Reglamento Europeo de IA: qué deben saber las empresas españolas
El Reglamento Europeo de Inteligencia Artificial (AI Act, Reglamento UE 2024/1689) es la primera regulación integral de IA del mundo. Entró en vigor en agosto de 2024 y sus distintas disposiciones se aplican de forma escalonada hasta 2027. Para las empresas españolas que usan, desarrollan o despliegan IA, entender este reglamento es ya una obligación.
Qué es el AI Act y cuándo aplica
El AI Act es un reglamento de la UE (aplicación directa en todos los estados miembros, incluida España, sin necesidad de transposición). Aplica a:
- Proveedores de sistemas de IA que los comercializan o ponen en servicio en la UE (aunque la empresa sea de fuera de la UE)
- Desplegadores de sistemas de IA que los usan en el contexto de una actividad profesional en la UE
- Importadores y distribuidores de sistemas de IA en la UE
Importante: afecta tanto a las empresas que desarrollan IA como a las que simplemente usan sistemas de IA de terceros en sus procesos de negocio.
Clasificación de sistemas de IA por riesgo
El AI Act clasifica los sistemas de IA en cuatro categorías según su riesgo:
1. Riesgo inaceptable (prohibido)
Sistemas cuyo uso está completamente prohibido en la UE.
2. Alto riesgo
Sistemas que pueden afectar significativamente a los derechos fundamentales o la seguridad. Están sujetos a obligaciones estrictas antes de poder comercializarse.
3. Riesgo limitado
Sistemas con obligaciones de transparencia específicas (por ejemplo, los chatbots deben informar al usuario de que está interactuando con IA).
4. Riesgo mínimo
La mayoría de los sistemas de IA actuales (filtros de spam, sistemas de recomendación de contenido, videojuegos con IA). Sin obligaciones específicas más allá de las generales.
Usos de IA prohibidos
Desde febrero de 2025, están completamente prohibidos en la UE:
- Sistemas de puntuación social generalizada por gobiernos (al estilo del sistema chino de crédito social)
- Manipulación subliminal inconsciente que pueda dañar a personas
- Explotación de vulnerabilidades de grupos como personas con discapacidad, niños o personas mayores
- Identificación biométrica remota en tiempo real en espacios públicos por fuerzas del orden (con excepciones muy limitadas)
- Inferencia de emociones en lugares de trabajo y centros educativos
- Categorización biométrica para inferir características sensibles (raza, religión, opinión política, orientación sexual)
- Scraping masivo de imágenes de internet o CCTV para crear bases de datos de reconocimiento facial
Obligaciones para sistemas de alto riesgo
Los sistemas de IA de alto riesgo incluyen IA usada en: infraestructuras críticas, educación, empleo (selección y evaluación de empleados), servicios esenciales (crédito, seguros), aplicación de la ley, gestión de fronteras, y administración de justicia.
Si tu empresa usa IA de alto riesgo
- Implementar un sistema de gestión de riesgos continuo
- Usar datos de entrenamiento de calidad, representativos y sin sesgos excesivos
- Mantener documentación técnica detallada
- Garantizar supervisión humana efectiva
- Alcanzar los niveles requeridos de precisión, solidez y ciberseguridad
- Registrar el sistema en la base de datos de la UE
Modelos de IA de uso general (GPAI)
Los grandes modelos de lenguaje como GPT-4, Claude o Gemini son "modelos de IA de uso general" (GPAI). Sus proveedores tienen obligaciones específicas:
- Publicar documentación técnica y resumen de los datos usados para entrenamiento
- Cumplir con la normativa de derechos de autor en el entrenamiento
- Los modelos más potentes (por encima de cierto umbral de computación) tienen obligaciones adicionales de evaluación y notificación a la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial)
Plazos y preparación
| Fecha | Qué entra en vigor |
|---|---|
| Agosto 2024 | Entrada en vigor del AI Act |
| Febrero 2025 | Prohíbiciones de riesgo inaceptable aplicables |
| Agosto 2025 | Obligaciones para modelos GPAI y gobernanza |
| Agosto 2026 | Obligaciones para sistemas de alto riesgo (Anexo III) |
| Agosto 2027 | Obligaciones para sistemas de alto riesgo en infraestructuras críticas reguladas |
Pasos de preparación para empresas
- Inventario de IA: Identifica todos los sistemas de IA que usas o desarrollas
- Clasificación: Determina la categoría de riesgo de cada uno
- Gap analysis: Compara el estado actual con las obligaciones aplicables
- Plan de acción: Prioriza las acciones por plazo y riesgo
- Gobernanza: Establece responsabilidades internas para el cumplimiento de IA