La perspectiva de Cyber Academy
El EU AI Act es la primera regulación integral de IA del mundo. Cuatro niveles de riesgo: inaceptable (prohibido), alto (obligaciones estrictas y evaluación de conformidad), limitado (transparencia), mínimo. Se aplica de forma progresiva hasta agosto de 2027. Combínalo con ISO 42001 si se busca una respuesta basada en sistema de gestión y no en una lista de verificación. Las normas sobre modelos GPAI se superponen a este marco.
Una ley basada en el riesgo, no una prohibición tecnológica
El EU AI Act regula la inteligencia artificial por lo que hace un sistema y a quién puede afectar, no por el algoritmo que lo sustenta. Una misma técnica de aprendizaje automático puede estar no regulada en un contexto y estrictamente controlada en otro.
Esa es la idea central de los cuatro niveles de riesgo: las prácticas inaceptables están prohibidas de forma directa, los sistemas de alto riesgo cargan con las obligaciones más pesadas, los sistemas de riesgo limitado deben transparencia a las personas que interactúan con ellos, y los sistemas de riesgo mínimo quedan en gran medida intactos.
La mayor parte de la IA de uso cotidiano se sitúa en esa banda mínima, razón por la cual el Act se entiende mejor como una regulación específica de los usos con consecuencias que como un régimen de licencia general para toda la IA.
El Act es un reglamento, por lo que se aplica directamente en cada Estado miembro sin que cada país tenga que transponerlo a su derecho nacional. Su alcance también es extraterritorial en espíritu: los proveedores e implementadores fuera de la UE entran en el ámbito de aplicación cuando su sistema de IA se introduce en el mercado de la UE o sus resultados se utilizan en la Unión. Los profesionales deberían mapear sus sistemas frente a los niveles desde el principio, porque la clasificación determina todo lo que sigue, desde la documentación hasta la evaluación de la conformidad.
Dónde muerden realmente las obligaciones
Casi todo el peso operativo recae sobre los sistemas de alto riesgo. Suele tratarse de IA utilizada en productos regulados o en ámbitos sensibles como las infraestructuras críticas, el empleo, el acceso a servicios esenciales, la aplicación de la ley y la administración de justicia.
Para estos, el Act espera un conjunto de disciplinas operativas en lugar de un formulario puntual: un sistema de gestión de riesgos mantenido a lo largo del ciclo de vida, gobernanza de los datos de entrenamiento y prueba, documentación técnica, registro, transparencia e instrucciones de uso, supervisión humana que permita a una persona intervenir de forma significativa, y un nivel adecuado de exactitud, robustez y ciberseguridad.
Antes de que un sistema de alto riesgo llegue al mercado debe superar una evaluación de la conformidad, y los proveedores realizan una vigilancia poscomercialización una vez que está en funcionamiento.
GPAI, transparencia y el calendario por fases
Por encima de los niveles se sitúa un régimen aparte para los modelos de IA de uso general, los modelos fundacionales que impulsan muchas aplicaciones posteriores. Los proveedores de GPAI afrontan deberes de transparencia y documentación, con requisitos más estrictos para los modelos más capaces que se considera que conllevan riesgo sistémico. Esta capa se añadió precisamente porque un único modelo de uso general puede fluir hacia innumerables usos de alto riesgo y de riesgo limitado, de modo que regular solo la aplicación final dejaría un vacío.
Las obligaciones de riesgo limitado son más ligeras pero reales. Se centran en la transparencia: las personas deberían saber cuándo están interactuando con un sistema de IA, y ciertos contenidos sintéticos o manipulados deberían marcarse como generados artificialmente. El Act entra en vigor y se aplica por fases, con las prohibiciones, las normas de GPAI y las obligaciones de alto riesgo activándose en momentos distintos hasta 2027, lo que da a las organizaciones un margen pero también una secuencia de plazos firmes que planificar.
Cómo lo operacionalizan los profesionales
En la práctica, el Act es una lista de obligaciones legales, no un método de gestión, así que los equipos lo combinan con un sistema capaz de sostener esas obligaciones en el día a día. ISO/IEC 42001 es la respuesta habitual: un sistema de gestión de IA te aporta las evaluaciones de riesgo, la gobernanza de datos, las rutinas de supervisión humana y de vigilancia poscomercialización que el Act espera, ejecutadas como un sistema repetible en lugar de improvisadas bajo la presión del plazo.
El NIST AI Risk Management Framework se usa a menudo en paralelo como estructura voluntaria para identificar y tratar el riesgo de IA. Ninguno de estos hace que un sistema cumpla legalmente por sí solo. Hacen que el cumplimiento sea alcanzable y auditable, que es la diferencia entre demostrar la debida diligencia y confiar en que nadie pregunte.
Frequently asked questions
01¿Se aplica el EU AI Act a empresas fuera de la UE?
Sí, puede aplicarse. El Act alcanza a proveedores e implementadores establecidos fuera de la Unión cuando su sistema de IA se introduce en el mercado de la UE o cuando el resultado del sistema se utiliza dentro de la UE. La ubicación de la empresa no es el factor decisivo; lo son el mercado y el uso.
02¿Qué hace que un sistema sea de alto riesgo?
En términos generales, la IA utilizada como componente de seguridad de un producto regulado, o la IA utilizada en ámbitos sensibles enumerados por el Act como las infraestructuras críticas, el empleo, la educación, los servicios esenciales, la aplicación de la ley y la justicia. La clasificación de alto riesgo activa el conjunto completo de obligaciones y una evaluación de la conformidad antes de la entrada en el mercado.
03¿Cómo se relaciona el AI Act con ISO 42001?
El AI Act establece las obligaciones legales; ISO/IEC 42001 te da un sistema de gestión certificable para cumplirlas de forma estructurada. Tener 42001 no equivale al cumplimiento legal, pero institucionaliza la gestión de riesgos, la gobernanza de datos, la supervisión y el seguimiento que el Act espera.
04¿Qué es la GPAI y por qué se regula por separado?
GPAI significa modelos de IA de uso general, los modelos fundacionales que alimentan muchas aplicaciones posteriores. Reciben sus propias normas de transparencia y documentación, con obligaciones adicionales para los modelos más capaces que conllevan riesgo sistémico, porque un solo modelo puede propagarse hacia muchos usos regulados.
05¿Cuándo entra en vigor el AI Act?
Se aplica por fases en lugar de todo a la vez. Las prácticas prohibidas, las normas sobre IA de uso general y las obligaciones de alto riesgo se activan en momentos escalonados después de que el reglamento entre en vigor, dando a las organizaciones tiempo para prepararse pero una secuencia clara de plazos hasta 2027.