La Inteligencia Artificial avanza a gran velocidad: era cuestión de tiempo que se promulgara el primer marco jurídico global del mundo para regular esta tecnología. Se trata de la Ley de Inteligencia Artificial de la UE.
Este marco regulador no es nuevo; de hecho, entró en vigor en agosto de 2024. Su aplicación se ha llevado a cabo por fases, y los requisitos finales entrarán en vigor en agosto de 2027.
Pero, ¿qué es exactamente y qué significa para los proveedores de servicios de IA en la Unión Europea? Además, ¿qué significa para las empresas que utilizan IA? ¿A quién debe preocupar?
A continuación se presenta un desglose estructurado de su arquitectura, obligaciones y relevancia tanto para los proveedores de servicios de IA como para los usuarios.
¿Para qué sirve la Ley AI?
La Ley AI tiene un doble objetivo:
- Promover la adopción de una IA fiable y centrada en las personas en todo el mercado único de la UE.
- Garantizar la máxima protección de la salud, la seguridad, los derechos fundamentales, la democracia, el Estado de Derecho y el medio ambiente. [1]
El marco pretende armonizar las normas sobre tecnología de IA para los miembros de toda la Unión Europea y evitar políticas fragmentadas que podrían perjudicar a los ciudadanos de la UE. Con un planteamiento único, los bienes y servicios impulsados por la IA podrán circular libremente entre los Estados miembros.
Lógica normativa
El enfoque regulador de la Ley de IA se basa en el riesgo, lo que significa que cuanto mayor es el riesgo potencial, más estrictas son las obligaciones. Por eso, la normativa se articula en diferentes niveles, cada uno de los cuales se corresponde con un nivel de riesgo específico. Los niveles van desde prohibiciones absolutas en el nivel superior, pasando por estrictos requisitos de cumplimiento para los sistemas de alto riesgo, hasta simples normas de divulgación para los sistemas de riesgo limitado, sin obligaciones imperativas para el último nivel.
La pirámide de riesgos y sus cuatro niveles
A continuación se resumen los cuatro niveles cubiertos por la Ley de IA. Para más información, visite la página oficial de la Unión Europea sobre la Ley de AI.
Nivel 1: Prácticas de IA prohibidas (artículo 5)
El primer nivel abarca las prácticas de IA que están estrictamente prohibidas en la Unión Europea y entraron en vigor el 2 de febrero de 2025. Las siguientes prácticas están prohibidas por considerarse inaceptables debido a sus riesgos potenciales para los valores y derechos de la UE.
| Práctica prohibida | Definición |
| Manipulación subliminal y engaño | IA que utiliza técnicas ajenas a la conciencia de las personas para influir y distorsionar el comportamiento, causando daños en última instancia. |
| Aprovechamiento de las vulnerabilidades de los usuarios | Dirigirse a las personas en función de su edad, discapacidad o situación socioeconómica |
| Puntuación social | Evaluar o clasificar a las personas en función de su comportamiento social, influyendo en las oportunidades de un individuo en contextos no relacionados. |
| Vigilancia policial predictiva basada únicamente en la elaboración de perfiles | Predicción del comportamiento delictivo a partir de los rasgos de personalidad |
| Recopilación de datos de reconocimiento facial no selectivo | Creación de bases de datos a partir de imágenes de Internet o CCTV |
| Inferencia de emociones en el ámbito laboral y educativo | Lectura de emociones en lugares de trabajo o escuelas, salvo en contextos médicos y de seguridad |
| Categorización biométrica de atributos sensibles | Inferir raza, religión, opiniones políticas, orientación sexual, etc. a partir de datos biométricos. |
La última práctica prohibida es la identificación biométrica remota en tiempo real (RBI) en espacios públicos para las fuerzas del orden, pero viene acompañada de tres estrechas excepciones:
Nivel 2: Sistemas de IA de alto riesgo (artículos 6-27)
Este nivel comprende las últimas obligaciones que se aplicarán, ya que la mayoría entrarán en vigor a partir del 2 de agosto de 2026. Para los sistemas integrados en productos, productos existentes que ya están regulados por la legislación de la UE y tienen funciones nativas de IA, se aplicará a partir del 2 de agosto de 2027. [5,6]
La clasificación de alto riesgo se activa a través de dos vías:
La vía A cubre la IA utilizada como componente de seguridad en productos ya sujetos a la legislación de la UE sobre seguridad de los productos (dispositivos médicos, maquinaria, aviación, vehículos, etc.).
La vía B abarca la IA desplegada en ocho ámbitos de uso sensibles, todos ellos enumerados en el anexo III:
Obligaciones de los proveedores de alto riesgo
| Requisito | Descripción |
| Gestión de riesgos (artículo 9) | Identificación, evaluación y mitigación continuas de los riesgos a lo largo de todo el ciclo de vida. |
| Gobernanza de datos (Art.10) | Los datos de entrenamiento deben ser pertinentes, representativos, sin errores y examinados para detectar sesgos. |
| Documentación técnica (Art. 11) | Documentación exhaustiva antes de la colocación en el mercado, conservada 10 años |
| Registro automático (Art. 12) | Los sistemas deben generar registros de eventos que permitan la trazabilidad durante toda su vida útil |
| Transparencia (art. 13) | Información clara a los responsables del despliegue sobre capacidades, limitaciones y uso correcto |
| Supervisión humana (Art. 14) | Diseñado para que el ser humano pueda comprender, controlar, anular o detener el sistema. |
| Precisión, solidez, ciberseguridad (Art. 15) | Métricas de precisión declarada; resistencia a errores y ataques de adversarios. |
| Sistema de gestión de la calidad (Art. 17) | Procesos de calidad documentados que abarcan todo el ciclo de vida |
| Evaluación de la conformidad (Art. 43) | Autoevaluación para la mayoría de los sistemas del anexo III; auditoría obligatoria por terceros para los sistemas de identificación biométrica. |
Pero los proveedores de servicios de IA no son los únicos que deben hacer frente a las obligaciones de la Ley de IA. Los implementadores también deben cumplir una serie de obligaciones según el artículo 26 de la Ley. Los implementadores son organizaciones que utilizan sistemas de IA en sus operaciones, como herramientas de revisión de contratos basadas en IA o soluciones de selección de recursos humanos. El siguiente cuadro no es exhaustivo
Obligaciones de los desplegadores de alto riesgo
| Requisito | Descripción |
| Utilice el sistema según las instrucciones (§1) | Debe seguir las instrucciones de uso del proveedor y no reutilizar el IA más allá de su función prevista. |
| Asignar una supervisión humana cualificada (§2) | Designar a personas capacitadas con autoridad y recursos para supervisar, intervenir y anular la IA; se requieren personas nombradas y competentes. |
| Supervisar los sistemas e informar de los problemas (§5) | Vigilar el rendimiento y suspender el uso en caso de riesgos; los implementadores deben informar de los incidentes a los proveedores y a las autoridades. |
| Para los organismos públicos, uso del registro (§8) | Las autoridades públicas deben consultar la base de datos de la UE antes de utilizar un sistema de alto riesgo; si no está registrado, no pueden utilizarlo. |
| Cooperar con las autoridades (§12) | Colaborar con los reguladores en cualquier acción que emprendan en relación con el sistema de IA. Obstaculizar esta obligación constituye en sí mismo un incumplimiento. |
Información útil: Las organizaciones que incumplan la normativa pueden enfrentarse a una multa de hasta 15 millones de euros o el 3% de la facturación mundial, y de hasta 7,5 millones de euros o el 1% por facilitar información engañosa.
Nivel 3: Riesgo limitado / Obligaciones de transparencia (artículo 50)
El artículo 50 de la Ley de IA exige a los proveedores e implantadores de sistemas de riesgo limitado que cumplan las obligaciones de transparencia. Entre ellas se incluyen:
- Chatbots
- Deepfakes y medios sintéticos
- Sistemas de reconocimiento de emociones y categorización biométrica
| Quién | Obligación | Excepción |
| Proveedor | Informar a los usuarios cuándo están interactuando con una IA (§1) | No es necesario si se considera obvio para una persona razonable o para la aplicación de la ley penal |
| Proveedor | Marcar todos los contenidos generados por IA (audio, vídeo, texto e imagen) como IA en formato legible por máquina (§2). | Excepto para la asistencia de edición estándar o la aplicación de la ley penal |
| Implementador | Informar a los usuarios cuando se utilice en ellos el reconocimiento de emociones o la categorización biométrica (§3). | No necesaria para la aplicación de la legislación penal (con salvaguardias) |
| Implementador | Divulgar deepfakes y textos de interés público generados por IA (§4) | En el caso de las obras creativas, la divulgación es necesaria sin perturbar el disfrute del público; no es necesaria si el texto ha sido revisado por una persona. |
Nivel 4: Riesgo mínimo
La gran mayoría de los sistemas de IA (filtros de spam, motores de recomendación, IA de videojuegos, herramientas de productividad) no conllevan obligaciones. Se fomentan los códigos de conducta voluntarios.
Todos los modelos de IA deben cumplir
El capítulo V de la Ley de IA se refiere a los modelos de IA de propósito general (modelos GPAI). Establece que todos los modelos de IA pueden conllevar riesgos en función de su integración posterior, no de los propios modelos. Las obligaciones que figuran a continuación entraron en vigor en agosto de 2025.
Por esta razón, todos los proveedores de GPAI deben:
- Preparar la documentación técnica
- Proporcionar a los integradores posteriores información sobre capacidades y limitaciones.
- Implantar una política de cumplimiento de los derechos de autor
- Publicar un resumen suficientemente detallado del contenido de los datos de entrenamiento
Además, los modelos GPAI considerados portadores de riesgo sistémico* deben también:
- Realizar pruebas adversarias/red-teaming
- Evaluar y mitigar los riesgos de forma sistemática
- Notificar los incidentes graves a la Oficina de AI
- Aplicar medidas de ciberseguridad reforzadas
Información útil: El Código de Buenas Prácticas de GPAI, publicado en julio de 2025, ofrece vías de cumplimiento voluntario. En la actualidad, entre sus signatarios figuran Amazon, IBM, Google y Microsoft, entre otros.
* Se presume cuando el cómputo acumulativo de entrenamiento supera los 10²⁵ FLOPs (número de operaciones en coma flotante ejecutadas por segundo).(número de operaciones en coma flotante ejecutadas por segundo, que mide la velocidad de procesamiento informático de los modelos basados en IA).
Quién hace cumplir la Ley de AI
Al igual que otras normativas de la UE, la estructura de aplicación funciona a dos niveles, comunitario y nacional.
Cumplimiento en la UE
La Unión Europea creó una Oficina de Inteligencia Artificial para hacer cumplir directamente las obligaciones de la GPAI. Esta oficina cuenta con el apoyo de expertos independientes y un foro consultivo en el que participan la industria, el mundo académico y la sociedad civil.
La Junta Europea de IA, por su parte, coordina la aplicación nacional. Dicho consejo cuenta con un representante por Estado miembro. [1]
Aplicación a nivel nacional
Cada Estado miembro debe designar autoridades de vigilancia del mercado con poderes para acceder a la documentación, los conjuntos de datos e incluso el código fuente, y para ordenar la retirada o recuperación del sistema. Los organismos notificados realizan evaluaciones de conformidad de terceros para los sistemas de identificación biométrica y de seguridad de los productos.
Algunos Estados miembros han decidido crear nuevos órganos de gobierno para supervisar la aplicación de la Ley de Inteligencia Artificial, mientras que otros recurren a las autoridades existentes. Por ejemplo, España creó la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) en 2023. Francia y Alemania asignaron la responsabilidad de la IA a la CNIL (Commission Nationale de l’Informatique et des Libertés) y a la BNetzA (Bundesnetzagentur / Agencia Federal de Redes), respectivamente.
Los entornos aislados de regulación son obligatorios: cada Estado miembro debe establecer al menos uno antes de agosto de 2026. Estos entornos controlados permiten a los proveedores desarrollar y probar la IA bajo supervisión reguladora, con acceso gratuito para las PYME. En marzo de 2026, ya existen entornos de pruebas operativos en Dinamarca, España, Italia, Luxemburgo y Francia, y muchos otros están en fase de desarrollo.
Próximos pasos para el Director Jurídico y la Función Jurídica
La Ley de Inteligencia Artificial de la UE redefine fundamentalmente el papel de la función jurídica en la gobernanza de la tecnología, que ha dejado de ser un mero punto de control del cumplimiento para convertirse en un elemento clave de la arquitectura de responsabilidad de la IA.
No se trata de asumir las responsabilidades de IT; se trata de garantizar que la adopción de la IA se alinee con la tolerancia al riesgo legal, los requisitos normativos y los objetivos estratégicos. En nuestro próximo artículo, exploraremos los retos a los que se enfrentan los directores jurídicos, cómo pueden liderar esta transformación y qué estructuras de gobernanza marcarán la diferencia entre el cumplimiento reactivo y el liderazgo estratégico.
