Aunque la entrada en vigor del Reglamento UE 2024/1689 en materia de Inteligencia Artificial (en adelante el RIA, o el Reglamento) se producirá, de forma general, el 2 de agosto de 2026, debemos marcar en el calendario varias fechas clave que afectan a la aplicabilidad de determinadas obligaciones. Uno de esos save de date llegará en unos pocos días, en concreto el próximo 2 de febrero.

De acuerdo con el art.113.a del RIA y su Considerando 179, “teniendo en cuenta el riesgo inaceptable asociado a determinadas formas de uso de la IA”, algunas obligaciones del Reglamento resultarán aplicables a partir del 2 de febrero de 2025. En concreto, se trata de las prácticas de IA prohibidas (Capítulo 2 del RIA) y de las Disposiciones Generales del Reglamento (Capítulo1), que, en la práctica, se traducen en la aplicabilidad de los requisitos sobre alfabetización en IA art. 4 RIA).  

¿Cuáles son las “prácticas de IA prohibidas”?

Como es sabido, el enfoque del RIA es un enfoque de riesgos, en donde estos se valoran pensando no en el uso de la IA en general, sino puesta en conexión con determinados fines. En este caso, lo que el legislador ha hecho es prohibir que, para determinadas prácticas o fines, puedan utilizarse sistemas de IA. No resulta sencillo sintetizar dichos usos prohibidos, recogidos en el art. 5 RIA, por la cantidad de matices aplicables a cada uno, pero podríamos decir que se trata, en esencia, de usos como:

• A través de los que se busque alterar el comportamiento de una persona o colectivo para provocarles perjuicios, sirviéndose de técnicas subliminales, manipuladoras o engañosas, o explotando vulnerabilidades derivadas de su edad, discapacidad, etc.;
• Evaluar o clasificar a personas o colectivos atendiendo a su comportamiento social o a características de su personalidad, de manera que se les provoque un trato perjudicial en contextos sociales que no guarden relación con aquellos donde se generaron o recabaron los datos, o cuando este trato perjudicial sea desproporcionado con respecto a su comportamiento social.
• Evaluar el riesgo de que determinada persona física cometa un delito basándose en la elaboración de un perfil o teniendo en cuenta determinados rasgos de su personalidad (con excepciones, puesto que sí será posible usar sistemas de IA para apoyar la valoración humana basada en parámetros objetivos de dichos riesgos);
• Crear bases de datos de reconocimiento facial mediante extracción no selectiva de imágenes faciales de internet o de circuitos cerrados de televisión;
• Inferir las emociones de personas en lugares de trabajo y centros educativos (salvo excepciones relacionadas con la seguridad).
• Usar sistemas de categorización biométrica que clasifiquen a personas sobre la base de los datos obtenidos para inferir su raza, opiniones políticas, convicciones religiosas, vida y orientación sexual, etc.
• Usar sistemas de identificación biométrica remota a tiempo real en espacios públicos con fines de garantía del cumplimiento del derecho, salvo excepciones.

Ningún sistema de IA a los que se aplica el Reglamento podrá, pues, ser empleado para los fines anteriores desde el 2 de febrero de 2025.

¿Qué son los requisitos de alfabetización de IA?

Otra de las obligaciones que entra en vigor es la de alfabetización en materia de IA. A través de ella, se obliga a proveedores de sistemas de IA (quienes los desarrollan o introduzcan en el mercado) o a los responsables de su despliegue (quienes los usen, bajo su propia autoridad, con fines profesionales) a que adopten medidas para que su personal tenga un nivel suficiente de conocimiento de cómo funciona esta tecnología. No se dan pistas de cuáles deben, en concreto, ser estas medidas de formación y capacitación. Pero se dan criterios como, por ejemplo, que la formación debe centrarse en las personas que, en nombre del proveedor o responsable del despliegue, se encarguen de hacer funcionar el sistema de IA o quienes vayan a usarlo. También que deberán tenerse en cuenta los conocimientos técnicos, educación, experiencia y formación de estas personas, así como el contexto en el que se van a usar los sistemas.

¿A quién afecta? ¿Cómo actuar?

En este caso se trata de un mandato dirigido a proveedores de sistemas de IA, pero también, como decíamos, a los responsables de su despliegue -quienes los usen, bajo su propia autoridad, con fines profesionales-. Y la obligación consiste en que estas empresas adopten medidas para que su personal tenga un nivel suficiente de conocimiento de cómo funciona esta tecnología. Las empresas las componen personas, y los errores que estas pueden cometer por estar mal informadas en relación con el tratamiento que deben dar a estos sistemas o a cómo deben usarlos dentro de su ejercicio profesional, pueden tener consecuencias importantes. Esta obligación se dirige, por tanto, a la evitación o minimización del error humano. Aunque no se hace de forma explícita en la norma, parece claro que estas medidas deberán consistir en la implementación de un programa de sesiones de formación y capacitación del personal que vaya a estar en contacto y vayan a usar algoritmos de IA dentro de cada organización, ya que el RIA dice que “deberán centrarse en las personas que, en nombre del proveedor o responsable del despliegue, se encarguen de hacer funcionar el sistema de IA o en quienes vayan a usarlo”. También que deberán tenerse en cuenta los conocimientos técnicos, educación, experiencia y formación de estas personas, así como el contexto en el que se van a usar los sistemas.

Violeta Arnaiz. Directora de Propiedad Intelectual, Inteligencia Artificial y Software