EU AI Act Explorer

Establece normas armonizadas para la introducción en el mercado, puesta en servicio y utilización de sistemas de IA en la Unión.

Aplica a proveedores, responsables del despliegue, importadores y distribuidores que coloquen o utilicen sistemas de IA en la UE, independientemente de su lugar de establecimiento.

Define 68 términos clave incluyendo 'sistema de IA', 'proveedor', 'responsable del despliegue', 'modelo de IA de propósito general', 'riesgo sistémico', y otros conceptos fundamentales.

Los proveedores y responsables del despliegue tomarán medidas para garantizar un nivel suficiente de alfabetización en materia de IA de su personal y demás personas que trabajen con sistemas de IA.

Prohíbe: (a) manipulación subliminal, (b) explotación de vulnerabilidades, (c) scoring social por autoridades públicas, (d) evaluación de riesgo de delincuencia basada únicamente en perfilado, (e) creación de bases de datos de reconocimiento facial mediante scraping no dirigido, (f) inferencia de emociones en el trabajo y educación (salvo seguridad), (g) categorización biométrica para inferir datos sensibles, (h) identificación biométrica remota en tiempo real en espacios públicos (con excepciones).

Un sistema de IA es de alto riesgo si: (1) es un componente de seguridad de un producto del Anexo I, o (2) el propio sistema es un producto del Anexo I que requiere evaluación de conformidad por terceros, o (3) entra en alguna categoría del Anexo III.

Establece la obligación de implementar un sistema de gestión de riesgos continuo e iterativo a lo largo de todo el ciclo de vida del sistema de IA de alto riesgo, incluyendo identificación, análisis, estimación y evaluación de riesgos.

Los conjuntos de datos de entrenamiento, validación y prueba estarán sujetos a prácticas de gobernanza de datos apropiadas: relevancia, representatividad, corrección de errores, evaluación de sesgos y medidas de mitigación.

La documentación técnica se elaborará antes de la introducción en el mercado y se mantendrá actualizada. Contendrá la información indicada en el Anexo IV.

Los sistemas de IA de alto riesgo permitirán técnicamente el registro automático de eventos (logs) durante todo su período de funcionamiento.

Los sistemas de IA de alto riesgo se diseñarán de modo que su funcionamiento sea suficientemente transparente para que los responsables del despliegue puedan interpretar los resultados y utilizarlos adecuadamente.

Los sistemas de IA de alto riesgo se diseñarán para poder ser supervisados eficazmente por personas físicas durante su período de utilización, incluyendo la capacidad de intervenir, ignorar resultados o detener el sistema.

Los sistemas de IA de alto riesgo se diseñarán para alcanzar niveles apropiados de precisión, robustez y ciberseguridad, y funcionarán de manera coherente en esos aspectos durante todo su ciclo de vida.

Los responsables del despliegue que sean organismos de Derecho público o entidades privadas que presten servicios públicos realizarán una evaluación del impacto sobre los derechos fundamentales antes de poner en uso un sistema de alto riesgo.

Obligaciones para: (1) sistemas que interactúan con personas — informar que están interactuando con IA, (2) sistemas de reconocimiento de emociones o categorización biométrica — informar a los expuestos, (3) deepfakes — etiquetar el contenido como generado artificialmente, (4) contenido generado por IA publicado — marcado legible por máquina.

Un modelo GPAI se clasificará como de riesgo sistémico si: (a) tiene capacidades de gran impacto evaluadas mediante herramientas y metodologías técnicas adecuadas, o (b) la Comisión lo decide de oficio. Se presume alto impacto si la cantidad acumulada de cómputo usada para su entrenamiento supera 10^25 FLOPS.

Establece el procedimiento para que la Oficina de IA clasifique modelos GPAI como de riesgo sistémico y para que los proveedores notifiquen cuando su modelo alcance el umbral de 10^25 FLOPS.

Todos los proveedores de modelos GPAI deberán: (a) elaborar y mantener documentación técnica del modelo, (b) proporcionar información a proveedores de sistemas de IA que integren el modelo, (c) establecer una política de cumplimiento de derechos de autor, (d) publicar un resumen suficientemente detallado del contenido de entrenamiento.

Los proveedores de modelos GPAI establecidos fuera de la UE designarán un representante autorizado en la Unión antes de comercializar su modelo.

Los proveedores de modelos GPAI con riesgo sistémico deberán además: (a) realizar evaluaciones de modelos con pruebas adversariales, (b) evaluar y mitigar posibles riesgos sistémicos, (c) llevar registro de incidentes graves y comunicarlos, (d) garantizar un nivel adecuado de protección de ciberseguridad.

La Oficina de IA fomentará la elaboración de códigos de buenas prácticas a nivel de la Unión para facilitar la correcta aplicación de las obligaciones de los modelos GPAI, teniendo en cuenta enfoques internacionales.

Se fomenta la elaboración de códigos de conducta voluntarios para los sistemas de IA que no son de alto riesgo, incluyendo compromisos de sostenibilidad medioambiental, accesibilidad, diversidad y participación.

Tres niveles de multas: (1) Prácticas prohibidas — hasta 35M€ o 7% de facturación global. (2) Incumplimiento de sistemas de alto riesgo — hasta 15M€ o 3%. (3) Información incorrecta a autoridades — hasta 7,5M€ o 1,5%. Para PYMEs se aplica la cantidad menor. Las sanciones serán efectivas, proporcionadas y disuasorias.

Entrada en vigor: 1 agosto 2024. Aplicación escalonada: (1) Feb 2025 — prácticas prohibidas (Art. 5) y alfabetización IA (Art. 4). (2) Ago 2025 — modelos GPAI (Cap. V) y gobernanza. (3) Ago 2026 — sistemas de alto riesgo Anexo III, transparencia, obligaciones de deployers. (4) Ago 2027 — alto riesgo Anexo I (productos regulados).

Sistemas de IA destinados a la identificación biométrica remota (no en tiempo real), categorización biométrica por atributos sensibles, y reconocimiento de emociones.

IA como componente de seguridad en gestión de tráfico vial, suministro de agua/gas/calefacción/electricidad, y tráfico digital.

IA para determinar acceso a instituciones educativas, evaluar estudiantes, evaluar el nivel educativo apropiado, y supervisar conducta prohibida en exámenes.

IA para: publicación de ofertas dirigidas, filtrado/evaluación de candidaturas, toma de decisiones sobre contratación/ascenso/despido, asignación de tareas basada en comportamiento/rasgos, y monitorización del rendimiento laboral.

IA para: evaluar elegibilidad para prestaciones públicas, scoring crediticio, evaluación de riesgo en seguros (vida/salud), priorización en servicios de emergencia.

IA para: evaluación de riesgo de reincidencia, polígrafos, evaluación de pruebas, perfilado de personas sospechosas, y análisis de delitos.

IA para: evaluación de riesgo de seguridad, examen de solicitudes de asilo/visado, detección/reconocimiento/identificación de personas, y evaluación de autenticidad de documentos.

IA para asistir a autoridades judiciales en la investigación e interpretación de hechos y la aplicación del derecho, y sistemas que puedan influir en resultados electorales.