Cumplimiento de la Ley de IA de la UE: lo que las empresas deben saber en 2026

La Ley de Inteligencia Artificial de la UE (Reglamento (UE) 2024/1689) entró en vigor el 1 de agosto de 2024: la primera regulación integral de IA del mundo, que establece un marco basado en riesgos para los sistemas de IA desplegados en el mercado de la UE o que afectan al mismo. Con obligaciones que se implementarán gradualmente hasta 2027, 2026 es el año crítico para la planificación del cumplimiento del sistema de IA de alto riesgo: los proveedores e implementadores de IA de alto riesgo deben tener evaluaciones de conformidad, documentación técnica y marcos de gobernanza implementados antes del 2 de agosto de 2026.

La Ley de IA de la UE tiene un alcance extraterritorial comparable al RGPD: cualquier sistema de IA comercializado en el mercado de la UE o utilizado en la UE, independientemente de dónde se encuentre el proveedor, está dentro de su alcance. Para los proveedores, desarrolladores, importadores, distribuidores e implementadores de IA que prestan servicios en los mercados de la UE o procesan datos de la UE, el cumplimiento no es opcional.

Conclusiones clave

• La Ley de IA de la UE establece cuatro niveles de riesgo: riesgo inaceptable (prohibido), riesgo alto, riesgo limitado y riesgo mínimo
• Los sistemas de IA prohibidos deben retirarse del mercado de la UE antes del 2 de febrero de 2025
• Los sistemas de IA de alto riesgo se enfrentan a las obligaciones más exigentes: evaluación de la conformidad, documentación técnica, evaluación del impacto en los derechos fundamentales, seguimiento poscomercialización.
• Los modelos de IA de uso general (GPAI) (como GPT-4, Claude, Gemini) enfrentan obligaciones específicas; Los modelos GPAI de riesgo sistémico enfrentan mayores requisitos
• La Oficina Europea de IA (establecida en marzo de 2024) supervisa las obligaciones del modelo GPAI; Las autoridades nacionales de vigilancia del mercado supervisan la IA de alto riesgo.
• Multas por incumplimiento: hasta 35 millones de euros o el 7 % de la facturación anual mundial por violaciones prohibidas de la IA; hasta 15 millones de euros o el 3 % por infracciones de IA de alto riesgo
• Se están designando organismos notificados para la evaluación de la conformidad por terceros; Muchos sistemas de alto riesgo pueden autoevaluarse
• Se están desarrollando códigos de prácticas y normas armonizadas: supervisar a la EASA y los organismos pertinentes

---

Calendario y aplicación gradual de la Ley de IA de la UE

Las obligaciones de la Ley de IA se introducen progresivamente a lo largo de tres años:

---

Marco de clasificación de riesgos

La Ley de IA clasifica los sistemas de IA en cuatro niveles de riesgo:

Nivel 1: Riesgo inaceptable (IA prohibida)

El artículo 5 prohíbe absolutamente los siguientes sistemas de IA en la UE a partir del 2 de febrero de 2025:

• Manipulación subliminal: sistemas de inteligencia artificial que implementan técnicas subliminales más allá de la conciencia o técnicas engañosas para distorsionar materialmente el comportamiento de una manera que causa o es razonablemente probable que cause un daño significativo.
• Explotación de vulnerabilidades: IA que explota las vulnerabilidades de grupos específicos (edad, discapacidad, situación social/económica) para distorsionar materialmente el comportamiento.
• Puntuación social de las autoridades públicas: sistemas de inteligencia artificial utilizados por las autoridades públicas o en nombre de ellas para evaluar o clasificar a las personas en función de su comportamiento social o características personales que conducen a un trato perjudicial.
• Identificación biométrica en tiempo real en espacios públicos: sistemas remotos de identificación biométrica en tiempo real utilizados en espacios de acceso público con fines policiales (excepciones limitadas por terrorismo, delitos graves, niños desaparecidos)
• Categorización biométrica basada en atributos protegidos: IA que clasifica a los individuos basándose en datos biométricos para deducir raza, etnia, religión, opiniones políticas, orientación sexual y afiliación sindical.
• Reconocimiento de emociones en el lugar de trabajo y la educación: sistemas de inteligencia artificial que infieren emociones en el lugar de trabajo o la educación (con excepciones limitadas)
• Predicción de delitos basada en perfiles: IA policial predictiva basada únicamente en perfiles sin evaluación individual
• Raspado de bases de datos de reconocimiento facial no dirigido: IA que crea o amplía bases de datos de reconocimiento facial mediante raspado no dirigido

Acción requerida: si su sistema de IA entra en alguna de estas categorías, se requiere su retirada inmediata del mercado de la UE. Si alguna característica de su producto de IA se acerca a estas definiciones, la revisión legal es esencial.

Nivel 2: IA de alto riesgo

Los sistemas de IA de alto riesgo (artículos 6 y anexo III) enfrentan las obligaciones de cumplimiento más amplias. El estatus de alto riesgo se aplica a:

IA como componente de seguridad de productos regulados (Anexo I): sistemas de IA que son componentes de seguridad de productos sujetos a la legislación de armonización de la UE (dispositivos médicos, maquinaria, aviación, automoción, juguetes, ascensores, equipos a presión, equipos de protección personal, equipos de radio, diagnósticos in vitro, equipos marinos, teleféricos, vehículos agrícolas y forestales, sistemas ferroviarios, embarcaciones de recreo, explosivos)

Sistemas de IA independientes de alto riesgo (Anexo III — 8 categorías):

1. Identificación biométrica y categorización de personas naturales: Identificación biométrica en tiempo real y post-remota; verificación biométrica; categorización biométrica
2. Infraestructura crítica: IA que gestiona u opera infraestructura digital crítica, tráfico rodado o servicios públicos (agua, gas, calefacción, electricidad)
3. Educación y formación profesional: la IA determina el acceso a la educación, asigna oportunidades educativas y evalúa a los estudiantes
4. Gestión de empleo y trabajadores: Reclutamiento y selección (filtrado de CV, evaluación de entrevistas), evaluación del desempeño, decisiones de promoción/despido, asignación de tareas en plataformas de economía colaborativa
5. Acceso a servicios privados y públicos esenciales: IA que evalúa la solvencia (excepto evaluación crediticia de pequeño volumen/propósito), evaluación de riesgos de seguros, seguro médico
6. Aplicación de la ley: polígrafos, evaluación de la confiabilidad de las pruebas, elaboración de perfiles de riesgo de delito, reconocimiento facial en grabaciones para investigaciones criminales.
7. Migración, asilo, control de fronteras: IA para la evaluación poligráfica de migrantes/solicitantes de asilo, evaluación de riesgos de cruce ilegal, verificación de documentos, asistencia en solicitudes
8. Administración de justicia y procesos democráticos: IA para interpretar hechos y leyes en decisiones judiciales, influyendo en elecciones/comportamiento electoral

Nivel 3: IA de riesgo limitado

Sistemas de IA con obligaciones de transparencia pero sin evaluación de la conformidad:

• Chatbots e interacción con IA: deben revelar a los usuarios que están interactuando con un sistema de IA (a menos que sea obvio por el contexto).
• Reconocimiento de emociones y categorización biométrica: revelar a las personas cuando están sujetas a estos sistemas
• Deepfakes: etiquetar el contenido generado por IA como generado o manipulado artificialmente (particularmente importante para elecciones, noticias y contenido educativo)

Nivel 4: IA de riesgo mínimo

Los sistemas de IA que presentan un riesgo mínimo (filtros de spam, videojuegos habilitados para IA, IA en el control de calidad de la fabricación) no enfrentan obligaciones específicas de la Ley de IA más allá de los requisitos generales de la ley de productos. Se le anima a cumplir voluntariamente los códigos de conducta.

---

Obligaciones del sistema de IA de alto riesgo

Si su sistema de IA está clasificado como de alto riesgo, se aplican las siguientes obligaciones (Capítulos 3 y 5):

1. Sistema de Gestión de Riesgos (Artículo 9)

Establecer y mantener un sistema de gestión de riesgos documentado que cubra todo el ciclo de vida del sistema de IA:

• Identificación y análisis de riesgos razonablemente previsibles para la salud, la seguridad y los derechos fundamentales
• Estimación y evaluación de riesgos
• Evaluación frente a datos de seguimiento post-comercialización.
• Medidas de gestión de riesgos (riesgo residual aceptable, eliminado o mitigado)

2. Datos y gobernanza de datos (Artículo 10)

Los datos de capacitación, validación y prueba deben cumplir criterios de calidad específicos:

• Relevante, representativo, libre de errores y completo para el propósito previsto.
• Examinar posibles sesgos y tomar medidas de mitigación adecuadas.
• Detección de sesgos, especialmente en lo que respecta a características protegidas (raza, género, edad, discapacidad)
• Documentación de procedencia de los datos.

3. Documentación Técnica (Artículo 11 y Anexo IV)

Preparar documentación técnica completa antes de su comercialización:

• Descripción general del sistema de IA.
• Descripción detallada de elementos y proceso de desarrollo.
• Seguimiento, funcionamiento y control del sistema.
• Procedimientos de validación y prueba.
• Documentación de gestión de riesgos.
• Cambios realizados a lo largo del ciclo de vida.
• Lista de normas armonizadas aplicadas
• Copia de la declaración UE de conformidad

4. Mantenimiento de registros y registros (Artículo 12)

Los sistemas de IA de alto riesgo deben tener habilitado el registro automático durante toda la operación:

• Registro de eventos relevantes para evaluar el cumplimiento.
• Registros operativos que permiten la identificación de riesgos e incidentes.
• Los registros se conservan durante el período adecuado según el caso de uso (mínimo 6 meses para identificación biométrica; 3 años para IA laboral)

5. Transparencia e Información para los Implementadores (Artículo 13)

La IA de alto riesgo debe ser lo suficientemente transparente para que los implementadores entiendan lo que hace. Los proveedores deben proporcionar a los implementadores:

• Instrucciones de uso (claras, completas, correctas, comprensibles)
• Información sobre capacidades y limitaciones.
• Métricas de rendimiento en grupos específicos.
• Especificaciones de datos de entrada
• Información que permita a los implementadores cumplir con su obligación de evaluación de impacto sobre los derechos fundamentales.

6. Supervisión humana (Artículo 14)

La IA de alto riesgo debe diseñarse y desarrollarse para permitir la supervisión humana:

• Capacidad para comprender completamente las capacidades y limitaciones.
• Capacidad para monitorear el funcionamiento y detectar anomalías.
• Capacidad para anular, interrumpir o detener el sistema
• Capacidad para interpretar resultados (especialmente IA biométrica y laboral)
• Para decisiones totalmente automatizadas: medidas de supervisión adecuadas a los riesgos.

7. Precisión, Robustez y Ciberseguridad (Artículo 15)

La IA de alto riesgo debe alcanzar niveles adecuados de:

• Precisión adecuada para el propósito previsto
• Robustez ante errores, fallas, inconsistencias y ataques adversarios.
• Ciberseguridad durante todo el ciclo de vida; evaluación de robustez adversarial

8. Sistema de Gestión de la Calidad (Artículo 17)

Los proveedores deben implementar un sistema de gestión de calidad que cubra:

• Estrategia de cumplimiento normativo
• Técnicas y procesos para el diseño de sistemas de IA.
• Procedimientos de validación y prueba del sistema.
• Mantenimiento de documentación técnica.
• Seguimiento post-comercialización
• Marco de rendición de cuentas y aprobación de la alta dirección

9. Declaración UE de conformidad (artículo 47)

Los proveedores deben redactar una Declaración UE de conformidad por escrito y colocar el marcado CE antes de su comercialización.

10. Registro en la base de datos de la UE (artículo 49)

Los sistemas de IA de alto riesgo (Anexo III) deben registrarse en la base de datos de la UE antes de su comercialización. La Oficina Europea de IA está creando la base de datos de la Ley de IA de la UE.

---

Obligaciones del modelo de IA de propósito general (GPAI)

El Capítulo V (Artículos 51 a 56) aborda específicamente los modelos de IA de uso general: grandes modelos de IA entrenados con una gran cantidad de datos que pueden realizar una amplia gama de tareas (GPT-4, Claude, Gemini, Llama). Las obligaciones se aplican a los proveedores del modelo GPAI, no a los implementadores.

Todos los proveedores del modelo GPAI (artículo 53)

• Preparar y mantener documentación técnica para las autoridades nacionales y la Oficina de IA.
• Proporcionar información y documentación a proveedores intermedios que integran GPAI en sus sistemas de IA.
• Cumplir con la normativa de derechos de autor (Directiva 2001/29/CE): proporcionar un resumen de los datos de formación
• Publicar resumen del contenido utilizado para la formación.

Modelos GPAI de Riesgo Sistémico (Artículo 55)

Los modelos GPAI con riesgo sistémico, definidos como modelos entrenados con un cómputo total superior a 10^25 FLOP, enfrentan mayores obligaciones:

• Pruebas adversarias (equipo rojo) según protocolos de última generación
• Reportar incidentes graves y medidas correctivas a AI Office
• Protección de ciberseguridad para pesos de modelos, arquitectura y datos de entrenamiento.
• Informes de eficiencia energética

La Oficina Europea de IA mantiene una lista de modelos GPAI de riesgo sistémico. Los modelos designados actuales incluyen GPT-4 y modelos fronterizos comparables. A medida que los costos de computación disminuyen, este umbral puede capturar más modelos con el tiempo.

---

Proceso de evaluación de la conformidad

La evaluación de la conformidad determina si un sistema de IA de alto riesgo cumple con los requisitos de la Ley de IA antes de su comercialización.

Autoevaluación (control interno - Anexo VI): Para la mayoría de los sistemas de IA de alto riesgo del Anexo III (excepto la identificación biométrica), los proveedores pueden autoevaluar la conformidad. Esto implica que el proveedor realice y documente la evaluación completa de cada requisito aplicable, firme la Declaración de conformidad y mantenga la documentación técnica.

Evaluación de terceros (Organismo notificado): Requerido para los sistemas de identificación biométrica (Anexo III, punto 1) y la IA con componentes de seguridad en productos del Anexo I donde la legislación de armonización pertinente requiere una evaluación de terceros.

Organismos notificados: Designados por los estados miembros de la UE y publicados en la base de datos NANDO. La designación de organismos notificados para la Ley de IA está en curso; las organizaciones deben involucrar a los organismos notificados con anticipación dadas las posibles limitaciones de capacidad.

---

Requisitos del marco de gobernanza de la IA

Los artículos 26 y 57 a 63 establecen requisitos de gobernanza para las organizaciones que implementan (no solo proporcionan) IA de alto riesgo:

Obligaciones del implementador:

• Asignar un revisor humano con autoridad para anular las decisiones de la IA en casos de uso de alto riesgo.
• Garantizar que el personal que opera IA de alto riesgo esté capacitado y sea competente
• Realizar evaluaciones de impacto en los derechos fundamentales (FRIA) para determinada IA de alto riesgo implementada por organismos públicos o en determinados contextos del sector privado.
• Supervisar el funcionamiento de los sistemas de IA; reportar incidentes a proveedores
• Mantenga registros de operación durante períodos mínimos de retención.

Conocimientos generales sobre IA: el artículo 4 exige que los proveedores y los implementadores garanticen que su personal tenga suficientes conocimientos sobre IA: comprensión de las capacidades, limitaciones y riesgos de la IA relevantes para su función.

---

Lista de verificación de cumplimiento de la Ley de IA de la UE

• Inventario del sistema de IA completado: todos los sistemas de IA utilizados, proporcionados o implementados evaluados
• Clasificación de riesgo determinada para cada sistema de IA (prohibido, alto riesgo, riesgo limitado, riesgo mínimo)
• Sistemas de IA prohibidos (Anexo I) retirados o modificados antes de febrero de 2025
• Obligaciones del modelo GPAI evaluadas si se proporcionan LLM o modelos básicos
• Sistemas de IA de alto riesgo identificados: enfoque de evaluación de la conformidad determinado (autoridad u organismo notificado)
• Documentación técnica preparada para cada sistema de IA de alto riesgo.
• Sistema de gestión de riesgos documentado
• Procedimientos de gobernanza de datos para datos de capacitación/validación/pruebas documentados
• [] Registro automático implementado en sistemas de IA de alto riesgo
• Mecanismos de supervisión humana implementados para la IA de alto riesgo
• Declaración de conformidad UE preparada y marcado CE aplicado
• Sistemas de IA de alto riesgo registrados en la base de datos de la UE
• Se establece un sistema de gestión de calidad para el desarrollo de la IA.
• Instrucciones de uso preparadas para implementadores
• Plan de seguimiento poscomercialización establecido
• Se implementó un programa de alfabetización en IA para el personal pertinente.
• Proceso FRIA establecido para contextos de implementación aplicables

---

Preguntas frecuentes

¿Se aplica la Ley de IA de la UE a las herramientas de IA que utilizamos internamente y no a las que vendemos externamente?

Sí, cuando esas herramientas entran en las categorías de alto riesgo. La Ley de IA se aplica tanto a los proveedores (que desarrollan y comercializan la IA) como a los implementadores (que utilizan sistemas de IA en contextos profesionales). Una organización que implementa un sistema de inteligencia artificial de alto riesgo de terceros (por ejemplo, una herramienta de selección de reclutamiento basada en inteligencia artificial) tiene obligaciones como la supervisión humana, la capacitación del personal y las evaluaciones de impacto en los derechos fundamentales. El proveedor de esa herramienta tiene obligaciones como proveedor, incluida la evaluación de la conformidad y la documentación técnica.

Utilizamos la API de OpenAI para crear una función de IA: ¿somos el proveedor o el implementador?

Es probable que usted sea un proveedor de un sistema de IA de alto riesgo si el sistema de IA general que implementa cae en una categoría de alto riesgo (Anexo III). OpenAI es un proveedor de modelos GPAI con sus propias obligaciones según el Capítulo V. Cuando integra un modelo GPAI en una aplicación de IA específica para un caso de uso regulado (por ejemplo, evaluación de CV, evaluación crediticia), se convierte en el proveedor de ese sistema de IA específico y asume las obligaciones de alto riesgo del Anexo III. OpenAI (como proveedor del modelo GPAI) debe brindarle documentación e información técnica para permitir su cumplimiento.

¿Qué es una Evaluación de Impacto en los Derechos Fundamentales (FRIA) y cuándo se requiere?

Una FRIA es una evaluación documentada de cómo un sistema de IA de alto riesgo podría afectar los derechos fundamentales: privacidad, no discriminación, libertad de expresión, acceso a la justicia, etc. Según el artículo 27, los implementadores de sistemas de IA de alto riesgo que sean organismos públicos u operadores privados que brinden servicios esenciales (banca, educación, atención médica), deben realizar una FRIA antes de implementar el sistema. La evaluación considera: qué derechos podrían verse afectados, qué riesgos surgen, cómo se pueden mitigar los riesgos, quién es el responsable. La FRIA debe estar registrada ante la autoridad de vigilancia del mercado pertinente.

¿Cómo interactúa la Ley de IA de la UE con el RGPD?

Las dos regulaciones son complementarias. El RGPD se aplica cuando los sistemas de inteligencia artificial procesan datos personales. La Ley de IA se aplica a los sistemas de IA independientemente de si procesan datos personales: cubre el diseño, la implementación y la supervisión del sistema de IA. Ambos se aplican simultáneamente cuando la IA de alto riesgo procesa datos personales: los requisitos del GDPR sobre base legal, minimización de datos y requisitos de DPIA se aplican al procesamiento de datos; Los requisitos de la Ley de IA para la gestión de riesgos, el registro, la supervisión humana y la evaluación de la conformidad se aplican al sistema de IA. Cuando la Ley de IA y el RGPD tienen requisitos superpuestos (por ejemplo, transparencia, toma de decisiones automatizada), se debe lograr el cumplimiento de ambos.

¿Cuáles son las sanciones por infracciones de la Ley de IA?

Las multas se clasifican según la gravedad de la infracción: (1) Infracciones prohibidas de IA (artículo 5): hasta 35 millones de euros o el 7 % de la facturación anual global, lo que sea mayor; (2) Otras violaciones de obligaciones de IA de alto riesgo: hasta 15 millones de euros o el 3% de la facturación anual global; (3) Proporcionar información incorrecta, incompleta o engañosa a las autoridades: hasta 7,5 millones de euros o el 1,5% de la facturación anual global. Las pymes y las nuevas empresas tienen importes máximos más bajos para las obligaciones previstas en las cláusulas (2) y (3). La Oficina Europea de IA tiene autoridad para hacer cumplir la ley sobre los modelos GPAI; las autoridades nacionales de vigilancia del mercado aplican en sus territorios.

¿Cuándo debemos registrar nuestro sistema de IA en la base de datos de la UE?

Los sistemas de IA de alto riesgo cubiertos por el anexo III deben registrarse antes de comercializarse en la UE o ponerse en servicio. La Oficina Europea de IA está creando la base de datos de la Ley de IA de la UE. La fecha límite del 2 de agosto de 2026 es cuando se aplican plenamente las obligaciones de registro para la IA independiente de alto riesgo (Anexo III). El registro requiere: detalles del proveedor, nombre y versión del sistema de IA, propósito previsto, categorías de usuarios, categoría de alto riesgo, detalles de la evaluación de la conformidad y referencia de la Declaración de Conformidad.

---

Próximos pasos

La Ley de IA de la UE representa un cambio fundamental en la forma en que se deben desarrollar, evaluar e implementar los sistemas de IA en el mercado de la UE. Para las empresas de tecnología que crean productos de IA, ya sean herramientas internas o aplicaciones orientadas al cliente, el cumplimiento requiere integrar la gobernanza de la IA en el ciclo de vida del desarrollo de productos, desde el diseño hasta la implementación y el monitoreo posterior a la comercialización.

Los servicios de la plataforma OpenClaw AI de ECOSIRE se crean teniendo en cuenta el cumplimiento de la Ley de AI de la UE. Nuestro equipo ayuda a las empresas a evaluar sus sistemas de IA según el marco de riesgo de la Ley, implementar los controles de gobernanza requeridos y prepararse para la evaluación de la conformidad.

Explore los servicios de cumplimiento de IA: Servicios ECOSIRE OpenClaw

Descargo de responsabilidad: esta guía tiene fines informativos únicamente y no constituye asesoramiento legal. Aún se están desarrollando orientaciones para la implementación de la Ley de IA de la UE, normas armonizadas y códigos de prácticas. Consulte a un asesor jurídico cualificado de la UE para obtener asesoramiento específico para sus sistemas de IA.