Noruega está en proceso de implementar el Reglamento de IA de la UE — y ahora se advierte a las empresas que no repitan los errores costosos que marcaron la introducción del Reglamento General de Protección de Datos (GDPR) hace casi diez años. Este es el mensaje de un comentario publicado en Dagens Næringsliv, donde el tono es claro: prepárese ahora, o pague el precio después.
¿Qué es la Ley de IA y qué exige?
El Reglamento de IA de la UE es el primer marco legal integral del mundo que regula la inteligencia artificial según el nivel de riesgo. Los sistemas se dividen en categorías de riesgo inaceptable, alto riesgo, riesgo limitado y riesgo mínimo — con los requisitos más estrictos para los sistemas de alto riesgo, que incluyen desde diagnósticos médicos hasta herramientas de contratación e infraestructura crítica.
Para las empresas noruegas, esto significa concretamente que una serie de soluciones de IA que ya utilizan — o planean utilizar — deberán documentarse, probarse y, en algunos casos, aprobarse antes de poder ponerse en funcionamiento.
El error del GDPR que nadie quiere repetir
Cuando el GDPR entró en vigor en 2018, muchas empresas no estaban preparadas. Según una investigación sobre la implementación del GDPR, el trabajo de cumplimiento resultó en costos muy elevados: a nivel global, Ernst & Young estimó que las 500 empresas más grandes del mundo gastaron cerca de 8 mil millones de dólares en cumplir con la normativa solo en el año de su introducción.
Para las empresas medianas, los costos continuos han oscilado entre uno y diez millones de coronas noruegas anuales, dependiendo de la naturaleza de la empresa y el volumen de datos. Desde 2018, las autoridades de supervisión europeas han impuesto multas por un total de más de 7.1 mil millones de euros distribuidas en más de 1.560 decisiones.
Pero tan grave como las multas fue la confusión: directrices vagas, conceptos indefinidos y autoridades de supervisión con recursos insuficientes crearon incertidumbre durante años después de su introducción.
Las autoridades de supervisión — una crítica recurrente
Uno de los problemas más repetidos de las experiencias con el GDPR es que las autoridades nacionales de supervisión simplemente no tenían los recursos para hacer cumplir la normativa de manera efectiva. La Agencia de los Derechos Fundamentales de la UE (FRA) señaló tan recientemente como en junio de 2024 que la falta de financiación y la escasez de personal impedían a las autoridades de protección de datos cumplir sus mandatos.
En el caso de la Ley de IA, es probable que estas mismas autoridades asuman la responsabilidad de un marco regulatorio aún más exigente tecnológicamente. Hay pocos indicios de que la situación de los recursos haya mejorado significativamente — y eso preocupa a los expertos.
7.1 mil millones €Multas totales del GDPR desde 20188 mil millones $Lo que las 500 empresas más grandes del mundo gastaron en cumplimiento del GDPR en 2018
¿Qué deben hacer ahora los actores noruegos?
La advertencia de Dagens Næringsliv no es nueva, pero es oportuna. La implementación de la Ley de IA ya está en marcha en la UE, y Noruega, como miembro del EEE, tendrá que introducir la normativa — el momento aún no está claro, pero las empresas que esperen a que la ley esté formalmente en vigor corren el riesgo de encontrarse contra la pared.
Las medidas más importantes destacadas en la literatura especializada sobre las experiencias del GDPR son también relevantes aquí: identificar qué sistemas de IA utiliza la empresa, evaluar el nivel de riesgo, establecer rutinas de documentación y asegurarse de que la dirección esté involucrada — no solo el departamento de TI.
Para las empresas tecnológicas y startups noruegas que desarrollan productos de IA dirigidos al mercado europeo, también es crucial comprender que los requisitos se aplican al sistema, no solo al usuario. Esto significa que la responsabilidad del cumplimiento recae en gran medida en los desarrolladores.
Una oportunidad, no solo una carga
Cabe señalar que los comentaristas y expertos no ven la Ley de IA solo como un costo. Una regulación clara y creíble puede dar a los actores noruegos una ventaja en un mercado internacional donde la confianza en los sistemas de IA está bajo presión. Las empresas que ya tienen sus asuntos en orden estarán en una posición más sólida cuando los clientes empiecen a hacer preguntas sobre el cumplimiento.
Sin embargo, el mensaje es claro de quienes siguieron de cerca el proceso del GDPR: es mucho más caro arreglar que prepararse. Noruega lo ha visto una vez — no hay razón para verlo de nuevo.
Fuentes: Dagens Næringsliv, Agencia de los Derechos Fundamentales de la UE (FRA), informe GDPR de Ernst & Young 2018, investigación sobre los desafíos de implementación del GDPR.