El Reglamento Europeo de Inteligencia Artificial, más conocido como AI Act, es el primer marco jurídico integral del mundo para regular la inteligencia artificial. No prohíbe la IA de forma general, sino que la clasifica según el nivel de riesgo: riesgo inaceptable, alto riesgo, riesgo de transparencia y riesgo mínimo. Su objetivo es proteger los derechos fundamentales, la seguridad y la confianza, sin impedir la innovación en Europa.
Si desarrolla, utiliza o integra sistemas de inteligencia artificial en la Unión Europea, el AI Act le afecta directamente. El reglamento establece obligaciones distintas según el uso de la tecnología, el sector, el nivel de riesgo y el papel de cada actor: proveedor, implementador, importador, distribuidor o usuario profesional. En esta guía verá qué regula exactamente el AI Act, qué sistemas están prohibidos, qué obligaciones se aplican a la IA de alto riesgo, cómo afecta a la IA generativa y qué calendario deben tener en cuenta las empresas.
Cómo llamar correctamente al AI Act en español
Antes de entrar en el contenido, conviene aclarar un punto lingüístico importante. En español, “Ley IA” suena incompleto y poco natural. Lo correcto sería decir “Ley de IA”, aunque para un texto más preciso conviene usar “Reglamento Europeo de Inteligencia Artificial”.
La forma más recomendable para un artículo serio es:
- Reglamento Europeo de Inteligencia Artificial, si quiere un tono jurídico y preciso;
- AI Act, si quiere conservar el término internacional más buscado;
- Ley de IA, si busca una fórmula más sencilla y divulgativa.
Una buena solución editorial consiste en usar los tres al principio: “El Reglamento Europeo de Inteligencia Artificial, conocido como AI Act o Ley de IA”. Después, puede alternar entre “AI Act” y “Reglamento de IA”.
Qué es el Reglamento Europeo de Inteligencia Artificial
El primer gran marco jurídico mundial para la IA
El AI Act es un reglamento de la Unión Europea diseñado para establecer normas comunes sobre el desarrollo, la comercialización y el uso de sistemas de inteligencia artificial. Su ambición es doble: proteger a las personas frente a usos peligrosos de la IA y, al mismo tiempo, crear un mercado europeo más claro para empresas e innovadores.
No se trata de frenar la inteligencia artificial ni de prohibirla en bloque. El reglamento parte de una idea más matizada: cuanto mayor sea el riesgo de un sistema de IA, más estrictas serán sus obligaciones.
El AI Act no regula la inteligencia artificial por moda tecnológica, sino por impacto: lo importante no es solo cómo funciona el sistema, sino qué consecuencias puede tener para las personas.
Un reglamento, no una simple recomendación
Al ser un reglamento europeo, el AI Act se aplica directamente en los Estados miembros de la Unión Europea. No es una guía voluntaria ni un código ético sin consecuencias. Las empresas deberán cumplir obligaciones concretas y podrán enfrentarse a sanciones si no lo hacen.
Esto lo acerca al impacto que tuvo el RGPD en materia de protección de datos. La lógica es parecida: Europa intenta fijar un estándar regulatorio global, esta vez para la inteligencia artificial.
Los objetivos principales del AI Act
El Reglamento Europeo de Inteligencia Artificial persigue varios objetivos a la vez:
- proteger los derechos fundamentales frente a usos abusivos de la IA;
- garantizar la seguridad de los sistemas utilizados en contextos sensibles;
- crear confianza en la IA mediante transparencia y supervisión;
- armonizar las normas en todos los Estados miembros;
- fomentar la innovación con un marco jurídico más previsible;
- regular la IA de propósito general, incluidos los grandes modelos generativos.
La clave es el equilibrio. Europa quiere evitar tanto el laissez-faire absoluto como una regulación tan pesada que bloquee cualquier innovación.
A quién afecta el AI Act
Un alcance muy amplio
El AI Act no se aplica solo a empresas europeas. También afecta a actores situados fuera de la Unión Europea si comercializan sistemas de IA en el mercado europeo o si los resultados de su sistema se utilizan en la UE.
Esto significa que una empresa estadounidense, china o británica puede estar sujeta al AI Act si su producto de IA se usa en Europa o afecta a personas ubicadas en la UE.
Los principales actores regulados
El reglamento distingue varios papeles. Esta distinción es importante porque no todos tienen las mismas obligaciones.
| Actor | Qué significa | Ejemplo |
|---|---|---|
| Proveedor | Desarrolla o comercializa un sistema de IA bajo su nombre o marca. | Una empresa que lanza una herramienta de IA para selección de personal. |
| Implementador | Utiliza un sistema de IA en un contexto profesional. | Una empresa que usa una IA para clasificar candidatos. |
| Importador | Introduce en la UE un sistema de IA desarrollado fuera de la Unión. | Una compañía europea que distribuye una solución de IA extranjera. |
| Distribuidor | Pone a disposición un sistema de IA en el mercado sin ser proveedor ni importador. | Un revendedor o integrador tecnológico. |
| Usuario afectado | Persona sobre la que el sistema produce efectos. | Un candidato evaluado por una IA de contratación. |
Para una empresa, la primera pregunta práctica es esta: ¿soy proveedor, implementador o ambas cosas? La respuesta determina el nivel de responsabilidad.
La definición de sistema de IA
El AI Act define un sistema de IA como un sistema basado en máquinas que, con distintos niveles de autonomía, puede generar resultados como predicciones, contenidos, recomendaciones o decisiones que influyen en entornos físicos o digitales.
La definición es amplia porque el reglamento quiere cubrir tecnologías actuales y futuras. No se limita a chatbots ni a modelos generativos. También puede abarcar sistemas de scoring, reconocimiento biométrico, recomendación, diagnóstico, clasificación, predicción o automatización decisional.
El enfoque basado en el riesgo
El corazón del AI Act es su clasificación por niveles de riesgo. No todos los sistemas de IA reciben el mismo tratamiento. Un filtro antispam no se regula igual que una IA utilizada para conceder un crédito, seleccionar candidatos o apoyar una decisión médica.
El reglamento distingue cuatro grandes categorías:
- riesgo inaceptable;
- alto riesgo;
- riesgo de transparencia;
- riesgo mínimo o nulo.
Tabla resumen de los niveles de riesgo
| Nivel de riesgo | Descripción | Ejemplos | Consecuencia principal |
|---|---|---|---|
| Riesgo inaceptable | Usos considerados incompatibles con los derechos fundamentales o la seguridad. | Puntuación social, manipulación perjudicial, explotación de vulnerabilidades, ciertos usos biométricos prohibidos. | Prohibición. |
| Alto riesgo | Sistemas que pueden afectar de forma significativa a derechos, seguridad o acceso a servicios esenciales. | Empleo, educación, crédito, justicia, migración, infraestructuras críticas, ciertos sistemas biométricos. | Obligaciones estrictas de conformidad, documentación, gestión de riesgos y supervisión humana. |
| Riesgo de transparencia | Sistemas que pueden inducir a error si el usuario no sabe que interactúa con IA o si el contenido es artificial. | Chatbots, deepfakes, contenido sintético, ciertos sistemas generativos. | Obligaciones de información y etiquetado. |
| Riesgo mínimo o nulo | Sistemas con impacto bajo sobre derechos y seguridad. | Filtros de spam, videojuegos, recomendaciones simples. | Sin obligaciones específicas, aunque se recomiendan buenas prácticas. |
Prácticas de IA prohibidas
La categoría de riesgo inaceptable incluye usos que la Unión Europea considera incompatibles con sus valores fundamentales. Estos sistemas están prohibidos, salvo excepciones muy estrictas previstas por el propio reglamento.
Entre las prácticas prohibidas se encuentran:
- sistemas de puntuación social por parte de autoridades públicas o actores privados en determinados contextos;
- manipulación o engaño perjudicial mediante IA;
- explotación de vulnerabilidades relacionadas con edad, discapacidad o situación social;
- determinados sistemas de policía predictiva basados únicamente en perfiles;
- raspado indiscriminado de imágenes faciales de internet o cámaras de vigilancia para crear bases de datos de reconocimiento facial;
- reconocimiento de emociones en el lugar de trabajo o en centros educativos, salvo excepciones muy concretas;
- ciertos usos de identificación biométrica remota en tiempo real en espacios públicos con fines policiales, salvo casos excepcionales y autorizados.
Estas prohibiciones son una de las partes más simbólicas del AI Act. Marcan una línea roja: no todo lo técnicamente posible será aceptable en Europa.
Qué es un sistema de IA de alto riesgo
Un sistema de IA se considera de alto riesgo cuando puede afectar de forma significativa a la seguridad o a los derechos fundamentales de las personas.
No depende solo de la tecnología utilizada. Depende sobre todo del uso. Un mismo modelo puede ser inofensivo en un contexto y de alto riesgo en otro.
Ejemplos de sistemas de alto riesgo
- IA utilizada para seleccionar candidatos o filtrar currículums.
- Sistemas que influyen en el acceso a educación o formación.
- Herramientas de evaluación crediticia.
- Sistemas usados en infraestructuras críticas.
- IA utilizada en dispositivos médicos o diagnóstico asistido.
- Sistemas empleados en justicia, migración, asilo o control fronterizo.
- Algunos sistemas biométricos.
- IA utilizada en acceso a servicios públicos o privados esenciales.
La lógica es clara: si una IA puede determinar si una persona obtiene un empleo, un préstamo, una prestación, una plaza educativa o una evaluación judicial, debe someterse a controles estrictos.
Obligaciones para sistemas de alto riesgo
Los sistemas de alto riesgo deben cumplir una serie de obligaciones antes de salir al mercado o ponerse en servicio. El objetivo es demostrar que son fiables, seguros, trazables y supervisables.
Entre las principales obligaciones se encuentran:
- sistema de gestión de riesgos durante todo el ciclo de vida;
- datos de entrenamiento, validación y prueba de alta calidad para reducir sesgos y errores;
- documentación técnica suficientemente detallada;
- registro automático de actividad para garantizar trazabilidad;
- información clara para los implementadores;
- supervisión humana efectiva;
- precisión, robustez y ciberseguridad adecuadas;
- evaluación de conformidad antes de la comercialización en ciertos casos.
Para las empresas, esto significa que no basta con decir “nuestra IA funciona bien”. Habrá que demostrarlo, documentarlo y mantener evidencias.
IA generativa y modelos de propósito general
Qué son los modelos de IA de propósito general
El AI Act también regula los modelos de IA de propósito general, conocidos en inglés como GPAI. Son modelos capaces de realizar una amplia variedad de tareas y que pueden integrarse en numerosos sistemas posteriores.
ChatGPT, Claude, Gemini, Mistral o Llama son ejemplos del tipo de tecnología que ha llevado a Europa a crear reglas específicas para esta categoría.
No todos los modelos de propósito general tienen el mismo nivel de riesgo. El reglamento distingue entre modelos estándar y modelos con riesgo sistémico, es decir, modelos especialmente potentes o ampliamente utilizados que podrían generar impactos significativos a gran escala.
Obligaciones para proveedores de GPAI
Los proveedores de modelos de IA de propósito general deben cumplir obligaciones de transparencia y documentación. Entre ellas:
- mantener documentación técnica sobre el modelo;
- proporcionar información a los proveedores que integren el modelo en sus propios sistemas;
- respetar la normativa europea sobre derechos de autor;
- publicar un resumen suficientemente detallado del contenido utilizado para entrenar el modelo;
- aplicar políticas para cumplir las normas de propiedad intelectual.
Modelos con riesgo sistémico
Los modelos de propósito general con riesgo sistémico deben cumplir obligaciones adicionales. Entre ellas:
- evaluar riesgos sistémicos;
- realizar pruebas y evaluaciones del modelo;
- mitigar riesgos graves;
- notificar incidentes importantes;
- garantizar un nivel adecuado de ciberseguridad.
Esta parte del AI Act es especialmente importante porque afecta directamente a los grandes laboratorios de IA generativa.
Transparencia: chatbots, deepfakes y contenido generado por IA
El AI Act impone obligaciones de transparencia para ciertos sistemas. La idea es sencilla: las personas deben saber cuándo están interactuando con una máquina o cuándo un contenido ha sido generado o manipulado por IA en contextos relevantes.
Esto afecta especialmente a:
- chatbots y asistentes conversacionales;
- contenido sintético de imagen, audio o vídeo;
- deepfakes;
- textos generados por IA cuando se publican para informar sobre asuntos de interés público.
En la práctica, esto obligará a muchas empresas a etiquetar mejor sus contenidos y a informar claramente al usuario.
Calendario de aplicación del AI Act
El AI Act no se aplica todo de golpe. Su entrada en vigor y sus obligaciones se despliegan progresivamente.
| Fecha | Qué ocurre |
|---|---|
| 1 de agosto de 2024 | Entrada en vigor del Reglamento Europeo de Inteligencia Artificial. |
| 2 de febrero de 2025 | Aplicación de las primeras normas: prácticas prohibidas, definición de sistema de IA y obligaciones de alfabetización en IA. |
| 2 de agosto de 2025 | Aplicación de normas de gobernanza y obligaciones para modelos de IA de propósito general. |
| 2 de agosto de 2026 | Aplicación general de gran parte del reglamento y de muchas obligaciones de transparencia. |
| 2027-2028 | Aplicación progresiva de ciertas obligaciones para sistemas de alto riesgo, especialmente según categoría y tipo de producto regulado. |
Este calendario puede tener ajustes o medidas de simplificación, por lo que las empresas deben seguir las directrices oficiales de la Comisión y de la Oficina Europea de IA.
Gobernanza: quién supervisa el cumplimiento
La Oficina Europea de IA
La Oficina Europea de IA desempeña un papel central en la aplicación del reglamento, especialmente en lo relacionado con los modelos de IA de propósito general.
Sus funciones incluyen coordinar la aplicación de normas, apoyar la elaboración de directrices, supervisar modelos de propósito general y contribuir a una interpretación coherente del AI Act en la Unión Europea.
Autoridades nacionales
Cada Estado miembro contará con autoridades competentes para supervisar el cumplimiento en su territorio. Estas autoridades se encargarán, entre otras cosas, de vigilancia de mercado, investigación, sanciones y coordinación con organismos europeos.
El Consejo de IA y otros organismos
El sistema de gobernanza se completa con estructuras de coordinación y asesoramiento, como el Consejo Europeo de Inteligencia Artificial, paneles científicos y foros consultivos.
El objetivo es evitar que cada país interprete el reglamento de forma completamente distinta.
Sanciones por incumplimiento
El AI Act prevé multas significativas. Las sanciones máximas dependen del tipo de incumplimiento.
- Hasta 35 millones de euros o el 7 % del volumen de negocios anual mundial por infracciones relacionadas con prácticas prohibidas.
- Hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial por incumplir otras obligaciones importantes del reglamento.
- Hasta 7,5 millones de euros o el 1 % del volumen de negocios anual mundial por proporcionar información incorrecta, incompleta o engañosa a las autoridades.
Como ocurre con el RGPD, las multas se diseñan para ser disuasorias, especialmente frente a grandes empresas tecnológicas.
AI Act y RGPD: normas complementarias
El AI Act no sustituye al RGPD. Ambos marcos pueden aplicarse al mismo tiempo.
El RGPD protege los datos personales. El AI Act regula la seguridad, fiabilidad, transparencia y gobernanza de los sistemas de IA. Si un sistema de IA trata datos personales, deberá cumplir ambos marcos.
Cumplir el AI Act no significa cumplir automáticamente el RGPD, y cumplir el RGPD no basta para cumplir el AI Act.
Ejemplo práctico
Imagine una empresa que usa IA para seleccionar candidatos. Si el sistema analiza currículums con datos personales, se aplica el RGPD. Pero si además la herramienta influye en el acceso al empleo, puede ser considerada de alto riesgo bajo el AI Act.
La empresa deberá entonces gestionar protección de datos, transparencia, calidad del sistema, supervisión humana, documentación técnica y trazabilidad.
Espacios controlados de pruebas y apoyo a la innovación
El AI Act también contempla mecanismos para apoyar la innovación, como los espacios controlados de pruebas o regulatory sandboxes. Estos entornos permiten probar sistemas de IA bajo supervisión de las autoridades antes de lanzarlos al mercado.
Son especialmente importantes para pymes, startups y proyectos innovadores que necesitan claridad regulatoria sin quedar paralizados por la incertidumbre jurídica.
El mensaje europeo es este: regular sí, pero también acompañar.
Cómo prepararse para cumplir el AI Act
Las empresas no deberían esperar al último momento. La preparación debe empezar por una auditoría interna de sistemas de IA.
Lista de pasos recomendados
- Inventariar todos los sistemas de IA utilizados o desarrollados por la empresa.
- Identificar el papel de la empresa: proveedor, implementador, importador o distribuidor.
- Clasificar cada sistema por nivel de riesgo.
- Revisar si existen prácticas prohibidas.
- Evaluar obligaciones de transparencia para chatbots, deepfakes o contenido generado.
- Documentar sistemas de alto riesgo si corresponde.
- Definir supervisión humana en decisiones sensibles.
- Coordinar cumplimiento con RGPD.
- Formar a equipos internos en alfabetización en IA.
- Seguir directrices oficiales de la Comisión y autoridades nacionales.
Errores frecuentes sobre el AI Act
“El AI Act prohíbe la IA”
Falso. Prohíbe ciertos usos considerados inaceptables, pero permite la gran mayoría de aplicaciones de IA bajo obligaciones proporcionadas al riesgo.
“Solo afecta a empresas europeas”
Falso. También puede afectar a empresas no europeas si sus sistemas se comercializan o utilizan en la Unión Europea.
“Solo regula la IA generativa”
Falso. La IA generativa es una parte importante del reglamento, pero el AI Act también regula sistemas de clasificación, predicción, recomendación, biometría, decisión automatizada y muchas otras aplicaciones.
“Cumplir el RGPD basta”
Falso. El RGPD y el AI Act son complementarios. Una empresa puede cumplir uno y seguir incumpliendo el otro.
“Los sistemas de bajo riesgo no importan”
No exactamente. Pueden no tener obligaciones estrictas bajo el AI Act, pero siguen estando sujetos a otras normas, a buenas prácticas y a expectativas de confianza por parte de usuarios y clientes.
Preguntas frecuentes
¿Se dice Ley IA, Ley de IA o AI Act?
En español, “Ley IA” no suena natural. Lo correcto sería “Ley de IA”, pero el término más preciso es “Reglamento Europeo de Inteligencia Artificial”. Para SEO y claridad internacional, también puede usarse AI Act.
¿Qué es el AI Act?
Es el reglamento europeo que establece normas armonizadas para el desarrollo, comercialización y uso de sistemas de inteligencia artificial en la Unión Europea.
¿Cuándo entró en vigor?
Entró en vigor el 1 de agosto de 2024. Su aplicación es progresiva, con primeras obligaciones desde febrero de 2025 y despliegue por etapas hasta 2026, 2027 y 2028 según el tipo de sistema.
¿Cuáles son los niveles de riesgo?
El AI Act distingue riesgo inaceptable, alto riesgo, riesgo de transparencia y riesgo mínimo o nulo.
¿Qué sistemas están prohibidos?
Entre otros, ciertos sistemas de puntuación social, manipulación perjudicial, explotación de vulnerabilidades, reconocimiento de emociones en trabajo o educación y determinados usos biométricos prohibidos.
¿Qué es un sistema de alto riesgo?
Es un sistema de IA que puede afectar de forma significativa a derechos fundamentales, seguridad o acceso a servicios esenciales, por ejemplo en empleo, educación, crédito, justicia, migración o infraestructuras críticas.
¿El AI Act regula ChatGPT y otros modelos generativos?
Sí. Regula modelos de IA de propósito general y establece obligaciones específicas de documentación, transparencia, derechos de autor y gestión de riesgos para modelos con riesgo sistémico.
¿Qué sanciones prevé?
Las multas pueden llegar hasta 35 millones de euros o el 7 % del volumen de negocios anual mundial en los casos más graves.
¿Qué debe hacer una empresa ahora?
Debe inventariar sus usos de IA, clasificarlos por riesgo, identificar su papel legal, revisar obligaciones de transparencia, preparar documentación y coordinar cumplimiento con RGPD y seguridad interna.
Conclusión
El Reglamento Europeo de Inteligencia Artificial no es una prohibición general de la IA ni una simple declaración de principios. Es un marco jurídico ambicioso que obliga a mirar la IA desde la perspectiva del riesgo, la transparencia y la responsabilidad.
Para las empresas, el mensaje es claro: ya no basta con integrar IA rápidamente. Hay que saber qué sistema se usa, para qué finalidad, con qué datos, bajo qué nivel de riesgo y con qué controles.
Bien entendido, el AI Act no tiene por qué ser solo una carga. Puede convertirse en una ventaja competitiva: las organizaciones capaces de demostrar que su IA es fiable, documentada, supervisada y respetuosa con los derechos tendrán más argumentos para ganarse la confianza de clientes, usuarios y reguladores.
