La Agencia Española de Protección de Datos (AEPD) ha anunciado que, desde el 2 de agosto de 2025, podrá ejercer su capacidad sancionadora frente a sistemas de inteligencia artificial (IA) prohibidos que traten datos personales, incluso antes de la plena aplicación del Reglamento Europeo de Inteligencia Artificial (RIA).
Aunque la normativa española aún no está aprobada y la AEPD no ha sido formalmente designada como autoridad de vigilancia del mercado, sus funciones como garante de la protección de datos personales ya le habilitan para intervenir cuando se detecten violaciones asociadas a sistemas de IA.
La AEPD no ha esperado a la aplicación total del nuevo marco legal europeo: ya se encuentra en condiciones de supervisar y sancionar tratamientos automatizados que afecten a los derechos fundamentales de las personas, incluidos aquellos definidos como prohibidos por el artículo 5 del Reglamento 2024/1689 de la UE, cuyo régimen sancionador entrará en vigor el 2 de agosto de 2025.
Entre los sistemas prohibidos se incluyen tecnologías como: la identificación biométrica remota en tiempo real en espacios públicos, los usos de técnicas subliminales para manipular comportamientos y la explotación de vulnerabilidades personales (edad, discapacidad, etc.) con fines de influencia indebida.
Es importante que empresas y desarrolladores evalúen sus sistemas de IA, considerando la realización de EIPD y auditorías internas para sistemas considerados de alto riesgo o prohibidos y alineen sus prácticas con los principios de legalidad, proporcionalidad y transparencia, tal como exige el anteproyecto de ley.
Las organizaciones que desarrollan o implementan sistemas de IA no pueden esperar más: la transición regulatoria ya está en marcha. Anticiparse es la clave para asegurar un uso ético, transparente y respetuoso con los derechos fundamentales.
