La Ley Europea de IA introduce el primer marco legal global para la IA, equilibrando la innovación con la privacidad y el consentimiento. Su implementación gradual, el Código de Prácticas y la intersección del RGPD suponen un reto para desarrolladores y empresas tecnológicas. El cumplimiento exige categorización de riesgos, transparencia, conocimientos de IA y un consentimiento válido para el uso de cookies, lo que define el futuro de una IA fiable y respetuosa con los derechos en Europa.
En 2024, entró en vigor la Ley de Inteligencia Artificial (Ley de IA) de la UE, lo que marca el primer marco legal integral del mundo para la IA. Su misión principal declarada era fomentar una IA fiable, segura y respetuosa con los derechos en Europa mediante un enfoque regulatorio basado en el riesgo, según la IAPP. Como ocurre con todos los avances en el ámbito de la IA, existe una considerable preocupación por la privacidad de los datos, los derechos individuales y la influencia del consentimiento en las ecuaciones de la IA. ¿Dónde se encuentra el equilibrio entre la privacidad de los datos y los principios de la Ley de IA?
Uno de los desafíos, y temores, en el centro de esta tensión entre regulación e innovación es que, como es habitual, la regulación tarda en adaptarse a la innovación. Y la Ley de IA no ha entrado en vigor de inmediato. Así, por ejemplo, la prohibición de prácticas inaceptables de IA, como la puntuación social, la manipulación subliminal y el reconocimiento de emociones, así como el requisito de conocimientos de IA, entraron en vigor a principios de 2025; los sistemas de IA de alto riesgo y las obligaciones de los modelos de IA de propósito general no entrarán en vigor antes de agosto de 2026.
A pesar de todas las regulaciones que Europa pretende implementar, existen resistencias en otras jurisdicciones. Aunque finalmente fue rechazada por el Senado estadounidense, la actual administración estadounidense intentó prohibir a los estados del país aplicar cualquier ley que regule los modelos de inteligencia artificial, los sistemas de IA o los sistemas de toma de decisiones automatizada durante un máximo de diez años. La cuestión es que no todos quieren regular y supervisar la creciente influencia de la IA.
Entre otros desafíos turbios, esto podría tener efectos confusos y potencialmente desastrosos en la privacidad de los datos, ya que el uso de la IA contradice las leyes vigentes de privacidad y consentimiento. Pero antes de profundizar en estas preocupaciones, analicemos el panorama actual.
Los retrasos en la estandarización impulsaron a la UE a introducir un Código de Prácticas de IA de propósito general, de carácter voluntario, en el verano de 2025. Este ofrece un marco práctico para que los proveedores de modelos GP-IA demuestren el cumplimiento de las obligaciones de la Ley de IA, como la transparencia, los derechos de autor, la seguridad y el riesgo sistémico.
La mayoría de las empresas tecnológicas, en particular gigantes como Google y xAI, se han adherido, comprometiéndose con una parte o la totalidad del Código, ya que su adopción les otorga mayor seguridad jurídica y una menor carga administrativa en comparación con otras vías de cumplimiento. A pesar de estos compromisos, todos los gigantes tecnológicos corporativos han expresado sus objeciones: desde Google, que advierte que las regulaciones de la UE frenarán la innovación, hasta Meta, que rechaza el Código por completo, alegando ambigüedad y extralimitación regulatoria. Esto, incluso después de que la Comisión Europea otorgara acceso privilegiado al Código a varias grandes empresas estadounidenses que desean que se diluya. Parecería que, a pesar de todas las buenas intenciones de la Ley de IA, el resultado final podría no ser el mejor para los ciudadanos europeos y su privacidad.
En última instancia, el Código deja de cumplir su propósito aparente (facilitar el cumplimiento) debido a este tipo de interferencia corporativa, que lo trata como una postura política en lugar de una herramienta técnica.
Los desarrolladores se enfrentan a la ambigüedad durante la implementación gradual. Todo parece estar en constante cambio, lo que dificulta el cumplimiento normativo (lo contrario de lo que la Ley de IA pretendía lograr). Para los desarrolladores y las empresas tecnológicas, la IA y la Ley de IA implicarán la introducción de diversas medidas nuevas.
Algunas de estas medidas incluyen la introducción de una categorización de riesgos diferente y la documentación del diseño del sistema, la transparencia y la protección de los derechos de autor, la alfabetización en IA para sus empleados y usuarios afectados, y la adopción y el uso de entornos de pruebas regulatorios de IA.
Si bien la Ley de IA es principalmente una regulación de seguridad de productos, no una ley de privacidad, se relaciona ampliamente con el RGPD. Los datos procesados por IA deben cumplir con los derechos y las protecciones del RGPD. El procesamiento basado en cookies, que se considera datos personales, requiere una base legal válida, es decir, el consentimiento explícito o un interés legítimo. Y aquí es donde algunas funciones de IA se enfrentan a problemas.
El consentimiento es fundamental en la mayoría de las transacciones e interacciones en línea: la mayoría de los consumidores están familiarizados con los banners de cookies y con la necesidad de navegar y tomar decisiones sobre qué cookies aceptar o rechazar. Con la IA, existe una nueva ola de consideraciones para desarrolladores y empresas que quizás no hayan considerado que los sistemas de IA requieren un nuevo consentimiento específico si cambian los fines del procesamiento de datos. Es decir, si los datos del usuario o de las cookies se reutilizan para entrenar o validar sistemas de IA, el consentimiento existente deja de ser válido.
Esto ocurre en un momento en que los reguladores de la UE están endureciendo la aplicación de los requisitos de consentimiento para el uso de cookies, con multas más elevadas por incumplimiento. Esto afecta a los proyectos de IA que dependen del seguimiento o la personalización basados en cookies, lo que hace que un consentimiento válido y una información clara sean más importantes que nunca.
El panorama de gobernanza de la IA en Europa está avanzando, pero aún se está desarrollando y cambiando. Para desarrolladores y empresas tecnológicas, esto significa:
Comprender su rol y categoría de riesgo: ¿es proveedor, implementador, importador?
Preparar documentación y estrategias de transparencia, incluso si se basa en el Código de Práctica voluntario.
Priorizar la alfabetización en IA internamente, junto con alianzas de cumplimiento interfuncionales entre los equipos de privacidad, legal e I+D.
Garantizar que las prácticas de datos y cookies cumplan con los estándares del RGPD, en particular en lo que respecta al consentimiento y la reutilización de datos para IA.
Supervisar la evolución de la aplicación, las directrices y las iniciativas de simplificación a escala de los reguladores de la UE para facilitar una adopción fluida.
Al igual que con el RGPD, los desafíos iniciales de cumplimiento pueden parecer abrumadores, pero adaptarse con prontitud, construir una gobernanza sólida y priorizar la transparencia ayudarán a las empresas no solo a cumplir, sino a liderar el desarrollo de una IA ética y confiable que cumpla con las regulaciones de consentimiento.
©2025 CookieHub ehf.
