¿Qué es el EU AI Act? Guía completa para empresas españolas en 2025

El Reglamento (UE) 2024/1689, conocido como EU AI Act o Ley de Inteligencia Artificial de la UE, es la primera legislación integral del mundo diseñada para regular el desarrollo, comercialización y uso de sistemas de inteligencia artificial. Fue aprobado por el Parlamento Europeo en marzo de 2024 y publicado en el Diario Oficial de la UE en julio de 2024.

¿Por qué existe el EU AI Act?

La Unión Europea ha sido pionera en establecer un marco regulatorio para la IA con un enfoque basado en el riesgo. El objetivo es doble: proteger los derechos fundamentales de los ciudadanos europeos frente a los riesgos que plantea la IA, y al mismo tiempo fomentar la innovación responsable y la competitividad europea en el sector.

A diferencia de enfoques más laxos como el de Estados Unidos, la UE ha optado por un reglamento vinculante con sanciones significativas, similar al modelo del RGPD que en su día transformó la protección de datos a nivel mundial.

Los 4 niveles de riesgo

El AI Act clasifica los sistemas de IA en cuatro categorías de riesgo, cada una con obligaciones diferentes:

1. Riesgo inaceptable (Prohibido) — Art. 5

Sistemas completamente prohibidos en la UE. Incluyen: manipulación subliminal, explotación de vulnerabilidades de personas, scoring social por parte de gobiernos, y reconocimiento facial en tiempo real en espacios públicos (con excepciones limitadas para seguridad).

2. Alto riesgo — Anexo III

Sistemas que requieren evaluación de conformidad, documentación técnica exhaustiva y supervisión humana obligatoria. Incluyen IA en: identificación biométrica, infraestructuras críticas, educación, empleo, servicios esenciales, migración, administración de justicia, y aplicación de la ley.

• Evaluación de conformidad obligatoria
• Sistema de gestión de riesgos (Art. 9)
• Gobernanza de datos (Art. 10)
• Documentación técnica (Art. 11 + Anexo IV)
• Registro de actividades (Art. 12)
• Transparencia e información (Art. 13)
• Supervisión humana (Art. 14)
• Precisión, robustez y ciberseguridad (Art. 15)

3. Riesgo limitado — Art. 50

Sistemas con obligaciones de transparencia específicas. Los usuarios deben ser informados de que interactúan con una IA. Aplica a: chatbots, sistemas de generación de contenido (deepfakes), y sistemas de reconocimiento de emociones.

4. Riesgo mínimo

Sin obligaciones específicas, aunque se recomienda seguir códigos de conducta voluntarios. Ejemplos: filtros de spam, videojuegos con IA, herramientas de recomendación de contenido.

Plazos clave que debes conocer

• Febrero 2025: Prohibición de prácticas de IA inaceptables
• Agosto 2025: Obligaciones para IA de propósito general (GPAI)
• Agosto 2026: Obligaciones para sistemas de alto riesgo del Anexo III
• Agosto 2027: Obligaciones para alto riesgo del Anexo I (productos regulados)

¿Cómo afecta a las empresas españolas?

Si tu empresa opera en la UE y usa cualquier sistema de IA — ya sea desarrollado internamente o comprado a un tercero (como ChatGPT, Salesforce Einstein, HubSpot AI, etc.) — te aplica el AI Act. Esto incluye PYMEs, autónomos y grandes empresas.

La AESIA (Agencia Española de Supervisión de la IA) ya está operativa como autoridad nacional de supervisión y ha publicado 16 guías prácticas para facilitar el cumplimiento.

Cómo prepararte: 5 pasos esenciales

• Inventaría todos los sistemas de IA de tu organización (incluso los que no sabías que tenías)
• Clasifica cada sistema según su nivel de riesgo
• Genera la documentación técnica obligatoria para sistemas de alto riesgo
• Implementa mecanismos de supervisión humana
• Establece un sistema de monitorización continua