Las sanciones a empresas que no cumplan el reglamento de la IA pueden llegar a los 35 millones de euros
Este artículo desgrana varias cuestiones relacionadas con el nuevo Reglamento Europeo de Inteligencia Artificial, como las empresas que más afectadas pueden resultar del mismo, así como las posibles implicaciones en las que pueden verse inmersas desde que está en vigor.
En agosto de 2024, entró en vigor el Reglamento Europeo de Inteligencia Artificial (RIA), también conocido por sus siglas en inglés como RAI. El objetivo principal de este acuerdo es fomentar el desarrollo y la implantación responsable de la Inteligencia Artificial en toda la Unión Europea.
La IA llegó para revolucionar el sector de las nuevas tecnologías. Actualmente, más del 24% de las empresas españolas ya utilizan alguna herramienta de Inteligencia Artificial, hablamos de 1 de cada 4 compañías, según el “III Informe sobre Transformación digital” de InfoJobs.
Una de las herramientas más usadas es ChatGPT, nacida en noviembre de 2022, que ya registra 200 millones usuarios activos semanales en todo el mundo. De hecho, este sistema de chat basado en la IA obtuvo más de 1,5 millones de visitantes durante el mes de febrero de este año 2024, según datos publicados por UBS, compañía de servicios financieros.
“Es importante tener cautela ante el uso de herramientas de Inteligencia Artificial como ChatGPT. Tenemos que ser conscientes de que, con el uso de estas aplicaciones, estamos aportando unos datos que, esta IA, usará más tarde para su beneficio”, aseguran desde Secure&IT, compañía española de TI referente en el ámbito de la ciberseguridad.
Las organizaciones más afectadas por el RIA
El RIA incluye varias categorías de operadores: proveedores, representantes, distribuidores, importadores, proveedores posteriores y responsables de despliegue. Lo cierto es que, a la mayor parte de entidades y organizaciones que utilizan sistemas o modelos de IA, la llegada del nuevo Reglamento de Inteligencia Artificial no les va a suponer especiales obligaciones.
Si hablamos de las organizaciones más afectadas por el RIA, nos encontramos con los proveedores de sistemas IA de alto riesgo, que deben asumir un conjunto más complejo de obligaciones. Esto se debe a que son más susceptibles de causar daños para la salud, la seguridad o los derechos fundamentales de las personas. “Nos referimos a sistemas IA que están destinados a utilizarse como componentes de seguridad o que son sistemas de seguridad por sí mismos. Algunos ejemplos son: vehículos a motor; productos sanitarios; aviones civiles; juguetes; embarcaciones de recreo y motos acuáticas; ascensores…”, indica Natalia Patiño, consultora Legal TIC de Secure&IT.
Los “sistemas independientes” como infraestructuras críticas, sistemas de identificación biométrica remota, sistemas utilizados en el ámbito educativo y de formación profesional, o sistemas usados en el ámbito de la selección de personal y laboral, entre otros, también son algunos de los más afectados por el RIA.
“Las organizaciones deben tener en cuenta que, si no se adaptan a la normativa en los plazos previstos, podrían ser gravemente sancionadas con multas que pueden alcanzar los 35 millones de euros o el 7% del volumen de negocio total del ejercicio anterior, lo que supone una mayor cuantía”, asegura la consultora Legal TIC de Secure&IT.
Consecuencias de la aprobación del RIA
Lo cierto es que la aprobación del nuevo Reglamento de Inteligencia Artificial en la UE ya ha tenido las primeras consecuencias para algunas marcas. La compañía Apple ha comunicado que la integración de su IA, conocida como Apple Intelligence, no se producirá en Europa, por lo menos, a corto plazo. A lo largo del próximo año 2025, Apple Intelligence estará disponible en varios idiomas, entre los que se incluye el español, pero no estará operativa en la Unión Europea, debido a la política de Bruselas con respecto a la IA.
Natalia Patiño hace hincapié en el hecho de que, para aplicar correctamente el RIA, resulta imprescindible saber distinguir entre qué es la IA y qué no lo es: “El problema es que el concepto “Inteligencia Artificial” se está utilizando, en algunos casos, solo como una estrategia de marketing. Hacer referencia a la IA como componente de un producto o servicio despierta cierta fascinación y hace más atractiva su comercialización, aunque verdaderamente no incorporen IA. Este uso indiscriminado puede dar lugar a una aplicación incorrecta del RIA, generando así confusión a la hora de determinar qué requisitos y obligaciones legales resultan verdaderamente exigibles en cada caso”, concluye Patiño.
¿Qué riesgos implica el uso de la IA?
A pesar de la regulación europea de la Inteligencia Artificial, hay que tener en cuenta que su uso expone a usuarios y empresas a una serie de peligros.
En primer lugar, existen riesgos relacionados con el uso que el proveedor de la IA generativa va a hacer de la información que se proporciona en los “prompts” (entradas de información que realizan los usuarios), debido a que se trata de un entorno no controlado.
OpenAI, empresa creadora del modelo GPT, declaró abiertamente que utilizaba los datos introducidos por los usuarios en ChatGPT, tanto para reentrenar a sus modelos, como para ceder estos datos a posibles terceros.
También existen riesgos relacionados con incidentes de seguridad que pueden sufrir los proveedores de IA’s generativas, y que podría comprometer la información sensible que se les proporciona en los “prompts”. De hecho, ChatGPT sufrió un incidente de seguridad en marzo de 2023 que, además de afectar a información confidencial general, afectó a datos de carácter personal y quedaron expuestas conversaciones de usuarios con la herramienta, así como datos de pago de sus suscriptores.
Por otro lado, hay que tener en cuenta que estas herramientas pueden generar resultados incorrectos, denominados “alucinaciones”, ya que no están siendo supervisadas de forma activa y continua por seres humanos a la hora de generar respuestas.
