AI Act: guía completa del Reglamento Europeo de Inteligencia Artificial para empresas (2025-2027)
Una versión práctica, clara y orientada a negocio para entender qué prohíbe la norma, qué considera IA de alto riesgo, qué obligaciones impone y cómo prepararse para cumplirla con seguridad jurídica.
¿Qué es el AI Act?
El AI Act es el reglamento europeo que establece un marco jurídico común para el desarrollo, introducción en el mercado, puesta en servicio y utilización de sistemas de inteligencia artificial en la Unión Europea. Su finalidad es mejorar el funcionamiento del mercado interior y, al mismo tiempo, proteger la salud, la seguridad y los derechos fundamentales. El Reglamento adopta un enfoque basado en riesgos: cuanto mayor sea el impacto potencial del sistema, mayores serán las exigencias regulatorias.
¿A quién afecta el AI Act?
La norma no se limita a los proveedores de tecnología. También alcanza a quienes usan, distribuyen, importan o integran sistemas de IA en productos y procesos empresariales. Incluso puede afectar a operadores establecidos fuera de la UE cuando los resultados generados por el sistema se utilicen dentro de la Unión.
Perfiles afectados
- Proveedores y desarrolladores.
- Empresas usuarias de IA.
- Importadores y distribuidores.
- Fabricantes que incorporan IA a sus productos.
- Administraciones públicas.
Casos típicos
- RR. HH. y selección de personal.
- Educación y evaluación de estudiantes.
- Crédito, seguros y scoring.
- Atención al cliente con chatbots.
- Uso de modelos fundacionales.
El modelo de riesgo del AI Act
El Reglamento divide los sistemas de IA en cuatro grandes niveles de riesgo. Esta estructura es la base de todo el cumplimiento.
1) Riesgo inaceptable: prácticas prohibidas
La norma prohíbe determinados usos que la Unión Europea considera incompatibles con sus valores y derechos fundamentales, como la manipulación subliminal, la explotación de vulnerabilidades, el social scoring o la creación masiva de bases faciales a partir de imágenes de internet o cámaras de vigilancia.
2) Alto riesgo
Son sistemas cuyo uso puede afectar de forma significativa a la salud, la seguridad o los derechos fundamentales. Aquí entran, entre otros, muchos sistemas de recursos humanos, educación, crédito, infraestructuras críticas, justicia y determinados usos biométricos.
3) Riesgo limitado
Incluye herramientas como chatbots, asistentes virtuales o generadores de contenido que, sin estar prohibidos, deben cumplir obligaciones de transparencia.
4) Riesgo mínimo
Se trata de aplicaciones de impacto reducido, como filtros antispam o automatizaciones básicas, que no suelen llevar aparejadas obligaciones específicas del AI Act.
| Nivel | Qué implica | Ejemplos |
|---|---|---|
| Inaceptable | Prohibido | Manipulación subliminal, social scoring, reconocimiento emocional en trabajo y educación |
| Alto riesgo | Requisitos estrictos | RR. HH., educación, crédito, justicia, biometría, infraestructuras críticas |
| Limitado | Transparencia | Chatbots, asistentes, generadores de texto o imagen |
| Mínimo | Sin exigencias específicas | Filtros antispam, tareas de apoyo sin impacto relevante |
¿Está ChatGPT regulado por el AI Act?
Sí. El Reglamento incorpora un régimen específico para los modelos de IA de propósito general, categoría en la que encajan los grandes modelos fundacionales. Estos proveedores deben documentar técnicamente sus modelos, facilitar información a quienes los integren, respetar la normativa de derechos de autor y publicar resúmenes sobre el contenido usado para el entrenamiento. Los modelos con riesgo sistémico asumen además obligaciones reforzadas de evaluación y mitigación de riesgos.
Obligaciones para las empresas que utilizan IA
El cumplimiento no consiste solo en “tener una herramienta aprobada”. Las empresas deben implantar una capa de gobernanza interna que permita usar la IA de forma trazable, segura y compatible con el Reglamento.
Inventariar los sistemas de IA
Identifica herramientas de IA generativa, automatizaciones, scoring, procesos de RR. HH. y soluciones integradas en software de terceros.
Clasificar el riesgo
Determina si el uso está prohibido, es de alto riesgo, exige transparencia o queda fuera de las obligaciones específicas.
Establecer supervisión humana
Las personas responsables deben comprender el sistema, sus límites y cuándo intervenir o detenerlo.
Controlar los datos
La calidad, representatividad y gobernanza de los datos es esencial, especialmente en sistemas de alto riesgo.
Formar al equipo
La alfabetización en IA exige formación suficiente para quienes usan o supervisan estos sistemas.
Documentar y evidenciar
Conviene conservar políticas, evaluaciones, instrucciones de uso y pruebas de control interno para demostrar cumplimiento.
Calendario de aplicación del AI Act
El Reglamento entra en vigor de forma escalonada para dar margen de adaptación a empresas y autoridades.
| Fecha | Qué ocurre |
|---|---|
| 1 de agosto de 2024 | Entrada en vigor del Reglamento. |
| 2 de febrero de 2025 | Aplicación de las prácticas prohibidas y de las obligaciones de alfabetización en IA. |
| 2 de agosto de 2025 | Aplicación de las obligaciones principales para modelos de IA de propósito general. |
| 2 de agosto de 2026 | Aplicación general del Reglamento a la mayoría de sistemas y obligaciones. |
| 2 de agosto de 2027 | Aplicación de determinadas obligaciones sectoriales y transitorias adicionales. |
Sanciones por incumplimiento
El AI Act prevé sanciones especialmente elevadas para disuadir incumplimientos y asegurar una aplicación homogénea en toda la Unión Europea.
Infracciones más graves
Uso de prácticas prohibidas o incumplimientos especialmente sensibles.
Hasta 35 millones de euros o el 7 % de la facturación mundial anual.
Infracciones graves
Incumplimiento de obligaciones esenciales de sistemas o modelos regulados.
Hasta 15 millones de euros o el 3 % de la facturación mundial anual.
Preguntas frecuentes sobre el AI Act
¿Es obligatorio cumplir el AI Act?
Sí. Es un reglamento de aplicación directa en la Unión Europea y obliga a los operadores dentro de su ámbito de aplicación.
¿Puedo usar ChatGPT en mi empresa?
Sí, pero depende del uso concreto. Si la herramienta interviene en procesos sensibles o genera contenido para terceros, pueden surgir obligaciones de transparencia, supervisión o gobernanza.
¿Las pymes también están afectadas?
Sí. Aunque la norma prevé medidas de apoyo y simplificación para pymes y startups, las obligaciones se aplican igualmente cuando entren en su ámbito de aplicación.
¿Qué sistemas están prohibidos?
Entre otros, los sistemas de manipulación subliminal, social scoring, explotación de vulnerabilidades, reconocimiento emocional en el trabajo y la educación, y ciertas bases faciales creadas mediante extracción masiva de imágenes.
¿Qué es una IA de alto riesgo?
Es un sistema cuyo uso puede generar un impacto significativo sobre la salud, la seguridad o los derechos fundamentales de las personas.
Conclusión
El AI Act marca un cambio de paradigma: pasa de una regulación dispersa a un marco europeo integral para gobernar la inteligencia artificial. Para las empresas, la clave no es solo entender la norma, sino integrar procesos de gobernanza, control de riesgos, formación y documentación que permitan usar la IA con seguridad jurídica.
Quienes empiecen a prepararse ahora tendrán una ventaja competitiva clara: podrán adoptar IA con más confianza, menos fricción regulatoria y una mejor capacidad para responder a clientes, auditores y autoridades.
