La Ley de Inteligencia Artificial de la UE ya no está en el horizonte: está ocurriendo. La aplicación está avanzando y los plazos ya están fijados. Para los profesionales de la gobernanza, el riesgo y el cumplimiento, este es el momento de actuar, no de correr riesgos.
Tanto si usted es proveedor, implantador o socio de terceros, esta amplia normativa está remodelando la forma en que debe llevarse a cabo la gobernanza de la IA en toda Europa. El tiempo corre para evaluar los riesgos de la IA, alinear los procesos internos y garantizar la preparación de la organización.
Analicemos lo que ya es de obligado cumplimiento, lo que está por venir y cómo los equipos de GRC pueden guiar a sus empresas a través de uno de los cambios normativos más importantes de la década.
Qué abarca la Ley de IA de la UE
En esencia, la Ley de Inteligencia Artificial de la UE es un marco regulador basado en el riesgo. Clasifica los sistemas de IA en cuatro categorías:
- Riesgo inaceptable - Prohibido totalmente (por ejemplo, sistemas de puntuación social)
- Alto riesgo - Requiere documentación, auditorías y supervisión humana (por ejemplo, sanidad, empleo, servicios públicos).
- Riesgo limitado - Debe cumplir las obligaciones de transparencia (por ejemplo, chatbots)
- Riesgo mínimo - Baja carga normativa (por ejemplo, filtros de spam)
Cada categoría conlleva obligaciones específicas. Algunas prácticas están totalmente prohibidas, como la vigilancia biométrica en tiempo real en espacios públicos (a menos que estén estrictamente exentas). Otras, como la IA para el cumplimiento de la ley o la verificación biométrica de la identidad, se consideran de alto riesgo y están muy reguladas.
Mientras tanto, las actividades de I+D, las aplicaciones militares y algunos GPAI de código abierto pueden estar exentos, dependiendo del caso de uso y del estado de despliegue.
Consejo: Si está investigando o creando prototipos de productos, compruebe si hay excepciones, pero documente sus salvaguardias de gobernanza.
¿Cómo sé si mi sistema es de alto riesgo?
Si su IA afecta a decisiones sobre los derechos, la seguridad o el acceso a los servicios de las personas, lo más probable es que esté dentro del ámbito de aplicación. También tendrá que determinar si su modelo puede considerarse una IA de propósito general (GPAI), un tipo de modelo entrenado para muchos usos posteriores. Los GPAI conllevan su propio conjunto de normas de gobernanza, especialmente si plantean riesgos sistémicos.
Consejo: coteje su cartera de IA con los niveles de riesgo del Anexo III de la Ley. Si no está seguro, asuma el escrutinio y prepárese en consecuencia.
¿Se aplica la Ley de IA de la UE a mi organización?
Lo más probable, aunque no esté en la UE. La Ley se aplica extraterritorialmente. Si su empresa vende, despliega o suministra sistemas de IA que afectan a personas en la UE, es probable que esté incluida en el ámbito de aplicación. Eso incluye a las empresas con sede en EE.UU. que ofrecen herramientas SaaS o GPAI de código abierto en línea. Su función -ya sea proveedor, implantador, importador o distribuidor- determina sus obligaciones exactas.
Buenas prácticas: Aclare las funciones internas. Identifique quién es legalmente responsable en su organización en virtud de la Ley de IA, especialmente si confía en proveedores o soluciones de marca blanca.
Sanciones por incumplimiento de la Ley de IA de la UE
Las sanciones son severas. Las infracciones pueden dar lugar a multas cuantiosas, lo que sitúa a la Ley de IA en el mismo nivel de aplicación que el RGPD, con un impacto más amplio.
- Hasta 35 millones de euros o el 7% de la facturación mundial por infringir prácticas prohibidas
- Hasta 15 millones de euros o el 3% del volumen de negocios por incumplimientos (por ejemplo, lagunas en la documentación GPAI)
- Nombramiento público, retirada de productos o prohibición de comercialización en caso de incumplimiento reiterado o sistémico.
Más allá de las multas reglamentarias, las empresas que incumplan el Acta de la UE pueden enfrentarse a indemnizaciones civiles y daños a su reputación. Los ciudadanos tienen derecho a presentar quejas sobre los sistemas de IA y "recibir explicaciones sobre las decisiones basadas en sistemas de IA de alto riesgo que afecten a sus derechos". Estas quejas dependerán de los conocimientos sobre IA y de la pericia de los ciudadanos perjudicados por estas tecnologías.
¿La buena noticia? Seguir el Código de Buenas Prácticas del PAMI de la UE puede mitigar el riesgo y demostrar una alineación proactiva, algo que las autoridades pueden tener en cuenta a la hora de hacer cumplir la normativa.
Su escudo: Siga el Código de buenas prácticas voluntario ahora para evitar exponerse más adelante.
Plazos clave para el cumplimiento de la Ley de IA de la UE: Y qué hacer al respecto
La aplicación es escalonada, pero ya está en marcha.
| Plazo | Requisito |
| 2 de febrero de 2025 | La formación en AI es necesaria para todos los usuarios y proveedores de sistemas de AI. |
| 2 de agosto de 2025 | Se exige el cumplimiento de la normativa a los proveedores de IA de propósito general (GPAI) |
| 2 de agosto de 2026 | Entran en vigor las obligaciones de IA de alto riesgo |
| 2 de agosto de 2027 | Las normas se amplían a los sistemas del Anexo II |
| Para 2030 | La plena integración en los sistemas a gran escala de la UE debe ser completa |
No espere. Incluso los sistemas de riesgo limitado pueden requerir divulgaciones de transparencia antes de estos plazos. Vamos a ampliar lo que estos requisitos pueden significar para su organización.
Requisitos de alfabetización en IA: 2 de febrero de 2025
Todas las organizaciones que desplieguen o proporcionen sistemas de IA -independientemente del nivel de riesgo- deben asegurarse de que los usuarios reciben la formación adecuada. Esto se aplica a empleados, contratistas y proveedores de servicios.
Una formación eficaz en AI debe abarcar:
- Cómo funcionan los sistemas de IA y cuáles son sus limitaciones
- Cómo evaluar los resultados generados por la IA
- Cómo gestionar las consideraciones jurídicas y éticas
- Cómo mantener la supervisión humana sobre las decisiones automatizadas
La documentación por sí sola no basta. La formación debe ser activa, específica para cada función e integrada en el programa de cumplimiento.
¿Todavía no está seguro de los requisitos de alfabetización en IA? Vea cómo define la Comisión Europea las disposiciones específicas de la Ley de la IA.
¿Necesita ayuda para empezar?
Las soluciones de formación en IA de Mitratech están diseñadas para satisfacer estos requisitos en constante evolución.
Más informaciónCumplimiento de la IA de propósito general (GPAI) - 2 de agosto de 2025
Los modelos GPAI -capaces de realizar una serie de tareas y utilizados en diversas aplicaciones- se enfrentan a un conjunto específico de obligaciones en virtud de la Ley de IA.
Si su organización desarrolla o comercializa modelos GPAI en el mercado de la UE, necesitará:
- Mantener una documentación técnica detallada
- Publicar resúmenes de los datos de formación
- Aplicar políticas de cumplimiento de los derechos de autor
- Vigilancia de los riesgos sistémicos
- Seguimiento y notificación de incidentes graves
- Siga las mejores prácticas de ciberseguridad
Aunque el Código de buenas prácticas del GPAI es voluntario, puede ayudar a demostrar el cumplimiento de buena fe y reducir las posibles sanciones.
Sistemas de alto riesgo bajo supervisión total: 2 de agosto de 2026
Para esa fecha, los sistemas de IA considerados de alto riesgo deberán cumplir requisitos de conformidad exhaustivos. Esto incluye:
- Evaluaciones formales de riesgos
- Documentación sólida
- Supervisión humana en tiempo real
- Evaluaciones de conformidad antes del despliegue
Además, cada Estado miembro de la UE debe ofrecer al menos un "sandbox" reglamentario para respaldar las pruebas seguras de los sistemas de alto riesgo.
Ampliación de los requisitos de cumplimiento: A partir del 2 de agosto de 2027
A partir de agosto de 2027, también estarán cubiertos los sistemas de IA enumerados en el anexo II (incluidos aquellos con aplicaciones de riesgo medio-alto).
Para entonces, todos los sistemas de IA desplegados en la UE -independientemente de su nivel- deberán demostrarlo:
- Funcionamiento transparente
- Mitigación continua de riesgos
- Toma de decisiones en bucle
De cara a 2030, los sistemas de IA integrados en la infraestructura informática a gran escala de la UE se enfrentarán a una gobernanza más estricta y a restricciones legales relacionadas con la seguridad, la justicia y las libertades civiles.
Medidas de cumplimiento de la Ley de AI de la UE
Si está desarrollando o comercializando sistemas de IA en el mercado de la UE, es posible que tenga que hacerlo:
- Mantener la documentación técnica
- Realizar evaluaciones de conformidad de los sistemas de alto riesgo
- Establecer sistemas de gestión de la calidad y los riesgos
- Forme a sus empleados en AI
- Publicar resúmenes de datos de formación y garantizar el cumplimiento de los derechos de autor
Para los modelos de alto riesgo, se requiere un registro detallado, supervisión humana y seguimiento posterior a la comercialización. Los proveedores de GPAI también deben mitigar los riesgos sistémicos, aplicar protocolos de ciberseguridad y notificar los incidentes graves.
Siguiente paso: Desarrolle una hoja de ruta de cumplimiento alineada con su clasificación de riesgos. No espere a que empiece a aplicarse la normativa para documentar sus controles.
Plan de Acción de la Ley de IA: Cómo pueden prepararse hoy los líderes de GRC
Para cumplir los plazos de la Ley de IA de la UE y reforzar la preparación de la organización, considere las siguientes acciones:
Trace su perfil de riesgo de IA
Catalogue todos los sistemas de IA en uso, clasifíquelos por niveles de riesgo y documente las necesidades de cumplimiento para cada uno de ellos.
Cree programas de alfabetización en IA basados en funciones
Desarrollar vías de formación adaptadas a las funciones técnicas, directivas y operativas. Incluir las dimensiones legales, éticas y prácticas del uso de la IA.
Integrar la supervisión de la IA en los programas de GRC
Integre los controles de IA en sus marcos más amplios de riesgo y cumplimiento. Considere la posibilidad de adoptar normas como ISO 42001 o el NIST AI RMF para apoyar el desarrollo de programas.
Refuerce la gobernanza de terceros
Audite a sus proveedores y socios de IA. Incluya los requisitos de la Ley de IA de la UE en los contratos y supervise el cumplimiento de las aplicaciones GPAI.
Siga los cambios normativos
La Comisión podría simplificar pronto las normas para las pequeñas y medianas empresas. Manténgase informado para seguir siendo ágil.
¿Preparado para liderar el cumplimiento de la IA?
La Ley de IA de la UE marca un momento crucial en el futuro de la gobernanza de la IA. Es más que un requisito de cumplimiento; genera confianza, refuerza la resistencia y mejora la integridad operativa.
Los profesionales de GRC desempeñan un papel fundamental en la creación de ecosistemas de IA responsables que sean seguros, éticos y resistentes. Mitratech ofrece soluciones integradas para ayudarle a navegar por esta regulación histórica. Descargue el folleto de gobernanza de IA de Mitratech o solicite una demostración de nuestras soluciones conectadas de riesgo y cumplimiento para empezar.
Construyamos una gobernanza de la IA que funcione para las personas, las organizaciones y los reguladores.
