El primer artículo que vamos a compartir es sobre Reconocimiento facial y derechos fundamentales en el Reglamento 2024/1689 sobre Inteligencia Artificial (R.I.A.) de Pedro Tenorio Sánchez, Of Counsel del Bufete Más y Calvet y Catedrático de Derecho Constitucional.
Os compartimos nuestra saga de artículos quincenales sobre el Reglamento Europeo de Inteligencia Artificial (RIA), escritos por los expertos en cada materia del Bufete Mas y Calvet (laboral, penal, educación, mercantil, protección de datos, tecnología, constitucional, procesal civil), que, con un carácter divulgativo y práctico, ayudan a entender y prevenir cómo afectará el RIA a cuestiones fundamentales que impactan la actividad y organización de las empresas y a las personas en el día a día.
El futuro ya está aquí y es asombroso. Rafael Ansón. Socio del Bufete Mas y Calvet.
Reconocimiento facial y derechos fundamentales en el Reglamento 2024/1689 sobre Inteligencia Artificial (R.I.A.)
- Introducción
El Reglamento UE 2024/1689 sobre Inteligencia Artificial (IA) establece un marco normativo para regular el desarrollo, comercialización y uso de sistemas de IA dentro de la Unión Europea. Su objetivo principal es controlar aquellos sistemas que representen riesgos significativos para los derechos fundamentales, la seguridad o la protección de las personas, con especial énfasis en tecnologías avanzadas como el reconocimiento facial. Este texto aborda dos aspectos clave del Reglamento: el momento en que será aplicable para las empresas que utilicen sistemas de IA de reconocimiento facial de alto riesgo, y los riesgos de sanciones o prohibiciones para estas empresas.
- Aplicación del Reglamento a las empresas que usan IA de reconocimiento facial
El Reglamento entra en vigor a los 20 días de su publicación en el diario oficial de la Unión Europea. No obstante, su aplicación sigue un calendario extraordinariamente complejo cuyos hitos se producen escalonadamente de la siguiente manera:
1º) Como regla general, el RIA se aplicará a los 24 meses de su entrada en vigor.
2º) Los capítulos I (“Disposiciones generales”) y II (“Prácticas de IA prohibidas”) se aplicarán a partir de los 6 meses de su entrada en vigor.
3º) La sección 4 del capítulo III (“Autoridades notificantes y organismos notificados”), el capítulo V (“Modelos de IA de uso general”), el capítulo VII (“Gobernanza”), el capítulo XII (“Sanciones”) y el artículo 78 (“Confidencialidad”) serán aplicables a los 12 meses después de la fecha de entrada en vigor del RIA, a excepción del artículo 101 (“Multas a proveedores de modelos de IA de uso general”).
4º) El artículo 6.1 (“Reglas de clasificación de los sistemas de IA de alto riesgo”) y las obligaciones correspondientes serán aplicables a los 36 meses de la fecha de entrada en vigor del RIA.
A lo que se debe añadir que la aplicación requiere la adopción de una serie de actos complementarios por parte de la Comisión.
Los sistemas de reconocimiento facial –como todos los demás sistemas de identificación biométrica remota– están clasificados como de alto riesgo por la afectación que suponen en los derechos fundamentales de las personas, entre los que se encuentran la protección de datos de carácter personal y la privacidad. Incluso se prohíbe su uso en el caso de los que actúan en tiempo real en espacios de acceso público con fines de cumplimiento del Derecho, por considerar que la violación de aquellos es intolerable.
Este último se escapa del objeto de este breve artículo, dado que nos centramos en uso empresarial de estos sistemas, no prohibidos sino considerados de alto riesgo. Por este motivo, al tratarse –como decimos– de un sistema de alto riesgo, las empresas que deseen utilizar este tipo de tecnología deben cumplir con una serie de obligaciones previas, como someter sus sistemas a una evaluación de conformidad antes de su implementación. Esto implica pruebas exhaustivas para garantizar que no se violen los derechos fundamentales implicados. Asimismo, deben presentar documentación técnica que permita a las autoridades competentes evaluar el cumplimiento normativo del sistema.
- Implementación progresiva del Reglamento
El Reglamento prevé una implementación progresiva, como especifica su artículo 113. En el caso de los sistemas de reconocimiento facial clasificados como de alto riesgo, se han establecido plazos diferenciados para facilitar una transición adecuada tanto para las empresas como para las autoridades de supervisión. El considerando 177 del Reglamento subraya que las empresas deben contar con un tiempo razonable para adaptar sus productos y servicios a los nuevos requisitos. Asimismo, el considerando 179 indica que ciertas partes del Reglamento pueden entrar en vigor de manera escalonada, permitiendo que los actores involucrados se adapten progresivamente.
Por lo tanto, las empresas que planeen usar sistemas de reconocimiento facial deberán prepararse con antelación para garantizar que cumplen con todos los requisitos técnicos y normativos antes de que las disposiciones del Reglamento sean de aplicación obligatoria.
Pedro Tenorio Sánchez
D. Pedro Tenorio, nuevo Of Counsel de nuestra firma Bufete Mas y Calvet.
El Catedrático aporta una vasta experiencia en el ámbito del Derecho Constitucional. Desde el 29 de enero de 2015 hasta su disolución el 5 de marzo de 2024, desempeñó el rol de Of Counsel en el Despacho Ramón Rodríguez Arribas Abogados, S.L.P., donde dejó una huella significativa con su profundo conocimiento y habilidades jurídicas.
Actualmente es Catedrático de Derecho Constitucional en la Universidad Nacional de Educación a Distancia de Madrid, posición que ha ocupado desde el 6 de diciembre de 2011.
Su carrera es larga y destacada, con una trayectoria que incluye su labor como Letrado del Tribunal Constitucional de España del 1 de septiembre de 2001 al 2 de junio de 2011.
- Riesgos de sanciones, multas o prohibiciones
El incumplimiento del Reglamento UE 2024/1689 conlleva sanciones significativas para las empresas que utilicen sistemas de reconocimiento facial de alto riesgo sin ajustarse a las normativas. Estas sanciones están diseñadas para ser lo suficientemente disuasorias como para asegurar que las empresas cumplan con sus obligaciones legales.
Las multas pueden alcanzar hasta el 7% del volumen de negocio anual global de la empresa o un máximo de 35 millones de euros, dependiendo de la gravedad de la infracción. Estas sanciones se aplican de manera proporcional a la gravedad del incumplimiento, pero buscan ser lo suficientemente severas como para prevenir violaciones deliberadas de la normativa.
Además de las sanciones económicas, las empresas también se arriesgan a sufrir prohibiciones temporales o permanentes en el uso de sus sistemas de IA. Si se detecta que un sistema de reconocimiento facial se ha implementado en violación de las normas del Reglamento, las autoridades podrían prohibir su uso hasta que se corrijan las deficiencias identificadas.
El Reglamento también contempla mecanismos de control continuo. Las autoridades nacionales, junto con las agencias europeas competentes, tendrán el poder de realizar inspecciones y auditorías regulares para asegurar que las empresas están cumpliendo con las disposiciones del Reglamento. De este modo, las empresas estarán bajo constante vigilancia en relación con sus sistemas de IA de alto riesgo.
Además de las sanciones económicas y prohibiciones, las empresas que no cumplan con el Reglamento podrían enfrentarse a graves consecuencias reputacionales, afectando negativamente su posición en el mercado. Por ello, es crucial que las empresas que utilicen sistemas de reconocimiento facial de alto riesgo se aseguren de cumplir con todas las disposiciones desde la entrada en vigor del Reglamento, para evitar sanciones financieras y la interrupción de sus actividades.
