IA 360
Marco regulatorio

El AI Act ya prohíbe en la UE los usos de IA de "riesgo inaceptable"

Desde este domingo, la Unión Europea puede vetar sistemas de IA que considere de "riesgo inaceptable": puntuación social, manipulación subliminal o detección de emociones en el trabajo. Las multas alcanzan el 7% de la facturación global.

Admin IA360 7 min de lectura Read in English

Desde este domingo 2 de febrero, los reguladores de la Unión Europea pueden prohibir el uso de sistemas de inteligencia artificial que consideren de "riesgo inaceptable". Es el primer plazo de cumplimiento del AI Act, el reglamento europeo de IA que el Parlamento Europeo aprobó definitivamente el pasado marzo tras años de trabajo y que entró en vigor el 1 de agosto. A partir de ahora, ciertos usos de la tecnología quedan directamente vetados en el bloque.

La norma es la primera regulación integral de la IA que llega acompañada de sanciones serias. Las empresas que usen alguna de las aplicaciones prohibidas dentro de la UE se exponen a multas de hasta 35 millones de euros (unos 36 millones de dólares) o el 7% de su facturación anual del ejercicio previo, la cifra que sea mayor. Y el castigo aplica con independencia de dónde tenga su sede la compañía.

Cuatro niveles de riesgo

El AI Act clasifica los sistemas según el peligro que representan para las personas. En el nivel más bajo está el riesgo mínimo —los filtros antispam del correo, por ejemplo—, que no queda sujeto a supervisión alguna. Le sigue el riesgo limitado, donde entran los chatbots de atención al cliente, con una supervisión ligera. El tercer escalón es el riesgo alto, como la IA que emite recomendaciones sanitarias, sometido a un control estricto.

En la cúspide está el riesgo inaceptable, el foco de las obligaciones que arrancan este mes. Estos usos no se regulan: se prohíben por completo. La lógica es sencilla. Hay aplicaciones cuyo daño potencial la UE considera tan grave que no admite mitigación ni salvaguarda que valga.

Qué queda prohibido

El artículo 5 del reglamento detalla los usos vetados. Entre ellos:

  • Puntuación social (social scoring): sistemas que construyen perfiles de riesgo a partir del comportamiento de una persona.
  • IA que manipula las decisiones de alguien de forma subliminal o engañosa.
  • IA que explota vulnerabilidades ligadas a la edad, la discapacidad o la situación socioeconómica.
  • Sistemas que intentan predecir la comisión de delitos basándose en el aspecto físico.
  • IA que usa datos biométricos para inferir características de una persona, como su orientación sexual.
  • Recogida de datos biométricos en tiempo real en espacios públicos con fines policiales.
  • Sistemas que tratan de inferir emociones en el trabajo o en la escuela.
  • IA que crea o amplía bases de datos de reconocimiento facial rastreando imágenes de internet o de cámaras de seguridad.

La lista dibuja un mapa bastante claro de las líneas rojas europeas: vigilancia biométrica masiva, clasificación de ciudadanos al estilo del crédito social y sistemas que pretenden leer la mente o el estado de ánimo en contextos de poder desigual, como la relación entre empresa y empleado o entre centro educativo y alumno.

Las multas todavía no muerden

Aunque las prohibiciones ya están teóricamente en vigor, las sanciones tardarán en llegar. Así lo explicó Rob Sumroy, responsable de tecnología del bufete británico Slaughter and May, en declaraciones a TechCrunch: "Se espera que las organizaciones cumplan plenamente el 2 de febrero, pero el siguiente gran plazo del que las empresas deben ser conscientes es en agosto".

Para entonces, añadió Sumroy, "sabremos quiénes son las autoridades competentes y entrarán en vigor las disposiciones sobre multas y ejecución". Dicho de otro modo: el reglamento ya dice qué está prohibido, pero el aparato que impone y cobra las sanciones todavía se está montando.

Esa distancia entre la letra de la ley y su aplicación real es habitual en la regulación europea, pero abre un periodo de incertidumbre en el que las empresas deben adaptarse sin saber aún con precisión quién las vigilará ni cómo.

Compromisos previos y grandes ausentes

En cierto sentido, la fecha del 2 de febrero es una formalidad. El pasado septiembre, más de un centenar de empresas firmaron el EU AI Pact, un compromiso voluntario para empezar a aplicar los principios del reglamento antes de que fuera obligatorio. Entre los firmantes figuraban Amazon, Google y OpenAI, que se comprometieron a identificar qué sistemas suyos podrían caer en la categoría de alto riesgo.

Algunos pesos pesados se quedaron fuera. Meta y Apple no firmaron el pacto. Tampoco lo hizo la startup francesa Mistral, una de las críticas más duras del AI Act. No firmar no significa incumplir: como recuerda Sumroy, dada la naturaleza de los usos prohibidos, la mayoría de compañías no incurre en esas prácticas de todos modos. Pocas empresas construyen sistemas de puntuación social o de predicción de delitos por el aspecto físico.

La preocupación real del sector es otra. "Una inquietud clave en torno al AI Act es si las directrices, estándares y códigos de conducta llegarán a tiempo, y sobre todo si darán a las organizaciones claridad sobre cómo cumplir", señaló Sumroy. Por ahora, apuntó, los grupos de trabajo están cumpliendo los plazos del código de conducta para desarrolladores.

Las excepciones

Varias de las prohibiciones admiten matices. La recogida de datos biométricos en espacios públicos, por ejemplo, se permite a las fuerzas del orden en casos concretos: una "búsqueda selectiva" de una víctima de secuestro, o la prevención de una amenaza "específica, sustancial e inminente" para la vida. Esa excepción exige autorización del órgano competente, y el reglamento subraya que la policía no puede tomar una decisión que "produzca un efecto jurídico adverso" sobre una persona basándose únicamente en lo que dictan esos sistemas.

También hay una salvedad para los sistemas que infieren emociones en el trabajo o la escuela cuando existe una justificación "médica o de seguridad", como los diseñados con fines terapéuticos.

La Comisión Europea anunció que publicaría directrices adicionales a "principios de 2025", tras una consulta con las partes interesadas en noviembre. Esas directrices todavía no han visto la luz.

No es la única ley en juego

Queda por aclarar cómo encajará el AI Act con el resto del marco legal europeo. Sumroy advierte de que la regulación de la IA "no existe de forma aislada". Otros textos como el RGPD (el reglamento europeo de protección de datos), la directiva NIS2 de ciberseguridad o el reglamento DORA de resiliencia operativa en el sector financiero interactuarán con la nueva norma, y pueden generar fricciones, especialmente en los requisitos de notificación de incidentes, que en algunos casos se solapan.

"Entender cómo encajan estas leyes entre sí será tan crucial como entender el propio AI Act", resume el abogado. La claridad, previsiblemente, no llegará hasta avanzado el año, a medida que se acerque la ventana de aplicación efectiva en agosto.

Con este primer plazo, Europa marca su terreno: fija por escrito qué usos de la IA considera incompatibles con sus valores antes de que esas tecnologías se normalicen. Lo que aún está por ver es si el sistema para hacer cumplir esas prohibiciones estará a la altura de la ambición de la norma.

Compartir este artículo

Este sitio web utiliza cookies para mejorar la experiencia de navegación. Política de cookies.