Ir al contenido principal

El AI Act de la UE al descubierto: todo lo que necesita saber

El AI Act es ya la regulación de inteligencia artificial más completa del mundo. A continuación, un desglose claro y práctico de lo que importa: categorías de riesgo, obligaciones, plazos y lo que las organizaciones deben hacer realmente para cumplir.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy6 min de lectura
The EU AI Act Decoded: What You Need to Know

Todo el mundo habla del AI Act europeo. Casi nadie entiende lo que realmente exige.

Algunos creen que prohíbe la IA. Otros piensan que es el GDPR 2.0. Muchos asumen que solo afecta a las «big tech».

La realidad es mucho más sencilla; y mucho más seria:Si su organización usa, desarrolla o adquiere IA, el AI Act le afecta. Esta es la explicación clara y contrastada en la práctica.

El AI Act no es un manual técnico ni un documento filosófico. Es un marco de gobernanza y responsabilidad diseñado para garantizar que los sistemas de IA sean seguros, explicables, documentados y desplegados éticamente.

La norma no le pide que deje de usar IA. Le pide que la controle; del mismo modo en que controlamos la ciberseguridad, los sistemas financieros y las infraestructuras críticas.

Vamos a desglosarlo sin tecnicismos.

1. Toda la ley gira en torno a cuatro niveles de riesgo

El AI Act clasifica los sistemas de IA en cuatro categorías, cada una con obligaciones distintas.

1. Riesgo inaceptable → Prohibición total

Ejemplos:

  • puntuación social
  • manipulación y explotación psicológica
  • categorización biométrica que revela rasgos sensibles
  • recopilación masiva e indiscriminada de imágenes faciales
  • reconocimiento de emociones en entornos laborales y educativos

Si su sistema entra en esta categoría, no puede utilizarlo. Sin excepciones.

2. Riesgo alto → El núcleo de la norma (gobernanza estricta)

La IA de alto riesgo incluye sistemas que afectan a:

  • los derechos de las personas
  • la seguridad
  • la estabilidad financiera
  • los servicios esenciales
  • la aplicación de la ley
  • el empleo
  • la sanidad
  • las infraestructuras esenciales

Aquí se concentra el 80 % de las obligaciones.

3. Riesgo limitado → Transparencia obligatoria

Ejemplos:

  • chatbots
  • deepfakes
  • contenido generativo
  • sistemas de IA que interactúan con personas

Los usuarios deben ser informados de que interactúan con IA y de cuándo el contenido es generado por IA.

4. Riesgo mínimo → Uso libre

Ejemplos:

  • correctores ortográficos y gramaticales
  • IA en videojuegos
  • motores de recomendación Sin requisitos especiales.

Lo esencial: la mayoría de las organizaciones operan en las categorías 2 y 3; no en la 1.

2. La IA de alto riesgo conlleva obligaciones significativas

Si su sistema de IA es de alto riesgo, debe implantar un sistema de gobernanza de IA completo.

Debe demostrar:

  • evaluaciones de riesgo
  • calidad y gobernanza de los conjuntos de datos
  • documentación del modelo (arquitectura, entrenamiento, pruebas)
  • detección y mitigación de sesgos
  • robustez y ciberseguridad
  • supervisión humana y límites de decisión
  • monitorización del rendimiento
  • registro de incidentes
  • trazabilidad del ciclo de vida
  • transparencia ante los reguladores

Esto no es opcional.Es una obligación legal.

Nota práctica: Varios bancos europeos ya tratan los sistemas de IA de alto riesgo como «miniproductos regulados», con ciclos de vida que replican los de los modelos financieros.

3. La IA de uso general (GPAI) y los modelos fundacionales tienen sus propias reglas

Aquí es donde la mayoría de las empresas malinterpretan la norma. Aunque no desarrolle IA, debe entender las obligaciones relativas a los modelos que utiliza.

Los proveedores de GPAI (por ejemplo, grandes modelos de lenguaje) deben:

  • publicar documentación
  • revelar las fuentes de datos de entrenamiento
  • proporcionar orientación sobre mitigación de riesgos
  • garantizar la ciberseguridad
  • compartir evaluaciones técnicas
  • realizar pruebas de riesgos sistémicos (para modelos de gran potencia)

Los usuarios (usted) deben:

  • comprender el uso previsto
  • aplicar controles de riesgo
  • evitar la reutilización en contextos de alto riesgo sin supervisión
  • garantizar que las salidas sean trazables y estén gobernadas

Al usar un modelo GPAI, hereda las obligaciones asociadas.

4. La supervisión humana no es un trámite; es un mecanismo esencial

Todo sistema de IA de alto riesgo debe incluir:

  • capacidad clara de intervención humana
  • puntos de revisión documentados
  • formación para los revisores humanos
  • mecanismos de explicación

La norma es explícita: la supervisión humana debe ser efectiva, no meramente simbólica.

Esto significa que su personal no puede confiar ciegamente en los resultados de la IA; se necesita un proceso formal.

5. El AI Act exige un «sistema de gobernanza de IA»; no solo políticas

Este es el punto que la mayoría de las organizaciones subestiman.

El AI Act espera algo similar a un SGSI, pero orientado a la IA:

Su sistema de gobernanza debe incluir:

  • roles y responsabilidades documentados
  • procesos del ciclo de vida
  • marcos de gestión de riesgos
  • documentación de modelos
  • procedimientos de monitorización
  • respuesta a incidentes
  • auditoría interna
  • mejora continua
  • formación organizativa en IA
  • controles de adquisición
  • verificaciones técnicas y éticas
  • supervisión a nivel de consejo de administración

Por eso ISO publicó ISO/IEC 42001; refleja la norma casi a la perfección.

La UE no utiliza en ningún momento la expresión «sistema de gestión», pero todo el AI Act implica uno.

6. El AI Act incluye notificación obligatoria de incidentes de IA

Si un sistema de IA produce:

  • mal funcionamiento
  • sesgos
  • daños
  • clasificaciones erróneas
  • vulneración de derechos
  • deriva significativa del modelo
  • brechas de seguridad que afecten a la IA

…debe notificarlo a las autoridades.

No existe la opción de «esconder el problema bajo la alfombra».

7. Los requisitos de documentación son exigentes (pero lógicos)

Para la IA de alto riesgo, debe mantener:

  • documentación de los datos de entrenamiento
  • arquitectura del modelo
  • protocolos de prueba
  • verificaciones de robustez
  • medidas de ciberseguridad
  • mitigaciones
  • análisis de sesgos
  • métricas de rendimiento
  • reglas de supervisión humana
  • registros de actividad
  • historial versionado del modelo
  • registros de despliegue

Esto no es burocracia; es lo que los equipos de IA responsables ya deberían estar haciendo.

8. El calendario de aplicación importa; así se articula

El AI Act se aplica de forma escalonada:

2025-2026

  • Las prácticas prohibidas pasan a ser ilegales
  • Se aplica la transparencia para GPAI
  • Las autoridades nacionales de supervisión comienzan a operar
  • La AI Office coordina la supervisión

2026-2027

  • Entran en vigor las obligaciones para la IA de alto riesgo
  • Las empresas deben registrar los sistemas de alto riesgo
  • Los sistemas de gobernanza deben estar operativos

2027-2028

  • Cumplimiento pleno obligatorio
  • Inicio de auditorías y acciones de cumplimiento
  • Las multas se vuelven efectivas

Si despliega o adquiere sistemas de IA en 2025, debe prepararlos ahora.

9. Las sanciones son tan serias como las del GDPR

Multas por incumplimiento:

  • hasta 35 M€ o el 7 % de la facturación global (nivel máximo)
  • 15 M€ o el 3 % por fallos en sistemas de alto riesgo
  • 7,5 M€ o el 1,5 % por documentación engañosa

Estas cifras son deliberadas:convierten el cumplimiento del AI Act en una prioridad a nivel de consejo de administración.

10. Lo que realmente debe hacer ahora

Esta es su lista de partida práctica y sin rodeos:

  1. Identifique y clasifique sus sistemas de IA (basado en riesgo)
  2. Mapee sus proveedores y dependencias de GPAI
  3. Cree su marco de gobernanza de IA
  4. Comience a documentar las decisiones de los modelos
  5. Implemente la supervisión humana
  6. Desarrolle procedimientos de evaluación de riesgos de IA
  7. Prepárese para la notificación de incidentes
  8. Forme a los equipos en las obligaciones relativas a la IA
  9. Alinéese con ISO/IEC 42001
  10. Establezca flujos de trabajo de evidencia (AI Act ≠ «prometer»; es «demostrar»)

Este es el mínimo para evitar problemas regulatorios.

Reflexión final

El AI Act europeo no es anti-innovación. Es pro-responsabilidad. Transmite un mensaje claro:

Si la IA afecta a la vida de las personas, debe ser explicable, controlada y gobernada.

Este es el futuro de las operaciones digitales; y las organizaciones que lo adopten antes tendrán una ventaja competitiva, no una carga de cumplimiento.

Si desea entender cómo implementar el AI Act en la práctica (gobernanza, supervisión, documentación y alineación con ISO 42001), eso es exactamente lo que enseñamos en los programas ISO/IEC 42001 Lead Implementer y AI Risk Manager de Cyber Academy. Únase a la próxima sesión y prepare su organización para la nueva era de la IA en Europa.

¿Quieres recibir la próxima nota de campo en tu bandeja de entrada?

El boletín The GRC Brief. Cinco enlaces y un análisis breve, cada lunes a las 8h CET. Tres minutos de lectura.