Empecemos por una aclaración muy necesaria: si, a estas alturas, tienes la sensación de vivir en el día de la marmota porque ya te parece haber leído u oído que el Reglamento sobre IA entró en vigor el año pasado… la respuesta es sí, pero no.

El 1 de agosto de 2024, entró en vigor el Reglamento sobre IA de la Unión Europea. Sin embargo, ninguno de sus requisitos se empezó a aplicar en aquella fecha, sino que irán siendo aplicables de forma paulatina hasta la fecha de aplicación definitiva del Reglamento completo, que será el 2 de agosto de 20271.

Entonces, ¿qué fue lo que pasó hace unas pocas semanas?

El hito que tuvo lugar el 2 de febrero fue la entrada en aplicación de una parte del Reglamento, los capítulos 1 y 2, para ser precisos.

El capítulo 1 recoge las partes más generales del Reglamento, como su ámbito de aplicación o un listado de definiciones. También, incluye la obligación para las empresas afectadas por el Reglamento de asegurar un nivel suficiente de alfabetización en materia de IA a su personal.

Pero, seguramente, lo más llamativo es lo contenido en el capítulo 2, que es el artículo sobre las prohibiciones, que delimita de forma tajante qué cosas no se pueden hacer mediante inteligencia artificial en la Unión Europea. Las prohibiciones contenidas en este artículo 5 son, fundamentalmente, aquellos usos de la IA que puedan afectar a los derechos fundamentales o la dignidad humana de los ciudadanos de la Unión Europea:

• Uso de IA para manipulación cognitiva o conductual subliminal. Por ejemplo, sistemas que detecten y aprovechen subrepticiamente la ludopatía de alguien para llevarle a sitios de apuestas.

• Explotación de vulnerabilidades. IA que explote vulnerabilidades debido a edad, discapacidad o condición socioeconómica con el fin de influir en su comportamiento y causarles daño.

• Puntuación social. Prohibición del uso de IA para clasificar a ciudadanos en función de su comportamiento social o características personales, cuando esto pueda llevar a un trato injusto o discriminatorio.

• Predicción de riesgo de comisión de delitos, cuando estos sistemas se basen exclusivamente en las características o perfilado de las personas.

• Recopilación masiva de imágenes faciales para la creación de sistemas de identificación biométrica.

• Reconocimiento de emociones en el entorno laboral y educativo, debido a su escasa fiabilidad, su falta de especificidad y su limitada generalizabilidad.

• Categorización biométrica basada en datos sensibles. Se prohíbe clasificar a personas utilizando datos biométricos que revelen características sensibles (como origen étnico, creencias religiosas u orientación sexual).

• Identificación biométrica remota en tiempo real en espacios públicos, salvo excepciones específicas para la lucha contra delitos graves y bajo autorización judicial.

¿A qué sanciones se enfrentan las empresas que se salten esas prohibiciones?

Esta pregunta tiene una respuesta corta y una larga:

• La respuesta corta es que las empresas que violen esas prohibiciones absolutas se enfrentan a sanciones de hasta 35 millones de euros o el 7% de la facturación global anual, lo que sea mayor.

• La respuesta larga es que estas sanciones no empezarán a aplicarse hasta agosto de este año. Además, todavía hoy, hay una gran incógnita a este respecto: qué organismo se encargará en España de aplicar ese régimen sancionador2.

¿Cuál es el siguiente hito del Reglamento sobre IA?

Tendremos que esperar hasta agosto de 2026 para que se aplique la inmensa mayoría del contenido del Reglamento. En ese momento, entrará en vigor todo lo relacionado con los sistemas de IA considerados de alto riesgo, como los sistemas de identificación biométrica, los usados en infraestructuras críticas o los usados por las fuerzas y cuerpos de seguridad.

En esa fecha, las empresas que produzcan o implanten ese tipo de sistemas de alto riesgo tendrán que cumplir con una serie de obligaciones tales como disponer de un sistema completo de gestión de riesgos de IA, mantener documentación y registros completos, llevar un buen gobierno de los datos usados por la IA y varias cosas similares más.

¿Era necesario este Reglamento sobre IA?

El Reglamento es, ahora mismo, la regulación más estricta y detallada a nivel global. Si lo comparamos con la legislación de otros países, la europea es la que impone más obligaciones para garantizar que los sistemas de IA sean seguros, transparentes, éticos y que respeten los derechos fundamentales.

Ahora bien, seamos realistas: estas obligaciones legales tienen un coste. O varios, mejor dicho. No en vano, abundan quienes acusan a esta ley de poner demasiadas trabas a la innovación y la comparan con las existentes en Estados Unidos o en el Reino Unido, mucho más flexibles.

No obstante, con este tema me pasa como cuando oigo a alguien quejarse de que los trámites para constituir una empresa dificultan sacar adelante un negocio: siempre pienso que ojalá la mayor dificultad para que un negocio prospere fueran los trámites de constitución de la sociedad. Pues con esto de la IA y su regulación me pasa igual: ojalá las únicas razones por las que Europa o España no están innovando al ritmo de China o de EE. UU. fuera la regulación3, porque eso sería muy fácil de resolver.

La mejor prueba de que este no es nuestro principal problema es que la mayor parte de este Reglamento no es de aplicación todavía hoy y, sin embargo, en la carrera de la IA llevamos retrasados ya bastantes años.

Va a ser que el problema no está en la Ley.