Inteligencia artificial: la UE avanza en su regulación

Q: ¿Qué impacto tiene inteligencia artificial: la ue avanza en su regulación en mi empresa?

El AI Act (en vigor desde agosto de 2024) afecta a cualquier empresa que desarrolle, distribuya o utilice sistemas de IA en la UE. Las prohibiciones absolutas (vigilancia masiva, puntuación social) aplicaron seis meses tras la entrada en vigor. Los sistemas de alto riesgo —incluyendo IA usada en RRHH, crédito, acceso a servicios o infraestructuras críticas— requieren evaluación de conformidad, documentación técnica, supervisión humana y registro en la base de datos de la UE antes de su puesta en el mercado. Las multas pueden alcanzar los 30 millones de euros o el 6% del volumen global para las infracciones más graves.

Q: ¿Cuándo debo actuar ante IA?

El primer paso es inventariar todos los sistemas de IA que su empresa utiliza o está desarrollando y clasificarlos según la categoría de riesgo del AI Act. Esta evaluación debe realizarse antes de que los plazos de cumplimiento para sistemas de alto riesgo venzan (36 meses tras la entrada en vigor para la mayoría de categorías). Las empresas que ya usen IA en decisiones de RRHH, scoring crediticio o atención al cliente deben priorizar la revisión, dado que estos sistemas pueden ser clasificados como de alto riesgo y requerir medidas correctoras antes de seguir operando.

El Reglamento de Inteligencia Artificial de la Unión Europea (AI Act), cuya negociación alcanzó un punto crítico en 2023, es la primera regulación global integral sobre sistemas de inteligencia artificial. Su aprobación en el Parlamento Europeo en marzo de 2024 y su publicación en el Diario Oficial de la UE en agosto de 2024 —como Reglamento (UE) 2024/1689— establecieron un marco normativo de aplicación directa en todos los estados miembros que afecta a las empresas que desarrollan, comercializan o utilizan sistemas de IA en la UE. España, como otros estados miembros, deberá designar a su Autoridad Nacional de Supervisión de la IA antes de que venzan los plazos de aplicación plena.

Enfoque basado en riesgos

El AI Act clasifica los sistemas de IA en cuatro categorías según su nivel de riesgo, con obligaciones proporcionales en cada nivel:

Riesgo inaceptable (prohibidos): sistemas que suponen una amenaza inaceptable para los derechos fundamentales, como la vigilancia masiva biométrica en espacios públicos con fines de aplicación de la ley, los sistemas de puntuación social por parte de gobiernos, o la manipulación subliminal de conductas. Las prohibiciones sobre estas categorías aplicaron seis meses después de la entrada en vigor del Reglamento, es decir, a partir de febrero de 2025.
Alto riesgo: sistemas que pueden causar daños graves a la salud, la seguridad o los derechos fundamentales. Están sometidos a requisitos estrictos antes de su comercialización y deben superar procedimientos de evaluación de conformidad obligatoria.
Riesgo limitado: sistemas sujetos principalmente a obligaciones de transparencia frente a los usuarios, como los chatbots o los sistemas de generación de contenido sintético (deepfakes). El usuario debe poder saber que interactúa con un sistema de IA.
Riesgo mínimo: la mayoría de aplicaciones de IA actuales (filtros de spam, recomendaciones de contenido, videojuegos con IA). No están sujetas a requisitos específicos del AI Act, aunque las empresas pueden adherirse voluntariamente a códigos de conducta.

Sistemas de alto riesgo

El Anexo III del AI Act enumera los sistemas de IA de alto riesgo. Las categorías más relevantes para las empresas en España incluyen:

Infraestructuras críticas: sistemas de IA utilizados en la gestión de redes de energía, agua, transporte o infraestructuras financieras.
Educación y formación: sistemas que determinan el acceso a instituciones educativas o evalúan el rendimiento de los estudiantes.
Empleo y gestión de trabajadores: sistemas utilizados para la contratación (cribado de CVs, entrevistas automatizadas), la evaluación del rendimiento o la asignación de tareas. Este es uno de los ámbitos con mayor adopción práctica en empresas medianas y grandes.
Acceso a servicios esenciales: sistemas de scoring crediticio, evaluación de la solvencia, o que determinan el acceso a seguros, prestaciones sociales o servicios públicos.
Aplicación de la ley y administración de justicia: sistemas que asisten en investigaciones policiales o decisiones judiciales.
Gestión de fronteras e inmigración: sistemas biométricos o de evaluación de riesgos en controles fronterizos.

Las empresas que utilicen o comercialicen estos sistemas en cualquiera de estas categorías deben implementar, antes de su puesta en el mercado o en servicio:

Un sistema de gestión de riesgos documentado y actualizado a lo largo del ciclo de vida del sistema.
Medidas de calidad de datos de entrenamiento, validación y prueba que garanticen la ausencia de sesgos relevantes.
Documentación técnica completa que permita evaluar la conformidad con el Reglamento.
Capacidad de registro automático de eventos (logs) para la supervisión posterior.
Transparencia e información suficiente para que los usuarios puedan interpretar los resultados del sistema.
Supervisión humana efectiva, con capacidad de intervención o desconexión.
Robustez, precisión y ciberseguridad adecuadas.

Antes de su comercialización, los sistemas de alto riesgo cubiertos por el Anexo III deben registrarse en la base de datos de la UE establecida por el artículo 71 del Reglamento.

Plazos de aplicación

El Reglamento (UE) 2024/1689 estableció una aplicación progresiva:

6 meses tras la entrada en vigor (febrero 2025): prohibiciones absolutas (categoría de riesgo inaceptable).
12 meses (agosto 2025): obligaciones para los proveedores de modelos de IA de uso general (GPAI), como los grandes modelos de lenguaje.
24 meses (agosto 2026): aplicación plena para la mayoría de sistemas de alto riesgo del Anexo III, incluyendo los utilizados en empleo, crédito y acceso a servicios.
36 meses (agosto 2027): algunos sistemas de alto riesgo del Anexo II (productos cubiertos por normativa sectorial de seguridad preexistente).

Implicaciones para las empresas

Las empresas deben comenzar ya a mapear sus sistemas de IA para determinar en qué categoría de riesgo se encuadran. Este inventario debe ser exhaustivo: incluye tanto los sistemas desarrollados internamente como los adquiridos a proveedores externos o integrados mediante APIs de modelos de IA como servicio.

Para las empresas que actúan como proveedoras de sistemas de alto riesgo, la carga regulatoria es mayor: deben garantizar la conformidad antes de la comercialización, gestionar los registros de la base de datos de la UE, y mantener los sistemas de gestión de calidad y riesgos a lo largo del ciclo de vida del producto.

Para las empresas que actúan como desplegadoras —es decir, que utilizan sistemas de IA de alto riesgo desarrollados por terceros en su actividad— las obligaciones incluyen garantizar la supervisión humana, no modificar los sistemas de forma que altere su evaluación de conformidad, y reportar incidentes graves a la autoridad de supervisión.

El régimen sancionador es significativo: las multas por uso de sistemas prohibidos pueden alcanzar los 30 millones de euros o el 6% del volumen de negocio mundial del año anterior. Por incumplimientos en sistemas de alto riesgo, las multas pueden llegar a 20 millones o el 4% del volumen global. Para pymes y startups, el Reglamento prevé reducciones proporcionales, pero no exime de responsabilidad.

Primeros pasos recomendados

Independientemente del tamaño de la empresa, el primer paso es siempre el inventario y la clasificación de riesgos. A partir de ahí, las empresas con sistemas en categorías de alto riesgo o que provean modelos de IA de uso general deben iniciar cuanto antes la adaptación de su documentación técnica, sus procesos de gobernanza y sus contratos con proveedores y clientes, actualizando las cláusulas de responsabilidad a la luz del nuevo marco regulatorio.

En BMC asesoramos en la adaptación al marco regulatorio de la IA, incluyendo la clasificación de sistemas, la documentación de conformidad y la implantación de sistemas de gobernanza de IA adecuados a las obligaciones del Reglamento (UE) 2024/1689. Conozca nuestros servicios de compliance.

IA AI-Act UE compliance

← Volver a Insights

Advisory

Análisis y Valoración

Transformación

Gobierno y transición

Estrategia Fiscal

Cumplimiento

Regímenes Especiales

Patrimonio y Litigios

Derecho Mercantil y Societario

Insolvencia y Reestructuración

Personas y Compliance

Litigios y Resoluciones

Ciberseguridad

Privacidad e IA

Finanzas y Reporting

Servicios Corporativos

Crecimiento

Riesgos y Resiliencia

Artículos y Análisis

Informes y Whitepapers

Herramientas

Industrias

Enfoque basado en riesgos

Sistemas de alto riesgo

Plazos de aplicación

Implicaciones para las empresas

Primeros pasos recomendados

Servicios Relacionados

Fusiones y Adquisiciones

Valoraciones

ESG y Sostenibilidad

Glosario

Due diligence

Fusiones y adquisiciones (M&A)

Valoración de empresas

Artículos relacionados

Elecciones europeas 2024: impacto en la agenda empresarial

Presupuestos Generales 2026: análisis del impacto

Contabilidad forense para empresas: más allá del peritaje judicial

Le interesa saber más?

Configuración de cookies