Contenido

    Esta guía cubre los siguientes temas:

    1. ¿Qué es el Reglamento IA de la UE?
    2. ¿A quién se aplica?
    3. Las cuatro categorías de riesgo
    4. Requisitos para los sistemas de IA de alto riesgo
    5. Obligaciones para los proveedores de modelos de IA de uso general (IUAG)
    6. El calendario de aplicación: qué está ya en vigor
    7. Sanciones por incumplimiento
    8. Errores habituales de las organizaciones
    9. Cómo puede ayudar PrivaLex

    El Reglamento de Inteligencia Artificial de la UE (Reglamento IA) entró en vigor el 1 de agosto de 2024, convirtiéndose en el primer marco jurídico integral del mundo en materia de inteligencia artificial. No es un requisito futuro. Varias de sus obligaciones ya están en vigor, y los plazos más significativos para la mayoría de las organizaciones, incluidas las que utilizan IA en contextos de alto riesgo, llegan en agosto de 2026. Si tu organización desarrolla, despliega, importa o utiliza sistemas de IA en la UE, este reglamento te afecta. A continuación te explicamos lo que necesitas saber.

    ¿Qué es el Reglamento IA de la UE?

    El Reglamento IA es un reglamento de la UE de aplicación directa que establece normas armonizadas para el desarrollo, la comercialización y el uso de sistemas de inteligencia artificial en toda la Unión Europea. Al igual que el RGPD, tiene efecto extraterritorial: si comercializas sistemas de IA en el mercado de la UE o tus sistemas producen resultados que se utilizan en la UE, el reglamento se aplica con independencia de dónde esté establecida tu organización.

    El Reglamento IA sigue un enfoque basado en el riesgo, clasificando los sistemas de IA en cuatro categorías en función del nivel de riesgo que plantean para la salud, la seguridad y los derechos fundamentales. Las obligaciones impuestas a cada categoría escalan con ese nivel de riesgo, desde la prohibición total hasta los requisitos de transparencia o la evaluación de conformidad completa.

    ¿A quién se aplica el Reglamento IA?

    El Reglamento IA se aplica a un amplio abanico de agentes de la cadena de valor de la IA. El término colectivo empleado en el reglamento es operadores, que incluye:

    • Proveedores: organizaciones o personas físicas que desarrollan un sistema de IA o un modelo de IA de uso general y lo comercializan o ponen en servicio con su propio nombre o marca.
    • Responsables del despliegue (deployers): organizaciones o personas físicas que utilizan un sistema de IA bajo su propia autoridad en un contexto profesional.
    • Importadores: organizaciones establecidas en la UE que comercializan en el mercado de la UE un sistema de IA que lleva el nombre o la marca de una persona física o jurídica establecida fuera de la UE.
    • Distribuidores: organizaciones de la cadena de suministro, distintas del proveedor o el importador, que ponen a disposición un sistema de IA en el mercado de la UE.
    • Fabricantes de productos: organizaciones que comercializan o ponen en servicio un sistema de IA junto con su producto bajo su propio nombre o marca.

    Si tu organización utiliza IA en finanzas, sanidad, recursos humanos, educación, infraestructuras críticas o servicios públicos, es muy probable que entre en la categoría de alto riesgo. Si desarrollas, ajustas o despliegas modelos de lenguaje de gran escala u otros sistemas de IA de uso general, las obligaciones IUAG te afectan directamente.

    Las cuatro categorías de riesgo

    Riesgo inaceptable: Prohibidos

    Estos sistemas de IA están completamente prohibidos desde el 2 de febrero de 2025. Incluyen sistemas que emplean técnicas subliminales o manipuladoras para distorsionar el comportamiento humano, sistemas de puntuación social que evalúan a las personas basándose en su comportamiento a lo largo del tiempo, herramientas de policía predictiva que elaboran perfiles de personas para evaluar su probabilidad de cometer delitos, y sistemas de identificación biométrica remota en tiempo real en espacios de acceso público (con excepciones estrictas para las fuerzas y cuerpos de seguridad).

    Alto riesgo: Estrictamente regulados

    Son sistemas que plantean riesgos significativos para la salud, la seguridad o los derechos fundamentales. Están recogidos en el Anexo III del Reglamento IA e incluyen:

    • Sistemas de puntuación crediticia y evaluación del riesgo financiero
    • Herramientas de selección de personal automatizada y cribado de currícula
    • IA utilizada en admisiones educativas o evaluación académica
    • Herramientas de diagnóstico médico y apoyo a la decisión clínica
    • Sistemas de identificación y categorización biométrica
    • IA utilizada en el acceso a servicios y prestaciones públicas
    • IA en la gestión de infraestructuras críticas (energía, agua, transporte)
    • Herramientas para las fuerzas y cuerpos de seguridad, incluida la evaluación de riesgos sobre personas

    Los sistemas de IA de alto riesgo deben cumplir obligaciones de conformidad detalladas antes de su comercialización. Estos requisitos se aplican plenamente desde el 2 de agosto de 2026 para la mayoría de los sistemas de alto riesgo de carácter autónomo.

    Riesgo limitado: Obligaciones de transparencia

    Esta categoría engloba los sistemas con obligaciones específicas de transparencia en virtud del artículo 50 del Reglamento. Los ejemplos más relevantes son los chatbots y los sistemas de IA que interactúan directamente con usuarios, y los contenidos generados por IA, incluidas imágenes, audio y vídeo (deepfakes). Los proveedores deben garantizar que los usuarios sean informados de que están interactuando con un sistema de IA o de que el contenido ha sido generado por IA. Estas obligaciones de transparencia son plenamente aplicables desde el 2 de agosto de 2026.

    Riesgo mínimo o nulo

    La gran mayoría de los sistemas de IA actualmente en uso entran en esta categoría, por ejemplo, los filtros de spam con IA, la IA en videojuegos o los motores de recomendación. No se aplican obligaciones específicas del Reglamento IA, aunque la legislación general de la UE (incluido el RGPD cuando se tratan datos personales) sigue siendo de aplicación.

    Requisitos para los sistemas de IA de alto riesgo

    Los proveedores y responsables del despliegue de sistemas de IA de alto riesgo deben cumplir un conjunto completo de requisitos antes y después de comercializar su sistema:

    • Sistema de gestión de riesgos: un proceso continuo para identificar, analizar y mitigar los riesgos asociados al sistema de IA a lo largo de todo su ciclo de vida.
    • Gobernanza de datos: los datos de entrenamiento, validación y prueba deben cumplir criterios de calidad y ser pertinentes, representativos y estar libres de errores.
    • Documentación técnica: documentación exhaustiva que acredite el cumplimiento, mantenida actualizada y puesta a disposición de las autoridades nacionales cuando se solicite.
    • Registro automático (trazabilidad): los sistemas deben generar registros que permitan la vigilancia postcomercialización y la investigación de incidentes.
    • Transparencia hacia los responsables del despliegue: los proveedores deben suministrar instrucciones de uso que permitan a los responsables del despliegue comprender y utilizar el sistema de forma adecuada.
    • Supervisión humana: los sistemas deben estar diseñados para permitir la revisión, intervención e interrupción humana durante su funcionamiento.
    • Exactitud, robustez y ciberseguridad: los sistemas deben funcionar de forma consistente, resistir la manipulación y mantener su rendimiento a lo largo del tiempo.
    • Evaluación de conformidad: la mayoría de los sistemas de alto riesgo requieren una evaluación de conformidad formal (algunos por un organismo notificado) antes de poder obtener el marcado CE y comercializarse.
    • Registro: los proveedores deben registrar los sistemas de IA de alto riesgo en la base de datos de la UE antes de su comercialización.

    Normas como ISO 42001 (sistemas de gestión de IA) pueden ofrecer un marco estructurado para cumplir muchos de estos requisitos de forma eficiente, en particular en materia de gestión de riesgos, gobernanza de datos y documentación.

    Obligaciones para los proveedores de modelos de IA de uso general (IUAG)

    El Reglamento IA introdujo un capítulo específico para los modelos de IA de uso general (IUAG), modelos de IA de gran tamaño y versatilidad, como los grandes modelos de lenguaje (LLM) y los generadores de imágenes, que pueden utilizarse para una amplia variedad de tareas. Estas obligaciones están en vigor desde el 2 de agosto de 2025.

    Todos los proveedores de modelos IUAG deben:

    • Mantener documentación técnica que acredite cómo se ha desarrollado, probado y evaluado el modelo.
    • Publicar un resumen público del contenido de entrenamiento utilizando la plantilla estándar de la Comisión Europea, detallando los tipos de datos utilizados para entrenar el modelo.
    • Cumplir la legislación de la UE en materia de derechos de autor, incluida la implantación de políticas para respetar las exclusiones voluntarias de la extracción de textos y datos.
    • Proporcionar fichas de modelo (model cards) con información para los proveedores y responsables del despliegue posteriores sobre el diseño y las limitaciones del modelo.

    Los proveedores de modelos IUAG con riesgo sistémico (aquellos con una capacidad de cómputo de entrenamiento muy elevada o un despliegue generalizado) tienen obligaciones adicionales: pruebas adversariales, notificación de incidentes graves a la Oficina Europea de IA y divulgación de la eficiencia energética. El Código de Práctica para IUAG, publicado en julio de 2025, es una herramienta de cumplimiento voluntario que ayuda a los proveedores a demostrar el cumplimiento de estos requisitos.

    Los modelos IUAG ya comercializados antes del 2 de agosto de 2025 disponen de un periodo de transición hasta el 2 de agosto de 2027 para alcanzar el cumplimiento pleno, pero los proveedores deben demostrar que están tomando activamente las medidas necesarias.

    El calendario de aplicación: qué está ya en vigor

    Conocer con exactitud qué aplica y cuándo es esencial para planificar. A continuación, el calendario confirmado:

    • 1 de agosto de 2024, El Reglamento IA entra en vigor.
    • 2 de febrero de 2025, Prohibición de prácticas de IA inaceptables. Aplicación de las obligaciones de alfabetización en IA. El incumplimiento puede acarrear sanciones.
    • 2 de agosto de 2025, Obligaciones IUAG en vigor. Normas de gobernanza y Oficina de IA plenamente operativas. Régimen sancionador en plena aplicación. Designación de autoridades nacionales competentes.
    • 2 de agosto de 2026, Aplicación general del Reglamento IA. Obligaciones para sistemas de IA de alto riesgo (Anexo III). Normas de transparencia (artículo 50). Poderes de control de la Comisión sobre proveedores de modelos IUAG.
    • 2 de agosto de 2027, Normas para los sistemas de IA de alto riesgo integrados en productos regulados (Anexo I). Los modelos IUAG comercializados antes de agosto de 2025 deben estar plenamente conformes en esta fecha.

    La implicación práctica es clara: si tu organización despliega o desarrolla sistemas de IA de alto riesgo, agosto de 2026 es tu fecha clave. Si provees modelos IUAG, ya estás sujeto a obligaciones y debes actuar ahora.

    Sanciones por incumplimiento

    El Reglamento IA establece un régimen sancionador escalonado. Desde el 2 de agosto de 2025, son aplicables las siguientes multas:

    • Hasta 35 millones de euros o el 7 % de la facturación anual mundial (la cifra que sea mayor) por infracciones relacionadas con prácticas de IA prohibidas o el incumplimiento de las obligaciones de riesgo sistémico de los modelos IUAG.
    • Hasta 15 millones de euros o el 3 % de la facturación anual mundial por otras infracciones del Reglamento, incluidas las obligaciones de los proveedores de IA de alto riesgo.
    • Hasta 7,5 millones de euros o el 1 % de la facturación anual mundial por facilitar información incorrecta, incompleta o engañosa a las autoridades.

    La aplicación a nivel nacional corresponde a las autoridades nacionales competentes designadas por cada Estado miembro. En España, la autoridad designada es la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA). A nivel europeo, la Oficina Europea de IA, plenamente operativa desde agosto de 2025, supervisa el cumplimiento de los modelos IUAG y coordina la aplicación en toda la UE.

    Errores habituales de las organizaciones

    Asumir que el Reglamento IA no aplica porque solo se usa IA, no se desarrolla

    Los responsables del despliegue, organizaciones que utilizan sistemas de IA en un contexto profesional, tienen obligaciones específicas, en particular para los sistemas de alto riesgo. Utilizar una herramienta de IA de terceros para la selección de personal, la evaluación crediticia o el seguimiento de empleados no te exime de los requisitos de cumplimiento.

    Tratar la clasificación del riesgo como algo opcional

    La categoría de riesgo en la que se encuentran tus sistemas de IA determina tus obligaciones. No realizar un ejercicio de clasificación estructurado puede llevar a operar sistemas de alto riesgo sin la documentación, los mecanismos de supervisión o las evaluaciones de conformidad requeridas.

    Esperar a agosto de 2026 para empezar a prepararse

    Las evaluaciones de conformidad, la documentación técnica, los sistemas de gestión de riesgos y los mecanismos de supervisión humana requieren tiempo para implantarse correctamente. Las organizaciones que empiecen su preparación ahora estarán en una posición significativamente mejor que las que esperen a que el plazo sea inminente.

    Pasar por alto las obligaciones IUAG si se utilizan modelos fundacionales

    Si tu organización ajusta, aloja o distribuye un modelo IUAG, incluidos los modelos de código abierto, puedes tener obligaciones de proveedor en virtud del Reglamento. Las directrices de la Comisión sobre obligaciones IUAG aclaran que solo quienes realizan modificaciones significativas en un modelo heredan las obligaciones del proveedor, pero la línea requiere un análisis cuidadoso.

    Tratar la gobernanza de IA de forma aislada del resto de marcos de cumplimiento

    La gobernanza de IA no existe de forma aislada. Los sistemas de IA de alto riesgo que tratan datos personales están sujetos simultáneamente al Reglamento IA y al RGPD. Las evaluaciones de impacto sobre protección de datos (EIPD), los registros de actividades de tratamiento y los procedimientos de respuesta ante brechas se interrelacionan con los requisitos del Reglamento IA. Integrar la gobernanza de IA con tu programa de cumplimiento de privacidad y seguridad existente es más eficiente y más sólido que gestionarlos por separado.

    Cómo puede ayudar PrivaLex

    En PrivaLex Partners ayudamos a las organizaciones a entender cómo el Reglamento IA se aplica a sus casos de uso concretos y a construir un programa de cumplimiento práctico, proporcionado y preparado para la aplicación normativa.

    Nuestro soporte incluye:

    • Inventario de sistemas de IA y clasificación del riesgo: mapeo de tus casos de uso de IA respecto a los niveles de riesgo del Reglamento e identificación de las obligaciones aplicables.
    • Evaluación de brechas: revisión de tu documentación actual, estructuras de gobernanza y controles técnicos respecto a los requisitos del Reglamento IA.
    • Implementación de ISO 42001: construcción de un sistema de gestión de IA alineado con la norma internacional, que proporciona una base sólida para el cumplimiento del Reglamento IA.
    • Apoyo al cumplimiento IUAG: documentación técnica, resúmenes de datos de entrenamiento y medidas de cumplimiento de derechos de autor para proveedores de modelos IUAG.
    • Desarrollo de políticas y procesos: políticas de gobernanza de IA, procedimientos de supervisión humana, protocolos de notificación de incidentes y documentación de transparencia.
    • Integración con RGPD y NIS2: alineación de tu programa de cumplimiento en IA con tus obligaciones existentes de protección de datos y ciberseguridad.
    • Formación del equipo: programas de alfabetización en IA que cumplen los requisitos del Reglamento y garantizan que tus equipos conocen sus responsabilidades.

    Reserva una llamada con PrivaLex para evaluar cómo te afecta el Reglamento IA y definir una hoja de ruta de cumplimiento realista y adaptada a tu organización.

    Preguntas frecuentes (FAQs)

    ¿El Reglamento IA ya está en vigor?

    Sí. El Reglamento IA entró en vigor el 1 de agosto de 2024. Varias obligaciones ya son activas: las prácticas de IA prohibidas están vetadas desde el 2 de febrero de 2025, las obligaciones IUAG están en vigor desde el 2 de agosto de 2025, y el régimen sancionador es plenamente operativo. Las principales obligaciones para los sistemas de IA de alto riesgo son aplicables a partir del 2 de agosto de 2026.

    ¿Se aplica el Reglamento IA a mi empresa si estamos establecidos fuera de la UE?

    , si tus sistemas de IA se comercializan en el mercado de la UE o sus resultados se utilizan dentro de la UE. El Reglamento tiene efecto extraterritorial comparable al del RGPD. Los proveedores establecidos fuera de la UE que ofrezcan sistemas de IA a usuarios u organizaciones de la UE deben designar un representante autorizado establecido en la UE.

    ¿Cómo sé si mi sistema de IA es de alto riesgo?

    Los sistemas de IA de alto riesgo están recogidos en el Anexo III del Reglamento IA. Abarcan ocho ámbitos: identificación biométrica, infraestructuras críticas, educación, empleo, servicios esenciales (crédito, prestaciones), fuerzas y cuerpos de seguridad, migración y administración de justicia. Si tu sistema de IA pertenece a uno de estos ámbitos y realiza alguna de las funciones enumeradas, es de alto riesgo. La Comisión está desarrollando orientación para aclarar los casos límite. Un ejercicio de clasificación estructurado, que PrivaLex puede apoyar, es el punto de partida adecuado.

    ¿Qué es un modelo de IA de uso general y se aplica el Reglamento al mío?

    Un modelo de IA de uso general (IUAG) es un modelo de IA entrenado con grandes volúmenes de datos que puede realizar una amplia variedad de tareas. Los grandes modelos de lenguaje como GPT, Claude o Llama son ejemplos típicos. Si tu organización provee (desarrolla, ajusta de forma significativa o distribuye) un modelo IUAG, tienes obligaciones en virtud del Reglamento que están en vigor desde agosto de 2025. Si utilizas un modelo IUAG como responsable del despliegue sin modificación significativa, eres tratado como responsable del despliegue y no como proveedor.

    ¿El Reglamento IA se solapa con el RGPD?

    Sí, de forma significativa. Los sistemas de IA de alto riesgo que tratan datos personales deben cumplir simultáneamente el Reglamento IA y el RGPD. Los requisitos sobre calidad de los datos, minimización, documentación y evaluaciones de impacto se solapan y se refuerzan mutuamente. Una Evaluación de Impacto sobre la Protección de Datos (EIPD) es a menudo exigida por el RGPD para tratamientos de IA de alto riesgo, con independencia de los requisitos propios de evaluación de conformidad del Reglamento IA. PrivaLex puede ayudarte a integrar ambos en un programa de cumplimiento único y coherente.

    ¿Qué es ISO 42001 y cómo se relaciona con el Reglamento IA?

    ISO 42001 es la norma internacional para los sistemas de gestión de IA. Proporciona un marco estructurado para gobernar el riesgo de IA, la documentación, la supervisión y la mejora continua, que se corresponde estrechamente con los requisitos del Reglamento IA para sistemas de alto riesgo. Implementar ISO 42001 no es jurídicamente obligatorio bajo el Reglamento IA, pero proporciona una base sólida y auditable para el cumplimiento y puede reducir significativamente el esfuerzo necesario para satisfacer las obligaciones de documentación y gestión de riesgos del Reglamento.

    ¿Qué debemos hacer ahora mismo?

    Los pasos inmediatos más importantes son: inventariar todos los sistemas de IA en uso en tu organización, clasificar cada uno por nivel de riesgo, evaluar si aplican obligaciones IUAG a sistemas que tu organización provee o modifica, y comenzar a construir la documentación de gobernanza para cualquier sistema de alto riesgo antes del plazo de agosto de 2026. Si no sabes por dónde empezar, contacta con PrivaLex para una valoración inicial.

    Próximo paso

    El Reglamento IA no es un problema futuro. Las prácticas de IA prohibidas están vetadas desde febrero de 2025. Las obligaciones IUAG ya están en vigor. Los plazos para los sistemas de alto riesgo llegan en agosto de 2026. Las organizaciones que mejor navegarán este proceso son las que comiencen ahora su trabajo de clasificación y documentación, y no en los meses previos al inicio de la aplicación. Reserva una llamada con PrivaLex para entender exactamente dónde se encuentra tu organización y cómo es un programa de cumplimiento del Reglamento IA proporcionado y práctico para tu negocio.

    Foto del avatar

    Alberto Navas

    Alberto specializes in information security and privacy certifications, bringing extensive hands-on experience implementing and internally auditing frameworks such as ISO 27001, ISO 22301, ENS, and other cybersecurity and resilience standards. At PrivaLex Partners, he helps companies strengthen their security posture and achieve certification efficiently, without losing sight of business continuity. Alberto is known for his practical, structured approach: breaking down complex technical requirements into clear, manageable steps that support both compliance goals and day-to-day operations.