Situación normativa actual del IA Act Entrada 2 — Prácticas prohibidas: lo que ya no se puede hacer desde 2025

Situación normativa actual del IA Act

Entrada 2 — Prácticas prohibidas: lo que ya no se puede hacer desde 2025

Qué prohíbe exactamente el Artículo 5

El IA Act identifica un conjunto de usos de la IA que se consideran riesgo inaceptable y, por tanto, están prohibidos en la UE. El artículo 5 enumera estas prácticas, que incluyen:

·       Manipulación subliminal o técnicas manipulativas o engañosas que distorsionen de forma apreciable la capacidad de decisión de una persona y puedan causar un daño significativo.

·       Explotación de vulnerabilidades derivadas de edad, discapacidad o situación social o económica, cuando ello distorsione el comportamiento y pueda causar daño.

·       Sistemas de puntuación social basados en comportamiento o características personales, que generen trato perjudicial injustificado o desproporcionado.

·       Predicción del riesgo de cometer delitos basada únicamente en perfiles o rasgos de personalidad, sin hechos objetivos vinculados a una actividad delictiva.

·       Creación o ampliación de bases de datos faciales mediante scraping indiscriminado de imágenes de internet o CCTV.

·       Inferencia de emociones en el trabajo o en centros educativos, salvo excepciones muy limitadas.

·       Identificación biométrica remota en tiempo real en espacios públicos para fines policiales, salvo excepciones tasadas (búsqueda de víctimas, amenazas terroristas, delitos graves).

Las guías de la Comisión aclaran que estas categorías se interpretan de forma estricta y que la clave está en la combinación de técnica empleada, intención o efecto, y riesgo de daño significativo.

 

Por qué estas prácticas están prohibidas

El legislador europeo considera que estos usos:

·       vulneran derechos fundamentales de forma estructural,

·       generan asimetrías de poder inaceptables,

·       pueden producir daños psicológicos, sociales, económicos o legales,

·       y no pueden mitigarse adecuadamente mediante controles técnicos o humanos.

Por eso no se someten al régimen de alto riesgo ni a evaluaciones de conformidad: están fuera del mercado europeo.

 

Qué debe hacer una organización para cumplir

La obligación es inmediata y absoluta. Para garantizar cumplimiento:

·       Auditoría interna de todos los sistemas de IA para detectar si alguno encaja en las categorías prohibidas.

·       Revisión de proveedores y terceros: verificar que no incorporan funcionalidades prohibidas (por ejemplo, módulos de emotion recognition en entornos laborales).

·       Política interna de veto: documento claro que establezca que la organización no desarrollará, adquirirá ni usará sistemas incluidos en el artículo 5.

·       Formación específica para equipos técnicos, de producto, RR. HH., marketing y seguridad.

·       Documentación justificativa cuando un sistema pueda estar cerca de un límite (por ejemplo, análisis de si una funcionalidad de “engagement” podría considerarse manipulación).

·       Procedimiento de retirada inmediata si se detecta un uso prohibido en cualquier fase del ciclo de vida.

 

Señales de alerta para equipos de compliance

·       Funciones que “influyen” en decisiones sin transparencia.

·       Sistemas que clasifican personas según rasgos psicológicos o emocionales.

·       Cualquier uso de reconocimiento facial no estrictamente necesario y proporcional.

·       Modelos entrenados con imágenes faciales obtenidas sin consentimiento o sin finalidad específica.

·       Herramientas que prometen “predecir comportamientos futuros” de individuos.

 

Conexión con la siguiente entrada

Tras entender qué está prohibido, el siguiente paso natural es abordar cómo identificar si un sistema es de alto riesgo, porque es la categoría que concentra la mayor parte de obligaciones técnicas y organizativas.