El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, por el que se establecen normas armonizadas en materia de Inteligencia Artificial, más conocido como el Reglamento de Inteligencia Artificial o RIA, ha establecido un periodo progresivo del cumplimiento de sus obligaciones.
Ayer, 2 de febrero de 2025, pasaron a ser de aplicación los Capítulos I y II, los cuales suponen la obligatoriedad de alfabetización en materia de Inteligencia Artificial y la prohibición de determinas prácticas, llevadas a cabo por sistemas de Inteligencia Artificial.
La principal cuestión de todo esto, es si las empresas están preparadas para dar cumplimiento a estos criterios.
Ámbito de aplicación:
Para ello, lo primero que debemos ver, es si nuestra empresa se encuentra dentro del ámbito de aplicación del RIA, el cual está comprendido:
- Por empresas que se encuentren en territorio de la Unión, independientemente de si estos son proveedores, importadores, distribuidores, fabricantes y/o responsables del despliegue de Sistemas de Inteligencia Artificial.
- Empresas que provean, importen, distribuyan y/o fabriquen Sistemas de Inteligencia Artificial, independientemente de si se encuentran en territorio de la Unión o no, pero las personas afectadas por el Sistema se encuentren ubicadas en la Unión.
Obligaciones de aplicación en Febrero de 2025:
La primera de ellas es referente a la Alfabetización en materia de IA, lo que supone que las empresas deben aplicar políticas y protocolos de capacitación de su personal, en materia de Inteligencia Artificial, teniendo en cuenta sus conocimientos técnicos, su experiencia, su educación y su formación, así como el contexto previsto de uso del Sistema de IA y las personas o los colectivos de personas en que se van a utilizar dichos sistemas.
La segunda cuestión que deben tener en cuenta las empresas, es que los Sistemas de IA no lleven a cabo prácticas prohibidas, las cuales, tal y como indica su nombre, se encuentran en un incumplimiento total y se pueden clasificar como aquellos sistemas de IA que se utilicen para los siguientes usos:
- Uso de técnicas subliminales, manipuladoras o engañosas, para alterar el comportamiento de una personas o colectivo, mermando la capacidad para tomar una decisión y haciendo que se tome una decisión que de otro modo no hubiera tomado.
- Uso de técnicas que exploten vulnerabilidades de una persona o colectivo de personas, referente a su edad, discapacidad o situación social, de manera que alteren su comportamiento.
- Evaluación o clasificación de personas durante un tiempo determinado atendiendo a su comportamiento social o a características personales o de su personalidad conocidas, inferidas o predichas de forma que la puntuación pueda conllevar un trato desfavorable.
- Realizar evaluaciones de riesgos de personas físicas, con el fin de valorar o predecir el riesgo de que una personas cometa un delito, basándose en la elaboración del perfil de una persona o en la evaluación de los rasgos y características de su personalidad.
- Crear o ampliar bases de datos de reconocimiento facial, mediante la extracción no selectiva de imágenes faciales de internet o de circuitos cerrados de televisión.
- Inferir en las emociones de una persona física en los lugares de trabajo y en los centros educativos, excepto cuando el sistema de IA esté destinado a ser instalado por motivos médicos o de seguridad.
- Categorización biométrica que clasifique individualmente a las personas físicas sobre la base de sus datos biométricos, para reducir o inferir su raza, opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas, vida sexual u orientación sexual.
- Uso de sistemas de identificación biométrica remota “en tiempo real”, en espacios de acceso público, con fines de garantía del cumplimiento de derecho, salvo que sea estrictamente necesario, para la búsqueda selectiva de víctimas de secuestro, la prevención del terrorismo, la lucha contra la trata de personas, entre otros.
Por último, cabe destacar que el RIA establece severas sanciones económicas para quienes incumplan estas obligaciones, incluyendo multas administrativas significativas, que pueden ascender hasta 35 millones de euros o el 7% del volumen de negocio mundial total correspondiente al ejercicio financiero anterior, si esta cuantía fuese superior.