Primeros efectos del reglamento de IA: freno a las prácticas abusivas

En términos procesales, aunque el RIA establece un plazo general de 2 años como periodo transitorio, no sigue la habitual vacatio legis en la que la totalidad de sus disposiciones se aplican de forma simultánea tras ese margen de adaptación. En su lugar, el Reglamento ha optado por un enfoque gradual con un calendario de aplicación progresiva para algunos de sus preceptos. En otras palabras, el RIA no entra en juego de golpe, sino que va desplegándose por fases. Cada bloque de disposiciones tiene su propia fecha de activación, propiciando la transformación del panorama digital europeo paso a paso.

Precisamente, el primero de estos hitos ya está aquí: el 2 de febrero de 2025. A partir de ahora, ciertas prácticas vinculadas con el uso de la inteligencia artificial estarán completamente vetadas dentro de la Unión Europea. Esto implica que cualquier empresa que incurra en alguna de las conductas prohibidas deberá cesar inmediatamente.

¿Qué prácticas son esas? ¿Qué usos de la IA cruzan la línea roja? Te lo contamos a continuación:

 

1. Manipulación subliminal y explotación de vulnerabilidades

Se prohíben los sistemas de IA que manipulen a las personas de manera imperceptible, llevándolas a tomar decisiones que no habrían adoptado conscientemente, especialmente si esto puede perjudicarlas o afectar negativamente a terceros. Este mismo principio aplica a los casos en los que los sistemas de IA se aprovechan de la vulnerabilidad de colectivos especialmente protegidos, como niños, personas mayores o aquellos en situaciones de exclusión social.

Este tipo de técnicas han demostrado ser particularmente peligrosas en ámbitos como la publicidad o la política, donde las decisiones individuales pueden tener un impacto colectivo significativo (en especial para aquellos colectivos que pueden ser más susceptibles a la influencia tecnológica). Proteger a los ciudadanos frente a estos riesgos es fundamental para garantizar que la innovación tecnológica no se utilice con fines abusivos.

 

2. Evaluación y clasificación social

Se prohíben los sistemas que evalúen o clasifiquen a las personas en función de su comportamiento social, características personales o personalidad (ya sea por datos reales o predichos), cuando el resultado de esa evaluación genere situaciones perjudiciales a nivel social, sin justificación o fuera de contexto.
Es el caso del conocido “social scoring”, una práctica que consiste en asignar puntuaciones a las personas según sus datos personales y comportamentales, evaluando su confiabilidad en áreas como el crédito o el comportamiento social. Esta práctica puede afectar decisiones importantes sobre el acceso a servicios, empleo o beneficios.

 

3. Perfilados para predicción delictiva

Quedan vetados también los sistemas que sirvan para predecir la probabilidad de que una persona cometa un delito basándose en perfiles de personalidad o características personales. Esta restricción es una respuesta a los riesgos de discriminación y errores judiciales que estos sistemas pueden generar al no basarse en pruebas objetivas.

Excepción: sí se admitirán aquellos sistemas que sirvan de apoyo a jueces o fuerzas de seguridad en el marco de investigaciones policiales o en supuestos de seguridad nacional -donde el RIA ya no aplica directamente-, para valorar la implicación de una persona concreta en un crimen determinado, siempre que se basen en hechos verificables relacionados directamente con el delito en cuestión. En este caso, el sistema no estaría prediciendo, sino ayudando a interpretar datos objetivos ya conocidos.

Un ejemplo práctico de esta excepción podría ser el uso de un sistema de análisis forense de teléfonos móviles para ayudar en una investigación policial. Si un teléfono de un sospechoso contiene mensajes de texto, correos electrónicos o registros de llamadas que están directamente relacionados con un crimen (por ejemplo, amenazas de violencia o pruebas de contacto con víctimas), el sistema puede ayudar a los investigadores a interpretar esos datos verificables. En este caso, el sistema no predice si la persona cometerá un crimen en el futuro, sino que ayuda a interpretar hechos objetivos que ya existen, como los mensajes o llamadas relacionadas con el delito en cuestión.

 

4. Bases de datos para reconocimiento facial

Se prohíbe el uso de sistemas IA que recopilen de forma masiva imágenes de internet o cámaras de videovigilancia para crear bases de datos destinadas a identificar o verificar la identidad de las personas a partir de las características únicas de su rostro. Un sistema de este tipo podría complementar las técnicas prohibidas contempladas en el apartado 7 del presente listado.

 

5. Inferencia de emociones

No se admitirán tampoco los sistemas que persigan interpretar las emociones de una persona en el lugar de trabajo o en instituciones educativas. Esto implica deducir emociones a partir de expresiones faciales, gestos, movimientos, tono de voz, etc. Esta práctica resulta especialmente invasiva en tanto que la exposición de la emoción de una persona ubica a la misma en una posición de vulnerabilidad.
Excepción: serán aceptables casos en los que la inferencia de emociones se realice con el fin de proteger la salud o garantizar la seguridad de una persona. Por ejemplo, el uso de un sistema de IA para detectar síntomas de cansancio en un piloto de avión con el fin de evitar accidentes.

 

6. Inferencia de características personales mediante biometría

Deben quedar fuera del territorio europeo los sistemas que clasifiquen a las personas a partir de sus datos biométricos (como huellas dactilares o patrones faciales) para determinar o deducir su raza, orientación sexual, convicciones religiosas, etc. Un sistema de este tipo puede llevar a invasiones de la privacidad y discriminación, al inferir aspectos íntimos sin el consentimiento del individuo.
Excepción: esta prohibición no se aplica cuando los datos biométricos, plasmados en imágenes o registros legítimamente obtenidos, se filtran o etiquetan con el propósito de garantizar el cumplimiento de la ley. Esto puede ser válido en investigaciones policiales o de seguridad, donde el análisis de características biométricas contribuye a identificar personas relevantes en una investigación penal o proteger la seguridad pública. Por ejemplo, para la comparación de huellas dactilares de una escena del crimen con las almacenadas en una base de datos con el fin de identificar a un sospechoso.

 

7. Vigilancia biométrica en tiempo real

Por último, se prohíben los sistemas que permitan identificar a las personas a distancia y al instante en espacios públicos, analizando sus características biométricas, como el rostro o la forma de caminar. Este tipo de monitorización hace posible el reconocimiento de personas concretas sin necesidad de estar cerca de ellas, de forma inmediata y continuada. Con esta medida, Europa cierra la puerta al uso indiscriminado de tecnologías de vigilancia masiva, protegiendo así la privacidad de los ciudadanos.

Excepción: sí podrán usarse estos sistemas en casos estrictamente necesarios, como la búsqueda de personas desaparecidas, la prevención de atentados terroristas o la identificación de sospechosos de delitos graves, siempre que haya una amenaza clara y directa para la vida o seguridad de los individuos.

Este marco normativo envía un mensaje claro a las empresas tecnológicas: la innovación no puede avanzar a expensas de los derechos humanos. Por ello, a partir del 2 de febrero, todas las entidades que desarrollen y comercialicen sistemas de IA en Europa deberán alinearse con estas normas o enfrentarse a sanciones.
Eliminando estas prácticas de su mercado, la Unión Europea refuerza su compromiso con la ética tecnológica, fijando límites claros para proteger a los ciudadanos frente a las aplicaciones más invasivas y potencialmente dañinas de la tecnología. Además, este enfoque preventivo y basado en el riesgo no solo protege contra los peligros inmediatos de la IA, sino que también sienta un precedente global sobre cómo abordar la revolución digital de manera responsable. Es el primer paso hacia un modelo de trabajo que se consolidará en las próximas décadas.

Por último, es necesario subrayar que, si bien el RIA todavía no es exigible en su totalidad hasta la fecha, los sistemas de inteligencia artificial tienen implicaciones que están reguladas por normativas previas que sí son de obligado cumplimiento, como es el caso de la normativa relativa a los derechos de autor o el Reglamento General de Protección de Datos. Ello implica, por ejemplo, que resulte imperativo cumplir con las disposiciones del mencionado reglamento en relación con los tratamientos de datos personales que se lleven a cabo en el marco de un sistema IA.