El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial —el AI Act— fue publicado en el Diario Oficial de la Unión Europea el 12 de agosto de 2024 (L 2024/1689). Es el primer marco regulatorio integral sobre inteligencia artificial en el mundo y el resultado de más de tres años de negociaciones legislativas desde la publicación de la propuesta de la Comisión Europea el 21 de abril de 2021.
Por qué el AI Act es un punto de inflexión regulatorio
El AI Act adopta un enfoque radicalmente diferente al de la mayoría de las regulaciones tecnológicas anteriores: en lugar de regular la tecnología en sí misma, regula el riesgo que los sistemas de IA generan en función de su uso. Este enfoque basado en el riesgo (risk-based approach) significa que el nivel de obligaciones depende no de si un sistema utiliza aprendizaje automático, visión por computador o procesamiento de lenguaje natural, sino de en qué contexto y con qué finalidad se utiliza.
La otra característica definitoria del AI Act es su aplicación extraterritorial: el Reglamento aplica tanto a proveedores establecidos en la UE como a los establecidos fuera de ella cuando sus sistemas de IA se ponen en servicio en la UE, cuando sus sistemas se utilizan en la UE, o cuando los resultados de sus sistemas son utilizados en la UE. En consecuencia, empresas tecnológicas estadounidenses, asiáticas o de cualquier otra procedencia que operen en el mercado europeo están sujetas al AI Act en los mismos términos que las empresas europeas.
Estructura y arquitectura del Reglamento
El AI Act consta de 113 artículos y 13 anexos, organizados en doce capítulos. Su estructura refleja la arquitectura del sistema de clasificación por riesgo:
Capítulo I: Disposiciones generales, definiciones y ámbito de aplicación.
Capítulo II (artículo 5): Prácticas de IA prohibidas. Establece la lista de usos de IA que no pueden realizarse en la UE bajo ninguna circunstancia.
Capítulos III y IV: Sistemas de alto riesgo. El Capítulo III establece las obligaciones para proveedores y operadores de sistemas de alto riesgo; el Capítulo IV regula los sistemas de alto riesgo que son componentes de productos cubiertos por normativa de armonización de la UE (dispositivos médicos, maquinaria, aeronaves, etc.).
Capítulo V: Modelos de IA de uso general (GPAI). Regula los modelos fundacionales como GPT-4, Gemini, Claude o Llama, con obligaciones diferenciadas para modelos de GPAI estándar y para los que plantean riesgos sistémicos.
Capítulo VII: Gobernanza. Establece la estructura supervisora: la Oficina de IA (AI Office) de la Comisión Europea y las autoridades nacionales de supervisión de IA.
Capítulo XII (artículo 99): Sanciones.
El papel de la Agencia Española de Supervisión de IA (AESIA)
España fue el primer Estado miembro en crear una autoridad específica de supervisión de la inteligencia artificial: la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), creada por el Real Decreto 729/2023, de 22 de agosto, con sede en A Coruña. La AESIA actúa como la autoridad nacional competente para la aplicación del AI Act en España y es el punto de contacto con la Oficina de IA de la Comisión Europea.
La AESIA tiene competencias para investigar posibles incumplimientos del AI Act, imponer sanciones administrativas, registrar sistemas de IA de alto riesgo desarrollados o comercializados en España y participar en los mecanismos de cooperación del Comité Europeo de IA.
Los modelos de IA de uso general (GPAI): obligaciones desde agosto de 2025
El Capítulo V del AI Act introduce un régimen específico para los proveedores de modelos de IA de uso general, aplicable desde el 2 de agosto de 2025. Los modelos GPAI son sistemas de IA entrenados con grandes volúmenes de datos que pueden realizar una amplia variedad de tareas (generación de texto, imágenes, código, audio, razonamiento) y que se integran en sistemas de IA de terceros.
Todos los proveedores de modelos GPAI deben: (i) elaborar y mantener documentación técnica actualizada; (ii) proporcionar a los proveedores de sistemas de IA que integren su modelo la información y documentación técnica necesaria para cumplir sus propias obligaciones; (iii) implementar una política de respeto a la legislación de derechos de autor; y (iv) publicar un resumen suficientemente detallado del contenido de entrenamiento utilizado.
Los proveedores de modelos GPAI que plantean riesgos sistémicos —definidos como los modelos entrenados con una capacidad de cómputo superior a 10^25 operaciones de punto flotante— tienen obligaciones adicionales: evaluación de modelos, evaluación y mitigación de riesgos sistémicos, notificación de incidentes graves a la Comisión, y medidas de ciberseguridad.
Hoja de ruta para el compliance en empresas españolas
Para las empresas usuarias de sistemas de IA —que son la inmensa mayoría de las empresas españolas—, el proceso de compliance del AI Act comienza con tres pasos básicos: (1) inventario de sistemas de IA en uso (tanto desarrollados internamente como adquiridos a terceros); (2) clasificación de cada sistema conforme al sistema de riesgos del AI Act; y (3) evaluación de las obligaciones aplicables según el rol de la empresa (proveedor, importador, distribuidor u operador) respecto a cada sistema.
Para las empresas que utilizan herramientas de terceros —software de recursos humanos con funcionalidades de IA, CRM con scoring automatizado, chatbots de atención al cliente, sistemas de detección de fraude—, el paso crítico es verificar que el proveedor del software cumplirá sus obligaciones como proveedor bajo el AI Act y transferirá la información necesaria al operador (empresa usuaria) para que éste pueda cumplir sus obligaciones de uso supervisado.
En BMC nuestro equipo legal está a su disposición. Conozca nuestros servicios de cumplimiento del Reglamento IA.
