La Agencia Española de Protección de Datos (AEPD) ha compartido en su blog su posicionamiento ante el Reglamento (UE) 2024/1689 sobre Inteligencia Artificial (RIA). Aunque parte del Reglamento, incluido el régimen sancionador del artículo 5 sobre sistemas de IA prohibidos, se activará el próximo día 2 de agosto de 2025, la AEPD enfatiza que ya está capacitada legalmente para actuar frente a sistemas de IA prohibidos que impliquen tratamiento de datos personales.
¿Qué implica el régimen sancionador del artículo 5 y por qué puede actuar la AEPD desde ya?
A partir del 2 de agosto, se activará el régimen supervisor y sancionador para sistemas de IA considerados prohibidos, como el uso de identificación biométrica remota en tiempo real en espacios públicos. A las empresas que vulneren lo contemplado en la normativa de protección de datos mediante el uso de sistemas de IA prohibidos por el artículo 5 del RIA, la AEPD les podrá imponer importantes sanciones que pueden alcanzar hasta los 20 millones de euros o el 4% del volumen de facturación global.
¿Por qué puede actuar la AEPD desde ya ante sistemas de IA prohibidos?
España aún no ha aprobado una ley nacional de IA, aunque sí existe un anteproyecto de ley para el buen uso y la gobernanza de la IA, por lo que la AEPD no ha sido formalmente designada como “autoridad de vigilancia del mercado” para el RIA. Sin embargo, sí mantiene su condición de autoridad competente en materia de protección de datos personales, lo cual le permite supervisar y sancionar cualquier tratamiento de datos personales realizado mediante IA, incluidos los sistemas prohibidos, si se vulneran derechos fundamentales.
Fortalecimiento institucional de la AEPD ante la entrada en vigor del artículo 5 del RIA.
La AEPD advierte que deberá reforzar sus capacidades técnicas, humanas y presupuestarias para asumir de forma progresiva las nuevas responsabilidades derivadas del Reglamento europeo y del anteproyecto de ley de IA.
Además, el presidente Lorenzo Cotino Hueso ha señalado repetidamente la necesidad de ampliar recursos, dotar de guías técnicas para pymes y promover la figura del responsable de IA dentro de las organizaciones.
¿Qué deberías saber si trabajas con IA?
Si desarrollas o despliegas sistemas de IA que tratan datos personales, en especial si esos sistema de IA están considerados por el RIA como prácticas de IA prohibidas, la AEPD ya puede supervisarte y sancionarte. Con la entrada en vigor del citado artículo 5 se intensifica el análisis de sistemas prohibidos y los requisitos legales aplicables, por lo que se recomienda:
- Preparar entornos normativos internos,
- Hacer evaluaciones de impacto de IA,
- Adoptar medidas para garantizar cumplimiento pleno del RIA.
Conclusiones.
La AEPD demuestra firmeza, pues no esperará a que se apruebe la legislación nacional para ejercer su autoridad cuando se trate de proteger derechos fundamentales frente a sistemas de IA ilegítimos. Este posicionamiento clarifica que el cumplimiento del RGPD y de la normativa europea ya obliga desde hoy, aunque el marco sancionador completo empiece a aplicarse en agosto.
Para las organizaciones el mensaje es claro: actuar con previsión, cumplir con el RGPD y estar preparados para la plena aplicación del Reglamento de IA no solo será recomendable, sino imprescindible.
Puedes consultar la noticia completa haciendo clic aquí.
- Meta condenada a pagar 479 millones a la prensa digital española
- Deepfakes de menores y responsabilidad legal: análisis jurídico y sanciones
- Fallo de seguridad del Louvre revela vulnerabilidades en la gestión digital
- Meta se enfrenta a una demanda por uso indebido de datos biométricos
- Bruselas aprueba la adopción de un marco seguro para el flujo de datos personales entre la UE y Brasil
- La AEPD y el Reglamento Europeo de IA: ya puede actuar ante sistemas de IA que traten datos personales
Comentarios recientes