Lista de control de practicas de IA prohibidas para fundadores y responsables de compliance

Las practicas de IA prohibidas son usos de IA que deben bloquearse, redisenarse o escalarse antes de llegar a produccion. Para fundadores y responsables de compliance, la pregunta util no es solo si aplica el articulo 5 del AI Act europeo. La pregunta util es si la empresa puede detectar usos inaceptables temprano y documentar la decision antes de un lanzamiento, un proveedor o una revision de cliente.

Usa esta lista cuando el equipo cree funciones de IA, incorpore IA de terceros, compre herramientas internas, atienda clientes regulados o cambie la forma en que una salida de IA afecta a personas.

1. Confirma el caso de uso

Describe sistema, producto, flujo, propietario, proveedor, modelo o servicio, finalidad, usuarios, personas afectadas, datos, geografia y si la salida influye en una decision.

Pregunta si la empresa construye, compra, integra, configura o usa el sistema; si es interno o de cliente; si evalua, clasifica, prioriza o influye en personas; si usa datos biometricos; y si puede afectar a usuarios, trabajadores, candidatos, estudiantes o clientes en la UE.

Si claramente no entra en alcance, conserva la razon y sigue con la gobernanza ordinaria de IA. Si hay duda, continua.

2. Revisa manipulacion o engano

El articulo 5 cubre determinados sistemas que usan tecnicas subliminales, manipuladoras o enganosas que distorsionan materialmente el comportamiento, perjudican la toma de decisiones informada y causan o probablemente causan dano significativo.

En SaaS esto exige revisar el diseno del producto. Comprueba si el sistema oculta informacion relevante, adapta presion a una persona, empuja a decisiones perjudiciales o usa interacciones de IA que los usuarios no comprenderian razonablemente.

Guarda capturas del recorrido, logica de personalizacion, grupos afectados, analisis de dano y decision de mitigacion. Si hay presion oculta o influencia enganosa, detén el lanzamiento hasta revisar el diseno.

3. Descarta explotacion de vulnerabilidades

El AI Act tambien trata la explotacion de vulnerabilidades relacionadas con edad, discapacidad o situacion social o economica cuando distorsiona el comportamiento y puede causar dano significativo.

Pregunta si la funcion de IA se dirige a personas vulnerables, las perfila, adapta mensajes o condiciona acceso, precio, soporte o cumplimiento. Puede importar en productos para menores, pacientes, estudiantes, trabajadores, consumidores con dificultad economica, personas con discapacidad o servicios esenciales.

Exige una revision especifica cuando el sistema personalice persuasion, priorizacion, elegibilidad, precio, soporte o medidas contra una persona.

4. Excluye social scoring y efectos desproporcionados

El riesgo de social scoring aparece cuando un sistema evalua personas durante un periodo segun comportamiento social o caracteristicas personales y genera trato desfavorable en contextos no relacionados o desproporcionado.

Aunque muchos productos B2B no son sistemas publicos de social scoring, el patron puede surgir en fraude, confianza, seguridad, empleados, educacion, comunidades o marketplaces. Documenta para que se usa la puntuacion, si afecta a personas fisicas, si el contexto esta relacionado con los datos originales y si el resultado es proporcional.

5. Escala biometria, emociones y riesgo penal

Escala de inmediato si el sistema evalua riesgo de delito solo por profiling o rasgos de personalidad, crea bases de reconocimiento facial con scraping no dirigido, infiere emociones en trabajo o educacion salvo razones medicas o de seguridad, usa biometria para inferir rasgos sensibles o soporta identificacion biometrica remota en tiempo real en espacios publicos para fines policiales.

No confies en etiquetas de proveedor como engagement, insight, safety o identity. Revisa lo que el sistema hace en realidad.

6. Asigna propietario y revisor

El propietario de negocio aporta hechos. El revisor decide si el uso continua, se rediseña o se bloquea. Registra nombre del sistema, finalidad, personas afectadas, proveedor, preguntas respondidas, conclusion, razonamiento, cambios exigidos, aprobador y disparador de nueva revision.

7. Conecta la lista con gates de lanzamiento y proveedores

Anade estas preguntas al intake de producto, security review, privacy review, onboarding de proveedores, aprobacion de herramientas internas y documentacion de IA para clientes. Ninguna funcion, proveedor o flujo interno con IA deberia lanzarse sin pantalla completada o confirmacion de que no hace falta.

8. Define disparadores de nueva revision

Reabre la decision si cambia la finalidad, el mercado, los usuarios, el proveedor, los datos, el grado de automatizacion, la configuracion por clientes o la guia regulatoria europea.

FAQ

Cual es el proposito practico?

Detener usos inaceptables de IA antes de que entren en un producto, proveedor, flujo interno o compromiso con clientes.

Cuando importa para SaaS?

Cuando el equipo construye, compra, integra, vende, configura o usa IA que pueda manipular personas, explotar vulnerabilidades, puntuar a personas entre contextos, procesar biometria, inferir emociones o apoyar ciertos usos biometricos policiales.

Que documentar primero?

Intake, propietario, revisor, plantilla corta de conclusion y gate de lanzamiento, conectados con vendor review, privacidad, seguridad y customer trust.

Fuentes

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689.