What does GuardianAI do?

GuardianAI analyzes technical documentation and detects compliance risks under the EU AI Act, GDPR and ISO 42001.

What documents can I scan?

PDF, DOCX and TXT files up to 25 MB: technical specifications, model cards, risk assessments, privacy policies.

Does GuardianAI replace legal advice?

No. GuardianAI is a RegTech support tool. It does not replace professional legal advice. Human review is recommended for final decisions.

TLS 1.3 + AES-256 encryption. GDPR-compliant European infrastructure. Minimal retention. Your documents are never used to train models.

Reconocimiento Facial y Biometría en la Ley de IA: Qué Está Prohibido y Qué Está Permitido

La biometría: el área más regulada del EU AI Act

Pocos temas generaron más debate durante la tramitación del EU AI Act que el reconocimiento facial y los sistemas biométricos. El resultado es un régimen complejo con múltiples capas: algunas usos están prohibidos sin excepciones, otros son de alto riesgo con requisitos estrictos, y algunos quedan fuera del ámbito más restrictivo.

Definiciones clave

Datos biométricos: datos personales resultantes de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona que permiten o confirman la identificación única de dicha persona (cara, huella dactilar, iris, voz, forma de andar). Identificación biométrica: proceso automatizado de reconocimiento de personas comparando sus datos biométricos con datos de referencia almacenados. Verificación biométrica: confirmación de que una persona es quien dice ser (1:1). Menos regulada que la identificación. Clasificación biométrica: asignación de personas a categorías según sus datos biométricos.

Nivel 1: Lo que está prohibido (Art. 5)

Identificación biométrica remota en tiempo real en espacios públicos con fines de aplicación de la ley

Prohibido usar sistemas que identifiquen personas en espacios de acceso público en tiempo real para fines policiales o de seguridad, salvo tres excepciones muy limitadas:

Búsqueda de víctimas específicas de tráfico de personas, explotación sexual o personas desaparecidas
Prevención de amenaza terrorista específica e inminente
Localización de sospechosos de delitos graves concretos (penas ≥ 4 años)

Cada excepción requiere autorización judicial previa (o confirmación en 24h en casos de urgencia) y está limitada geográfica y temporalmente.

¿Qué implica en la práctica?

Sistemas CCTV con reconocimiento facial en tiempo real para identificar personas: prohibido salvo esas 3 excepciones
Herramientas de vigilancia policial masiva basadas en biometría facial: prohibido
Sistemas de control de fronteras con biometría en tiempo real: sujeto a excepciones, con requisitos adicionales del reglamento de fronteras UE

Categorización biométrica para inferir atributos sensibles

Prohibido: sistemas que categoricen a personas individualmente según datos biométricos para inferir su raza, origen étnico, opiniones políticas, creencias religiosas o filosóficas, vida u orientación sexual.

Excepción: etiquetado de datasets biométricos legítimamente adquiridos para entrenar sistemas anti-discriminatorios.

Nivel 2: Alto riesgo (Anexo III)

Los siguientes sistemas biométricos son de alto riesgo y requieren evaluación de conformidad, documentación técnica, supervisión humana y registro:

Sistemas de identificación biométrica remota diferida

La identificación biométrica que no sea en tiempo real (ej. identificar personas en vídeos grabados, análisis post-hoc) es de alto riesgo cuando se usa con fines de aplicación de la ley. Requiere:

Documentación técnica (Anexo IV)
Evaluación de conformidad por organismo notificado (para uso policial)
Registro en base de datos EU AI Act
Supervisión humana obligatoria
Autorización judicial

Sistemas de identificación biométrica para acceso a servicios

Los sistemas que usan biometría para conceder o denegar acceso a servicios esenciales, o para decisiones significativas sobre individuos (ej. préstamos, seguros) también son de alto riesgo al caer en categorías como "crédito y seguros" o "servicios a ciudadanos".

Nivel 3: Riesgo limitado con obligaciones de transparencia (Art. 50)

Obligación de transparencia para sistemas biométricos que:

Interactúan directamente con personas (chatbots que usan voz biométrica para autenticación)
Generan contenido sintético con características biométricas de personas reales (deepfakes)

Para deepfakes: obligación de marcar el contenido como generado por IA (watermarking), especialmente para contenido de interés público.

Nivel 4: Bajo riesgo / no regulado específicamente

Verificación biométrica 1:1 para autenticación de usuarios propios (desbloquear móvil, acceder a cuenta con FaceID): no está específicamente en alto riesgo ni prohibida
Análisis de características faciales con fines estéticos o de entretenimiento (filtros de cámara, ajuste de edad en fotos): riesgo mínimo
Reconocimiento en plantas físicas de empleados para control de acceso interno: puede caer en alto riesgo si se usa para empleo/RRHH

El RGPD también aplica: doble cumplimiento

Los datos biométricos son categoría especial bajo el RGPD (Art. 9). Su tratamiento está prohibido salvo base jurídica específica:

Consentimiento explícito
Necesidad para protección de intereses vitales
Interés legítimo con ponderación + medidas adicionales
Necesidad en el interés público esencial (con legislación nacional habilitante)

Esto significa que los sistemas biométricos de alto riesgo bajo el EU AI Act también deben cumplir con el RGPD para el tratamiento de datos biométricos. No son regímenes alternativos — son acumulativos.

Guía de decisión rápida

¿Tu sistema usa datos biométricos?
│
├── ¿Identifica personas en espacios públicos en tiempo real?
│   ├── Con fines de ley → PROHIBIDO (salvo 3 excepciones estrictas)
│   └── Con fines comerciales → Requiere análisis detallado + RGPD
│
├── ¿Categoriza personas para inferir raza/religión/orientación sexual?
│   └── PROHIBIDO
│
├── ¿Identifica personas en vídeo grabado con fines de ley?
│   └── ALTO RIESGO — evaluación de conformidad + autorización judicial
│
├── ¿Verifica identidad 1:1 para acceso de empleados o usuarios?
│   ├── Si es para decisiones de empleo → ALTO RIESGO
│   └── Si es solo control de acceso físico → Analizar caso a caso
│
└── ¿Genera contenido de personas reales (deepfakes)?
    └── Obligación de marcado/watermarking (Art. 50)

Conclusión

La regulación biométrica en el EU AI Act es la más compleja y la que más cambios operativos requiere, especialmente en los sectores de seguridad, RRHH e identidad digital.

Si tu empresa usa sistemas biométricos de cualquier tipo, necesitas un análisis jurídico específico que contemple tanto el EU AI Act como el RGPD. GuardianAI puede ayudarte a documentar los usos biométricos en tus contratos y documentación técnica para identificar qué régimen aplica en cada caso.