Qué has de tener en cuenta si usas IA en tu empresa: el Reglamento de la UE sobre inteligencia artificial
- Ruth Vilaró Beloso
- 23 ago
- 5 Min. de lectura
En este artículo comentamos de manera resumida los puntos clave a tener en cuenta por parte de las empresas que usan IA en sus procesos internos de negocio, que son desarrolladores o comercializadores de sistemas de IA, o que incorporan IA en sus productos y servicios, según el Reglamento (UE) 2024/1689 del Parlamento Europeo y el Consejo, que establece un marco jurídico armonizado para el uso de la inteligencia artificial en la Unión Europea.
Calendario de aplicación: algunas prohibiciones entran en vigor el 2 de febrero de 2025; la aplicación completa será progresiva hasta agosto de 2026, dando tiempo a las empresas para adaptarse. Las fechas clave a tener en cuenta son las siguientes:
Fechas clave para pymes
Fecha | Implicación principal |
2 febrero 2025 | Prohibición de sistemas de riesgo inaceptable |
2 agosto 2025 | Aplicación de normas a modelos de IA de propósito general |
2 agosto 2026 | Fin del periodo transitorio y aplicación plena del reglamento |
Si tu empresa trabaja con IA, este reglamento no es solo una obligación legal: puede convertirse en una oportunidad para diferenciarse por calidad, ética y fiabilidad.
Lo primero a tener en cuenta, es la clasificación obligatoria que establece el Reglamento para los sistemas que incorporan IA respecto a su grado de riesgo. Se establecen tres categorías:
Alto riesgo: Requiere evaluaciones previas, documentación técnica, trazabilidad, supervisión humana y registro en la base de datos de la UE.
Riesgo limitado: Transparencia básica (por ejemplo, informar al usuario que está interactuando con una IA).
Riesgo inaceptable: Prohibido (como sistemas de puntuación social o manipulación subliminal).
Para facilitar la tarea de clasificación, el Reglamento establece las siguientes obligaciones:
Documentación técnica: Las empresas deben mantener registros detallados sobre el diseño, funcionamiento y uso de sus sistemas de IA.
Evaluación de conformidad: Antes de lanzar un sistema de alto riesgo, se debe demostrar que cumple con los requisitos del reglamento.
Supervisión humana: Los sistemas no pueden operar de forma completamente autónoma si existe riesgo para derechos fundamentales
Además, se establecen como obligaciones específicas para las empresas las siguientes:
Informar al usuario cuando interactúe con una IA (por ejemplo, chatbots o asistentes virtuales).
Evaluar el riesgo del sistema de IA que utilizan o comercializan.
Verificar proveedores: Si contratan soluciones de IA externas, deben asegurarse de que cumplen con el reglamento.
Formación interna: Se recomienda alfabetizar al equipo en el uso ético y legal de la IA.
Pero qué entiende el Reglamento por riesgo para los derechos fundamentales. Un ejemplo de este tipo de riesgo es la aplicación de sistemas de inteligencia artificial a las bases de datos de tipo biométrico. El Reglamento busca el equilibrio entre el uso legítimo de la IA biométrica con la protección de la privacidad, la dignidad y la no discriminación. A continuación, un breve resumen de los puntos clave que el Reglamento (UE) 2024/1689 establece en relación a la información biométrica, dado su impacto directo en los derechos fundamentales:
¿Qué se entiende por biometría en el reglamento?
Datos biométricos: Información sobre características físicas, fisiológicas o conductuales (como rostro, voz, forma de andar, ritmo cardíaco, etc.) que permiten identificar o categorizar a una persona.
Identificación biométrica: Reconocimiento automatizado de una persona comparando sus datos con una base de datos de referencia.
Verificación biométrica: Confirmación de identidad para acceder a un servicio o dispositivo (por ejemplo, desbloquear un móvil).
Categorización biométrica: Clasificación de personas en grupos según sus rasgos biométricos (edad, sexo, religión, orientación política, etc.).
Prácticas prohibidas
Categorización biométrica para deducir orientación política, religiosa o sexual está expresamente prohibida.
Identificación biométrica remota en tiempo real en espacios públicos solo se permite en casos excepcionales y bajo estricta autorización judicial o administrativa.
Reconocimiento de emociones basado en datos biométricos también está regulado, especialmente si se usa para manipular o influir en el comportamiento humano.
Casos permitidos con condiciones
Identificación biométrica remota puede usarse en tiempo real solo para:
Buscar víctimas de delitos.
Prevenir amenazas graves (como atentados terroristas).
Identificar sospechosos de delitos graves (pena mínima de 4 años).
En estos supuestos se requiere de manera imprescindible el cumplimiento de las siguientes condiciones:
Evaluación de impacto sobre derechos fundamentales.
Autorización previa (salvo urgencia justificada).
Registro en la base de datos de sistemas de alto riesgo.
Salvaguardas y excepciones
La verificación biométrica para desbloquear dispositivos o acceder a servicios no se considera de alto riesgo.
Los filtros faciales o corporales en redes sociales o tiendas online pueden estar exentos si son accesorios técnicos inseparables del servicio principal.
Los espacios de acceso público se definen con precisión para evitar ambigüedades (por ejemplo, estaciones, parques, tiendas, etc.).
Algunos ejemplos de los usos de la biometría integrados con sistemas de inteligencia artificial son:
biometría | Ejemplo de uso con IA |
Reconocimiento facial | Desbloqueo de móviles, control de acceso en edificios, verificación en aeropuertos |
Huellas dactilares | Identificación en bancos, asistencia laboral, dispositivos de seguridad |
Reconocimiento de iris | Autenticación en instalaciones de alta seguridad y fronteras |
Reconocimiento de voz | Asistentes virtuales, banca telefónica, validación en apps |
Análisis de comportamiento | Detección de patrones de marcha, gestos o ritmo cardíaco |
Su aplicación abarca sectores clave como los siguientes:
Finanzas: Verificación de identidad para prevenir fraudes y cumplir con normativas KYC (Know Your Customer).
Movilidad: Control de acceso en transporte público y vehículos compartidos.
Salud: Identificación de pacientes y protección de historiales médicos.
Educación: Autenticación en exámenes online y plataformas educativas.
Retail y e-commerce: Personalización de experiencias y seguridad en pagos.
Sistemas de identificación digital: certificados digitales, y sistemas similares
Los principales desafíos que enfrenta esta regulación son la prevención y lucha contra casos como los Deepfakes y suplantación: para detectar intentos de fraude mediante imágenes o voces falsas.
Para poder evaluar y clasificar un sistema de IA como riesgo sistémico, se tienen en cuenta los siguientes criterios:
Escala de uso
El modelo se utiliza de forma masiva en múltiples sectores o aplicaciones críticas.
Capacidad de influencia
Tiene potencial para afectar procesos democráticos, seguridad pública o derechos fundamentales.
Nivel de autonomía
Puede tomar decisiones sin supervisión humana directa, especialmente en contextos sensibles.
Impacto transfronterizo
Su uso o efectos se extienden más allá de un solo Estado miembro de la UE.
Capacidad de adaptación
El modelo puede autoaprender y evolucionar, lo que dificulta prever sus resultados.
Dependencia de terceros
Otros sistemas de IA o servicios se basan en este modelo, amplificando su impacto.
Riesgo de uso indebido
Puede facilitar prácticas prohibidas como manipulación subliminal, categorización biométrica sensible o puntuación social.
Este tipo de clasificación implica obligaciones adicionales para los proveedores, como evaluaciones de impacto, documentación técnica más rigurosa y medidas de transparencia reforzadas.
Espero que esta lectura te haya resultado útil, quedo a tu disposición para cualquier consulta.
Comentarios