El EU AI Act se Convierte en Ley: Fechas Clave y Hoja de Ruta de Cumplimiento
Tras anos de desarrollo, el EU AI Act se ha convertido oficialmente en ley con su publicacion en el Diario Oficial de la UE. Esta regulacion historica establece el primer marco legal integral del mundo para la inteligencia artificial.
Publicacion Oficial y Entrada en Vigor
El EU AI Act fue publicado en el Diario Oficial de la Union Europea el 12 de julio de 2024, como Reglamento (UE) 2024/1689. El reglamento entro en vigor el 1 de agosto de 2024, 20 dias despues de su publicacion, como es habitual en los reglamentos de la UE.
Calendario de Implementacion
El EU AI Act sigue un enfoque de implementacion por fases, otorgando a las organizaciones tiempo para adaptarse:
Fase 1: Sistemas de AI Prohibidos (Febrero 2025)
6 meses despues de la entrada en vigor
Las siguientes practicas de AI quedan prohibidas:
- Puntuacion social por parte de autoridades publicas
- Explotacion de vulnerabilidades (edad, discapacidad, situacion social)
- Manipulacion subliminal que cause dano
- Identificacion biometrica remota en tiempo real en espacios publicos (con excepciones)
- Reconocimiento de emociones en el ambito laboral y educativo
- Categorizacion biometrica por atributos sensibles
- Recopilacion no selectiva de imagenes faciales para bases de datos de reconocimiento facial
Fase 2: GPAI y Gobernanza (Agosto 2025)
12 meses despues de la entrada en vigor
- Se aplican las obligaciones para modelos de AI de proposito general (GPAI)
- La Oficina de AI se vuelve plenamente operativa
- Deben designarse las autoridades nacionales competentes
- Codigos de practicas para proveedores de GPAI
Fase 3: Sistemas de AI de Alto Riesgo (Agosto 2026)
24 meses despues de la entrada en vigor
Cumplimiento pleno requerido para:
- Sistemas de AI de alto riesgo listados en el Anexo III
- Obligaciones de transparencia para AI de riesgo limitado
- Requisitos de evaluacion de conformidad
- Requisitos de CE marking
- Obligaciones de vigilancia post-comercializacion
Fase 4: Sistemas del Anexo I (Agosto 2027)
36 meses despues de la entrada en vigor
- AI en productos regulados (maquinaria, juguetes, dispositivos medicos)
- Integracion con la legislacion existente de seguridad de productos
Disposiciones Clave Ya en Vigor
Oficina de AI
La Oficina de AI de la UE, dentro de la Comision Europea:
- Supervisa la implementacion en todos los Estados miembros
- Hace cumplir directamente las normas sobre modelos GPAI
- Desarrolla directrices y estandares
- Coordina con las autoridades nacionales
Consejo de AI
Compuesto por representantes de los Estados miembros:
- Asesora sobre una implementacion coherente
- Coordina entre autoridades nacionales
- Elabora recomendaciones
Panel Cientifico
Expertos independientes que proporcionan:
- Asesoramiento tecnico a la Oficina de AI
- Alertas sobre riesgos sistemicos de GPAI
- Apoyo a las actividades de aplicacion
Lo que las Organizaciones Deben Hacer Ahora
Acciones Inmediatas (Antes de Febrero 2025)
-
Auditar practicas prohibidas
- Revisar todos los sistemas de AI en busca de usos prohibidos
- Identificar aplicaciones de puntuacion social
- Verificar riesgos de manipulacion o explotacion
-
Establecer un inventario de AI
- Catalogar todos los sistemas de AI en uso
- Documentar propositos y contextos de despliegue
- Identificar clasificaciones de riesgo
Acciones a Corto Plazo (Antes de Agosto 2025)
-
Evaluar las obligaciones de GPAI
- Si utiliza o proporciona modelos GPAI
- Comprender las designaciones de riesgo sistemico
- Preparar documentacion de transparencia
-
Designar responsabilidades
- Nombrar responsables de cumplimiento en AI
- Establecer estructuras de gobernanza
- Crear politicas internas
Acciones a Medio Plazo (Antes de Agosto 2026)
-
Cumplimiento para AI de alto riesgo
- Implementar sistemas de gestion de riesgos
- Establecer practicas de gobernanza de datos
- Crear documentacion tecnica
- Configurar mecanismos de supervision humana
- Implementar registro y monitoreo
-
Evaluacion de conformidad
- Identificar los procedimientos de evaluacion requeridos
- Contactar con organismos notificados si es necesario
- Prepararse para el CE marking
Consideraciones por Sector
Diferentes sectores enfrentan desafios especificos:
Servicios Financieros
| Aplicacion de AI | Clasificacion | Requisitos Clave |
|---|---|---|
| Scoring crediticio | Alto riesgo | Evaluacion de conformidad completa |
| Deteccion de fraude | Alto riesgo | Supervision humana, transparencia |
| Bots de atencion al cliente | Riesgo limitado | Requisitos de divulgacion |
Sanidad
| Aplicacion de AI | Clasificacion | Requisitos Clave |
|---|---|---|
| AI de diagnostico | Alto riesgo (dispositivo medico) | CE marking + EU AI Act |
| AI administrativa | Variable | Evaluacion caso por caso |
| Chatbots para pacientes | Riesgo limitado | Divulgacion, precision |
Recursos Humanos
| Aplicacion de AI | Clasificacion | Requisitos Clave |
|---|---|---|
| AI de reclutamiento | Alto riesgo | Cumplimiento pleno, pruebas de sesgo |
| Evaluacion de desempeno | Alto riesgo | Transparencia, supervision |
| Planificacion de plantilla | Variable | Evaluacion de riesgos necesaria |
Disposiciones para PYMES
El reglamento incluye algunas adaptaciones para organizaciones de menor tamano:
- Obligaciones proporcionadas - Requisitos escalados segun los recursos
- Sandboxes regulatorios - Entornos de prueba con carga reducida
- Acceso prioritario - Las PYMES tienen prioridad en la participacion en sandboxes
- Orientacion - Orientacion especifica para PYMES por parte de la Oficina de AI
Sin embargo, las clasificaciones de riesgo y las prohibiciones se aplican por igual independientemente del tamano.
Requisitos de Documentacion
Las organizaciones deben mantener:
Para Todos los Sistemas de AI
- Documentacion de proposito y uso previsto
- Justificacion de la clasificacion de riesgo
- Instrucciones de uso
Para Sistemas de AI de Alto Riesgo
- Documentacion tecnica (Anexo IV)
- Registros del sistema de gestion de riesgos
- Documentacion de gobernanza de datos
- Resultados de pruebas de precision y robustez
- Procedimientos de supervision humana
- Capacidades de registro y trazabilidad
- Planes de vigilancia post-comercializacion
Para Modelos GPAI
- Fichas de modelo y documentacion tecnica
- Descripciones de datos de entrenamiento
- Resultados de evaluacion
- Limitaciones conocidas
Como Metrica.uno Apoya el Cumplimiento
Nuestra plataforma le ayuda a navegar los requisitos del EU AI Act:
-
Herramienta de clasificacion de riesgos
- Categorizacion automatica de sistemas de AI
- Filtrado de prohibiciones
- Identificacion de brechas
-
Evaluacion de cumplimiento
- Requisitos mapeados a su inventario de AI
- Seguimiento del progreso respecto a los plazos
- Plantillas de documentacion
-
Informes preparados para auditoria
- Genere documentacion para evaluaciones de conformidad
- Exporte evidencia para inspecciones regulatorias
- Realice seguimiento del cumplimiento en el tiempo
-
Monitoreo continuo
- Alertas de actualizaciones regulatorias
- Deteccion de desviaciones de cumplimiento
- Recordatorios de reevaluacion
Conclusion
El EU AI Act ya no es una preocupacion futura: es una ley vigente con plazos vinculantes. Las organizaciones que inicien sus esfuerzos de cumplimiento ahora estaran mejor posicionadas para cumplir con los requisitos a medida que entren en vigor.
El primer plazo (febrero de 2025) para las practicas prohibidas se acerca rapidamente. Aproveche este tiempo para auditar sus sistemas de AI y asegurarse de que ninguno se encuentre en categorias prohibidas.
Lectura Adicional
¿Listo para evaluar tu cumplimiento normativo?
Empieza tu evaluación gratuita hoy y descubre en qué punto estás con GDPR, NIS2, DORA, ISO 27001 y más.
Written by
Metrica.uno Team
Content Team
Metrica.uno Team is part of the Metrica.uno team, helping organizations navigate AI compliance with practical insights and guidance.
Artículos relacionados
Cyber Resilience Act (CRA) Explicado: A Quién Afecta, Requisitos y Sanciones
Todo lo que necesitas saber sobre el CRA: a quién aplica, requisitos de seguridad para productos digitales, obligaciones de SBOM y consecuencias del incumplimiento.
DORA Explicado: A Quién Afecta, Requisitos y Sanciones
Todo lo que necesitas saber sobre DORA: a quién aplica, requisitos de resiliencia digital, gestión de riesgos de terceros TIC y consecuencias del incumplimiento.
ENS (Esquema Nacional de Seguridad): Requisitos y Certificación
Todo lo que necesitas saber sobre el ENS: quién lo necesita, requisitos de seguridad, niveles de certificación y por qué es imprescindible para contratos con la Administración Pública.