El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial —el AI Act— fue publicado en el Diario Oficial de la Unión Europea el 12 de agosto de 2024 (L 2024/1689). Es el primer marco regulatorio integral sobre inteligencia artificial en el mundo y el resultado de más de tres años de negociaciones legislativas desde la publicación de la propuesta de la Comisión Europea el 21 de abril de 2021.
Por qué el AI Act es un punto de inflexión regulatorio
El AI Act adopta un enfoque radicalmente diferente al de la mayoría de las regulaciones tecnológicas anteriores: en lugar de regular la tecnología en sí misma, regula el riesgo que los sistemas de IA generan en función de su uso. Este enfoque basado en el riesgo (risk-based approach) significa que el nivel de obligaciones depende no de si un sistema utiliza aprendizaje automático, visión por computador o procesamiento de lenguaje natural, sino de en qué contexto y con qué finalidad se utiliza.
La otra característica definitoria del AI Act es su aplicación extraterritorial: el Reglamento aplica tanto a proveedores establecidos en la UE como a los establecidos fuera de ella cuando sus sistemas de IA se ponen en servicio en la UE, cuando sus sistemas se utilizan en la UE, o cuando los resultados de sus sistemas son utilizados en la UE. En consecuencia, empresas tecnológicas estadounidenses, asiáticas o de cualquier otra procedencia que operen en el mercado europeo están sujetas al AI Act en los mismos términos que las empresas europeas.
Estructura y arquitectura del Reglamento
El AI Act consta de 113 artículos y 13 anexos, organizados en doce capítulos. Su estructura refleja la arquitectura del sistema de clasificación por riesgo:
Capítulo I: Disposiciones generales, definiciones y ámbito de aplicación.
Capítulo II (artículo 5): Prácticas de IA prohibidas. Establece la lista de usos de IA que no pueden realizarse en la UE bajo ninguna circunstancia.
Capítulos III y IV: Sistemas de alto riesgo. El Capítulo III establece las obligaciones para proveedores y operadores de sistemas de alto riesgo; el Capítulo IV regula los sistemas de alto riesgo que son componentes de productos cubiertos por normativa de armonización de la UE (dispositivos médicos, maquinaria, aeronaves, etc.).
Capítulo V: Modelos de IA de uso general (GPAI). Regula los modelos fundacionales como GPT-4, Gemini, Claude o Llama, con obligaciones diferenciadas para modelos de GPAI estándar y para los que plantean riesgos sistémicos.
Capítulo VII: Gobernanza. Establece la estructura supervisora: la Oficina de IA (AI Office) de la Comisión Europea y las autoridades nacionales de supervisión de IA.
Capítulo XII (artículo 99): Sanciones.
El papel de la Agencia Española de Supervisión de IA (AESIA)
España fue el primer Estado miembro en crear una autoridad específica de supervisión de la inteligencia artificial: la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), creada por el Real Decreto 729/2023, de 22 de agosto, con sede en A Coruña. La AESIA actúa como la autoridad nacional competente para la aplicación del AI Act en España y es el punto de contacto con la Oficina de IA de la Comisión Europea.
La AESIA tiene competencias para investigar posibles incumplimientos del AI Act, imponer sanciones administrativas, registrar sistemas de IA de alto riesgo desarrollados o comercializados en España y participar en los mecanismos de cooperación del Comité Europeo de IA.
Los modelos de IA de uso general (GPAI): obligaciones desde agosto de 2025
El Capítulo V del AI Act introduce un régimen específico para los proveedores de modelos de IA de uso general, aplicable desde el 2 de agosto de 2025. Los modelos GPAI son sistemas de IA entrenados con grandes volúmenes de datos que pueden realizar una amplia variedad de tareas (generación de texto, imágenes, código, audio, razonamiento) y que se integran en sistemas de IA de terceros.
Todos los proveedores de modelos GPAI deben: (i) elaborar y mantener documentación técnica actualizada; (ii) proporcionar a los proveedores de sistemas de IA que integren su modelo la información y documentación técnica necesaria para cumplir sus propias obligaciones; (iii) implementar una política de respeto a la legislación de derechos de autor; y (iv) publicar un resumen suficientemente detallado del contenido de entrenamiento utilizado.
Los proveedores de modelos GPAI que plantean riesgos sistémicos —definidos como los modelos entrenados con una capacidad de cómputo superior a 10^25 operaciones de punto flotante— tienen obligaciones adicionales: evaluación de modelos, evaluación y mitigación de riesgos sistémicos, notificación de incidentes graves a la Comisión, y medidas de ciberseguridad.
Hoja de ruta para el compliance en empresas españolas
Para las empresas usuarias de sistemas de IA —que son la inmensa mayoría de las empresas españolas—, el proceso de compliance del AI Act comienza con tres pasos básicos: (1) inventario de sistemas de IA en uso (tanto desarrollados internamente como adquiridos a terceros); (2) clasificación de cada sistema conforme al sistema de riesgos del AI Act; y (3) evaluación de las obligaciones aplicables según el rol de la empresa (proveedor, importador, distribuidor u operador) respecto a cada sistema.
Para las empresas que utilizan herramientas de terceros —software de recursos humanos con funcionalidades de IA, CRM con scoring automatizado, chatbots de atención al cliente, sistemas de detección de fraude—, el paso crítico es verificar que el proveedor del software cumplirá sus obligaciones como proveedor bajo el AI Act y transferirá la información necesaria al operador (empresa usuaria) para que éste pueda cumplir sus obligaciones de uso supervisado.
En BMC nuestro equipo legal está a su disposición. Conozca nuestros servicios de cumplimiento del Reglamento IA.
Marco regulador específico: estructura normativa del AI Act y obligaciones concretas
El Reglamento de Inteligencia Artificial establece un sistema de obligaciones escalonadas según el nivel de riesgo de los sistemas de IA y el rol de cada actor en la cadena de valor.
Reglamento UE 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024 (DOUE L 1689, 12 julio 2024): Publicado en el Diario Oficial de la UE el 12 de julio de 2024 y en vigor desde el 1 de agosto de 2024. Consta de 113 artículos y 13 anexos. Calendario de aplicación progresiva: los arts. 1-4 (disposiciones generales) y el Capítulo II (prácticas de IA prohibidas) son aplicables desde el 2 de febrero de 2025; el Capítulo V (modelos GPAI) y las obligaciones de los organismos notificados desde el 2 de agosto de 2025; el resto del Reglamento, incluyendo las obligaciones de los sistemas de alto riesgo, desde el 2 de agosto de 2026.
Artículo 6 — Clasificación de sistemas de alto riesgo: Un sistema de IA es de alto riesgo si (a) está destinado a usarse como componente de seguridad de un producto regulado por legislación de armonización de la UE (maquinaria, dispositivos médicos, vehículos autónomos, etc.) o (b) está incluido en los Anexos III del Reglamento. El Anexo III enumera ocho áreas de alto riesgo: infraestructuras críticas, educación, empleo (art. 6.2.b: selección de personal y evaluación del desempeño), servicios públicos esenciales (scoring crediticio, evaluación de riesgos en seguros), aplicación de la ley, gestión de la migración y administración de justicia.
Artículo 10 — Datos de entrenamiento y gobernanza: Los proveedores de sistemas de alto riesgo deben aplicar prácticas de gobernanza de datos documentadas para los conjuntos de datos de entrenamiento, validación y prueba. Los datos deben ser pertinentes, suficientemente representativos y, en la medida de lo posible, libres de errores y sesgos. El art. 10.5 autoriza el procesamiento de categorías especiales de datos personales con fines de detección y corrección de sesgos, bajo condiciones estrictas.
Artículo 13 — Transparencia y provisión de información: Los sistemas de alto riesgo deben diseñarse con un nivel de transparencia suficiente para que los operadores (usuarios empresariales) puedan interpretar su salida y usarlos correctamente. El art. 13.2 exige que cada sistema vaya acompañado de instrucciones de uso que incluyan: identidad del proveedor, capacidades y limitaciones del sistema, medidas de supervisión humana y requisitos de entrada de datos.
Artículo 26 — Obligaciones de los operadores (usuarios empresariales): Los operadores de sistemas de IA de alto riesgo deben adoptar medidas técnicas y organizativas apropiadas para usar los sistemas conforme a las instrucciones del proveedor (art. 26.1); asignar la supervisión humana a personas con competencia, autoridad y recursos adecuados (art. 26.2); y monitorizar el funcionamiento del sistema sobre la base de las instrucciones de uso (art. 26.5). Deben también informar al proveedor cuando detecten riesgos graves (art. 26.4).
Artículo 99 — Régimen sancionador: Las infracciones relativas a prácticas de IA prohibidas (art. 5) se sancionan con multas de hasta 35 M EUR o el 7 % del volumen de negocio mundial. Los incumplimientos de obligaciones de proveedores y operadores de sistemas de alto riesgo se sancionan con hasta 15 M EUR o el 3 %. La información incorrecta a organismos notificados y autoridades, con hasta 7,5 M EUR o el 1,5 %.
Ejemplo práctico: auditoría de conformidad AI Act en empresa de recursos humanos
Empresa: HR Analytics Solutions, S.L. — empresa que comercializa software de RRHH con módulo de scoring de candidatos basado en IA para automatizar el cribado de CVs y la puntuación de candidatos en procesos de selección.
Clasificación del sistema según AI Act:
| Sistema | Clasificación | Base legal |
|---|---|---|
| Módulo de scoring de candidatos | Alto riesgo | Anexo III, punto 4.a): “sistemas de IA utilizados en el contexto del empleo, la gestión de los trabajadores y el acceso al empleo por cuenta propia, especialmente para la contratación o la selección de personas físicas” |
| Chatbot de RRHH (preguntas frecuentes) | Riesgo mínimo | Art. 50 (obligación de transparencia: informar que es IA) |
Obligaciones como proveedor de sistema de alto riesgo (antes del 2 agosto 2026):
| Obligación | Artículo AI Act | Estado actual |
|---|---|---|
| Sistema de gestión de calidad (SGC) documentado | Art. 17 | Pendiente |
| Documentación técnica (Anexo IV) | Art. 11 | Parcial |
| Registro en base de datos UE (EUDAMED) | Art. 49 | Pendiente |
| Evaluación de conformidad | Art. 43 | Pendiente |
| Marcado CE (cuando aplique) | Art. 48 | No aplica (SaaS) |
| Declaración de conformidad UE | Art. 47 | Pendiente |
Coste estimado de la adecuación: 28.000-42.000 EUR (SGC + documentación técnica + evaluación de conformidad por organismo notificado si aplica + registro EUDAMED).
Riesgo de no conformidad: multa de hasta 15 M EUR o el 3 % del volumen de negocio mundial (art. 99.3); para una empresa con 2 M EUR de facturación, el riesgo es de hasta 60.000 EUR de multa más inhabilitación para comercializar el producto en la UE.
Errores comunes en la implementación del AI Act
Error 1 — Asumir que solo afecta a empresas tecnológicas desarrolladoras de IA: El AI Act aplica tanto a proveedores (desarrolladores) como a operadores (empresas que usan sistemas de IA de alto riesgo en sus procesos). Una empresa de distribución que usa un sistema de scoring crediticio para evaluar a sus clientes es operadora de un sistema de alto riesgo y tiene obligaciones propias (art. 26 AI Act), aunque no haya desarrollado el software.
Error 2 — No realizar el inventario de sistemas de IA en uso: Muchas empresas usan sistemas de IA sin saberlo: el scoring automatizado de una hoja de cálculo avanzada, el chatbot del CRM, el sistema de recomendación del ERP o el módulo de análisis predictivo del sistema de gestión pueden ser sistemas de IA en el sentido del art. 3.1 AI Act. El primer paso es el inventario completo.
Error 3 — Confundir el AI Act con el RGPD: El AI Act y el RGPD son complementarios pero distintos. El RGPD regula el tratamiento de datos personales; el AI Act regula el desarrollo y uso de sistemas de IA con independencia de si procesan datos personales. Un sistema de IA que no procesa datos personales puede ser de alto riesgo bajo el AI Act. Un sistema de IA que procesa datos personales debe cumplir ambas normativas simultáneamente.
Error 4 — Ignorar las obligaciones de transparencia para sistemas de IA interactivos (art. 50): Los sistemas de IA que interactúan con personas físicas (chatbots, asistentes virtuales, sistemas de generación de imágenes o texto) deben informar al usuario de que está interactuando con una IA, a menos que sea evidente por el contexto. El incumplimiento de esta obligación de transparencia es sancionable con hasta 7,5 M EUR o el 1,5 % del volumen de negocio (art. 99.4 AI Act).
Error 5 — No establecer la supervisión humana requerida para sistemas de alto riesgo: El art. 14 AI Act exige que los sistemas de alto riesgo estén diseñados con medidas de supervisión humana efectiva. El art. 26.2 obliga a los operadores a asignar personas con competencia y autoridad para revisar y, si es necesario, anular las decisiones del sistema. Delegar completamente las decisiones al sistema de IA sin mecanismo de revisión humana es incumplimiento directo del Reglamento.
Próximos pasos para el cumplimiento del AI Act en empresas españolas
- Inventario de sistemas de IA en 30 días: mapear todos los sistemas de IA desarrollados internamente o contratados a terceros que se usan en procesos de negocio; incluir módulos de IA integrados en ERP, CRM, HR, logística y atención al cliente.
- Clasificar por nivel de riesgo: para cada sistema identificado, determinar si es (a) prohibido, (b) alto riesgo, (c) riesgo limitado (solo obligaciones de transparencia) o (d) riesgo mínimo; la clasificación determina las obligaciones.
- Asignar el rol: determinar si la empresa actúa como proveedor (desarrolla el sistema), importador, distribuidor u operador (usa el sistema); cada rol tiene obligaciones distintas.
- Priorizar los sistemas de alto riesgo: elaborar un plan de adecuación para los sistemas de alto riesgo con fecha límite anterior al 2 de agosto de 2026; los sistemas ya en mercado en esa fecha tienen un período transitorio adicional de 12 meses.
- Actualizar contratos con proveedores de IA: exigir a los proveedores de software con IA que proporcionen la documentación técnica, las instrucciones de uso y la información sobre el nivel de riesgo de los sistemas que suministran, incorporando cláusulas contractuales de conformidad AI Act.
En BMC asesoramos a empresas en la evaluación de sus obligaciones bajo el AI Act, el diseño de sistemas de gestión de calidad para IA de alto riesgo y la preparación de la documentación técnica exigida. Consulte nuestros servicios de cumplimiento del Reglamento IA.
