La Ley de Inteligencia Artificial de la UE: Qué significa para tu empresa
Guía completa sobre la nueva Ley Europea de IA: cómo te afecta, qué obligaciones tienes y cómo prepararte desde ya para cumplirla sin sorpresas.
La nueva Ley de Inteligencia Artificial de la Unión Europea no solo afecta a quienes desarrollan IA, sino también a cualquier empresa que la utilice, ya sea mediante APIs, herramientas como Copilot o sistemas integrados en sus procesos. Esta ley establece obligaciones según el riesgo del uso que se haga de la IA, no según quién la creó.
Si usas IA para tareas sensibles —como evaluar candidatos, conceder créditos o automatizar decisiones— entras en categoría de riesgo alto y debes cumplir medidas estrictas (supervisión humana, documentación, transparencia, monitoreo). Si solo usas IA para generar contenido o atención al cliente, hablamos de riesgo limitado, donde la transparencia es obligatoria. Y si la usas para tareas internas sin impacto directo, como redactar borradores o clasificar correos, probablemente estés en riesgo mínimo, pero igual debes actuar con responsabilidad.
La Ley se aplicará por fases a partir de agosto de 2024. Las empresas que se preparen desde ya —haciendo inventario, clasificando usos, formando equipos y documentando decisiones— no solo evitarán sanciones, sino que estarán mejor posicionadas en un mercado que exige IA ética, segura y fiable.
¿Qué es la Ley de Inteligencia Artificial de la UE y por qué debería importarte?
Este documento no es solo otro “checklist legal”. Es una guía pensada para ayudarte a entender, de forma práctica, qué significa para tu empresa la nueva Ley Europea de Inteligencia Artificial (Reglamento 2024/1689), cómo te afecta (aunque no desarrolles IA), y qué pasos concretos debes empezar a dar ya.
La UE ha aprobado la primera gran ley global sobre IA, y su enfoque es claro: quiere que la IA que se use en Europa sea segura, ética, transparente y respetuosa con los derechos fundamentales. Nada de cajas negras que decidan sobre personas sin supervisión. Esta ley pone el foco en proteger a las personas, dar seguridad jurídica a las empresas y fomentar una IA de confianza, especialmente para que las pymes puedan innovar sin miedo.
Lo más importante: esta ley no trata a toda la IA por igual, sino que regula según el nivel de riesgo que implica su uso. Clasifica los sistemas de IA en cuatro niveles:
🔴 Riesgo Inaceptable (directamente prohibido).
🟠 Riesgo Alto (regulado con requisitos estrictos).
🟡 Riesgo Limitado (con reglas de transparencia).
🟢 Riesgo Mínimo (sin obligaciones legales, pero con buenas prácticas).
Y sí, esto también aplica si tu empresa solo usa herramientas como Microsoft Copilot, ChatGPT o una API de IA. No importa tanto qué IAs usas, sino para qué la estás usando.
Además, no se limita a empresas dentro de la UE: si vendes, despliegas o haces llegar resultados de IA al mercado europeo, aunque estés fuera, esta ley te puede aplicar igual. Las multas por incumplir no son menores: hasta 35 millones de euros o el 7% de tu facturación global, lo que sea más alto.
Pero no todo es amenaza. Cumplir esta ley puede ser una ventaja competitiva, igual que lo fue en su momento el cumplimiento del RGPD. Adoptarla bien desde el principio te permite construir confianza, anticiparse a regulaciones similares fuera de Europa y evitar rediseños forzados a última hora. Por eso, esperar al último minuto no es una opción.
Perfecto, aquí tienes la reescritura del segundo bloque con un tono más claro, directo y enfocado a empresas reales que podrían estar usando IA sin ser del todo conscientes del alcance de la Ley:
¿Aplica la Ley de IA a tu empresa? Lo primero que tienes que verificar
Antes de meterte en los detalles técnicos o legales, necesitas responder una pregunta clave:
| Pregunta: | Sí | No |
|---|---|---|
| ¿Comercializa tu empresa sistemas de IA en la Unión Europea? | ||
| ¿Esta ley aplica a lo que hace tu empresa con IA? | ||
| ¿Implementa tu empresa sistemas de IA en la UE? | ||
| ¿Utilizas sistemas de IA en la UE aunque no los hayas desarrollado? | ||
| ¿Se utilizan en Europa los resultados de tus sistemas de IA, a pesar de estar ubicado fuera de la UE? | ||
| ¿Importas o distribuyes sistemas de IA en el mercado europeo? | ||
| ¿Eres el representante legal en la UE de una empresa no europea que vende IA? | ||
| ¿Tu empresa introduce sistemas de IA en el mercado de la UE? | ||
| ¿Tu empresa pone en funcionamiento (despliega) sistemas de IA en la UE? | ||
| ¿Eres un usuario de IA (aunque no la hayas creado) ubicado dentro de la UE? | ||
| ¿Estás fuera de la UE, pero el resultado de tu sistema de IA se utiliza dentro de Europa? | ||
| ¿Importas o distribuyes sistemas de IA en el mercado europeo? | ||
| ¿Eres representante legal de una empresa no europea que vende IA en la UE? |
¿Qué se considera un “sistema de IA”?
La definición legal es más amplia de lo que parece. Según la ley, es IA cualquier sistema basado en máquinas que:
- Funcione de forma autónoma (aunque sea parcial),
- Tenga cierta capacidad de adaptarse después de estar en uso,
- E infiera, a partir de los datos que recibe, cómo generar resultados como recomendaciones, decisiones, contenido, etc.,
- Que puedan influir en entornos físicos o virtuales (por ejemplo, personas, sistemas de decisión, procesos de negocio, etc.).
Esto incluye mucho más que los modelos grandes de IA. Un sistema de scoring, un motor de recomendaciones, un algoritmo que decide si un cliente califica o no… todo esto puede entrar en la definición de sistema de IA.
Se excluyen herramientas muy básicas basadas en reglas fijas (tipo “si A, entonces B”) creadas por programadores sin inferencia ni autonomía. Pero casi todo lo que usamos hoy como “IA” entra en esta definición
¿Qué rol tiene tu empresa según la ley?
Tu nivel de obligaciones dependerá del rol que juegas con la IA:
| Rol | ¿Qué significa? |
|---|---|
| Proveedor | Creas, desarrollas o integras el sistema de IA y lo introduces en el mercado. |
| Desplegador (usuario) | Eres quien lo usa para tomar decisiones, prestar servicios, o generar contenido. |
| Importador | Traes el sistema de fuera y lo vendes dentro de la UE. |
| Distribuidor | No lo desarrollas tú, pero lo comercializas. |
| Representante Autorizado | Eres la persona o empresa que representa a un proveedor fuera de la UE. |
Si modificas un sistema de IA (por ejemplo, le cambias el propósito, haces ajustes relevantes, o le pones tu marca), puedes pasar a tener las mismas obligaciones que un proveedor. Esto no es trivial: te puede cambiar totalmente la carga legal y técnica que asumes.
¿Hay casos en los que estás excluido?
Sí, la ley no aplica a todo. Estas son las principales exclusiones:
- Sistemas de IA usados exclusivamente para fines militares o de defensa nacional.
- Sistemas de IA usados solo para investigación y desarrollo científico, aunque si los pruebas en entornos reales, sí pueden tener requisitos.
- Algunos modelos de código abierto y gratuito, aunque también aquí hay matices si los integras en productos de riesgo.
Lo que no deberías subestimar
Esta ley fue diseñada con una lógica muy amplia: es tecnológicamente neutral y preparada para el futuro. Esto significa que regula el uso, sin importar si la IA se basa en machine learning, reglas, modelos fundacionales, etc.
Y lo más importante: también aplica aunque no vendas en la UE directamente. Basta con que el resultado de tu IA se use aquí (por ejemplo, un chatbot entrenado fuera pero operando para clientes europeos) para que estés dentro del alcance.
Además, tu rol puede cambiar con el tiempo. Hoy puedes ser un simple usuario, pero si mañana modificas un sistema o integras una API de forma personalizada, podrías asumir nuevas responsabilidades. Por eso, evaluar tu exposición a esta ley no es una tarea única: debe revisarse de forma continua.
Perfecto, aquí tienes la reescritura del tercer bloque, manteniendo toda la profundidad técnica pero explicada con un enfoque práctico, claro y empresarial:
Paso clave: ¿Qué nivel de riesgo tienen tus sistemas de IA?
Una vez que sabes que la Ley de IA te aplica, el siguiente paso es clasificar correctamente cada uso de IA en tu empresa según su nivel de riesgo. Esta clasificación determinará qué obligaciones legales tendrás que cumplir (y algunas son bastante exigentes). La Ley distingue cuatro niveles de riesgo:
| Nivel de Riesgo | ¿Qué significa? | Ejemplos comunes | Consecuencias principales |
|---|---|---|---|
| 🔴 Inaceptable | Está prohibido usarlo, punto. | Puntuación social, manipulación subliminal, explotación de menores | No puedes usar este sistema. |
| 🟠 Alto | Impacta en derechos/personas. | Reclutamiento, créditos, diagnósticos médicos, acceso a educación | Cumplimiento estricto y muchas obligaciones. |
| 🟡 Limitado | Puede confundir si no se informa. | Chatbots, deepfakes, IA que detecta emociones | Reglas de transparencia y avisos obligatorios. |
| 🟢 Mínimo | Uso general, sin riesgo significativo. | Filtros de spam, IA en videojuegos, Copilot para productividad | No hay obligaciones legales específicas. |
¿Cómo saber en qué nivel estás?
Paso 1: ¿Tu sistema entra en las prácticas prohibidas?
La Ley prohíbe ciertos usos de la IA directamente. Si haces alguna de estas cosas, debes dejar de hacerlo antes de febrero de 2025:
- Manipulación subliminal que cause daño.
- Explotación de vulnerabilidades (niños, personas con discapacidad, etc.).
- Puntuación social (como en China).
- Identificación biométrica en tiempo real sin control estricto (por ejemplo, reconocimiento facial en espacios públicos).
- Análisis emocional obligatorio en trabajo o educación.
Si tu IA hace alguna de estas cosas → no puedes usarla en Europa.
Paso 2: ¿Estás en la categoría de riesgo alto?
Aquí entran los sistemas que:
- Son parte de productos regulados (como coches, maquinaria médica o juguetes), y además usan IA para seguridad → Necesitan una evaluación de conformidad (como con el marcado CE).
- Se usan en sectores críticos (Anexo III), por ejemplo:
- Contratación o evaluación de trabajadores.
- Acceso a educación, sanidad o vivienda.
- Concesión de créditos o seguros.
- Justicia, migración o control fronterizo.
- Infraestructuras críticas como transporte, energía o agua.
Si tu IA se usa en uno de estos contextos, se considera de alto riesgo (HRAIS), con obligaciones muy estrictas.
Paso 3: ¿Puedes aplicar una excepción (derogación)?
Si tu caso cae en el Anexo III pero el uso concreto de tu IA no representa un riesgo significativo, podrías pedir una excepción… pero cuidado:
Solo puedes hacerlo si:
- Tu sistema no reemplaza la evaluación humana.
- Solo realiza tareas preparatorias o de apoyo.
- Mejora procesos humanos, sin automatizar decisiones sensibles.
- No genera perfiles personales → la elaboración de perfiles siempre será considerada de alto riesgo.
¿Aplica esta excepción?
- Tienes que documentar todo antes de usar el sistema.
- Igual tienes que registrarlo en la base de datos oficial.
- Estás sujeto a revisión por autoridades.
Esta derogación es útil, pero no es una vía rápida para saltarte obligaciones: requiere pruebas sólidas, documentación técnica y auditoría posible.
Paso 4: ¿Es de riesgo limitado?
Si no estás en los casos anteriores, tu sistema podría estar en riesgo limitado. Aquí entran las IA que interactúan con personas y podrían causar confusión si no se explica que son IA. Ejemplos:
- Chatbots en atención al cliente.
- Generadores de contenido tipo deepfake.
- Sistemas que detectan emociones o hacen categorizaciones biométricas no sensibles.
En estos casos, debes cumplir con requisitos de transparencia: decir claramente que se está interactuando con una IA o que el contenido fue generado artificialmente.
Paso 5: ¿Es de riesgo mínimo?
La mayoría de los usos empresariales más comunes entran aquí. No presentan un riesgo significativo ni requieren obligaciones legales específicas.
Ejemplos típicos:
- Sistemas de IA en videojuegos.
- Filtros de spam.
- Copilot para escribir emails, resumir documentos o generar ideas.
- Recomendadores simples (por ejemplo, productos relacionados).
Aunque no hay obligaciones, se recomienda seguir buenas prácticas (documentar su uso, formar al equipo, revisar los resultados antes de tomar decisiones con ellos, etc.).
Importante: clasificar como “alto riesgo” - no es automático
Solo estar en una categoría del Anexo III no basta. Tienes que evaluar si realmente existe un riesgo significativo para la salud, la seguridad o los derechos fundamentales. La ley te deja demostrar (con documentación sólida) que tu sistema no representa ese riesgo… pero si te equivocas, las sanciones pueden ser serias.
Además, aunque obtengas una derogación, sigues teniendo que registrar el sistema, y las autoridades podrán cuestionar tu evaluación si no está bien fundamentada.
Checklist de Riesgo Inaceptable: Prácticas de IA que estarán prohibidas en la UE desde febrero de 2025
Este punto no es negociable: hay ciertos usos de la inteligencia artificial que estarán completamente prohibidos en toda la Unión Europea a partir del 2 de febrero de 2025. No importa si eres desarrollador, distribuidor o usuario. Si haces alguna de estas cosas con IA, tienes que parar.
¿Qué prácticas están prohibidas?
Aquí tienes la lista completa de lo que no se puede hacer con IA bajo ningún concepto:
| Práctica Prohibida | Sí | No |
|---|---|---|
| Usar técnicas subliminales, manipuladoras o engañosas que distorsionen el comportamiento causando daño significativo | ||
| Explotar vulnerabilidades (edad, discapacidad, pobreza) para manipular a personas vulnerables causando daño | ||
| Aplicar sistemas de puntuación social (tipo “crédito social”) por parte de autoridades públicas | ||
| Evaluar la probabilidad de que una persona cometa un delito solo con perfiles o características personales | ||
| Crear o ampliar bases de datos de reconocimiento facial mediante scraping masivo (de internet, cámaras, etc.) | ||
| Detectar emociones en el lugar de trabajo o en la escuela (excepto por razones médicas o de seguridad) | ||
| Clasificar personas por atributos sensibles (raza, ideología, religión, orientación sexual, etc.) salvo casos muy específicos de aplicación de la ley | ||
| Usar reconocimiento biométrico remoto en tiempo real en espacios públicos para la policía (excepto con autorización y solo en delitos muy graves) |
¿Cómo saber si tu empresa está en riesgo de incumplir?
Hazte estas preguntas:
- ¿Estás desarrollando, vendiendo o usando algún sistema de IA que haga una o más de estas cosas?
- ¿Tienes modelos de IA que podrían terminar siendo usados así por tus clientes o usuarios finales?
- ¿Tu cartera de productos, roadmap o pipeline de IA incluye alguna funcionalidad que se acerque a estas prácticas?
Si la respuesta es “sí” o “no estoy seguro”, necesitas revisar urgentemente esos casos. Y si estás usando tecnologías de terceros, debes auditar sus capacidades y asegurarte de que no estás incurriendo en un uso prohibido sin darte cuenta.
¿Y si estas prácticas son parte de un sistema mayor?
No importa. Aunque solo sea una parte del sistema, si realiza alguna de estas funciones prohibidas, tienes que eliminarla o desactivarla completamente. No hay excepciones por “bajo impacto”, “uso limitado” o “fines comerciales”.
¿Hay excepciones?
Sí, pero muy limitadas y casi exclusivamente para:
- Fines médicos, cuando el análisis emocional o biométrico tenga un propósito terapéutico.
- Aplicación de la ley, pero solo con autorización judicial previa, para delitos muy graves, y bajo condiciones estrictas.
Si no estás en uno de esos supuestos regulados expresamente, no puedes usar estas tecnologías. Y aunque lo estés, tendrás que cumplir requisitos legales muy exigentes.
Buenas prácticas para protegerte desde ya
- Revisa todos tus sistemas de IA actuales y en desarrollo.
- ¿Tienen alguna de estas funcionalidades, aunque sea parcial?
- ¿Cómo se entrenaron? ¿Qué datos usan?
- Haz limpieza preventiva.
- Si hay algo que se parezca a una de estas prácticas, considera eliminarlo cuanto antes.
- Define una política interna clara.
- Prohíbe expresamente el desarrollo, integración o uso de IA que entre en estas categorías.
- Habla con tus proveedores.
- Pregunta si sus herramientas incluyen alguna de estas capacidades (por defecto o habilitables).
- Revisa contratos, documentación técnica y políticas de uso.
¿Por qué es tan importante?
Estas prácticas están radicalmente en contra de los valores de la UE: dignidad humana, protección de menores, privacidad, no discriminación. No hay margen para la interpretación comercial aquí. Incluso si alguna de estas funciones te parece útil o te la han pedido clientes, no podrás usarla legalmente en Europa.
La intención de la UE es clara: evitar que la IA se convierta en una herramienta de control, manipulación o discriminación masiva.
Checklist 3: ¿Tu IA es de Alto Riesgo? Esto es lo que debes cumplir (sí o sí)
La IA de Alto Riesgo (HRAIS) está en el centro de la regulación. No se prohíbe, pero sí se regula de forma muy estricta porque puede afectar directamente a la vida de las personas: su salud, sus derechos, su empleo, su acceso a servicios clave.
Y si usas este tipo de IA, seas proveedor o usuario, tienes mucho que demostrar: que tu sistema es fiable, seguro, explicable, controlable y justo.
¿Qué se considera IA de alto riesgo?
Según el Anexo III, se incluyen usos de IA en estos ámbitos:
| Ámbito | Ejemplos comunes |
|---|---|
| Biometría (no prohibida) | Identificación remota, reconocimiento de emociones, categorización por atributos |
| Infraestructuras críticas | IA en tráfico, agua, electricidad, redes inteligentes |
| Educación y formación | Evaluación de exámenes, acceso a estudios, seguimiento de estudiantes |
| Empleo y RR.HH. | Reclutamiento, asignación de tareas, evaluación de rendimiento |
| Servicios esenciales | Crédito, seguros, ayudas públicas |
| Justicia y policía | Análisis de pruebas, predicción de reincidencia, evaluación de riesgos |
| Migración y asilo | Evaluación de solicitudes, análisis de riesgos |
| Procesos democráticos | Influencia en elecciones, investigación jurídica automatizada |
Si tu IA entra en alguno de estos casos, entra en la categoría de Alto Riesgo y debes cumplir con una serie de obligaciones muy claras. Vamos a verlas.
Obligaciones para Proveedores de HRAIS (quien crea o integra el sistema)
Estas obligaciones aplican si tú:
- Desarrollas el sistema de IA.
- Lo integras en un producto que vendes.
- Lo modificas de forma relevante (y por tanto pasas a ser proveedor legal).
Lo que tienes que implementar como proveedor de IA de alto riesgo:
| Requisito | ¿Estás cumpliendo? | ¿Qué implica? |
|---|---|---|
| SGC - Sistema de Gestión de Calidad | Documentar todo el proceso: diseño, control, pruebas, recursos, monitoreo post-venta. | |
| Gestión de Riesgos | Evaluar y mitigar riesgos durante todo el ciclo de vida. Incluir usos indebidos previsibles. | |
| Gobernanza de Datos | Asegurar que los datos están bien seleccionados, documentados y sin sesgos inaceptables. | |
| Documentación Técnica | Instrucciones completas del sistema, lógica, limitaciones, datos usados, riesgos, mantenimiento. | |
| Registros (logs) | El sistema debe registrar eventos clave y tú debes guardar esos logs. | |
| Transparencia | Proveer instrucciones claras a quien usará la IA. | |
| Supervisión Humana | Asegurar que se puede intervenir, entender y corregir. | |
| Exactitud y Robustez | Definir métricas de precisión, robustez ante errores y defensa frente a ciberataques. | |
| Evaluación de Conformidad | Validación técnica obligatoria. Puede requerir revisión por terceros notificados. | |
| Marcado CE y Declaración de Conformidad | El sistema debe tener marcado CE antes de lanzarse al mercado. | |
| Registro en la Base de Datos de la UE | Antes de lanzar, debes registrar el sistema. También mantener actualizada esa información. | |
| Monitoreo Post-Comercialización | Crear un sistema de seguimiento del rendimiento y de notificación de incidentes. | |
| Acciones Correctivas | Debes poder informar y reaccionar ante fallos graves: retirada, actualización, etc. | |
| Representante en la UE (si estás fuera) | Si no tienes sede en la UE, necesitas un representante legal dentro de ella. |
Todos estos puntos están interconectados. Por ejemplo: si tienes mala gobernanza de datos, probablemente falles también en precisión, gestión de riesgos y cumplimiento legal.
Necesitas una estrategia de cumplimiento integral, no documentos sueltos ni auditorías parciales.
Obligaciones para Usuarios o Desplegadores de HRAIS
Aunque no desarrolles IA, si la usas para tomar decisiones en los ámbitos anteriores, tienes tus propias responsabilidades. Como empresa que usa IA de alto riesgo, debes:
| Obligación | ¿Cumples? | ¿Qué hacer? |
|---|---|---|
| Usar la IA según las instrucciones del proveedor | No puedes usar la IA para algo que no está previsto o validado. | |
| Asignar supervisión humana competente | Una persona formada y autorizada debe poder intervenir si algo va mal. | |
| Validar los datos de entrada | Si introduces datos en el sistema, deben ser correctos y representativos. | |
| Supervisar el funcionamiento del sistema | No es plug & play: hay que monitorear el uso real. | |
| Guardar registros (logs) | Conservar logs al menos 6 meses (salvo excepciones legales). | |
| Reportar incidentes y suspender uso si hay riesgo | Si el sistema falla o representa un riesgo, debes detener su uso y avisar. | |
| FRIA – Evaluación de Impacto en Derechos | Obligatoria en ciertos casos (ver abajo). | |
| Registro en la base de datos (solo sector público) | Solo aplica a entidades públicas o que actúan en su nombre. | |
| Informar a empleados si se usa IA en su contexto | Necesitas avisar de forma clara si la IA afecta al personal. |
Los usuarios no pueden ser pasivos: son responsables de vigilar, documentar y actuar si la IA genera consecuencias imprevistas.
¿Cuándo debes hacer una Evaluación de Impacto en Derechos Fundamentales (FRIA)?
Esta evaluación sirve para medir cómo puede afectar el sistema a la dignidad, libertad o igualdad de las personas, más allá de la protección de datos (aunque puede integrarse con una DPIA del RGPD). Aplica la FRIA si:
- Eres una entidad pública o privada que presta servicios públicos, y usas HRAIS.
- Usas IA en procesos de:
- Concesión de créditos o evaluación de solvencia.
- Fijación de precios o riesgos en seguros de vida/salud.
Debes realizar la FRIA antes del primer uso del sistema, y actualizarla si cambian elementos clave. ¿Qué debe incluir?
| Elemento | ¿Incluido? |
|---|---|
| Descripción del uso previsto de la IA | |
| Período y frecuencia de uso | |
| Personas/grupos afectados | |
| Riesgos específicos identificados | |
| Cómo se implementa la supervisión humana | |
| Medidas en caso de que los riesgos se materialicen |
Además:
- Puedes integrar la FRIA con la Evaluación de Protección de Datos (DPIA) si ya estás obligado por RGPD.
- Debes estar preparado para notificar los resultados a la autoridad reguladora (la Oficina de IA) cuando sea requerido.
Trabajar con IA de alto riesgo no es ilegal, pero sí es una gran responsabilidad. El cumplimiento exige una visión de ciclo de vida: desde el diseño hasta el monitoreo continuo tras el despliegue. No basta con decir “mi IA funciona”; hay que poder demostrar que:
- Es segura.
- Está bien entrenada.
- Se usa dentro de sus límites.
- Puede ser supervisada.
- Y si algo falla, se puede corregir o detener.
Checklist 4: ¿Tu sistema usa IA de forma visible? Asegúrate de cumplir las reglas de transparencia
Aunque tu IA no sea de alto riesgo, si interactúa con personas o genera contenido, igual tienes obligaciones legales. ¿Por qué? Porque la ley quiere evitar que la gente sea engañada o manipulada sin saber que está hablando con una IA o consumiendo contenido generado artificialmente. Esta es la esencia del Artículo 50 de la Ley de IA de la UE.
¿Qué sistemas entran en esta categoría?
- Chatbots de atención al cliente.
- Asistentes virtuales o formularios automáticos.
- Avatares generados por IA para redes sociales.
- Generadores de imágenes, audio o video (como deepfakes).
- Herramientas que crean noticias, textos o resúmenes sin intervención humana.
- Sistemas que detectan emociones o clasifican rostros por género, edad o estado de ánimo (pero sin funciones de seguridad o vigilancia).
¿Qué debes hacer como empresa para cumplir?
La ley exige transparencia clara, comprensible y accesible para que las personas sepan cuándo están interactuando con IA o consumiendo contenido generado artificialmente. Aquí tienes el checklist que debes aplicar:
| Requisito | ¿Cumples? |
|---|---|
| Interacción con humanos (chatbots, asistentes): ¿Informas claramente a las personas de que están hablando con una IA (salvo que sea obvio)? | |
| Sistemas que detectan emociones o rasgos biométricos (no prohibidos): ¿Informas a los usuarios que están siendo analizados? | |
| Deepfakes (imagen, audio o video manipulado por IA): ¿Están claramente marcados como generados por IA en un formato legible por máquina? | |
| Texto generado por IA que informa al público (noticias, informes, etc.): ¿Se indica que es contenido generado por IA (a menos que lo revise un humano)? | |
| Claridad y accesibilidad: ¿Esa información es visible, entendible y está presente desde la primera interacción? |
Ejemplos aplicados
Si tu web usa un chatbot, debe mostrar un mensaje como:
“Hola, soy un asistente automático. ¿En qué puedo ayudarte?”
Si usas IA para generar imágenes o videos realistas (deepfakes) para campañas:
Deben incluir marcas visibles que digan “Contenido generado por IA” y estar etiquetados técnicamente
Si publicas artículos generados con IA en una newsletter o blog:
Debes informar si el texto fue generado por IA, a menos que haya pasado por revisión humana con control editorial
Si usas reconocimiento emocional en una encuesta o experiencia digital:
Tienes que explicar al usuario que se están analizando sus expresiones o reacciones mediante IA.
¿Hay excepciones?
Sí, pero limitadas:
- Obras artísticas o de parodia no necesitan avisos explícitos.
- Casos de aplicación de la ley, cuando la transparencia comprometa investigaciones, también pueden quedar exentos (muy regulado).
Pero cuidado: si no estás claramente en estas categorías, la transparencia es obligatoria.
¿Por qué esto importa tanto?
Porque aunque estos sistemas no sean de “alto riesgo”, pueden influir en la percepción, las decisiones y la confianza de las personas. Y la UE quiere garantizar que:
- Nadie hable con una IA pensando que es una persona.
- Nadie consuma un contenido falso sin saber que fue manipulado o generado automáticamente.
- Nadie sea analizado biométricamente sin su conocimiento.
Además, el marcado técnico legible por máquina (en deepfakes, por ejemplo) anticipa un futuro en el que navegadores, plataformas y sistemas puedan detectar automáticamente contenido generado por IA, no solo a través de una etiqueta visible.
Aunque tu IA no haga nada “peligroso”, si interactúa con personas o genera contenido visual/textual, debes ser transparente. Este es un requisito legal y ético que además te ayuda a construir confianza con tus usuarios.
No lo dejes para después: revisa desde ya tus webs, apps, contenidos y flujos conversacionales, y añade los avisos y etiquetas necesarios.
Checklist 5: ¿Tu modelo es de propósito general (GPAI)? Entonces tienes nuevas obligaciones, aunque no controles su uso final
La Ley de IA de la UE incorpora por primera vez regulaciones directas sobre los desarrolladores de modelos base. Es decir, no solo regula cómo se usa la IA, sino cómo se construye, sobre todo cuando hablamos de modelos muy potentes que luego otros reutilizan o integran: los llamados Modelos de Propósito General de IA (GPAI).
¿Qué es un modelo GPAI?
Es un modelo de IA que:
- No está diseñado para una única tarea concreta, sino que puede aplicarse a múltiples fines.
- Tiene una generalidad significativa.
- Puede ejecutar distintas tareas con cierto nivel de competencia (por ejemplo, generar texto, imágenes, código, audio, etc.).
🔍 Ejemplos comunes: GPT-4, LLaMA, Claude, Gemini, Stable Diffusion, Mistral, etc.
Si desarrollas, entrenas o publicas este tipo de modelo, la Ley te considera proveedor de GPAI y te impone obligaciones específicas.
Estas reglas entran en vigor el 2 de agosto de 2025
Obligaciones para todos los proveedores de GPAI
Si tu modelo cumple con la definición de GPAI, tienes que cumplir con los requisitos básicos del Artículo 53:
| Obligación | ¿Cumples? |
|---|---|
| Documentación Técnica completa y actualizada: Explica cómo se entrenó, qué datos se usaron, cómo se probó, etc. | |
| Proporcionar documentación a quienes usen tu modelo aguas abajo: Incluye capacidades, limitaciones, instrucciones para uso seguro. | |
| Respetar la ley de Copyright de la UE: Debes declarar si aplicas la “reserva de derechos” bajo la excepción TDM (Text & Data Mining). | |
| Publicar un resumen detallado del contenido usado para entrenar el modelo |
Estos requisitos aplican aunque tu modelo no se use directamente en un sistema de alto riesgo.
Obligaciones adicionales si tu modelo tiene Riesgo Sistémico
La Ley reconoce que algunos modelos son tan grandes o poderosos que pueden generar riesgos en sí mismos, incluso antes de integrarse en aplicaciones específicas.
Se consideran GPAI de riesgo sistémico si:
- Superan un umbral de cómputo muy elevado (por ejemplo, más de 10²⁵ FLOPs).
- Tienen capacidades de impacto generalizado (creación de contenido a escala, manipulación masiva, vulnerabilidad a abusos).
- Han sido designados formalmente por la Comisión Europea como tales.
Si tu modelo cae en esta categoría, necesitas cumplir con requisitos adicionales:
| Obligación Adicional | ¿Cumples? |
|---|---|
| Evaluación del modelo (auditorías internas, pruebas adversariales) | |
| Evaluación y mitigación de riesgos sistémicos | |
| Sistema de seguimiento y notificación de incidentes graves | |
| Medidas reforzadas de ciberseguridad |
Estos modelos también estarán bajo vigilancia activa de la futura Oficina Europea de IA, y podrían requerir informes periódicos, revisión de prácticas y participación en códigos de conducta.
¿Y si tu modelo es open source?
Buena noticia: la Ley introduce exenciones y ajustes para modelos GPAI de código abierto, siempre que:
- No se usen directamente en sistemas de alto riesgo.
- No representen un riesgo sistémico por sí mismos.
- No estén integrados en productos comerciales sin garantías.
Aun así, se recomienda documentar bien tu modelo y su gobernanza, para demostrar buena fe y facilitar el cumplimiento si se reutiliza comercialmente.
Códigos de Prácticas y cumplimiento flexible
La Oficina de IA de la UE está trabajando en Códigos de Práctica voluntarios, que servirán como guía para demostrar cumplimiento y buenas prácticas.
Si participas activamente en estos códigos, podrás demostrar cumplimiento proactivo incluso antes de que entren en vigor medidas más estrictas.
¿Por qué es tan importante esta parte?
Porque por primera vez se reconoce que los riesgos de la IA no solo vienen del uso final, sino también del modelo base. Esto afecta directamente a:
- Empresas que entrenan y publican modelos fundacionales.
- Plataformas que ofrecen modelos como servicio (MLaaS).
- Equipos que construyen frameworks que luego otros reutilizan.
Si eres parte del ecosistema técnico de IA (ya sea en producto, ciencia de datos o arquitectura), necesitas revisar tus modelos actuales y futuros con estos criterios.
Si desarrollas o publicas un modelo de propósito general:
- Evalúa si cumple con la definición legal de GPAI.
- Prepara desde ya la documentación técnica y la política de derechos.
- Planifica cómo compartir información con tus integradores y usuarios.
- Si tu modelo es muy potente, consulta si puede entrar en riesgo sistémico.
- Mantente informado sobre los códigos de práctica y directrices de la Oficina de IA.
Checklist 6: Gobernanza, formación e interacción con autoridades — el marco horizontal que todas las empresas deben aplicar
Hasta ahora hemos hablado de qué hacer según el tipo de IA que uses (alto riesgo, limitado, GPAI, etc.). Pero la Ley de IA también impone una serie de requisitos transversales u “horizontales” que aplican a todas las empresas involucradas en IA: tanto proveedores como usuarios, independientemente del nivel de riesgo.
Estos requisitos definen la gobernanza interna mínima esperada para operar con IA dentro del marco europeo. Y algunos de ellos entran en vigor muy pronto: a partir del 2 de febrero de 2025.
Alfabetización en IA (Artículo 4)
La ley dice claramente que toda persona que opere, supervise o tome decisiones con IA debe tener un nivel adecuado de formación y comprensión.
Esto no se limita a desarrolladores: aplica también a:
- Equipos de RR.HH. que usan IA para evaluar candidatos.
- Departamentos legales que supervisan cumplimiento.
- Usuarios finales que activan sistemas automáticos.
- Directivos que deciden sobre la implantación de IA.
| Requisito | ¿Cumples? |
|---|---|
| ¿Has iniciado programas de formación en IA para tu equipo? | |
| ¿Incluyen aspectos técnicos, éticos, legales y de negocio? | |
| ¿Están adaptados al rol y responsabilidad de cada persona? | |
| ¿Estás documentando estas acciones formativas? | |
| ¿Conoces el repositorio oficial de buenas prácticas de la Oficina de IA? |
No esperes a que sea obligatorio. Establecer una cultura de alfabetización en IA ahora no solo cumple con la ley, sino que te prepara mejor para integrar la IA de forma responsable y eficiente.
Representante autorizado en la UE (Artículo 22) ¿Quién necesita esto?
Si eres un proveedor de IA fuera de la Unión Europea, y tu sistema se usa o se comercializa en Europa, debes designar un representante autorizado dentro de la UE.
| Requisito | ¿Cumples? |
|---|---|
| ¿Tienes ya un representante legal designado en la UE? | |
| ¿Está formalmente establecido el mandato de ese representante? | |
| ¿Incluye tareas como: cooperación con autoridades, mantenimiento de documentación, notificación de incidentes, etc.? |
Esto es similar a lo que exige el RGPD para los responsables de tratamiento fuera de la UE. Asegura que exista un punto de contacto legal y operativo dentro de Europa para cualquier necesidad regulatoria.
Interacción con autoridades competentes
La Ley de IA te obliga a cooperar activamente con las autoridades nacionales y con la futura Oficina Europea de IA.
Esto incluye:
- Estar preparado para responder a requerimientos de información.
- Tener los documentos listos si te los solicitan (logs, evaluaciones, declaraciones de conformidad, etc.).
- Notificar incidentes relevantes o riesgos detectados.
- Participar, si procede, en procesos de evaluación o investigación.
| Requisito | ¿Cumples? |
|---|---|
| ¿Tienes un responsable designado para interlocución con reguladores? | |
| ¿Tienes procesos definidos para responder a solicitudes oficiales? | |
| ¿Tienes localizados y actualizados los documentos clave de cumplimiento? | |
| ¿Has mapeado qué autoridad te corresponde según tu país/sede? |
Acceso a innovación: Sandboxes regulatorios
La Ley de IA prevé entornos de prueba controlados (“sandboxes”) para que las empresas puedan probar sistemas de IA innovadores sin incurrir en sanciones, siempre que lo hagan bajo supervisión.
Esto es especialmente útil si estás desarrollando un sistema de alto riesgo, una herramienta compleja o un producto con un caso de uso aún no definido del todo.
| Requisito | ¿Valorado? |
|---|---|
| ¿Conoces los sandboxes regulatorios disponibles en tu país? | |
| ¿Has considerado usar uno para validar tus soluciones de IA? | |
| ¿Tienes un roadmap técnico que podría beneficiarse de este entorno controlado? |
El uso de sandboxes no solo acelera el desarrollo legalmente seguro, también puede ayudarte a afinar tu producto con el feedback de reguladores y expertos técnicos.
Los requisitos de este bloque no dependen del tipo de sistema, sino de tu madurez organizativa frente a la IA. Implementarlos de forma temprana no solo es cumplimiento normativo: es una señal clara de liderazgo responsable en un mercado que se mueve hacia la confianza y la transparencia.
5 cosas que puedes hacer ya:
- Diseña e implementa un plan de formación en IA para todo el personal relevante.
- Revisa si necesitas un representante en la UE y formaliza el acuerdo.
- Asigna a alguien como responsable de relación con autoridades.
- Prepara una carpeta centralizada con toda la documentación exigida.
- Explora oportunidades de innovación bajo sandbox si estás desarrollando nuevas soluciones.
Próximos pasos: plazos clave y enfoque continuo de cumplimiento
La Ley de IA de la UE no se aplicará de golpe, sino por fases. Pero no te confundas: esto no significa que puedas esperar al último minuto. Al contrario, las empresas que empiecen ahora tendrán ventajas competitivas claras y evitarán sorpresas desagradables.
Aquí te dejamos el mapa de ruta que deberías tener en mente: Tabla resumen: ¿Qué entra en vigor y cuándo?
| Hito | Fecha de aplicación |
|---|---|
| Entrada en vigor de la Ley de IA | 1 de agosto de 2024 |
| Prohibiciones y formación obligatoria (alfabetización en IA) | 2 de febrero de 2025 (6 meses) |
| Normas para modelos de propósito general (GPAI) | 2 de agosto de 2025 (12 meses) |
| Inicio de operaciones de la Oficina de IA y la Junta | 2 de agosto de 2025 |
| Aplicación total a sistemas de alto riesgo (Anexo III) | 2 de agosto de 2026 (24 meses) |
| Aplicación a productos regulados con IA (Anexo I) | 2 de agosto de 2027 (36 meses) |
Como ves, las primeras obligaciones comienzan solo seis meses después de la entrada en vigor, por lo que el reloj ya está corriendo.
¿Por qué se habla de cumplimiento continuo?
Cumplir con la Ley de IA no es algo que haces una vez y ya está. No basta con auditar o documentar tu sistema al inicio. Necesitarás implementar una cultura de cumplimiento viva y mantenida en el tiempo. Esto implica:
- Actualizar tus evaluaciones periódicamente: Gestión de riesgos, FRIA, documentación técnica, monitoreo.
- Reaccionar a cualquier modificación sustancial en tus sistemas, modelos o flujos de uso.
- Estar siempre al día de:
- Nuevas normas armonizadas.
- Directrices emitidas por la Comisión Europea o la Oficina de IA.
- Cambios en anexos o nuevos actos delegados.
La propia Ley prevé que estos elementos puedan evolucionar dinámicamente, por lo que te exige una estructura de gobernanza que no sea estática.
Recordatorio: las sanciones pueden ser muy elevadas
El incumplimiento de la Ley de IA puede salir muy caro. Las multas máximas previstas son hasta 35 millones de euros, o Hasta el 7 % del volumen de negocio global anual, (la cifra que sea mayor).
Estas sanciones son comparables (o incluso superiores) a las del RGPD. No son teóricas: si usas IA sin cumplir, estás asumiendo un riesgo legal, financiero y reputacional muy alto.
Recomendaciones clave para actuar ahora
No dejes esto en manos de un solo equipo. Implica a las áreas clave de tu organización:
- Diseña un plan de cumplimiento progresivo, alineado con los hitos regulatorios.
- Asigna responsables por áreas: legal, compliance, tecnología, producto, seguridad.
- Crea un inventario actualizado de todos los sistemas de IA que uses, desarrolles o adquieras.
- Evalúa el nivel de riesgo de cada uso y modelo.
- Revisa tu cadena de proveedores: ¿tienen sus propias obligaciones? ¿te están compartiendo la información necesaria?
- Documenta cada paso: decisiones, evaluaciones, medidas adoptadas.
Y sobre todo:
- Busca asesoramiento técnico y legal especializado.
- Participa en foros, sandboxes y redes de cumplimiento: te darán acceso anticipado a interpretaciones prácticas y guías sectoriales.
- Piensa en el cumplimiento como un diferenciador competitivo, no como una carga administrativa.
Conclusión: construir una IA fiable requiere estrategia, no reacción
La Ley de IA marca un antes y un después. Si solo piensas en “cumplir para no ser multado”, estás perdiendo la oportunidad de posicionarte como una empresa madura, transparente y confiable en el uso de tecnología avanzada.
Cumplir con esta ley no es solo evitar sanciones. Es crear un marco ético, legal y operativo que inspire confianza: en tus clientes, tus empleados, tus inversores y en la sociedad.