Osborne Clarke advierte que las empresas tienen menos de 10 semanas para eliminar herramientas de IA prohibidas que se utilicen o comercialicen en la UE

En caso de incumplimiento se enfrentarán a procedimientos sancionadores, incluidas posibles multas significativas

Incluye IA que pueda ser engañosa, manipuladora o que explote vulnerabilidades relacionadas con la edad y la discapacidad.

El uso de bases de datos de reconocimiento facial creadas mediante web scraping y ciertos casos de uso biométrico también se verán afectados.

Las sanciones por incumplimiento incluyen multas de hasta 35 millones de euros o el 7% de la facturación mundial

Los abogados especializados en inteligencia artificial (IA) de Osborne Clarke, despacho internacional con sede en Bruselas y oficinas en España, están alertando a las empresas en la Unión Europea (UE) y a las organizaciones globales con clientes en la región, que tienen menos de 10 semanas para retirar una serie de herramientas de IA prohibidas o podrían enfrentarse a multas significativas.

El nuevo Reglamento de IA de la UE entró en vigor el 1 de agosto de 2024, convirtiéndose en el primer marco legal del mundo que aborda los riesgos asociados con la IA y proporciona a los desarrolladores y usuarios directrices claras sobre usos específicos de la tecnología. Sin embargo, el Reglamento también especifica una serie de categorías de IA que estarán específicamente prohibidas a partir de seis meses de su entrada en vigor, es decir, desde el 2 de febrero de 2025.

El incumplimiento de la retirada de estos sistemas de IA en la UE podría implicar que, desde el 2 de agosto de 2025, las autoridades nacionales de los países de la UE puedan imponer multas de hasta 35 millones de euros o el 7% de la facturación global (lo que sea mayor), según lo establecido en el artículo 99(3) de la Ley de IA.

Rafael García del Poyo, socio director del Departamento de Derecho de IT/IP en Osborne Clarke España ha subrayado: "Dados los plazos establecidos en el Reglamento europeo de IA, resulta esencial que las empresas pongan en marcha de forma inmediata procesos dirigidos a analizar cualquier herramienta de IA que pueda entrar en conflicto con las disposiciones aplicables del Reglamento. Resulta esencial que las empresas no sólo eliminen dentro de los plazos previstos las herramientas de IA consideradas prohibidas, sino que también implementen procedimientos internos destinados a abordar la gestión de los riesgos derivados del uso de cualquier tipo de herramientas de IA y a dotarlas de la transparencia necesaria para cumplir con estas nuevas obligaciones legales. En nuestra opinión, el Reglamento de IA no sólo redefine el marco general de cumplimiento normativo, sino que también viene a establecer un nuevo régimen de responsabilidad sobre la utilización del software y los productos tecnológicos por parte de las empresas y organizaciones".

Benjamin Docquir, director de IP, IT y datos en Osborne Clarke Bruselas, ha comentado: "Con menos de 10 semanas para garantizar el cumplimiento, las empresas deben actuar rápidamente para evaluar sus riesgos en esta área y desarrollar planes que aborden posibles áreas de incumplimiento. Las multas han sido fijadas a un nivel más del doble que las del RGPD, y esperamos que la UE aplique el nuevo régimen desde el primer día; no esperamos un periodo de gracia como ocurrió con el RGPD. La Comisión Europea cree que se ha dado suficiente aviso para que todas las empresas de la UE, incluidas aquellas bajo el Acuerdo del Espacio Económico Europeo, y las organizaciones internacionales con presencia en la UE, cumplan con las normativas".

La Dra. Lina Boecker, socia de IT y datos en Osborne Clarke en Alemania, ha añadido: "Es crucial que las empresas comiencen a analizar qué sistemas y modelos de IA ya están utilizando y cuáles planean usar en el futuro próximo. Los ciclos de desarrollo de IT pueden ser bastante largos, por lo que es importante no solo implementar un proceso para eliminar la IA prohibida, sino también evaluar qué medidas deben adoptarse para cumplir con las obligaciones del Reglamento de IA, como los requisitos de transparencia, sistemas de gestión de riesgos y necesidades de documentación. El cumplimiento de software se convierte cada vez más en una cuestión de responsabilidad del producto, y el Reglamento de IA es ahora una parte clave de eso".

Prohibiciones según el artículo 5 de la Ley de IA

Las aplicaciones de IA prohibidas incluyen aquellas que supongan riesgos inaceptables para la salud, la seguridad o los derechos fundamentales. Entre ellas se encuentran:

Sistemas de IA que utilicen técnicas subliminales, manipuladoras o engañosas para distorsionar significativamente el comportamiento de las personas, causando daño grave.
Sistemas que exploten vulnerabilidades relacionadas con la edad, la discapacidad o circunstancias socioeconómicas para influir en el comportamiento y causar daño significativo.
Puntuaciones sociales basadas en características personales que resulten en un trato discriminatorio.
Creación de bases de datos de reconocimiento facial mediante web scraping no autorizado o uso de imágenes de CCTV.
Sistemas de inferencia emocional en entornos laborales o educativos, salvo por motivos médicos o de seguridad.
Categorización biométrica que utilice datos sensibles, como raza, religión u orientación sexual, salvo excepciones para la aplicación de la ley.
Sistemas de IA utilizados para predecir delitos basándose únicamente en perfiles o características de personalidad.
Reconocimiento facial remoto en tiempo real en espacios públicos, con excepciones limitadas.

Próximos plazos

2 de agosto de 2025: Entran en vigor las disposiciones sobre IA de propósito general y normas de gobernanza.
2 de agosto de 2026: Entran en vigor las reglas para modelos de alto riesgo definidos en el Anexo III.
2 de agosto de 2027: Aplicación de normas de IA en sistemas sujetos a la legislación de seguridad de productos de la UE.