Vanesa Alarcón Caparrós, Socia área TMT & IP. AGM Abogados
El pasado 2 de febrero de 2025 entró en vigor la primera fase de aplicación del Reglamento de Inteligencia Artificial en la Unión Europea (UE). Esto es, en Europa se da el primer paso hacia el camino para tener una IA lo más segura posible (con sus seguidores y detractores, como en todo).
En concreto significa que hay varios de los usos de IA que se venían dando en el mercado que pasarán a estar prohibidos y que las empresas que los sigan utilizando, podrán ser sancionadas por ello a corto-medio plazo. También supone adoptar una serie de deberes por parte de las empresas que utilizan la IA.
¿Qué prácticas de IA están prohibidas?
En general, de conformidad con lo que establece el artículo 5.1 de la AI Act, todas las prácticas que supongan la introducción en el mercado, la puesta en servicio o la utilización de un sistema de IA que provoque una alteración o afectación a una persona, varias o un colectivo de personas y que se encuentre dentro del siguiente listado:
- Un sistema que utilice técnicas subliminales que trasciendan la conciencia de una persona o que sean deliberadamente manipuladoras o engañosas. De este modo, técnicas que contribuyan a mermar de manera apreciable la capacidad para tomar una decisión informada, provocando que las personas tomen una decisión que, de otro modo no habrían tomado, o de un modo que provoquen o sea razonablemente probable que provoquen, perjuicios considerables a esas personas.
- Un sistema que explote alguna de las vulnerabilidades de una persona física o un determinado colectivo (por ejemplo, derivadas de su edad o discapacidad, de una situación social o económica específica), todo ello con la finalidad o el efecto de alterar de manera sustancial el comportamiento de dicha/s persona/s con un probable o real perjuicio.
- Que evalúe o clasifique a personas físicas o a colectivos de personas durante un determinado tiempo, atendiendo a su comportamiento social o a características personales o de su personalidad (conocidas, inferidas o predichas), de forma que la puntuación provoque un trato perjudicial o desfavorable hacia dichas personas en determinados contextos sociales o con un resultado injustificado o desproporcionado.
- Sistemas para realizar evaluaciones de riesgos de personas físicas con el fin de valorar o predecir el riesgo de que una persona física cometa un delito (basándose en la elaboración del perfil o de los rasgos y características de la personalidad). Si bien, cabe destacar que esta prohibición no se aplicará a los sistemas de IA utilizados para apoyar la valoración humana de la implicación de una persona en una actividad delictiva que ya se base en hechos objetivos y verificables directamente relacionados con una actividad delictiva.
- Sistemas de IA que creen o amplíen bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales de internet o de circuitos cerrados de televisión.
- Sistemas de IA para inferir o reconocer emociones de una persona física en los lugares de trabajo y en los centros educativos, excepto cuando el sistema de IA esté destinado a ser instalado o introducido en el mercado por motivos médicos o de seguridad.
- Sistemas de categorización biométrica que clasifiquen individualmente a las personas físicas sobre la base de sus datos biométricos para deducir o inferir datos que se consideran sensibles o especiales den virtud de la normativa de protección de datos (como su raza, opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas, vida u orientación sexuales). Esta prohibición no incluye el etiquetado o filtrado de conjuntos de datos biométricos adquiridos lícitamente, como imágenes, basado en datos biométricos ni la categorización de datos biométricos en el ámbito de la garantía del cumplimiento del Derecho.
- El uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho, salvo en los supuestos permitidos por este mismo artículo (para velar por asuntos relacionados con el terrorismo, trata de blancas, entre otras) y cumpliendo estrictamente con los parámetros allí establecidos.
Pero ¿a quién aplica?
Aplica a los prestadores de servicios que trabajen con IA de uso general y la pongan a disposición en la Unión Europea, con independencia de dónde estén estos ubicados. Por lo tanto, en este sentido, podríamos decir que se trata de una situación parecida a la regulada en el RGPD, porque aplica a prestadores que tal vez son de fuera, pero prestan servicios en Europa.
Para entender estos y otros conceptos recomendamos echar un vistazo al artículo 3 del Reglamento de IA, donde se contemplan varias definiciones de conceptos clave.
¿Quiénes son estos prestadores?
- No solo los desarrolladores de IA de uso general sino también los responsables del despliegue de la IA.
- Los proveedores y responsables del despliegue de sistemas de IA establecidos o ubicados en un tercer país, cuando los resultados de salida generados por el sistema de IA se utilicen en la Unión.
- Los importadores y distribuidores de sistemas de IA.
- Fabricantes de productos que introduzcan en el mercado o pongan en servicio un sistema de IA junto con su producto y con su propio nombre o marca.
- Los representantes autorizados de los proveedores de IA que no estén establecidos en la UE.
- Personas afectadas que estén ubicadas en la UE.
¿Por qué están prohibidos estos sistemas de IA?
Porque son sistemas que se consideran demasiado invasivos y que atentan a los derechos fundamentales del ser humano.
El ciudadano debe ser protegido frente a injerencias del mercado que se consideran desproporcionadas o que provocan un desequilibrio en el ser humano. No todo vale en la prestación de servicios.
También hay que tener en cuenta que hay otros sistemas que no están catalogados como prohibidos, pero sí sistemas de IA de alto riesgo, que también deberemos tener en cuenta porque, para poderlos ofrecer o utilizar, también hay que aplicar otras medidas.
Tipo de sanciones
El no respeto de la prohibición de las prácticas de IA estará sujeto a multas administrativas de hasta 35 millones de euros o, si el infractor es una empresa, de hasta el 7 % de su volumen de negocios mundial total correspondiente al ejercicio financiero anterior, si esta cuantía fuese superior.
En todo caso, serán los estados miembros los que establecerán el resto de las medidas coercitivas y régimen de sanciones que podrán incluir también otro tipo de advertencias para las empresas que trabajen con IA.
Otros requerimientos para cumplir
El artículo 4 del Reglamento de IA establece que las empresas, en tanto que proveedores o implantadores de sistemas de IA, deben, a partir del pasado 2 de febrero, adoptar medidas para garantizar, en la medida de lo posible, un nivel suficiente de conocimientos de inteligencia artificial de su personal y de otras personas que se ocupen del funcionamiento y uso de los sistemas de inteligencia artificial en su nombre.
En este sentido, se deberá tener en cuenta conocimientos técnicos, experiencia, educación y formación y el contexto en el que vayan a utilizarse los sistemas de IA, y a las personas sobre los que vayan a utilizarse los sistemas de IA.
¿Qué viene a continuación?
Para el 2 de agosto de 2025 hay otro tipo de medidas para cumplir por parte de los prestadores, en especial, para los modelos de IA considerados de propósito general.