La Ley de IA de la UE inicia fase clave, impactando modelos GPAI
La histórica Ley de IA de la Unión Europea ha entrado en una nueva fase crítica de aplicación, que configura significativamente cómo las empresas diseñan y despliegan sistemas de inteligencia artificial que interactúan o son utilizados por los residentes europeos. Esto marca un año desde que la ambiciosa legislación, propuesta inicialmente por la Comisión Europea en 2021 y aprobada formalmente en marzo de 2024, comenzó su implementación por fases. La etapa inicial, que comenzó en febrero de 2025, impuso prohibiciones directas sobre ciertas aplicaciones de IA consideradas de riesgo inaceptable, como el raspado indiscriminado de imágenes faciales de internet o de grabaciones de circuitos cerrados de televisión.
A partir del 2 de agosto, la segunda fase de aplicación ya está activa, introduciendo dos requisitos fundamentales. En primer lugar, exige que todos los estados miembros de la UE establezcan sus autoridades nacionales responsables de la notificación y supervisión de los sistemas de IA. En segundo lugar, y quizás más impactante para la industria tecnológica global, esta fase inicia la aplicación de regulaciones relativas a los modelos de “IA de propósito general” (GPAI). Esta categoría abarca sistemas de IA fundamentales como los grandes modelos de lenguaje y los sistemas avanzados de visión por computadora, que sirven como bloques de construcción para una vasta gama de aplicaciones.
Para los proveedores de modelos GPAI, la Ley de IA ahora exige mayor transparencia y rendición de cuentas. Las estipulaciones clave incluyen la divulgación de datos de entrenamiento y licencias de uso. Esto significa que los proveedores deben proporcionar un resumen detallado del contenido utilizado para entrenar sus modelos, junto con pruebas verificables de consentimiento de las personas que generaron esos datos de entrenamiento. Como enfatizó Thomas Regnier, portavoz de la Comisión Europea, “Las fuentes utilizadas para entrenar un modelo de IA de propósito general que se pone a disposición de los usuarios en Europa tendrán que estar claramente documentadas. Si están protegidas por derechos de autor, los autores tendrán que ser remunerados y, sobre todo, se deberá obtener su consentimiento”. Además, para los modelos GPAI identificados como portadores de un “riesgo sistémico”, los proveedores deben demostrar sus metodologías de evaluación, detallar sus estrategias de mitigación de riesgos e informar de cualquier incidente grave que pueda ocurrir.
Estas nuevas regulaciones se aplican inmediatamente a cualquier nuevo modelo GPAI puesto en producción después del 2 de agosto de 2025. Sin embargo, la Comisión Europea ha concedido un período de gracia de un año para los modelos GPAI existentes que ya están en producción de grandes actores como los gigantes tecnológicos estadounidenses Google, OpenAI, Meta y Anthropic, así como la firma europea de IA Mistral, antes de que comience la aplicación total para ellos. El incumplimiento de la nueva ley conlleva sanciones financieras sustanciales, que van desde 7,5 millones de euros (aproximadamente 8,1 millones de dólares) o el 1% de la facturación de una empresa, hasta 35 millones de euros (aproximadamente 38 millones de dólares) o el 7% de los ingresos globales. Estas importantes multas ya son activamente aplicables.
En un esfuerzo por facilitar el cumplimiento, la Comisión Europea publicó el mes pasado el Código de Prácticas de IA de la UE, un marco voluntario diseñado para guiar a las empresas sobre sus obligaciones en materia de seguridad, transparencia y derechos de autor de la IA. Si bien muchas empresas tecnológicas estadounidenses destacadas y firmas europeas de IA han firmado este código, algunas han expresado reservas o se han negado rotundamente. Google, por ejemplo, firmó el código pero expresó preocupaciones en una publicación de blog, afirmando: “seguimos preocupados de que la Ley de IA y el Código corran el riesgo de ralentizar el desarrollo y la implementación de la IA en Europa. En particular, las desviaciones de la ley de derechos de autor de la UE, los pasos que ralentizan las aprobaciones o los requisitos que exponen secretos comerciales podrían frenar el desarrollo y la implementación de modelos europeos, dañando la competitividad de Europa”. Mientras tanto, Meta, la empresa matriz de Facebook, declaró explícitamente que no firmaría el Código de Prácticas. Joel Kaplan, jefe de la oficina de asuntos globales de Meta, afirmó que “Europa va por el camino equivocado en materia de IA”.
De cara al futuro, la siguiente fase de aplicación de la Ley de IA se dirigirá a los sistemas de IA de “alto riesgo”, que la Comisión Europea define como aquellos utilizados en dominios sensibles como la aplicación de la ley, la educación, la infraestructura crítica y la calificación crediticia. Las organizaciones que desplieguen este tipo de sistemas deberán implementar salvaguardias estrictas antes de su despliegue, incluyendo la realización de evaluaciones de riesgo exhaustivas para garantizar que no violen los derechos fundamentales, el establecimiento de protocolos de monitoreo robustos, el mantenimiento de registros detallados de las actividades del sistema de IA y la garantía de que el personal de soporte esté adecuadamente capacitado. El enfoque multifase de la UE subraya su determinación de establecer un marco regulatorio integral para la inteligencia artificial, equilibrando la innovación con estrictos estándares éticos y de seguridad.