EU AI Act Explicado: A Quién Afecta, Requisitos y Sanciones
El EU AI Act es la primera ley integral del mundo que regula la inteligencia artificial. Establece normas sobre cómo se desarrollan, despliegan y utilizan los sistemas de IA en la Unión Europea. Tu algoritmo, tu responsabilidad.
La regulación adopta un enfoque basado en riesgos: cuanto mayor sea el riesgo que un sistema de IA suponga para la seguridad, derechos o bienestar de las personas, más estrictos serán los requisitos. Algunos sistemas de IA están prohibidos directamente. Otros necesitan evaluaciones de conformidad rigurosas. La mayoría tienen obligaciones de transparencia.
¿A Quién Afecta el EU AI Act?
El EU AI Act tiene un alcance amplio. Aplica a:
- Proveedores — cualquiera que desarrolle o encargue el desarrollo de un sistema de IA y lo ponga en el mercado de la UE (independientemente de dónde esté)
- Responsables del despliegue — organizaciones que utilizan sistemas de IA dentro de la UE
- Importadores y distribuidores — entidades que introducen sistemas de IA en el mercado de la UE
- Fabricantes de productos — cuando la IA está integrada en productos regulados (dispositivos médicos, vehículos, maquinaria)
El Efecto Extraterritorial
Como el GDPR, el AI Act llega más allá de las fronteras de la UE. Si eres una empresa estadounidense que vende software con IA a clientes europeos, o un fabricante chino que exporta productos con IA al mercado de la UE, el AI Act te aplica.
Categorías de Riesgo
El EU AI Act clasifica los sistemas de IA en cuatro niveles de riesgo:
| Nivel de Riesgo | Tratamiento | Ejemplos |
|---|---|---|
| Inaceptable | Prohibido | Puntuación social, vigilancia biométrica en tiempo real en espacios públicos, manipulación de grupos vulnerables |
| Alto riesgo | Requisitos estrictos + evaluación de conformidad | IA en contratación, scoring crediticio, justicia penal, infraestructura crítica, educación, sanidad |
| Riesgo limitado | Obligaciones de transparencia | Chatbots, reconocimiento de emociones, generadores de deepfakes |
| Riesgo mínimo | Sin obligaciones específicas | Filtros de spam, IA en videojuegos, sistemas de recomendación básicos |
Requisitos Clave
Para Sistemas de IA de Alto Riesgo
Los sistemas de alto riesgo enfrentan los requisitos más exigentes:
- Sistema de gestión de riesgos — identificación, análisis y mitigación continua de riesgos durante todo el ciclo de vida del sistema
- Gobernanza de datos — los datos de entrenamiento deben ser relevantes, representativos, libres de errores y completos. La detección y mitigación de sesgos es obligatoria
- Documentación técnica — documentación exhaustiva que cubra diseño, desarrollo, pruebas y rendimiento
- Registro de eventos — registro automático de eventos para permitir la trazabilidad
- Transparencia — los responsables del despliegue deben ser informados sobre las capacidades, limitaciones y uso previsto del sistema
- Supervisión humana — los sistemas deben diseñarse para que los humanos puedan supervisar eficazmente su funcionamiento e intervenir cuando sea necesario
- Precisión, robustez y ciberseguridad — los sistemas deben funcionar de forma consistente y resistir la manipulación
- Evaluación de conformidad — antes de su comercialización, los sistemas de alto riesgo deben someterse a evaluación
Para Modelos de IA de Propósito General (GPAI)
El AI Act incluye reglas específicas para modelos fundacionales y de propósito general:
- Documentación técnica y transparencia — los proveedores de modelos deben documentar métodos de entrenamiento, fuentes de datos y capacidades
- Cumplimiento de derechos de autor — los modelos deben respetar la ley de derechos de autor de la UE
- Riesgo sistémico — los modelos GPAI con riesgo sistémico (entrenados con más de 10^25 FLOPs) tienen obligaciones adicionales: pruebas adversariales, notificación de incidentes y mitigación de riesgos
Evaluación de Impacto en Derechos Fundamentales
Los responsables del despliegue de IA de alto riesgo en servicios públicos, banca, seguros y sanidad deben realizar una evaluación de impacto en derechos fundamentales antes del despliegue.
Por Qué el EU AI Act Importa
- Estándar pionero: El EU AI Act está estableciendo la plantilla global. Otras jurisdicciones observan y siguen.
- Acceso al mercado: Para vender productos y servicios de IA en la UE, el cumplimiento no es negociable. El mercado único de la UE son 450 millones de consumidores.
- Ventaja de confianza: Las organizaciones que pueden demostrar gobernanza de IA construyen relaciones más sólidas con clientes, socios y reguladores.
- Mitigación de riesgos: Los requisitos del Act — pruebas de sesgo, supervisión humana, transparencia — son simplemente buenas prácticas de ingeniería de IA.
Qué Pasa Si No Cumples
Las Multas
El EU AI Act tiene las multas potenciales más altas de cualquier regulación de la UE:
| Infracción | Multa Máxima |
|---|---|
| Prácticas de IA prohibidas | Hasta 35 millones de euros o 7% de la facturación anual global |
| Otras infracciones del AI Act | Hasta 15 millones de euros o 3% de la facturación anual global |
| Suministro de información incorrecta | Hasta 7,5 millones de euros o 1,5% de la facturación anual global |
Para pymes y startups, las multas se calculan proporcionalmente (se aplica la cifra menor).
Un Escenario Que Destruye Carreras
Este es un escenario ilustrativo basado en patrones reales de discriminación en sistemas de IA.
Una plataforma de reclutamiento usa IA para cribar 100.000 CVs al año para sus clientes empresariales. El modelo fue entrenado con 10 años de datos históricos de contratación de una gran corporación. Lo que nadie notó: esa corporación históricamente promovió a hombres a puestos directivos al doble de ritmo que a mujeres.
La IA aprendió este patrón. Sin que nadie la configurara para discriminar, el sistema puntuó sistemáticamente a las mujeres un 20% por debajo para puestos de dirección. Durante dos años, aproximadamente 12.000 mujeres cualificadas fueron silenciosamente clasificadas por debajo de candidatos masculinos menos cualificados.
Una investigación periodística expone el patrón. La empresa enfrenta:
- Multa de 35 millones de euros (7% de facturación) — la IA nunca fue clasificada como alto riesgo, a pesar de usarse en decisiones de empleo
- Sin evaluación de conformidad
- Sin evaluación de impacto en derechos fundamentales
- Sin supervisión humana — los responsables de contratación confiaban ciegamente en las puntuaciones de la IA
- Sin pruebas de sesgo en los datos de entrenamiento
- Una demanda por discriminación de 12.000 candidatas rechazadas
- Una crisis de reputación que destruye la marca empleadora y la de sus clientes
La IA funcionaba exactamente como fue diseñada. El problema fue que nadie verificó lo que estaba diseñada para hacer.
Cómo Empezar
1. Inventaría Tus Sistemas de IA
No puedes gestionar lo que no conoces. Documenta cada sistema de IA que tu organización desarrolla, despliega o utiliza:
- ¿Qué hace?
- ¿Qué datos utiliza?
- ¿A quién afecta?
- ¿Qué decisiones influye?
2. Clasifica los Niveles de Riesgo
Para cada sistema de IA, determina su categoría de riesgo bajo el EU AI Act. Presta especial atención a la IA utilizada en contratación, decisiones crediticias, justicia, sanidad y educación — probablemente sean de alto riesgo.
3. Aborda los Sistemas de Alto Riesgo Primero
Para sistemas de alto riesgo, empieza a construir la documentación requerida: sistema de gestión de riesgos, gobernanza de datos, documentación técnica y mecanismos de supervisión humana.
4. Establece Gobernanza de IA
Crea un marco de gobernanza de IA: políticas, roles, procesos y herramientas para gestionar la IA de forma responsable. Esta es la base sobre la que se construye todo lo demás.
5. Evalúa y Monitoriza
Utiliza una herramienta de evaluación de cumplimiento para evaluar tu postura actual contra los requisitos del EU AI Act. Configura monitorización continua de sesgo, rendimiento y desviaciones de cumplimiento.
El EU AI Act no prohíbe la IA — exige IA responsable. Las organizaciones que lo adopten construirán mejores productos, ganarán más confianza y accederán al mayor mercado único del mundo. Las que lo ignoren aprenderán por las malas que los algoritmos tienen consecuencias.
¿Listo para evaluar tu cumplimiento normativo?
Empieza tu evaluación gratuita hoy y descubre en qué punto estás con GDPR, NIS2, DORA, ISO 27001 y más.
Written by
Metrica.uno Team
Content Team
Metrica.uno Team is part of the Metrica.uno team, helping organizations navigate AI compliance with practical insights and guidance.
Artículos relacionados
Cyber Resilience Act (CRA) Explicado: A Quién Afecta, Requisitos y Sanciones
Todo lo que necesitas saber sobre el CRA: a quién aplica, requisitos de seguridad para productos digitales, obligaciones de SBOM y consecuencias del incumplimiento.
DORA Explicado: A Quién Afecta, Requisitos y Sanciones
Todo lo que necesitas saber sobre DORA: a quién aplica, requisitos de resiliencia digital, gestión de riesgos de terceros TIC y consecuencias del incumplimiento.
ENS (Esquema Nacional de Seguridad): Requisitos y Certificación
Todo lo que necesitas saber sobre el ENS: quién lo necesita, requisitos de seguridad, niveles de certificación y por qué es imprescindible para contratos con la Administración Pública.