8 prácticas de IA que ya son ilegales en España bajo el Reglamento de IA de la UE

El cumplimiento de la inteligencia artificial ya no consiste únicamente en prepararse para futuras obligaciones de IA de alto riesgo.

Para algunas prácticas de IA, la línea legal ya se ha cruzado.

Bajo el Reglamento de IA de la UE, las prácticas de IA prohibidas y las obligaciones de alfabetización en IA entraron en aplicación desde el 2 de febrero de 2025. Eso significa que ciertos sistemas de IA no son simplemente “de alto riesgo” o “sujetos a futuros requisitos de documentación”. Ya están prohibidos en la

Para las empresas españolas, esto importa de inmediato.

Unión Europea, incluida España. La Comisión Europea también confirma que las normas posteriores para sistemas de alto riesgo siguen calendarios de aplicación separados, incluidos periodos de transición ampliados para ciertos sistemas de productos regulados. (Digital Strategy)

Para las empresas españolas, esto importa de inmediato.

Una empresa puede estar esperando los plazos posteriores de IA de alto riesgo, pero si utiliza un sistema de IA que entra dentro de las prácticas prohibidas del Artículo 5, el problema no es preparación futura. Es exposición legal actual.

Esto es especialmente importante para organizaciones que utilizan IA en contratación, monitorización de empleados, perfilado de clientes, identificación biométrica, educación, seguros, finanzas, servicios de cara al público, plataformas online o toma de decisiones automatizada.

España también avanza rápidamente en gobernanza de IA. AESIA, la autoridad supervisora de IA de España, ya ha publicado orientación práctica para apoyar la implementación del Reglamento de IA, incluidas listas de comprobación y guías técnicas para áreas como gestión de riesgos, gobernanza de datos, transparencia, ciberseguridad, registros, documentación y supervisión humana. (aesia.digital.gob.es)

Esta guía explica las 8 prácticas de IA ya prohibidas bajo el Reglamento de IA de la UE, qué significan en situaciones empresariales reales y qué deben hacer ahora las organizaciones españolas para evitar desplegar sistemas que nunca deberían utilizarse en primer lugar.

Qué son las prácticas de IA prohibidas bajo el Reglamento de IA de la UE

El Reglamento de IA de la UE utiliza una estructura basada en riesgos.

Algunos sistemas de IA son de bajo riesgo. Algunos están sujetos a obligaciones de transparencia. Algunos son de alto riesgo y requieren gobernanza, documentación, gestión de riesgos y supervisión humana. Pero un pequeño grupo de prácticas de IA se considera tan perjudicial para los derechos fundamentales, la autonomía humana y la confianza pública que la ley las prohíbe directamente.

Estas se encuentran en el Artículo 5 del Reglamento de IA de la UE.

El AI Act Service Desk explica que el Artículo 5 prohíbe la introducción en el mercado de la UE, la puesta en servicio o el uso de sistemas de IA que impliquen prácticas manipuladoras, explotadoras, de puntuación social, ciertos usos biométricos, reconocimiento de emociones y evaluación de riesgo penal. (AI Act Service Desk)

En términos simples, una práctica de IA prohibida no es un sistema de IA que necesita “mejor documentación”.

Es un sistema de IA que no debe introducirse en el mercado, ponerse en servicio ni utilizarse para ese propósito prohibido.

Esa distinción es crítica.

Un sistema de IA de alto riesgo puede estar permitido si satisface requisitos estrictos. Un sistema de IA prohibido es diferente. Si el sistema entra dentro del Artículo 5, la respuesta correcta suele ser detenerse, rediseñar, eliminar la función prohibida o evitar el despliegue por completo.

Por qué esto importa para las empresas en España

Muchas empresas todavía piensan que el Reglamento de IA de la UE es principalmente un asunto futuro.

Eso es peligroso.

Las prohibiciones sobre prácticas de IA prohibidas ya se aplican. Las sanciones por vulnerar el Artículo 5 también son la categoría más alta de multas bajo el Reglamento de IA. El incumplimiento de las prohibiciones del Artículo 5 puede dar lugar a multas administrativas de hasta 35 millones de euros o el 7% del volumen de negocios anual mundial total, lo que sea mayor. Para pymes y startups, el Reglamento de IA incluye una lógica de multa ajustada, pero la exposición sigue siendo seria. (aiact-info.eu)

Para las organizaciones españolas, el riesgo no se limita a la aplicación del Reglamento de IA. Muchas prácticas de IA prohibidas o casi prohibidas también se solapan con el RGPD, la LOPDGDD, el derecho laboral, la protección del consumidor, la ley antidiscriminatoria y normas sectoriales específicas.

Por eso el cumplimiento de IA no puede ser gestionado únicamente por el departamento de TI.

Una revisión de IA prohibida debe involucrar a equipos legales, de cumplimiento, RR. HH., privacidad, compras, ciberseguridad, dirección empresarial y operaciones.

Para una base más amplia, lea la guía pilar: Ethical AI and EU AI Act Compliance: The Professional’s Complete Guide for Spain (2026).

Las 8 prácticas de IA ya prohibidas bajo el Artículo 5

1. IA manipuladora o engañosa que distorsiona decisiones humanas

La primera práctica prohibida cubre sistemas de IA que utilizan técnicas subliminales, manipuladoras o engañosas para distorsionar materialmente el comportamiento de una persona de una manera que perjudica su capacidad de tomar una decisión informada y causa, o es razonablemente probable que cause, un daño significativo. (AI Act Service Desk)

Esto no trata de publicidad ordinaria o personalización estándar.

La preocupación es la IA que empuja a las personas hacia decisiones que de otro modo no tomarían, manipulando su percepción, emociones, vulnerabilidades o entorno de toma de decisiones.

Ejemplo empresarial

Imagine una aplicación de servicios financieros que utiliza IA para detectar cuándo un usuario está bajo estrés emocional y luego lo empuja hacia un producto de crédito de alto coste mediante mensajes basados en urgencia, decisiones de diseño ocultas y presión personalizada.

O una plataforma online que utiliza mensajes generados por IA para hacer creer a usuarios vulnerables que perderán acceso, estatus o apoyo a menos que compren algo de inmediato.

El problema legal no es simplemente que la empresa utilizó IA.

El problema es que la IA se está utilizando para socavar la elección informada.

Qué deben revisar las empresas

Las empresas deben revisar interfaces impulsadas por IA, motores de recomendación, herramientas de conversión, sistemas de segmentación conductual, automatización de ventas y personalización del recorrido del cliente.

Pregunte:

• ¿La IA presiona a los usuarios para tomar decisiones?
• ¿Oculta información importante?
• ¿Explota el estado emocional, la confusión o la urgencia?
• ¿Tomaría el usuario la misma decisión si el proceso fuera transparente?
• ¿Podría el diseño causar daño financiero, psicológico, legal u otro daño significativo?

Si la respuesta es sí, el sistema puede necesitar una revisión legal urgente.

2. IA que explota vulnerabilidades basadas en edad, discapacidad o situación social/económica

La segunda práctica prohibida cubre sistemas de IA que explotan vulnerabilidades vinculadas a la edad, discapacidad o situaciones sociales o económicas específicas de una manera que distorsiona materialmente el comportamiento y causa, o es probable que cause, un daño significativo. (AI Act Service Desk)

Esto es altamente relevante para empresas que atienden a niños, personas mayores, pacientes, clientes financieramente vulnerables, solicitantes de empleo, migrantes, estudiantes o personas con discapacidad.

Ejemplo empresarial

Una aplicación educativa para niños utiliza IA para identificar cuándo un niño está frustrado, solo o deseoso de aprobación, y luego fomenta actualizaciones de pago repetidas o interacción emocionalmente manipuladora.

Una plataforma de gestión de deuda utiliza IA para dirigirse a usuarios con dificultades financieras con productos de reembolso engañosos que benefician más al proveedor que al cliente.

Un chatbot relacionado con salud detecta ansiedad y promueve servicios innecesarios sin límites claros, supervisión profesional o información transparente.

Qué deben revisar las empresas

Cualquier sistema de IA que adapte mensajes basándose en vulnerabilidad debe tratarse con cautela.

Esto incluye:

• chatbots de IA
• sistemas EdTech
• asistentes de IA orientados a salud
• productos financieros
• herramientas de fijación de precios de seguros
• automatización de marketing
• sistemas de retención de clientes
• herramientas de nudging conductual

La pregunta clave no es solo “¿La IA personaliza contenido?”

La mejor pregunta es:

¿La IA explota vulnerabilidad de una manera que cambia el comportamiento y crea daño significativo?

3. Puntuación social basada en IA que conduce a trato injusto

El Artículo 5 prohíbe sistemas de IA utilizados para evaluar o clasificar a personas a lo largo del tiempo basándose en comportamiento social o características personales cuando la puntuación resultante conduce a un trato perjudicial o desfavorable en contextos no relacionados, o a un trato injustificado o desproporcionado. (AI Act Service Desk)

Esto suele describirse como una prohibición de “puntuación social”.

Para la mayoría de las empresas, el peligro no es una puntuación social formal al estilo gubernamental. El riesgo es crear una versión empresarial de puntuación social sin llamarla así.

Ejemplo empresarial

Una empresa crea una “puntuación de confianza” para clientes combinando historial de pagos, actividad en redes sociales, comportamiento de quejas, datos de ubicación, comportamiento de navegación y rasgos de personalidad inferidos.

Esa puntuación se utiliza luego para denegar acceso a servicios no relacionados, aumentar precios, restringir soporte, degradar derechos de usuario o depriorizar a ciertos clientes.

Otro ejemplo sería una plataforma que clasifica a trabajadores de plataformas o contratistas utilizando señales conductuales de contextos no relacionados, y luego limita automáticamente su acceso a trabajos sin una explicación justa.

Qué deben revisar las empresas

Tenga cuidado con sistemas de IA que combinan datos de diferentes contextos para producir una puntuación sobre una persona.

El riesgo aumenta cuando la puntuación afecta:

• acceso a servicios
• oportunidades de empleo
• crédito o seguro
• precios
• prestaciones públicas
• vivienda
• educación
• visibilidad en plataformas
• trato al cliente

Una puntuación puede parecer internamente una herramienta de eficiencia, pero si crea trato injusto entre contextos, puede convertirse en un riesgo del Artículo 5.

4. IA utilizada para predecir riesgo penal basándose únicamente en perfilado o rasgos de personalidad

El Reglamento de IA prohíbe sistemas de IA utilizados para evaluar o predecir el riesgo de que una persona física cometa un delito cuando esa evaluación se basa únicamente en perfilado o rasgos y características de personalidad. La ley permite apoyo limitado a la evaluación humana solo cuando se basa en hechos objetivos y verificables directamente vinculados a actividad delictiva. (AI Act Service Desk)

Esto es más relevante para contextos de fuerzas del orden y seguridad, pero las empresas privadas aún deben prestar atención.

Ejemplo empresarial

Un proveedor de seguridad privada ofrece un sistema que marca a personas como probables infractores basándose únicamente en perfilado conductual, apariencia, patrones de movimiento, inferencia de personalidad o supuestos históricos a nivel de grupo.

Un centro comercial, estadio u operador de transporte utiliza un proveedor de IA que afirma identificar “delincuentes potenciales” a partir de expresión facial, estilo de vestimenta, movimiento o patrones demográficos sin hechos objetivos vinculados a un incidente específico.

Qué deben revisar las empresas

Las empresas privadas deben tener extrema cautela con productos de IA comercializados como:

• herramientas de predicción delictiva
• detección de personas sospechosas
• puntuación de probabilidad de infractor
• perfilado de personalidad amenazante
• evaluación automatizada de riesgo penal
• predicción delictiva conductual

Si el sistema predice criminalidad basándose solo en perfilado o rasgos inferidos, puede entrar en territorio prohibido.

Incluso cuando el Reglamento de IA no prohíba directamente un caso de uso empresarial específico, el RGPD, la ley de seguridad, la ley antidiscriminatoria y el riesgo reputacional aún pueden aplicarse.

5. IA que crea o amplía bases de datos de reconocimiento facial mediante scraping no dirigido

El Artículo 5 prohíbe sistemas de IA que crean o amplían bases de datos de reconocimiento facial mediante scraping no dirigido de imágenes faciales de internet o imágenes de CCTV. (AI Act Service Desk)

Esta es una de las líneas rojas más claras del Reglamento de IA de la UE.

La ley se dirige a la recopilación masiva de imágenes faciales para construir bases de datos de reconocimiento sin una base específica, lícita y proporcionada.

Ejemplo empresarial

Una empresa extrae perfiles públicos de redes sociales, fotos de eventos, imágenes de sitios web o imágenes de CCTV para construir una base de datos de rostros consultable.

Un proveedor ofrece capacidades de reconocimiento facial entrenadas o ampliadas mediante recopilación amplia y no dirigida de imágenes de internet.

Un grupo minorista recopila imágenes de CCTV en varias ubicaciones y las utiliza para desarrollar una base de datos de coincidencia facial sin un propósito lícito claramente limitado.

Advertencia específica para España

España ya tiene una fuerte cultura de aplicación regulatoria en torno a datos biométricos y sensibles. En 2024, la AEPD ordenó una medida cautelar contra Worldcoin, exigiendo el cese de la recopilación y tratamiento de categorías especiales de datos personales en España y el bloqueo de los datos ya recopilados. La AEPD se refirió a reclamaciones relacionadas con información insuficiente, datos de menores y problemas de retirada del consentimiento. (AEPD)

El caso Worldcoin fue una acción del RGPD, no una sanción del Artículo 5 del Reglamento de IA. Pero muestra el mismo punto más amplio: el tratamiento de datos biométricos en España recibe una atención regulatoria seria.

Qué deben revisar las empresas

Las empresas deben preguntar directamente a los proveedores:

• ¿Se construyó alguna base de datos de reconocimiento facial utilizando imágenes extraídas de internet?
• ¿Se utilizaron imágenes de CCTV para entrenar o ampliar capacidades de reconocimiento?
• ¿Cuál es la fuente lícita de los datos biométricos de entrenamiento?
• ¿Puede el proveedor documentar la procedencia de los datos?
• ¿Puede la empresa demostrar que el conjunto de datos no se construyó mediante scraping no dirigido?

Si el proveedor no puede responder con claridad, el riesgo no es solo técnico. Es legal.

6. Reconocimiento de emociones en el lugar de trabajo o en la educación

El Reglamento de IA de la UE prohíbe sistemas de IA utilizados para inferir emociones de una persona física en el lugar de trabajo y en instituciones educativas, salvo cuando el sistema se utilice por razones médicas o de seguridad. (AI Act Service Desk)

Esta es una de las prohibiciones más importantes para empleadores y proveedores de formación.

Afecta a herramientas que afirman detectar si una persona está feliz, enfadada, aburrida, estresada, comprometida, distraída, honesta, segura o motivada basándose en rostro, voz, comportamiento, patrones de escritura, movimiento ocular u otras señales.

Ejemplo empresarial

Un empleador utiliza análisis de webcam durante el trabajo remoto para inferir si los empleados están comprometidos o emocionalmente implicados.

Una plataforma de contratación utiliza análisis facial durante entrevistas para inferir confianza, honestidad o entusiasmo.

Una escuela o proveedor de formación utiliza IA para medir los estados emocionales de los estudiantes durante el aprendizaje online y utiliza esas puntuaciones para evaluación de rendimiento.

Un call center despliega software que puntúa el estado emocional de los empleados y utiliza esa puntuación en evaluaciones de desempeño.

Qué deben revisar las empresas

Las organizaciones deben revisar herramientas utilizadas en:

• RR. HH.
• contratación
• entrevistas online
• monitorización del trabajo remoto
• seguimiento de productividad de empleados
• educación
• e-learning
• plataformas de formación
• call centers
• gestión del desempeño

Este punto se solapa fuertemente con el blog del clúster de RR. HH.: EU AI Act and HR in Spain: What Every Employer Must Do Now.

La regla práctica es simple:

Si la herramienta afirma detectar emociones en trabajadores o estudiantes, no asuma que es solo una función de “bienestar” o “compromiso”. Puede estar prohibida salvo que encaje en una excepción médica o de seguridad estrecha.

7. Categorización biométrica que infiere rasgos personales sensibles

El Artículo 5 prohíbe sistemas de categorización biométrica que categorizan a personas basándose en datos biométricos para deducir o inferir características sensibles como raza, opiniones políticas, afiliación sindical, creencias religiosas o filosóficas, vida sexual u orientación sexual. (AI Act Service Desk)

Esta prohibición es especialmente importante porque muchas herramientas de IA ahora afirman inferir rasgos personales a partir de rostro, voz, forma de andar, movimiento corporal, patrones conductuales u otras señales biométricas.

Ejemplo empresarial

Una plataforma de marketing utiliza análisis facial para inferir etnia o identidad religiosa y luego segmenta usuarios para targeting.

Un empleador utiliza análisis de video con IA para inferir actitudes políticas, simpatías sindicales o rasgos de personalidad a partir de expresiones faciales o voz.

Un sistema de seguridad de un recinto categoriza a personas por etnia inferida u otros rasgos sensibles.

Una herramienta de seguros o finanzas utiliza señales biométricas para inferir estilo de vida, sexualidad o características relacionadas con salud.

Por qué esto es peligroso

La inferencia de rasgos sensibles no es solo un problema de privacidad.

Puede crear discriminación, exclusión, daño reputacional y vulneraciones de derechos fundamentales.

Las organizaciones españolas también deben recordar que el RGPD trata los datos biométricos utilizados para identificar de manera única a una persona como datos de categoría especial, y otras características sensibles reciben protección reforzada bajo el derecho de protección de datos de la UE.

Qué deben revisar las empresas

Pregunte si alguna herramienta de IA:

• analiza rostro, voz, forma de andar, cuerpo o patrones conductuales;
• clasifica a personas en categorías demográficas o sensibles;
• infiere características protegidas;
• utiliza señales biométricas para targeting, ranking o control de acceso;
• ofrece puntuación de “personalidad”, “encaje cultural”, “fiabilidad” o “actitud” basada en entradas biométricas.

Si es así, revise el sistema inmediatamente.

8. Identificación biométrica remota en tiempo real en espacios públicos para fuerzas del orden, salvo en casos estrechos

El Reglamento de IA de la UE prohíbe el uso de sistemas de identificación biométrica remota en tiempo real en espacios de acceso público para fines de fuerzas del orden, salvo que aplique una de las excepciones estrechas. Estas excepciones incluyen búsquedas dirigidas de determinadas víctimas o personas desaparecidas, prevención de amenazas graves específicas, o identificación de sospechosos de delitos graves especificados, sujetas a salvaguardas estrictas. (AI Act Service Desk)

Esta prohibición está dirigida principalmente a autoridades públicas y fuerzas del orden.

Sin embargo, las empresas privadas no deben ignorarla.

Centros comerciales, operadores de transporte, recintos de eventos, estadios, proveedores de seguridad privada y proveedores tecnológicos pueden involucrarse en ecosistemas de vigilancia biométrica mediante contratos, pilotos, acceso a datos, infraestructura o alianzas con proveedores.

Ejemplo empresarial

Un recinto privado instala identificación facial en tiempo real en áreas de acceso público y comparte alertas con seguridad o autoridades públicas sin un marco claramente lícito, necesario y proporcionado.

Un proveedor tecnológico comercializa identificación biométrica en vivo a autoridades públicas sin tener en cuenta adecuadamente las restricciones y salvaguardas del Reglamento de IA.

Una empresa que opera centros de transporte utiliza coincidencia biométrica en vivo para control de multitudes, decisiones de acceso o alertas de seguridad sin entender si el uso es lícito bajo el Reglamento de IA, el RGPD y el derecho español.

Advertencia específica para España

En 2025, la AEPD sancionó a Aena por sistemas de reconocimiento facial biométrico en aeropuertos españoles. Los informes señalaron que el regulador encontró deficiencias en la evaluación de impacto relativa a la protección de datos, incluida una justificación insuficiente de la necesidad de la biometría y una evaluación insuficiente de alternativas menos intrusivas. Según los informes, Aena dijo que recurriría. (Cadena SER)

De nuevo, este fue un asunto relacionado con el RGPD, no un caso del Artículo 5 del Reglamento de IA. Pero muestra por qué los despliegues de IA biométrica en España deben tratarse como proyectos de alto escrutinio, no como innovación digital ordinaria.

Riesgos de cumplimiento específicos de España: AESIA, AEPD y biometría

Para las organizaciones españolas, el riesgo del Artículo 5 se sitúa dentro de un entorno regulatorio más amplio.

Se espera que AESIA desempeñe un papel central en la implementación del Reglamento de IA en España. Las guías prácticas de AESIA están diseñadas para ayudar a pymes, startups y grandes empresas a cumplir con el Reglamento de IA, especialmente en áreas como gestión de riesgos, transparencia, gobernanza de datos, ciberseguridad, registros, documentación y supervisión humana. (aesia.digital.gob.es)

La AEPD sigue siendo muy relevante porque muchos sistemas de IA tratan datos personales. Esto es especialmente cierto para IA utilizada en biometría, RR. HH., perfilado de clientes, salud, finanzas, educación y vigilancia.

Las tendencias de aplicación regulatoria en España ya muestran una fuerte atención a privacidad, biometría y tecnologías intrusivas. Cinco Días informó que la AEPD impuso 299 multas por un total de 40 millones de euros en 2025, destacando el caso biométrico de Aena como una de las sanciones más significativas. (Cinco Días)

Para las empresas, la lección es clara:

No puede tratar el cumplimiento del Reglamento de IA, el cumplimiento del RGPD y la gobernanza ética de IA como silos separados.

Una práctica de IA prohibida puede activar riesgo bajo el Reglamento de IA. El mismo sistema también puede activar riesgos bajo el RGPD, la LOPDGDD, derecho laboral, protección del consumidor, antidiscriminación o normas sectoriales específicas.

Lista de comprobación empresarial: cómo identificar prácticas de IA prohibidas

Utilice esta lista de comprobación antes de desplegar o seguir utilizando cualquier sistema de IA en España.

1. Crear un inventario de IA

Enumere todos los sistemas de IA utilizados en toda la organización, incluidos:

• herramientas de RR. HH.
• plataformas de contratación
• chatbots de atención al cliente
• automatización de marketing
• sistemas de detección de fraude
• herramientas de seguridad
• sistemas biométricos
• plataformas de analítica
• herramientas de monitorización de productividad
• plataformas de educación o formación
• herramientas SaaS de terceros con IA integrada

No enumere solo herramientas etiquetadas como “IA”. Muchos sistemas utilizan funciones de IA silenciosamente dentro de software más amplio.

2. Identificar el propósito real del sistema de IA

Para cada sistema, pregunte:

• ¿Qué decisión apoya?
• ¿Quién se ve afectado?
• ¿Qué datos utiliza?
• ¿Influye en acceso, precios, oportunidades, empleo, educación, crédito, seguros, seguridad o resultados legales?
• ¿Clasifica, rankea, puntúa, predice, infiere o recomienda?

El riesgo legal suele venir del propósito y efecto del sistema, no del lenguaje de marketing del proveedor.

3. Revisar señales de alerta del Artículo 5

Marque cualquier sistema que implique:

• manipulación conductual
• targeting de vulnerabilidad
• puntuación social
• predicción de riesgo penal
• scraping facial
• reconocimiento de emociones en trabajo o educación
• categorización biométrica de rasgos sensibles
• identificación biométrica en vivo en espacios públicos

Si una herramienta coincide incluso con una categoría, deténgase antes del despliegue.

4. Hacer preguntas directas a proveedores

Su equipo de compras debe preguntar a los proveedores de IA:

• ¿El sistema realiza reconocimiento de emociones?
• ¿Infiere rasgos personales sensibles?
• ¿Utiliza datos biométricos?
• ¿Se recopiló algún dato de entrenamiento a partir de imágenes extraídas de internet o CCTV?
• ¿Puntúa a personas entre contextos?
• ¿Clasifica usuarios basándose en vulnerabilidad?
• ¿Predice comportamiento delictivo o sospechosidad?
• ¿Puede el proveedor proporcionar documentación del Reglamento de IA?
• ¿Puede el proveedor confirmar que el sistema no está prohibido bajo el Artículo 5?

No confíe solo en garantías genéricas del proveedor.

Pida respuestas por escrito.

5. Revisar el solapamiento con RGPD y LOPDGDD

Incluso si un sistema no está prohibido bajo el Artículo 5, aún puede requerir:

• análisis de base jurídica
• DPIA
• avisos de transparencia
• supervisión humana
• minimización de datos
• controles de conservación
• acuerdos con proveedores
• salvaguardas para datos de categoría especial
• consulta con empleados o revisión de derecho laboral

Esto es especialmente importante para casos de uso de RR. HH., biometría, salud, finanzas y educación.

6. Documentar la conclusión

Para cada sistema de IA, documente:

• si se revisó el Artículo 5;
• qué prácticas prohibidas se consideraron;
• por qué el sistema entra o no entra en una categoría prohibida;
• quién lo revisó;
• qué evidencia se utilizó;
• qué documentos del proveedor se verificaron;
• qué medidas de mitigación o retirada se tomaron.

Si AESIA, la AEPD, un cliente, auditor o regulador hace preguntas más adelante, la confianza no documentada no será suficiente.

Qué hacer si su organización puede estar utilizando un sistema de IA prohibido

Si descubre un sistema que puede entrar dentro del Artículo 5, no siga utilizándolo simplemente mientras “espera aclaración”.

Tome medidas estructuradas.

Paso 1: pausar o limitar el caso de uso riesgoso

Si es posible, detenga la función específica que crea el riesgo prohibido.

Por ejemplo:

• desactivar puntuación emocional;
• detener categorización biométrica;
• eliminar funciones de manipulación conductual;
• dejar de utilizar bases de datos faciales extraídas;
• suspender puntuación automatizada que pueda crear efectos de puntuación social.

Paso 2: preservar documentación

Conserve registros de:

• contratos de proveedores;
• documentación técnica;
• capturas de pantalla;
• descripciones del modelo;
• fuentes de datos;
• registros de decisiones;
• aprobaciones internas;
• DPIAs o evaluaciones de riesgo;
• avisos a usuarios;
• reclamaciones o incidentes.

Esto ayuda a la organización a entender qué ocurrió y responder responsablemente.

Paso 3: solicitar aclaración al proveedor

Pida al proveedor que explique:

• cómo funciona el sistema;
• qué datos utiliza;
• qué inferencias realiza;
• si implica análisis biométrico, emocional o de rasgos sensibles;
• si el proveedor ha realizado clasificación bajo el Reglamento de IA;
• si se evaluaron las prohibiciones del Artículo 5.

Paso 4: realizar una revisión legal y de cumplimiento

Reúna equipos legales, de cumplimiento, privacidad, RR. HH., seguridad y negocio.

Para áreas de mayor riesgo, considere asesoramiento legal externo.

Este blog es educativo y no debe tratarse como asesoramiento legal para un caso específico.

Paso 5: reemplazar, rediseñar o retirar el sistema

Si el sistema está prohibido, la solución no es cosmética.

Puede necesitar:

• eliminar la función;
• cambiar el propósito previsto;
• elegir un proveedor diferente;
• rediseñar el flujo de trabajo;
• pasar a evaluación liderada por humanos;
• utilizar datos menos intrusivos;
• implementar una alternativa no basada en IA.

Cómo la formación ayuda a reducir el riesgo del Artículo 5

Muchos riesgos del Artículo 5 no empiezan con malas intenciones.

Empiezan con personas que no saben qué buscar.

Un equipo de marketing puede comprar una herramienta de personalización de IA sin darse cuenta de que utiliza perfilado manipulador.

Un equipo de RR. HH. puede probar una plataforma de entrevistas sin notar el reconocimiento de emociones.

Una escuela puede adoptar un sistema de analítica de compromiso sin entender que la inferencia emocional en educación está prohibida.

Un equipo de seguridad puede considerar identificación biométrica porque parece eficiente.

Un equipo de compras puede aceptar afirmaciones del proveedor sin preguntar sobre datos de entrenamiento, categorización biométrica o casos de uso prohibidos.

Esto es exactamente por lo que importa la alfabetización en IA del Artículo 4.

La alfabetización en IA no es solo formación técnica. Es la capacidad de entender riesgos, responsabilidades y límites de IA según la función de una persona en la organización.

Para más información sobre esto, lea: EU AI Act Article 4 Explained: How to Build an AI Literacy Programme That Actually Satisfies AESIA.

Plantilla práctica de revisión del Artículo 5 para empresas

Utilice esta tabla interna simplificada al evaluar herramientas de IA.

Desarrolle conocimiento del Reglamento de IA de la UE antes de que el riesgo se convierta en aplicación regulatoria

Los sistemas de IA más peligrosos no siempre son los más avanzados.

A veces, el mayor riesgo viene de una herramienta que parece ordinaria: una plataforma de contratación, un chatbot, un sistema de puntuación, una herramienta de acceso biométrico, un panel de analítica de clientes o una función de monitorización de empleados.

Bajo el Reglamento de IA de la UE, las organizaciones españolas necesitan personas que puedan reconocer la diferencia entre IA permitida, IA de alto riesgo e IA prohibida.

El curso Compliance with the EU AI Act and Ethics in AI del Spanish Compliance Institute está diseñado para ayudar a los profesionales a entender las obligaciones del Reglamento de IA, la gobernanza ética de IA, la clasificación de alto riesgo, la documentación, la supervisión humana, la FRIA, la alineación con ISO 42001 y las expectativas de cumplimiento específicas de España.

El programa incluye:

• 7 módulos estructurados
• 15 horas de formación profesional
• orientación práctica de cumplimiento del Reglamento de IA
• enfoque en Reglamento de IA de la UE y ética
• contexto regulatorio específico de España
• examen simulado y examen final
• certificado digital verificado
• confianza de más de 89 alumnos y profesionales

Si su organización utiliza IA, planea comprar herramientas de IA o asesora a clientes sobre gobernanza de IA, este es el momento adecuado para desarrollar capacidad práctica en el Reglamento de IA de la UE.