Nueva regulación de la UE sobre IA: alfabetización y prohibición de riesgos inaceptables

Provisiones de la Ley de IA de la UE sobre alfabetización en IA y prohibición de “riesgos inaceptables”

La entrada en vigor de las disposiciones de los Capítulos 1 y 2 del Reglamento de la UE nº 2024/1689, que establece normas armonizadas sobre inteligencia artificial (“Ley de IA de la UE”), se ha concretado a partir del 2 de febrero de 2025. Estas disposiciones se centran en la alfabetización en IA y la prohibición de sistemas de IA que representen riesgos inaceptables.

1. OBLIGACIONES DE ALFABETIZACIÓN EN IA

Desde el 2 de febrero de 2025, los proveedores de sistemas de IA, es decir, las entidades que desarrollan, comercializan o ponen en servicio sistemas de IA bajo su propio nombre o marca, así como los desplegadores de sistemas de IA, que son las entidades que utilizan estos sistemas en el curso de sus actividades profesionales, tienen la obligación de tomar medidas para asegurar, en la mayor medida posible, un nivel suficiente de alfabetización en IA entre su personal y otras personas que operan y utilizan estos sistemas en su nombre.

La Ley de IA de la UE define la alfabetización en IA como las habilidades, conocimientos y comprensión necesarios para facilitar el despliegue informado de sistemas de IA y para generar conciencia sobre las oportunidades y riesgos que la IA puede conllevar.

En este momento, no se prevén sanciones específicas por incumplimientos de las obligaciones de alfabetización en IA; sin embargo, se espera razonablemente que el cumplimiento o incumplimiento de tales obligaciones sea considerado por las autoridades competentes al evaluar las sanciones apropiadas a aplicar a un proveedor o desplegador en caso de otras infracciones de la Ley de IA de la UE.

2. SISTEMAS DE IA PROHIBIDOS

A partir del 2 de febrero de 2025, se prohíben los llamados “riesgos inaceptables”, que se refieren a sistemas de IA que plantean riesgos inaceptables para los derechos fundamentales, el estado de derecho y los valores de la Unión Europea, según el Capítulo 2 de la Ley de IA de la UE. Las prácticas de IA prohibidas son las siguientes:

• Manipulación y técnicas engañosas: comercialización, puesta en servicio o uso de sistemas de IA que empleen técnicas subliminales, manipulativas o engañosas con el objetivo o efecto de distorsionar materialmente el comportamiento humano, afectando significativamente su capacidad de tomar decisiones informadas.
• Explotación de vulnerabilidades: comercialización, puesta en servicio o uso de sistemas de IA que exploten vulnerabilidades de personas naturales derivadas de su edad, discapacidad o condiciones socioeconómicas, con el objetivo o efecto de distorsionar su comportamiento de manera que cause o pueda causar un daño significativo.
• Scoring social: comercialización, puesta en servicio o uso de sistemas de IA para realizar scoring social (es decir, evaluación o clasificación de personas) basado en atributos de comportamiento o personales, conduciendo a un tratamiento desfavorable en contextos no relacionados con los datos recopilados.
• Evaluación y predicción de riesgo de delitos individuales: comercialización, puesta en servicio o uso de sistemas de IA exclusivamente para perfilar individuos y evaluar o predecir las probabilidades de comportamiento delictivo.
• Bases de datos de reconocimiento facial no autorizadas: comercialización, puesta en servicio o uso de sistemas de IA que creen o expandan bases de datos de reconocimiento facial a través de la recopilación indiscriminada de imágenes faciales de Internet o grabaciones de CCTV.
• Reconocimiento de emociones en trabajo y educación: comercialización, puesta en servicio o uso de sistemas de IA utilizados para inferir emociones en entornos laborales o educativos, salvo cuando se justifique por motivos médicos o de seguridad.
• Categorización biométrica: comercialización, puesta en servicio o uso de sistemas de IA que categorizan individuos basándose en datos biométricos para deducir información sensible, como raza, opiniones políticas, religión, afiliación sindical o orientación sexual.
• Uso por parte de la ley de identificación biométrica en tiempo real: el uso de sistemas de identificación biométrica remota en tiempo real en espacios públicos para la aplicación de la ley está mayormente prohibido, salvo en excepciones definidas de manera muy estricta.

Las sanciones por incumplimiento de estas prohibiciones aún no han entrado en vigor, y se retrasarán hasta el 2 de agosto de 2025, según el enfoque por fases de la Ley de IA de la UE. Una vez que entren en vigor, las sanciones prevén multas administrativas de hasta el mayor entre 35,000,000 EUR o el 7% de la facturación anual mundial total de la entidad infractora.

3. ¿A QUIÉN SE APLICA ESTO?

El ámbito de aplicación regulatoria de la Ley de IA de la UE es amplio, abarcando una variedad de actividades y partes interesadas relacionadas con la IA. Se aplica a los proveedores que colocan sistemas o modelos de IA en el mercado de la UE, independientemente de su país de origen, así como a los desplegadores de sistemas de IA dentro de la UE, e incluso se extiende a las entidades establecidas en países terceros cuyos resultados de sistemas de IA se utilizan dentro de la UE.

Las organizaciones involucradas en la importación, distribución o fabricación de productos que integran sistemas de IA también están sujetas a los requisitos de la Ley de IA de la UE. Además, la Ley de IA de la UE también se aplica a las personas afectadas que se encuentren ubicadas en la UE.