mostró un amplio respaldo al texto: 523 votos a favor y apenas 46 en contra y 49 abstenciones, tal y como informábamos.

Esto no significa que ya haya entrado en vigor, puesto que todavía tiene que ser adoptada formalmente por el Consejo Europeo. Una vez publicada en el Diario Oficial, entrará en vigor a los veinte días. Y comenzará a aplicarse 24 meses más tarde, con algunas excepciones.

Es decir, entrará en vigor plenamente hasta 2026, puesto que se pondrán en marcha por fases. “La oficina europea se creará de forma inmediata. La prohibición de los modelos de alto riesgo llegará a los seis meses. Y la necesidad de cumplir los requisitos para los sistemas y modelos de IA generativa, a los 12 meses. Además, la Comisión publicará un informe que evalúe y revise el marco de IA propuesto cinco años después de la fecha de entrada en vigor de dicho marco, para garantizar que se encuentre actualizado y respondiendo a las demandas sociales y tecnológicas”, como nos contaba Sonia Martínez Requejo, profesora de Educación e Innovación Educativa de la Universidad Europea.

El pasado miércoles ya resumíamos los aspectos más destacados de la nueva ley, así que ahora nos detenemos en sus implicaciones. Por ejemplo, Alfred Maeso, lead expert de Netmind y responsable del CoE de Innovación y Transformación Digital en el Sur de Europa y Latinoamérica de BTS, recuerda que “la ley de IA de la UE busca regular su uso en aspectos que puedan afectar a los derechos fundamentales y obliga a sus desarrolladores a cumplir unas salvaguardas más estrictas”.

Así pues, remarca que es necesario aplicar “ciertas salvaguardas y un enfoque holístico” al adoptar esta tecnología en las empresas. “Un reciente estudio publicado por Salesforce señalaba que el 61% de los trabajadores españoles reconocía haber utilizado herramientas de IA generativa, aunque no estuvieran formalmente aprobadas, ni hubieran sido formados para ello. Esto es un riesgo para las empresas”, apunta.

“A la hora de introducir la IA, es imprescindible pensar en cuál es el propósito: ¿qué áreas, tareas o funciones queremos mejorar? Desde la dirección, se debe construir una estrategia en la que se defina en qué departamentos y de qué manera se debe implantar la IA. Asimismo, es necesario promover la disposición de los trabajadores a aceptar el cambio”, añade.

Además, incide en que “el desafío no sólo radica en la implementación técnica de la IA, sino en la construcción de una estrategia que la integre de manera orgánica en el tejido empresarial”. “Crear una cultura que fomente la experimentación, el aprendizaje continuo y la adaptación es esencial”, concluye.

Por su parte, Sergio Rodríguez de Guzmán, CTO de PUE, afirma que “la aprobación de esta normativa nos permitirá tener una hoja de ruta ante el imparable avance de la IA generativa”. Sin embargo, hace una advertencia. “Las organizaciones, tanto públicas como privadas, tienen que pensar en la importancia del desarrollo de sistemas de gestión de datos que les permitan tener el control absoluto sobre sus fuentes de información, especialmente si es de carácter sensible”, recalca.

“Los resultados producidos por modelos de IA generativa dependen de manera directa de la calidad de los datos sobre los que aprenden, por lo que garantizar la fiabilidad y gobernabilidad de datos provenientes de fuentes fiables es fundamental para obtener las respuestas adecuadas. Dentro de toda compañía reside un valor muy importante: sus datos internos. Y con el desarrollo de soluciones específicas de IA generativa pueden afrontar estos retos de manera controlada, sin depender de terceros”, agrega.

Mucho trabajo por delante

Por otro lado, las empresas españolas tendrán que dar un salto para no quedarse atrás en la adopción de esta tecnología. Según indica Pandora FMS, menos del 25% de las compañías nacionales emplean en la actualidad la IA o el Big Data en su día a día.

El Gobierno, a través de su Estrategia Nacional de Inteligencia Artificial (ENIA), ha fijado un objetivo a este respecto: quiere que el 25% de empresas recurra al Big Data en la toma de decisiones y espera que haya 20.000 nuevos especialistas en este campo, tal y como informaba Europa Press.

A partir de sus análisis de informes del Instituto Nacional de Estadística (INE), Pandora FMS indica que el porcentaje de empresa que utilizan la IA en nuestro país supera ligeramente el 12%. La adopción del Big Data está algo más extendida, llegando a alrededor del 15% de organizaciones es España.

De este modo, apenas un 14% utiliza estas tecnologías, por lo que el uso debe crecer en 11 puntos porcentuales para alcanzar los objetivos planteados por el Gobierno. Además, Pandora FMS recuerda que el porcentaje de compañías que empleen estas tecnologías en 2030 debería ser del 75% para seguir el ritmo de la UE.

Impacto en la ciberseguridad

La nueva Ley de IA también repercute en la ciberseguridad y la innovación tecnológica, como explica Check Point Software. “Se trata de la primera ley mundial que intenta abordar el riesgo que puede introducir la IA y mitigar el peligro de que sus aplicaciones vulneren los Derechos Humanos o perpetúen los prejuicios. Tanto si se trata de escaneo de un currículum con sesgo de género como de la vigilancia omnipresente en el espacio público con cámaras impulsadas por IA o de análisis invasivos de datos médicos que afectan a un seguro de salud, esta Ley de IA de la UE pretende establecer límites claros para su despliegue, de modo que los vendedores y desarrolladores dispongan de algunas directrices y límites. Así, los ‘buenos’ podrán ver el límite bien marcado y disponer de acceso y herramientas para perseguir a los que vayan en contra de ella”, declara Peter Sandkuijl, vicepresidente del departamento de ingeniería de EMEA de la compañía de ciberseguridad.

De este modo, Check Point recalca que los desarrolladores e implantadores de IA tendrán que seguir unas directrices estrictas, garantizando que los sistemas de IA se desarrollen pensando en la seguridad. “Esto significa incorporar medidas de ciberseguridad desde el principio, centrarse en prácticas de codificación seguras y garantizar que los sistemas de IA sean resistentes a los ataques”, detalla.

La empresa también reseña que “es probable que la Ley incluya disposiciones para responsabilizar a las empresas por brechas de seguridad que involucren sistemas de IA”. “Esto requeriría protocolos de respuesta ante incidentes más estrictos y que los sistemas de IA cuenten con mecanismos avanzados para detectar y reaccionar ante incidentes de ciberseguridad”, anota.

Igualmente, pone el acento en que la Ley busca evitar el uso de la IA con fines malintencionados, como la creación de deepfakes o la automatización de ciberataques, regulando ciertos usos de la IA. Además, contribuye a que haya una estrategia de ciberseguridad más amplia, que reduce el riesgo de que se utilice como herramienta en ciberguerra y cibercrimen.

La nueva regulación también hace hincapié en la mitigación de sesgos y discriminación. “Al tratar los riesgos de sesgo y discriminación en los sistemas de IA, la Ley también beneficia indirectamente a la ciberseguridad. Los sistemas que son justos e imparciales tienen menos probabilidades de ser explotados a través de sus vulnerabilidades. Al abordar los riesgos de parcialidad y discriminación en los sistemas de IA, la Ley contribuye indirectamente a la ciberseguridad. Garantizar que los sistemas de IA se entrenen con conjuntos de datos diversos y representativos puede reducir el riesgo de ataques que exploten procesos de toma de decisiones sesgados”, especifica Check Point.

Otro aspecto relevante es la exigencia de una mayor transparencia en las operaciones de IA, especialmente para las de alto riesgo. “Esto podría significar una divulgación más detallada de los datos utilizados para entrenar los sistemas de IA, los procesos de toma de decisiones de la IA y las medidas adoptadas para garantizar la privacidad y la seguridad. La transparencia ayuda a identificar vulnerabilidades y a mitigar posibles amenazas”, señala la compañía de ciberseguridad.

Asimismo, recuerda que los sistemas de IA de alto riesgo tendrán que someterse a rigurosas pruebas y certificaciones que garanticen que cumplen las normas de seguridad de la UE, incluida la ciberseguridad.

Finalmente, Check Point precisa que la ley promueve la investigación y colaboración en IA y ciberseguridad, apoyando el desarrollo de tecnologías y estrategias para proteger contra amenazas emergentes.