EU AI Act
Resumen ejecutivo
El Reglamento de IA de la UE es el primer marco legal horizontal del mundo que regula la inteligencia artificial como categoría de productos. Esta frase se ha repetido tantas veces que se ha convertido en un lugar común, y este oculta lo que realmente importa.
La narrativa dominante sostiene que el Reglamento regula la inteligencia artificial. Esa lectura es incompleta. El Reglamento no regula la IA como tecnología. Regula los sistemas de IA introducidos en el mercado de la UE o puestos en servicio en la Unión, y lo hace en función del riesgo que esos sistemas representan para los derechos fundamentales, la salud y la seguridad. El objeto jurídico no es el algoritmo. Es el sistema en su contexto operativo.
La distinción importa porque define lo que el Reglamento sí y no puede hacer. Un modelo fundacional entrenado con datos públicos no es, por sí solo, objeto regulado por la mayor parte del Reglamento. Ese mismo modelo, desplegado para cribar currículos en un proceso de selección, se convierte en un sistema de IA de alto riesgo en el momento en que entra en ese contexto operativo. La carga regulatoria no se adhiere a la tecnología. Se adhiere al uso.
El Reglamento se basa en el Nuevo Marco Legislativo — la misma arquitectura que regula los productos sanitarios, las máquinas, los juguetes y los ascensores en la Unión. La elección es deliberada. Significa que los sistemas de IA se consideran productos sujetos a evaluación de la conformidad, al marcado CE, a la vigilancia del mercado y a la supervisión posterior a la comercialización. El modelo conceptual es seguridad de productos, no protección de datos. De ahí que las analogías con el RGPD induzcan a error: el RGPD regula un flujo (datos personales), el Reglamento de IA regula un artefacto (un sistema) y las obligaciones de quienes lo introducen en el mercado.
El Reglamento se articula sobre una pirámide de cuatro niveles de riesgo. Las prácticas de riesgo inaceptable están prohibidas. Los sistemas de alto riesgo están permitidos pero sometidos a obligaciones extensas. Los sistemas de riesgo limitado tienen deberes de transparencia. Los sistemas de riesgo mínimo no están regulados. Un régimen separado y paralelo se aplica a los modelos de IA de propósito general, con normas más estrictas para los clasificados como de riesgo sistémico.
Entonces, lo que el Reglamento hace en realidad no es «regular la IA». Construye un régimen de acceso al mercado para sistemas de IA, con la evaluación de la conformidad como mecanismo operativo y la clasificación de alto riesgo como línea estructural divisoria.
A quién obliga. El Reglamento se dirige a seis categorías de actores. Los dos con la carga más pesada son los proveedores (entidades que desarrollan un sistema de IA o hacen que se desarrolle y lo introducen en el mercado de la UE bajo su nombre) y los responsables del despliegue (entidades que utilizan un sistema de IA en el ejercicio de una actividad profesional, denominados «usuarios» en versiones anteriores). Importadores, distribuidores, representantes autorizados y fabricantes de productos que integran sistemas de IA en productos regulados completan la cadena.
El Reglamento se aplica de forma extraterritorial. Un proveedor establecido en Estados Unidos que introduce un sistema de IA en el mercado de la UE está sujeto al Reglamento. Un proveedor establecido fuera de la UE cuyo sistema produce resultados utilizados en la Unión también está sujeto, con independencia de dónde se haya entrenado el modelo o dónde tenga sede la empresa. Es la misma lógica extraterritorial que convirtió al RGPD en estándar global y producirá el mismo efecto: las empresas diseñarán para cumplir con la UE y desplegarán esa configuración globalmente porque operar dos regímenes resulta más caro que cumplir con el más estricto.
Qué se regula. El ámbito material lo define la definición legal de «sistema de IA» del artículo 3, alineada con la definición de la OCDE: un sistema basado en una máquina que, para objetivos explícitos o implícitos, infiere a partir de datos de entrada cómo generar resultados como predicciones, contenidos, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales. Tres exclusiones tienen impacto operativo: sistemas de IA utilizados exclusivamente con fines militares, de defensa o de seguridad nacional; sistemas y modelos desarrollados y puestos en servicio exclusivamente para investigación y desarrollo científico; y sistemas publicados bajo licencias libres y de código abierto, salvo que se califiquen como de alto riesgo, prohibidos o caigan en el régimen GPAI.
El régimen de IA de propósito general opera en paralelo. Los artículos 51–55 introducen un conjunto de obligaciones independiente para los proveedores de modelos de IA de propósito general, con una capa adicional para los modelos clasificados como de riesgo sistémico (computación de entrenamiento superior a 10²⁵ FLOPs, o designación por la Oficina de IA). Este régimen es independiente de la clasificación de alto riesgo: un modelo fundacional puede estar sujeto a obligaciones GPAI como modelo, mientras los despliegues específicos en contextos regulados activan obligaciones de alto riesgo como sistemas. Los equipos de cumplimiento deben rastrear ambos ejes simultáneamente.
Obligaciones
Nivel 1 — Prácticas prohibidas (artículo 5)
El Reglamento prohíbe ocho categorías de prácticas de IA, sin posibilidad de autorización. Son prácticas consideradas incompatibles con los valores de la UE y los derechos fundamentales:
- Técnicas subliminales, manipuladoras o engañosas diseñadas para distorsionar materialmente el comportamiento y causar daños significativos.
- Explotación de vulnerabilidades relacionadas con la edad, la discapacidad o la situación socioeconómica.
- Sistemas de puntuación social por actores públicos o privados que conducen a tratos perjudiciales en contextos no relacionados.
- Policía predictiva basada exclusivamente en perfiles o rasgos de personalidad.
- Recopilación no selectiva de imágenes faciales de internet o circuitos cerrados de televisión para construir bases de datos de reconocimiento facial.
- Reconocimiento de emociones en lugares de trabajo y centros educativos (con excepciones limitadas).
- Sistemas de categorización biométrica que infieren raza, opiniones políticas, afiliación sindical, creencias religiosas o filosóficas, vida sexual u orientación sexual.
- Identificación biométrica remota en tiempo real en espacios accesibles al público para fines policiales, salvo casos definidos de forma estricta.
Estas prohibiciones son aplicables desde el 2 de febrero de 2025. Son la única parte del Reglamento con fuerza legal operativa en el momento de redactar este documento.
Nivel 2 — Sistemas de alto riesgo
El régimen de alto riesgo es el núcleo operativo del Reglamento, donde se concentra la mayor parte del trabajo de cumplimiento. Un sistema se clasifica como de alto riesgo por dos vías:
Vía 1 — Anexo I. Sistemas de IA que son componentes de seguridad de productos regulados por la legislación de armonización de la Unión (productos sanitarios, máquinas, juguetes, diagnóstico in vitro, ascensores, vehículos, aviación, equipos marinos), o que son ellos mismos tales productos. La clasificación de alto riesgo es automática cuando el producto subyacente requiere evaluación de la conformidad por terceros.
Vía 2 — Anexo III. Ocho áreas de uso en las que el legislador ha identificado un riesgo estructural para los derechos fundamentales:
- Biometría (identificación biométrica remota, categorización biométrica, reconocimiento de emociones fuera de contextos prohibidos).
- Infraestructura crítica (infraestructura digital, tráfico vial, agua, gas, calefacción, electricidad).
- Educación y formación profesional (admisión, evaluación, supervisión de comportamientos prohibidos).
- Empleo, gestión de trabajadores y acceso al trabajo por cuenta propia (selección, promoción, terminación, asignación de tareas, monitorización).
- Acceso y disfrute de servicios esenciales privados y públicos (evaluación de solvencia, riesgo de seguros de vida y salud, prestaciones públicas, despacho de servicios de emergencia).
- Aplicación de la ley (evaluaciones de riesgo, polígrafos, fiabilidad de pruebas, elaboración de perfiles).
- Migración, asilo y control de fronteras (evaluaciones de riesgo, examen de solicitudes, controles de seguridad).
- Administración de justicia y procesos democráticos (apoyo a decisiones judiciales, influencia electoral).
Dentro de cada área se enumeran casos de uso específicos. La Comisión puede modificar el Anexo III por acto delegado para añadir o eliminar casos de uso.
Obligaciones del proveedor para sistemas de alto riesgo:
- Sistema de gestión de riesgos que opera durante todo el ciclo de vida (artículo 9): identificación, estimación, evaluación y mitigación de los riesgos previsibles para la salud, la seguridad y los derechos fundamentales.
- Datos y gobernanza de datos que aseguren que los conjuntos de entrenamiento, validación y prueba cumplen criterios de calidad apropiados al fin previsto (artículo 10).
- Documentación técnica suficiente para demostrar la conformidad, preparada antes de la introducción en el mercado y mantenida actualizada (artículo 11).
- Registro de eventos mediante registro automático de eventos relevantes para identificar situaciones de riesgo y supervisión posterior (artículo 12).
- Transparencia e información al responsable del despliegue mediante instrucciones de uso claras (artículo 13).
- Supervisión humana diseñada en el sistema para prevenir o minimizar riesgos (artículo 14).
- Precisión, robustez y ciberseguridad apropiadas al fin previsto, declaradas en la documentación técnica (artículo 15).
- Sistema de gestión de la calidad que documenta estrategias de cumplimiento, procedimientos de examen, diseño, desarrollo, control de calidad y vigilancia posterior (artículo 17).
- Evaluación de la conformidad antes de la introducción en el mercado (artículo 43), por control interno o evaluación por organismo notificado según el tipo de sistema.
- Declaración UE de conformidad y marcado CE colocado antes de la comercialización (artículos 47–48).
- Registro en la base de datos de la UE para sistemas de IA de alto riesgo (artículo 49).
- Plan de vigilancia posterior a la comercialización y notificación de incidentes graves a las autoridades en plazos estrictos (artículos 72–73).
Obligaciones del responsable del despliegue. Más ligeras pero no triviales. Los responsables deben utilizar el sistema conforme a las instrucciones del proveedor, asignar la supervisión humana a personas cualificadas con la competencia y autoridad necesarias, monitorizar el funcionamiento, conservar registros durante al menos seis meses, realizar Evaluaciones de Impacto sobre los Derechos Fundamentales antes del despliegue de determinados sistemas del Anexo III (artículo 27) e informar a las personas afectadas del uso de IA de alto riesgo en decisiones que les conciernen. Los responsables del despliegue en servicios financieros y sanidad tienen obligaciones sectoriales adicionales.
Nivel 3 — Sistemas de riesgo limitado
Determinados sistemas de IA tienen obligaciones de transparencia con independencia de su clasificación. Los proveedores deben asegurarse de que los sistemas diseñados para interactuar directamente con personas físicas estén configurados de modo que las personas sean informadas de que están interactuando con un sistema de IA, salvo cuando esto resulte evidente. Los proveedores de IA generativa deben marcar el contenido sintético como generado artificialmente mediante soluciones técnicamente robustas y legibles por máquina. Los responsables del despliegue de sistemas de reconocimiento de emociones o categorización biométrica deben informar a las personas expuestas. Los responsables del despliegue que generen o manipulen ultrafalsificaciones (deepfakes) deben divulgar el carácter artificial del contenido.
Nivel 4 — Sistemas de riesgo mínimo
Los sistemas de IA que no caen en las categorías prohibidas, de alto riesgo o de riesgo limitado no están regulados por el Reglamento. La Comisión fomenta códigos de conducta voluntarios (artículo 95) para estos sistemas, pero su cumplimiento no es obligatorio.
Régimen paralelo — Modelos de IA de propósito general
El régimen GPAI introduce obligaciones independientes de la clasificación de alto riesgo. Todos los proveedores de GPAI deben preparar y mantener documentación técnica del modelo, proporcionar información a los proveedores posteriores que integran el modelo, cumplir con la legislación de la UE en materia de derechos de autor en el entrenamiento y publicar un resumen del contenido de entrenamiento. Los modelos GPAI con riesgo sistémico asumen obligaciones adicionales: evaluaciones del modelo incluyendo pruebas adversariales, evaluación y mitigación de riesgos sistémicos, seguimiento e información de incidentes graves, protección de ciberseguridad adecuada. El umbral de riesgo sistémico es la computación de entrenamiento superior a 10²⁵ operaciones de coma flotante, o una designación de la Comisión basada en capacidades.
La Oficina de IA publicó el Código de Buenas Prácticas para IA de Propósito General en 2025 como instrumento voluntario que permite a los proveedores demostrar el cumplimiento de las obligaciones GPAI. La adhesión no es obligatoria pero es la vía más eficiente para demostrar conformidad.
Timeline / Implementación
El Reglamento entró en vigor el 1 de agosto de 2024 pero se aplica de forma escalonada:
- 2 de febrero de 2025 — Prácticas prohibidas (capítulo II) y obligaciones de alfabetización en IA para proveedores y responsables del despliegue (artículo 4) pasaron a ser aplicables.
- 2 de agosto de 2025 — Disposiciones sobre organismos notificados, gobernanza (Comité, Oficina de IA), obligaciones GPAI para modelos nuevos, confidencialidad y sanciones pasaron a ser aplicables.
- 2 de agosto de 2026 — La mayor parte de las disposiciones restantes estaba originalmente prevista, incluyendo el grueso de las obligaciones de sistemas de alto riesgo y las obligaciones de espacios controlados de pruebas para Estados miembros.
- 2 de agosto de 2027 — Fecha originalmente prevista para las obligaciones de alto riesgo aplicables a sistemas de IA componentes de seguridad de productos del Anexo I.
El paquete Digital Omnibus, en negociación durante 2025–2026, retrasará previsiblemente la aplicación de las obligaciones de alto riesgo. La trayectoria actual apunta a una aplicación escalonada de los requisitos de alto riesgo entre finales de 2027 y 2028, con normas armonizadas (CEN-CENELEC JTC 21) finalizadas a finales de 2026. Los modelos GPAI ya en el mercado antes del 2 de agosto de 2025 tienen hasta el 2 de agosto de 2027 para cumplir las obligaciones GPAI.
Este calendario importa operativamente. Las organizaciones con sistemas de alto riesgo en desarrollo o despliegue no se enfrentan a un plazo de agosto de 2026; se enfrentan a un horizonte 2027–2028 con las normas armonizadas llegando aproximadamente entre doce y dieciocho meses antes. La ventana realista de cumplimiento es el periodo durante el cual las normas estén disponibles — ahí es cuando las vías de evaluación de la conformidad se vuelven operativas y cuando los organismos notificados empiezan a emitir certificados frente a criterios alineados con el Reglamento.
Regulación que entiendes es regulación que puedes convertir en ventaja competitiva.
¿No estás seguro de si este marco aplica a tu organización? Hablemos.
