AI Act europeo: clasificación, obligaciones y calendario

    10 min de lectura
    Compartir:

    El Reglamento Europeo de Inteligencia Artificial (Reglamento UE 2024/1689), conocido como AI Act, es la primera regulación integral de IA del mundo. No afecta solo a quienes desarrollan modelos: afecta a cualquier empresa europea que despliegue, integre o utilice sistemas de IA en su operativa. Este artículo resume, sin tecnicismos innecesarios, qué clasifica, qué exige y cuándo aplica cada parte del reglamento.

    Por qué el AI Act importa a su empresa aunque no desarrolle IA

    El AI Act no regula solo a los proveedores de modelos. Regula también a los 'responsables del despliegue' (deployers), término que incluye a cualquier empresa europea que utilice un sistema de IA en el marco de su actividad profesional. Si su empresa usa un sistema de IA para filtrar currículums, evaluar el riesgo crediticio de un cliente, optimizar rutas logísticas o personalizar precios, está sujeta al reglamento.

    El ámbito de aplicación es también extraterritorial: cualquier proveedor o responsable del despliegue establecido fuera de la UE queda obligado si el resultado del sistema de IA se utiliza en la Unión. La lógica es la misma que en el RGPD: lo que protege es el mercado y los ciudadanos europeos, no la nacionalidad del proveedor.

    "El AI Act no regula la tecnología. Regula su uso. Y eso afecta a casi todas las empresas europeas."

    Los cuatro niveles de riesgo: lo prohibido, lo regulado y lo libre

    El reglamento clasifica los sistemas de IA en cuatro niveles según el riesgo que presentan para los derechos fundamentales, la salud y la seguridad. El primer nivel —riesgo inaceptable— agrupa prácticas directamente prohibidas: scoring social al estilo gubernamental, manipulación cognitiva subliminal, explotación de vulnerabilidades de menores o personas con discapacidad, identificación biométrica remota en tiempo real en espacios públicos (con excepciones tasadas), categorización biométrica basada en datos sensibles, y reconocimiento emocional en entornos laborales y educativos.

    El segundo nivel —alto riesgo— es el que afecta a más casos de uso empresariales. Incluye sistemas de IA usados en infraestructuras críticas, educación y formación profesional, empleo y gestión de trabajadores (selección, evaluación, promoción), acceso a servicios esenciales públicos y privados (incluido scoring crediticio y seguros), aplicación de la ley, gestión migratoria, administración de justicia y procesos democráticos. También entran aquí ciertos productos regulados (sanitarios, automoción, juguetes) cuando incorporan IA como componente de seguridad.

    El tercer nivel —riesgo limitado— cubre sistemas con riesgos específicos de transparencia: chatbots, sistemas de generación de contenido sintético (deepfakes), reconocimiento emocional y categorización biométrica fuera de los usos prohibidos. La obligación principal es informar al usuario de que está interactuando con una IA o de que el contenido es generado artificialmente.

    El cuarto nivel —riesgo mínimo o nulo— engloba la inmensa mayoría de aplicaciones (filtros antispam, IA en videojuegos, optimizadores de rutas no críticas). No hay obligaciones específicas más allá de los códigos de conducta voluntarios.

    Obligaciones para sistemas de alto riesgo: el grueso del reglamento

    Si su sistema cae en alto riesgo, las obligaciones son exigentes. El proveedor debe implantar un sistema de gestión de riesgos a lo largo del ciclo de vida del sistema, garantizar la calidad y la gobernanza de los conjuntos de datos de entrenamiento, validación y prueba, mantener documentación técnica detallada, registrar automáticamente los eventos relevantes (logs), garantizar transparencia y proporcionar instrucciones de uso claras a los responsables del despliegue, asegurar la supervisión humana efectiva, y alcanzar niveles adecuados de precisión, robustez y ciberseguridad.

    Antes de su comercialización, el sistema debe someterse a una evaluación de conformidad y obtener el marcado CE. Además, debe registrarse en una base de datos pública europea gestionada por la Comisión.

    El responsable del despliegue —es decir, la empresa que utiliza el sistema— también tiene obligaciones propias: usar el sistema conforme a las instrucciones del proveedor, garantizar la supervisión humana por personal competente, monitorizar el funcionamiento y notificar incidentes graves, conservar los logs durante al menos seis meses, e informar a los trabajadores y sus representantes cuando se utilicen sistemas de alto riesgo en el ámbito laboral. En ciertos casos (sector público y servicios esenciales), debe realizar una evaluación de impacto sobre los derechos fundamentales antes del despliegue.

    "En sistemas de alto riesgo, la responsabilidad no termina en el proveedor: la empresa que despliega también responde."

    Modelos de propósito general (GPAI): la capa de los grandes modelos

    El AI Act introduce un régimen específico para los modelos de IA de propósito general (GPAI), categoría que incluye los grandes modelos de lenguaje y multimodales como GPT, Claude, Gemini o Llama. Todos los proveedores de GPAI deben mantener documentación técnica, proporcionar información a quienes integren el modelo en sus sistemas, cumplir la normativa europea de derechos de autor y publicar un resumen suficientemente detallado de los datos utilizados para el entrenamiento.

    Los modelos clasificados como de 'riesgo sistémico' —los que superan ciertos umbrales de capacidad computacional o tienen un impacto significativo en el mercado europeo— tienen obligaciones adicionales: evaluaciones de modelo con metodologías estandarizadas, evaluación y mitigación de riesgos sistémicos, notificación de incidentes graves a la Oficina Europea de IA, y garantía de un nivel adecuado de ciberseguridad.

    Para las empresas usuarias, esto significa que los grandes proveedores de modelos van a tener que entregar información estandarizada que hasta ahora no se exigía. Es razonable empezar a pedírsela contractualmente.

    Calendario de aplicación 2025-2027: qué entra en vigor y cuándo

    El AI Act entró en vigor el 1 de agosto de 2024, pero su aplicación es escalonada para dar tiempo a la adaptación. Las fechas clave son las siguientes.

    2 de febrero de 2025: aplicables las disposiciones generales (Capítulo I) y, sobre todo, las prohibiciones de prácticas de IA inaceptables (Capítulo II). También entran en vigor las obligaciones de alfabetización en IA: las empresas deben garantizar un nivel suficiente de conocimiento de IA entre el personal que opera o se ve afectado por estos sistemas.

    2 de agosto de 2025: aplicables las obligaciones para modelos de IA de propósito general, las disposiciones sobre autoridades nacionales competentes, el régimen de gobernanza europeo (Oficina Europea de IA, Consejo de IA) y el régimen sancionador. A partir de esta fecha, las multas son exigibles.

    2 de agosto de 2026: aplicación general del reglamento, incluidas las obligaciones para los sistemas de IA de alto riesgo del Anexo III (empleo, educación, servicios esenciales, etc.) y las obligaciones de transparencia para sistemas de riesgo limitado.

    2 de agosto de 2027: aplicables las obligaciones para los sistemas de IA de alto riesgo que sean componentes de seguridad de productos ya regulados por legislación armonizada de la UE (sector sanitario, automoción, maquinaria, etc.).

    "Agosto de 2026 es la fecha que más empresas deberían tener marcada en rojo: es cuando las obligaciones para sistemas de alto riesgo del Anexo III se vuelven exigibles."

    Sanciones: el incentivo económico al cumplimiento

    El régimen sancionador del AI Act se inspira en el del RGPD, pero con cuantías superiores en los tramos más graves. El incumplimiento de las prohibiciones de prácticas de IA inaceptables puede sancionarse con multas de hasta 35 millones de euros o el 7% del volumen de negocio anual mundial total del ejercicio anterior, lo que sea mayor.

    El incumplimiento de las obligaciones para sistemas de alto riesgo y otras obligaciones específicas puede acarrear sanciones de hasta 15 millones de euros o el 3% del volumen de negocio. La presentación de información incorrecta, incompleta o engañosa a las autoridades competentes puede sancionarse con hasta 7,5 millones de euros o el 1% del volumen de negocio.

    Para PYMEs y startups, el reglamento prevé que se aplique la cuantía menor entre los importes fijos y los porcentajes, suavizando proporcionalmente el impacto. Pero esto no excluye a ninguna empresa del cumplimiento.

    Qué debería hacer su empresa en los próximos meses

    Tres acciones prioritarias para los próximos doce meses: primero, inventariar todos los sistemas de IA en uso o previstos —incluidos los embebidos en herramientas SaaS habituales (CRM, ERP, atención al cliente, RRHH)— y clasificarlos según los niveles de riesgo del AI Act. Muchas empresas se sorprenderán al descubrir cuántas herramientas ya usan IA bajo el capó.

    Segundo, revisar contratos con proveedores de software e IA para incorporar cláusulas que garanticen el cumplimiento del AI Act por parte del proveedor y la entrega de la documentación técnica e instrucciones de uso necesarias para que la empresa, como responsable del despliegue, pueda cumplir sus propias obligaciones.

    Tercero, diseñar e implantar un programa de alfabetización en IA proporcionado al uso real que la empresa hace de estos sistemas. La obligación de alfabetización es ya exigible desde febrero de 2025 y suele ser la más fácil de pasar por alto.

    El AI Act no es una norma técnica para especialistas: es un marco regulatorio horizontal que va a estructurar cómo las empresas europeas adoptan inteligencia artificial durante la próxima década. Las organizaciones que aborden ahora el inventario de sistemas, la clasificación por riesgo y la actualización contractual con proveedores llegarán a agosto de 2026 con margen. Las que esperen al último momento descubrirán que las evaluaciones de conformidad, la documentación técnica y la formación del personal no se improvisan en pocas semanas. Como casi siempre en cumplimiento, el coste de la previsión es una fracción del coste de la corrección.

    Sigue leyendo

    ¿Necesita evaluar el impacto del AI Act en su organización?

    Un diagnóstico inicial independiente puede ayudarle a inventariar sus sistemas de IA, clasificarlos por nivel de riesgo y priorizar las acciones de cumplimiento antes de las fechas clave de 2026.