Ya es parcialmente aplicable el Reglamento de IA

El pasado 2 de febrero entraron en vigor los Capítulos I y II del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (en adelante, Reglamento de IA).

El Reglamento de IA prevé una aplicación progresiva de sus distintas disposiciones. Aunque, con carácter general, el reglamento será aplicable a partir del 2 de agosto de 2026, el artículo 113 del mismo establece las siguientes excepciones:

1. Los Capítulos I (Disposiciones generales) y II (Prácticas prohibidas) son aplicables a partir del 2 de febrero de 2025;
2. el Capítulo III, sección 4 (Autoridades notificantes y organismos notificados), el capítulo V (Modelos de IA de uso general), el capítulo VII (gobernanza) y el capítulo XII (Sanciones) y el artículo 78 (Confidencialidad) serán aplicables a partir del 2 de agosto de 2025, a excepción del artículo 101 (Multas a proveedores de modelos de IA de uso general); y
3. El artículo 6, apartado 1 (Sistemas de IA de alto riesgo relacionados con la legislación sectorial armonizada en materia de seguridad de productos definida en el Anexo I), y las obligaciones correspondientes serán aplicables a partir del 2 de agosto de 2027.

Disposiciones aplicables desde el 2 de febrero de 2025

Por un lado, el Capítulo I contiene las disposiciones generales, lo que incluye el artículo 1 (Objeto), el artículo 2 (Ámbito de aplicación), el artículo 3 (Definiciones), y el artículo 4 (Alfabetización en materia de IA).

La aplicación de estas disposiciones implica dos cuestiones de gran importancia práctica para las empresas: en primer lugar, la definición de sistema de IA establecerá qué sujetos entrarán en el ámbito de aplicación del Reglamento de IA; y, en segundo lugar, la obligación de alfabetización en materia de IA comportará que los proveedores y responsables del despliegue de sistemas de IA deberán adoptar medidas adecuadas para garantizar que el personal y otras personas que se encarguen en su nombre del funcionamiento y la utilización de sistemas de IA, tengan un nivel suficiente de alfabetización en materia de IA.

Al respecto de la alfabetización, el artículo 4 matiza que estas medidas deberán determinarse ad hoc en cada contexto concreto: teniendo en cuenta los conocimientos técnicos, experiencia, educación y formación del personal, así como el contexto previsto de uso de los sistemas de IA y las personas o los colectivos de personas en que se van a utilizar dichos sistemas.

Por otro lado, el Capítulo II prohíbe determinadas prácticas en materia de IA.

Las prácticas objeto de prohibición, contenidas en el artículo 5 del Reglamento IA, se agrupan en esta categoría por su especial afección a los valores propuestos por el legislador europeo y el riesgo inaceptable que suponen para los derechos y libertades fundamentales. El legislador europeo ha considerado que los sistemas de IA pueden “utilizarse indebidamente y proporcionar nuevas y poderosas herramientas para llevar a cabo prácticas de manipulación, explotación y control social”. En este sentido, el artículo 5 prohíbe la introducción en el mercado, la puesta en servicio o la utilización de sistemas de inteligencia artificial cuyo propósito sea:

• El uso de técnicas subliminales, deliberadamente manipulativas o engañosas para alterar de manera sustancial el comportamiento de personas (art. 5.1, letra a);
• La explotación de vulnerabilidades de las personas, como la edad, la discapacidad o la situación social o económica, con la finalidad de alterar de manera sustancial el comportamiento de dichas personas (art. 5.1, letra b);
• La evaluación o clasificación de personas en función de su comportamiento social o características personales, que pueda provocar un trato perjudicial o desfavorable (conocido como social scoring) (art. 5.1, letra c);
• La evaluación de riesgos delictivos, cuando esta se base únicamente en la elaboración del perfil de riesgo del sistema de IA (art. 5.1, letra d);
• La creación de bases de datos de reconocimiento facial mediante extracción no selectiva de imágenes de internet (art. 5.1, letra e);
• La inferencia de emociones en los lugares de trabajo y centros educativos, excepto cuando sea por motivos médicos o de seguridad (art. 5.1, letra f);
• La categorización biométrica para deducir o inferir datos personales sensibles (art. 5.1, letra g); y
• La identificación biométrica remota en tiempo real en espacios públicos con fines de garantía del cumplimiento del derecho, salvo ciertas excepciones en materia de seguridad pública (art. 5.1, letra h).

Asimismo, con el objetivo de ofrecer una guía interpretativa más clara en relación con qué constituye un sistema de IA, y cuál es el alcance concreto de cada una de las prácticas prohibidas, la Comisión Europea está preparando dos directrices interpretativas, cuya publicación está prevista para principios de 2025. Estas directrices se basarán en las aportaciones a la consulta pública que realizó la Oficina de Inteligencia Artificial de la Comisión Europea, y cuyo plazo finalizó el pasado 11 de diciembre de 2024.

De las aportaciones a dicha consulta pública, destacan, entre otras, la propuesta del European Law Institute (ELI), y la propuesta del Supervisor Europeo de Protección de Datos (EDPS, por sus siglas en inglés).  

La primera, pone de manifiesto los desafíos asociados con la definición de “sistema de IA” del artículo 3 del Reglamento de IA, una definición que, según considera el ELI, contiene numerosas ambigüedades (como los conceptos de autonomía o adaptabilidad) y no ofrece suficiente claridad para diferenciar los sistemas de IA de otros sistemas informáticos. Por ello, el ELI propone un método de evaluación basado en tres factores, a efectos de valorar si un sistema informático se debe considerar inteligencia artificial a la luz del Reglamento de IA.

Por otro lado, la propuesta del EDPS también aboga por una mayor claridad en la definición de qué constituye un sistema de IA. Asimismo, propone una serie de criterios interpretativos para cada una de las prácticas prohibidas del artículo 5 del Reglamento de IA. Entre estos, el EDPS considera que ciertas prácticas de marketing pueden quedar incluidas en la prohibición relativa a sistemas de IA que se sirvan de técnicas subliminales, deliberadamente manipulativas o engañosas (art. 5.1, letra a) del Reglamento de IA), y que el neuromarketing cumpliría en todo caso los requisitos de dicha prohibición.

A la espera de las directrices interpretativas de la Comisión, y, sin perjuicio de que el régimen sancionador no entra en aplicación hasta el próximo mes de agosto, los Capítulos I y II del Reglamento de IA ya son plenamente aplicables, por lo que deben respetarse las prácticas prohibidas, y las empresas que desarrollen o utilicen sistemas de IA en el marco de su actividad, deben empezar a adoptar las medidas adecuadas para garantizar el cumplimiento con la obligación de alfabetización.

Mireia Sala, con la colaboración de Manel Pérez