Capítulos 11 Vigente desde: 2 de agosto de 2025 (por fases)

Ley de IA

Ley de Inteligencia Artificial

Resumen

La Ley de IA de la UE es el primer reglamento horizontal integral del mundo sobre inteligencia artificial. Adoptada en marzo de 2024 y entrando en vigor el 1 de agosto de 2024, establece un marco basado en el riesgo que categoriza los sistemas de IA según su potencial daño e impone requisitos en consecuencia.[1]

El reglamento tiene como objetivo garantizar que los sistemas de IA comercializados en la UE sean seguros, respeten los derechos fundamentales y fomenten la innovación mediante la certeza jurídica.

Fechas de aplicación por fases

FechaHito
1 de agosto de 2024Entrada en vigor de la Ley de IA
2 de febrero de 2025Prácticas de IA prohibidas; obligaciones de alfabetización en IA aplican
2 de agosto de 2025Obligaciones para modelos GPAI; aplicación de reglas de gobernanza
2 de agosto de 2026Aplicación completa para sistemas de IA de alto riesgo
2 de agosto de 2027Requisitos para IA de alto riesgo (Anexo I) en ciertas legislaciones de seguridad de productos

Categorías de riesgo

Prácticas de IA prohibidas (Artículo 5)[2]

Las siguientes prácticas de IA están prohibidas a partir del 2 de febrero de 2025:

  • Manipulación subliminal: IA que explota vulnerabilidades más allá de la conciencia
  • Explotación de vulnerabilidades: Dirigida a edad, discapacidad o circunstancias socioeconómicas
  • Calificación social: Clasificación de personas basada en comportamiento que conduce a un trato perjudicial
  • Policía predictiva: Predicción individual de delitos basada únicamente en perfiles
  • Raspado facial no dirigido: Creación de bases de datos de reconocimiento facial a partir de fuentes públicas
  • Reconocimiento de emociones: En lugares de trabajo e instituciones educativas (con excepciones)
  • Categorización biométrica: Inferencia de atributos sensibles como raza, política o religión
  • Identificación biométrica remota en tiempo real: En espacios públicos para fuerzas del orden (con excepciones)

Sistemas de IA de alto riesgo (Artículo 6)[3]

Los sistemas de IA en estas áreas están sujetos a requisitos estrictos:

  • Identificación y categorización biométrica
  • Gestión de infraestructuras críticas (energía, transporte, agua, gas)
  • Educación y formación profesional (admisiones, evaluaciones)
  • Empleo (reclutamiento, evaluación de desempeño, despido)
  • Acceso a servicios esenciales (calificación crediticia, servicios de emergencia)
  • Fuerzas del orden (evaluación de pruebas, evaluación de riesgos)
  • Migración y control fronterizo
  • Justicia y procesos democráticos

Modelos de IA de Propósito General (GPAI)

Los proveedores de modelos GPAI deben:

  • Mantener documentación técnica
  • Proporcionar información para el cumplimiento de proveedores posteriores
  • Establecer políticas de cumplimiento de derechos de autor
  • Publicar resúmenes del contenido de entrenamiento

GPAI de riesgo sistémico (modelos entrenados con >10^25 FLOPs) tienen obligaciones adicionales incluyendo pruebas adversariales y reporte de incidentes.[4]

Requisitos para IA de alto riesgo

RequisitoDescripción
Gestión de riesgosEstablecer, documentar y mantener un sistema de gestión de riesgos
Gobernanza de datosAsegurar que los datos de entrenamiento sean relevantes, representativos y sin errores
Documentación técnicaDocumentación detallada del sistema antes de su comercialización
RegistroRegistro automático de las operaciones del sistema
TransparenciaInstrucciones claras para el usuario e información sobre capacidades
Supervisión humanaPermitir supervisión e intervención humana
Precisión y robustezRendimiento consistente en los casos de uso previstos
CiberseguridadProtección contra accesos y manipulaciones no autorizadas

Obligación de alfabetización en IA (Artículo 4)

A partir del 2 de febrero de 2025, todos los proveedores y desplegadores deben asegurar:

"El personal y otras personas que manejen la operación y uso de sistemas de IA en su nombre tienen un nivel suficiente de alfabetización en IA."[5]

Esto se aplica ampliamente a todos los casos de uso de IA, no solo a sistemas de alto riesgo.

Sanciones

  • Prácticas de IA prohibidas: Hasta 35 millones de € o el 7% de la facturación global
  • Infracciones de alto riesgo: Hasta 15 millones de € o el 3% de la facturación global
  • Información incorrecta: Hasta 7,5 millones de € o el 1% de la facturación global[6]

Las pymes y startups pueden beneficiarse de límites proporcionales.

Acciones clave para desarrolladores

  1. Clasifique sus sistemas de IA por nivel de riesgo
  2. Documente los casos de uso de IA y los propósitos previstos
  3. Implemente programas de alfabetización en IA para todo el personal
  4. Evalúe las obligaciones para alto riesgo si aplica
  5. Monitoree los requisitos de GPAI para el uso de modelos base
  6. Prepárese para evaluaciones de conformidad (sistemas de alto riesgo)

Fuentes y referencias

[1]
Reglamento (UE) 2024/1689 que establece normas armonizadas sobre inteligencia artificial. EUR-Lex: Texto oficial de la Ley de IA
[2]
Artículo 5 de la Ley de IA: Prácticas de IA prohibidas. Explorador de la Ley de IA: Artículo 5
[3]
Artículo 6 de la Ley de IA: Reglas de clasificación para sistemas de IA de alto riesgo. Explorador de la Ley de IA: Artículo 6
[4]
Obligaciones para modelos de IA de Propósito General. Comisión Europea: Obligaciones GPAI
[5]
Artículo 4 de la Ley de IA: Alfabetización en IA. Explorador de la Ley de IA: Artículo 4
[6]
Artículo 99 de la Ley de IA: Sanciones. Explorador de la Ley de IA: Artículo 99