La Ley de Inteligencia Artificial de la Unión Europea, en vigor desde hace exactamente un año, es el primer marco legal integral del mundo para regular el desarrollo, uso y comercialización de sistemas de IA. Su objetivo principal es garantizar que la inteligencia artificial en Europa se utilice de manera segura, ética y respetuosa con los derechos fundamentales. Pero, ¿qué obligaciones impone a la industria del marketing?
Alberto Durán, Content Director & Open Innovation Consultant en t2ó (t2ó ONE), señala que lo primero es entender el marco regulatorio, que parte del Reglamento General de Protección de Datos (RGPD), al que han seguido la Ley de Servicios Digitales (DSA), la Ley de Mercados Digitales (DMA) y la AI Act. “Todas ellas, junto a regulaciones sobre los derechos del consumidor o la publicidad, son el marco jurídico que todas las agencias de marketing debemos conocer”, explica y pone en contexto para los lectores de PRNoticias.
¿Qué obligaciones impone la nueva Ley de IA de la UE a las empresas que utilizan IA para actividades de marketing?
Si nos centramos solo en la AI Act, debemos hablar de tres puntos. Primero, estamos ante una ley definida desde la UE, pero cada país tendrá diferentes responsables. En España nos encontramos con la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), que está asentada en A Coruña, y que será el máximo responsable del control de la AI Act en nuestro país. A nivel europeo se ha creado la Oficina Europea que ayudará a supervisar la aplicación del Reglamento. Segundo, el objetivo de esta ley es garantizar el desarrollo y despliegue de una IA ética, segura y que no ‘ataque’ los derechos de las las personas. Para ello se ha creado una pirámide, que dependiendo del output de la plataforma o IA, es clasificada en un escalón de la misma u otro. Vamos desde inteligencias artificiales cuyo riesgo es inaceptable, que pueden ser una amenaza a los derechos fundamentales de las personas, hasta riesgo mínimo, pasando por riesgo limitado donde se pueden encontrar muchas agencias de marketing. Las empresas debemos comprobar cuál es nuestra situación en esa pirámide, y actuar conforme a ello. Además, aunque es una ley que lleva en conversaciones desde hace tiempo, su implantación se está dando en diferentes fases y que finalizarán en junio de 2027. Los casos de uso de mayor riesgo, serán los primeros en activarse su regulación. Por último, destacar que la Ley de Servicios Digitales (DSA) y la Ley de Mercados Digitales (DMA), así como la RGPD, son normativas que las empresas no podemos pueden olvidar, aunque alguna de ellas no tendrá un gran impacto regulatorio sobre nosotros, sí que nos abre la puerta a nuevas oportunidades, como luego veremos.
¿Cuáles son los principales riesgos para las empresas de marketing que no cumplan con la nueva Ley de IA?
Como es lógico, las sanciones cambiarán según la normativa, porque hay que entender su valor independiente entre ellas. Así, si hablamos de la AI Act y el diseño y desarrollo de algoritmos de riesgo ‘inadmisible’, podemos hablar de plataformas que no se permitirán su despliegue o bloquearán su actividad. Por otro lado, nos encontramos con multas a las empresas, con un enfoque interesante, se harán desde la facturación global de la empresa y no lo que podría ser la actividad en una región concreta.
¿Qué impacto tendrá la nueva Ley en el uso de chatbots y asistentes virtuales en campañas de marketing?
En este caso, debemos hablar de tres leyes como son la AI Act, RPGD y por último, la DSA, a la hora de entender cuál sería un correcto compromiso con el uso de chatBots para nuestra próxima campaña o caso de uso. Según la DSA debemos trabajar con plataformas que faiclitan la transparencia y permiten que seamos más claros con los usuarios y el contenido sintético con el que trabajamos. Además, la AI Act sí que habla, en su pirámide, de actividades de Riesgo Limitado con los chatbots y asistentes virtuales con IA. En estos casos el usuario debe estar informado que va a interactuar con una IA y si el contenido que aparece es sintético, debe estar claramente etiquetado y comunicado, ya sea un chatbot, un asistente virtual o un influencer creado con IA. Por último, quería recordar que la RPGD sigue indicándonos aspectos importantes de la recogida de la información de los usuarios (según la interacción que vayamos teniendo y la petición de consentimientos que se haga) y su tratamiento, así como de la comunicación de las condiciones de la recogida de los datos y el trato del ‘dato’ como ‘moneda’ de cambio entre usuario y empresas.
¿Qué medidas deben tomar las agencias de marketing para garantizar que sus campañas basadas en IA respeten la privacidad y los derechos de los usuarios?
En un marco legal tan amplio, cada caso de uso debe ser estudiado de forma individual y entender cómo cada ley le afecta. Pero varios puntos que actualmente debemos controlar son, primero, una RPGD que ya se encuentra en un grado de madurez alto y que seguirá evolucionando para que el usuario pueda entender mejor en qué condiciones cede sus datos y los derechos de los mismos. Y segundo, también normativas como la IA Act y la Ley de Servicios Digitales van a obligar a las empresas, no solo dejar claro cuando un usuario interactúa con un contenido sintético, también el reto de que los usuarios podamos entender el porqué un anuncio llega a nosotros, protegiendo nuestra autonomía y deteniendo la desinformación y el engaño a través de los denominados ‘dark patterns’ (por ejemplo, mensajes de cookies que buscan hacer muy complejo su rechazo). Tercero, y por último, recordar que existirán, gracias a la DSA, medidas específicas que buscan proteger a los menores en línea (y otros grupos vulnerables), incluyendo la prohibición de publicidad dirigida a ellos basada en perfilados.
¿Qué nuevas oportunidades o limitaciones pueden surgir en las estrategias de marketing digital con la entrada en vigor de esta Ley?
Si queremos hablar de oportunidades debemos centrarnos en la Ley de Mercados Digitales (DMA). Esta ley busca conocer mejor la actividad de los denominados Gatekeepers (Google, Amazon, Meta…) y ampliar su transparencia. Aquí surgirán oportunidades como el acceso a mejores datos en rendimientos de nuestras acciones; se debe permitir la interoperabilidad, favoreciendo nuevas iniciativas y oportunidades; y la creación de entornos donde los propios servicios del Gatekeeper no se vean favorecidos. Este último es una de las principales iniciativas que busca acabar con el monopolio y control que empresas como Google han estado desarrollando, priorizando sus productos en su buscador. Esto ha ido creando entornos muy dependientes de ellos y si no pasabas por su ‘aro’, no podías competir.
¿Qué papel tendrá la gestión del consentimiento del usuario en las campañas de marketing impulsadas por IA en la UE?
Como hemos comentado anteriormente, la RPGD es una regulación ya madura, pero que sigue evolucionando y que busca evitar que los usuarios nos sintamos engañados o que hay un elevado nivel de opacidad. Actualmente, por ejemplo, se está viendo el mensaje del consentimiento que, abreviando, nos dice: ‘o me das tus datos o pagas por consumir mi contenido’, y este tipo de acciones van a perseguirse. Se está hablando de mensajes más claros, evitando la confusión y dificultad del usuario para rechazar este consentimiento, así como de entender hasta qué punto una empresa puede o debe bloquear el uso parcial o total de una plataforma, si esto no da su consentimiento en el uso de los datos. Cierto es que aquí, por ahora, también están entrando en juego modelos de negocios digitales, su rentabilidad y los principios éticos de cada uno de ellos.
¿Qué pasos concretos deben tomar las empresas (grandes y pequeñas) para adaptarse a esta regulación y evitar sanciones?
Su principal reto continúa siendo la RPGD. Cumplirla, obtener mejores resultados en la misma y posiblemente dar mayores pasos de lo que la ley obliga, le harán más competitiva ante futuros retos, que llegarán. Dicho esto, mi siguiente paso sería analizar y entender qué tipo de riesgo puede provocar, según la pirámide la IA Act, mis modelos de IA y los diferentes casos de uso con los que trabajo (chatbots, influencers generados con IA…). Aquí, además, si nos movemos en entornos laborales, de finanzas o de salud, entre otros, cuidado porque muchos aspectos como los sistemas de recomendación o reconocimiento de emociones pueden estar bajo la lupa. El contexto, perfil de la persona y objetivo, pueden cambiar totalmente el nivel de riesgo que la UE considerará que tiene esa actividad. Por último, está claro que analizar la Ley de Servicios Digitales es relevante para entender si los partners con los que uno trabaja (redes sociales) y sus condiciones, son entornos seguros. Una publicidad y comunicación más transparente, así como una disminución de capacidades de perfilado pueden provocar cambios importantes en tus estrategias.
Seguiremos Informando…
