AI Act — unha nova realidade regulatoria
A Unión Europea foi a primeira no mundo en crear unha regulación integral sobre intelixencia artificial. O Regulamento AI Act (Regulation (EU) 2024/1689) entrou en vigor o 1 de agosto de 2024 e aplícase por fases: as primeiras obrigas son efectivas dende o 2 de febreiro de 2025, a parte principal dende o 2 de agosto de 2026, e a aplicación completa dende o 2 de agosto de 2027. Toda empresa que implemente sistemas de IA nas súas operacións na UE debe familiarizarse con eles.
O AI Act non prohibe a intelixencia artificial — regúlaa cun enfoque baseado no risco. Canto maior é o risco, máis estritos son os requisitos. A maioría dos usos empresariais da IA encádranse nas categorías de risco baixo ou limitado, o que significa obrigas relativamente lixeiras. Pero hai áreas nas que os requisitos son moi rigorosos.
Calendario de entrada en vigor (Art. 113)
- 1 de agosto de 2024 — entrada en vigor do regulamento
- 2 de febreiro de 2025 — aplícanse as prohibicións de prácticas perigosas (Capítulo II, Art. 5) e a obriga de alfabetización en IA (Art. 4)
- 2 de agosto de 2025 — obrigas para provedores de modelos general-purpose AI (Capítulo V) e disposicións sobre autoridades de supervisión e sancións
- 2 de agosto de 2026 — aplícanse as obrigas para sistemas de alto risco (Capítulo III), a transparencia de chatbots e deepfakes (Art. 50), e os sandboxes regulatorios
- 2 de agosto de 2027 — aplicación completa, incluíndo as obrigas para sistemas de alto risco integrados en produtos suxeitos a regulacións harmonizadoras existentes da UE (Anexo I)
Clasificación do risco dos sistemas de IA
O AI Act divide os sistemas de IA en catro categorías de risco:
- Risco inaceptable (prohibido, Art. 5) — sistemas que manipulan o comportamento humano por debaixo do limiar da conciencia, social scoring por autoridades, vixilancia biométrica en tempo real (con excepcións), recoñecemento de emocións no traballo e na educación, perfilado criminal preditivo. Estes sistemas están prohibidos.
- Alto risco (Capítulo III, Art. 6-27) — IA usada en selección de persoal, concesión de crédito, sanidade, educación, administración de xustiza, infraestrutura crítica. Os requisitos máis estritos: documentación, testing, transparencia, supervisión humana, rexistro na base de datos da UE.
- Risco limitado (Art. 50) — chatbots, deepfakes, sistemas que xeran contido. Obriga de transparencia: o usuario debe saber que está falando cunha IA, e o contido xerado por IA debe estar marcado de forma lexible por máquina.
- Risco mínimo — a maioría dos usos da IA no mundo empresarial: filtros de spam, recomendacións de produtos, automatización de procesos internos. Obrigas mínimas ou inexistentes.
Quen é o provedor e quen é o usuario dun sistema de IA?
O AI Act distingue dous roles clave. O provedor (provider) é a entidade que crea e pon no mercado un sistema de IA. O deployer é a entidade que usa un sistema de IA na súa actividade económica. As obrigas son diferentes para cada rol — os provedores teñen requisitos máis rigorosos sobre documentación técnica e certificación.
Unha empresa que compra unha solución de IA xa feita dun provedor e a usa para os seus propios procesos é un deployer. Unha empresa que adapta ou fai fine-tuning dun modelo para os seus propios usos pode converterse en provedor con todas as consecuencias.
Obrigas dos deployers de sistemas de alto risco (Art. 26)
Se a túa empresa usa un sistema de IA de alto risco (por exemplo, un sistema de scoring no proceso crediticio, unha ferramenta de preselección de currículos, un sistema de apoio ao diagnóstico médico), debes:
- Garantir a supervisión humana sobre as decisións do sistema de IA
- Manter rexistros operativos durante un mínimo de 6 meses
- Realizar unha avaliación de impacto nos dereitos fundamentais (FRIA, Art. 27)
- Informar aos traballadores sobre os sistemas de IA que os afectan
- Comunicar incidentes graves e fallos á autoridade de supervisión competente
Sandboxes regulatorios (Art. 57-63)
O AI Act prevé sandboxes regulatorios — un mecanismo que permite ás empresas probar sistemas de IA innovadores baixo a supervisión dunha autoridade reguladora, nun contorno controlado. Cada Estado membro ten a obriga de activar polo menos un sandbox antes do 2 de agosto de 2026. Para as empresas que desenvolven solucións de IA en áreas de alto risco, é unha vía práctica para obter feedback dos reguladores antes da certificación completa.
Sancións (Art. 99)
As sancións por infracción do AI Act son graduais en función do tipo de infracción:
- ata 35 millóns EUR ou o 7% da facturación global anual (a cantidade maior) pola aplicación de prácticas prohibidas (Art. 5)
- ata 15 millóns EUR ou o 3% da facturación global anual por infraccións doutras obrigas do regulamento
- ata 7,5 millóns EUR ou o 1% da facturación global anual por proporcionar información falsa, incompleta ou enganosa ás autoridades de supervisión
Para as PEMES e startups aplícase a menor das dúas cantidades, para evitar unha carga desproporcionada.
Como ESKOM.AI apoia o cumprimento do AI Act
ESKOM.AI axuda ás organizacións a prepararse para os requisitos do AI Act. Ofrecemos auditoría dos sistemas de IA existentes para a clasificación do risco, elaboración de documentación técnica, implementación de mecanismos de supervisión humana e rexistro, así como formación para os equipos responsables do cumprimento. Cada nova implementación de IA na nosa execución está deseñada tendo en conta o cumprimento do AI Act dende o primeiro día.