Regulación de la IA en Europa: ¿qué significa para las empresas?
3 min. de lectura
Lo más importante en resumen
- El Reglamento sobre Inteligencia Artificial de la Unión Europea (IA Act) es la primera normativa integral del mundo para regular la inteligencia artificial.
- Los sistemas de IA se clasifican en cuatro categorías de riesgo: mínimo, limitado, alto e inaceptable.
- La IA de alto riesgo (por ejemplo, en gestión de recursos humanos, concesión de créditos o diagnóstico médico) requiere una evaluación de conformidad y la marcación CE.
- Las sanciones por incumplimiento pueden alcanzar hasta 35 millones de euros o el 7 % de la facturación anual mundial de la empresa.
- Las obligaciones entrarán en vigor progresivamente: la IA prohibida, a partir de febrero de 2025; la IA de alto riesgo, a partir de agosto de 2026.
Europa regula la inteligencia artificial – como primera región económica del mundo en hacerlo. El Reglamento sobre IA de la UE entró en vigor el 1 de agosto de 2024 y se aplicará gradualmente hasta su plena entrada en vigor en 2027. Las empresas que desarrollan o despliegan sistemas de IA asumen obligaciones concretas: clasificación del riesgo, documentación técnica, transparencia y, en algunos casos, certificación.
La buena noticia: la mayoría de las aplicaciones de IA en las pymes se encuadran en la categoría de «riesgo mínimo» y están sujetas únicamente a obligaciones leves. Sin embargo, quienes utilicen IA en gestión de recursos humanos, concesión de créditos o medicina deben comenzar ya sus preparativos.
Las cuatro clases de riesgo del Reglamento sobre Inteligencia Artificial (AI Act)
Riesgo inaceptable (prohibido): Evaluación social (social scoring), vigilancia masiva biométrica en tiempo real, sistemas de inteligencia artificial manipuladores y reconocimiento de emociones en el entorno laboral. Estas aplicaciones quedarán prohibidas a partir de febrero de 2025.
Riesgo elevado: Inteligencia artificial en selección de personal, concesión de créditos, educación, sistema judicial, infraestructuras críticas y dispositivos médicos. Requiere evaluación de conformidad, gestión de riesgos, garantía de calidad de los datos, transparencia y supervisión humana.
Riesgo limitado: Chatbots, deepfakes e información generada mediante inteligencia artificial. Obligación de transparencia: los usuarios deben saber cuándo están interactuando con un sistema de IA o cuando los contenidos han sido generados por IA.
Riesgo mínimo: Todas las demás aplicaciones de inteligencia artificial (filtros de correo no deseado, sistemas de recomendación, traducciones automáticas). No existen obligaciones específicas, aunque se prevén códigos de conducta voluntarios.
Qué exige concretamente la IA de alto riesgo
Las empresas que operan sistemas de inteligencia artificial (IA) de alto riesgo deben: implementar y documentar un sistema de gestión de riesgos; garantizar la calidad de los datos – los conjuntos de datos de entrenamiento deben ser representativos, libres de errores y no sesgados; elaborar una documentación técnica – que incluya la arquitectura del modelo, los datos de entrenamiento, las métricas de rendimiento y las limitaciones conocidas; asegurar una supervisión humana – una persona debe poder revisar y anular las decisiones tomadas por la IA; e implementar un sistema de registro de actividades (logging) – todas las decisiones deben registrarse de forma trazable.
La evaluación de conformidad puede realizarse, según el caso de uso, mediante autoevaluación o a través de una entidad notificada (auditoría externa).
Obligación de competencia en IA: formación para todo el personal
Un requisito frecuentemente pasado por alto: el artículo 4 del Reglamento sobre Inteligencia Artificial (AI Act) obliga a todas las empresas que utilicen sistemas de inteligencia artificial a garantizar la «alfabetización en IA» (AI Literacy); es decir, sus empleados deben poseer una competencia suficiente para trabajar con dichos sistemas. Esta obligación entró en vigor en febrero de 2025 y afecta también a las empresas que emplean sistemas de IA clasificados como de «riesgo mínimo».
En concreto: se exige formación sobre los fundamentos de la inteligencia artificial, su uso responsable, la detección de alucinaciones y sesgos (bias), así como sobre protección de datos en contextos que impliquen IA. La duración y profundidad de la formación no están fijadas legalmente, pero debe ser «adecuada» al contexto. Se recomienda documentar dichas acciones formativas.
Qué debe hacer ahora la mediana empresa
Paso 1: Elaborar un inventario de inteligencia artificial: ¿qué sistemas de IA se utilizan? ¿Chatbots, análisis con apoyo de IA o decisiones automatizadas? No olvidar los servicios externos de IA (ChatGPT, Claude, Copilot).
Paso 2: Clasificar los riesgos: ¿a qué categoría corresponde cada sistema? La mayoría se encuadran en la categoría de «riesgo mínimo» o «riesgo limitado». Hay que prestar especial atención a las herramientas de recursos humanos (selección de candidatos), los sistemas financieros (decisiones sobre concesión de créditos) y la comunicación con clientes (obligación de transparencia).
Paso 3: Garantizar la alfabetización en IA: impartir y documentar formaciones específicas para los empleados. Se trata de la obligación que entra en vigor antes que ninguna otra.
Paso 4: Para los sistemas de alto riesgo: elaborar una hoja de ruta de cumplimiento normativo, contratar asesoramiento externo y preparar la evaluación de conformidad.
Oportunidades: el Reglamento sobre Inteligencia Artificial como ventaja competitiva
A menudo se critica al Reglamento sobre Inteligencia Artificial (AI Act) por frenar la innovación. Sin embargo, puede ocurrir justo lo contrario: las empresas que demuestren un uso verificable de inteligencia artificial de confianza obtendrán una ventaja competitiva frente a clientes, socios y autoridades reguladoras. «Cumple con el AI Act» se convertirá en un distintivo de calidad, del mismo modo que hoy en día el cumplimiento del Reglamento General de Protección de Datos (RGPD) genera confianza.
Además, el AI Act es aplicable a todo el mercado único de la Unión Europea. Las empresas que cumplan sus requisitos tendrán acceso a 450 millones de consumidores. Las empresas no pertenecientes a la UE deberán respetar los mismos estándares si operan en Europa. Esto puede reforzar la posición de los proveedores europeos frente a competidores sujetos a una regulación menos estricta.
Preguntas frecuentes
¿El Reglamento sobre Inteligencia Artificial (AI Act) se aplica también a la IA que únicamente utilizamos, sin desarrollarla?
Sí. El AI Act distingue entre proveedores (desarrolladores) y usuarios finales (deployers). Estos últimos tienen obligaciones propias, especialmente en el caso de sistemas de IA de alto riesgo: supervisión humana, seguimiento continuo, obligación de notificación ante incidencias y fomento de la alfabetización en IA (AI Literacy).
¿Qué sanciones se aplican en caso de incumplimiento?
Multas de hasta 35 millones de euros o el 7 % del volumen de negocios anual mundial para prácticas prohibidas con IA. Hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial por infracciones de los requisitos aplicables a sistemas de IA de alto riesgo. La aplicación corresponde a las autoridades nacionales de vigilancia.
¿Está regulada la utilización de ChatGPT en el entorno empresarial?
Como modelo de IA de propósito general (General-Purpose-AI), ChatGPT está sujeto a la obligación de transparencia (los usuarios deben saber que están interactuando con un sistema de IA); además, OpenAI, como proveedor, asume responsabilidades específicas. Para la empresa como usuaria, ello implica garantizar la alfabetización en IA y mantener la transparencia ante las personas afectadas.
¿Es obligatorio designar un responsable de IA (AI Officer)?
El AI Act no exige la figura de un AI Officer dedicado, pero sí requiere que una persona asuma la responsabilidad de su implementación. En grandes empresas esta función suele materializarse en un Chief AI Officer. En pymes, dicha responsabilidad puede recaer en el delegado de protección de datos, el director de TI o el responsable de cumplimiento normativo (Compliance Officer).
¿Cuándo debe estar mi empresa en plena conformidad con el reglamento?
La entrada en vigor es escalonada: prácticas prohibidas con IA desde febrero de 2025; alfabetización en IA (AI Literacy) desde febrero de 2025; normas para modelos de IA de propósito general a partir de agosto de 2025; sistemas de IA de alto riesgo a partir de agosto de 2026; aplicación completa del reglamento a partir de agosto de 2027.
Fuente de la imagen principal: Pexels / Pavel Danilyuk
Recomendaciones de lectura de la redacción
- Calidad de los datos en las pymes: por qué la inteligencia artificial fracasa sin datos limpios
- Plataformas B2B: por qué los mercados online están transformando la comercialización
- Seguro cibernético para pymes: qué cobertura real ofrece
