La rápida adopción de sistemas de inteligencia artificial (IA) en múltiples sectores ha generado preocupaciones significativas sobre su impacto en los derechos fundamentales, especialmente en lo relativo a la privacidad y protección de los datos personales. Frente a esta realidad, la Unión Europea (UE) ha aprobado un marco legislativo pionero conocido como la Ley de Inteligencia Artificial (AI Act), cuyo objetivo es regular el desarrollo, implementación y uso de la IA dentro del territorio comunitario.

La ausencia de una normativa unificada generaba riesgos legales y técnicos. Por un lado, las organizaciones enfrentaban una inseguridad jurídica que ralentizaba la innovación. Por otro, los ciudadanos quedaban expuestos a usos indebidos de sus datos por sistemas opacos de IA, como los algoritmos de vigilancia masiva o los modelos de decisión automatizada sin supervisión humana adecuada.

Uno de los aspectos más críticos de esta situación era la ambigüedad respecto a cómo se debía aplicar el Reglamento General de Protección de Datos (RGPD) en el contexto de sistemas de IA. ¿Cómo se garantiza el principio de minimización de datos cuando se entrenan modelos con grandes volúmenes de información personal? ¿Qué significa la transparencia algorítmica cuando ni siquiera los desarrolladores comprenden completamente el comportamiento de sus sistemas?

La Ley de Inteligencia Artificial de la UE

Promulgada en 2024, la AI Act establece un marco jurídico basado en riesgos que categoriza los sistemas de IA según su nivel de impacto potencial sobre los derechos fundamentales. Esta clasificación determina los requisitos legales y técnicos aplicables. A continuación, desglosamos sus elementos clave, con foco en la protección de datos:

1. Clasificación basada en niveles de riesgo

• Riesgo inaceptable: prohibidos. Incluyen sistemas de manipulación subliminal, puntuación social por parte de gobiernos, y vigilancia biométrica en tiempo real en espacios públicos sin base legal clara.
• Alto riesgo: sujetos a estrictos controles antes y durante su despliegue. Ejemplos: IA usada en procesos de contratación, sistemas educativos, evaluaciones de crédito, y salud.
• Riesgo limitado: se requiere transparencia. Por ejemplo, chatbots deben indicar que son IA.
• Riesgo mínimo: sin restricciones específicas. Incluye sistemas como filtros de spam.

2. Requisitos técnicos para sistemas de alto riesgo

Los sistemas de IA considerados de alto riesgo deben cumplir con obligaciones como:

• Gestión de datos: La calidad y gobernanza de los datos es fundamental. Se deben evitar sesgos, mantener la relevancia y representar correctamente a los grupos sociales implicados.
• Documentación y trazabilidad: Registros exhaustivos de los procesos de diseño, entrenamiento, pruebas y uso del sistema.
• Transparencia algorítmica: Explicabilidad suficiente para permitir auditorías y comprensión por parte de autoridades y usuarios finales.
• Supervisión humana: Los sistemas no deben operar de forma completamente autónoma en contextos críticos. Se requiere intervención y supervisión humana significativa.
• Ciberseguridad: Mecanismos de protección contra accesos no autorizados, manipulación de modelos o extracción de datos.

3. Protección de datos personales

En este ámbito, el AI Act se apoya en el RGPD, pero introduce requisitos adicionales. Entre los más relevantes:

a. Minimización y calidad de los datos

Los sistemas de IA deben utilizar únicamente los datos estrictamente necesarios. Además, los datos deben ser exactos y actualizados. El diseño de los datasets debe considerar la diversidad para evitar sesgos y asegurar la equidad.

b. Evaluaciones de impacto sobre la protección de datos (DPIA)

La Ley exige una evaluación específica para sistemas de alto riesgo, en coordinación con las DPIA requeridas por el RGPD. Estas evaluaciones deben analizar los efectos del tratamiento automatizado sobre los derechos de los interesados, incluyendo la posibilidad de resultados discriminatorios.

c. Prohibición de uso de datos biométricos sensibles sin consentimiento explícito

Aunque el RGPD ya limita el tratamiento de datos biométricos, el AI Act refuerza esta protección prohibiendo su uso en contextos de vigilancia masiva sin base legal clara o consentimiento informado.

d. Obligación de anonimización o seudonimización de datos

Antes de entrenar sistemas de IA con datos personales, estos deben ser anonimizados o, en su defecto, seudonimizados siguiendo las directrices del Comité Europeo de Protección de Datos (CEPD).

4. Gobernanza y cumplimiento

La AI Act prevé la creación de autoridades nacionales de supervisión, además de una Oficina Europea de IA. Estas entidades estarán encargadas de:

• Supervisar el cumplimiento de los requisitos.
• Aplicar sanciones en caso de infracción (hasta 30 millones de euros o el 6% del volumen de negocio global).
• Coordinarse con autoridades de protección de datos y de consumidores.

También se promueve la creación de códigos de conducta voluntarios y certificaciones de conformidad para facilitar la adopción responsable.

5. Interoperabilidad con el RGPD y otras normativas

Uno de los puntos más complejos del AI Act ha sido su armonización con otras legislaciones existentes, en especial:

• RGPD: Se mantiene como marco de referencia para la protección de datos.
• Directiva NIS2: Complementa los requisitos de ciberseguridad para infraestructuras críticas que utilizan IA.
• Ley de Servicios Digitales (DSA) y Ley de Mercados Digitales (DMA): Aplican en contextos de plataformas online y big tech, reforzando el control sobre la recolección y uso de datos.

6. Retos técnicos y recomendaciones para la implementación

a. Transparencia técnica realista

Los desarrolladores deben documentar sus modelos con un enfoque práctico. No se trata solo de publicar papers, sino de entregar evidencias auditables sobre cómo funciona el sistema y cómo se entrenó.

b. Protección desde el diseño (privacy by design)

Los sistemas deben nacer con protecciones integradas, como el uso de aprendizaje federado, cifrado homomórfico, y técnicas de differential privacy.

c. Gobernanza algorítmica continua

Las organizaciones deben establecer procesos de revisión periódica, auditorías técnicas y mecanismos de feedback ciudadano.

7. Perspectivas futuras

A medida que los modelos fundacionales (como los grandes modelos de lenguaje) ganan protagonismo, es posible que la legislación evolucione para abordarlos más específicamente. El Parlamento Europeo ya debate medidas adicionales para modelos generativos, especialmente en cuanto a propiedad intelectual, desinformación y transparencia.

Conclusión

La Ley de Inteligencia Artificial de la UE marca un hito en la regulación tecnológica global. Su enfoque basado en riesgos y su énfasis en la protección de los datos personales sitúan a Europa como referente en el uso ético y seguro de la IA. Para las organizaciones, el cumplimiento de esta ley no es solo una obligación legal, sino una oportunidad para construir sistemas más confiables, seguros y respetuosos con los derechos humanos.

Referencia Oficial: https://eur-lex.europa.eu/eli/reg/2024/1689/oj