La primera ley integral de IA del mundo, que establece un marco basado en el riesgo para los sistemas de IA en todo el mercado único de la UE.
El EU AI Act (Reglamento 2024/1689) es el primer marco jurídico integral del mundo para la inteligencia artificial. Adoptado el 13 de junio de 2024, establece normas armonizadas para el desarrollo, la introducción en el mercado, la puesta en servicio y el uso de sistemas de IA dentro de la Unión Europea.
El reglamento adopta un enfoque basado en el riesgo, clasificando los sistemas de IA en cuatro niveles: riesgo inaceptable (prohibido), riesgo alto (estrictamente regulado), riesgo limitado (obligaciones de transparencia) y riesgo mínimo (en gran medida no regulado). Este marco escalonado garantiza que los requisitos más estrictos se apliquen a los sistemas de IA que plantean el mayor daño potencial para la salud, la seguridad y los derechos fundamentales.
El reglamento se aplica a los proveedores de sistemas de IA introducidos en el mercado de la UE, con independencia de que dichos proveedores estén establecidos en la UE o en un tercer país. También se aplica a los responsables del despliegue de sistemas de IA ubicados dentro de la UE y a los proveedores y responsables del despliegue ubicados fuera de la UE cuando los resultados producidos por el sistema de IA se utilicen en la UE.
Entre las innovaciones clave se incluyen la creación de espacios controlados de pruebas reglamentarios para la IA, evaluaciones de conformidad obligatorias para los sistemas de IA de alto riesgo, requisitos de transparencia y supervisión humana, y el establecimiento de la European AI Office para coordinar la aplicación. El reglamento también introduce normas específicas para los modelos de IA de uso general (GPAI), incluidas obligaciones adicionales para los modelos GPAI con riesgo sistémico.
Las sanciones por incumplimiento son significativas: hasta €35 million o el 7% del volumen de negocios anual mundial por prácticas de IA prohibidas, hasta €15 million o el 3% por infracciones de otras disposiciones, y hasta €7.5 million o el 1% por facilitar información incorrecta. Para las pymes y las empresas emergentes se aplica el menor de los dos importes.
El EU AI Act representa un cambio de paradigma en la regulación tecnológica, pasando de normas sectoriales a un marco horizontal que abarca la IA en todos los sectores. Los profesionales del cumplimiento deben comprender que este reglamento tendrá un alcance extraterritorial similar al del RGPD, afectando a organizaciones de todo el mundo que prestan servicio al mercado de la UE.
El reglamento también exige la creación de autoridades nacionales competentes en cada Estado miembro, el establecimiento de un Comité de IA para facilitar una aplicación coherente del reglamento y la designación de una función de Defensor del Pueblo para la IA a través de la European AI Office.
Para las organizaciones que desarrollan o despliegan IA, el EU AI Act exige una reevaluación fundamental de las prácticas de gobernanza de la IA. Esto incluye la implementación de sistemas de gestión de riesgos, el mantenimiento de documentación técnica, la garantía de una gobernanza de datos para los conjuntos de datos de entrenamiento, el establecimiento de sistemas de gestión de la calidad y la provisión de transparencia a los usuarios sobre los contenidos generados por IA.
El reglamento pone especial énfasis en las evaluaciones de impacto sobre los derechos fundamentales para los sistemas de IA de alto riesgo utilizados por organismos públicos o entidades privadas que prestan servicios públicos. Los responsables del despliegue de sistemas de IA de alto riesgo en ámbitos como la aplicación de la ley, la gestión de la migración y las infraestructuras críticas deben llevar a cabo estas evaluaciones antes de poner los sistemas en servicio.
Prácticas de IA prohibidas: puntuación social, identificación biométrica en tiempo real en espacios públicos (con excepciones), técnicas de manipulación, explotación de vulnerabilidades
Los sistemas de IA de alto riesgo deben someterse a una evaluación de conformidad antes de su introducción en el mercado
Sistema de gestión de riesgos obligatorio que abarque todo el ciclo de vida del sistema de IA
Requisitos de gobernanza de datos para los conjuntos de datos de entrenamiento, validación y prueba
Obligaciones de documentación técnica y de conservación de registros
Obligaciones de transparencia: los usuarios deben ser informados cuando interactúan con una IA
Requisitos de supervisión humana para los sistemas de IA de alto riesgo
Requisitos de exactitud, solidez y ciberseguridad
Implementación de un sistema de gestión de la calidad
Registro en la base de datos pública de la UE para los sistemas de IA de alto riesgo
Los proveedores de modelos de IA de uso general deben mantener documentación técnica y facilitar información a los proveedores intermediarios
Los modelos GPAI con riesgo sistémico requieren evaluaciones de modelos, pruebas adversarias y notificación de incidentes graves
Los contenidos generados por IA deben etiquetarse como tales (ultrafalsificaciones, textos sintéticos)
Evaluación de impacto sobre los derechos fundamentales para determinados despliegues de alto riesgo
El EU AI Act entró en vigor el 1 de agosto de 2024 con una aplicación escalonada. Las prohibiciones de las prácticas prohibidas se aplican a partir de febrero de 2025, las obligaciones GPAI a partir de agosto de 2025, y la mayoría de las demás disposiciones, incluidos los requisitos de la IA de alto riesgo, a partir de agosto de 2026.
Sí. El EU AI Act tiene un alcance extraterritorial. Se aplica a todo proveedor que introduzca sistemas de IA en el mercado de la UE y a todo responsable del despliegue ubicado en la UE, con independencia del lugar de establecimiento del proveedor. También se aplica cuando los resultados de la IA se utilizan en la UE.
Las multas pueden alcanzar los €35 million o el 7% del volumen de negocios anual mundial por prácticas de IA prohibidas, €15 million o el 3% por otras infracciones, y €7.5 million o el 1% por facilitar información incorrecta. Se aplican límites inferiores a las pymes y las empresas emergentes.
Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.