Saltar al contenido
ahead x
Ley de IA de la UE: lo que tu empresa realmente debe saber

Derecho, sociedad y ética · Explicado

Ley de IA de la UE: lo que tu empresa realmente debe saber

La Ley de IA de la UE entra en pleno vigor a partir de 2026. Qué significa para tu empresa, clases de riesgo, obligaciones, plazos, sanciones. En lenguaje claro, sin tecnicismos jurídicos.

Marco Esposito 10 min de lectura

De un vistazo

10 min de lectura Empresas Directivos

Lo que explicamos

  1. 01 Las cuatro clases de riesgo
  2. 02 Regla especial: Foundation Models / GPAI
  3. 03 ¿Qué significa esto para tu empresa?
  4. 04 Sanciones
  5. 05 Pasos prácticos para los próximos 90 días
  6. 06 Lo que la Ley de IA de la UE no regula
  7. 07 Malentendidos frecuentes

La Ley de IA de la UE es la primera regulación integral de la inteligencia artificial a nivel mundial. Está en vigor desde 2024, se va aplicando de forma escalonada y, a partir de agosto de 2026, entra en pleno vigor. Quien utilice IA, ya sea como proveedor o como usuario, debe saber en qué clase de riesgo se sitúa su propio sistema.

Las cuatro clases de riesgo

El reglamento clasifica las aplicaciones de IA en cuatro niveles de riesgo. Las obligaciones y las sanciones aumentan con el nivel.

No permitido

Prohibido. Punto. Esto incluye:

  • Puntuación social (social scoring) por parte de las autoridades (sistema como el de China)
  • IA manipuladora que explota vulnerabilidades
  • Reconocimiento facial en tiempo real en el espacio público por parte de las autoridades (con excepciones muy limitadas)
  • Reconocimiento de emociones en el lugar de trabajo y en instituciones educativas
  • Categorización biométrica según características sensibles

Estas prohibiciones se aplican desde febrero de 2025.

Alto riesgo

Permitido, pero fuertemente regulado. Ejemplos:

  • IA en infraestructura crítica (energía, agua, transporte)
  • Educación y empleo: IA que decide sobre plazas de estudio, exámenes, ascensos
  • Recursos Humanos (HR): IA para la selección de candidatos/as, evaluación del desempeño
  • Persecución penal, migración, justicia
  • Productos sanitarios con IA

Obligaciones: sistema de gestión de riesgos, documentación técnica, supervisión humana, estándares de precisión/robustez/ciberseguridad, declaración de conformidad de la UE.

Limitado

Obligación de transparencia. Debes informar a los usuarios/as de que están interactuando con una IA.

  • Chatbots: es necesario un aviso
  • Deepfakes / contenidos generados por IA: obligación de etiquetado
  • Sistemas de reconocimiento de emociones o de categorización biométrica (fuera de los casos de uso no permitidos)

Mínimo

Sin obligaciones específicas. Aquí entran la mayoría de las aplicaciones cotidianas: filtros de spam, algoritmos de recomendación, juegos asistidos por IA.

Regla especial: Foundation Models / GPAI

Los modelos de IA de propósito general (GPT-4, Claude, Gemini, etc.) reciben obligaciones propias, con independencia del caso de uso. Los proveedores deben:

  • Documentar los datos de entrenamiento (cumplimiento en materia de derechos de autor)
  • Divulgar el consumo energético
  • En el caso de modelos especialmente potentes: evaluación del riesgo sistémico (systemic risk)

Estas obligaciones se aplican desde agosto de 2025.

¿Qué significa esto para tu empresa?

Si utilizas IA (deployer)

  1. Inventaría todos los sistemas de IA que estén en uso o en fase de planificación. También cuentan las herramientas SaaS con funciones de IA.
  2. Clasifícalos según los cuatro niveles de riesgo.
  3. Documenta la supervisión humana, la formación, el registro (logging), especialmente en el caso de alto riesgo.
  4. Revisa los contratos con los proveedores de IA: la cadena de suministro debe cumplir la Ley de IA de la UE.

Si desarrollas la IA tú mismo (provider)

  1. Documentación técnica completa
  2. Sistema de gestión de riesgos
  3. En el caso de alto riesgo: evaluación de la conformidad, marcado CE, inscripción en la base de datos de la UE
  4. En el caso de GPAI: obligaciones adicionales (ver arriba)

Sanciones

  • Hasta 35 millones de € o el 7 % de la facturación global por prácticas no permitidas
  • Hasta 15 millones de € o el 3 % por infracciones de otras obligaciones
  • Hasta 7,5 millones de € o el 1 % por información falsa a las autoridades

Siempre rige el importe más alto.

Pasos prácticos para los próximos 90 días

PeríodoPaso
Semana 1–2Elaborar el inventario de IA, listar los casos de uso
Semana 3–4Clasificación de riesgo por sistema
Semana 5–8Análisis de carencias: ¿qué falta para la conformidad de alto riesgo?
Semana 9–12Revisar los contratos con los proveedores, renegociar si es necesario

Lo que la Ley de IA de la UE no regula

  • Protección de datos: sigue siendo el RGPD
  • Derechos de autor: siguen siendo las legislaciones nacionales de derechos de autor + directivas de la UE
  • Responsabilidad por productos defectuosos: hay un reglamento propio en preparación

Malentendidos frecuentes

“El uso de ChatGPT en la oficina entra dentro de la Ley de IA.” Solo en parte. Si utilizas ChatGPT para casos de uso de alto riesgo (Recursos Humanos, decisiones educativas), se aplica la clase de alto riesgo. En un uso normal de oficina: riesgo mínimo.

“Somos una empresa pequeña, esto no se aplica a nosotros.” Sí se aplica. El reglamento no contempla una excepción para pymes en lo relativo al riesgo. No obstante, sí existen facilidades en las auditorías de conformidad.

“Los proveedores de EE. UU. no tienen que cumplirlo.” Sí tienen que cumplirlo. Quien comercialice sistemas de IA en la UE o haga que produzcan efectos allí queda sujeto a la Ley de IA, incluso sin tener una sede en la UE.

Aviso legal: Este artículo no sustituye al asesoramiento jurídico. Ante preguntas concretas sobre su aplicación en la propia empresa: consulta a un abogado o abogada.

Etiquetas

#Reglamento de IA de la UE #Cumplimiento #Regulación #Responsables de decisiones

Compartir

LinkedIn

Preguntas frecuentes sobre este artículo

Tu turno

¿Qué pregunta te queda?

Cuéntanosla. Con preguntas seleccionadas creamos nuevas explicaciones, entradas del glosario o temas para nuestros eventos.

Ver todas las preguntas →

caracteres restantes

Gracias: tu pregunta ha llegado. Comprobaremos si podemos responderla en la revista, en el glosario o en un evento de ahead x.

Ver todas las preguntas →

Leer a continuación

Explicado

Protección de datos en la IA: qué puedes escribir en el prompt

GDPR + ChatGPT, Claude, Copilot, los malentendidos más frecuentes. Qué protegen realmente las medidas técnicas y contractuales, y qué reglas prácticas ayudan en el día a día.

Más sobre el tema

Nuevos artículos en tu bandeja de entrada. Como mucho una vez al mes, a modo de resumen de nuevos artículos, análisis y explicaciones. Sin spam, sin discursos de venta, solo contenido. Newsletter →
← Todos los Explicado Volver a Conocimiento