El próximo 2 de febrero de 2025 es la fecha límite que da el nuevo Reglamento de Inteligencia Artificial (LA LEY 16665/2024) (RIA) de la UE para una serie de categorías de IA que estarán prohibidas. Ese día se cumplen seis meses de la entrada en vigor del texto legal, que estableció un plazo de seis meses para que las empresas europeas y las entidades globales con clientes en la región empezaran a suprimir su uso, a riesgo de tener que afrontar cuantiosas multas.
El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (LA LEY 16665/2024) entró en vigor el 1 de agosto de 2024, convirtiéndose en el primer marco legal del mundo que aborda los riesgos asociados a la inteligencia artificial. Además, facilita a los desarrolladores y también a los usuarios unas directrices claras sobre usos específicos de la tecnología. Sin embargo, el Reglamento también especifica una serie de categorías de IA que estarán específicamente prohibidas a partir de seis meses de su entrada en vigor, es decir, desde el 2 de febrero de 2025.
Desde el despacho Osborne Clarke advierten que el incumplimiento de la retirada de estos sistemas de IA en la UE podría implicar que, desde el 2 de agosto de 2025, las autoridades nacionales de los países de la UE puedan imponer multas de hasta 35 millones de euros o el 7% de la facturación global, priorizando la opción más cuantiosa, tal como establece el artículo 99.3 de la Ley de IA.
El calendario apremia: el 2 de agosto de 2025 entran en vigor las disposiciones sobre IA de propósito general y normas de gobernanza; un año más tarde, el 2 de agosto de 2026, empezarán a regir las reglas para modelos de alto riesgo definidos en el Anexo III; mientras que el 2 de agosto de 2027, se aplicarán las normas de IA en sistemas sujetos a la legislación de seguridad de productos de la UE.
¿Qué sistemas estarán prohibidos?
Tal y como señala el artículo 5 de la Ley de IA, las aplicaciones de inteligencia artificial prohibidas incluyen aquellas que supongan riesgos inaceptables para la salud, la seguridad o los derechos fundamentales. Entre ellos, destacan los siguientes:
• Sistemas de IA que utilicen técnicas subliminales, manipuladoras o engañosas para distorsionar significativamente el comportamiento de las personas, causando daño grave.
• Sistemas que exploten vulnerabilidades relacionadas con la edad, la discapacidad o circunstancias socioeconómicas para influir en el comportamiento y causar daño significativo.
• Puntuaciones sociales basadas en características personales que resulten en un trato discriminatorio.
• Creación de bases de datos de reconocimiento facial mediante web scraping no autorizado o uso de imágenes de CCTV.
• Sistemas de inferencia emocional en entornos laborales o educativos, salvo por motivos médicos o de seguridad.
• Categorización biométrica que utilice datos sensibles, como raza, religión u orientación sexual, salvo excepciones para la aplicación de la ley.
• Sistemas de IA utilizados para predecir delitos basándose únicamente en perfiles o características de personalidad.
• Reconocimiento facial remoto en tiempo real en espacios públicos, con excepciones limitadas.
Para algunos expertos consultado por Diario La Ley, el enfoque del RIA complementa el Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) porque no solo se limita al uso de datos personales, sino que también evalúa cómo los sistemas de IA pueden influir en el comportamiento, en las vulnerabilidades y en las decisiones de las personas. “Mientras el RGPD se centra en proteger la privacidad y los datos personales, el RIA aborda las posibles manipulaciones o discriminaciones derivadas del uso de IA. Ambos marcos buscan salvaguardar la dignidad humana y garantizar que el desarrollo y uso de tecnologías digitales respeten los derechos fundamentales”, explica Efrén Díaz, responsable del área de tecnología del Bufete Mas y Calvet y delegado de protección de datos.
Sin embargo, el especialista pone el acento en que se concrete una armonización legal entre los Estados miembro para evitar contradicciones, con un necesario refuerzo en la capacidad de supervisión de las autoridades nacionales de protección de datos y de mercado, dado el creciente uso de tecnologías de IA en diversas áreas de la vida cotidiana.
“Estas disposiciones son esenciales para equilibrar los beneficios de la IA con la necesidad de proteger a los ciudadanos frente a riesgos potenciales, sin olvidar que el ‘riesgo inaceptable’ no es técnico, sino jurídico: la vulneración de los derechos fundamentales, principalmente”, advierte.
¿Qué deben hacer las compañías?
Las organizaciones no deben dejar esto para el último momento. “Resulta esencial que las empresas pongan en marcha de forma inmediata procesos dirigidos a analizar cualquier herramienta de IA que pueda entrar en conflicto con las disposiciones aplicables del Reglamento”, señala Rafael García del Poyo, socio director del departamento de derecho de IT/IP en Osborne Clarke España.
Esto se traduce en que las compañías no solo eliminen, dentro de los plazos previstos, las herramientas de inteligencia artificial consideradas prohibidas, sino que también avancen en el desarrollo e implementación de procedimientos internos para gestionar los riesgos derivados del uso de cualquier tipo de sistema de IA con el fin de dotarlas de la transparencia necesaria para cumplir con estas nuevas obligaciones legales. “El Reglamento de IA (LA LEY 16665/2024) no solo redefine el marco general de cumplimiento normativo, sino que también viene a establecer un nuevo régimen de responsabilidad sobre la utilización del software y los productos tecnológicos por parte de las empresas y organizaciones", advierte García del Poyo.
Sanciones elevadas sin periodo de gracia
El tiempo corre en contra y apenas queda mes y medio para gestionar los posibles escenarios que plantea el uso de estas herramientas prohibidas. Benjamin Docquir, director de IP, IT y datos en Osborne Clarke Bruselas, pone el acento en la necesidad de actuar con rapidez para evaluar los riesgos y desarrollar planes de actuación frente a posibles casos de incumplimiento.
“La Comisión Europea cree que se ha dado suficiente aviso para que todas las empresas de la UE, incluidas aquellas bajo el Acuerdo del Espacio Económico Europeo (LA LEY 5552/1993), y las organizaciones internacionales con presencia en la UE, cumplan con las normativas" y recalca que no se espera que se dé un periodo de gracia como ocurrió con el Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016); al contrario, el experto considera que el régimen sancionador, con multas de más del doble que las del RGPD, se aplicará desde el primer día.