El 8 de octubre de 2024, Ignasi Belda, director de la Agencia Española de Supervisión de la Inteligencia Artificial (Aesia), ofreció una conferencia en la Universidade da Coruña (UDC), donde explicó el impacto de la nueva normativa europea sobre inteligencia artificial (IA). A partir de agosto de 2025, las empresas y administraciones que incumplan el reglamento se enfrentarán a sanciones que pueden alcanzar los 35 millones de euros.
En su intervención, Belda destacó que la Aesia, cuya sede se encuentra en A Coruña, tendrá un papel fundamental en la supervisión de la IA en España. Aclaró que el objetivo de la agencia no es investigar, sino “supervisar el mercado” y asegurarse de que ninguna empresa o institución utilice aplicaciones de IA que estén prohibidas por la normativa europea.
Las prohibiciones comenzarán a aplicarse el 2 de febrero de 2025, pero las sanciones no se impondrán hasta agosto de ese mismo año. Antes de esa fecha, las infracciones serán advertidas con apercibimientos. Según Belda, este proceso es similar al que sigue la Agencia de Protección de Datos, que actúa principalmente a través de denuncias o “chivatazos«.
El director de la Aesia detalló que las multas por el uso indebido de IA podrían alcanzar los 35 millones de euros o el 7% de la facturación global de una empresa, lo que representa una amenaza significativa para las grandes multinacionales.
Clasificación de los riesgos
El reglamento europeo sobre IA, que entró en vigor en agosto de 2024, clasifica las aplicaciones de IA en cuatro categorías de riesgo: inaceptable, alto, medio y bajo. Belda explicó que la mayoría de las aplicaciones, entre el 95% y el 98%, caerán en las categorías de riesgo nulo o bajo, lo que significa que su impacto es relativamente benigno.
No obstante, algunas aplicaciones serán completamente prohibidas por ser consideradas de “riesgo inaceptable”, entre ellas se encuentran el reconocimiento biométrico facial en espacios públicos (con excepciones como la lucha contra el terrorismo) y la suplantación de identidad mediante imágenes o sonidos sin el consentimiento adecuado. Además, también se prohíbe el uso de IA para inferir emociones en centros de trabajo o educativos.
Las aplicaciones de riesgo alto son aquellas que podrían poner en peligro los derechos fundamentales o la vida humana. Un ejemplo citado por Belda fue el uso de IA para conceder préstamos hipotecarios, donde los bancos deberán certificar que sus decisiones no están basadas en sesgos como la nacionalidad o el género de los solicitantes.
Inspecciones y sanciones
La Aesia implementará un sistema de inspección que incluye la posibilidad de llevar a cabo auditorías aleatorias, además de mantener un canal de denuncias donde empleados o competidores pueden reportar posibles infracciones. Este enfoque permitirá a la agencia detectar incumplimientos del reglamento y tomar medidas correctivas.
Belda subrayó la diferencia entre el trabajo de la Aesia y el de la Agencia de Protección de Datos, afirmando que, mientras esta última se encarga de los datos, la Aesia supervisará los modelos de IA. A nivel estructural, España ha optado por establecer tres agencias especializadas en la regulación digital: la Aesia en A Coruña, la Agencia de Protección de Datos en Madrid y la Agencia de Ciberseguridad en León. A pesar de estar separadas, Belda aseguró que las tres agencias estarán “muy coordinadas”.
Sector empresarial
Uno de los puntos más destacados de la conferencia fue el impacto que esta nueva regulación tendrá en el sector empresarial. Belda reconoció que la normativa europea puede generar reticencias entre las empresas, ya que podría limitar la innovación y provocar una fuga de talento hacia países con regulaciones más laxas, como Estados Unidos o China.
No obstante, defendió la importancia de establecer un marco regulatorio que garantice un uso responsable de la IA, especialmente en aplicaciones que puedan tener efectos adversos sobre los derechos fundamentales de las personas.
Belda también indicó que las empresas que utilicen IA deberán contar con una “caja negra” en sus sistemas, que registre todos los procesos internos para que puedan ser revisados en caso de fallos. Este mecanismo permitirá a los inspectores analizar el funcionamiento de la IA en situaciones problemáticas y corregir posibles errores.
