30 días de prueba de riesgos de IA generativa -Empezar ahora
Solicitar una demo
ActiveEuropean UnionLawEn vigor: 2024-08-01

Reglamento de Inteligencia Artificial de la Unión Europea

La primera ley integral de IA del mundo, que establece un marco basado en el riesgo para los sistemas de IA en todo el mercado único de la UE.

Resumen

El EU AI Act (Reglamento 2024/1689) es el primer marco jurídico integral del mundo para la inteligencia artificial. Adoptado el 13 de junio de 2024, establece normas armonizadas para el desarrollo, la introducción en el mercado, la puesta en servicio y el uso de sistemas de IA dentro de la Unión Europea.

El reglamento adopta un enfoque basado en el riesgo, clasificando los sistemas de IA en cuatro niveles: riesgo inaceptable (prohibido), riesgo alto (estrictamente regulado), riesgo limitado (obligaciones de transparencia) y riesgo mínimo (en gran medida no regulado). Este marco escalonado garantiza que los requisitos más estrictos se apliquen a los sistemas de IA que plantean el mayor daño potencial para la salud, la seguridad y los derechos fundamentales.

El reglamento se aplica a los proveedores de sistemas de IA introducidos en el mercado de la UE, con independencia de que dichos proveedores estén establecidos en la UE o en un tercer país. También se aplica a los responsables del despliegue de sistemas de IA ubicados dentro de la UE y a los proveedores y responsables del despliegue ubicados fuera de la UE cuando los resultados producidos por el sistema de IA se utilicen en la UE.

Entre las innovaciones clave se incluyen la creación de espacios controlados de pruebas reglamentarios para la IA, evaluaciones de conformidad obligatorias para los sistemas de IA de alto riesgo, requisitos de transparencia y supervisión humana, y el establecimiento de la European AI Office para coordinar la aplicación. El reglamento también introduce normas específicas para los modelos de IA de uso general (GPAI), incluidas obligaciones adicionales para los modelos GPAI con riesgo sistémico.

Las sanciones por incumplimiento son significativas: hasta €35 million o el 7% del volumen de negocios anual mundial por prácticas de IA prohibidas, hasta €15 million o el 3% por infracciones de otras disposiciones, y hasta €7.5 million o el 1% por facilitar información incorrecta. Para las pymes y las empresas emergentes se aplica el menor de los dos importes.

El EU AI Act representa un cambio de paradigma en la regulación tecnológica, pasando de normas sectoriales a un marco horizontal que abarca la IA en todos los sectores. Los profesionales del cumplimiento deben comprender que este reglamento tendrá un alcance extraterritorial similar al del RGPD, afectando a organizaciones de todo el mundo que prestan servicio al mercado de la UE.

El reglamento también exige la creación de autoridades nacionales competentes en cada Estado miembro, el establecimiento de un Comité de IA para facilitar una aplicación coherente del reglamento y la designación de una función de Defensor del Pueblo para la IA a través de la European AI Office.

Para las organizaciones que desarrollan o despliegan IA, el EU AI Act exige una reevaluación fundamental de las prácticas de gobernanza de la IA. Esto incluye la implementación de sistemas de gestión de riesgos, el mantenimiento de documentación técnica, la garantía de una gobernanza de datos para los conjuntos de datos de entrenamiento, el establecimiento de sistemas de gestión de la calidad y la provisión de transparencia a los usuarios sobre los contenidos generados por IA.

El reglamento pone especial énfasis en las evaluaciones de impacto sobre los derechos fundamentales para los sistemas de IA de alto riesgo utilizados por organismos públicos o entidades privadas que prestan servicios públicos. Los responsables del despliegue de sistemas de IA de alto riesgo en ámbitos como la aplicación de la ley, la gestión de la migración y las infraestructuras críticas deben llevar a cabo estas evaluaciones antes de poner los sistemas en servicio.

Requisitos clave

1

Prácticas de IA prohibidas: puntuación social, identificación biométrica en tiempo real en espacios públicos (con excepciones), técnicas de manipulación, explotación de vulnerabilidades

2

Los sistemas de IA de alto riesgo deben someterse a una evaluación de conformidad antes de su introducción en el mercado

3

Sistema de gestión de riesgos obligatorio que abarque todo el ciclo de vida del sistema de IA

4

Requisitos de gobernanza de datos para los conjuntos de datos de entrenamiento, validación y prueba

5

Obligaciones de documentación técnica y de conservación de registros

6

Obligaciones de transparencia: los usuarios deben ser informados cuando interactúan con una IA

7

Requisitos de supervisión humana para los sistemas de IA de alto riesgo

8

Requisitos de exactitud, solidez y ciberseguridad

9

Implementación de un sistema de gestión de la calidad

10

Registro en la base de datos pública de la UE para los sistemas de IA de alto riesgo

11

Los proveedores de modelos de IA de uso general deben mantener documentación técnica y facilitar información a los proveedores intermediarios

12

Los modelos GPAI con riesgo sistémico requieren evaluaciones de modelos, pruebas adversarias y notificación de incidentes graves

13

Los contenidos generados por IA deben etiquetarse como tales (ultrafalsificaciones, textos sintéticos)

14

Evaluación de impacto sobre los derechos fundamentales para determinados despliegues de alto riesgo

Fechas clave y cronograma

April 2021
La Comisión Europea publica la propuesta inicial
December 2023
Acuerdo político alcanzado entre las instituciones de la UE
March 2024
El Parlamento Europeo adopta el AI Act
May 2024
El Consejo de la UE aprueba formalmente
1 August 2024
El AI Act entra en vigor
2 February 2025
Se aplica la prohibición de las prácticas de IA prohibidas
2 August 2025
Se aplican las obligaciones de los modelos GPAI; entran en vigor las disposiciones de gobernanza
July 2025
El Código de Buenas Prácticas GPAI publicado por la European AI Office proporciona un marco de cumplimiento para los proveedores de modelos GPAI. La adhesión es voluntaria, pero ofrece una presunción de conformidad con las obligaciones del capítulo V.
18 July 2025
La Comisión Europea publica un proyecto de Directrices para los modelos GPAI, que establece un umbral de cómputo de 10²³ FLOPs para la clasificación de los modelos GPAI y aclara el ámbito de aplicación, las obligaciones del ciclo de vida y los criterios de riesgo sistémico.
November 2025
La Comisión Europea propone el paquete Digital Omnibus con enmiendas para simplificar la aplicación; propone aplazar los requisitos de la IA de alto riesgo (anexo III) al 2 de diciembre de 2027 (a la espera del proceso legislativo)
2 August 2026
Se aplican la mayoría de las disposiciones, incluidas las obligaciones relativas a la IA de alto riesgo
2 August 2027
Se aplican las obligaciones para los sistemas de IA de alto riesgo del anexo I (productos regulados)

A quién afecta

  • Proveedores de sistemas de IA que introducen productos en el mercado de la UE (con independencia de su ubicación)
  • Responsables del despliegue (usuarios) de sistemas de IA dentro de la UE
  • Importadores y distribuidores de sistemas de IA en la UE
  • Fabricantes de productos que introducen productos con IA integrada en el mercado de la UE
  • Representantes autorizados de proveedores no pertenecientes a la UE
  • Cualquier organización cuyos resultados de IA se utilicen dentro de la UE

Preguntas frecuentes

¿Cuándo entra plenamente en vigor el EU AI Act?

El EU AI Act entró en vigor el 1 de agosto de 2024 con una aplicación escalonada. Las prohibiciones de las prácticas prohibidas se aplican a partir de febrero de 2025, las obligaciones GPAI a partir de agosto de 2025, y la mayoría de las demás disposiciones, incluidos los requisitos de la IA de alto riesgo, a partir de agosto de 2026.

¿Se aplica el EU AI Act a las empresas fuera de la UE?

Sí. El EU AI Act tiene un alcance extraterritorial. Se aplica a todo proveedor que introduzca sistemas de IA en el mercado de la UE y a todo responsable del despliegue ubicado en la UE, con independencia del lugar de establecimiento del proveedor. También se aplica cuando los resultados de la IA se utilizan en la UE.

¿Cuáles son las sanciones por incumplimiento?

Las multas pueden alcanzar los €35 million o el 7% del volumen de negocios anual mundial por prácticas de IA prohibidas, €15 million o el 3% por otras infracciones, y €7.5 million o el 1% por facilitar información incorrecta. Se aplican límites inferiores a las pymes y las empresas emergentes.

Regulation Updates

Stay Ahead of AI Regulations

Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.