Saltar al contenido
Portada » Cómo afecta la nueva ley de IA a las empresas en 2025: AI Act

Cómo afecta la nueva ley de IA a las empresas en 2025: AI Act

En el centro, un cerebro dividido en dos mitades: la izquierda, de color azul, con patrones de circuitos electrónicos que simbolizan la inteligencia artificial; la derecha, de color rosa y amarillo, con formas curvas que evocan la actividad cerebral humana. A la izquierda, una mano robótica azul se acerca al cerebro, mientras que a la derecha, una mano humana con el dedo índice extendido también lo toca. Ambas manos apuntan al centro del cerebro, simbolizando la interacción entre tecnología y mente humana en un entorno digital oscuro con elementos gráficos futuristas.

AI Act de la UE: Cómo Afecta la Nueva Ley de Inteligencia Artificial a las Empresas en 2025

La inteligencia artificial ha pasado de ser una promesa futurista a convertirse en una herramienta integrada en los procesos cotidianos de miles de empresas.

Desde sistemas de atención al cliente automatizados hasta algoritmos que analizan datos financieros o ayudan a tomar decisiones estratégicas, la IA está presente en todo tipo de sectores.

Ante este avance acelerado, la Unión Europea ha aprobado el AI Act, o Reglamento (UE) 2024/1689, el primer reglamento legal del mundo centrado íntegramente en la regulación de la inteligencia artificial.

Adoptada en 2024, la norma comenzará a aplicarse de forma progresiva desde 2025 y establecerá un marco jurídico común para garantizar un uso seguro, ético y transparente de la IA en el mercado europeo.

¿Qué implica esto para las empresas?

Pues, cualquier organización que desarrolle, comercialice o utilice sistemas de inteligencia artificial dentro o fuera de la Unión deberá cumplir una serie de requisitos técnicos, legales y organizativos.

No trata solo de gigantes tecnológicos, sino también de pymes, plataformas digitales, empresas de servicios y proveedores internacionales.

En este artículo analizamos qué es el IA Act, a quién afecta, cuáles son sus obligaciones clave y qué consecuencias puede tener su incumplimiento para las empresas.

Un contenido imprescindible para anticiparse a la nueva era de la regulación tecnológica.

¿Qué es el IA Act?

La UE se ha propuesto liderar el desarrollo y uso de la inteligencia artificial a nivel mundial.

Para ello, busca establecer un marco normativo e institucional robusto que garantice un uso eficiente, seguro y conforme a valores europeos como la transparencia, la rendición de cuentas y la protección de derechos individuales.

El Reglamento de Inteligencia Artificial (IA Act) se presenta como una de las iniciativas más ambiciosas que forman parte esencial de la estrategia europea de regular las tecnologías basadas en IA.

Aprobado en 2024, su principal característica es que se trata de la primera normativa del mundo que pretende regular la IA desde un enfoque transversal, preventivo y basado en una evaluación de los riesgos que pudiesen suponer su uso.

A diferencia de otros modelos, el enfoque europeo prioriza la supervisión, la ética tecnológica y la protección de los ciudadanos.

Al tratarse de un reglamento, su aplicación es directa y uniforme en todos los Estados miembros, sin necesidad de transposición a los ordenamientos nacionales.

Además, su ámbito de aplicación es extraterritorial, lo que significa que afecta a cualquier proveedor, sin importar su país de origen.

Si los sistemas de IA se utilizan en el mercado interior de la U.E, les será de aplicación esta normativa.

Clasificación de sistemas IA: esquema de riesgos

El enfoque basado en el riesgo clasifica en función del nivel de riesgo que presentan para la seguridad y los derechos fundamentales en función de cuatro niveles:

Riesgo inaceptable

El capítulo II del AI Act establece una serie de prácticas prohibidas en el uso de sistemas de inteligencia artificial, al considerarse incompatibles con los derechos fundamentales.

Estas prácticas afectan a la dignidad humana, la privacidad y a la no discriminación.

Por ello están expresamente vetadas por el Reglamento.

Entre ellas se encuentran:

  • El uso de sistemas que manipulen o engañen a personas de forma que puedan perjudicar sus derechos fundamentales, como la discriminación, la alteración del comportamiento o el trato desfavorable hacia determinados grupos.
  • La utilización de sistemas de IA para evaluar o predecir el comportamiento humano en relación con la comisión de delitos, especialmente cuando sustituyen una valoración judicial o policial.
  • La creación de bases de datos mediante la recopilación masiva e indiscriminada de imágenes faciales obtenidas de forma automática (por ejemplo, a través del raspado de internet).
  • El reconocimiento de emociones de personas físicas en contextos sensibles como el lugar de trabajo o el entorno educativo.
  • El uso de sistemas de identificación biométrica remota en tiempo real en espacios públicos, salvo excepciones muy concretas, como la búsqueda de personas desaparecidas o la prevención de amenazas graves para la seguridad pública. En estos casos, los Estados miembros podrán autorizar su uso, siempre que se regule mediante normativa específica.

En total, el Reglamento prohíbe ocho prácticas consideradas especialmente lesivas para los derechos fundamentales: la manipulación cognitiva y emocional, la explotación de vulnerabilidades, la puntuación social, la evaluación predictiva del riesgo penal, la recolección masiva de datos biométricos, el reconocimiento de emociones, la categorización biométrica de personas, y la identificación biométrica remota en tiempo real en espacios públicos.

Riesgo alto

¿Cómo identificar un sistema IA de alto riesgo?

Estos son los sistemas que se usan directamente a sectores esenciales como salud, seguridad o educación.

Así, el artículo 6 del reglamento considera un sistema de IA de alto riesgo aquel que reúna dos condiciones:

Cuando esté relacionado con un producto regulado por la legislación UE

Todo sistema IA destinado a utilizarse como parte de seguridad de un producto, o siendo el sistema IA en sí mismo un producto cubierto por la legislación de armonización de la Unión en el anexo I;

Cuando el producto deba someterse a una evaluación de la conformidad por terceros

Con el fin de introducirse en el mercado o para su puesta en servicio, deberá ser evaluado por un organismo independiente, no solo su fabricante con arreglo a la legislación de armonización de la Unión en el anexo I.

De manera adicional, se considerarán sistemas de alto riesgo los referidos en el Anexo III, a excepción de cuando no planteen un riesgo significativo o no influyan directamente en toma de decisiones.

Los Anexos del IA Act

Los anexos del AI Act son esenciales porque definen los sectores, delitos y productos que determinan el nivel de riesgo y las obligaciones legales aplicables a los sistemas de inteligencia artificial en la UE.

Hay un total de tres:

  • ANEXO I: enumera leyes de la Unión destinadas a armonizar las normas de los Estados en una amplia gama de ámbitos como aviación civil, transportes, equipos radioeléctricos, embarcaciones, vehículos, juguetes, combustibles, productos sanitarios, ascensores…
  • ANEXO II: enumera una lista de delitos penales graves para limitar el uso de sistemas de IA por parte de autoridades para predecir o detectar únicamente estos delitos.
  • ANEXO III: establece las áreas de aplicación en las que el uso de un sistema de inteligencia artificial puede ser clasificado como de alto riesgo. Estas áreas incluyen:
  • sistemas biométricos;
  • infraestructuras críticas;
  • educación y formación profesional; recursos humanos (incluyendo el empleo, la gestión de personal y el acceso al autoempleo);
  • acceso a servicios esenciales (como seguros de salud, servicios de emergencia, crédito bancario o prestaciones públicas);
  • fuerzas y cuerpos de seguridad;
  • gestión de la migración, el asilo y el control fronterizo;
  • la administración de justicia y los procesos democráticos.

Los controles para sistemas de alto riesgo

En definitiva, el uso de sistemas de IA en los ámbitos anterior no está prohibido, pero deben someterse a controles previos a su utilización, debido al impacto que pudiesen generar, con el fin de garantizar la transparencia, fiabilidad de los productos y el respeto de los derechos fundamentales.

Por lo tanto, los requisitos para los sistemas de alto riesgo serán controles de seguimiento que deberán incluir, teniendo en cuenta su finalidad:

  • Sistemas de gestión de riesgos.
  • Registros de actividad automáticos y gobernanza de datos sobre las operaciones que garanticen su trazabilidad y facilite su supervisión.
  • Documentación técnica detallada sobre el funcionamiento, desarrollo y diseño del sistema IA (datos, procesos de entrenamiento, validación).
  • Información clara y detallada que mantenga la transparencia e información comprensible y permita un uso responsable al usuario.
  • Medidas de supervisión humana, y si es necesario, posibilidad de intervención en el funcionamiento del sistema. Incluyendo la posibilidad de detener su operación.
  • Nivel de precisión, robustez y ciberseguridad que protejan los accesos no autorizadosy manipulaciones.
  • Sistemas de gestión de calidad para garantizar el cumplimiento.

Modelos de IA de propósito general (GPAI)

De forma complementaria, el AI Act contempla los modelos de inteligencia artificial de propósito general (GPAI), definidos en el artículo 3, apartado 63.

Se trata de sistemas entrenados con grandes volúmenes de datos que no están diseñados para una tarea específica, sino que pueden aplicarse a múltiples fines y contextos, lo que los convierte potencialmente en sistemas de alto riesgo.

Algunos ejemplos de GPAI son las herramientas de redacción de textos, generación de contenido, análisis de datos, atención al cliente.

Es decir, herramientas como GPT-4 de OpenIA o Gemini que podrían estar sujetos a una regulación reforzada dentro de la U.E.

Estos modelos se caracterizan por un entrenamiento a gran escala, una notable capacidad para ejecutar una amplia gama de tareas y una alta reutilización en distintos productos o servicios.

Su relevancia radica en su versatilidad y alcance, ya que pueden generar riesgos emergentes, imprevisibles o difíciles de controlar.

Por este motivo, el AI Act les impone requisitos específicos cuando los GPAI supongan un riesgo sistémico.

Especialmente en lo relativo a transparencia, documentación técnica, gestión de riesgos y, en el caso de modelos de impacto sistémico, medidas reforzadas de supervisión y seguridad (artículo 55 del reglamento).

Riesgo limitado

Estos sistemas de IA se consideran de riesgo limitado debido a que requieren obligaciones específicas de transparencia.

Esto se debe a que interactúan directamente con personas físicas o generan contenido sintético como texto, audio, imágenes o vídeos, incluyendo aquellos que imitan de forma realista a personas, objetos, lugares o entidades reales (los conocidos como contenidos de «ultrasuplantación» o deepfakes).

En estos supuestos, el Reglamento exige que los usuarios sean informados de forma clara y comprensible de que están interactuando con un sistema de inteligencia artificial, o de que el contenido ha sido generado o manipulado artificialmente.

Esta obligación busca garantizar la transparencia, proteger a las personas frente al engaño y fomentar la confianza en el uso de la inteligencia artificial.

Riesgo mínimo o nulo

Estas no se encuentras reguladas de manera explícita en el reglamento.

La gran mayoría de los sistemas de la U.E entran dentro de esta categoría.

Obligaciones para las empresas

El AI Act establece un marco de responsabilidades diferenciado para las empresas, dependiendo del rol que desempeñen en relación con un sistema de inteligencia artificial.

Las obligaciones varían también en función del nivel de riesgo del sistema: alto, limitado, o mínimo.

Para los proveedores

Los proveedores son responsables de desarrollar, comercializar o poner en servicio un sistema de IA.

Cuando el sistema es de alto riesgo, deberán cumplir con los requisitos técnicos y legales anteriores.

Los proveedores de GPAI podrán demostrar su cumplimiento si se adhieren voluntariamente a un código de buenas prácticas.

Pero ¿quién asume la responsabilidad como proveedor?

Pues, no siempre es el desarrollador del sistema.

Según el IA Act, el concepto de proveedor tiene un enfoque amplio.

Será considerado proveedor, aquel que:

  • Coloque su nombre o marca en un sistema IA ya comercializado o puesto en servicio (aún sin desarrollarlo directamente);
  • Modifique significativamente un sistema ya en el mercado;
  • Cambie la finalidad de un sistema de IA de manera que ese cambio lo convierta en un sistema de alto riesgo según esta regulación.

Para los usuarios

Los usuarios, entendidos como empresas, organizaciones o entidades públicas que utilizan un sistema de IA en el curso de su actividad profesional, también están sujetos a una serie de obligaciones, especialmente cuando emplean sistemas de alto riesgo.

Los usuarios de sistemas IA conforme al Reglamento deberán:

  • Usarlos conforme a las instrucciones del proveedor.
  • Asignar un personal competente para la supervisión humana adecuada.
  • Garantizar la calidad de los datos de entrada.
  • Conservar los registros de actividad durante al menos 6 meses.
  • Notificar incidentes graves de manera inmediata al proveedor (daños significativos a personas, bienes o derechos).
  • Informar a las personas afectadas de forma clara y comprensible sobre los efectos directos del uso.
  • Verificar el cumplimiento normativo (marcado CE y registros) previos a su uso.
  • Informar a los usuarios en sistemas de riesgos limitados.

Dudas generales sobre el IA Act de la Unión Europea

¿Me afecta la Ley IA de la Unión Europea con sistemas de IA de riesgo mínimo o nulo?

No, el AI Act afecta a cualquier empresa que desarrolle, utilice o comercialice IA en la UE, esté o no establecida en ella.

Sin embargo, las obligaciones varían según el rol de la empresa y el nivel de riesgo del sistema: los de riesgo alto tienen requisitos estrictos; los de riesgo limitado deben garantizar transparencia con los usuarios; y los de riesgo mínimo o nulo no tienen obligaciones legales, aunque se fomenta el uso de buenas prácticas voluntarias.

¿Cómo sé si soy un usuario de sistemas de IA de riesgo alto?

Será usuario de un sistema de IA de riesgo alto aquel que utilice un sistema que influye directamente en decisiones que afectan derechos fundamentales (como la educación, la salud, el empleo, el acceso a servicios esenciales o la justicia).

Por ejemplo, si una empresa integra GPT-4 en un chatbot para procesos de selección de personal, y este influye en decisiones sobre contratación o rechazo de candidatos, entonces deberá evaluar si ese uso entra dentro de las áreas de riesgo alto, como establece el Anexo III del AI Act.

En ese caso, debería cumplir las obligaciones correspondientes al uso de sistemas de alto riesgo, como asegurar la supervisión humana, la calidad de los datos y conservar registros de uso.

¿Qué pasa si no se cumple con los requisitos?

El incumplimiento del AI Act puede suponer:

  • Multas de hasta 35 millones de euros o el 7% del volumen de negocio global (según la infracción).
  • Retirada del sistema del mercado o suspensión de su uso.
  • Investigaciones y sanciones administrativas por parte de las autoridades nacionales.
  • Riesgos reputacionales y legales por vulnerar derechos fundamentales.

¿Cuándo comenzará a ser de aplicación?

La entrada en vigor del AI Act será progresiva, conforme al artículo 113. Estas son las fechas clave:

2 de febrero de 2025:

Comienzan a aplicarse las prohibiciones sobre sistemas de IA de riesgo inaceptable (Capítulos I y II).

2 de mayo de 2025:

La Comisión Europea prepara los códigos de buenas prácticas para proveedores de modelos GPAI.

2 de agosto de 2025:

Entrarán en vigor:

  • Las normas para organismos de evaluación de sistemas de alto riesgo.
  • La designación de autoridades nacionales competentes en cada Estado Miembro (art. 70).
  • Las obligaciones para proveedores de modelos GPAI.
  • La revisión del régimen de gobernanza y sanciones (art. 112).

2 de agosto de 2026:

La Comisión publicará directrices prácticas para la clasificación de sistemas de alto riesgo y su seguimiento poscomercialización.

2 de agosto de 2027

Fecha límite para que:

  • Los proveedores de modelos GPAI comercializados cumplan plenamente con la ley.
  • Los Estados miembros apliquen las normas sancionadoras y establezcan una estructura reguladora completa.
  • Se realice la revisión anual del reglamento por parte de la Comisión.
Banner promocional de RRYP Global, despacho de abogados con oficinas en Córdoba, Málaga y Madrid, ofreciendo asesoramiento jurídico especializado. Incluye el mensaje '¿Necesitas asesoramiento jurídico?' y datos de contacto: teléfono +34 957 858 952, email info@rrypglobal.com. En el fondo, ilustraciones relacionadas con servicios legales y negocios.

RRYP Global.

Etiquetas:

Ana Pérez

Graduada en Relaciones Internacionales y Máster en Altos Estudios Internacionales y Europeos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Artículos relacionados

Cómo pagar a un proveedor de otro país de forma segura

Cuando empiezas a hacer pagos internacionales a proveedores, la primera duda es: ¿cómo pago sin arriesgar mi dinero ni retrasar el pedido? Si eliges mal,… Read More »Cómo pagar a un proveedor de otro país de forma segura

Una persona con traje oscuro sostiene un bloque amarillo que conecta dos secciones de un puente de bloques de madera, simbolizando una conexión o mediación. A cada extremo del puente hay una figura de madera con forma humana: una de color rojo y otra de color verde. La escena representa un concepto de mediación, resolución de conflictos o construcción de acuerdos entre dos partes.

¿Qué es el arbitraje comercial internacional?

En el campo del comercio internacional, sobre todo a nivel privado, es muy común que se produzcan diferentes problemas o controversia; ya sea por fallos… Read More »¿Qué es el arbitraje comercial internacional?

Hombre vestido con traje oscuro y corbata azul sostiene dos piezas de rompecabezas blancas frente a él, una en cada mano, alineándolas para encajarlas. La imagen representa conceptos como conexión, colaboración, solución de problemas o integración empresarial.

Retos legales en fusiones de empresas internacionales

Retos legales en fusiones de empresas internacionales Descubre los desafíos legales clave en las fusiones internacionales y cómo superarlos con éxito. Introducción Las fusiones internacionales… Read More »Retos legales en fusiones de empresas internacionales

¿HABLAMOS?

Si buscas información legal personalizada, agenda una videollamada con nosotros, tú eliges el día y la hora en función de tu disponibilidad. También puedes concertar una reunión personal en nuestras oficinas o podemos hablar por teléfono. Llámanos al 957858952 y establecemos la mejor modalidad.

Agendar reunión
Consultar asunto