Reglamento de IA (AI Act)

Qué es el AI Act

El Reglamento (UE) 2024/1689, conocido como AI Act o Ley de IA, fue aprobado por el Parlamento Europeo en marzo de 2024 y entró en vigor el 2 de agosto de 2024. Su aplicación es progresiva, con plazos escalonados según la categoría de riesgo del sistema.

El AI Act adopta un enfoque basado en el riesgo: cuanto mayor es el potencial de daño de un sistema de IA, mayores son las obligaciones impuestas. Esto implica que la mayoría de los usos cotidianos de IA (filtros antispam, recomendaciones de contenido, asistentes de escritura) quedan prácticamente fuera de las obligaciones sustantivas, mientras que aplicaciones de mayor impacto —evaluación de crédito, selección de personal, gestión de infraestructuras críticas— están sometidas a requisitos estrictos.

Categorías de riesgo

Riesgo inaceptable (prohibido) Sistemas cuyo uso está terminantemente prohibido en la UE desde el 2 de febrero de 2025:

• Manipulación subliminal o explotación de vulnerabilidades psicológicas
• Sistemas de puntuación social (social scoring) por autoridades públicas
• Identificación biométrica en tiempo real en espacios públicos por fuerzas de seguridad (con excepciones tasadas)
• Inferencia de emociones en entornos laborales y educativos
• Categorización biométrica basada en características sensibles

Riesgo alto (aplicable desde 2 de agosto de 2026) Sistemas que se despliegan en ámbitos de alta sensibilidad: biometría, gestión de infraestructuras críticas, educación, empleo (selección y evaluación de empleados), servicios esenciales (crédito, seguros, asistencia social), aplicaciones de justicia y orden público, sistemas de migración y asilo. Para estos sistemas son obligatorios:

• Gestión de riesgos documentada
• Calidad y gobernanza de los datos de entrenamiento
• Documentación técnica y trazabilidad
• Transparencia e información al usuario
• Supervisión humana efectiva
• Registro en la base de datos de la UE antes del despliegue

Riesgo limitado Sistemas con obligaciones de transparencia: los chatbots deben informar al usuario de que interactúa con una IA; los deepfakes deben etiquetarse como contenido sintético.

Riesgo mínimo Sin obligaciones específicas (filtros de spam, videojuegos con IA, buscadores…). Pueden acogerse a códigos de conducta voluntarios.

Obligaciones para las empresas

El AI Act distingue entre proveedores (que desarrollan o ponen en el mercado sistemas de IA), desplegadores (que usan sistemas de IA en sus actividades) e importadores y distribuidores.

Las empresas que utilizan sistemas de IA de alto riesgo como herramientas de gestión (por ejemplo, un software de RRHH con IA para cribado de currículos) son desplegadores y deben:

• Realizar evaluaciones de conformidad antes del despliegue
• Asegurarse de que el sistema está correctamente registrado
• Implantar supervisión humana y garantizar que los empleados reciben formación adecuada
• Documentar incidentes graves y reportarlos a la autoridad competente

Plazos de aplicación

Sanciones

Las sanciones son de las más elevadas del derecho digital europeo:

• Sistemas prohibidos: hasta 35 millones de euros o el 7% del volumen de negocio mundial anual
• Sistemas de alto riesgo (incumplimiento): hasta 15 millones o el 3%
• Información incorrecta a autoridades: hasta 7,5 millones o el 1,5%

Relación con el RGPD

El AI Act y el RGPD son regulaciones complementarias. Muchos sistemas de IA procesan datos personales, por lo que deben cumplir ambos marcos. La Evaluación de Impacto en Protección de Datos (EIPD) del RGPD y la evaluación de conformidad del AI Act pueden realizarse de forma coordinada para evitar duplicidades.