Introducción y alcance del Reglamento de IA

El Reglamento (UE) 2024/1689 sobre inteligencia artificial (RIA) establece un marco jurídico uniforme para el desarrollo, comercialización y uso de sistemas de inteligencia artificial en la UE. Entró en vigor en agosto de 2024, pero sus disposiciones se aplican de forma escalonada. En particular, el 1 de agosto de 2025 comienzan a regir varias obligaciones clave, como las normas de gobernanza de la IA de propósito general (modelos fundacionales) y el régimen sancionador, mientras que otras (especialmente las obligaciones para sistemas de IA de alto riesgo) serán exigibles más adelante. El RIA sigue un enfoque basado en el riesgo, clasifica los sistemas de IA en cuatro niveles (riesgo inaceptable, alto, limitado y mínimo) con requisitos proporcionados a cada nivel.

Es importante destacar que el RIA aplica a operadores públicos y privados de IA en todos los sectores (salvo usos militares y otras excepciones puntuales).

Obligaciones Generales para todos los Sistemas de IA

1. Alfabetización y formación en IA (Art. 4). Desde febrero de 2025 es obligatoria la “alfabetización en IA” para proveedores y usuarios empresariales (responsables del despliegue) sobre esta obligación puedes leer un artículo completo en mi blog www.patriciamanso.com . Esto implica asegurar que el personal y colaboradores relevantes entiendan el funcionamiento, limitaciones, riesgos y potencial de los sistemas de IA con los que trabajan. En la práctica, la empresa debe implementar programas de formación adaptados a cada perfil (técnicos, directivos, usuarios finales), teniendo en cuenta sus conocimientos previos y el contexto de uso de la IA. El objetivo es que decisiones y usos de IA se realicen con conocimiento de causa, evitando una adopción ciega de la tecnología. Aunque la norma no detalla mecanismos concretos de verificación, es una buena práctica definir indicadores para medir la eficacia de esta formación (por ejemplo, evaluaciones periódicas al personal).

2. Prohibición de Prácticas de IA de riesgo inaceptable (Art. 5). El RIA prohíbe categóricamente ciertos sistemas o usos de IA por considerarlos una amenaza intolerable para derechos fundamentales, seguridad o confianza pública. Ninguna organización puede desarrollar, comercializar ni utilizar sistemas de IA en estas aplicaciones vetadas. Las principales prácticas prohibidas son:

• Manipulación subliminal o engañosa.
• Explotación de vulnerabilidades
• “Social scoring” automatizado.
• Predicción delictiva por perfilado.
• Creación masiva de bases biométricas:
• Reconocimiento de emociones en entornos laborales o educativos.
• Categorización biométrica sensible.
• Identificación biométrica remota en tiempo real con fines policiales: Salvo contadas excepciones legales, se prohíbe que las autoridades utilicen sistemas de reconocimiento biométrico en vivo (como cámaras con reconocimiento facial en lugares públicos) para la vigilancia generalizada en tiempo real.

Estas prohibiciones son de aplicación directa desde febrero de 2025 y vinculan a todos los actores: ningún proveedor puede introducir al mercado un sistema con estas funcionalidades, y ningún usuario (empresa ni autoridad) puede implementarlas. En caso de haber adquirido inadvertidamente una herramienta luego considerada prohibida, la empresa debe cesar su uso de inmediato. Incumplir el art. 5 puede conllevar sanciones máximas y medidas correctivas severas.

3. Obligaciones de transparencia (IA de riesgo limitado). El Reglamento impone requisitos de transparencia para ciertos sistemas de IA incluso si no son de alto riesgo, cuando su opacidad podría afectar a las personas. El objetivo es que los individuos sepan cuándo interactúan con una IA o consumen contenido generado por IA, evitando engaños.
Aunque formalmente estas disposiciones serán exigibles a partir de agosto de 2026 (plena aplicación del RIA), se recomienda encarecidamente implementarlas desde 2025 para fomentar la confianza y adelantarse a posibles riesgos de desinformación. Proveedores y usuarios deben colaborar: el proveedor incorporando las funciones necesarias (mensajes al usuario, marcas de agua, etc.) y el usuario desplegando la IA respetando esas funcionalidades y avisando al difundir contenido sintético.

4. Requisitos para Modelos de IA de uso general (GPAI). Una novedad del Reglamento es regular los modelos de IA de uso general o modelos fundacionales, como los grandes modelos de lenguaje (p.ej. ChatGPT, Copilot, Claude, Bard) entrenados con datos masivos y aplicables a múltiples fines . Las principales obligaciones recaen en los proveedores que introducen estos modelos en el mercado de la UE,efectivos desde agosto de 2025 . En síntesis, un proveedor de GPAI debe:

• Cumplir con la documentación técnica y las obligaciones de transparencia.
• Establecer criterios de mitigación de riesgos y calidad.

Las empresas usuarias de modelos fundacionales deben tener en cuenta que, si integran un GPAI en sus propios productos o servicios de IA, asumen responsabilidad sobre el sistema resultante en conjunto. Es decir, si se utiliza un modelo pre-entrenado (de un tercero) dentro de una solución propia, esa empresa pasa a ser proveedora de ese sistema integrado y debe garantizar que cumple todos los requisitos aplicables. Por ejemplo, una compañía que incorpore un modelo generativo en su plataforma de atención al cliente deberá cerciorarse de que la solución final respeta las obligaciones (p. ej. avisa al usuario, supervisa las salidas, etc.), no pudiendo escudarse únicamente en que “el modelo base es compliant”.

5. Otros sistemas de IA de riesgo mínimo. Para aplicaciones de IA no cubiertas en las categorías anteriores (riesgo muy bajo o mínimo), el Reglamento no impone requisitos legales específicos más allá del respeto al marco jurídico general. No obstante, se fomentan códigos de conducta voluntarios y la adhesión a principios éticos para asegurar una IA confiable incluso cuando la ley no obliga.

Empresas que usen IA de bajo riesgo (por ej., herramientas internas de productividad con IA) deberían igualmente promover la transparencia interna, la no discriminación y buenas prácticas de seguridad. Esto no solo prepara a la organización para eventuales futuras regulaciones, sino que genera confianza en empleados y clientes. Los reguladores europeos (como la futura Oficina Europea de IA) están ya emitiendo orientaciones y códigos de buenas prácticas para estos casos, incentivando una cultura de cumplimiento proactivo más allá de la mera obligación legal.

Obligaciones Específicas para Sistemas de IA de Alto Riesgo

Los sistemas de IA de alto riesgo son aquellos que pueden afectar significativamente la salud, seguridad o derechos fundamentales de las personas principalmente. El Anexo III del RIA enumera los ámbitos de alto riesgo, incluyendo (entre otros) sistemas integrados en productos sujetos a certificaciones de seguridad (vehículos autónomos, dispositivos médicos, maquinaria, juguetes, etc.) y sistemas desplegados en sectores sensibles como: identificación biométrica (diferida), gestión de infraestructuras críticas, educación y formación, empleo y recursos humanos (ej. criba de CVs), servicios financieros esenciales (no analizamos el sector financiero aquí, pero p. ej. scoring crediticio), aplicación de la ley y justicia, migración y fronteras, servicios públicos esenciales, etc. Si una solución de IA de la empresa cae en alguno de esos supuestos, se considera “de alto riesgo” y deberá cumplir requisitos estrictos antes y durante su despliegue.

Nota: Estas obligaciones específicas de alto riesgo serán jurídicamente exigibles a partir del 2 de agosto de 2026 (y algunas incluso en 2027, según el caso). No obstante, dado el impacto que pueden tener y el tiempo de adaptación requerido, es imprescindible que las empresas comiencen desde 2025 a prepararse para ellas. A continuación, resumimos los requisitos clave y responsabilidades tanto para el proveedor de un sistema de alto riesgo (quien desarrolla o comercializa la IA) como para el usuario empresarial que lo despliega en su actividad.

1.- Requisitos esenciales de diseño y desarrollo para el proveedor: antes de poner en el mercado o utilizar un sistema de IA de alto riesgo, el proveedor debe asegurarse de que este cumple una serie de requisitos técnicos y organizativos detallados en el Capítulo III del RIA. En términos prácticos, en líneas generales se debe implementar lo siguiente:

• Sistema de gestión de riesgos.
• Calidad de datos y gobernanza de datos.
• Documentación técnica exhaustiva.
• Sistemas de trazabilidad y registros.
• Transparencia e información al usuarios
• Supervisión humana.
• Robustez, precisión y ciberseguridad.

2.- Evaluación de conformidad y marcado CE: antes de comercializar o poner en servicio un sistema de alto riesgo, el proveedor debe someterlo a un procedimiento formal de evaluación de la conformidad para verificar que cumple todos los requisitos anteriores. Según el caso, esta evaluación puede requerir la participación de un organismo notificado independiente, o en ciertos casos el proveedor puede optar por un control interno (autoevaluación) siguiendo el Anexo VI del RIA.

3.- Registro en la base de datos de la UE: además de la certificación, el RIA establece la creación de una Base de Datos Europea de sistemas de IA de alto riesgo. El proveedor deberá registrar cada sistema (subir cierta información básica sobre él) antes de su despliegue comercial.

4.- Obligaciones post-comercialización: una vez el sistema está en el mercado o funcionando en la organización, el proveedor debe emprender vigilancia y mantenimiento proactivo de la conformidad. Esto incluye establecer un plan de monitorización post-mercado para recoger la experiencia de uso real, retroalimentar mejoras y detectar posibles problemas no identificados en la fase de desarrollo.

Al margen de las obligaciones más inherentes a los proveedores existen también obligaciones del usuario empresarial (responsable del despliegue). La empresa que adquiera o utilice un sistema de IA de alto riesgo de un tercero –o despliegue uno desarrollado internamente– tiene también deberes específicos para usarlo de forma segura y conforme:

• Usar según instrucciones.
• Supervisión humana efectiva.
• Verificación de datos de entrada.
• Monitorización y gestión de incidencias.
• Conservación de registros.
• Información a personas afectadas.
• Otras obligaciones específicas.

En resumen, los sistemas de IA de alto riesgo requieren un esfuerzo de cumplimiento multidisciplinar: el proveedor debe construir un producto seguro, certificado y documentado; los distribuidores/importadores deben chequear que lo que comercializan lleva su marcado CE y documentación; y el usuario final debe usar la IA de forma responsable, con controles y vigilancia continua. Aunque muchas de estas obligaciones aún no son exigibles legalmente hasta 2026-2027, las empresas deberían empezar a incorporarlas en sus procesos desde 2025 para no verse sorprendidas. Implementar desde ya un sistema interno de gestión de compliance para IA de alto riesgo (similar al compliance de producto o de datos personales) será clave para evitar sanciones y, más importante, para prevenir daños a las personas y la sociedad derivados de un uso inapropiado de la IA.