%253A%2520qu%25C3%25A9%2520es%2520y%2520c%25C3%25B3mo%2520funciona%26category%3DAI%26type%3Dkb&w=3840&q=75&dpl=dpl_HsQZGYmMGCrZSd9Qrkeyoz1AiP1h)
Quick Answer
El Reglamento de IA ( EU AI Act ) es la primera ley integral del mundo que regula la inteligencia artificial. Aprobado como Reglamento (UE) 2024/1689 y en vigor desde el 1 de agosto de 2024, clasifica los sistemas de IA en cuatro niveles de riesgo y se aplica por fases. Impone obligaciones a proveedores y desplegadores, incluso fuera de la UE, con sanciones de hasta 35 M€ o el 7 % de la facturación mundial. ¿Qué es el Reglamento de IA (EU AI Act)? El Reglamento de IA , conocido internacionalmente como EU AI Act o simplemente AI Act , es el marco jurídico de la Unión Europea que regula el diseño, la comercialización y el uso de sistemas de inteligencia artificial en el mercado único. Su forma jurídica es un reglamento, lo que significa que es directamente aplicable en los 27 Estados miembros sin necesidad de transposición nacional, a diferencia de una directiva.
El Reglamento de IA (EU AI Act) es la primera ley integral del mundo que regula la inteligencia artificial. Aprobado como Reglamento (UE) 2024/1689 y en vigor desde el 1 de agosto de 2024, clasifica los sistemas de IA en cuatro niveles de riesgo y se aplica por fases. Impone obligaciones a proveedores y desplegadores, incluso fuera de la UE, con sanciones de hasta 35 M€ o el 7 % de la facturación mundial.
¿Qué es el Reglamento de IA (EU AI Act)?
El Reglamento de IA, conocido internacionalmente como EU AI Act o simplemente AI Act, es el marco jurídico de la Unión Europea que regula el diseño, la comercialización y el uso de sistemas de inteligencia artificial en el mercado único. Su forma jurídica es un reglamento, lo que significa que es directamente aplicable en los 27 Estados miembros sin necesidad de transposición nacional, a diferencia de una directiva.
El objetivo declarado es doble: fomentar una IA fiable y centrada en el ser humano, y proteger la salud, la seguridad y los derechos fundamentales, al tiempo que se impulsa la innovación. Para lograrlo, el AI Act no regula la tecnología en abstracto, sino el nivel de riesgo que cada sistema representa para las personas y la sociedad.
Los cuatro niveles de riesgo
El corazón del Reglamento de IA es un enfoque basado en el riesgo. Cuanto mayor es el riesgo, más estrictas son las obligaciones. Se distinguen cuatro categorías.
¿Qué prácticas de IA están prohibidas (riesgo inaceptable)?
Algunos usos se consideran una amenaza inadmisible y están prohibidos. Incluyen la manipulación subliminal que cause daño, la explotación de vulnerabilidades de grupos concretos, el social scoring por parte de autoridades públicas, el scraping masivo no dirigido de imágenes faciales para crear bases de datos de reconocimiento, y la identificación biométrica remota en tiempo real en espacios públicos (con excepciones tasadas para fuerzas del orden). Estas prohibiciones se aplican desde el 2 de febrero de 2025.
¿Qué es un sistema de IA de alto riesgo?
Los sistemas de alto riesgo son aquellos que pueden afectar de forma significativa a la seguridad o a los derechos fundamentales. Se dividen en dos grupos: la IA integrada como componente de seguridad en productos ya regulados (Anexo I, como productos sanitarios, maquinaria o vehículos) y los sistemas autónomos de áreas sensibles del Anexo III (empleo y selección de personal, educación, acceso a servicios esenciales, scoring crediticio, infraestructuras críticas, migración o administración de justicia). No están prohibidos, pero deben cumplir requisitos exigentes de gestión de riesgos, gobernanza de datos, documentación técnica, supervisión humana, robustez y ciberseguridad.
¿Qué obligaciones tiene la IA de riesgo limitado (transparencia)?
El riesgo limitado abarca sistemas que interactúan con personas o generan contenido sintético. Aquí la obligación principal es la transparencia: informar a las personas de que están interactuando con una IA (por ejemplo, un chatbot) y etiquetar el contenido generado o manipulado artificialmente, como los deepfakes. El usuario debe poder saber que el contenido no es de origen humano.
¿Qué es la IA de riesgo mínimo?
La gran mayoría de sistemas, como filtros de spam, videojuegos con IA o recomendadores básicos, se consideran de riesgo mínimo y no están sujetos a obligaciones específicas. El Reglamento fomenta para ellos códigos de conducta voluntarios.
¿Necesitas ayuda con cloud?
Reserva una reunión gratuita de 30 minutos con uno de nuestros especialistas en cloud. Analizamos tu necesidad y damos recomendaciones concretas — sin compromiso.
¿A quién se aplica el Reglamento de IA?
El EU AI Act distingue varios roles, principalmente el proveedor (quien desarrolla o comercializa un sistema bajo su propia marca) y el responsable del despliegue o deployer (quien lo utiliza profesionalmente). También alcanza a importadores y distribuidores. Las obligaciones más pesadas recaen sobre el proveedor de sistemas de alto riesgo.
Su alcance es extraterritorial. El Reglamento se aplica a proveedores y desplegadores establecidos fuera de la UE cuando el resultado producido por el sistema de IA se utiliza dentro de la Unión. Una empresa nórdica, estadounidense o asiática que ofrezca servicios de IA orientados al mercado europeo queda sujeta a la norma, igual que ocurre con el RGPD. La ubicación de la empresa no la exime; lo decisivo es el efecto en la UE.
El calendario por fases (situación en junio de 2026)
El Reglamento no se aplicó de golpe, sino de forma escalonada desde su entrada en vigor el 1 de agosto de 2024:
- 2 de febrero de 2025: prohibiciones de riesgo inaceptable y obligaciones de alfabetización en IA.
- 2 de agosto de 2025: obligaciones para modelos de IA de propósito general (GPAI) y entrada en funcionamiento de la gobernanza (Oficina de IA).
- Obligaciones de alto riesgo: originalmente previstas para el 2 de agosto de 2026 (Anexo III) y el 2 de agosto de 2027 (Anexo I).
Importante: en 2026 la Comisión impulsó un paquete de simplificación, el Digital Omnibus, que propone aplazar las obligaciones de alto riesgo. Según el acuerdo político provisional alcanzado en mayo de 2026, los sistemas autónomos del Anexo III pasarían a aplicarse el 2 de diciembre de 2027 y la IA integrada del Anexo I el 2 de agosto de 2028. A la fecha de esta guía, dicho aplazamiento aún no estaba formalmente adoptado ni publicado en el Diario Oficial, por lo que las fechas no son definitivas. Conviene verificar el estado legislativo actualizado, ya que mientras no se adopte el Omnibus, la fecha original sigue siendo la referencia legal.
Obligaciones para la IA de propósito general (GPAI)
Los modelos fundacionales o de propósito general (GPAI) tienen un régimen propio. Todo proveedor de un modelo GPAI debe elaborar documentación técnica, ofrecer información a quienes lo integran, cumplir la normativa de derechos de autor de la UE y publicar un resumen del contenido usado para el entrenamiento.
Si el modelo presenta riesgo sistémico (por su gran capacidad, evaluada mediante umbrales de cómputo del orden de 10^25 FLOP), se añaden obligaciones reforzadas: evaluaciones del modelo, pruebas adversariales (red-teaming), gestión de riesgos sistémicos, notificación de incidentes graves y medidas de ciberseguridad. Estas reglas se aplican desde agosto de 2025.
Sanciones por incumplimiento
El régimen sancionador del AI Act es disuasorio y escalonado según la gravedad:
| Tipo de infracción | Sanción máxima |
|---|---|
| Prácticas de IA prohibidas (riesgo inaceptable) | 35 M€ o el 7 % de la facturación anual mundial total (la cifra superior) |
| Incumplimiento de otras obligaciones (p. ej. alto riesgo) | 15 M€ o el 3 % de la facturación anual mundial |
| Información incorrecta, incompleta o engañosa a las autoridades | 7,5 M€ o el 1 % de la facturación anual mundial |
Para pymes y startups suele aplicarse el importe menor entre el porcentaje y la cifra fija. La cuantía vinculada a la facturación mundial convierte el cumplimiento en una prioridad de dirección, no solo técnica.
Relación con el RGPD
El EU AI Act y el RGPD son complementarios, no excluyentes. El RGPD regula el tratamiento de datos personales; el Reglamento de IA regula el sistema de IA como producto y su ciclo de vida. Un sistema de alto riesgo que procese datos personales debe cumplir ambos: base de licitud, minimización y derechos del interesado bajo el RGPD, y gestión de riesgos, supervisión humana y documentación bajo el AI Act. En la práctica, las evaluaciones de impacto se solapan y conviene abordarlas de forma coordinada con las áreas de privacidad y de gobernanza de IA.
Preguntas frecuentes
¿Cuándo se aplica el EU AI Act?
Está en vigor desde el 1 de agosto de 2024 y se aplica por fases. Las prohibiciones rigen desde febrero de 2025 y las obligaciones de GPAI desde agosto de 2025. Las obligaciones de alto riesgo estaban previstas para agosto de 2026, pero el paquete de simplificación de 2026 propone aplazarlas; conviene verificar el calendario vigente.
¿Aplica a mi empresa si está fuera de la UE?
Sí, puede aplicar. El Reglamento tiene alcance extraterritorial: si su sistema de IA produce resultados que se utilizan en la UE, queda sujeto, con independencia de dónde esté establecida su empresa.
¿En qué se diferencia el EU AI Act del RGPD?
El RGPD protege los datos personales; el AI Act regula la seguridad y los derechos en torno a los sistemas de IA como producto. Son complementarios: un sistema que use datos personales debe cumplir ambos marcos simultáneamente.
¿Qué sanciones contempla?
Hasta 35 M€ o el 7 % de la facturación anual mundial por prácticas prohibidas, 15 M€ o el 3 % por otras infracciones, y 7,5 M€ o el 1 % por información incorrecta a las autoridades.
¿Listo para pasar a la acción? Consulte nuestra checklist de cumplimiento del EU AI Act, descubra cómo el soporte gestionado de IA de Opsio facilita la gobernanza, y amplíe contexto con nuestra guía de inteligencia artificial para empresas.
Esta guía ofrece información general y no constituye asesoramiento jurídico. Verifique siempre el texto vigente del Reglamento (UE) 2024/1689 y consulte a un profesional para su caso concreto.
Written By
Country Manager, India
Praveena lidera las operaciones de Opsio en India, aportando más de 17 años de experiencia multisectorial en IA, fabricación, DevOps y servicios gestionados.
Editorial standards: Este artículo fue escrito por profesionales cloud y revisado por nuestro equipo de ingeniería. Actualizamos el contenido trimestralmente. Opsio mantiene independencia editorial.