Ley de AI: cómo convertirse en operador autorizado de AI y protegerse de futuras sanciones

Puntos clave que debe recordar

• La Ley de IA introduce un enfoque basado en el riesgo, con obligaciones reforzadas para los llamados sistemas de IA de «alto riesgo» utilizados en áreas sensibles.
• Las empresas afectadas no son sólo los desarrolladores, sino también los implantadores de la IA, responsables de su uso, del control humano y de la conservación de las pruebas.
• La conformidad se basa en la capacidad de demostrar la trazabilidad del sistema a lo largo de su ciclo de vida (documentación, registro, control humano).
• El sellado de tiempo cualificado y el archivado probatorio son palancas clave para garantizar la integridad, la certeza de la fecha y la aplicabilidad de la prueba de conformidad.
• Anticiparse ahora a estos requisitos es esencial para limitar el riesgo de sanciones financieras elevadas y asegurar el funcionamiento futuro de los sistemas de IA.

La Ley de IA: un marco jurídico europeo para la IA regulada

El Reglamento (UE) 2024/1689 establece un enfoque novedoso: clasificar los sistemas de IA en función de su nivel de riesgo para los derechos fundamentales, la seguridad o la salud de las personas.

Existen cuatro categorías:

• Riesgo mínimo: sin restricciones particulares (por ejemplo, filtros antispam).
• Riesgo limitado: requisitos de transparencia para los usuarios (por ejemplo, chatbot).
• Alto riesgo: obligaciones estrictas en materia de documentación, trazabilidad y evaluación de la conformidad.
• Riesgo inaceptable: prohibición total del sistema (por ejemplo, calificación social).

El núcleo del sistema se basa en la categoría de «alto riesgo», que se rige por el capítulo III del Reglamento. Se aplica en particular a los sistemas utilizados en los siguientes ámbitos:

• Biometría e identificación a distancia (reconocimiento facial) ;
• Educación y orientación profesional ;
• Contratación y gestión de recursos humanos ;
• Acceso al crédito, a los seguros o a la asistencia social;
• Mantener el orden y hacer cumplir la ley ;
• Gestión de fronteras e inmigración ;
• Administración de justicia.

El criterio desencadenante no es sólo el uso de la IA, sino también su impacto potencial en los derechos fundamentales (como la protección de la intimidad, la no discriminación, el acceso a un recurso efectivo o la libertad de expresión). Por tanto, una herramienta de ayuda a la toma de decisiones utilizada por un servicio público o una empresa puede entrar en la categoría de «alto riesgo» si influye en el curso de una vida o en una situación jurídica.

¿Quiénes son los operadores de IA afectados por la Ley de IA?

LaLey de la IA no sólo se dirige a los desarrolladores de tecnología. Identifica varios tipos de operadores implicados en el ciclo de vida de los sistemas de inteligencia artificial.

Dos perfiles constituyen el núcleo del sistema regulador:

Proveedores

Son las entidades que desarrollan o han desarrollado un sistema de IA con el objetivo de comercializarlo o utilizarlo bajo su propio nombre. Pueden ser editores de software, nuevas empresas de IA o fabricantes que integran un sistema de IA en un producto existente (por ejemplo, el diagnóstico asistido en un dispositivo médico).

Desplegadores

Son los usuarios profesionales de los sistemas de IA que ya están en el mercado. No han desarrollado necesariamente el sistema, pero lo utilizan para tomar decisiones o automatizar procesos como parte de su negocio.

Las obligaciones impuestas varían según la posición en la cadena de valor. En concreto, un proveedor tendrá que demostrar la solidez de su sistema, presentar una documentación completa, realizar una evaluación de la conformidad y conservar un expediente técnico durante diez años. Los instaladores, por su parte, deberán asegurarse de que el sistema se utiliza de acuerdo con las instrucciones, garantizar un control humano eficaz, realizar un seguimiento posterior a la instalación y conservar los registros de actividad durante al menos seis meses.

Estas obligaciones se aplican a muchos sectores de actividad. Una empresa de servicios de RRHH que utilice la IA para preseleccionar a los solicitantes de empleo, un establecimiento sanitario que utilice una herramienta de diagnóstico, un banco que automatice el análisis de las solicitudes de crédito o una empresa energética que optimice su distribución mediante un sistema predictivo: todas estas estructuras, en cuanto despliegan un sistema de IA en un ámbito sensible, pueden entrar en la categoría de «alto riesgo». Aunque no desarrollen ellas mismas la herramienta, siguen estando sujetas a las obligaciones aplicables a su papel de implantadoras.

¿Cómo puedo convertirme en operador certificado de IA para sistemas de alto riesgo?

El reglamento no crea formalmente un procedimiento de homologación. Sin embargo, sí impone una serie de requisitos antes de que el sistema pueda comercializarse o utilizarse legalmente. El cumplimiento de estos requisitos es una condición previa para la autorización de explotación del sistema.

Las principales obligaciones incluyen :

Documentación técnica y expediente de conformidad (art. 11 y 18)

El proveedor debe compilar un archivo que detalle el diseño, el rendimiento, los mecanismos de gestión de riesgos, los resultados de las pruebas, etc. Este archivo debe conservarse durante al menos diez años. Este archivo debe conservarse durante al menos diez años.

Registro automático (art. 12)

Los sistemas de alto riesgo deben incorporar funciones de registro automático de eventos significativos: entradas, salidas, decisiones, alertas, etc. El objetivo es garantizar la trazabilidad técnica de la actividad del sistema a lo largo de su ciclo de vida.

Conservación de periódicos (art. 19)

Los registros recogidos de esta forma deben conservarse durante al menos seis meses, en condiciones que garanticen su integridad y accesibilidad.

Mecanismos de control humano

El sistema debe permitir que un operador humano intervenga o cuestione una decisión. Este control no debe ser puramente teórico.

Evaluación de la conformidad y marcado CE

Antes de comercializar cualquier producto, debe ser evaluado. Esto puede llevarse a cabo internamente (en determinados casos) o por un organismo notificado. Si el sistema se considera conforme, recibe la marca CE.

La lógica es clara: cuanto mayor es el riesgo, mayor es la carga de la prueba para el operador. No basta con decir que el sistema es seguro. Hay que demostrarlo.

Sellado de tiempo cualificado y archivo: palancas prácticas para el cumplimiento de la normativa

En la actualidad, la Ley de AI no exige expresamente el uso de un sellado de tiempo cualificado ni de un sistema de archivo conforme. Sin embargo, estas herramientas son una extensión natural de los requisitos reglamentarios.

El artículo 12, que exige el registro automático, es especialmente estructurante. Prevé una trazabilidad completa de la actividad del sistema de IA. Pero esta trazabilidad sólo tiene valor si las pruebas recogidas son fiables, están selladas en el tiempo y son inalterables.

Aquí es donde entran en juego el sellado de tiempo cualificado y el archivo probatorio. Estos dos mecanismos técnicos garantizan :

• laintegridad de los datos recopilados (registros, informes, versiones de modelos, artefactos técnicos) ;
• su fecha cierta, que puede utilizarse contra un tercero (mediante el sellado de tiempo);
• Almacenamiento a largo plazo, utilizando formatos duraderos, verificables y legalmente reconocidos (mediante archivo electrónico).

Según la legislación europea, el sellado de tiempo cualificado goza de una presunción de fiabilidad en virtud del reglamento eIDAS. Se trata del máximo nivel de seguridad para fechar un evento digital. Combinado con un sistema de archivo que cumpla las normas (NF Z42-013, ISO 14641), es una verdadera palanca para el cumplimiento proactivo.

Nota: se espera en breve una norma armonizada sobre el registro de IA. Deberá especificar los procedimientos técnicos de registro previstos por la Ley de AI. Es muy probable que esta norma haga referencia expresa a mecanismos cualificados de sellado de tiempo y archivo. Prepararse hoy para estos avances significa adelantarse a los acontecimientos.

Sanciones en virtud de la Ley de AI: por qué debe pensar ya en el futuro

El reglamento prevé un sistema graduado de sanciones, aunque potencialmente oneroso para las empresas afectadas. El artículo 71 especifica los importes aplicables en caso de incumplimiento de las obligaciones.

• por incumplimiento de los requisitos aplicables a los sistemas de alto riesgo: hasta 15 millones de euros o el 3% de la facturación mundial, la cifra que sea mayor;
• por facilitar información inexacta, incompleta o engañosa: hasta 7,5 millones de euros o el 1% de la facturación mundial.

Estos importes deben evaluarse a la luz del calendario de aplicación progresiva:

• Agosto de 2024: entrada en vigor formal del reglamento.
• Agosto de 2025: designación de las autoridades nacionales competentes e inicio del régimen de sanciones.
• Agosto de 2026: los requisitos para los sistemas de alto riesgo pasan a ser de obligado cumplimiento.
• 2030: fin del periodo transitorio para los sistemas de IA utilizados en el sector público.

En Francia, se espera que la CNIL, la ANSSI y la DGCCRF desempeñen un papel en la aplicación del texto. La legislación nacional deberá especificar cómo colaborarán estos organismos.

Conclusión

El reglamento de la Ley de IA marca un importante avance en la legislación digital europea. Exige a los operadores de IA que sean vigilantes, transparentes y responsables. Para los agentes sujetos a obligaciones de «alto riesgo», el cumplimiento no puede decretarse: debe demostrarse, prueba por prueba.

En este contexto, el sellado de tiempo cualificado y el archivado seguro son algo más que herramientas técnicas. Se convierten en garantías de trazabilidad y palancas de cumplimiento. En la encrucijada de la ciberseguridad, las pruebas digitales y la reglamentación, estas soluciones permiten a los operadores anticiparse, documentar y protegerse contra los litigios y las sanciones.

En términos más generales, están contribuyendo a restablecer la confianza en el uso de la IA.