Primer paso dentro de la aplicación de la ley europea de IA: entran en vigor las prácticas prohibidas

La lentitud de los procedimientos comunitarios, cuyos reglamentos deben atravesar multitud de cauces normativos y ser validados en diferentes ocasiones, hace que con el despliegue de ciertas normas parezca que se vive en el Día de la Marmota. 

Uno de los grandes ejemplos es la ley europea de IA (AI Act, en inglés) que, como marca la norma, tuvo que ser aprobada por todos los organismos de la UE y publicada en el Diario Oficial de la Unión Europea (DOUE). Esto último ocurrió el 12 de julio de 2024, lo que inició la cuenta atrás de 20 días establecida por ley para lo que se concibió como "su entrada en vigor", que coincidió con el 1 de agosto del año anterior. Sin embargo, esto solo abrió la veda para un nuevo calendario que termina en 2026, cuando será de obligado cumplimiento en su totalidad. 

Hasta entonces, la legislación contempla una serie de fechas clave en la que irán aplicándose diferentes aspectos de la misma, el primero de los cuales, relativo a las prácticas prohibidas, se cumple este mismo domingo, 2 de febrero, seis meses después de la consolidación de la ley. 

Prácticas prohibidas 

En concreto, la regulación europea recoge las prohibiciones en el Capítulo II de la norma, donde restringe la comercialización, puesta en servicio o el uso de un sistema de IA que utilice técnicas engañosas o que puedan manipular el comportamiento de una persona o su toma de decisiones; que explote las vulnerabilidades de edad, discapacidad o situación social o económica; o la evaluación de personas en función de su comportamiento social o de sus características a través de puntuación que pueda derivar en un trato perjudicial.

También, se prohíben sistemas de IA para predecir el riesgo de que una persona cometa un delito basándose únicamente en su perfil o características; para ampliar bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales de internet o de grabaciones de CCTV; los enfocados en categorizar individualmente a personas basándose en datos biométricos; para inferir emociones en los ámbitos laboral o educativo; o los sistemas de identificación biométrica a distancia "en tiempo real" en espacios de acceso público con fines policiales, salvo excepciones, entre otros. 

Por tanto, las prácticas prohibidas recogidas en la ley deberán respetarse a partir de este domingo, a lo que se sumarán los códigos de buenas prácticas, que entrarán en vigor dentro de tres meses, así como las normas sobre la IA de uso general, incluida la gobernanza, que lo harán en seis meses y las obligaciones para los sistemas considerados de "alto riesgo", que lo harán en 30 meses, es decir, en agosto de 2026. 

Una ley enfocada en el riesgo

La norma desplegada por Europa apuesta por un enfoque basado en el riesgo, dividiendo los diferentes usos de esta tecnología en categorías que indican la peligrosidad que entrañan y estableciendo requisitos y obligaciones a los participantes en la cadena de valor. 

Así, a partir de la definición de sistema de IA establecida por la OCDE e integrada en el reglamento, la ley prohíbe aquellas prácticas consideradas de "riesgo inaceptable", que son las que, a partir de hoy, deben respetarse o, de lo contrario, se impondrán sanciones. 

En concreto, la norma contempla sanciones de hasta 35 millones de euros o el 7% de su facturación anual mundial para las compañías que realicen alguna de las prácticas prohibidas. También, incluye multas de hasta 15 millones o el 3% de la facturación para las que incumplan las obligaciones especificadas para proveedores, importadores, distribuidores o responsables del despliegue. 

Además, los reguladores precisan que el suministro de información incorrecta, incompleta o engañosa a los organismos o autoridades incluirá sanciones de hasta 7,5 millones de euros o el 1% de la facturación. Todo ello será gestionado a través de la AI Office, una entidad creada específicamente para esta legislación que se encargará de supervisar que los Estados miembros aplican la nueva normativa, supervisar los modelos de IA más avanzados y contribuir a fomentar las normas y prácticas de ensayo.