Prácticas de IA prohibidas: lo que tu empresa ya no puede hacer

Las líneas rojas de la inteligencia artificial

Antes incluso de abordar los sistemas de alto riesgo, las obligaciones de transparencia o la competencia en IA, el Reglamento Europeo sobre Inteligencia Artificial (Reglamento 2024/1689) traza líneas rojas absolutas. El Artículo 5 enumera las prácticas de IA pura y simplemente prohibidas en la Unión Europea.

Estas prohibiciones están en vigor desde el 1 de febrero de 2025. No son plazos futuros: se aplican ahora.

Artículo 5, apartado 1 — Règlement (UE) 2024/1689

Quedan prohibidas las siguientes prácticas en materia de inteligencia artificial: […] la introducción en el mercado, la puesta en servicio o la utilización de un sistema de IA que despliegue técnicas subliminales […] o técnicas deliberadamente manipuladoras o engañosas con el objetivo o el efecto de alterar sustancialmente el comportamiento de una persona […] de una manera que cause o sea razonablemente probable que cause un perjuicio significativo a esa persona o a otra.

Las seis categorías de prácticas prohibidas

1. El scoring social

El AI Act prohíbe los sistemas que evalúan o clasifican a las personas físicas sobre la base de su comportamiento social o de características personales, cuando esa puntuación conduce a un trato desfavorable en contextos sin relación con la recogida de datos, o desproporcionado respecto al comportamiento en cuestión.

Atención: contrariamente a lo que se suele creer, esta prohibición no se dirige únicamente a los gobiernos. Se aplica también a los actores privados. Una empresa que construyera un “score de fiabilidad” de sus clientes agregando datos de pago, comportamiento online e interacciones con el servicio de atención al cliente — y utilizara esa puntuación para denegar servicios — estaría infringiendo la norma.

Ejemplos concretos de usos ahora ilegales:

• Una aseguradora que agrega datos de redes sociales para evaluar el “perfil de riesgo conductual” de un cliente
• Un arrendador que utiliza un score que combina historial de pagos, actividad online y datos de geolocalización para filtrar inquilinos
• Un empleador que construye un “score de compromiso” automatizado que condiciona el acceso a beneficios
• Una entidad financiera como BBVA, Santander o CaixaBank que agregara datos de múltiples contextos para construir un score de “fiabilidad del cliente” utilizado para restringir servicios más allá del ámbito crediticio

2. La manipulación subliminal y las técnicas engañosas

Todo sistema de IA diseñado para alterar el comportamiento de una persona sin su conocimiento está prohibido. Esto cubre las técnicas subliminales (estímulos imperceptibles para la conciencia) y las técnicas deliberadamente manipuladoras o engañosas.

Ejemplos:

• Un sistema que adapta la interfaz de un sitio de comercio electrónico para explotar sesgos cognitivos identificados por IA (dark patterns potenciados por IA)
• Una herramienta de negociación automatizada que analiza micro-expresiones en tiempo real para manipular al interlocutor
• Un sistema de precios dinámicos que explota el estado emocional detectado del usuario

3. La explotación de vulnerabilidades

Los sistemas de IA que explotan vulnerabilidades vinculadas a la edad, la discapacidad o la situación social o económica de una persona para alterar sustancialmente su comportamiento están prohibidos.

Ejemplos:

• Un chatbot comercial que se dirige específicamente a personas mayores con técnicas de persuasión adaptadas a sus vulnerabilidades cognitivas
• Un sistema de publicidad dirigida a personas en situación de sobreendeudamiento para ofrecerles créditos al consumo
• Un juego online que utiliza la IA para identificar y explotar comportamientos adictivos en menores

4. La identificación biométrica en tiempo real en espacios públicos

El uso de sistemas de identificación biométrica a distancia “en tiempo real” en espacios accesibles al público con fines de aplicación de la ley está prohibido, con tres excepciones estrictamente acotadas:

• La búsqueda selectiva de víctimas de secuestro, trata de seres humanos o explotación sexual
• La prevención de una amenaza terrorista específica e inminente
• La localización o identificación de una persona sospechosa de haber cometido determinados delitos graves

Incluso en estos casos, el uso requiere autorización judicial previa y está sujeto a garantías estrictas.

5. El reconocimiento de emociones en el trabajo y en la educación

Artículo 5, apartado 1, letra f — Règlement (UE) 2024/1689

[Queda prohibida] la introducción en el mercado, la puesta en servicio o la utilización de sistemas de IA para inferir las emociones de una persona física en el lugar de trabajo y en los centros educativos, salvo cuando la utilización del sistema de IA esté destinada a implantarse o comercializarse por razones médicas o de seguridad.

Esta prohibición es particularmente relevante para las empresas. Cubre:

• Herramientas de análisis de emociones en videoconferencia: sistemas que analizan las expresiones faciales de los participantes durante las reuniones
• Sistemas de vigilancia emocional: cámaras o software que detectan estrés, frustración o falta de compromiso en los empleados
• Análisis de emociones en la formación: herramientas que miden el estado emocional de los aprendices para adaptar el contenido

Las únicas excepciones: usos con finalidad médica (detección de dolor en pacientes no comunicativos, por ejemplo) o de seguridad (detección de fatiga en conductores profesionales).

6. La creación de bases de datos faciales mediante scraping

El AI Act prohíbe la creación o ampliación de bases de datos de reconocimiento facial mediante la recopilación no selectiva de imágenes de internet o de videovigilancia. Es una respuesta directa a las prácticas de empresas como Clearview AI, que había construido una base de varios miles de millones de rostros recogiendo fotos públicas.

📄Riesgos de la IA en la empresa: identificar y gestionar eficazmente→

Cómo verificar si su empresa está infringiendo la norma

La mayoría de las empresas piensan espontáneamente que estas prohibiciones no les afectan. Pero ciertos usos, especialmente en RRHH y marketing, pueden acercarse peligrosamente.

Checklist de verificación

Hágase estas preguntas:

• Scoring y clasificación: ¿Asigna puntuaciones automatizadas a personas (clientes, empleados, candidatos) que combinan datos de contextos diferentes?
• Persuasión y personalización: ¿Sus sistemas de recomendación o marketing explotan vulnerabilidades identificadas (edad, situación financiera, estado emocional)?
• Vigilancia emocional: ¿Utiliza herramientas que analizan las expresiones faciales, la voz o el comportamiento de sus colaboradores con fines distintos a los médicos o de seguridad?
• Biometría: ¿Utiliza reconocimiento facial en sus instalaciones? Si es así, ¿en qué condiciones?
• Datos faciales: ¿Sus proveedores de IA han construido sus bases de datos de entrenamiento mediante scraping de imágenes en internet?

Si la respuesta a alguna de estas preguntas es “sí” o “quizás”, se impone un análisis en profundidad.

El papel de la formación

El conocimiento de estas prohibiciones por parte de los colaboradores es esencial. La obligación de competencia en IA (Artículo 4) incluye necesariamente la comprensión de lo que está prohibido. Un colaborador que no sepa que es ilegal utilizar el reconocimiento de emociones en contexto profesional no puede denunciar un uso no conforme.

La formación de los equipos sobre estas prohibiciones no es opcional — es una condición previa para cualquier gobernanza de IA responsable. La AEPD y la Secretaría de Estado de Digitalización han subrayado que las organizaciones deben capacitar a su personal para identificar y reportar usos no conformes de la IA.

📄AI Act Artículo 4: la obligación de formación en IA explicada→

Las sanciones

Las prácticas prohibidas están sujetas al nivel más alto de sanciones del AI Act: hasta 35 millones de euros o el 7 % de la facturación anual mundial, prevaleciendo el importe más elevado. Son las multas más severas jamás previstas por una regulación digital europea — más elevadas que las del RGPD.