La Ley de Inteligencia Artificial (IA) de la UE establece normas para el desarrollo, la comercialización y el uso de sistemas de IA dentro de la Unión Europea con el fin de promover una IA responsable y centrada en el ser humano. Se trata del primer reglamento de este tipo en el mundo, lo que garantiza un papel pionero de la UE en la creación de normas mundiales para la gobernanza de la IA. Se centra en los impactos más amplios de la IA en la sociedad y los derechos individuales.
En esta publicación, te pondremos al día sobre por qué la UE implementó esta ley, qué implica y qué necesitas saber como desarrollador o proveedor de IA, incluidas las mejores prácticas para simplificar el cumplimiento. También hablaremos de lo que depara el futuro para la regulación de la IA y, alerta de spoiler, pronto podría haber muchas leyes similares.
¿Por qué la UE introdujo la Ley de Inteligencia Artificial?
Probablemente hayas visto películas de ciencia ficción sobre tecnología fuera de control. La tecnología toma el control y se vuelve loca, causando todo tipo de devastación.
La IA no puede hacer eso, al menos no todavía. Pero eso hace ya tienen el potencial de hacer mucho daño.
Para que la IA funcione correctamente, se basa en dos cosas cruciales: Modelos están creados por desarrolladores para ofrecer los resultados que desea lograr. A continuación, los desarrolladores entrenan los modelos mediante datos Eso es lo más parecido posible a los datos que el modelo utilizará en el mundo real.
Pero si el modelo o los datos no son fiables, o si alguien los manipula, su IA no funcionará correctamente. Los datos y modelos que no cumplan con la tríada de la CIA (confidencialidad, disponibilidad e integridad) podrían tener consecuencias catastróficas en el mundo real:
Imagínese un automóvil autónomo impulsado por un modelo de IA entrenado con datos insuficientes o sesgados. El automóvil podría malinterpretar una situación de tráfico, lo que provocaría un accidente grave con lesiones o muertes.
O tal vez un sistema de IA diagnostique enfermedades basándose en imágenes médicas. Si este modelo se entrena con datos sesgados o incompletos, o si alguien manipula el modelo, podría provocar un diagnóstico erróneo, un retraso en el tratamiento o incluso la muerte.
Por supuesto, es más probable un escenario menos catastrófico. Imagínese si su chatbot de ventas comienza a mentir a los visitantes del sitio. Eso podría dañar las ventas, las operaciones o incluso su reputación. (¡Como si empezara a recomendar el producto de un competidor!)
Riesgo de la IA también afecta seriamente el retorno de la inversión de la IA, lo que aumenta los costos y reduce los ingresos.
Hace tiempo que se reconoce que necesitamos normas de seguridad para la IA. Ahora, la UE ha decidido tomar medidas.
GenAI Security Best Practices [Cheat Sheet]
Discover the 7 essential strategies for securing your generative AI applications with our comprehensive GenAI Security Best Practices Cheat Sheet.
Download Cheat Sheet
¿Cuáles fueron las razones detrás de la Ley de IA de la UE?
La Ley de IA de la UE tiene como objetivo ayudar a las personas que crean aplicaciones de IA a utilizar la tecnología de forma ética. Mantiene a las personas y las empresas a salvo de la recopilación, vigilancia y manipulación no autorizadas de datos, evitando la discriminación y garantizando que la IA se utilice de forma transparente. También tiene como objetivo minimizar el "riesgo sistémico", es decir, el potencial de un impacto generalizado y severo en la sociedad si algo sale mal con un modelo de IA. Más benignamente, estos pasos también aumentarán la confianza en la IA, lo que podría ser algo muy bueno para los desarrolladores y los proveedores de IA.
La Ley impide el uso de la IA con fines maliciosos, como los deepfakes y otra información errónea generada por la IA. Lo hace haciendo obligatoria la divulgación de las fuentes de IA. Si no notificas a los usuarios, podrías ser multado o sufrir otras consecuencias negativas. También exige que cada Estado miembro establezca una Autoridad Nacional Competente que supervise el despliegue local de la Ley de IA de la UE.
Y lo que es más importante, la Ley de IA de la UE clasifica el uso de la IA en cuatro niveles de riesgo (de los que hablaremos más adelante), prohibiendo todos los usos con un "riesgo inaceptable".
¿Cuáles fueron los antecedentes de la Ley de IA de la UE?
El siguiente diagrama ilustra el cronograma que condujo a la adopción de la Ley de IA de la UE. Como se puede ver, la Ley entró en vigor en un plazo bastante corto.
Cronograma de implementación
Si bien la Ley de IA de la UE ya ha entrado en vigor, las empresas disponen de un periodo de gracia de tres años, a partir de agosto de 2024, para alcanzar el pleno cumplimiento.
Aquí hay una línea de tiempo anticipada:
Lo que esto significa para ti es en realidad bastante simple. Incluso si crees que la Ley de IA de la UE no se aplica a ti, debes asegurarte de que… Y el tiempo se acaba.
Lo que esto significa para ti es en realidad bastante simple. Incluso si crees que la Ley de IA de la UE no se aplica a ti, debes asegurarte de que… Y el tiempo se acaba.
¿Qué incluye la Ley de IA de la UE?
Lo primero y más importante que hay que saber sobre la Ley de IA de la UE es que tiene un alcance extraterritorial.
Eso significa que cualquiera que proporcione sistemas de IA que se utilicen o afecten a los consumidores o a las empresas dentro de la UE probablemente deba cumplirlos.
La Ley de IA de la UE define una serie de tipos diferentes de sistemas de IA, entre ellos:
Modelos de IA de propósito general (GPAI): Grandes modelos de lenguaje y generadores de imágenes y vídeos
Modelos de IA de propósito específico: IA diseñada para tareas específicas como el diagnóstico médico, los vehículos autónomos o la evaluación de riesgos financieros
Sistemas de IA integrados: Dispositivos impulsados por IA, como electrodomésticos inteligentes o robots industriales
Los cuatro niveles de riesgo de la Ley de IA de la UE para la IA
La Ley de IA de la UE no regula las aplicaciones de "riesgo inaceptable" de la IA, y eso se debe a que ahora están prohibidas en Europa. Esto incluye el reconocimiento facial en tiempo real en espacios públicos o "puntuación social", que implica clasificar a individuos o grupos para un trato desigual, y la identificación biométrica en tiempo real con fines de aplicación de la ley (a veces conocida como vigilancia policial predictiva).
Riesgo inaceptable: Actividades que representan una amenaza demasiado grande y están totalmente prohibidas
Riesgo alto: Actividades que puedan afectar negativamente a la seguridad o a los derechos fundamentales
Riesgo limitado: Actividades que no son excesivamente arriesgadas, pero que conllevan requisitos de transparencia (lo que significa que los usuarios deben ser informados de que están interactuando con una IA)
Riesgo mínimo: Actividades generalmente benignas que no necesitan ser reguladas
La Ley de IA de la UE no regula las aplicaciones de "riesgo inaceptable" de la IA, y eso se debe a que ahora están prohibidas en Europa. Esto incluye el reconocimiento facial en tiempo real en espacios públicos o "puntuación social", que implica clasificar a individuos o grupos para un trato desigual, y la identificación biométrica en tiempo real con fines de aplicación de la ley (a veces conocida como vigilancia policial predictiva).
Tampoco regula las actividades de "riesgo mínimo" como los filtros de spam o los videojuegos habilitados para IA. En este momento, eso incluye la mayoría de las aplicaciones de IA disponibles actualmente en el mercado de la UE.
Una pequeña sección de la ley de IA de la UE se ocupa de los sistemas de "riesgo limitado". Los desarrolladores e implementadores de este tipo de sistemas deben cumplir con obligaciones de transparencia. Por lo general, eso solo significa que los usuarios finales sepan que están interactuando con IA (por ejemplo, chatbots y deepfakes).
La inmensa mayoría de la Ley de IA de la UE se refiere a los sistemas de IA de "alto riesgo" y a las organizaciones y personas que los proporcionan. Las aplicaciones de alto riesgo incluyen…
Evaluación de la elegibilidad crediticia
Evaluar solicitudes de seguro de salud o de vida o beneficios públicos
Análisis de solicitudes de empleo (ATS) o evaluación de candidatos
Otra categoría importante de sistemas de IA de alto riesgo son los "componentes de seguridad del producto". Esto se refiere a los sistemas de IA integrados en los productos y son cruciales para la seguridad de esos productos. Por ejemplo, sistemas de IA integrados en vehículos autónomos o dispositivos industriales o médicos.
State of AI in the Cloud 2024
Did you know that over 70% of organizations are using managed AI services in their cloud environments? See what else our research team uncovered about AI in their analysis of 150,000 cloud accounts.
Get PDF
Las ocho normas esenciales de la Ley de IA de la UE
Los desarrolladores y proveedores de aplicaciones de IA se conocen como "proveedores" en virtud de la Ley de IA de la UE. Cualquier persona física o jurídica que utilice la IA de forma profesional se considera un "usuario" o un "desplegable".
La Ley de IA de la UE esboza Ocho requisitos básicos para los sistemas de alto riesgo:
Gestión de riesgos a lo largo del ciclo de vida del sistema de IA de alto riesgo
Gobernanza de datos Para verificar todos los conjuntos de datos de entrenamiento, validación y prueba
Documentación técnica para demostrar y evaluar el cumplimiento
Mantenimiento de registros para determinar el riesgo y actualizar el nivel de riesgo a lo largo del ciclo de vida
Instrucciones de uso Por lo tanto, los implementadores posteriores pueden garantizar el cumplimiento total en toda la cadena de suministro
Los sistemas de IA deben permitir: Supervisión humana por usuarios (implementadores)
Los sistemas de IA deben estar diseñados para lograr Precisión, robustez y ciberseguridad
Gestión de la calidad para garantizar el cumplimiento e informar sobre él
El incumplimiento de estos requisitos podría dar lugar a la exclusión del mercado europeo, así como a fuertes multas. Es probable que las multas varíen, dependiendo del tamaño de la empresa, desde 7,5 millones de euros o el 1,5% de la facturación anual hasta 35 millones de euros o el 7% de la facturación anual.
A pesar del trabajo adicional que crea la Ley de IA de la UE, también tiene beneficios. Por ejemplo, prevé la creación de sandboxes regulatorios, ayudándole a probar aplicaciones fuera del marco regulatorio.
Y volviendo a los primeros principios, la Ley de IA de la UE tiene como objetivo hacer que la IA sea menos vulnerable, protegiendo su negocio, sus clientes y el público. Lo hace exigiendo la seguridad Prácticas de desarrollo de IA, evaluaciones periódicas de la seguridad, y transparencia y rendición de cuentas en los sistemas de IA. Pero con la complejidad de los entornos multinube actuales, es más fácil decirlo que hacerlo.
¿Cuáles son algunas de las mejores prácticas para el cumplimiento de la Ley de IA de la UE?
Esto es lo que debes hacer para asegurarte de que estás siguiendo los requisitos de la Ley de IA de la UE:
Lleve a cabo evaluaciones de riesgos exhaustivas, incluida la asignación de todo su entorno para marcar los datos de sombra y especialmente la IA en la sombra.
Poner en marcha medidas sólidas de protección de datos como una solución de gestión de la postura de seguridad de los datos (DSPM) para proteger cualquier dato que esté siendo utilizado por la IA.
Verificar la transparencia y la explicabilidad, lo que significa que debe ser posible interpretar y comprender los resultados de los sistemas de IA.
Actualizar y mantener la documentación técnica como parte de un compromiso con la transparencia.
Establezca una gobernanza y supervisión efectivas, incluidos verificadores de cumplimiento automatizados que señalarán rápidamente los problemas potenciales.
Según un informe de KPMG, una de las mejores maneras de reducir drásticamente el trabajo involucrado en las pruebas y la documentación es "aprovechar las soluciones automatizadas de detección, análisis e inteligencia de amenazas". Recomiendan una solución automatizada para manejar "el mapeo de cumplimiento, el seguimiento de obligaciones y la gestión del flujo de trabajo".
Ese tipo de herramientas y más se pueden encontrar como parte de un plataforma de protección de aplicaciones nativas en la nube, o CNAPP. Eso hace que encontrar una CNAPP que funcione para su organización sea una de las mejores decisiones que puede tomar cuando se trata de simplificar el cumplimiento de la IA de la UE.
El futuro de la regulación de la IA
Es probable que otras jurisdicciones fuera de la UE introduzcan leyes similares. En Estados Unidos, por ejemplo, los estados y las agencias federales están explorando la regulación de la IA, especialmente en torno a los vehículos autónomos y la atención médica. China, Canadá, Japón, Reino Unido y otros países también están considerando medidas regulatorias. Pero la buena noticia es que una vez que cumpla con la Ley de IA de la UE, probablemente será más fácil cumplir con otros estándares.
Si ya está utilizando soluciones de IA, o se está moviendo en esa dirección, la responsabilidad del uso ético y responsable de la IA recae sobre sus hombros. Debe mitigar los posibles daños a los usuarios finales, a su propia organización y a terceros.
En un momento en el que la mayoría de las herramientas luchan por ponerse al día con la vanguardia de la IA, hay una plataforma que ya te cubre las espaldas: Wiz. La plataforma Wiz ofrece un Solución AI-SPM que proporciona un enfoque unificado para el riesgo de seguridad y el cumplimiento de la IA bajo un único paraguas fácil de gestionar.
Wiz encuentra y monitorea rápidamente la seguridad y el cumplimiento en todos sus servicios y tecnologías de IA, como Amazon SageMaker, OpenAI, TensorFlow Hub y más.
Visibilidad de toda la pila en las canalizaciones de IA
Detección rápida de errores de configuración de la IA
Protección de datos confidenciales de entrenamiento de IA
La Ley de Inteligencia Artificial de la UE tiene como objetivo garantizar que el escenario de pesadilla —la tecnología desbocada, como en esas películas de ciencia ficción— nunca se haga realidad. Y Wiz mantiene su negocio seguro de los mayores riesgos de hoy con visibilidad integral, evaluación de riesgos y medidas de seguridad, todo detrás de un solo panel.
Wiz no se detiene en el cumplimiento. Con un contexto profundo de una variedad de herramientas de seguridad, tendrá una visión completa de las vulnerabilidades, las identidades, las exposiciones de red, el malware, los datos y los secretos expuestos, y la automatización para comenzar a mitigar cualquier incidente de seguridad antes de que se convierta en un problema.
La Ley de Inteligencia Artificial de la UE tiene como objetivo garantizar que el escenario de pesadilla —la tecnología desbocada, como en esas películas de ciencia ficción— nunca se haga realidad. Y Wiz mantiene su negocio seguro de los mayores riesgos de hoy con visibilidad integral, evaluación de riesgos y medidas de seguridad, todo detrás de un solo panel.
No dejes que el riesgo o la regulación te impidan alcanzar todos los beneficios que la IA ofrece a tu negocio. Obtén una demo de Wiz para ver lo fácil que es proteger la IA en todo su SDLC.
Accelerate AI Innovation, Securely
Learn why CISOs at the fastest growing companies choose Wiz to secure their organization's AI infrastructure.
