Los que violen el Reglamento de Inteligencia Artificial podrán serán multados desde este verano

El equipo de Laboral, Compensación y Beneficios de Pérez-Llorca celebró una nueva edición del ciclo ‘Pérez-Llorca Laboral al Día’ en la sede del despacho en Barcelona, centrada esta vez en las implicaciones laborales del nuevo marco normativo sobre Inteligencia Artificial. La jornada reunió a expertos del despacho como Manel Hernàndez, Marc París y Raúl Rubio, quienes analizaron los desafíos y oportunidades que plantea la regulación europea de la IA en el entorno empresarial.

Tendencias laborales en el horizonte: absentismo, aranceles y reindustrialización

El socio Manel Hernàndez abrió la sesión identificando algunas de las tendencias que marcarán la actualidad laboral en los próximos meses:

Repunte del absentismo laboral: un incremento del 10,5 % en las bajas por contingencias comunes obliga a las empresas a repensar sus políticas preventivas, desde la revisión de complementos por incapacidad hasta el seguimiento individualizado de casos, siempre respetando la legalidad y la privacidad de las personas trabajadoras.

Impacto de los aranceles estadounidenses: sectores estratégicos en España podrían verse afectados, lo que exigirá un enfoque más estratégico en la planificación laboral.

Nuevas exigencias en procesos de reindustrialización: el Proyecto de Ley de Industria introduce una obligación de preaviso de hasta nueve meses en determinados escenarios de pérdida de capacidad industrial. “Una medida que puede dificultar la flexibilidad empresarial”, advirtió Hernàndez.

Como ya es habitual en el ciclo, el abogado Marc París ofreció un análisis de las sentencias más relevantes de los últimos meses. Entre ellas, destacó la Sentencia del Tribunal Supremo del 5 de marzo de 2025, que refuerza el artículo 44 del Estatuto de los Trabajadores al impedir que las empresas eviten la subrogación de personal mediante despidos previos pactados.

“Esta sentencia cierra la puerta a maniobras que pretendan esquivar la protección legal en sucesiones de contratas”, explicó París.

Inteligencia artificial: lo que las empresas deben saber

La última parte del seminario estuvo a cargo de Raúl Rubio, socio del área de Tecnología del despacho, quien ofreció una panorámica sobre el Reglamento de Inteligencia Artificial y su impacto laboral. Entre los puntos clave:

Calendario de aplicación:

Febrero 2025: entrada en vigor de prácticas prohibidas y disposiciones generales.

Agosto 2025: comienzo del régimen sancionador.

Agosto 2027: plena aplicación a sistemas de alto riesgo.

Ámbito de aplicación extraterritorial: afecta a cualquier empresa que opere en el mercado de la UE, incluso si no tiene sede en Europa.

Clasificación por niveles de riesgo: la normativa distingue entre sistemas prohibidos, de alto, medio y bajo riesgo.

“Inferir emociones en el entorno laboral estará expresamente prohibido, salvo excepciones médicas o de seguridad”, subrayó Rubio.

Además, hizo referencia al Anteproyecto de Ley para el Buen Uso y la Gobernanza de la IA que se tramita actualmente en España y que desarrollará el régimen sancionador a nivel nacional.

1. Obligaciones generales desde el 2 de febrero de 2025

A partir del 2 de febrero de 2025, las empresas deben cumplir con las siguientes disposiciones del RIA, según lo establecido en el artículo 99 y el capítulo I y II del Reglamento:

a. Alfabetización en IA (Artículo 4 del RIA)

• Qué implica: Los proveedores y responsables del despliegue de sistemas de IA (empresas que los desarrollan, comercializan o utilizan) deben garantizar que su personal y las personas que operen o interactúen con estos sistemas reciban formación adecuada.
• Objetivo: Asegurar que los empleados comprendan el funcionamiento de los sistemas de IA, sus limitaciones, riesgos, oportunidades y posibles perjuicios, promoviendo un uso responsable.
• Ejemplo práctico: Una empresa que utiliza un chatbot para atención al cliente debe capacitar a sus empleados sobre cómo interactúa el sistema, sus sesgos potenciales y cómo supervisarlo.
• Recomendación: Aunque no es obligatorio para sistemas de IA de uso general (como ChatGPT) en entornos sin implicaciones legales o de derechos fundamentales, se recomienda ofrecer formación para minimizar riesgos.

b. Prohibición de sistemas de IA de riesgo inaceptable (Artículo 5 del RIA)

• Qué implica: Se prohíben ciertos usos de IA considerados de "riesgo inaceptable" por vulnerar derechos fundamentales o los valores de la UE.
• Sistemas prohibidos:
  • Sistemas que utilicen técnicas subliminales, manipuladoras o engañosas para distorsionar el comportamiento y causar daños significativos.
  • Sistemas que exploten vulnerabilidades (edad, discapacidad, situación socioeconómica) para influir en el comportamiento.
  • Sistemas de puntuación social que clasifiquen a personas según comportamiento o características personales.
  • Sistemas de identificación biométrica en tiempo real en espacios públicos (como reconocimiento facial) sin justificación policial y autorización judicial.
  • Sistemas de inferencia de emociones en entornos laborales o educativos (excepto por motivos médicos o de seguridad).
  • Sistemas de vigilancia predictiva basados en perfiles o categorización biométrica por raza, religión u orientación sexual.
• Ejemplo práctico: Una empresa no puede implementar un sistema de IA que analice emociones de empleados para evaluar su rendimiento, salvo excepciones justificadas.
• Acción requerida: Las empresas deben revisar sus sistemas de IA para identificar y eliminar cualquier uso prohibido antes del 2 de febrero de 2025. La Comisión Europea publicará directrices sobre estas prohibiciones antes de esta fecha (artículo 96 del RIA).

2. Obligaciones a partir del 2 de agosto de 2025

Desde el 2 de agosto de 2025, entrarán en vigor nuevas obligaciones, especialmente para sistemas de IA de uso general y de alto riesgo, así como el régimen sancionador:

a. Obligaciones para proveedores de modelos de IA de uso general (Artículo 53 del RIA)

• Qué implica: Los proveedores de modelos de IA de uso general (como los de IA generativa: ChatGPT, Gemini, etc.) deben cumplir requisitos de transparencia y protección de derechos.
• Obligaciones específicas:
  • Publicar un resumen detallado del contenido utilizado para entrenar el modelo, siguiendo el modelo que proporcionará la Oficina Europea de IA.
  • Garantizar el cumplimiento de la normativa de la UE en materia de propiedad intelectual durante el entrenamiento y la generación de contenido.
  • Implementar medidas de gestión de riesgos y transparencia.
• Ejemplo práctico: Una empresa que desarrolle un modelo de IA generativa debe documentar y hacer público el tipo de datos (textos, imágenes, etc.) utilizados para entrenarlo, asegurando que no infringe derechos de autor.
• Recomendación: Los proveedores deben prepararse para colaborar con la Oficina Europea de IA en la elaboración del Código de Buenas Prácticas, que estará listo en abril de 2025.

b. Gobernanza y supervisión

• Designación de autoridades nacionales: En España, la Agencia Española de Supervisión de Inteligencia Artificial (AESIA), creada por el Real Decreto 729/2023, será la autoridad encargada de supervisar, inspeccionar y sancionar el cumplimiento del RIA.
• Obligaciones de las empresas: Cooperar con la AESIA, proporcionar información precisa y someterse a auditorías si es necesario.
• Ejemplo práctico: Una empresa que implemente un sistema de IA debe estar preparada para presentar documentación técnica a la AESIA si se le solicita.

c. Régimen sancionador (Artículo 99 del RIA)

• Qué implica: A partir del 2 de agosto de 2025, el incumplimiento del RIA puede acarrear sanciones significativas, aplicadas por la AESIA u otras autoridades nacionales.
• Multas:
  • Hasta 35 millones de euros o el 7% de la facturación anual global por incumplir las prohibiciones del artículo 5 (sistemas de riesgo inaceptable).
  • Hasta 15 millones de euros o el 3% de la facturación por incumplir otras obligaciones (gestión de riesgos, documentación, transparencia, supervisión humana).
  • Hasta 7,5 millones de euros o el 1% de la facturación por proporcionar información inexacta o engañosa a las autoridades.
• Otras medidas: Advertencias, medidas correctivas o coercitivas no pecuniarias.
• Ejemplo práctico: Una empresa que utilice un sistema de reconocimiento facial en un centro comercial sin autorización podría enfrentar multas de hasta el 7% de su facturación global.
• Recomendación: Implementar sistemas de cumplimiento normativo (compliance) para evitar sanciones.

3. Obligaciones para sistemas de IA de alto riesgo (aplicables plenamente a partir del 2 de agosto de 2026, con excepciones hasta 2027)

Los sistemas de IA de alto riesgo (HRAIS), definidos en los anexos I y III del RIA, incluyen aquellos que puedan afectar la salud, seguridad o derechos fundamentales (por ejemplo, sistemas de selección de personal, evaluación crediticia, dispositivos médicos con IA). Las empresas deben cumplir las siguientes obligaciones:

a. Requisitos técnicos y de conformidad

• Gestión de riesgos: Implementar un sistema de gestión de riesgos a lo largo del ciclo de vida del sistema de IA.
• Calidad de datos: Utilizar conjuntos de datos de alta calidad para minimizar sesgos y garantizar la fiabilidad.
• Documentación técnica: Elaborar y mantener documentación detallada sobre el diseño, implementación y funcionamiento del sistema.
• Transparencia y explicabilidad: Asegurar que las decisiones automatizadas sean comprensibles para los usuarios.
• Supervisión humana: Garantizar que los sistemas de IA de alto riesgo estén sujetos a supervisión humana efectiva.
• Evaluación de conformidad: Realizar una evaluación previa al lanzamiento al mercado, que puede incluir auditorías de terceros para ciertos sistemas (anexo I).

b. Registro en la base de datos de la UE

• Los sistemas de IA de alto riesgo y las entidades públicas que los utilicen deben registrarse en una base de datos de la UE.
• Ejemplo práctico: Una empresa que desarrolle un sistema de IA para evaluar solicitudes de empleo debe registrarlo y demostrar que cumple con los requisitos de transparencia y no discriminación.

c. Evaluación de impacto en derechos fundamentales

• Antes de implementar un sistema de IA de alto riesgo, las entidades públicas o privadas que presten servicios públicos deben evaluar su impacto en los derechos fundamentales.
• Ejemplo práctico: Un hospital que use IA para diagnosticar enfermedades debe evaluar cómo el sistema afecta la privacidad y el derecho a la salud de los pacientes.

d. Obligaciones específicas para responsables del despliegue

• Selección de proveedores: Elegir proveedores que cumplan con el RIA.
• Supervisión y control: Implementar mecanismos para garantizar un uso seguro y responsable.
• Capacitación: Formar a los empleados en el uso adecuado de los sistemas de IA de alto riesgo.

e. Plazo ampliado para ciertos sistemas

• Los sistemas de IA de alto riesgo integrados en productos regulados (por ejemplo, dispositivos médicos) tienen hasta el 2 de agosto de 2027 para cumplir con estas obligaciones, según el artículo 6 del RIA.

4. Obligaciones de transparencia para sistemas de riesgo limitado (a partir del 2 de agosto de 2025)

Los sistemas de IA de riesgo limitado, como chatbots o herramientas de IA generativa, deben cumplir requisitos específicos de transparencia:

• Informar a los usuarios: Indicar claramente que están interactuando con un sistema de IA (por ejemplo, un chatbot debe identificarse como tal).
• Etiquetado de contenido generado: Marcar contenido generado por IA (imágenes, vídeos, textos) para evitar confusión o ultrafalsificación.
• Ejemplo práctico: Una empresa que use un chatbot en su sitio web debe asegurarse de que los usuarios sepan que están hablando con una máquina.

5. Obligaciones adicionales para todas las empresas

Independientemente del nivel de riesgo, las empresas deben:

• Cumplir con el RGPD: Asegurar que el tratamiento de datos personales en sistemas de IA cumple con el Reglamento General de Protección de Datos.
• Proteger la propiedad intelectual: Respetar los derechos de autor en el entrenamiento y uso de modelos de IA, especialmente para IA generativa.
• Realizar autoevaluaciones: Evaluar proactivamente los riesgos de sus sistemas de IA, incluso si no están clasificados como de alto riesgo, para evitar responsabilidades legales en áreas como protección de datos, ciberseguridad o derechos de los consumidores.
• Colaborar con la AESIA: Proporcionar información precisa y someterse a inspecciones si es necesario.

6. Medidas de apoyo a las empresas, especialmente pymes

• Sandbox regulatorio: España ha establecido un entorno controlado de pruebas (Real Decreto 817/2023) para que las empresas, especialmente pymes, testen sus sistemas de IA de alto riesgo o de uso general y cumplan con el RIA. Este entorno proporciona guías preliminares y especificaciones técnicas.
• Pacto por la IA: La Comisión Europea ha lanzado una iniciativa voluntaria para que las empresas se adhieran a las obligaciones del RIA antes de su entrada en vigor, facilitando la transición.
• Código de Buenas Prácticas: La Oficina Europea de IA está elaborando un código para proveedores de IA de uso general, que estará disponible en abril de 2025 y servirá como referencia para demostrar cumplimiento.

7. Recomendaciones prácticas para las empresas

1. Clasificar los sistemas de IA: Identificar si los sistemas utilizados son de riesgo inaceptable, alto, limitado o mínimo, utilizando herramientas como el Comprobador de Cumplimiento de la Ley de IA de la UE.
2. Elaborar un inventario dinámico: Mantener un registro actualizado de los sistemas de IA en uso, su clasificación y estado de cumplimiento.
3. Implementar un programa de cumplimiento: Establecer procesos internos de gestión de riesgos, documentación, transparencia y supervisión humana.
4. Capacitar al personal: Iniciar programas de formación en IA antes del 2 de febrero de 2025, especialmente para sistemas de alto riesgo o de uso general.
5. Seleccionar proveedores conformes: Asegurarse de que los proveedores de IA cumplen con el RIA, especialmente para sistemas de alto riesgo.
6. Prepararse para auditorías: Documentar todos los procesos relacionados con el desarrollo y uso de IA para facilitar inspecciones de la AESIA.
7. Aprovechar incentivos: Explorar subvenciones y programas de apoyo para pymes, como el sandbox regulatorio o el Pacto por la IA.

8. Consecuencias del incumplimiento

El incumplimiento del RIA puede resultar en:

• Sanciones económicas: Multas de hasta 35 millones de euros o el 7% de la facturación global, dependiendo de la infracción.
• Daños reputacionales: Pérdida de confianza de clientes y socios.
• Medidas correctivas: Obligación de retirar sistemas de IA del mercado o implementar cambios.

La AESIA, como autoridad nacional, tiene potestad para imponer estas sanciones, siguiendo las directrices de la Comisión Europea.

9. Contexto español

• Agencia Española de Supervisión de Inteligencia Artificial (AESIA): Creada para supervisar el cumplimiento del RIA, la AESIA ofrece guías operacionales y acompaña a las empresas en la adaptación a la normativa.
• Sandbox regulatorio: España es pionera en la implementación de un entorno controlado de pruebas para sistemas de IA, lo que facilita a las pymes cumplir con el RIA.
• Estrategia Nacional de Inteligencia Artificial: Integrada en el Plan de Recuperación, Transformación y Resiliencia, fomenta la innovación en IA responsable, alineada con el RIA.