El Reglamento (UE) 2024/1689, conocido como Ley de Inteligencia Artificial o AI Act, es el primer marco jurídico horizontal del mundo que regula la inteligencia artificial. Se publicó en el Diario Oficial de la Unión Europea el 12 de julio de 2024 y entró en vigor el 1 de agosto de 2024, con una aplicación escalonada que culmina en agosto de 2027. Para cualquier organización que desarrolle, comercialice o utilice sistemas de IA en el mercado único europeo, dejar de entender esta norma ha pasado de ser una recomendación a constituir una obligación legal con sanciones que pueden alcanzar los 35 millones de euros o el 7 % de la facturación anual mundial.
A diferencia del RGPD, que regula datos personales, el AI Act regula productos y usos: clasifica los sistemas de IA según el riesgo que generan para la salud, la seguridad y los derechos fundamentales. Este enfoque basado en el riesgo es la columna vertebral de toda la norma y condiciona qué obligaciones recaen sobre cada proveedor y cada usuario profesional (lo que el reglamento denomina deployer o responsable del despliegue).
El enfoque basado en el riesgo: cuatro niveles
La Ley de IA define cuatro categorías de riesgo, cada una con un régimen jurídico distinto. Entender en qué nivel cae un sistema es el primer paso de cualquier análisis de cumplimiento.
- Riesgo inaceptable (prohibido). El artículo 5 prohíbe prácticas como el social scoring de ciudadanos por parte de autoridades públicas, la manipulación subliminal que cause daño, el reconocimiento de emociones en el ámbito laboral y educativo, y el scraping masivo no dirigido de imágenes faciales para crear bases de datos biométricas. Estas prohibiciones son aplicables desde el 2 de febrero de 2025.
- Alto riesgo. Sistemas listados en el Anexo III: biometría, infraestructuras críticas, educación, empleo y selección de personal, acceso a servicios esenciales, aplicación de la ley, migración y administración de justicia. También entran aquí los sistemas que son componentes de seguridad de productos ya regulados (Anexo I). Son la categoría con más obligaciones.
- Riesgo limitado. Sistemas con obligaciones de transparencia: chatbots que deben informar de que el usuario habla con una máquina, y contenido sintético (deepfakes, texto generado) que debe etiquetarse como tal según el artículo 50.
- Riesgo mínimo. La inmensa mayoría de aplicaciones (filtros antispam, videojuegos con IA, recomendadores básicos). No tienen obligaciones específicas, aunque se fomentan los códigos de conducta voluntarios.
Obligaciones para sistemas de alto riesgo
Si un sistema cae en la categoría de alto riesgo, el proveedor debe cumplir los requisitos de los artículos 8 a 15 antes de poner el producto en el mercado. En la práctica, esto se traduce en un conjunto de medidas técnicas y documentales concretas:
- Sistema de gestión de riesgos continuo a lo largo de todo el ciclo de vida (art. 9).
- Gobernanza de datos: los conjuntos de entrenamiento, validación y prueba deben ser pertinentes, representativos y, en la medida de lo posible, libres de errores y sesgos (art. 10).
- Documentación técnica exhaustiva (Anexo IV) y registros automáticos de eventos (logging) que garanticen la trazabilidad (art. 11 y 12).
- Transparencia hacia el responsable del despliegue mediante instrucciones de uso claras (art. 13).
- Supervisión humana efectiva: el sistema debe diseñarse para que una persona pueda intervenir o detenerlo (art. 14).
- Precisión, robustez y ciberseguridad adecuadas al uso previsto (art. 15).
Antes de comercializar, el proveedor debe realizar una evaluación de la conformidad, redactar la declaración UE de conformidad, colocar el marcado CE y registrar el sistema en la base de datos pública de la UE. La norma armonizada que servirá de referencia técnica es la ISO/IEC 42001, primer estándar internacional de sistemas de gestión de IA, que ofrece un marco auditable muy alineado con los requisitos del reglamento.
Modelos de IA de propósito general (GPAI)
El capítulo V introduce obligaciones específicas para los modelos fundacionales o de propósito general, aplicables desde el 2 de agosto de 2025. Todo proveedor de un modelo GPAI debe elaborar documentación técnica, una política de cumplimiento de los derechos de autor y un resumen suficientemente detallado de los contenidos usados en el entrenamiento. Los modelos que superan el umbral de 10²⁵ operaciones en coma flotante (FLOP) de cómputo de entrenamiento se consideran de riesgo sistémico y suman obligaciones reforzadas: evaluación de modelos, pruebas adversarias (red teaming), notificación de incidentes graves y protección de ciberseguridad de los pesos del modelo.
La Comisión Europea ha impulsado un Código de Buenas Prácticas para la IA de propósito general que permite a los proveedores demostrar el cumplimiento de estas obligaciones mientras se terminan de publicar las normas armonizadas. Adherirse al código no es obligatorio, pero ofrece seguridad jurídica y reduce la carga probatoria ante la autoridad de supervisión, que en el caso de los modelos GPAI recae en la propia Oficina Europea de IA y no en las autoridades nacionales.
Relación con el RGPD: dos marcos que se suman
Un malentendido frecuente es pensar que el AI Act sustituye o relaja al RGPD. Es justo lo contrario: ambos se aplican de forma acumulativa. Si un sistema de IA trata datos personales (algo casi inevitable en biometría, selección de personal o concesión de crédito), debe cumplir simultáneamente las obligaciones del Reglamento (UE) 2024/1689 y las del RGPD, incluida la base de licitud del tratamiento, la evaluación de impacto relativa a la protección de datos (EIPD) y los derechos de las personas afectadas. En España, esto obliga a coordinar el cumplimiento entre la lógica de producto del AI Act y la lógica de datos personales que supervisa la AEPD, evitando tratar ambos marcos como compartimentos estancos.
El calendario de aplicación en España
El reglamento es directamente aplicable en todos los Estados miembros, pero su despliegue es gradual. Estas son las fechas que toda organización debe tener marcadas en el calendario:
| Fecha | Hito |
|---|---|
| 2 feb 2025 | Prácticas prohibidas y obligaciones de alfabetización en IA (art. 4) |
| 2 ago 2025 | Obligaciones de modelos GPAI y régimen de gobernanza y sanciones |
| 2 ago 2026 | Aplicación general del reglamento, incluido el Anexo III de alto riesgo |
| 2 ago 2027 | Sistemas de alto riesgo integrados en productos regulados (Anexo I) |
España fue pionera al crear la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña, designada como autoridad nacional de vigilancia del mercado. La AESIA coordina su actuación con la Agencia Española de Protección de Datos (AEPD) cuando el sistema trata datos personales, ya que el AI Act no sustituye al RGPD, sino que se aplica de forma complementaria.
Pasos para preparar el cumplimiento
Una hoja de ruta realista para una empresa española que utilice IA debería seguir esta secuencia:
- Inventario. Catalogar todos los sistemas de IA en uso o desarrollo, sean propios o de terceros.
- Clasificación de riesgo. Asignar cada sistema a uno de los cuatro niveles y documentar el razonamiento.
- Análisis de brechas (gap analysis). Comparar el estado actual con los requisitos del reglamento para los sistemas de alto riesgo.
- Implantación de controles. Gestión de riesgos, gobernanza de datos, supervisión humana y registros, idealmente bajo el paraguas de ISO/IEC 42001.
- Formación. Cumplir la obligación de alfabetización en IA del artículo 4 para el personal implicado.
- Gobernanza continua. Designar responsables, establecer revisiones periódicas y un canal de notificación de incidentes.
Errores comunes que conviene evitar
El primero es asumir que la norma solo afecta a las grandes tecnológicas: el responsable del despliegue (la empresa que usa el sistema, aunque no lo haya creado) también tiene obligaciones. El segundo es confundir el cumplimiento del RGPD con el del AI Act; son marcos distintos y acumulativos. El tercero es clasificar a la baja un sistema para evadir obligaciones, una decisión que la AESIA puede revisar y sancionar. El cuarto es olvidar la documentación: sin trazabilidad y sin registros, demostrar el cumplimiento ante una inspección resulta imposible, aunque el sistema sea técnicamente correcto.
Preguntas frecuentes
¿La Ley de IA se aplica a empresas fuera de la UE? Sí. Igual que el RGPD, tiene alcance extraterritorial: afecta a cualquier proveedor o responsable del despliegue cuyos resultados se utilicen dentro del mercado único, con independencia de dónde esté establecido.
¿Una pyme que solo usa un chatbot comercial tiene obligaciones? Si el chatbot es de riesgo limitado, la obligación principal es de transparencia: informar al usuario de que interactúa con un sistema automatizado. No necesita evaluación de conformidad, pero sí debe verificar que el proveedor cumple sus propias obligaciones.
¿ISO/IEC 42001 es obligatoria? No es obligatoria por sí misma, pero certificarse aporta una presunción razonable de diligencia y facilita demostrar el cumplimiento de los requisitos del reglamento, especialmente cuando se publiquen las normas armonizadas que la conecten formalmente con el AI Act.
¿Qué pasa si no se cumple a tiempo? Las sanciones se escalan según la infracción: hasta 35 millones de euros o el 7 % de la facturación por prácticas prohibidas, hasta 15 millones o el 3 % por incumplir obligaciones de alto riesgo, y hasta 7,5 millones o el 1 % por facilitar información incorrecta a las autoridades.
Conclusión
La Ley de IA europea no es un trámite que se resuelva firmando un documento: es un cambio de modelo que obliga a clasificar cada sistema, documentar su funcionamiento y demostrar control humano sobre decisiones que afectan a personas. Las organizaciones que empiecen ahora su inventario y su análisis de brechas llegarán a agosto de 2026 con margen; las que esperen al último trimestre se encontrarán compitiendo por escasos recursos de auditoría y conformidad. En Summum acompañamos la clasificación de riesgo, el gap analysis frente al Reglamento (UE) 2024/1689 y la implantación de un sistema de gestión alineado con ISO/IEC 42001, de forma que el cumplimiento normativo deje de ser una carga reactiva y se convierta en una garantía verificable ante clientes y supervisores.