El Reglamento Europeo de Inteligencia Artificial, conocido como EU AI Act, es la primera normativa integral sobre IA a escala global. Vigente desde 2024, su aplicación se despliega de manera escalonada en varias fases. Para las empresas que desarrollan o utilizan sistemas de IA, conocer la norma antes de que los plazos lleguen marca la diferencia entre una adaptación planificada y una reactiva. Para muchas empresas que usan o desarrollan IA, esto tiene implicaciones concretas que conviene entender bien antes de que los plazos lleguen.
Este artículo no es asesoramiento legal. Es una guía práctica para entender qué categorías de IA regula la norma, qué obliga concretamente y cuál es el calendario real de aplicación.
La lógica del reglamento: riesgo proporcional a la regulación
El EU AI Act no prohíbe la IA ni impone las mismas obligaciones a todos los sistemas. Clasifica los sistemas de IA por nivel de riesgo y aplica regulación proporcional: a más riesgo potencial para las personas, más obligaciones.
IA prohibida: Sistemas que el reglamento prohíbe completamente porque su riesgo es inaceptable. Incluye la categorización biométrica para inferir características sensibles (origen étnico, opiniones políticas, orientación sexual), los sistemas de puntuación social ciudadana por parte de autoridades públicas y ciertos usos de reconocimiento facial en tiempo real en espacios públicos. Estos sistemas no se pueden usar bajo ninguna circunstancia.
IA de alto riesgo: Sistemas que requieren evaluaciones de conformidad, documentación técnica, supervisión humana obligatoria y registro en bases de datos europeas. Los sectores y usos incluidos son: infraestructuras críticas, educación y formación profesional, empleo (selección de personal, evaluación de rendimiento), servicios esenciales (crédito, seguros, prestaciones sociales), aplicación de la ley, gestión de fronteras y migraciones, administración de justicia y sistemas de IA en productos regulados (médicos, de seguridad industrial).
IA de riesgo limitado: Sistemas con obligaciones de transparencia: el usuario debe saber que está interactuando con una IA. Los chatbots, sistemas de generación de imágenes y contenido deepfake entran en esta categoría.
IA de riesgo mínimo: La gran mayoría de aplicaciones de IA empresarial — filtros de spam, sistemas de recomendación, herramientas de productividad. Sin obligaciones adicionales más allá de las legislaciones existentes.
¿A quién se aplica?
Se aplica a cualquier empresa que coloque en el mercado europeo o use en la Unión Europea sistemas de IA, independientemente de dónde esté ubicada la empresa. Esto tiene consecuencias relevantes: si una empresa española usa un sistema de IA americano que entra en las categorías de alto riesgo, la empresa española (como usuario del sistema) tiene obligaciones de cumplimiento.
El calendario de aplicación
El reglamento se aplica por fases: primero las prohibiciones de IA inaceptable, después los modelos de IA de uso general como GPT o Claude, luego los sistemas de alto riesgo — la parte más compleja del reglamento — y por último los sistemas de IA en productos regulados como maquinaria o dispositivos médicos. El texto oficial del reglamento y la web de la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) son las fuentes de referencia para los plazos exactos vigentes.
Lo que afecta a la mayoría de empresas: el riesgo limitado
Para las empresas que usan chatbots, asistentes virtuales o herramientas de IA generativa en contacto con clientes, la principal obligación es la transparencia: el usuario debe saber que está interactuando con un sistema de IA, no con una persona.
Esta obligación parece obvia, pero tiene implicaciones de diseño: las interfaces de chatbot deben identificarse claramente como IA, los emails generados automáticamente no deben presentarse como redactados por una persona y los sistemas de voice AI en llamadas de servicio al cliente deben identificarse al inicio de la conversación.
Lo que afecta a empresas con IA de alto riesgo
Si una empresa usa sistemas de IA para decisiones de selección de personal, evaluación de rendimiento, scoring crediticio o gestión de acceso a servicios públicos, entra en la categoría de alto riesgo con obligaciones significativas:
- Documentación técnica: Describir el sistema, sus capacidades, limitaciones y rendimiento con suficiente detalle para que se pueda evaluar su conformidad.
- Gestión de riesgos: Proceso sistemático de identificación y mitigación de riesgos a lo largo del ciclo de vida del sistema.
- Gobernanza de datos: Los datos de entrenamiento deben ser relevantes, representativos y estar libres de sesgos inapropiados.
- Supervisión humana: Los sistemas de alto riesgo deben diseñarse para permitir supervisión, intervención y corrección humana efectiva.
- Registro: Registro en la base de datos europea de sistemas de IA de alto riesgo.
Lo que aún no está claro
El EU AI Act deja margen interpretativo en áreas importantes. La clasificación de sistemas de IA en fronteras de riesgo — si un sistema concreto es de alto riesgo o riesgo limitado — no siempre es obvia. Las autoridades nacionales de supervisión (en España, la AESIA) irán publicando guías interpretativas. El ecosistema de organismos de evaluación de conformidad está todavía en construcción.
Lo que sí está claro es que los sistemas construidos con documentación técnica desde el principio, con procesos de gestión de riesgos y con supervisión humana integrada, tendrán mucho más fácil demostrar conformidad cuando lleguen las obligaciones de alto riesgo.
Preguntas frecuentes
¿Las pymes tienen alguna exención? El reglamento prevé algunas disposiciones específicas para pymes y startups, especialmente en el acceso a entornos de prueba regulatorios (sandboxes de IA). Pero no hay exenciones generales: si un sistema es de alto riesgo, las obligaciones se aplican independientemente del tamaño de la empresa.
¿Qué pasa si incumplo? Las sanciones máximas son sustanciales — proporcionales al volumen de negocio global de la empresa, con los niveles más altos para el uso de IA prohibida. Estas son las multas máximas, no los casos típicos — pero indican la seriedad con la que el regulador europeo toma la materia.
¿Por dónde empezar si quiero evaluar mi cumplimiento? El primer paso es inventariar los sistemas de IA que usa o planea usar la empresa y clasificarlos por categoría de riesgo. A partir de esa clasificación se derivan las obligaciones concretas. Las guías publicadas por la Comisión Europea y la AESIA son el punto de partida para ese ejercicio.