Las empresas tienen tres días para eliminar los sistemas de IA que sean inseguros para los usuarios

Se acaba el tiempo. El próximo 2 de febrero se cumple la fecha límite que el reglamento de inteligencia artificial (RIA) concedió a las compañías para eliminar todos los sistemas que pongan en riesgo los principios europeos. En esencia, aquellos que vulneren los derechos fundamentales de los ciudadanos, como la privacidad, la salud o seguridad de las personas. La normativa entró en vigor el pasado mes de agosto y la Unión Europea ha dado un margen de seis meses a los Estados miembros para adaptarse a parte de las nuevas obligaciones. Si las mercantiles no están listas, tendrán que afrontar (a partir de agosto de 2025) multas que pueden llegar a los 35 millones de euros o al 7% de su facturación anual.

Llegado el día, todas las empresas deben cumplir un abanico de medidas. Dichas obligaciones se recogen en el artículo 5 del reglamento que prohíbe, entre otras actividades, usar sistemas que empleen técnicas engañosas para manipular el comportamiento de los usuarios o que extraigan imágenes faciales de Internet; aplicaciones que deduzcan el estado emocional de los usuarios en entornos laborales o educativos (salvo por motivos médicos o de seguridad); sistemas de IA para predecir delitos basándose únicamente en la personalidad de los delincuentes o herramientas de reconocimiento facial en espacios públicos (salvo que sea necesario por motivos policiales).

El listado de obligaciones queda claro, pero no tanto su interpretación en la práctica, lo que dificulta que las empresas innovadoras puedan adaptarse a los requisitos. Según Jorge Cabet, abogado director de Augusta Abogados especializado en nuevas tecnologías, el marco normativo está incompleto, lo cual es un problema para que las compañías adopten sistemas bajo los estándares europeos. “No tenemos sentencias de los tribunales, tampoco la interpretación que harán las agencias supervisoras del propio reglamento IA y la tipicidad de las sanciones tampoco queda clara”, señala. Para el experto, esta falta de claridad deja a las compañías “al albur de los criterios interpretativos”.

El tiempo apremia y las compañías siguen sumergidas en un mar de dudas. “Fundamentalmente, porque se trata de una norma extraordinariamente compleja tanto desde el punto de vista jurídico como en su vertiente técnica”, señala Alejandro Padín, socio del área de economía del dato, privacidad y ciberseguridad de Garrigues.

Por ejemplo, apunta Violeta Arnaiz, directora del área de TMT, propiedad intelectual y software de Pons IP, las mercantiles dudan sobre cómo utilizar los sistemas sin vulnerar la privacidad de los usuarios. “Las empresas desconocen los riesgos de la IA y su impacto en aspectos como la confidencialidad o la protección de datos”, por lo que les cuesta “tomar decisiones sobre cómo utilizar un sistema en determinados procesos empresariales”, añade la letrada.

En cualquier caso, solo quedan tres días para que las empresas apliquen un sistema de IA sin riesgo para los usuarios. El problema, expone Cristina Villasante, socia del área de TMT en Ecija, es que “todavía hay muchas empresas que no han dado los primeros pasos” por lo que “difícilmente van a poder cumplir con las medidas que comienzan a aplicarse el 2 de febrero”, reconoce la experta.

La llegada de DeepSeek

La entrada en vigor de estas medidas coincide con la irrupción de DeepSeek, un chatbot chino elaborado con inteligencia artificial que ha dado un giro de 180º al mercado tecnológico, poniendo en jaque a grandes potencias del sector, como OpenAI. La razón es simple: el sistema es totalmente gratuito, accesible y funciona igual que cualquier otro sistema de IA. Pero a veces lo barato sale caro. Los riesgos de utilizar esta aplicación son muy grandes. Según la política de privacidad de DeepSeek, la empresa recopila toda la información relacionada con el perfil del usuario (fecha de nacimiento, nombre, email…) o la información que comparte (imágenes, vídeos, archivos…), sin que se indique a dónde va a parar esos datos.

Si las empresas europeas se plantean utilizar este sistema IA, deben tener cuidado. Los reglamentos europeos, tanto de inteligencia artificial como de protección de datos, son muy rigorosos y no toleran ninguna actividad que ponga en riesgo la privacidad de los usuarios. “Las normas chinas sobre privacidad son muy distintas a las europeas, por lo que las empresas tienen que ser muy cautelosas en los protocolos, políticas y medidas que adopten para el uso de Deepseek, ya que solamente en el tratamiento de los datos existe un riesgo severo”, advierte Jorge Cabet.

Los Estados miembros tendrán que analizar este sistema y comprobar que la aplicación es válida según los principios europeos. De hecho, Italia ha vetado recientemente a DeepSeek por los peligros que supone usar este sistema para la privacidad de los usuarios. El resto de países de la unión, como España, también pueden seguir el mismo camino. Las autoridades nacionales de protección de datos de cada territorio pueden dar un plazo de 20 días para que la empresa china informe sobre los datos personales que utiliza para entrenar su sistema de inteligencia artificial. En función de la información que facilite, los países podrán frenar la actividad de DeepSeek.