El Reglamento Europeo de Inteligencia Artificial (AI Act, Reglamento UE 2024/1689) es la primera regulación integral de IA del mundo. Entró en vigor en agosto de 2024 y sus distintas disposiciones se aplican de forma escalonada hasta 2027. Para las empresas españolas que usan, desarrollan o despliegan IA, entender este reglamento es ya una obligación.

Aviso legal: Este artículo es orientativo y no constituye asesoramiento jurídico. La regulación de IA está en constante evolución. Consulta con un especialista para situaciones específicas de tu empresa.

Qué es el AI Act y cuándo aplica

El AI Act es un reglamento de la UE (aplicación directa en todos los estados miembros, incluida España, sin necesidad de transposición). Aplica a:

  • Proveedores de sistemas de IA que los comercializan o ponen en servicio en la UE (aunque la empresa sea de fuera de la UE)
  • Desplegadores de sistemas de IA que los usan en el contexto de una actividad profesional en la UE
  • Importadores y distribuidores de sistemas de IA en la UE

Importante: afecta tanto a las empresas que desarrollan IA como a las que simplemente usan sistemas de IA de terceros en sus procesos de negocio.

Clasificación de sistemas de IA por riesgo

El AI Act clasifica los sistemas de IA en cuatro categorías según su riesgo:

1. Riesgo inaceptable (prohibido)

Sistemas cuyo uso está completamente prohibido en la UE.

2. Alto riesgo

Sistemas que pueden afectar significativamente a los derechos fundamentales o la seguridad. Están sujetos a obligaciones estrictas antes de poder comercializarse.

3. Riesgo limitado

Sistemas con obligaciones de transparencia específicas (por ejemplo, los chatbots deben informar al usuario de que está interactuando con IA).

4. Riesgo mínimo

La mayoría de los sistemas de IA actuales (filtros de spam, sistemas de recomendación de contenido, videojuegos con IA). Sin obligaciones específicas más allá de las generales.

Usos de IA prohibidos

Desde febrero de 2025, están completamente prohibidos en la UE:

  • Sistemas de puntuación social generalizada por gobiernos (al estilo del sistema chino de crédito social)
  • Manipulación subliminal inconsciente que pueda dañar a personas
  • Explotación de vulnerabilidades de grupos como personas con discapacidad, niños o personas mayores
  • Identificación biométrica remota en tiempo real en espacios públicos por fuerzas del orden (con excepciones muy limitadas)
  • Inferencia de emociones en lugares de trabajo y centros educativos
  • Categorización biométrica para inferir características sensibles (raza, religión, opinión política, orientación sexual)
  • Scraping masivo de imágenes de internet o CCTV para crear bases de datos de reconocimiento facial

Obligaciones para sistemas de alto riesgo

Los sistemas de IA de alto riesgo incluyen IA usada en: infraestructuras críticas, educación, empleo (selección y evaluación de empleados), servicios esenciales (crédito, seguros), aplicación de la ley, gestión de fronteras, y administración de justicia.

Si tu empresa usa IA de alto riesgo

  • Implementar un sistema de gestión de riesgos continuo
  • Usar datos de entrenamiento de calidad, representativos y sin sesgos excesivos
  • Mantener documentación técnica detallada
  • Garantizar supervisión humana efectiva
  • Alcanzar los niveles requeridos de precisión, solidez y ciberseguridad
  • Registrar el sistema en la base de datos de la UE

Modelos de IA de uso general (GPAI)

Los grandes modelos de lenguaje como GPT-4, Claude o Gemini son "modelos de IA de uso general" (GPAI). Sus proveedores tienen obligaciones específicas:

  • Publicar documentación técnica y resumen de los datos usados para entrenamiento
  • Cumplir con la normativa de derechos de autor en el entrenamiento
  • Los modelos más potentes (por encima de cierto umbral de computación) tienen obligaciones adicionales de evaluación y notificación a la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial)

Plazos y preparación

FechaQué entra en vigor
Agosto 2024Entrada en vigor del AI Act
Febrero 2025Prohíbiciones de riesgo inaceptable aplicables
Agosto 2025Obligaciones para modelos GPAI y gobernanza
Agosto 2026Obligaciones para sistemas de alto riesgo (Anexo III)
Agosto 2027Obligaciones para sistemas de alto riesgo en infraestructuras críticas reguladas

Pasos de preparación para empresas

  1. Inventario de IA: Identifica todos los sistemas de IA que usas o desarrollas
  2. Clasificación: Determina la categoría de riesgo de cada uno
  3. Gap analysis: Compara el estado actual con las obligaciones aplicables
  4. Plan de acción: Prioriza las acciones por plazo y riesgo
  5. Gobernanza: Establece responsabilidades internas para el cumplimiento de IA
Para la mayoría de pymes: Si solo usas herramientas de IA de terceros (ChatGPT, Copilot, herramientas de marketing con IA) para tareas internas o de bajo riesgo, el impacto directo del AI Act es limitado. Las obligaciones más estrictas recaen en los proveedores y desplegadores de sistemas de alto riesgo. Sin embargo, las obligaciones de transparencia (informar a los usuarios cuando interactúan con IA) aplican desde agosto de 2025.