compliance · 16 min de lectura
EU AI Act — el Art. 5 entra en aplicación: ocho prácticas prohibidas en la UE desde el 2 de febrero de 2025
Primer escalón real del Reglamento (UE) 2024/1689. El 2 de febrero entran en aplicación las prohibiciones de prácticas inaceptables y la obligación de alfabetización IA. Tabla de las ocho categorías con artículo, producto real afectado y plazo, más las exenciones del Art. 5.2 y la extraterritorialidad del Art. 2.
· Manuel López Pérez · compliance
El 2 de febrero de 2025 entra en aplicación el primer set de obligaciones del Reglamento (UE) 2024/1689 (AI Act). Dos cosas reales pasan ese día: las prohibiciones del Art. 5 (Capítulo II) son exigibles, y arranca la obligación de alfabetización IA del Art. 4. Lo cubrimos cuando el texto entró en vigor en agosto de 2024; este post desempaqueta el primer escalón con producto real afectado, no con paráfrasis del Boletín.
Dos días después, el 4 de febrero, la Comisión publica las Guidelines on prohibited artificial intelligence (AI) practices — documento interpretativo no vinculante, disponible en las 24 lenguas oficiales, pensado para dar criterio operativo a market surveillance authorities y a deployers. El 6 de febrero la Comisión adopta también unas guidelines complementarias sobre la definición de “sistema de IA” del Art. 3(1). En conjunto: por primera vez hay obligaciones AI Act que disparan multa.
Lectura: trabajo sobre el texto consolidado del Reglamento en EUR-Lex y las Guidelines publicadas el 4-feb-2025. Para decisión vinculante hay que ir al texto del Reglamento; lo que sigue es triaje operativo para CISO/DPO.
La fecha y por qué importa
El Art. 113 del Reglamento fija el calendario de aplicación. Las prohibiciones y la alfabetización IA son los primeros artículos exigibles: 6 meses desde la entrada en vigor del 1 de agosto de 2024.
| Hito | Fecha | Qué entra en aplicación |
|---|---|---|
| Entrada en vigor | 1-ago-2024 | Reglamento publicado, todavía no exigible salvo disposiciones de aplicación |
| Prohibiciones Art. 5 | 2-feb-2025 | Capítulos I y II — prácticas inaceptables prohibidas, definiciones, alfabetización |
| GPAI | 2-ago-2025 | Capítulo V — obligaciones de modelos de propósito general |
| Sistemas alto riesgo | 2-ago-2026 | Aplicación general — Anexo III, supervisión, sandboxes, sanciones |
| Anexo I (productos) | 2-ago-2027 | Art. 6(1) — sistemas alto riesgo integrados en productos regulados |
Sancionar el Art. 5 no es teórico: el Art. 99 fija el tramo más alto, hasta 35 millones de euros o el 7 % del volumen de negocios anual mundial total, lo que sea superior. Para PYMEs y start-ups, el importe menor (Art. 99.6). Es la única categoría AI Act con régimen sancionador equivalente al GDPR de prohibición plena, no de obligación de diligencia.
Las ocho prácticas prohibidas, una por una
El Art. 5(1) lista ocho categorías. Para cada una, qué dice el texto, qué interpretación da la Comisión en sus Guidelines del 4-feb, y qué producto o feature real cae dentro.
5(1)(a) — Técnicas subliminales o manipuladoras
Sistemas que desplieguen técnicas subliminales más allá de la consciencia de la persona, o técnicas deliberadamente manipuladoras o engañosas, con el efecto o el objetivo de distorsionar materialmente el comportamiento de una persona o grupo, mermando su capacidad de tomar una decisión informada, de modo que la persona tome una decisión que de otra forma no habría tomado, y causando o siendo razonablemente probable que cause un daño significativo.
Cuatro elementos cumulativos: (1) técnica subliminal o manipulación deliberada, (2) distorsión material del comportamiento, (3) merma de la decisión informada, (4) daño significativo (físico, psicológico, financiero o económico) razonablemente probable. La carga sobre el regulador es alta — todos los cuatro tests deben pasarse — pero el efecto disuasorio es amplio.
Las Guidelines de la Comisión distinguen entre “persuasión legítima” (publicidad transparente, recomendaciones personalizadas no engañosas) y “manipulación prohibida” (uso de dark patterns amplificados por IA, deepfakes con intención de engañar en decisiones materiales, chatbots que generan dependencia emocional artificial en usuarios vulnerables). El listón de “subliminal” se interpreta de forma técnica: imágenes o audio por debajo del umbral consciente. Dark patterns visibles caen más bien en (a) como manipulación deliberada, no como subliminal.
Producto real afectado: chatbots de “compañía” hiper-personalizada que escalan ansiedad o dependencia para forzar compras o suscripciones; sistemas de dynamic pricing que detectan estado emocional del cliente (voz, escritura) para subir precio en momento de baja capacidad de decisión.
5(1)(b) — Explotación de vulnerabilidades
Sistemas que exploten cualquier vulnerabilidad de una persona o grupo debido a su edad, discapacidad o situación social o económica específica, con el efecto o el objetivo de distorsionar materialmente el comportamiento, causando o siendo razonablemente probable que cause daño significativo.
Análogo al (a) pero con el target específico: la práctica explota una vulnerabilidad concreta. La diferencia con (a) es que aquí no hace falta probar “subliminal” o “deliberadamente manipulador” — basta con que el sistema explote la vulnerabilidad. Las Guidelines recogen como ejemplo: sistemas que detectan precariedad económica de un usuario para empujarle a productos de crédito de coste abusivo, sistemas dirigidos a menores con engagement patrons que se aprovechan de impulsividad evolutiva, sistemas dirigidos a personas con deterioro cognitivo en residencias de mayores.
Producto real afectado: chatbots de loterías y casinos online dirigidos por profiling a usuarios con patrón de juego problemático (UK Gambling Commission ya está mirando esto bajo legislación propia, ahora añade AI Act); ads networks que segmentan por marcadores indirectos de discapacidad cognitiva o pobreza para servir ofertas predatorias.
5(1)(c) — Social scoring por entidades públicas o privadas
Sistemas para la evaluación o clasificación de personas físicas durante un cierto período, basada en su comportamiento social o características personales conocidas, inferidas o predichas, cuando el score social conduzca a:
(i) trato perjudicial o desfavorable en contextos sociales no relacionados con aquellos en los que los datos se generaron o recogieron originalmente, o
(ii) trato perjudicial o desfavorable injustificado o desproporcionado respecto a la gravedad del comportamiento social.
Dos condiciones, conectadas con o: basta una. La (i) bloquea el modelo “tu comportamiento en redes sociales determina si recibes un préstamo bancario”; la (ii) bloquea el modelo “tienes 200 € de impago de teléfono, no accedes a sanidad pública”. El alcance es público y privado por igual — esto no es solo el “sistema chino”, aplica a cualquier scoring corporativo transversal.
Producto real afectado: plataformas que agregan datos de empleo, comportamiento online y crédito en un único score que luego se vende a sectores no relacionados con la fuente; sistemas de tenant screening que penalizan inquilinos por social media activity; índices de “fiabilidad” de gig workers que cruzan rating de cliente con marcadores irrelevantes del comportamiento offline.
5(1)(d) — Predictive policing por perfilado
Sistemas para realizar evaluaciones de riesgo de personas físicas con el fin de evaluar o predecir el riesgo de comisión de un delito, basadas únicamente en el perfilado de la persona o en la evaluación de sus rasgos y características de personalidad.
Excepción: esta prohibición no se aplica a sistemas de IA usados para apoyar la valoración humana de la implicación de una persona en una actividad delictiva, cuando dicha valoración esté ya basada en hechos objetivos y verificables directamente vinculados a una actividad delictiva.
La línea: prohibido el risk score predictivo basado en quién eres (perfil socioeconómico, lugar de residencia, comportamiento general); permitido el sistema que ayuda a un investigador humano cuando ya hay hechos objetivos contra la persona.
Las Guidelines se detienen en el adverbio solely: si el sistema combina perfilado con datos de actividad delictiva concreta, sale de la prohibición pero entra como alto riesgo Anexo III punto 6 (aplicación de la ley) — distinta categoría, distinto régimen, no prohibición.
Producto real afectado: PredPol/CompStat-style geographic risk maps que clasifican individuos por barrio + perfil demográfico (categoría dudosa, depende de cómo se use el output); sistemas de credit risk aplicados a investigación criminal (claramente prohibidos); early intervention scoring sobre menores para predecir delincuencia futura (claramente prohibidos).
5(1)(e) — Scraping facial indiscriminado
Sistemas que creen o expandan bases de datos de reconocimiento facial mediante el scraping no dirigido de imágenes faciales de internet o de grabaciones de CCTV.
La prohibición es directa. No hace falta probar daño, no hay condicional. Si el método de creación de la face database es untargeted scraping, está prohibido. Esto sigue la línea del expediente Clearview AI ante autoridades europeas — la AEPD multó a Clearview en 2024 — y la fija como prohibición frente a cualquier proveedor.
Producto real afectado: Clearview AI, PimEyes y similares. Cualquier servicio que ofrezca reverse face search contra base de datos construida con imágenes de Instagram/LinkedIn/CCTV agregadas sin filtro queda fuera del mercado UE. La pregunta abierta: bases de datos creadas antes del 2-feb-2025 — el Art. 5 no tiene cláusula transitoria explícita, lectura mayoritaria es que el sistema en sí queda prohibido aunque la base se haya creado antes.
5(1)(f) — Inferencia de emociones en trabajo y educación
Sistemas para inferir emociones de una persona física en los ámbitos del lugar de trabajo y centros educativos, salvo que el uso del sistema esté destinado a fines médicos o de seguridad.
Ámbito acotado: trabajo y educación. Fuera de esos contextos, la inferencia de emociones no está prohibida — está sujeta a Art. 50 (transparencia) cuando aplique. Las excepciones son específicas: médica (terapia, diagnóstico) o seguridad (detección de fatiga en conductores de transporte profesional, por ejemplo).
Las Guidelines aclaran que “lugar de trabajo” cubre tanto al trabajador en su puesto como en job interviews y procesos de selección. “Centros educativos” cubre desde infantil hasta universidad. El alcance es amplio.
Producto real afectado: sistemas de emotion analytics sobre llamadas en call centers (medir frustración del agente para gestionar performance); proctoring educativo que mide engagement, atención o estrés del alumno durante exámenes online; interview AI que puntúa entusiasmo/sinceridad de candidatos a partir de vídeo. Todos los que estén en el mercado UE deben retirar o reconfigurar la feature.
5(1)(g) — Categorización biométrica por categorías sensibles
Sistemas de categorización biométrica que clasifiquen individualmente a personas físicas en base a sus datos biométricos para deducir o inferir su raza, opiniones políticas, afiliación sindical, creencias religiosas o filosóficas, vida sexual u orientación sexual.
Excepción: etiquetado o filtrado lícito de datasets biométricos legalmente adquiridos, o categorización biométrica por fuerzas de la ley dentro del marco del Derecho de la Unión y nacional aplicable.
La lista de categorías sensibles refleja el Art. 9 GDPR. El sistema que infiere “esta persona es musulmana”, “esta persona es lesbiana”, “este es un trabajador sindicado” a partir de datos biométricos queda prohibido. La excepción cubre dos casos: depuración técnica de datasets (e.g., balancear un dataset para training) y uso por law enforcement bajo marco legal.
Producto real afectado: sistemas que infieren orientación sexual a partir de análisis facial (Stanford “gaydar” de 2017 sería el caso límite — prohibido ahora si se desplegara como producto); sistemas de retail que clasifican shoppers por etnia para servir publicidad diferenciada.
5(1)(h) — Biometric remote identification “real-time” en espacios públicos para law enforcement
Sistemas de identificación biométrica remota en tiempo real en espacios accesibles al público con fines de aplicación de la ley, salvo cuando estrictamente necesarios para:
(i) búsqueda dirigida de víctimas específicas de secuestro, trata o explotación sexual, o búsqueda de personas desaparecidas;
(ii) prevención de una amenaza específica, sustancial e inminente para la vida o la seguridad física de personas físicas, o de una amenaza real y presente o real y previsible de un atentado terrorista;
(iii) localización o identificación de una persona sospechosa de haber cometido un delito, con el fin de instruir una investigación o aplicación penal o ejecución de una pena, para delitos del Anexo II castigados con pena privativa de libertad de al menos cuatro años.
Las excepciones del Art. 5(2)–(7) son el régimen procesal para los tres supuestos:
- Art. 5(2): cada uso debe limitarse a confirmar la identidad de un objetivo específico, considerar la gravedad y probabilidad del daño, y aplicar salvaguardas.
- Art. 5(3): autorización previa de una autoridad judicial o una autoridad administrativa independiente del Estado miembro, basada en solicitud razonada. Uso de urgencia permitido sin autorización previa, pero solicitada en 24 horas; si se rechaza, parada inmediata y destrucción de datos.
- Art. 5(4): notificación al market surveillance authority y a la autoridad nacional de protección de datos.
- Art. 5(5): los Estados miembros pueden autorizar el uso dentro de límites por ley nacional, notificada a la Comisión en 30 días. Pueden adoptar leyes más restrictivas.
La interpretación que se va a discutir en 2025: qué cuenta como “remote”, qué cuenta como “real-time” (las Guidelines dicen que post-event con retardo significativo cae en alto riesgo Anexo III, no en prohibición), y qué cuenta como “espacio accesible al público” (¿estaciones de metro, aeropuertos, hospitales?).
Producto real afectado: despliegues de face recognition en tiempo real por policía municipal o nacional contra watchlist ampliada. España debe trasladar al ordenamiento nacional las condiciones del Art. 5(5) si quiere permitir cualquiera de las tres excepciones — al cierre de enero 2025 no hay anteproyecto público.
Las exenciones generales del Art. 2 — qué queda fuera del Reglamento
Antes de pasar el inventario por las prohibiciones, hay que ver el Art. 2. Cuatro exenciones materiales relevantes:
- Art. 2(3) — fines exclusivamente militares, de defensa o de seguridad nacional. El AI Act no aplica. Cualquier sistema con uso dual queda dentro del AI Act por la parte civil.
- Art. 2(4) — autoridades públicas de terceros países y organizaciones internacionales que actúen en el marco de acuerdos internacionales de cooperación policial y judicial con la UE o Estados miembros, sujeto a salvaguardas equivalentes.
- Art. 2(6) — sistemas o modelos de IA, incluido su output, desarrollados y puestos en servicio con el único fin de la investigación y desarrollo científicos. La investigación queda fuera; el momento de mercado pone dentro.
- Art. 2(8) — actividad de investigación, prueba y desarrollo previa a la puesta en mercado, con la excepción de testing en condiciones reales (que sí entra en el ámbito).
- Art. 2(10) — uso personal no profesional. Un sistema que un particular usa para sí mismo, sin actividad comercial, fuera del Reglamento.
Hay también una exención específica para sistemas con licencia libre y código abierto publicados antes de la entrada en aplicación, siempre que no sean GPAI ni se coloquen en el mercado como producto.
Extraterritorialidad — Art. 2(1)
El AI Act tiene tres puntos de conexión que disparan aplicabilidad:
- Art. 2(1)(a): providers que coloquen en el mercado o pongan en servicio sistemas de IA en la UE, con independencia del país de establecimiento.
- Art. 2(1)(b): deployers que tengan su lugar de establecimiento o ubicación en la UE.
- Art. 2(1)(c): providers y deployers establecidos en un tercer país cuando el output del sistema se utiliza en la UE.
El (c) es la cláusula extraterritorial fuerte. Un proveedor en EEUU que opera un chatbot accesible desde la UE cuyas respuestas las consumen usuarios UE entra en el régimen. La carga es del proveedor — designar representante UE bajo Art. 22 si supera ciertos thresholds, demostrar conformidad con prohibiciones y obligaciones aplicables.
Lo que esto significa operativamente: un producto SaaS US no puede simplemente “no estar disponible en UE” si los outputs cruzan la frontera. Si el output se usa en UE — un dictamen médico, una decisión de RRHH, una recomendación financiera — el Reglamento aplica. Las Guidelines no resuelven los casos límite (turistas, VPN, output transitivo) pero dejan claro que la sustancia importa más que el formalismo.
Alfabetización IA — Art. 4 (también en aplicación el 2-feb)
Junto con las prohibiciones entra en aplicación el Art. 4:
Los proveedores y los desplegadores de sistemas de IA tomarán medidas para garantizar, en la mayor medida posible, un nivel suficiente de alfabetización en materia de IA de su personal y de otras personas que se ocupen del funcionamiento y la utilización de los sistemas de IA en su nombre.
Sin sanción específica del Art. 4 en el régimen del Art. 99, pero es disposición exigible — la AESIA puede inspeccionar el cumplimiento del Art. 4 y derivar consecuencias administrativas. El nivel “suficiente” depende del contexto, formación previa de la persona, tipo de sistema desplegado. Para una organización que despliegue chatbots de atención al cliente, el listón es modesto; para una organización que despliegue clasificadores de credit risk, el listón sube.
Tabla de retirada
Pasar cada sistema del inventario contra la lista del Art. 5. Lo que cae fuera del mercado UE el 2-feb-2025:
| Categoría prohibida | Art. | Producto/feature típico | Acción |
|---|---|---|---|
| Técnicas subliminales / manipulación deliberada | 5.1.a | Dynamic pricing con emotion detection del cliente | Retirar o reconfigurar antes 2-feb |
| Explotación de vulnerabilidades | 5.1.b | Casino/loterías dirigidos por profiling a problemáticos | Retirar segmentación, mantener servicio |
| Social scoring | 5.1.c | Plataforma agregadora de trust score trans-contexto | Retirar producto o limitar a un contexto |
| Predictive policing por perfilado puro | 5.1.d | Risk scoring policial sin hechos objetivos | Retirar, o restructurar como apoyo a investigador con base factual |
| Scraping facial indiscriminado | 5.1.e | Clearview-style face search | No comercializar en UE |
| Emotion recognition en trabajo / educación | 5.1.f | Proctoring con análisis de stress, interview AI | Retirar feature de emotion, mantener resto |
| Categorización biométrica sensible | 5.1.g | Inferencia automática de orientación/etnia/religión | Retirar producto |
| Biometric RT identification en espacios públicos | 5.1.h | Vigilancia FR municipal en tiempo real (LE) | Suspender hasta marco legal nacional |
Para deployments existentes, sin cláusula transitoria — el Reglamento se aplica al sistema con independencia de cuándo se desplegó. Aviso operativo: el plazo de retirada es la fecha de aplicación, no una fecha de gracia adicional.
Triaje operativo
- Inventario IA cerrado antes del 2-feb. Si la respuesta a “qué sistemas de IA usamos” sigue siendo “no sabemos”, el problema es de gobernanza, no de Reglamento.
- Triaje contra Art. 5 sistema a sistema. Para cada uno, documentar (i) categoría aplicable o ninguna, (ii) si aplica alguna exención del Art. 2, (iii) decisión: retirar, reconfigurar, o mantener.
- Retirada o reconfiguración de los sistemas que caigan. Cuando el sistema sea de proveedor externo (SaaS), notificación contractual al proveedor + plan de migración.
- Documentación de la decisión — especialmente para casos en que se considere que no aplica una prohibición (e.g., proctoring de exámenes presenciales sin emotion recognition, mantenido como permitido). El criterio razonado constituye defensa procesal frente a market surveillance authority.
- Plan de alfabetización Art. 4 — formación interna mínima al personal que opera o supervisa IA. No hay formato obligatorio; sí debe ser documentable.
- Designación de representante UE (Art. 22) si la organización es provider establecido fuera de la UE y opera output que se usa en UE.
Lo que sigue abierto
- Interpretación case-by-case de “manipulación deliberada” en (a). El listón de “daño significativo” es la pieza que va a determinar dónde corta la línea. Las primeras decisiones de market surveillance authorities en Q2–Q3 2025 van a marcar precedente.
- Coordinación entre prohibición (5.1.d) y alto riesgo (Anexo III, punto 6). Sistemas de apoyo a investigación policial con elementos de perfilado caen en alto riesgo, no en prohibición, pero la frontera depende de cuánto del scoring proviene de perfil vs hechos concretos.
- AESIA y autoridades de market surveillance. Spain designa AESIA como autoridad nacional de aplicación. Al cierre de enero 2025, AESIA no ha publicado guidelines específicas españolas; está alineándose con las del 4-feb de la Comisión. Real Decreto 729/2023 que crea AESIA establece su sede en La Coruña y operativa desde junio 2024.
- Régimen sancionador en España. El Reglamento es directamente aplicable, pero el régimen procesal sancionador y la coordinación inter-autoridad (AESIA, AEPD, CNMC, autoridades sectoriales) están todavía en proyecto. El anteproyecto de ley de ordenamiento jurídico de la IA fue aprobado por el Consejo de Ministros en marzo de 2025; trámite parlamentario sigue.
- GPAI a 2-ago-2025. Siguiente escalón del Reglamento — obligaciones para foundation models. Cubriremos cuando entre.
Referencias
- Texto oficial Reglamento (UE) 2024/1689 (DOUE 12-jul-2024): https://eur-lex.europa.eu/eli/reg/2024/1689/oj
- Art. 5 (Prácticas prohibidas): https://artificialintelligenceact.eu/article/5/
- Art. 2 (Ámbito de aplicación): https://artificialintelligenceact.eu/article/2/
- Art. 4 (Alfabetización IA): https://artificialintelligenceact.eu/article/4/
- Art. 99 (Sanciones): https://artificialintelligenceact.eu/article/99/
- Comisión Europea, Commission publishes the Guidelines on prohibited artificial intelligence (AI) practices, as defined by the AI Act (4-feb-2025): https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act
- AESIA — Agencia Española de Supervisión de la Inteligencia Artificial: https://aesia.digital.gob.es/
- Post previo de IRONHACKERS: EU AI Act en vigor: Reglamento (UE) 2024/1689 y el calendario operativo
- compliance
- eu-ai-act
- eu
- regulation
- prohibited-practices
- article-5
- aesia
- biometric-identification
- emotion-recognition
