Mascota Jacar — leyendo contigo Un portátil cuyos ojos siguen el cursor mientras lees.
Inteligencia Artificial

Ley de IA europea: aplicación desde agosto de 2025

13 min de lectura 65 lecturas
Ley de IA europea: aplicación desde agosto de 2025
Índice de contenidos
  1. Puntos clave
  2. Qué entra en vigor el 2 de agosto
  3. Qué supone ser un modelo de propósito general
  4. Autoridades nacionales y la oficina europea
  5. Sanciones que de verdad escuecen
  6. El punto de fricción: transparencia para IA generativa
  7. Qué hacer en agosto si operas en Europa
  8. Cómo pensar la decisión

Actualizado: 2026-05-03

El 2 de agosto de 2025 ha marcado una fecha que llevábamos años viendo en los calendarios de cumplimiento. Es el día en que la Ley de IA europea, publicada en el Diario Oficial en agosto de 2024, empieza a aplicar su segundo bloque de obligaciones: el régimen de modelos de propósito general, la designación de autoridades nacionales y el marco sancionador. Este post es un resumen práctico de lo que cambia realmente para equipos que desplegamos sistemas de IA en Europa, escrito desde la silla del operador, no del abogado.

Puntos clave

  • El calendario de la Ley de IA tiene tres fechas: febrero 2025 (prácticas prohibidas), agosto 2025 (modelos de propósito general y sanciones) y agosto 2026 (sistemas de alto riesgo).
  • Los proveedores de modelos fundacionales grandes deben cumplir desde agosto 2025 con documentación técnica, política de derechos de autor y resumen de datos de entrenamiento.
  • El umbral de riesgo sistémico es 10²⁵ operaciones de coma flotante de entrenamiento — cubre hoy a los modelos frontera de los grandes laboratorios.
  • El tramo de multa más alto es hasta el 7 % de la facturación mundial anual por prácticas prohibidas; para información incorrecta a autoridades, hasta el 1 %.
  • La AESIA en España asume la supervisión nacional; la Oficina Europea de IA supervisa directamente a los proveedores de modelos de propósito general con riesgo sistémico.

Qué entra en vigor el 2 de agosto

La Ley de IA no entra toda de golpe, y esto es importante entenderlo antes de cualquier discusión. El calendario marca tres fechas clave:

  • Febrero 2025: prácticas prohibidas
  • Agosto 2025: modelos de propósito general, gobernanza y sancionador
  • Agosto 2026: sistemas de alto riesgo

Lo que se activa ahora son las obligaciones del capítulo V sobre modelos de propósito general, los artículos sobre gobernanza y las multas asociadas al incumplimiento.

En la práctica esto significa que los proveedores de modelos fundacionales grandes —OpenAI, Anthropic, Google, Mistral, Meta— tienen que cumplir a partir de esta fecha con obligaciones concretas: documentación técnica, política de derechos de autor, resumen de datos de entrenamiento, y notificación a la Comisión si el modelo cruza el umbral de riesgo sistémico. Para modelos nuevos publicados desde agosto 2025 la obligación aplica de inmediato. Para modelos ya en el mercado hay un período de adecuación hasta agosto 2027.

Qué supone ser un modelo de propósito general

La ley define modelo de propósito general como un modelo entrenado con una cantidad significativa de datos y con capacidad para realizar tareas muy diversas, susceptible de integrarse en sistemas aguas abajo. En la definición técnica hay un umbral cuantitativo: los modelos entrenados con más de 10²⁵ operaciones de coma flotante se presumen con riesgo sistémico. Esta cifra se eligió pensando en GPT-4 como referencia y cubre hoy a los modelos frontera de los grandes laboratorios.

Para la mayoría de empresas que usan estos modelos como clientes, no como proveedores, la ley no impone obligaciones nuevas en esta fecha. Lo que cambia es que se puede exigir al proveedor documentación técnica y política de derechos de autor, lo que convierte ciertos contratos estándar de API en documentos negociables.

Autoridades nacionales y la oficina europea

Cada estado miembro debe designar antes del 2 de agosto autoridades nacionales competentes para supervisar la aplicación. En España, la AESIA (en funcionamiento desde 2023) asume este rol con sede en La Coruña. La Oficina Europea de IA, dentro de la Comisión, coordina la supervisión transfronteriza y es quien directamente supervisa a los proveedores de modelos de propósito general con riesgo sistémico.

Esta estructura bicapa es deliberada: las autoridades nacionales se ocupan de usos concretos, la Oficina Europea se ocupa de los modelos base. Con las designaciones cerradas y las oficinas dotadas de personal, ya hay un canal claro al que reportar, al que consultar, y al que se puede pedir orientación interpretativa.

Sesión del Parlamento Europeo en Estrasburgo donde se debatió la Ley de IA, cuyas obligaciones de agosto 2025 afectan a proveedores de modelos y a equipos que integran IA en productos europeos

Sanciones que de verdad escuecen

La ley establece tres tramos de multa:

Infracción Hasta
Prácticas prohibidas 7 % de facturación mundial anual o 35 M€
Incumplimientos generales 3 % de facturación mundial o 15 M€
Información incorrecta a autoridades 1 % de facturación mundial o 7,5 M€

Los importes son deliberadamente comparables a los del RGPD y se calculan sobre facturación mundial, no solo europea.

El tramo que más atención está recibiendo es el primero, porque las prácticas prohibidas son las más concretas y las más fáciles de evaluar. Sistemas de puntuación social, reconocimiento de emociones en educación o trabajo, raspado masivo de imágenes faciales de internet para bases de datos — son ejemplos que la ley identifica explícitamente. Si una empresa usa alguna de estas prácticas desde febrero, está expuesta ahora a sanciones económicas reales.

El punto de fricción: transparencia para IA generativa

Una de las partes más debatidas es la exigencia de transparencia para contenido generado por IA. A partir de agosto, los sistemas que generan audio, imagen, vídeo o texto sintético deben marcar la salida como artificial por medios técnicos cuando esto sea técnicamente posible. La ley habla de marcas de agua, metadatos o similares.

La Comisión publicó orientación en junio aclarando que la obligación se considera cumplida si se aplican las mejores técnicas disponibles — no exige perfección. Esto da margen a los proveedores pero abre litigios futuros cuando se demuestre que existían técnicas mejores no adoptadas. Los equipos que embebemos IA generativa en productos tenemos que documentar qué técnica aplicamos y por qué.

Para quienes ya tienen sistemas MCP o pipelines de agentes conectados a modelos fundacionales, este punto de trazabilidad es especialmente relevante.

Qué hacer en agosto si operas en Europa

Mi lista práctica para equipos con sistemas de IA en producción tiene cuatro puntos:

  1. Clasificar cada uso de IA en la casuística de la ley: propósito general, alto riesgo, limitado, mínimo.
  2. Revisar contratos con proveedores de modelos fundacionales para asegurar acceso a la documentación técnica que la ley exige para cumplir aguas abajo.
  3. Implementar trazabilidad sobre cuándo usamos IA y con qué modelo — en caso de incidencia la ley pide poder reconstruir el flujo.
  4. Mapear la autoridad nacional que nos cubre y registrar un canal formal de contacto.

La mayoría de equipos tienen los dos primeros puntos a medias y los dos últimos sin empezar. La fecha de agosto no implica multas automáticas en esos aspectos — el sancionador empieza pero no se aplica con mano dura desde el primer día. Las autoridades han comunicado que priorizarán los casos claros y las prácticas prohibidas. Pero si en un incidente de 2026 hay que explicar que nunca se clasificó el sistema, la multa potencial aumenta.

Cómo pensar la decisión

La ley europea es la primera regulación integral de IA en el mundo occidental, y eso trae efecto Bruselas quieras o no. Empresas americanas y asiáticas que venden en Europa están adaptando su documentación para cumplir, lo que de facto extiende el marco más allá de la unión. Para quienes operamos en Europa, esto tiene ventaja competitiva: un marco claro es mejor que la incertidumbre de adaptarse a cincuenta jurisdicciones distintas en Estados Unidos.

Lo que no comparto del tono habitual del debate es la idea de que la ley frena la innovación. Las obligaciones de agosto no impiden entrenar nuevos modelos ni desplegar productos nuevos. Lo que hacen es forzar a documentar y a pensar el riesgo antes de desplegar. Los equipos serios ya lo hacían. Los equipos que no lo hacían ahora tienen un calendario y un incentivo económico para hacerlo. Me parece una mejora neta.

La parte que me preocupa es la carga burocrática sobre empresas pequeñas. La ley prevé proporcionalidad pero la mecánica concreta de esa proporcionalidad está todavía poco clara. Si una startup con diez personas tiene que dedicar a una de ellas al mapeo de cumplimiento durante un trimestre, la cuenta sale cara. El siguiente bloque de orientación de la Comisión debería aclarar este punto. Hasta entonces, la recomendación es documentar lo imprescindible y esperar a ver cómo se aplica en casos reales antes de invertir en infraestructura de cumplimiento cara.

¿Te ha resultado útil?
[Total: 15 · Media: 4.1]
Post Views: 65

Escrito por

CEO - Jacar Systems

Apasionado de la tecnología, la infraestructura cloud y la inteligencia artificial. Escribe sobre DevOps, IA, plataformas y software desde Madrid.

440 Artículos 35K Lecturas Rating

Entradas relacionadas