El Reglamento de Inteligencia Artificial de la Unión Europea (AI Act), cuya negociación alcanzó un punto crítico en 2023, es la primera regulación global integral sobre sistemas de inteligencia artificial. Su aprobación en el Parlamento Europeo en marzo de 2024 y su publicación en el Diario Oficial de la UE en agosto de 2024 —como Reglamento (UE) 2024/1689— establecieron un marco normativo de aplicación directa en todos los estados miembros que afecta a las empresas que desarrollan, comercializan o utilizan sistemas de IA en la UE. España, como otros estados miembros, deberá designar a su Autoridad Nacional de Supervisión de la IA antes de que venzan los plazos de aplicación plena.
Enfoque basado en riesgos
El AI Act clasifica los sistemas de IA en cuatro categorías según su nivel de riesgo, con obligaciones proporcionales en cada nivel:
-
Riesgo inaceptable (prohibidos): sistemas que suponen una amenaza inaceptable para los derechos fundamentales, como la vigilancia masiva biométrica en espacios públicos con fines de aplicación de la ley, los sistemas de puntuación social por parte de gobiernos, o la manipulación subliminal de conductas. Las prohibiciones sobre estas categorías aplicaron seis meses después de la entrada en vigor del Reglamento, es decir, a partir de febrero de 2025.
-
Alto riesgo: sistemas que pueden causar daños graves a la salud, la seguridad o los derechos fundamentales. Están sometidos a requisitos estrictos antes de su comercialización y deben superar procedimientos de evaluación de conformidad obligatoria.
-
Riesgo limitado: sistemas sujetos principalmente a obligaciones de transparencia frente a los usuarios, como los chatbots o los sistemas de generación de contenido sintético (deepfakes). El usuario debe poder saber que interactúa con un sistema de IA.
-
Riesgo mínimo: la mayoría de aplicaciones de IA actuales (filtros de spam, recomendaciones de contenido, videojuegos con IA). No están sujetas a requisitos específicos del AI Act, aunque las empresas pueden adherirse voluntariamente a códigos de conducta.
Sistemas de alto riesgo
El Anexo III del AI Act enumera los sistemas de IA de alto riesgo. Las categorías más relevantes para las empresas en España incluyen:
- Infraestructuras críticas: sistemas de IA utilizados en la gestión de redes de energía, agua, transporte o infraestructuras financieras.
- Educación y formación: sistemas que determinan el acceso a instituciones educativas o evalúan el rendimiento de los estudiantes.
- Empleo y gestión de trabajadores: sistemas utilizados para la contratación (cribado de CVs, entrevistas automatizadas), la evaluación del rendimiento o la asignación de tareas. Este es uno de los ámbitos con mayor adopción práctica en empresas medianas y grandes.
- Acceso a servicios esenciales: sistemas de scoring crediticio, evaluación de la solvencia, o que determinan el acceso a seguros, prestaciones sociales o servicios públicos.
- Aplicación de la ley y administración de justicia: sistemas que asisten en investigaciones policiales o decisiones judiciales.
- Gestión de fronteras e inmigración: sistemas biométricos o de evaluación de riesgos en controles fronterizos.
Las empresas que utilicen o comercialicen estos sistemas en cualquiera de estas categorías deben implementar, antes de su puesta en el mercado o en servicio:
- Un sistema de gestión de riesgos documentado y actualizado a lo largo del ciclo de vida del sistema.
- Medidas de calidad de datos de entrenamiento, validación y prueba que garanticen la ausencia de sesgos relevantes.
- Documentación técnica completa que permita evaluar la conformidad con el Reglamento.
- Capacidad de registro automático de eventos (logs) para la supervisión posterior.
- Transparencia e información suficiente para que los usuarios puedan interpretar los resultados del sistema.
- Supervisión humana efectiva, con capacidad de intervención o desconexión.
- Robustez, precisión y ciberseguridad adecuadas.
Antes de su comercialización, los sistemas de alto riesgo cubiertos por el Anexo III deben registrarse en la base de datos de la UE establecida por el artículo 71 del Reglamento.
Plazos de aplicación
El Reglamento (UE) 2024/1689 estableció una aplicación progresiva:
- 6 meses tras la entrada en vigor (febrero 2025): prohibiciones absolutas (categoría de riesgo inaceptable).
- 12 meses (agosto 2025): obligaciones para los proveedores de modelos de IA de uso general (GPAI), como los grandes modelos de lenguaje.
- 24 meses (agosto 2026): aplicación plena para la mayoría de sistemas de alto riesgo del Anexo III, incluyendo los utilizados en empleo, crédito y acceso a servicios.
- 36 meses (agosto 2027): algunos sistemas de alto riesgo del Anexo II (productos cubiertos por normativa sectorial de seguridad preexistente).
Implicaciones para las empresas
Las empresas deben comenzar ya a mapear sus sistemas de IA para determinar en qué categoría de riesgo se encuadran. Este inventario debe ser exhaustivo: incluye tanto los sistemas desarrollados internamente como los adquiridos a proveedores externos o integrados mediante APIs de modelos de IA como servicio.
Para las empresas que actúan como proveedoras de sistemas de alto riesgo, la carga regulatoria es mayor: deben garantizar la conformidad antes de la comercialización, gestionar los registros de la base de datos de la UE, y mantener los sistemas de gestión de calidad y riesgos a lo largo del ciclo de vida del producto.
Para las empresas que actúan como desplegadoras —es decir, que utilizan sistemas de IA de alto riesgo desarrollados por terceros en su actividad— las obligaciones incluyen garantizar la supervisión humana, no modificar los sistemas de forma que altere su evaluación de conformidad, y reportar incidentes graves a la autoridad de supervisión.
El régimen sancionador es significativo: las multas por uso de sistemas prohibidos pueden alcanzar los 30 millones de euros o el 6% del volumen de negocio mundial del año anterior. Por incumplimientos en sistemas de alto riesgo, las multas pueden llegar a 20 millones o el 4% del volumen global. Para pymes y startups, el Reglamento prevé reducciones proporcionales, pero no exime de responsabilidad.
Primeros pasos recomendados
Independientemente del tamaño de la empresa, el primer paso es siempre el inventario y la clasificación de riesgos. A partir de ahí, las empresas con sistemas en categorías de alto riesgo o que provean modelos de IA de uso general deben iniciar cuanto antes la adaptación de su documentación técnica, sus procesos de gobernanza y sus contratos con proveedores y clientes, actualizando las cláusulas de responsabilidad a la luz del nuevo marco regulatorio.
En BMC asesoramos en la adaptación al marco regulatorio de la IA, incluyendo la clasificación de sistemas, la documentación de conformidad y la implantación de sistemas de gobernanza de IA adecuados a las obligaciones del Reglamento (UE) 2024/1689. Conozca nuestros servicios de compliance.
Marco regulador específico: obligaciones concretas del AI Act para empresas
El Reglamento de Inteligencia Artificial (Reglamento UE 2024/1689) establece un sistema de obligaciones diferenciado según el nivel de riesgo del sistema de IA y el rol de la empresa en la cadena de valor.
Reglamento UE 2024/1689, de 13 de junio de 2024 (DOUE L 1689, 12 julio 2024): El art. 3 define los conceptos fundamentales: sistema de IA (software que, a partir de una serie de objetivos definidos por los seres humanos, genera resultados tales como predicciones, recomendaciones o decisiones), proveedor (entidad que desarrolla o encarga el desarrollo de un sistema de IA para ponerlo en el mercado o en servicio), operador (entidad que utiliza un sistema de IA bajo su propia responsabilidad). El art. 5 establece las prácticas de IA prohibidas: sistemas de puntuación social gubernamental, sistemas de manipulación subliminal, reconocimiento de emociones en el trabajo y la educación (salvo excepciones), y sistemas biométricos de vigilancia masiva en espacios públicos. La prohibición aplica desde el 2 de febrero de 2025.
Artículo 9 — Sistema de gestión del riesgo (proveedores de alto riesgo): Los proveedores de sistemas de IA de alto riesgo deben establecer y documentar un sistema de gestión del riesgo iterativo y continuo durante todo el ciclo de vida del sistema. El sistema debe identificar los riesgos razonablemente previsibles, estimar y evaluar los riesgos, y adoptar medidas de gestión del riesgo adecuadas. La documentación del sistema de gestión del riesgo debe actualizarse y estar disponible para los organismos de vigilancia del mercado.
Artículo 13 — Transparencia y provisión de información a los operadores: Los sistemas de IA de alto riesgo deben diseñarse de forma que sus operaciones sean suficientemente transparentes para que los operadores puedan interpretar los resultados del sistema y utilizarlo de forma adecuada. Cada sistema debe ir acompañado de instrucciones de uso que incluyan: identidad del proveedor, características del sistema, nivel de exactitud y robustez, descripción de los datos de entrada, medidas de supervisión humana y requisitos de infraestructura.
Artículo 50 — Transparencia para sistemas de IA de interacción con personas: Los sistemas de IA diseñados para interactuar con personas físicas (chatbots, asistentes virtuales) deben informar al usuario de que está interactuando con un sistema de IA, de manera clara y distinguible al inicio de la interacción. Quedan exentos los sistemas que el usuario ya sabe que son IA y los que se usan para la detección de delitos. El incumplimiento de esta obligación de transparencia está sancionado con hasta 7,5 M EUR o el 1,5 % del volumen de negocio (art. 99.4 AI Act).
Artículo 99 — Régimen sancionador: Prácticas de IA prohibidas (art. 5): hasta 35 M EUR o el 7 % del volumen de negocio mundial. Incumplimientos de proveedores y operadores de alto riesgo: hasta 15 M EUR o el 3 %. Información incorrecta a organismos notificados: hasta 7,5 M EUR o el 1,5 %. La AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) aplica estas sanciones en España.
Ejemplo práctico: clasificación de sistemas de IA en una empresa de RRHH
Empresa: People Analytics Corp, S.L. — empresa de software de RRHH que comercializa tres módulos de IA: (1) módulo de scoring de candidatos, (2) chatbot de empleado para gestión de vacaciones y nóminas, y (3) módulo de análisis predictivo de abandono voluntario.
Clasificación AI Act de cada sistema:
| Sistema | Clasificación | Base legal | Plazo conformidad |
|---|---|---|---|
| Scoring de candidatos (cribado automático de CVs) | Alto riesgo | Anexo III, punto 4.a): selección de personal | 2 agosto 2026 |
| Chatbot empleado (FAQs + gestión solicitudes) | Riesgo limitado (transparencia) | Art. 50: interacción con personas físicas | 2 agosto 2025 |
| Análisis predictivo de abandono | Riesgo mínimo | No incluido en categorías de alto riesgo | Sin fecha obligatoria |
Obligaciones para el módulo de scoring de candidatos (alto riesgo — proveedor):
| Obligación | Artículo | Coste estimado |
|---|---|---|
| Sistema de gestión del riesgo | Art. 9 | 8.000 EUR |
| Documentación técnica (Anexo IV) | Art. 11 | 5.000 EUR |
| Gobernanza de datos de entrenamiento | Art. 10 | 12.000 EUR |
| Registro en base de datos UE | Art. 49 | 1.000 EUR |
| Evaluación de conformidad | Art. 43 | 15.000 EUR |
| Declaración de conformidad UE | Art. 47 | 2.000 EUR |
| Total adaptación al AI Act | 43.000 EUR |
Errores comunes en la implementación del AI Act
Error 1 — Asumir que los sistemas de IA adquiridos a terceros ya cumplen el AI Act: Si la empresa actúa como operador de un sistema de alto riesgo desarrollado por un tercero, tiene sus propias obligaciones independientemente de si el proveedor cumple con las suyas (art. 26 AI Act). El operador debe: usar el sistema conforme a las instrucciones del proveedor, asignar supervisión humana adecuada, suspender el uso si detecta riesgos graves y notificar incidentes al proveedor. Estas obligaciones son propias del operador y no pueden delegarse al proveedor.
Error 2 — No actualizar los contratos con proveedores de software de IA: Los contratos de licencia de software que incluyen funcionalidades de IA deben actualizarse para incluir: declaración del nivel de riesgo del sistema, provisión de instrucciones de uso (art. 13), compromiso de actualizar la documentación ante cambios significativos, y notificación al operador ante incidentes graves. Los contratos estándar de SaaS anteriores a 2024 no contemplan estas cláusulas.
Error 3 — Confundir el AI Act con el RGPD en el tratamiento de datos de RRHH: Los sistemas de RRHH con funcionalidades de IA (scoring de candidatos, análisis de rendimiento) activan tanto el AI Act como el RGPD. El RGPD art. 22 ya establecía el derecho a no ser objeto de decisiones automatizadas significativas sin intervención humana. El AI Act refuerza esta protección pero añade obligaciones de documentación y evaluación de conformidad que no exige el RGPD. Ambas normativas deben cumplirse de forma complementaria.
Error 4 — No establecer la supervisión humana requerida para sistemas de alto riesgo: El art. 14 AI Act exige que los sistemas de alto riesgo dispongan de medidas de supervisión humana que permitan a las personas físicas responsables del sistema comprender las capacidades y limitaciones del sistema, detectar y abordar las anomalías, y anular las decisiones del sistema cuando sea necesario. Una política de “el sistema decide, el humano ejecuta” sin mecanismo real de revisión es incumplimiento del art. 14.
Error 5 — Omitir el registro en la base de datos europea para sistemas de alto riesgo: Los proveedores de sistemas de IA de alto riesgo de los Anexos III y IV deben registrarlos en la base de datos de la UE establecida en el art. 71 AI Act (gestionada por la Comisión Europea). El registro es obligatorio antes de la puesta en servicio del sistema. No registrar un sistema de alto riesgo implica incumplimiento de los requisitos de transparencia del Reglamento y puede resultar en sanción.
Próximos pasos para cumplir el AI Act
- Inventariar todos los sistemas de IA en uso o en desarrollo: incluir tanto los desarrollados internamente como los adquiridos a terceros; para cada sistema, identificar al menos: su función, los datos de entrada, los resultados que produce y quién usa sus resultados en decisiones.
- Clasificar cada sistema por nivel de riesgo: aplicar el árbol de decisión del art. 6 y el Anexo III del AI Act; si hay duda sobre la clasificación, consultar con asesores especializados o con la AESIA.
- Priorizar los sistemas de alto riesgo para la adaptación: el plazo de agosto de 2026 se aproxima; iniciar ya los procesos de gobernanza de datos, documentación técnica y evaluación de conformidad para los sistemas de alto riesgo.
- Actualizar la política de transparencia para chatbots y sistemas interactivos: verificar que todos los sistemas que interactúan con personas informan de su condición de IA al inicio de la interacción (art. 50); el cumplimiento de este requisito es sencillo y de bajo coste.
- Establecer el proceso de notificación de incidentes graves: definir qué constituye un incidente grave (resultados inexactos con impacto significativo, sesgo detectado en decisiones, fallo de seguridad), establecer el flujo de notificación interna y el proceso de comunicación a la AESIA conforme al art. 73 AI Act.
En BMC asesoramos a empresas en la clasificación de sus sistemas de IA, el diseño de marcos de gobernanza de IA y la preparación de la documentación de conformidad exigida por el Reglamento UE 2024/1689. Consulte nuestros servicios de compliance IA.
