En agosto de 2024, entró en vigor el Reglamento Europeo de Inteligencia Artificial, también conocido por sus siglas en inglés como RAI. El objetivo principal de este acuerdo es fomentar el desarrollo y la implantación responsable de la inteligencia artificial (IA) en toda la Unión Europea.
La IA llegó para revolucionar el sector de las nuevas tecnologías. Actualmente, más del 24 por ciento de las empresas españolas ya utilizan alguna herramienta de IA, lo que supone una de cada cuatro compañías, según el III Informe sobre Transformación Digital de InfoJobs.
Una de las herramientas más usadas es ChatGPT, nacida en noviembre de 2022, que ya registra 200 millones de usuarios activos semanales en todo el mundo. De hecho, este sistema de chat basado en IA obtuvo más de 1,5 millones de visitantes durante el mes de febrero de este año, según datos publicados por UBS, compañía de servicios financieros.
Es importante tener cautela ante el uso de herramientas de IA como ChatGPT. Tenemos que ser conscientes de que, con el uso de estas aplicaciones estamos aportando unos datos que esta nueva tecnología usará más tarde para su beneficio.
Las organizaciones más afectadas por el RAI
El RAI incluye varias categorías de operadores: proveedores, representantes, distribuidores, importadores, proveedores posteriores y responsables de despliegue. Lo cierto es que las obligaciones más complejas derivadas de la aplicación del RAI no recaerán en las entidades que utilicen sistemas de IA como responsables de despliegue.
Si hablamos de las organizaciones más afectadas por el RAI, nos encontramos, por un lado, con los proveedores de sistemas IA de alto riesgo, que deben asumir un conjunto más complejo de obligaciones. Esto se debe a que son más susceptibles de causar daños para la salud, la seguridad o los derechos fundamentales de las personas. Se trata de sistemas con IA que están destinados a utilizarse como componentes de seguridad o que son sistemas de seguridad por sí mismos. Algunos ejemplos son los vehículos de motor, productos sanitarios, aviones civiles, juguetes, embarcaciones de recreo y motos acuáticas, ascensores…
Por otro lado, los sistemas independientes, como infraestructuras críticas, sistemas de identificación biométrica remota, sistemas utilizados en el ámbito educativo y de formación profesional, o sistemas utilizados en el ámbito de la selección de personal y laboral, entre otros, también son algunas de las organizaciones más afectadas por el RAI.
De este modo, las organizaciones deben tener en cuenta que, si no se adaptan a la normativa en los plazos previstos, podrían ser gravemente sancionadas con multas que, en los casos más graves, pueden alcanzar los 35 millones de euros o el siete por ciento del volumen de negocio total del ejercicio anterior, lo que suponga mayor cuantía.
Para aplicar correctamente el RAI, resulta imprescindible saber distinguir entre qué es la IA y qué no lo es
Consecuencias de la aprobación del RAI
Lo cierto es que la aprobación del nuevo RAI en la Unión Europea (y de otras normativas como el Reglamento DSA) ya ha tenido las primeras consecuencias para algunas marcas. La compañía Apple ha comunicado que la integración de su IA, conocida como Apple Intelligence, no se producirá en Europa, por lo menos, a corto plazo. A lo largo del año 2025, Apple Intelligence estará disponible en varios idiomas, entre los que se incluye el español, pero no estará operativa en la Unión Europea, debido a la política de Bruselas con respecto a la IA.
Para aplicar correctamente el RAI, resulta imprescindible saber distinguir entre qué es la IA y qué no lo es. El problema es que el concepto «inteligencia artificial» se está utilizando, en algunos casos, solo como una estrategia de marketing. Hacer referencia a la IA como componente de un producto o servicio despierta cierta fascinación y hace más atractiva su comercialización, aunque verdaderamente no la incorporen. Este uso indiscriminado puede dar lugar a una aplicación incorrecta del RAI, generando así confusión a la hora de determinar qué requisitos y obligaciones legales resultan verdaderamente exigibles en cada caso.
¿Qué riesgos implica el uso de la IA?
A pesar de la regulación europea de la IA, hay que tener en cuenta que su utilización expone a usuarios y empresas a una serie de peligros. En primer lugar, existen riesgos relacionados con el empleo que el proveedor de la IA generativa va a hacer de la información que se proporciona en los prompts (entradas de información que realizan los usuarios), debido a que se trata de un entorno no controlado.
Por ejemplo, OpenAI, empresa creadora del modelo GPT, declaró abiertamente que utilizaba los datos introducidos por los usuarios en ChatGPT tanto para reentrenar a sus modelos, como para ceder estos datos a posibles terceros.
También existen riesgos relacionados con incidentes de seguridad que pueden sufrir los proveedores de IA generativas, y que podrían comprometer la información sensible que se les proporciona en los prompts. De hecho, ChatGPT sufrió un incidente de seguridad en marzo de 2023 que, además de afectar a información confidencial general, afectó a datos de carácter personal y quedaron expuestas conversaciones de usuarios con la herramienta, así como datos de pago de sus suscriptores.
Por otro lado, hay que tener en cuenta que estas herramientas pueden generar resultados incorrectos, inventados o «alucinaciones», ya que no están siendo supervisadas de forma activa y continua por seres humanos a la hora de generar respuestas. Por tanto, será necesario que estas respuestas sean siempre supervisadas.
Finalmente, existen riesgos relacionados con la propiedad intelectual, debido a que no todas las creaciones realizadas a través de sistemas de IA tendrán protección. Esto es consecuencia de que la normativa en materia de propiedad intelectual requiere que, para que una obra se encuentre protegida, exista una creación humana relevante. Por lo tanto, a priori, podrían quedar sin protección obras generadas por IA con base en unos prompts básicos.
