El EU AI Act es ley aplicable desde febrero de 2025. Las multas del RGPD superaron los dos mil millones de euros el año pasado. Quien realice investigación de usuarios con apoyo de IA ahora opera en un campo de juego con reglas nuevas.
La mayoría de los artículos sobre regulación de IA parecen escritos por abogados para abogados. Este explica qué ha cambiado realmente, qué importa para la práctica de investigación y dónde están las trampas habituales.
Las tres olas del EU AI Act
El EU AI Act no llegó de golpe. Se desplegó en olas.
En febrero de 2025 entraron en vigor las prácticas de IA prohibidas. Quien usaba software de reconocimiento de emociones en investigación laboral o educativa vio esa puerta cerrarse. La prohibición es categórica: ningún análisis facial para inferir estados emocionales en estos contextos.
En agosto de 2025 siguieron las reglas para IA de propósito general. Los proveedores de modelos como Claude o GPT ahora tienen obligaciones de transparencia. Deben documentar qué alimentó el entrenamiento y divulgar cuándo alguien interactúa con una IA.
En agosto de 2026 llega el peso completo de los requisitos de alto riesgo. Faltan siete meses. Quien realice investigación que toque decisiones de contratación, concesión de créditos o evaluaciones educativas debería empezar a prepararse ahora.
Qué sigue permitido y qué no
El reconocimiento de emociones está prohibido en lugares de trabajo y escuelas. Quien planeaba usar software de análisis facial para medir reacciones de usuarios durante investigación de empleados o pruebas de productos educativos: eso ya no es posible. No importa si los participantes consienten. La práctica en sí está prohibida en estos contextos. Las aplicaciones médicas y los escenarios de seguridad son las únicas excepciones.
El análisis de sentimiento basado en texto sigue siendo legal. Analizar lo que la gente escribe o dice, extraer temas, identificar sentimientos positivos o negativos del lenguaje: todo esto permanece permitido. La diferencia crucial es que analizas contenido, no señales biométricas. Sigue necesitándose un consentimiento RGPD adecuado, por supuesto.
Las entrevistas conducidas por IA requieren divulgación. El artículo 50 del AI Act establece que los usuarios deben ser informados cuando interactúan con un sistema de IA. Quien despliegue un moderador IA para entrevistas no puede pretender que es humano. Esto no solo es éticamente requerido; ahora es ley.
La exención de investigación es más estrecha de lo que muchos piensan. El artículo 2 contiene exenciones para investigación científica, pero estas aplican principalmente al desarrollo y prueba de sistemas de IA en sí. Realizar investigación de usuarios con herramientas de IA no califica automáticamente. Verifica esto cuidadosamente antes de confiar en ello.
Las tres trampas más comunes
Después de más de dos décadas en este campo, veo a los equipos caer en las mismas trampas repetidamente. La regulación solo ha elevado las apuestas.
Consentimiento descuidado. El RGPD requiere consentimiento informado en lenguaje claro, dado libremente, con una explicación comprensible de qué datos se recopilan y por qué. La mayoría de los formularios de consentimiento son demasiado vagos o están enterrados en jerga legal que nadie lee. Si tu proceso de consentimiento no pasa la prueba de "¿Entendería esto mi madre?", probablemente no es conforme.
Conservar datos demasiado tiempo. El estudio terminó hace seis meses. Las grabaciones siguen en un disco compartido. Las transcripciones existen en tres herramientas diferentes. Nadie sabe quién tiene acceso. Estas son exactamente las situaciones que se convierten en violaciones del RGPD. Los períodos de retención deben definirse antes de que comience la recopilación de datos.
Ocultar el uso de IA. Usas una herramienta de IA para transcripción, codificación inicial o las propias entrevistas. Los participantes deberían saberlo. No porque sea aterrador, sino porque la transparencia ahora es legalmente requerida y siempre ha sido éticamente apropiada.
Cómo QUALLEE implementa esto
Cuando empecé a construir QUALLEE, estaba claro que el cumplimiento no podía ser una ocurrencia tardía. Demasiadas herramientas tratan la privacidad como una característica a añadir después.
Nuestros servidores están ubicados en Alemania, alojados por Hetzner. Los datos de investigación no salen de la UE. No los enrutamos a través de proveedores cloud estadounidenses ni los almacenamos en países con protección de datos más débil.
No usamos análisis biométrico. Sin reconocimiento facial, sin detección de emociones de señales de video o audio. Nuestra IA analiza lo que los participantes dicen, no cómo se ven sus caras. Esto no es solo una decisión legal; también es metodológica. El texto revela motivación. Las expresiones faciales son notoriamente poco fiables para inferir estados internos.
Cada entrevista de QUALLEE deja claro que los participantes están hablando con una IA. Sin engaño, sin ambigüedad. Esta transparencia incluso mejora la calidad de los datos. Los participantes a menudo comparten más abiertamente con entrevistadores IA porque no se preocupan por el juicio social.
La retención de datos está integrada en el sistema. Los períodos de retención se establecen al crear un proyecto. Cuando expiran, los datos se eliminan realmente, no solo se ocultan.
La regulación como estándar mínimo
El EU AI Act y el RGPD están forzando a la industria a hacer cosas que deberíamos haber estado haciendo de todos modos. Obtener consentimiento genuino. Ser transparentes sobre los métodos. No conservar datos más tiempo del necesario. Respetar a las personas que participan en nuestra investigación.
Estos no son obstáculos para una buena investigación, sino prerrequisitos.
Los equipos que tratan el cumplimiento como un estándar mínimo a alcanzar a regañadientes siempre irán rezagados. Los que integran prácticas éticas en su flujo de trabajo desde el principio descubrirán que la regulación apenas es un freno.
La investigación de usuarios siempre ha tratado de entender a las personas. Tratarlas con respeto no solo es legalmente requerido; es la base de confianza que hace posible una buena investigación en primer lugar.
Pruébalo tú mismo
QUALLEE realiza entrevistas potenciadas por IA que son conformes desde el inicio. Servidores en Alemania, sin biometría, transparencia total. Una entrevista dura unos 20–30 minutos.