Mascota Jacar — leyendo contigo Un portátil cuyos ojos siguen el cursor mientras lees.
Inteligencia Artificial

Ley de IA de la Unión Europea: lo que cambia para tu empresa

10 min de lectura 58 lecturas
Ley de IA de la Unión Europea: lo que cambia para tu empresa
Índice de contenidos
  1. Puntos clave
  2. Enfoque basado en riesgo
  3. Sistemas prohibidos (desde febrero 2025)
  4. Alto riesgo (agosto 2026+)
  5. Riesgo limitado
  6. Riesgo mínimo
  7. IA de Propósito General (GPAI)
  8. Nivel base (todos los GPAI)
  9. Nivel “riesgo sistémico”
  10. Plazos clave
  11. ¿Aplica a tu empresa?
  12. Sanciones
  13. Plan de acción
  14. Inmediato
  15. Antes de febrero 2025
  16. Antes de agosto 2025
  17. Antes de agosto 2026
  18. Interacción con GDPR
  19. Exención para software de código abierto
  20. Sandbox regulatorio
  21. Impacto en startups
  22. Coordinación internacional
  23. Conclusión

Actualizado: 2026-05-03

La Ley de IA de la UE (EU AI Act, Reglamento 2024/1689) entró en vigor el 1 de agosto de 2024. Es el primer marco regulatorio comprehensivo para IA a nivel global. Su implementación es gradual: las prohibiciones entran en vigor en febrero de 2025, las obligaciones para IA de propósito general en agosto de 2025 y los sistemas de alto riesgo en agosto de 2026. Este artículo cubre lo que importa para empresas que operan en la UE.

Puntos clave

  • El alcance territorial es tan amplio como el del GDPR: aplica aunque la empresa esté fuera de la UE si despliega sistemas en ella o vende a clientes europeos.
  • Las sanciones por sistemas prohibidos llegan al 7 % del volumen de negocio global — superiores a las del GDPR.
  • Los sistemas de alto riesgo incluyen empleo, educación, servicios públicos esenciales, biometría e infraestructura crítica.
  • Los modelos GPAI con más de 10^25 FLOPs de cómputo de entrenamiento (GPT-4, Claude 3, Gemini) tienen obligaciones adicionales de evaluación y gestión de riesgos.
  • Construir compliance desde el diseño es mucho más barato que el retrofit posterior — el mismo principio que aplica a GDPR.

Enfoque basado en riesgo

El AI Act clasifica los sistemas en cuatro niveles de riesgo:

Sistemas prohibidos (desde febrero 2025)

  • Puntuación social al estilo chino.
  • Manipulación conductual explotando vulnerabilidades psicológicas.
  • Identificación biométrica en tiempo real en espacios públicos (con excepciones para fuerzas de seguridad).
  • Reconocimiento de emociones en entornos laborales o educativos.

Alto riesgo (agosto 2026+)

Sistemas usados en:

  • Infraestructura crítica.
  • Educación (admisiones, evaluación).
  • Empleo (contratación, monitorización).
  • Servicios públicos esenciales.
  • Fuerzas del orden, inmigración.
  • Administración de justicia.
  • Identificación biométrica.

Obligaciones: gestión de riesgos, calidad de datos, registro y trazabilidad, transparencia, supervisión humana, precisión, robustez y ciberseguridad.

Riesgo limitado

  • Chatbots: deben revelar que son IA.
  • Deepfakes: etiquetado obligatorio.
  • Contenido generado por IA: disclosure.

Riesgo mínimo

Videojuegos, filtros de spam, recomendadores sin impacto significativo. Sin obligaciones mayores.

IA de Propósito General (GPAI)

Modelos como GPT-4, Claude, Llama y Mistral Large quedan sujetos a dos niveles de obligaciones:

Nivel base (todos los GPAI)

  • Documentación técnica.
  • Información para deployers downstream.
  • Respeto a derechos de autor.
  • Resumen público de datos de entrenamiento.

Nivel “riesgo sistémico”

Modelos con cómputo de entrenamiento superior a 10^25 FLOPs:

  • Evaluación del modelo antes del lanzamiento.
  • Evaluación de riesgos documentada.
  • Red-teaming (adversarial testing).
  • Protecciones de ciberseguridad.
  • Reporte de incidentes graves a la autoridad competente.

Plazos clave

Fecha Hito
1 ago 2024 Entrada en vigor
Feb 2025 Sistemas prohibidos efectivos
Ago 2025 Obligaciones GPAI
Ago 2026 Sistemas de alto riesgo
Ago 2027 Finalización de algunas excepciones

¿Aplica a tu empresa?

El AI Act aplica si:

  • Desarrollas un sistema de IA en la UE.
  • Despliegas un sistema de IA en la UE, aunque la empresa esté fuera.
  • Vendes a clientes UE (alcance territorial similar al GDPR).
  • Tienes empleados UE usando sistemas IA — hay obligaciones downstream.

Sanciones

  • Sistemas prohibidos: hasta 35 M€ o 7 % del volumen de negocio global.
  • Alto riesgo en incumplimiento: hasta 15 M€ o 3 %.
  • Información incorrecta a la autoridad: hasta 7,5 M€ o 1 %.

Significativamente más altas que las del GDPR.

Plan de acción

Inmediato

  • Inventario de sistemas IA en uso o desarrollo.
  • Clasificación del nivel de riesgo por sistema.
  • Gap analysis frente a los requisitos aplicables.

Antes de febrero 2025

  • Eliminar o rediseñar cualquier sistema que caiga en la categoría de prohibido.

Antes de agosto 2025

  • Documentación GPAI completa si aplica.
  • Formación del personal que opera sistemas IA.

Antes de agosto 2026

  • Compliance de sistemas de alto riesgo con conformidad certificada donde sea exigible.

Interacción con GDPR

El AI Act complementa pero no reemplaza el GDPR. Cuando un sistema IA procesa datos personales aplican ambos marcos simultáneamente:

  • El tratamiento de datos personales por IA sigue el GDPR.
  • Es obligatoria una DPIA para IA de alto riesgo que procese datos personales.
  • El derecho a explicación en decisiones automatizadas (Art. 22 GDPR) sigue vigente.
  • La minimización de datos aplica al entrenamiento y la inferencia.

Para estrategias de deployment que consideran la soberanía de datos, ver open LLMs: elección para la empresa — los modelos open-weight con inferencia on-premise simplifican el cumplimiento de ambos marcos.

Exención para software de código abierto

Los modelos open-weight tienen algunas exenciones, pero con matices:

  • Obligaciones más ligeras en transparencia de datos de entrenamiento.
  • Carga reducida si son sin ánimo de lucro.
  • Excepción importante: si el modelo se ofrece como servicio, las obligaciones son equivalentes a las de un modelo cerrado.

Esto afecta directamente a proyectos como Llama o Mistral cuando se sirven vía API propia — ver Mistral Large: el contendiente europeo.

Sandbox regulatorio

Los estados miembros crean sandboxes regulatorios para testing de compliance en entorno controlado, con posibilidad de consultar a los reguladores con riesgo de ejecución reducido. Para startups, es la oportunidad de navegar la complejidad antes de escalar.

Impacto en startups

  • IA de alto riesgo: coste de compliance significativo (potencialmente en rango de millones).
  • Obligaciones GPAI: manejables con disciplina de documentación desde el primer día.
  • Riesgo limitado: impacto mínimo.

La lección para startups: integrar compliance desde el diseño es incomparablemente más barato que el retrofit. El mismo principio que aplica a seguridad y accesibilidad aplica aquí.

Coordinación internacional

El AI Act establece un estándar global de facto — efecto similar al GDPR:

  • El UK AI Safety Institute mantiene cooperación con la UE.
  • La Executive Order de EE.UU. tiene algunos puntos de alineación.
  • La Bletchley Declaration establece un track de coordinación internacional.

Las empresas que operen en múltiples jurisdicciones harán bien en adoptar el AI Act como baseline de compliance global.

Conclusión

El AI Act es una realidad regulatoria que las empresas con operaciones en la UE no pueden ignorar. Los plazos graduales permiten una preparación sensata, pero iniciar ahora es prudente: el inventario de sistemas IA, la clasificación de riesgo y el gap analysis toman tiempo. Para startups, construir compliant por diseño es más barato que el retrofit. Para empresas establecidas, el plan de acción estructurado reduce el riesgo de ejecución. Quienes se preparen antes tienen ventaja competitiva real — el compliance no es un coste puro, es una barrera de entrada para los que se incorporen tarde.

¿Te ha resultado útil?
[Total: 0 · Media: 0]
Post Views: 58

Escrito por

CEO - Jacar Systems

Apasionado de la tecnología, la infraestructura cloud y la inteligencia artificial. Escribe sobre DevOps, IA, plataformas y software desde Madrid.

440 Artículos 35K Lecturas Rating

Entradas relacionadas