Las empresas tienen tres días para eliminar los sistemas de IA que sean inseguros para los usuarios

Participación de Cristina Villasante, socia de ECIJA Madrid, en el artículo publicado en Cinco Días.

El próximo 2 de febrero se cumple la fecha límite que el reglamento de inteligencia artificial (RIA) concedió a las compañías para eliminar todos los sistemas que pongan en riesgo los principios europeos. En esencia, aquellos que vulneren los derechos fundamentales de los ciudadanos, como la privacidad, la salud o seguridad de las personas. La normativa entró en vigor el pasado mes de agosto y la Unión Europea ha dado un margen de seis meses a los Estados miembros para adaptarse a parte de las nuevas obligaciones. Si las mercantiles no están listas, tendrán que afrontar (a partir de agosto de 2025) multas que pueden llegar a los 35 millones de euros o al 7% de su facturación anual.

Llegado el día, todas las empresas deben cumplir un abanico de medidas. Dichas obligaciones se recogen en el artículo 5 del reglamento que prohíbe, entre otras actividades, usar sistemas que empleen técnicas engañosas para manipular el comportamiento de los usuarios o que extraigan imágenes faciales de Internet; aplicaciones que deduzcan el estado emocional de los usuarios en entornos laborales o educativos (salvo por motivos médicos o de seguridad); sistemas de IA para predecir delitos basándose únicamente en la personalidad de los delincuentes o herramientas de reconocimiento facial en espacios públicos (salvo que sea necesario por motivos policiales).

Sin embargo, muchas compañías aún no han dado los primeros pasos para cumplir con la normativa. Cristina Villasante, socia del área de TMT en ECIJA, advierte que la complejidad jurídica y técnica de la norma dificulta su implementación, dejando a numerosas empresas en riesgo de sanciones.

Además, el auge de herramientas como DeepSeek plantea nuevos desafíos en privacidad y protección de datos. ECIJA destaca la necesidad de un enfoque estratégico y legal sólido para garantizar el cumplimiento normativo en un entorno cada vez más exigente.

Algunos puntos clave para cumplir el reglamento IA

Prevención. Las compañías que operen con inteligencia artificial deberán poner en marcha un plan para detectar, prevenir y eliminar las posibles amenazas de su sistema para los usuarios, según explica Cristina Villasante,  socia del área de TMT en Ecija. Para ello, añade Alejandro Padín, socio del área de economía del dato, privacidad y ciberseguridad de Garrigues, las empresas deberán desarrollar sistemas/herramientas de evaluación para acreditar que su sistema es seguro.