1. ¿Qué es el Reglamento IA?
El Reglamento (UE) 2024/1689, conocido como AI Act o Reglamento de Inteligencia Artificial, fue publicado en el Diario Oficial de la UE el 12 de julio de 2024 y entró en vigor el 1 de agosto de 2024. Es el primer marco jurídico integral del mundo dedicado específicamente a regular los sistemas de inteligencia artificial.
El Reglamento adopta un enfoque basado en el riesgo: cuanto mayor es el riesgo potencial de un sistema de IA para la salud, la seguridad o los derechos fundamentales, más estrictas son las obligaciones que se le imponen. Los sistemas de IA de bajo riesgo quedan esencialmente sin regular o con obligaciones mínimas de transparencia.
El AI Act se aplica a proveedores (quienes desarrollan o comercializan sistemas de IA), operadores (quienes despliegan o usan sistemas de IA en sus procesos) e importadores y distribuidores de sistemas de IA en la UE.
¿A quién se aplica en España?
En España, la autoridad de supervisión es la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña. AESIA es responsable de la supervisión del mercado, la investigación de infracciones y la imposición de sanciones en el ámbito nacional.
- Proveedores de sistemas de IA con sede en España o que comercialicen en la UE.
- Operadores (empresas, administraciones) que desplieguen sistemas de IA en España.
- Importadores que introduzcan sistemas de IA de terceros países en el mercado español.
2. Calendario de aplicación
| Fecha | Hito |
|---|---|
| 01.08.2024 | Entrada en vigor del Reglamento IA |
| 02.02.2025 | Aplicación de las prohibiciones (sistemas de riesgo inaceptable) |
| 02.08.2025 | Obligaciones para modelos GPAI (IA de uso general, incluidos grandes modelos de lenguaje) |
| 02.08.2026 | Aplicación completa para sistemas de IA de alto riesgo (Anexo III) — el gran hito para las empresas |
| 02.08.2027 | Sistemas de IA integrados en productos sujetos a legislación sectorial (Anexo I: maquinaria, productos sanitarios, vehículos, etc.) |
3. Los cuatro niveles de riesgo
El AI Act clasifica todos los sistemas de IA en cuatro categorías según su nivel de riesgo potencial. La categoría determina las obligaciones aplicables:
| Nivel | Ejemplos | Regulación |
|---|---|---|
| Riesgo inaceptable | Sistemas de puntuación social por autoridades públicas; vigilancia biométrica masiva en tiempo real; manipulación conductual subliminal; predicción de crímenes basada exclusivamente en IA | PROHIBIDO desde el 2 de febrero de 2025 |
| Alto riesgo | IA en procesos de selección de personal; scoring crediticio; diagnóstico médico asistido por IA; gestión de infraestructuras críticas; IA en educación (evaluación de alumnos); IA en la Administración de Justicia | Requisitos estrictos: documentación técnica, registro, marcado CE, evaluación de conformidad, supervisión humana |
| Riesgo limitado | Chatbots de atención al cliente; sistemas de generación de deepfakes; herramientas de síntesis de voz | Obligaciones de transparencia: informar al usuario de que interactúa con un sistema de IA |
| Riesgo mínimo | Filtros de spam basados en IA; sistemas de recomendación de contenido; videojuegos con IA | Sin obligaciones específicas del AI Act |
4. Prácticas de IA prohibidas (desde febrero 2025)
Las siguientes prácticas quedaron prohibidas con efecto inmediato el 2 de febrero de 2025. Las empresas que utilicen sistemas de IA que realicen alguna de estas funciones deben haberlos retirado o modificado antes de esa fecha:
- Sistemas de puntuación social por autoridades públicas Sistemas que evalúen o clasifiquen a personas físicas en función de su comportamiento social o características personales, utilizados por poderes públicos para conceder o denegar derechos.
- Identificación biométrica en tiempo real en espacios públicos Uso de sistemas de reconocimiento facial u otro tipo de identificación biométrica en tiempo real en espacios de acceso público, salvo excepciones muy limitadas para fuerzas del orden.
- Manipulación conductual subliminal Sistemas que utilicen técnicas subliminales o que exploten inconsciencias para alterar el comportamiento de personas de forma que puedan causarles daño.
- Explotación de vulnerabilidades de personas Sistemas que aprovechen vulnerabilidades de grupos específicos (por edad, discapacidad u otras circunstancias) para influir en su comportamiento en su detrimento.
- Predicción de crímenes basada exclusivamente en IA Sistemas de perfilado predictivo del delito basados únicamente en características o comportamientos individuales, sin evidencias objetivas y verificables.
- Reconocimiento de emociones en lugares de trabajo y centros educativos Sistemas de detección o inferencia de emociones de trabajadores o alumnos en entornos laborales y educativos, salvo aplicaciones médicas o de seguridad justificadas.
- Categorización biométrica por características protegidas Sistemas que infieran o categoricen a personas en función de su origen racial o étnico, creencias políticas, religión, orientación sexual u otras características protegidas a partir de datos biométricos.
5. Obligaciones para la IA de alto riesgo (proveedores)
Los proveedores de sistemas de IA de alto riesgo tienen las obligaciones más exigentes del AI Act. Si su empresa desarrolla o comercializa un sistema de IA de alto riesgo, debe cumplir los siguientes requisitos antes del 2 de agosto de 2026:
- Sistema de gestión de riesgos Proceso continuo de identificación, análisis y mitigación de riesgos asociados al sistema de IA a lo largo de todo su ciclo de vida. Documentación obligatoria.
- Sistema de gestión de la calidad de los datos Prácticas de gobernanza de los datos de entrenamiento, validación y prueba: pertinencia, representatividad, ausencia de sesgos, integridad y privacidad.
- Documentación técnica Expediente técnico completo que describa el sistema, su diseño, sus capacidades y limitaciones, los datos utilizados, los resultados de las pruebas y las medidas de gestión de riesgos.
- Registro automático (logging) Capacidad de registro automático de eventos durante el funcionamiento del sistema, suficiente para garantizar la trazabilidad y la auditoría posterior de los resultados producidos.
- Transparencia para los operadores Instrucciones de uso claras que informen a los operadores sobre las capacidades, limitaciones, condiciones de uso adecuado e interpretación de los resultados del sistema.
- Evaluación de conformidad Evaluación de conformidad antes de la comercialización: autoevaluación para la mayoría de los sistemas, o evaluación por organismo notificado para los sistemas de mayor riesgo (biometría, infraestructuras críticas).
- Marcado CE y declaración UE de conformidad El marcado CE acredita que el sistema ha superado la evaluación de conformidad. La declaración UE de conformidad es el documento formal que lo certifica.
- Registro en la base de datos UE Inscripción del sistema en la base de datos pública de sistemas de IA de alto riesgo gestionada por la Comisión Europea (portal EU AI Act database).
- Supervisión post-comercialización Plan de seguimiento activo del comportamiento del sistema en condiciones de uso real, con procedimientos para recopilar e informar sobre incidentes.
- Notificación de incidentes graves Obligación de notificar a la autoridad nacional de supervisión (AESIA en España) cualquier incidente grave o mal funcionamiento que pueda suponer un riesgo para la salud, la seguridad o los derechos fundamentales.
Obligaciones de los operadores
Los operadores (empresas que despliegan sistemas de IA de alto riesgo desarrollados por terceros) tienen obligaciones propias, entre ellas: usar el sistema conforme a las instrucciones del proveedor, garantizar la supervisión humana, no modificar el sistema sin autorización y cooperar con las autoridades en caso de incidente.
6. Multas y sanciones
El AI Act establece un régimen sancionador escalonado según la gravedad de la infracción. Las multas son significativamente más elevadas que las del RGPD para las infracciones más graves:
| Tipo de infracción | Multa máxima |
|---|---|
| Incumplimiento de las prohibiciones (riesgo inaceptable) | 35.000.000 € o 7% de la facturación anual global — el importe mayor |
| Incumplimiento de obligaciones para IA de alto riesgo | 15.000.000 € o 3% de la facturación anual global — el importe mayor |
| Suministro de información incorrecta a autoridades | 7.500.000 € o 1,5% de la facturación anual global — el importe mayor |
Para las PYME y startups, el AI Act establece que las multas se calcularán teniendo en cuenta la capacidad financiera de la empresa: se aplicará el importe (porcentaje de facturación o importe fijo) que resulte menor, en lugar del mayor.
7. Por dónde empezar
Con el plazo de agosto de 2026 en el horizonte, las empresas que utilizan o desarrollan sistemas de IA deben iniciar su proceso de cumplimiento cuanto antes. A continuación, los cinco pasos fundamentales:
Identificar todos los sistemas de IA utilizados o desarrollados
Realice un inventario exhaustivo de todos los sistemas de IA en uso en su organización, tanto desarrollados internamente como adquiridos a terceros. Incluya herramientas de RRHH, CRM con scoring predictivo, sistemas de detección de fraude y cualquier automatización basada en modelos de aprendizaje automático.
Clasificar cada sistema por nivel de riesgo
Para cada sistema identificado, determine su nivel de riesgo según el AI Act: prohibido, alto riesgo, riesgo limitado o riesgo mínimo. La clasificación depende de la finalidad del sistema y el contexto de uso, no de la tecnología empleada. Use aiact.saaslab.pl para una evaluación guiada.
Evaluar el estado de cumplimiento actual
Para cada sistema de alto riesgo, compare las obligaciones aplicables con las capacidades actuales del sistema y los procesos de la organización. Identifique las brechas de cumplimiento y priorice por criticidad y plazo.
Implementar las medidas requeridas
Desarrolle la documentación técnica, establezca el sistema de gestión de riesgos, configure el registro automático de eventos, prepare las instrucciones de uso y, si procede, inicie el proceso de evaluación de conformidad y registro en la base de datos UE.
Monitorizar y actualizar continuamente
El cumplimiento del AI Act no es un proyecto puntual. Establezca un proceso de revisión periódica ante cambios en los sistemas, nuevos usos o nuevas orientaciones de AESIA y la Comisión Europea. Designe un responsable de cumplimiento de IA en la organización.
Clasifique sus sistemas de IA — gratis en 10 minutos
La herramienta aiact.saaslab.pl le ayuda a identificar el nivel de riesgo de sus sistemas de IA y a determinar sus obligaciones concretas.
Clasificar mi sistema de IA →Sin registro. Acceso básico gratuito.