Directrices sobre las prácticas de IA prohibidas

El pasado 2 de febrero empezaron a ser aplicables las disposiciones del Reglamento (UE) 2024/1689, de 13 de junio de 2024 (Reglamento de IA) incluidas en los Capítulos I (Disposiciones Generales) y II (Prácticas de IA Prohibidas) del mismo (puede consultarse aquí nuestra publicación relativa al inicio de aplicación parcial del Reglamento de IA y aquí nuestra Guía práctica del Reglamento de IA).

Así, además de la obligación de alfabetización en materia de IA (art. 4 Reglamento de IA) -que afecta a todos los proveedores y responsables del despliegue de sistemas de IA, independientemente de su nivel de riesgo- también resultan ya aplicables las disposiciones del Capítulo II del Reglamento de IA, cuyo artículo 5 prohíbe ciertas prácticas en materia de IA.

Con la finalidad de esclarecer la interpretación y alcance de las anteriores disposiciones, así como del ámbito de aplicación del Reglamento de IA, la Comisión Europea ha publicado recientemente los siguientes documentos:

• Un repositorio vivo sobre prácticas de alfabetización en materia de IA, en el que los miembros del Pacto de IA han aportado sus experiencias reales de prácticas de alfabetización en materia de IA. Entre las principales prácticas compartidas destacan: (i) realizar sesiones de formación organizadas según la complejidad técnica y el nivel de implicación de los empleados en el uso o desarrollo de sistemas de IA, (ii) ofrecer cursos de e-learning, (ii) compartir ejemplos de uso real en operaciones diarias, o (iii) implementar guías detalladas para el desarrollo, uso y supervisión de sistemas de IA.
• Unas Directrices sobre la Definición de Sistema de IA, que aclaran qué constituye un sistema de IA y por tanto, a qué sistemas resultaría de aplicación el Reglamento de IA. Puede consultarse aquí nuestra publicación relativa a estas directrices.
• Unas Directrices sobre Prácticas Prohibidas de IA, que tienen como objetivo proporcionar orientación práctica sobre la aplicación de las prohibiciones establecidas en el artículo 5 del Reglamento de IA.

En esta entrada analizaremos algunos de los puntos clave de las Directrices de la Comisión Europea sobre Prácticas Prohibidas de IA, publicadas el pasado 4 de febrero y todavía pendientes de su adopción formal. Cabe destacar que, aunque estas directrices interpretativas no son vinculantes, pueden influir en gran medida en la interpretación última del Tribunal de Justicia de la Unión Europea sobre el Reglamento de IA, lo que les otorga una destacada importancia.  

Ámbito de aplicación de las prácticas de IA prohibidas

Las prohibiciones del art. 5 se aplican a la introducción en el mercado, puesta en servicio o uso de ciertos sistemas de IA específicos. En las Directrices, la Comisión ofrece una interpretación más clara de estos conceptos:

• Introducción en el mercado: se refiere a la primera puesta a disposición de un sistema de IA en el mercado de la UE, lo que puede incluir el acceso al sistema a través de tiendas de aplicaciones, APIs (interfaz de programación de aplicaciones), a través de la nube, descargas directas, o copias físicas o integradas en productos físicos.
• Puesta en servicio: se refiere a la provisión de un sistema de IA para su primer uso por el responsable del despliegue o para su propio uso en la UE para su finalidad prevista, según lo especificado en la información proporcionada por el proveedor en las instrucciones de uso, los materiales y las declaraciones de promoción y venta, así como en la documentación técnica.
• Uso: se define con carácter amplio como el despliegue del sistema en cualquier momento durante su ciclo de vida, después de su comercialización o puesta en servicio.

El Reglamento de IA, en su artículo 2, prevé la exclusión de su ámbito de aplicación de diversos sistemas de IA, cuya definición concreta especifican las Directrices. Entre ellos se encuentran los sistemas de IA o modelos utilizados exclusivamente para actividades de investigación, prueba o desarrollo antes de ser introducidos en el mercado; los sistemas de IA utilizados por individuos en el ejercicio de actividades puramente personales y no profesionales; o los sistemas de IA distribuidos bajo licencias de software libre y de código abierto, a menos que se  introduzcan en el mercado o se pongan en servicio como sistemas de IA de alto riesgo o encajen en las prohibiciones del artículo 5 o en supuestos a los que el artículo 50 impone obligaciones de transparencia.

Asimismo, cabe destacar que las prohibiciones se aplican tanto a sistemas de IA con una finalidad específica como a sistemas de IA de uso general, lo que incluiría, por ejemplo, el uso como chatbots de sistemas de IA de uso general.

Requisitos de las prácticas prohibidas

En relación con las prácticas prohibidas, la Comisión proporciona en sus Directrices una guía interpretativa detallada sobre los elementos a considerar para determinar si un sistema de IA se encuadra en las prohibiciones establecidas por el artículo 5 del Reglamento de IA. Así, por ejemplo:

• La práctica prohibida del art. 5.1.a) abarcaría aquellos sistemas que usen técnicas subliminales, manipulativas o engañosas (por ejemplo, el uso de imágenes subliminales, el aprovechamiento de sesgos, la manipulación sensorial para alterar el humor o la creación de mensajes persuasivos altamente personalizados en base a datos personales), que tengan como objetivo distorsionar, o que puedan resultar en la distorsión del comportamiento de una persona o grupo. Y dicho comportamiento distorsionado debe causar, o ser probable que cause, un daño significativo (incluidos daños físicos, psicológicos o económicos) a esa persona, otra persona o un grupo de personas. Asimismo, la Comisión establece los criterios para valorar el carácter significativo del daño, como el contexto, la intensidad, la irreversibilidad del daño o la vulnerabilidad de las personas afectadas.
• En relación con la práctica prohibida del art. 5.1.f), esta se refiere a sistemas de IA utilizados para la inferencia emociones de un individuo en el lugar de trabajo o en instituciones educativas, excepto cuando su uso esté justificado por razones médicas o de seguridad. Según la Comisión el término “lugar de trabajo” debe interpretarse de forma amplia, incluyendo cualquier espacio físico o virtual específico en el que las personas realicen funciones asignadas por su empleador o por la organización a la que estén afiliadas, por ejemplo, en caso de trabajo por cuenta propia. En relación con la “inferencia de emociones”, las Directrices también abogan por una interpretación amplia. No obstante, no abarca la inferencia de estados físicos como el cansancio o el dolor, ni aquellos sistemas que se limiten a detectar expresiones o gestos (como una sonrisa o el movimiento ocular) pero que no identifiquen emociones o intenciones. 

Resulta crucial tener en cuenta que los requisitos definitorios de cada práctica son cumulativos y, en ciertos casos, la falta de cumplimiento de cualquiera de ellos podría conllevar la clasificación de los sistemas de IA como de alto riesgo en lugar de como prohibidos. Por lo tanto, es esencial realizar un análisis detallado e individualizado de cada uno de los requisitos enumerados en relación con cada sistema de IA.

Medidas de cumplimiento

A la vista de estas Directrices, para garantizar el cumplimiento del Reglamento de IA, y particularmente del art. 5, las empresas deben considerar adoptar las siguientes medidas:

• Realizar evaluaciones de riesgo exhaustivas, analizando todos los requisitos en detalle para cada sistema de IA desarrollado, comercializado o utilizado.
• Cumplir con estándares técnicos para el desarrollo y uso de sistemas de IA seguros y éticos.
• Adaptar los contratos, instrucciones de uso y otros materiales para garantizar la observancia de las prohibiciones, incluyendo información sobre las condiciones de uso y de supervisión del sistema de IA.
• Proporcionar información clara y precisa sobre cómo usar el sistema de IA de conformidad con el Reglamento de IA, así como acerca de sus limitaciones. Este aspecto debe ponerse en relación con la obligación de alfabetización en materia de IA (art. 4 Reglamento de IA) arriba indicada.
• Garantizar que el sistema de IA cumpla con el resto de la normativa aplicable, particularmente en términos de protección de datos, laboral y de protección al consumidor.

Régimen sancionador

Cabe reseñar que el incumplimiento de estas obligaciones puede resultar en la aplicación de multas con un máximo de 35 millones de euros o del 7% del volumen de negocios anual global, la cantidad que resulte mayor.