Cualquier empresa que venda bienes o servicios en la Unión Europea (UE) que utilice Inteligencia artificial (IA) Las leyes de la UE sobre IA deben cumplirse, dondequiera que estén.
La primera fase de la legislación se convertirá en ley el próximo mes. Cubre el Artículo 5, Prácticas prohibidas de IA y usos inaceptables de la IA. El texto del artículo 5 se finalizó el 12 de julio de 2024 y entrará en vigor seis meses después, lo que significa que a partir de febrero, las empresas que desarrollen sistemas de IA o utilicen IA como parte de sus productos y servicios de la UE deben cumplir con el artículo 5.
Prepárese para la Sección 5
Los usos prohibidos de la IA en virtud del artículo 5 incluyen sistemas de IA que implementan intencionalmente técnicas manipuladoras o engañosas fuera de la conciencia de una persona. El artículo 5 prohíbe el uso de sistemas de IA que exploten la vulnerabilidad de un individuo o de un grupo particular debido a su edad, discapacidad o una situación social o económica particular. Los sistemas que analizan comportamientos sociales y luego utilizan esta información de forma dañina también están prohibidos en virtud del artículo 5 si su uso va más allá del propósito original de recopilar los datos.
Otras áreas cubiertas por el artículo 5 incluyen el uso de sistemas de inteligencia artificial en la aplicación de la ley y la biometría. Los observadores de la industria han descrito el trabajo como un enfoque “basado en el riesgo” para regular la inteligencia artificial.
Aunque el artículo 5 entrará en vigor el 5 de febrero, el siguiente paso en la implementación de la ley de IA es la implementación de un código de prácticas para sistemas de IA de uso general. Estos son sistemas que pueden manejar tareas para las que no han sido capacitados específicamente. Dichos sistemas cubren la IA fundamental, por ejemplo Modelo de lenguaje grande (LLM). Esta próxima fase de la legislación de la UE sobre IA entrará en vigor en mayo de 2025.
Las empresas que venden o utilizan IA en la UE deben cumplir con las leyes de IA, independientemente de dónde estén ubicadas. Según Deloitte, el alcance de esta ley presenta a las empresas multinacionales tres opciones posibles: pueden desarrollar sistemas de IA específicamente para el mercado de la UE, adoptar la ley de IA como estándar global o limitar sus ofertas de alto riesgo a la UE. poder
Panorama regulatorio
Bert Willemsen, vicepresidente analista de Gartner, dice que está generando cientos de conversaciones sobre la Ley de IA de la UE y lo que significa para los líderes de TI y los directores de seguridad de la información. Antes de unirse a la firma de analistas, Willemsen ocupó el cargo de director de privacidad y seguridad en varias organizaciones. Su experiencia y lo que ha aprendido de las conversaciones con clientes de Gartner es que yo tengo la ley se basa en Reglamento General de Protección de Datos (GDPR).
Según el RGPD, los datos deben recopilarse para un fin específico y legítimo y procesarse de manera legal, justa y transparente. En particular, la recopilación de datos debe limitarse estrictamente y mantenerse la precisión de los datos. Recientemente, con la introducción del estándar de certificación GDPR y los criterios BC 5701:2024, las organizaciones ahora pueden demostrar que cumplen con un nivel de competencia en el manejo de información de identificación personal (PII).
Quizás sean muchas lecciones Aprendido del RGPD Esto debería aplicarse a la legislación de la UE sobre IA. Aunque el texto del RGPD se finalizó en 2016, no entró en vigor hasta 2018.
“Los legisladores han aprendido algo de la experiencia del RGPD”, afirmó Willemsen. “Después de dos años desde el período de gracia de mayo de 2018, todos empezaron a llamarme para preguntarme por dónde debían empezar”. En otras palabras, las empresas no hicieron nada con respecto al RGPD durante dos años durante el período de gracia.
Con el auge de la IA, el mayor uso de la nube y los crecientes volúmenes de datos en las aplicaciones tradicionales, se predice que las industrias tendrán emisiones de carbono de TI significativamente mayores.
Por ejemplo, aunque muchas empresas confían en que pueden informar sobre las emisiones de gases de efecto invernadero para cumplir con la CSDR de la UE, la consultora de gestión Bain y compañía predijo que para 2030, el aumento de la IA, el mayor uso de la nube y los crecientes volúmenes de datos en las aplicaciones tradicionales conducirán a emisiones de carbono de TI significativamente mayores en todas las industrias.
Las empresas que operan en la UE deben considerar la CSDR. Dada la naturaleza ávida de poder del aprendizaje automático y la inferencia de la IA, el grado en que se utiliza la IA puede verse afectado por dichas regulaciones en el futuro.
Aunque se basa en las regulaciones existentes, como señalan Melanie Gornett y Winston Maxwell Artículo científico abierto del cascoEnfoque europeo para regular la IA a través de estándares técnicosLa Ley de IA toma un camino diferente al de estos Su observación es que la legislación de la UE sobre IA se inspira en las normas europeas de seguridad de los productos.
Como explican Gornett y Maxwell: “Los sistemas de IA requerirán una evaluación consistente que se base en estándares consistentes, como los estándares técnicos desarrollados por las Organizaciones Europeas de Normalización (ESO). características.”
Los autores señalan que estos tienen varias características jurídicas, como la creación de una presunción de conformidad con la ley. Esta evaluación de conformidad da como resultado el marcado de conformidad europea (CE) de los productos de IA para demostrar el cumplimiento de las regulaciones de la UE. A diferencia de otras normas de seguridad de productos, Gornett y Maxwell señalan que las leyes de IA no sólo pretenden proteger contra riesgos de seguridad, sino también contra efectos adversos sobre los derechos fundamentales.
Estándares y mejores prácticas
“Lo que hemos visto durante la última década es relevante ahora cuando nos preparamos para la Ley de IA”, dijo Willemsen, cuando se le preguntó qué medidas deberían tomar las organizaciones para garantizar que siguen cumpliendo con la ley. Instó a las organizaciones que adoptan una estrategia de IA a no subestimar la relevancia de este requisito legal.
Dijo: “Generar confianza con los consumidores y usuarios será clave para desarrollar experiencias de IA. Para las organizaciones que operan dentro de la UE, e incluso para aquellas fuera, las recomendaciones de gobernanza y categorización de riesgos que sigue la legislación de IA de la UE son un enfoque sólido y basado en el riesgo que ayudará a crear, como mínimo, soluciones seguras, confiables y centradas en el ser humano. Experiencias de IA que no causan daño, evitan pasos en falso costosos o vergonzosos e, idealmente, impulsan la eficiencia y la diferenciación”.
Hacerse cargo de la IA
Willemsen no cree que las empresas necesiten crear un puesto de director de IA. “No es una disciplina separada como la seguridad o la privacidad. La mayoría de las veces, la IA se considera un nuevo tipo de tecnología”, afirma.
Aún así, las medidas de privacidad y seguridad son necesarias al considerar cómo implementar la tecnología de IA. Es por eso que Willemsen cree que el RGPD es un uso que debe hacer un organismo regulador para desarrollar su estrategia de IA.
Instó a las organizaciones a tomar medidas estratégicas, tácticas y operativas al implementar sistemas de IA. Esto requiere un equipo de IA multidisciplinario y de múltiples partes interesadas, que según Willemsen necesita desarrollar conocimiento y experiencia a medida que crecen los proyectos. “En este equipo, verá las partes interesadas en seguridad, privacidad, asuntos legales, cumplimiento y negocios”, agrega.
Si bien los líderes empresariales pueden pensar que su propia estrategia de IA está en línea con la legislación de IA de la UE, no ocurre lo mismo con los proveedores y los sistemas empresariales habilitados para IA. En el artículo de Gartner, La UE se está preparando para la legislación sobre IA, fase 3La firma de analistas recomienda que los líderes empresariales y de TI integren la legislación sobre IA en cualquier evaluación de riesgos de terceros. Eso debería incluir revisiones contractuales y un impulso para modificar los contratos existentes con un nuevo lenguaje para reforzar los requisitos regulatorios emergentes, dijo Gartner.
Como señala Gartner, existe una buena posibilidad de que el mayor riesgo de IA de una organización no tenga nada que ver con la IA que está desarrollando. En cambio, aún podría correr el riesgo de incumplimiento de la legislación de la UE sobre IA si sus proveedores de TI utilizan los datos de la organización para entrenar sus modelos.
“La mayoría de las empresas dicen que sus contratos con proveedores no les permiten utilizar sus datos, pero la mayoría de los contratos con proveedores tienen una cláusula de escalamiento de productos”, advierte Gartner. Se puede interpretar que dicha cláusula otorga al proveedor el derecho de utilizar los datos de la empresa para ayudar a mejorar sus propios productos.
Lo que está claro es que, independientemente de si una organización tiene una oficina en la UE o no, si proporciona bienes y servicios a ciudadanos de la UE, es esencial una evaluación del impacto de la legislación sobre IA. El incumplimiento de los requisitos de la ley puede costar a las empresas hasta 15 millones de euros o el 3% de la facturación global. Las violaciones del artículo 5, que cubre los usos prohibidos de la IA, pueden dar lugar a multas de hasta 35 millones de euros o el 7% de la facturación global.
