Javier De Zea, abogado de ECIJA, analiza la normativa europea y española aplicable al uso de la inteligencia artificial por parte de los operadores de juego online.
Imaginemos un supuesto práctico: un jugador que se ha autoexcluido intenta volver a acceder a la plataforma, evitando así las medidas de protección establecidas. Para ello, crea una nueva cuenta con un correo distinto, emplea una VPN para ocultar su ubicación, modifica algunos datos personales y utiliza un método de pago diferente. Aparentemente, todo encaja, pero al intentar iniciar sesión, la cuenta queda bloqueada.
¿Qué ha sucedido? Resulta que el sistema de IA del operador ha detectado varias señales que no cuadraban: datos de identificación similares, incoherencias en la geolocalización y una huella digital casi idéntica a la ya registrada. La combinación de estos elementos ha activado automáticamente los protocolos de verificación. De modo que si la comprobación con el Registro General de Interdicciones de Acceso al Juego (RGIAJ) confirma la autoexclusión, el acceso se deniega de forma inmediata.
Este es solo un ejemplo de cómo la IA puede ayudar a los operadores en España en la detección del fraude, el refuerzo de la seguridad y la personalización de la experiencia del usuario. No obstante, su uso debe ajustarse a un complejo marco normativo, que incluye el Reglamento de Inteligencia Artificial de la UE (AI Act), el Reglamento General de Protección de Datos (RGPD) y la Ley General del Juego española, junto con sus desarrollos reglamentarios, entre otros.
En este contexto, para garantizar que todo esté en orden, los operadores deberán, en primer lugar, realizar una evaluación de riesgos de sus sistemas de IA conforme a los criterios del AI Act. En este sentido, mientras que los algoritmos básicos de recomendación suponen un riesgo mínimo, el uso de IA para detectar fraude requiere una supervisión más estricta debido a su impacto en los derechos fundamentales de los jugadores. Si se utiliza biometría o tecnologías de reconocimiento emocional, puede clasificarse como de alto riesgo, lo que exige transparencia, documentación y supervisión humana. En algunos casos, incluso puede prohibirse si manipula o explota a jugadores vulnerables y, a este respecto, cabe señalar que las disposiciones relativas a la IA prohibida ya son aplicables.
Esto cobra especial importancia en España, donde el Real Decreto 176/2023 obliga a los operadores a identificar comportamientos de juego de riesgo y tomar medidas preventivas. La IA puede detectar depósitos elevados, apuestas excesivas o patrones irregulares, activando alertas, restricciones o revisiones manuales. No obstante, si la IA falla —o peor aún, facilita, fomenta o refuerza el juego excesivo entre jugadores vulnerables— los operadores se enfrentan a importantes consecuencias regulatorias tanto bajo la legislación europea como la española. Para mantenerse dentro del marco legal, los operadores españoles deben contar con un expediente de defensa que documente las evaluaciones de riesgos, los controles de cumplimiento y los protocolos de supervisión humana.
Más allá de la clasificación de riesgos, los operadores deben tener claro cuál es su papel dentro de la cadena de valor de la IA y cumplir con las obligaciones legales específicas que les correspondan. Por ejemplo, quienes desarrollen sus propios sistemas de IA deberán garantizar su cumplimiento íntegro con la normativa y, aquellos que integren o desplieguen soluciones de terceros, también serán responsables de que se respeten los estándares europeos de transparencia y protección al consumidor, entre otras cuestiones.
La IA también encuentra limitaciones en el ámbito de la publicidad y las promociones en España. El Real Decreto 958/2020 puede prohibir ciertas estrategias de marketing impulsadas por IA y establece restricciones sobre el horario, contenido y formato de los anuncios de juego. Por ejemplo, los contenidos generados por IA podrían crear mensajes promocionales con lenguaje o imágenes que infrinjan la normativa, como presentar el juego como una fuente de ingresos segura o asociarlo de forma exagerada con el éxito. La IA también podría optimizar la segmentación de anuncios en plataformas digitales, provocando que aparezcan en contextos inapropiados, como contenidos dirigidos a menores. Si no se controla cuidadosamente, el uso de IA podría vulnerar estas reglas, generando riesgos legales y reputacionales.
Además, los operadores deben establecer una sólida gobernanza de la IA, que incluya políticas internas y de formación del personal. Muchos ya han designado a un Chief AI Officer (CAIO) para supervisar el cumplimiento normativo, trabajando estrechamente con el Delegado de Protección de Datos (DPO) para asegurar el alineamiento con el RGPD. De hecho, cualquier sistema de IA que tome decisiones automatizadas con impacto en los usuarios debe someterse a una Evaluación de Impacto en la Protección de Datos (DPIA) para analizar los riesgos y las medidas de seguridad pertinentes.
En definitiva, la IA puede ser una gran aliada en la mejora de resultados, pero mal gestionada, también puede poner en riesgo el negocio. Con una regulación cada vez más exigente, usarla de forma responsable no es solo una obligación legal, sino una apuesta estratégica para proteger ingresos, reputación y confianza del usuario.
