Europa ha dado un paso hacia adelante en materia de inteligencia artificial (IA): con fecha 13 de junio de 2024 la Unión Europea aprobó el Reglamento (UE) 2024/1689 (denominado comúnmente AI Act), el cual, siendo de aplicación directa, establece un periodo escalonado de aplicación desde el 2 de agosto de 2024 hasta el 2 agosto de 2027.
El AI Act tiene por objeto la instauración de un marco jurídico unificado en la Unión Europea para regular el desarrollo, la comercialización y el uso de la inteligencia artificial bajo un enfoque basado en el riesgo que entraña para las personas y la sociedad.
Este enfoque, de aplicación escalonada, determina las obligaciones aplicables a cada sistema:
1. Riesgo inaceptable (prácticas prohibidas). Desde el 2 de febrero de 2025 se prohíben los sistemas que manipulan conductas mediante técnicas subliminales, explotan vulnerabilidades, permiten puntuación social masiva (social scoring) para uso gubernamental, efectúan predicciones policiales basadas únicamente en perfiles, extraen de forma masiva imágenes faciales o realizan identificación biométrica en tiempo real en espacios públicos con fines de seguridad, entre otras. A modo de ejemplo, no está permitido el análisis de un gran volumen de datos de personas, organizaciones o empresas, basados en su comportamiento, acciones o características, con la finalidad de otorgar a cada uno de ellos, por parte del Gobierno, una puntuación y aplicarles restricciones o beneficios conforme a la puntuación obtenida.
2. Alto riesgo (Obligaciones reforzadas). Con carácter general, hasta el 2 de agosto de 2026 no se aplicarán las medidas previstas para los considerados sistemas aplicados en ámbitos críticos: justicia, empleo, educación, servicios esenciales, infraestructuras, migración y productos de seguridad. Exigen conformidad, transparencia, supervisión humana y registro en la base de datos europea. A modo de ejemplo, se entiende de alto riesgo que una empresa utilice sistema de IA para preseleccionar candidatos a un puesto de trabajo.
3. Riesgo limitado (Obligaciones de transparencia). Se trata de Chatbots, sistemas generadores de contenido sintético o deepfakes (vídeos, imágenes o audios generados mediante IA que imitan la apariencia y la voz de una persona). En todos ellos, se debe informar al usuario de que está interactuando con una IA o de que el contenido ha sido generado artificialmente.
4. Riesgo mínimo (Sin obligaciones específicas). Filtros de spam, videojuegos con IA, sistemas de recomendación de bajo impacto. Pueden acogerse voluntariamente a códigos de conducta, pero no están sujetos a obligaciones formales adicionales.
Asimismo, el AI Act establece multas de hasta 35 millones de euros o el 7% del volumen de negocios total para infracciones relativas al uso de sistemas prohibidos; de hasta 15 millones o el 3% del volumen de negocios total para incumplimientos en sistemas de alto riesgo; y hasta 7,5 millones o el 1,5% del volumen de negocios total por proporcionar información inexacta, incompleta o engañosa facilitada a las autoridades.
¿Qué ocurre con todas las nuevas aplicaciones de IA (ChatGPT, Copilot, Gemini, Grok, etc)? Igualmente, el AI Act introduce por primera vez una regulación específica para los denominados modelos de IA de uso general (GPAI, por sus siglas en inglés), categoría en la que se incluyen estos grandes modelos de lenguaje.
Los proveedores de GPAI están sujetos a obligaciones de transparencia sobre los datos de entrenamiento utilizados, a la publicación de documentación técnica suficiente y al cumplimiento de la normativa sobre derechos de autor en el proceso de entrenamiento. Para los modelos que presenten un riesgo sistémico —definido por superar determinados umbrales de capacidad computacional— las obligaciones se intensifican: evaluaciones adversariales, notificación de incidentes graves y medidas de ciberseguridad reforzadas.
Debe tenerse en cuenta que el AI Act no opera en el vacío: forma parte de un ecosistema normativo digital europeo más amplio que las empresas deben entender de forma integrada. Entre otros, el Reglamento se articula con el RGPD en materia de protección de datos (Reglamento (UE) 2016/679); con el Reglamento de Servicios Digitales (DSA) en lo relativo a plataformas en línea (Reglamento (UE) 2022/2065); y con la Ley de Datos (Data Act) sobre acceso y uso de datos generados por dispositivos conectados (Reglamento 2023/2854).
En todo caso, el AI Act es el inicio de un proceso regulatorio, no su culminación. La velocidad de la evolución tecnológica garantiza que el marco normativo seguirá adaptándose en los próximos años. Las empresas que aborden el cumplimiento como una inversión estratégica —y no como un mero trámite burocrático— estarán mejor posicionadas para operar con seguridad jurídica y generar confianza en sus clientes, inversores y/o socios.
En los próximos artículos de este blog iremos desgranando cómo esta regulación afecta a diferentes ámbitos.