Regulación de la IA en Europa (AI Act): qué deben saber las empresas

El Reglamento Europeo de Inteligencia Artificial, conocido como AI Act, es el primer marco regulatorio integral sobre inteligencia artificial en el mundo y su entrada en vigor marca un antes y un después en cómo las empresas deben gestionar el desarrollo, la implantación y el uso de sistemas de IA en la Unión Europea. No es solo una regulación para las grandes tecnológicas estadounidenses que desarrollan los modelos de frontera: afecta directamente a cualquier empresa que opere en la UE y que use sistemas de IA en decisiones que impactan a personas, y eso incluye a la inmensa mayoría de empresas medianas y grandes del mercado europeo.

El AI Act fue adoptado por el Parlamento Europeo en marzo de 2024 y publicado en el Diario Oficial de la UE en julio de 2024. Su aplicación es gradual: las primeras obligaciones entraron en vigor en febrero de 2025 para las prácticas de IA prohibidas, agosto de 2025 para los modelos de IA de propósito general, y agosto de 2026 para los sistemas de IA de alto riesgo. Las empresas que no se han preparado ya tienen un trabajo urgente por delante.

Este artículo ofrece un análisis práctico del AI Act orientado a responsables de cumplimiento, directores de TI, directores jurídicos y líderes de negocio que necesitan entender qué implica la regulación para su organización específica y qué pasos concretos deben dar para asegurar el cumplimiento. No es un análisis legal exhaustivo: es una guía de orientación práctica que debe complementarse con asesoramiento jurídico especializado.

El enfoque de clasificación por riesgo del AI Act

La estructura central del AI Act es una clasificación de los sistemas de IA en cuatro categorías según el nivel de riesgo que presentan para las personas: riesgo inaceptable (prohibidos), alto riesgo (obligaciones estrictas), riesgo limitado (obligaciones de transparencia), y riesgo mínimo (sin obligaciones específicas). La categoría asignada determina el conjunto de obligaciones que aplican al proveedor y/o al operador del sistema.

La primera pregunta que debe hacerse cualquier empresa es: ¿qué sistemas de IA usamos o desarrollamos, y en qué categoría de riesgo los clasifica el AI Act? Esta auditoría de inventario de sistemas de IA es el punto de partida obligatorio para cualquier análisis de brecha de cumplimiento. Sin saber qué tienes, no puedes saber qué obligaciones aplican ni qué trabajo queda por hacer.

Prácticas de IA prohibidas: qué ya no está permitido

El AI Act prohíbe completamente ciertas aplicaciones de IA que considera incompatibles con los derechos fundamentales europeos. Estas prohibiciones entraron en vigor en febrero de 2025, por lo que no son una preocupación futura sino una obligación inmediata para cualquier empresa que use estos sistemas.

• Sistemas de puntuación social generalizada por parte de gobiernos o actores privados que evalúen el comportamiento de personas en diferentes contextos sociales.
• Sistemas de identificación biométrica remota en tiempo real en espacios públicos, con excepciones muy limitadas para fuerzas de seguridad en circunstancias específicas.
• Sistemas de IA que manipulen subliminalmente a las personas de formas que puedan causarles daño, o que exploten vulnerabilidades de grupos específicos.
• Sistemas de categorización biométrica que infieran características sensibles como orientación sexual, opiniones políticas o creencias religiosas.
• Sistemas de reconocimiento de emociones en el lugar de trabajo o en instituciones educativas, salvo excepciones relacionadas con la seguridad.
• Sistemas de IA usados por fuerzas del orden para predecir la probabilidad de que una persona cometa un delito basándose únicamente en perfiles.

Para la mayoría de empresas del sector privado que no operan en seguridad, vigilancia o sistemas de puntuación social, estas prohibiciones no generan un impacto directo. Sin embargo, es importante revisar si algún sistema de análisis de comportamiento de empleados, de scoring de clientes o de análisis de comunicaciones internas podría caer en estas categorías, ya que la definición incluye casos de uso que no siempre son obvios.

Sistemas de IA de alto riesgo: las obligaciones más exigentes

La categoría de mayor impacto para las empresas es la de los sistemas de alto riesgo. El AI Act enumera dos subcategorías principales: los sistemas de IA usados como componentes de seguridad en productos regulados (maquinaria, dispositivos médicos, vehículos, aviación) y los sistemas de IA en los ámbitos listados en el Anexo III, que son los más relevantes para el sector servicios.

Ámbitos de alto riesgo del Anexo III

Los sistemas de IA de alto riesgo del Anexo III incluyen: infraestructuras críticas, educación y formación profesional, empleo y gestión de los trabajadores, acceso a servicios privados esenciales y servicios públicos, aplicación de la ley, gestión de la migración y el asilo, y administración de justicia. Para las empresas del sector privado, los ámbitos más relevantes son el de empleo (sistemas de selección y evaluación de personal) y el de acceso a servicios privados esenciales (scoring crediticio, seguros, evaluación de solvencia).

Un sistema de IA usado para filtrar currículos en procesos de selección, para evaluar el rendimiento de empleados de forma automatizada, para tomar decisiones sobre préstamos o seguros, o para determinar la solvencia de un cliente es un sistema de alto riesgo bajo el AI Act y debe cumplir con el conjunto completo de obligaciones que describe el reglamento. Muchas empresas que usan herramientas de RRHH con IA, plataformas de scoring crediticio o sistemas de suscripción automatizada en seguros están directamente afectadas.

Obligaciones para sistemas de alto riesgo

Las obligaciones para sistemas de alto riesgo son sustanciales y requieren inversión significativa en procesos, documentación y gobernanza. El reglamento establece requisitos en seis grandes áreas para los proveedores (quienes desarrollan o ponen en el mercado el sistema) y algunos también para los operadores (quienes usan el sistema en su contexto de negocio).

• Sistema de gestión de riesgos: proceso continuo de identificación, evaluación, mitigación y monitoreo de riesgos del sistema de IA a lo largo de su ciclo de vida.
• Gestión de datos y gobierno de datos: procedimientos de gestión de los datos de entrenamiento, validación y prueba, con requisitos de calidad, relevancia y libertad de sesgos.
• Documentación técnica: documentación completa del sistema que permita a las autoridades de supervisión evaluar el cumplimiento.
• Registro de eventos (logging): los sistemas de alto riesgo deben mantener logs de los eventos relevantes durante el ciclo de vida del sistema.
• Transparencia e información a los operadores: el proveedor debe proporcionar instrucciones de uso claras que permitan al operador implantar el sistema correctamente.
• Supervisión humana: el sistema debe diseñarse de forma que permita la supervisión humana efectiva, incluyendo la capacidad de detener o anular el sistema.
• Exactitud, robustez y ciberseguridad: el sistema debe alcanzar los niveles apropiados de exactitud para su propósito y ser resistente a errores y manipulaciones.

Modelos de IA de propósito general (GPAI): una categoría nueva

El AI Act introduce una categoría específica para los modelos de IA de propósito general (GPAI), que son modelos como los LLMs que pueden usarse para múltiples tareas y propósitos. Esta categoría es especialmente relevante para empresas que desarrollan o distribuyen modelos de lenguaje, modelos de imagen u otros modelos de fundación, y para empresas que acceden a estos modelos vía API y los integran en sus productos.

Los proveedores de modelos GPAI (OpenAI, Anthropic, Google, Meta, Mistral AI, etc.) tienen obligaciones específicas de documentación técnica, cooperación con las autoridades, respeto de la legislación de derechos de autor y transparencia sobre los datos de entrenamiento. Para los modelos GPAI con riesgo sistémico (aquellos con capacidades de entrenamiento superiores a diez elevado a la veintitrés y seis FLOPs), aplican obligaciones adicionales incluyendo evaluaciones adversariales y notificación de incidentes graves. Estas obligaciones recaen sobre el desarrollador del modelo, no sobre la empresa que lo usa vía API.

El AI Act no distingue entre grandes tecnológicas y pymes: si tu empresa usa un sistema de IA de alto riesgo, sea desarrollado internamente o adquirido a un tercero, tienes obligaciones concretas como operador que deben cumplirse antes de agosto de 2026.

Obligaciones de transparencia para riesgo limitado

Los sistemas de IA de riesgo limitado tienen obligaciones más simples centradas en la transparencia con los usuarios. La más importante es la obligación de informar a las personas cuando están interactuando con un sistema de IA, aplicable a chatbots y asistentes virtuales. Esta obligación es sencilla de cumplir técnicamente (un mensaje de bienvenida que indique que el usuario habla con un asistente de IA) pero sorprendentemente muchas empresas no la cumplen actualmente.

Los sistemas de generación de contenido sintético (imágenes, audio, vídeo, texto generados por IA) también tienen obligaciones de marcado o divulgación que identifican el contenido como generado por IA. Esto es especialmente relevante para empresas de comunicación, medios y marketing que usan herramientas de IA generativa para producir contenido publicado.

El rol del operador: lo que las empresas que usan IA de terceros deben hacer

Una de las confusiones más frecuentes sobre el AI Act es asumir que las obligaciones recaen únicamente sobre quienes desarrollan los sistemas de IA. Las empresas que usan sistemas de IA de alto riesgo de terceros en su actividad de negocio son 'operadores' bajo el reglamento y tienen sus propias obligaciones específicas.

Las obligaciones del operador incluyen: usar el sistema de IA de acuerdo con las instrucciones de uso del proveedor, asignar supervisión humana a personas con la competencia necesaria, monitorear el funcionamiento del sistema e informar al proveedor de incidentes graves, registrar la actividad (cuando aplica) y realizar una evaluación de impacto en derechos fundamentales antes del despliegue en ciertos ámbitos. Para empresas que usan plataformas de RRHH con IA o sistemas de scoring financiero, este análisis es urgente.

Implicaciones para sectores específicos

Recursos Humanos y gestión del talento

Los departamentos de RRHH son posiblemente los más afectados del sector privado por el AI Act. Los sistemas de cribado automático de candidatos (ATS con IA), los sistemas de evaluación de rendimiento basados en datos, los sistemas de análisis de riesgo de abandono de empleados y cualquier herramienta que tome o asista en decisiones de contratación, promoción o despido son sistemas de alto riesgo. Esto implica que las empresas que usan estas herramientas deben asegurarse de que el proveedor cumple con las obligaciones de documentación y que como operadores cumplen con las suyas, incluyendo la supervisión humana efectiva de las decisiones.

Servicios financieros

Los sistemas de scoring crediticio, evaluación de solvencia, detección de fraude con efectos sobre el acceso a servicios, y sistemas de suscripción automatizada en seguros son de alto riesgo. Las entidades financieras y aseguradoras que ya operan en un entorno regulatorio estricto (BCE, CNMV, DGSFP) están probablemente mejor posicionadas para el cumplimiento del AI Act que otros sectores, pero deben revisar específicamente sus sistemas de IA contra los requisitos del reglamento ya que las obligaciones son adicionales a las regulaciones sectoriales existentes.

Sanidad

Los sistemas de IA usados como dispositivos médicos o componentes de seguridad de dispositivos médicos están regulados por el Reglamento de Dispositivos Médicos (MDR) y el AI Act de forma complementaria. Los sistemas de apoyo a la decisión clínica, diagnóstico asistido por IA y sistemas de monitorización de pacientes tienen un régimen específico que combina los requisitos de ambas regulaciones. Las organizaciones sanitarias deben analizar cada sistema de IA en su cartera contra los dos marcos regulatorios.

Autoridad Nacional de IA y supervisión en España

El AI Act requiere que cada Estado miembro designe una autoridad nacional de supervisión responsable de aplicar el reglamento en su territorio. En España, esta función ha sido asignada a la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), creada en 2024 y con sede en La Coruña. La AESIA es responsable de supervisar el cumplimiento, recibir notificaciones de incidentes graves de sistemas de alto riesgo y coordinar con las autoridades europeas en el marco del Comité Europeo de IA.

Las sanciones por incumplimiento del AI Act son significativas: hasta treinta millones de euros o el seis por ciento del volumen de negocio global para el incumplimiento de las prohibiciones; hasta veinte millones o el cuatro por ciento del volumen de negocio para el incumplimiento de obligaciones de sistemas de alto riesgo; y hasta diez millones o el dos por ciento para incumplimientos de otras obligaciones. Este régimen sancionador es comparable en magnitud al del RGPD y debe tomarse en serio.

Plazos y hoja de ruta de cumplimiento

El calendario de aplicación del AI Act es gradual y es importante conocer los plazos específicos para priorizar el trabajo de cumplimiento. Las fechas clave son las siguientes.

• Febrero de 2025: aplicación de las prohibiciones de prácticas de IA inaceptables. Cualquier sistema en estas categorías debe haber sido retirado.
• Agosto de 2025: aplicación de las obligaciones para modelos GPAI. Afecta principalmente a los proveedores de modelos de fundación.
• Agosto de 2026: aplicación de las obligaciones para sistemas de IA de alto riesgo del Anexo III. Plazo crítico para empresas de RRHH, finanzas y servicios.
• Agosto de 2027: aplicación de las obligaciones para sistemas de IA de alto riesgo del Anexo I (componentes de seguridad de productos regulados existentes).
• 2030: aplicación de algunas obligaciones para sistemas existentes en infraestructuras de especial importancia.

Pasos prácticos para empezar el análisis de cumplimiento

Dado el calado del AI Act, muchas organizaciones se sienten abrumadas por dónde empezar. La recomendación práctica es seguir un proceso estructurado que permita identificar las obligaciones más urgentes y construir un plan de acción priorizado.

1. Inventario de sistemas de IA: documentar todos los sistemas de IA que la organización usa o desarrolla, incluyendo herramientas de terceros con componentes de IA.
2. Clasificación de riesgo: para cada sistema del inventario, determinar en qué categoría de riesgo lo clasifica el AI Act (prohibido, alto riesgo, riesgo limitado, riesgo mínimo).
3. Análisis de brecha para sistemas de alto riesgo: para los sistemas clasificados como alto riesgo, evaluar el gap entre el estado actual y los requisitos del reglamento.
4. Revisión de contratos con proveedores de IA: verificar que los contratos con proveedores de sistemas de IA incluyen las garantías necesarias (documentación técnica, información sobre datos de entrenamiento, etc.).
5. Diseño del sistema de gobernanza de IA: establecer los roles, procesos y controles internos necesarios para mantener el cumplimiento de forma continua.
6. Formación del personal involucrado: formar a los equipos que diseñan, implantan o usan sistemas de alto riesgo sobre sus obligaciones específicas.
7. Plan de acción priorizado: documentar las acciones necesarias, los responsables, los plazos y los recursos necesarios para cerrar los gaps identificados.

La IA Act como oportunidad, no solo como carga

Aunque el AI Act representa una carga de cumplimiento real para las empresas, especialmente las que operan sistemas de alto riesgo, también representa una oportunidad para las organizaciones que se preparen bien. Las empresas europeas que puedan demostrar el cumplimiento del AI Act podrán usar esa conformidad como diferenciador competitivo frente a competidores de fuera de la UE, especialmente en sectores donde la confianza y la transparencia son valores percibidos por los clientes.

Además, los procesos internos de gestión de riesgos, documentación y supervisión humana que el AI Act exige para los sistemas de alto riesgo son, en muchos casos, buenas prácticas que generan valor independientemente de la regulación: sistemas de IA mejor documentados son más fáciles de mantener y mejorar, sistemas con supervisión humana efectiva tienen menor probabilidad de causar errores graves de negocio, y organizaciones con gobernanza de IA madura están mejor preparadas para adoptar nuevas capacidades de IA de forma responsable y sostenible.

Conclusión: el cumplimiento del AI Act es un proyecto urgente

El AI Act no es una regulación futura que puede aplazarse: sus primeras obligaciones ya están en vigor y las más críticas para el sector privado entran en vigor en agosto de 2026. Para muchas organizaciones, ese plazo es más corto de lo que parece una vez se consideran los plazos típicos de los proyectos de cumplimiento normativo: análisis de brecha, diseño de controles, implementación técnica, formación y validación suelen requerir entre doce y veinticuatro meses.

El primer paso es empezar ya con el inventario de sistemas de IA y la clasificación de riesgos. Con esa información sobre la mesa, la organización puede tomar decisiones informadas sobre priorización y recursos. Ignorar el AI Act con la esperanza de que las sanciones no lleguen a materializarse es un riesgo inaceptable: la experiencia con el RGPD muestra que las autoridades europeas están dispuestas a usar sus poderes sancionadores, y el régimen del AI Act es aún más estricto en muchos aspectos.