Ley de IA de la UE: Proveedores ante Incertidumbre y Obstáculos a la Innovación
A partir del 2 de agosto de 2025, los proveedores de modelos de inteligencia artificial de propósito general (GPAI) que operen dentro de la Unión Europea deberán cumplir con las disposiciones clave de la Ley de IA de la UE. Estos requisitos incluyen mantener documentación técnica actualizada y resúmenes de los datos de entrenamiento.
La Ley de IA de la UE está diseñada para garantizar el uso seguro y ético de la IA en todo el bloque, adoptando un enfoque basado en el riesgo que categoriza los sistemas de IA según su impacto potencial en los ciudadanos. Sin embargo, a medida que se acerca la fecha límite, los proveedores de IA y los expertos legales están expresando importantes preocupaciones sobre la falta de claridad de la legislación. Esta ambigüedad, argumentan, podría exponer a las empresas a sanciones incluso cuando tienen la intención de cumplir, y algunos requisitos pueden obstaculizar la innovación, particularmente para las nuevas empresas tecnológicas.
Oliver Howley, socio del departamento de tecnología del bufete de abogados Proskauer, destaca estos problemas. “En teoría, el 2 de agosto de 2025 debería ser un hito para la IA responsable”, afirmó. “En la práctica, está creando una incertidumbre significativa y, en algunos casos, una verdadera vacilación comercial.”
La Legislación Poco Clara Crea Desafíos para los Proveedores de IA
Los proveedores de modelos de IA en la UE están lidiando con una legislación que “deja demasiado abierto a la interpretación”, señala Howley. Si bien los principios subyacentes podrían ser alcanzables, la redacción de alto nivel introduce una ambigüedad genuina. Por ejemplo, la Ley define los modelos GPAI como aquellos que tienen una “generalidad significativa” sin umbrales precisos, y exige a los proveedores que publiquen resúmenes “suficientemente detallados” de los datos de entrenamiento. Esta vaguedad plantea un dilema: divulgar demasiados detalles podría arriesgar la revelación de propiedad intelectual valiosa o desencadenar disputas de derechos de autor.
Algunos requisitos también presentan estándares poco realistas. El Código de Prácticas de IA, un marco voluntario para que las empresas se alineen con la Ley, aconseja a los proveedores de modelos GPAI que filtren de sus datos de entrenamiento los sitios web que hayan optado por no participar en la minería de datos. Howley describe esto como “un estándar que ya es bastante difícil de cumplir en el futuro, y mucho menos de forma retroactiva.”
Además, la Ley carece de claridad sobre quién asume la carga del cumplimiento. Howley pregunta: “Si usted ajusta un modelo de código abierto para una tarea específica, ¿es ahora el ‘proveedor’? ¿Qué pasa si simplemente lo aloja o lo integra en un producto descendente? Eso importa porque afecta a quién recae la carga del cumplimiento.”
Si bien los proveedores de modelos GPAI de código abierto están exentos de algunas obligaciones de transparencia, esta exención no se aplica si plantean un “riesgo sistémico”. En tales casos, se enfrentan a requisitos más rigurosos, que incluyen pruebas de seguridad, “red-teaming” (ataques simulados para identificar vulnerabilidades) y monitoreo posterior al despliegue. Sin embargo, la naturaleza del código abierto hace que el seguimiento de todas las aplicaciones descendentes sea casi imposible, pero el proveedor original aún podría ser considerado responsable de resultados perjudiciales.
Requisitos Engorrosos e Impacto en la Innovación
Crece la preocupación de que los requisitos de transparencia puedan exponer secretos comerciales y sofocar la innovación en Europa. Si bien grandes actores como OpenAI, Anthropic y Google se han comprometido con el Código de Prácticas voluntario, Google ha expresado estas preocupaciones, y Meta se ha negado públicamente a firmar el Código en protesta.
Howley observa que algunas empresas ya están retrasando lanzamientos de productos o limitando el acceso al mercado de la UE, no por desacuerdo con los objetivos de la Ley, sino porque la vía de cumplimiento no está clara y los costos potenciales de incumplimiento son demasiado altos. Las startups, que carecen de soporte legal interno para una documentación exhaustiva, son particularmente vulnerables.
“Para los desarrolladores en etapa inicial, el riesgo de exposición legal o de reversión de funciones puede ser suficiente para desviar la inversión de la UE por completo”, advierte Howley. Sugiere que, si bien los objetivos de la Ley son encomiables, su implementación podría ralentizar inadvertidamente la misma innovación responsable que pretende fomentar. Esto también tiene implicaciones geopolíticas potenciales, ya que la oposición de la administración estadounidense a la regulación de la IA contrasta con el impulso de la UE por la supervisión, lo que podría tensar las relaciones comerciales si los proveedores con sede en EE. UU. enfrentan acciones de cumplimiento.
Enfoque Limitado en el Sesgo y el Contenido Dañino
A pesar de los importantes requisitos de transparencia, la Ley carece de umbrales obligatorios de precisión, fiabilidad o impacto en el mundo real. Howley señala que incluso los modelos de riesgo sistémico no se regulan en función de sus resultados reales, sino de la solidez de su documentación. “Un modelo podría cumplir todos los requisitos técnicos… y aun así producir contenido dañino o sesgado”, afirma.
Disposiciones Clave Efectivas a Partir del 2 de Agosto de 2025
A partir del 2 de agosto de 2025, los proveedores de modelos GPAI deben cumplir con reglas específicas en cinco áreas clave:
Organismos Notificados: Los proveedores de modelos GPAI de alto riesgo deben prepararse para interactuar con “organismos notificados” para las evaluaciones de conformidad. Los sistemas de IA de alto riesgo son aquellos que representan una amenaza significativa para la salud, la seguridad o los derechos fundamentales. Esto incluye la IA utilizada como componentes de seguridad en productos regulados por la UE o desplegada en contextos sensibles como la identificación biométrica, la infraestructura crítica, la educación, el empleo y la aplicación de la ley.
Modelos GPAI: Todos los proveedores de modelos GPAI deben mantener documentación técnica, un resumen de los datos de entrenamiento, una política de cumplimiento de derechos de autor, orientación para los implementadores descendentes y medidas de transparencia que describan las capacidades, limitaciones y el uso previsto. Los modelos GPAI que plantean “riesgo sistémico” —definidos como aquellos que superan 10^25 operaciones de punto flotante (FLOPs) durante el entrenamiento y designados como tales por la Oficina de IA de la UE (por ejemplo, ChatGPT de OpenAI, Llama de Meta, Gemini de Google)— se enfrentan a obligaciones más estrictas. Estas incluyen evaluaciones de modelos, informes de incidentes, estrategias de mitigación de riesgos, salvaguardias de ciberseguridad, divulgación del uso de energía y monitoreo posterior a la comercialización.
Gobernanza: Esta sección define la estructura reguladora y de aplicación tanto a nivel de la UE como nacional. Los proveedores de modelos GPAI deben cooperar con organismos como la Oficina de IA de la UE y las autoridades nacionales en el cumplimiento, la respuesta a las solicitudes de supervisión y la participación en el monitoreo de riesgos y la notificación de incidentes.
Confidencialidad: Las solicitudes de datos de los proveedores de modelos GPAI por parte de las autoridades deben estar legalmente justificadas, manejarse de forma segura y estar sujetas a protecciones de confidencialidad, particularmente para la propiedad intelectual, los secretos comerciales y el código fuente.
Sanciones: El incumplimiento puede dar lugar a multas sustanciales. Las violaciones de las prácticas de IA prohibidas (por ejemplo, manipulación del comportamiento humano, puntuación social, identificación biométrica pública en tiempo real) pueden incurrir en sanciones de hasta 35 millones de euros o el 7% del volumen de negocios anual total a nivel mundial, lo que sea mayor. Otras infracciones, como las relacionadas con la transparencia o la gestión de riesgos, pueden resultar en multas de hasta 15 millones de euros o el 3% del volumen de negocios. Suministrar información engañosa o incompleta a las autoridades puede dar lugar a multas de hasta 7,5 millones de euros o el 1% del volumen de negocios. Para las PYMES y las startups, se aplica la cantidad fija o el porcentaje más bajo. Las sanciones consideran la gravedad, el impacto, la cooperación y la intención de la infracción.
Es importante tener en cuenta que, si bien estas obligaciones comienzan el 2 de agosto de 2025, se aplica un período de gracia de un año, lo que significa que las sanciones por incumplimiento no se aplicarán hasta el 2 de agosto de 2026.
Implementación por Fases de la Ley de IA de la UE
La Ley de IA de la UE se publicó el 12 de julio de 2024 y entró en vigor el 1 de agosto de 2024, pero sus disposiciones se están aplicando en fases:
2 de febrero de 2025: Se prohibieron ciertos sistemas de IA considerados de riesgo inaceptable (por ejemplo, puntuación social, vigilancia biométrica en tiempo real en público). Las empresas también deben asegurarse de que su personal tenga un nivel suficiente de alfabetización en IA.
2 de agosto de 2026: Comienzan formalmente los poderes de aplicación. Los modelos GPAI comercializados después del 2 de agosto de 2025 deben cumplir. Las reglas para ciertos sistemas de IA de alto riesgo listados también se aplican a aquellos comercializados después de esta fecha, o a aquellos sustancialmente modificados desde entonces.
2 de agosto de 2027: Los modelos GPAI comercializados antes del 2 de agosto de 2025 deben lograr el pleno cumplimiento. Los sistemas de alto riesgo utilizados como componentes de seguridad en productos regulados por la UE también deben cumplir con obligaciones más estrictas.
2 de agosto de 2030: Los sistemas de IA utilizados por organizaciones del sector público que caen en la categoría de alto riesgo deben cumplir plenamente.
31 de diciembre de 2030: Los sistemas de IA que son componentes de sistemas de TI de la UE a gran escala específicos, comercializados antes del 2 de agosto de 2027, deben ponerse en cumplimiento.
A pesar de los llamamientos de gigantes tecnológicos como Apple, Google y Meta para posponer la implementación de la Ley al menos dos años, la UE ha rechazado esta solicitud.