Prácticas de IA prohibidas: Europa interpreta los límites de la innovación

El impulso que ha tomado la inteligencia artificial (IA) en los últimos años en todos los aspectos de nuestra sociedad es innegable y, por ello, la Unión Europea se ha visto abocada a dar un paso al frente para regular su uso y garantizar la protección de los derechos fundamentales. El Reglamento (UE) 2024/1689 establece un marco armonizado para la comercialización, puesta en servicio y utilización de sistemas de IA en la Unión. En vigor desde el 1 de agosto de 2024, esta normativa clasifica los sistemas de IA en cuatro niveles de riesgo: inaceptable, alto, limitado y mínimo o nulo.

En este contexto, el 4 de febrero de 2025, apenas dos días después de que las disposiciones sobre prácticas de IA prohibidas comenzaran a aplicarse plenamente, la Comisión Europea publicó las directrices sobre las prácticas prohibidas en materia de IA. Este documento persigue aclarar qué usos y modalidades de IA conllevan un riesgo inaceptable y, por lo tanto, están estrictamente prohibidos en la UE, reforzando así la protección de los derechos fundamentales, la seguridad y el bienestar de los ciudadanos.

Un marco interpretativo necesario

Aunque no tienen carácter jurídicamente vinculante, las directrices de la Comisión Europea desempeñan un papel clave en la aplicación coherente del Reglamento de IA en todos los Estados miembros, detallando los elementos esenciales que caracterizan cada práctica prohibida y   ofreciendo ejemplos prácticos y aclaraciones para su correcta interpretación. Su propósito es ofrecer orientación tanto a las autoridades de supervisión como a los desarrolladores y las empresas que operan con sistemas de IA en la Unión Europea, delimitando claramente qué prácticas no son aceptables.

Prácticas de IA prohibidas y su interpretación en las directrices

Algunas aplicaciones de IA están categóricamente prohibidas debido a su potencial para causar daños tanto a las personas como a la sociedad en general. Las directrices se centran en aquellas prácticas que el Reglamento de IA considera de riesgo inaceptable.

Técnicas manipuladoras, subliminales o engañosas

Queda prohibido el empleo de técnicas que socavan la autonomía individual al operar de manera subliminal, manipuladora o engañosa, comprometiendo así la capacidad de tomar decisiones informadas. Su objetivo central es distorsionar el comportamiento de las personas, un propósito que conlleva un riesgo significativo de causar daños físicos, psicológicos, financieros o económicos. No se requiere intención de engañar; basta con que el sistema emplee métodos manipuladores. Un ejemplo sería la exhibición subvisual o subaudible de mensajes, imágenes o sonidos que influyen en le comportamiento sin percepción consciente.

No obstante, las técnicas de persuasión lícitas, que operan con transparencia y respeto por la autonomía individual, quedan excluidas de la prohibición. Esto incluye sistemas que ofrecen recomendaciones publicitarias personalizadas basadas en el consentimiento del usuario, así como aquellos que analizan las emociones del cliente para mejorar el servicio, siempre que operen de manera transparente.

Explotación de vulnerabilidades

Los sistemas que explotan factores derivados de la edad, discapacidad o situación socioeconómica de individuos o grupos, y que resultan en una distorsión significativa de su comportamiento con el consiguiente daño, están prohibidos. La vulnerabilidad debe estar directamente relacionada con estos factores específicos. Un ejemplo claro de esto serían los sistemas que emplean publicidad engañosa para promover productos financieros dirigidos a grupos económicamente vulnerables, aprovechándose de su situación precaria para inducir decisiones perjudiciales.

Social scoring

Aquellos sistemas de IA que evalúan y puntúan a individuos basándose en su comportamiento social y características personales a lo largo del tiempo están prohibidos si dicha puntuación resulta en un trato perjudicial, desfavorable, injustificado o desproporcionado. Esta prohibición se aplica independientemente de si la puntuación es generada por la misma organización que la utiliza. Un ejemplo de esto sería un sistema que puntúa a las personas en función de su actividad en redes sociales y utiliza esa puntuación para determinar su elegibilidad para un empleo, vivienda o seguro.

Evaluación del riesgo de delitos

Quedan prohibidos los sistemas de evaluación de riesgos delictivos que predicen la probabilidad de que una persona cometa un delito basándose exclusivamente en perfiles y rasgos de personalidad, sin datos objetivos verificables. Esta prohibición se extiende a entidades privadas que actúan en nombre de autoridades policiales o que deben garantizar el cumplimiento de obligaciones legales relacionadas con delitos (por ejemplo, blanqueo de capitales). Un ejemplo de este tipo de prohibición son los algoritmos que predicen la criminalidad basándose en el origen étnico, la nacionalidad o los antecedentes familiares.

Extracción no selectiva de imágenes faciales

La extracción ("scrapping") indiscriminada de imágenes faciales mediante IA, ya sea de Internet o de cámaras de seguridad, para crear o ampliar bases de datos de reconocimiento facial queda prohibida. Esto incluye, por ejemplo, la recopilación por parte de empresas de imágenes de redes sociales para entrenar sistemas de reconocimiento facial.

Reconocimiento de emociones en lugares de trabajo o educativos

Se prohíben los sistemas de IA orientados a detectar o inferir emociones e intenciones en entornos laborales y educativos a partir de datos biométricos, como expresiones faciales, posturas o microexpresiones. Esto incluye sistemas que analizan el "entusiasmo" en entrevistas de trabajo o que monitorizan las expresiones faciales para evaluar la participación de los estudiantes, pero también hay excepciones por razones médicas o de seguridad, como medir la fatiga de conductores o el estrés al usar maquinaria peligrosa.

Categorización biométrica

Se prohíbe la categorización biométrica que infiere características sensibles como origen étnico, creencias políticas, orientación sexual o religión, con el objetivo de categorizar a las personas y que pueda resultar en un trato discriminatorio. Un ejemplo claro de esta prohibición serían los sistemas de IA que clasifican a las personas según su tono de piel y asocian estos perfiles con estadísticas de delincuencia.

Identificación biométrica en tiempo real

La identificación biométrica en tiempo real en espacios públicos con fines policiales está prohibida, excepto en casos específicos como la búsqueda de víctimas o la prevención de amenazas inminentes. Esta prohibición no se aplica a sistemas de control de acceso en zonas restringidas.

Comentario de Osborne Clarke

Aunque las prohibiciones sobre estas prácticas entraron en vigor el 2 de febrero de 2025, el régimen sancionador no será aplicable hasta el 2 de agosto del mismo año. Las sanciones previstas por el Reglamento de IA son de una severidad considerable, pudiendo alcanzar hasta el 7% del volumen de negocios global de una empresa o 35 millones de euros, prevaleciendo la cifra que resulte mayor. Además, la responsabilidad no recae únicamente en los proveedores; sino que las organizaciones que utilicen sistemas de IA prohibidos también podrán ser sancionadas.

En este contexto, el cumplimiento del Reglamento de IA se convertirá en una pieza estratégica para cualquier organización que desarrolle, suministre o utilice sistemas de IA. La aplicación de esta norma no solo implica la mitigación de importantes riesgos legales y financieros, sino que también puede determinar el futuro de la empresa en un mercado cada vez más regulado.