El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial —conocido como AI Act— fue publicado en el Diario Oficial de la Unión Europea el 12 de agosto de 2024 y entró en vigor el 1 de agosto de 2024. Es el primer marco regulatorio integral sobre IA en el mundo y establece obligaciones diferenciadas según el nivel de riesgo del sistema, con un calendario de aplicación progresiva que culmina en agosto de 2027 para los sistemas de IA integrados en productos cubiertos por la normativa de seguridad de productos.
El sistema de clasificación de riesgos del AI Act
El AI Act clasifica los sistemas de IA en cuatro categorías, con obligaciones crecientes a medida que aumenta el nivel de riesgo:
Prácticas de IA prohibidas (artículo 5): Aplicables desde el 2 de febrero de 2025. Incluyen los sistemas de puntuación social por entidades públicas que condicionen el trato diferenciado en esferas no relacionadas con la recopilación de datos, los sistemas de categorización biométrica que infieran características protegidas (raza, opinión política, religión, orientación sexual), los sistemas de identificación biométrica remota en tiempo real en espacios públicos con fines policiales (salvo excepciones tasadas), y los sistemas de manipulación subliminal que exploten vulnerabilidades de grupos específicos.
Sistemas de alto riesgo (Anexo III): Exigibles desde el 2 de agosto de 2026. Esta categoría incluye los sistemas de IA utilizados en infraestructuras críticas, educación, empleo, acceso a servicios esenciales, aplicación de la ley, gestión de fronteras y migraciones, administración de justicia, y sistemas que son en sí mismos productos de seguridad o componentes de dichos productos conforme a la normativa armonizada.
Sistemas de riesgo limitado: Obligaciones de transparencia básicas, exigibles desde agosto de 2026, para sistemas como chatbots (el usuario debe saber que interactúa con IA), sistemas de detección de emociones o sistemas de generación de contenido sintético (deepfakes deben estar claramente identificados).
Sistemas de riesgo mínimo: Sin obligaciones específicas del AI Act, aunque aplican las normas generales de responsabilidad civil y protección de datos.
Sistemas de alto riesgo del Anexo III: análisis detallado
El Anexo III del AI Act enumera ocho categorías de sistemas de alto riesgo que tienen especial relevancia para las empresas españolas:
Empleo y gestión de trabajadores. Los sistemas de IA utilizados para el reclutamiento y selección de personal —incluido el cribado de CVs, las entrevistas automatizadas y la puntuación de candidatos— son de alto riesgo. También lo son los sistemas para la evaluación del rendimiento, la promoción o la resolución de contratos laborales. Esto tiene implicaciones directas para los departamentos de recursos humanos y para las plataformas de e-recruiting que operan en España.
Acceso a servicios esenciales. Los sistemas para la evaluación de la solvencia crediticia de personas físicas, para la suscripción de seguros de vida y de salud, y para la evaluación de solicitudes de prestaciones sociales son de alto riesgo. Este punto afecta directamente al sector bancario (scoring crediticio), asegurador y a las administraciones públicas con sistemas de gestión de prestaciones.
Biometría. Los sistemas de identificación biométrica (reconocimiento facial, de voz, de marcha) utilizados en acceso a instalaciones, en control de presencia o en sistemas de verificación de identidad remota son de alto riesgo con las excepciones aplicables.
Infraestructuras críticas. Los sistemas de IA utilizados en la gestión de redes eléctricas, suministro de agua, transporte y finanzas son de alto riesgo. Los operadores de infraestructuras críticas en España (sujetos también a la Directiva NIS2) deben integrar el AI Act en su marco de gestión de riesgos de ciberseguridad.
Obligaciones para los proveedores de sistemas de alto riesgo
Las obligaciones más exigentes recaen sobre los proveedores (empresas que desarrollan o ponen en el mercado sistemas de IA de alto riesgo). Las obligaciones incluyen (artículos 9 a 17 AI Act):
Sistema de gestión de riesgos (artículo 9): proceso continuo y documentado a lo largo de todo el ciclo de vida del sistema, con identificación y mitigación de riesgos antes de la puesta en servicio y monitorización posterior.
Gobernanza de datos (artículo 10): los datos de entrenamiento, validación y prueba deben ser pertinentes, representativos, suficientemente libres de errores y completos, con atención específica a los posibles sesgos que puedan generar resultados discriminatorios.
Documentación técnica (artículo 11 y Anexo IV): documentación detallada del sistema antes de la puesta en servicio, que incluye la descripción general del sistema, los datos de entrenamiento, los resultados de la evaluación de rendimiento y las capacidades y limitaciones del sistema.
Registro de eventos (artículo 12): los sistemas de alto riesgo deben generar registros automáticos de eventos (logs) que permitan la trazabilidad del funcionamiento del sistema, en particular para identificar situaciones que hayan dado lugar a riesgos para los derechos fundamentales.
Transparencia e información a los operadores (artículo 13): el proveedor debe proporcionar al operador instrucciones de uso con información sobre las capacidades y limitaciones del sistema, la interpretación de sus resultados y la supervisión humana requerida.
Supervisión humana (artículo 14): los sistemas de alto riesgo deben diseñarse con interfaz humano-máquina que permita al operador supervisar, comprender, anular, interrumpir o desactivar el sistema.
Exactitud, robustez y ciberseguridad (artículo 15): niveles apropiados de exactitud, robustez frente a errores y manipulación, y resistencia a ataques adversariales.
Evaluación de conformidad y marcado CE
La mayor parte de los sistemas de alto riesgo del Anexo III requieren una evaluación de conformidad antes de la puesta en servicio. Para los sistemas no sujetos a normativa de armonización previa (es decir, los del Anexo III que no son dispositivos médicos, maquinaria o productos de seguridad), la evaluación de conformidad puede realizarse mediante autoevaluación del proveedor, siempre que genere la documentación técnica exigida y emita la declaración UE de conformidad.
Los sistemas de alto riesgo destinados a la identificación biométrica remota y los sistemas destinados a ser utilizados por autoridades de aplicación de la ley requieren evaluación de conformidad por un organismo notificado externo.
Tras la evaluación, el proveedor registra el sistema en la base de datos de IA de la UE, gestionada por la Comisión Europea, antes de la puesta en servicio. Este registro es un requisito previo ineludible para la comercialización del sistema en la UE.
Sanciones: multas de hasta 35 millones de euros
El artículo 99 del AI Act establece un régimen de sanciones administrativas diferenciado por la gravedad de la infracción: hasta 35 millones de euros o el 7% del volumen de negocios anual mundial (el importe mayor) por violación de las prohibiciones del artículo 5; hasta 15 millones de euros o el 3% del volumen de negocios por incumplimiento de otras obligaciones del Reglamento; y hasta 7,5 millones de euros o el 1,5% del volumen de negocios por suministro de información incorrecta a las autoridades nacionales de supervisión.
En BMC nuestro equipo legal está a su disposición. Conozca nuestros servicios de cumplimiento de la IA Act.
