Europa ha tomado una decisión clara: la IA no va a ser el salvaje oeste. Mientras Estados Unidos y China compiten por quién tiene el modelo más grande, la Unión Europea ha decidido ser la primera en poner reglas serias sobre la mesa.
El Reglamento (UE) 2024/1689, conocido como AI Act o Ley de IA Europea, es la primera regulación integral sobre inteligencia artificial del mundo. Y en agosto de 2026, entran en vigor las obligaciones más importantes: las reglas de transparencia y las de alto riesgo.
Si tienes una empresa que usa, desarrolla o distribuye IA en Europa, esto te afecta. Y no es opcional.
Qué es la Ley de IA Europea (en cristiano)
El AI Act es un reglamento europeo (no una directiva, lo que significa que se aplica directamente en todos los países de la UE sin necesidad de transposición nacional) que establece normas para el desarrollo, la comercialización y el uso de sistemas de inteligencia artificial.
La idea central es simple: a mayor riesgo del sistema de IA, mayores obligaciones.
No prohíbe la IA. No frena la innovación (al menos esa es la intención). Lo que hace es crear un marco donde:
- Los sistemas de IA peligrosos están prohibidos
- Los de alto riesgo están regulados
- Los de riesgo limitado tienen obligaciones de transparencia
- Los de riesgo mínimo pueden operar libremente
El AI Act no te dice qué IA puedes o no puedes desarrollar. Te dice qué responsabilidades tienes según el impacto que esa IA puede tener en las personas.
La clasificación por niveles de riesgo
Este es el corazón del AI Act. Todo gira en torno a cuatro niveles:
Riesgo inaceptable: PROHIBIDO
Estos sistemas de IA están directamente prohibidos en la UE:
- Scoring social: sistemas tipo crédito social chino que puntúan a ciudadanos por su comportamiento.
- Manipulación subliminal: IA diseñada para manipular decisiones de forma que la persona no puede detectar.
- Explotación de vulnerabilidades: sistemas que explotan a personas vulnerables (niños, personas con discapacidad, etc.).
- Identificación biométrica remota en tiempo real en espacios públicos (con excepciones muy limitadas para seguridad).
- Inferencia de emociones en el lugar de trabajo y en centros educativos.
- Categorización biométrica basada en raza, orientación sexual, creencias religiosas, etc.
Estas prohibiciones ya están en vigor desde febrero de 2025.
Alto riesgo: REGULADO (entra en vigor agosto 2026)
Aquí es donde está la chicha. Los sistemas de IA de alto riesgo incluyen:
| Sector | Ejemplos |
|---|---|
| Infraestructura crítica | Gestión de redes eléctricas, agua, transporte |
| Educación | Sistemas de admisión, evaluación automatizada |
| Empleo | Filtrado de CV, evaluación de candidatos, despido |
| Servicios esenciales | Scoring crediticio, seguros, servicios públicos |
| Justicia y policía | Evaluación de riesgo de reincidencia, detección de delitos |
| Inmigración | Verificación de documentos, evaluación de solicitudes |
| Democracia | Sistemas que puedan influir en procesos electorales |
Si tu sistema de IA cae en alguna de estas categorías, tienes obligaciones serias. Las vemos más adelante.
Riesgo limitado: TRANSPARENCIA (entra en vigor agosto 2026)
Sistemas que interactúan directamente con personas y requieren obligaciones de transparencia:
- Chatbots: deben informar al usuario de que está hablando con una IA.
- Contenido generado: texto, imágenes, audio y vídeo generados por IA deben estar etiquetados.
- Deepfakes: obligación de informar de que el contenido es generado artificialmente.
- Sistemas de IA generativa: modelos como GPT, Claude o Gemini tienen obligaciones específicas.
Riesgo mínimo: LIBRE
La mayoría de aplicaciones de IA caen aquí: filtros de spam, recomendaciones de productos, videojuegos, herramientas de productividad... Pueden operar sin obligaciones regulatorias específicas.
Nota Importante
Presta atención a este detalle.
Agosto de 2026: el deadline que importa
El AI Act tiene un calendario escalonado de implementación:
| Fecha | Qué entra en vigor |
|---|---|
| Febrero 2025 | Prohibiciones de riesgo inaceptable |
| Agosto 2025 | Obligaciones para modelos de propósito general (GPAI) |
| Agosto 2026 | Reglas de transparencia + reglas de alto riesgo |
| Agosto 2027 | Obligaciones para sistemas de alto riesgo del Anexo I |
Agosto de 2026 es la fecha clave. Es cuando la mayoría de las obligaciones prácticas que afectan a empresas entran en vigor. Y estamos a menos de seis meses.
Si tu empresa usa IA y no ha empezado a prepararse, vas tarde. No desesperadamente tarde, pero tarde.
Qué obligaciones tienes según tu rol
El AI Act distingue entre diferentes actores:
Si eres proveedor (desarrollas IA)
Tienes las obligaciones más pesadas:
- Evaluación de conformidad: demostrar que tu sistema cumple los requisitos antes de ponerlo en el mercado.
- Gestión de riesgos: sistema documentado de identificación, análisis y mitigación de riesgos.
- Calidad de datos: garantizar que los datos de entrenamiento son representativos, relevantes y sin sesgos inaceptables.
- Documentación técnica: documentación detallada del sistema, su funcionamiento y sus limitaciones.
- Transparencia: información clara para los usuarios sobre qué hace el sistema y qué no.
- Supervisión humana: garantizar que un humano puede supervisar y, si es necesario, corregir o detener el sistema.
- Robustez y seguridad: el sistema debe ser preciso, robusto y ciberseguro.
- Registro: los sistemas de alto riesgo deben registrarse en una base de datos europea.
Si eres usuario (despliegas IA en tu empresa)
También tienes obligaciones:
- Uso conforme a las instrucciones: usar el sistema como el proveedor indica.
- Supervisión humana: asignar personas competentes para supervisar el sistema.
- Datos de entrada: asegurar que los datos que alimentas al sistema son relevantes.
- Monitorización: vigilar el funcionamiento y reportar problemas.
- Evaluación de impacto: para ciertos sistemas de alto riesgo, realizar una evaluación de impacto en derechos fundamentales.
Si eres distribuidor o importador
Obligaciones de verificación: asegurarte de que el sistema cumple la normativa antes de ponerlo en el mercado europeo.
Inteligencia Artificial aplicada a negocio
Sin humo. Solo experimentos reales, prompts que funcionan y estrategias de escalabilidad.
Modelos de propósito general (GPAI): la norma para la IA generativa
El AI Act tiene reglas específicas para los modelos de propósito general (General Purpose AI o GPAI), que incluyen a GPT, Claude, Gemini, Llama y similares.
Desde agosto de 2025, los proveedores de GPAI deben:
- Documentar el proceso de entrenamiento: incluida la lista de fuentes de datos utilizadas.
- Respetar los derechos de autor: implementar políticas para cumplir con la legislación de propiedad intelectual.
- Publicar un resumen del contenido de entrenamiento: lo suficientemente detallado para que los titulares de derechos puedan ejercerlos.
Para los modelos GPAI con riesgo sistémico (los más grandes y potentes):
- Evaluaciones de riesgos sistémicos: análisis proactivo de riesgos a gran escala.
- Pruebas adversariales (red teaming): testeo específico de vulnerabilidades.
- Reporte de incidentes: informar de incidentes graves a las autoridades.
- Medidas de ciberseguridad: protección adecuada del modelo y sus pesos.
Esto afecta directamente a OpenAI, Anthropic, Google y Meta en sus operaciones europeas.
Las multas: esto va en serio
El AI Act no es una recomendación. Tiene dientes:
| Infracción | Multa máxima |
|---|---|
| Prácticas prohibidas | 35 millones € o 7% facturación global |
| Incumplimiento de obligaciones | 15 millones € o 3% facturación global |
| Información incorrecta | 7,5 millones € o 1,5% facturación global |
Para pymes y startups, las multas se ajustan proporcionalmente. Pero incluso la multa más baja puede ser devastadora para una empresa pequeña.
El regulador no va a salir a multar a todo el mundo el día 1. Habrá un período de adaptación. Pero las empresas que demuestren que ni siquiera han intentado cumplir tendrán un problema serio.
No necesitas cumplir al 100% el día que entra en vigor. Necesitas demostrar que estás haciendo un esfuerzo serio y documentado por cumplir.
Guía práctica: cómo preparar tu empresa
Vamos al grano. Qué deberías hacer, paso a paso:
Paso 1: Haz un inventario de IA
Lo primero es saber qué sistemas de IA usas. Y te sorprenderías de cuántas empresas no lo tienen claro.
- ¿Usas chatbots de atención al cliente?
- ¿Tu CRM tiene scoring predictivo?
- ¿Filtráis CV con IA?
- ¿Tenéis herramientas de análisis de datos con IA integrada?
- ¿Usáis IA generativa (ChatGPT, Claude, etc.) en el trabajo?
Haz una lista exhaustiva. Cada sistema es un potencial punto de cumplimiento.
Paso 2: Clasifica por nivel de riesgo
Para cada sistema de tu inventario, determina en qué nivel de riesgo cae. La mayoría de herramientas comerciales (ChatGPT, asistentes de escritura, herramientas de diseño) caerán en riesgo mínimo o limitado.
Si usas IA en contratación, crédito, educación o servicios esenciales, ahí sí tienes obligaciones serias.
Paso 3: Implementa las obligaciones de transparencia
Para cualquier IA que interactúe con usuarios:
- Informa de que están interactuando con IA
- Etiqueta el contenido generado por IA
- Documenta qué hace cada sistema y qué limitaciones tiene
Paso 4: Para sistemas de alto riesgo
Si tienes sistemas de alto riesgo:
- Designa un responsable de supervisión humana
- Documenta el proceso de gestión de riesgos
- Asegura la calidad de los datos de entrada
- Implementa logs y trazabilidad
- Prepara la evaluación de conformidad
Paso 5: Forma a tu equipo
El artículo 4 del AI Act obliga a garantizar que el personal que trabaja con IA tenga la formación adecuada. Esto incluye:
- Conocimiento básico del AI Act
- Comprensión de los riesgos del sistema que usan
- Capacidad de supervisar y, si es necesario, intervenir
¿Te preocupa el futuro con la IA?
Descubre cómo la inteligencia artificial ha liquidado las viejas reglas del juego y qué puedes hacer tú al respecto.
Leer más sobre el libroPreguntas frecuentes
¿Esto solo afecta a empresas europeas? No. Afecta a cualquier empresa que comercialice o use IA en la UE, independientemente de dónde esté basada. Si OpenAI ofrece servicios en Europa, debe cumplir.
¿Afecta al uso personal de IA? No. El AI Act se aplica a sistemas de IA comercializados o usados profesionalmente. Usar ChatGPT en tu casa no está regulado.
¿Qué pasa con el open source? Los modelos open source tienen excepciones en algunas obligaciones, pero no en todas. Si un modelo open source se usa en un sistema de alto riesgo, las obligaciones se aplican igualmente.
¿Mi empresa es demasiado pequeña para que le afecte? El tamaño importa para la proporcionalidad de las multas, pero no para las obligaciones. Si usas IA de alto riesgo, debes cumplir independientemente de tu tamaño.
¿Qué autoridad supervisa el cumplimiento? Cada país de la UE designa una autoridad nacional. A nivel europeo, se ha creado la Oficina Europea de IA (AI Office) como coordinadora.
Mi opinión: equilibrio difícil pero necesario
El AI Act es imperfecto. Es burocrático en partes, ambiguo en otras, y llegó antes de que la IA generativa explotara (se negoció principalmente antes de ChatGPT).
Pero es necesario.
Sin regulación, los incentivos del mercado llevan a optimizar por velocidad y beneficios, no por seguridad y derechos. El AI Act pone un suelo mínimo de responsabilidad.
¿Es perfecto? No. ¿Puede frenar la innovación en Europa? Posiblemente, en algunos casos. ¿Es mejor que no tener nada? Sin duda.
La clave para las empresas no es quejarse de la regulación, sino verla como una ventaja competitiva. Las empresas que demuestren cumplimiento generarán más confianza. Y en un mundo donde la IA toca cada vez más aspectos de nuestras vidas, la confianza vale mucho.
Prepárate. Agosto de 2026 está a la vuelta de la esquina.
Inteligencia Artificial aplicada a negocio
Sin humo. Solo experimentos reales, prompts que funcionan y estrategias de escalabilidad.