AI Act — una nueva realidad regulatoria
La Unión Europea ha sido la primera del mundo en crear una regulación integral sobre la inteligencia artificial. El Reglamento AI Act (Regulation (EU) 2024/1689) entró en vigor el 1 de agosto de 2024 y se aplica de forma escalonada: las primeras obligaciones rigen desde el 2 de febrero de 2025, la parte principal desde el 2 de agosto de 2026 y la aplicación plena desde el 2 de agosto de 2027. Toda empresa que despliegue sistemas de IA en su actividad operativa en la UE debe conocerlas.
El AI Act no prohíbe la inteligencia artificial — la regula sobre la base de un enfoque basado en el riesgo. Cuanto mayor es el riesgo, más estrictos son los requisitos. La mayoría de los usos empresariales de IA se sitúan en las categorías de riesgo bajo o limitado, lo que implica obligaciones relativamente ligeras. Sin embargo, existen ámbitos en los que los requisitos son muy rigurosos.
Calendario de entrada en vigor (Art. 113)
- 1 de agosto de 2024 — entrada en vigor del reglamento
- 2 de febrero de 2025 — se aplican las prohibiciones de prácticas peligrosas (Capítulo II, Art. 5) y la obligación de alfabetización en IA (Art. 4)
- 2 de agosto de 2025 — obligaciones para los proveedores de modelos de IA de propósito general (Capítulo V) y normas sobre organismos de supervisión y sanciones
- 2 de agosto de 2026 — se aplican las obligaciones para los sistemas de alto riesgo (Capítulo III), la transparencia de chatbots y deepfakes (Art. 50) y los sandboxes regulatorios
- 2 de agosto de 2027 — aplicación plena, incluidas las obligaciones para sistemas de alto riesgo integrados en productos ya sujetos a la legislación armonizada de la UE (Anexo I)
Clasificación de riesgo de los sistemas de IA
El AI Act divide los sistemas de IA en cuatro categorías de riesgo:
- Riesgo inaceptable (prohibido, Art. 5) — sistemas que manipulan el comportamiento humano por debajo del umbral de conciencia, social scoring por parte de autoridades, vigilancia biométrica en tiempo real (con excepciones), reconocimiento de emociones en el entorno laboral y educativo, elaboración predictiva de perfiles delictivos. Estos sistemas están prohibidos.
- Alto riesgo (Capítulo III, Art. 6-27) — IA utilizada en selección de personal, concesión de créditos, atención sanitaria, educación, administración de justicia e infraestructuras críticas. Los requisitos más estrictos: documentación, pruebas, transparencia, supervisión humana, registro en la base de datos de la UE.
- Riesgo limitado (Art. 50) — chatbots, deepfakes, sistemas de generación de contenido. Obligación de transparencia: el usuario debe saber que interactúa con una IA y los contenidos generados por IA deben estar marcados de forma legible por máquina.
- Riesgo mínimo — la mayoría de los usos empresariales de la IA: filtros antispam, recomendaciones de productos, automatización de procesos internos. Obligaciones mínimas o inexistentes.
¿Quién es proveedor y quién responsable del despliegue de un sistema de IA?
El AI Act distingue dos roles clave. El proveedor (provider) es la entidad que crea e introduce en el mercado un sistema de IA. El responsable del despliegue (deployer) es la entidad que utiliza un sistema de IA en su actividad económica. Las obligaciones son distintas para cada rol — los proveedores deben cumplir requisitos más estrictos en materia de documentación técnica y certificación.
Una empresa que adquiere una solución de IA ya desarrollada de un proveedor y la utiliza para sus propios procesos es responsable del despliegue. Una empresa que adapta o realiza fine-tuning de un modelo para sus propios usos puede convertirse en proveedor con todas las consecuencias que ello conlleva.
Obligaciones de los responsables del despliegue de sistemas de alto riesgo (Art. 26)
Si su empresa utiliza un sistema de IA de alto riesgo (por ejemplo, un sistema de scoring en el proceso crediticio, una herramienta de preselección de CV, un sistema de apoyo al diagnóstico médico), debe:
- Garantizar la supervisión humana sobre las decisiones del sistema de IA
- Mantener los registros operativos durante un mínimo de 6 meses
- Realizar una evaluación de impacto sobre los derechos fundamentales (FRIA, Art. 27)
- Informar a los empleados sobre los sistemas de IA que les conciernen
- Notificar los incidentes graves y fallos a la autoridad de supervisión competente
Sandboxes regulatorios (Art. 57-63)
El AI Act prevé sandboxes regulatorios — un mecanismo que permite a las empresas probar sistemas de IA innovadores bajo la supervisión de una autoridad regulatoria en un entorno controlado. Cada Estado miembro tiene la obligación de poner en marcha al menos un sandbox antes del 2 de agosto de 2026. Para las empresas que desarrollan soluciones de IA en ámbitos de alto riesgo, se trata de una vía práctica para obtener feedback de los reguladores antes de la certificación completa.
Sanciones (Art. 99)
Las multas por incumplimiento del AI Act se escalonan según el tipo de infracción:
- hasta 35 millones EUR o el 7 % del volumen de negocios anual mundial (la cifra más alta) por aplicar prácticas prohibidas (Art. 5)
- hasta 15 millones EUR o el 3 % del volumen de negocios anual mundial por incumplimiento de las demás obligaciones del reglamento
- hasta 7,5 millones EUR o el 1 % del volumen de negocios anual mundial por proporcionar información falsa, incompleta o engañosa a las autoridades de supervisión
Para las pymes y startups se aplica la cifra más baja de las dos, a fin de evitar una carga desproporcionada.
Cómo apoya ESKOM.AI el cumplimiento del AI Act
ESKOM.AI ayuda a las organizaciones a prepararse para los requisitos del AI Act. Ofrecemos la auditoría de los sistemas de IA existentes desde el punto de vista de la clasificación de riesgo, la elaboración de documentación técnica, la implantación de mecanismos de supervisión humana y registro, así como formaciones para los equipos responsables del compliance. Cada nuevo despliegue de IA realizado por nosotros se diseña pensando en el cumplimiento del AI Act desde el primer día.