La Ley de IA de la UE en Austria: autoridades, obligaciones y el camino hacia la ejecución
La Ley de IA de la UE se aplica en Austria sin transposición. La RTR KI-Servicestelle asesora; la designación de la autoridad está pendiente. Sanciones de hasta 35 M EUR. Plazo: dic. de 2027.
Austria es una economía de la UE de tamaño medio con una base sustancial en la industria manufacturera, los servicios financieros, la tecnología turística y los servicios digitales del sector público. El Reglamento (UE) 2024/1689 — la Ley de IA de la UE — se aplica en Austria directamente, sin necesidad alguna de transposición austriaca. Lo que Austria aún no ha hecho, a junio de 2026, es completar la designación de su autoridad nacional. El país anunció un enfoque en dos pasos: empezar con un órgano consultivo en la RTR-GmbH y, después, convertirlo en una autoridad nacional de IA plenamente facultada. Ese proceso está en marcha, pero no concluido.
Este artículo expone qué se exige ya legalmente a las empresas que operan en Austria, en qué punto se encuentra hoy la ejecución, cómo interactúa la KI-Servicestelle consultiva con la futura autoridad nacional, cómo se solapa la Ley de IA de la UE con el RGPD, el panorama corregido de plazos tras el Ómnibus Digital y qué deberían estar haciendo ahora las empresas austriacas.
Un reglamento, no una directiva: no se requiere transposición austriaca
La Ley de IA de la UE es un reglamento de la UE. En virtud del artículo 288 del TFUE, se aplica en todos los Estados miembros — incluida Austria — directamente y sin tener que incorporarse al Derecho nacional. Las empresas austriacas no esperan a que exista una ley austriaca para que sus obligaciones surtan efecto.
Dos conjuntos de obligaciones ya están en vigor. Las prácticas prohibidas del Artículo 5 — la categorización biométrica por características sensibles fuera de las excepciones permitidas, la puntuación social, la identificación biométrica remota en tiempo real en espacios públicos (fuera de las exclusiones para la garantía del cumplimiento del Derecho), la manipulación subliminal y la explotación de vulnerabilidades personales — se aplican desde el 2 de febrero de 2025. Las empresas que utilizan IA en cualquiera de esas categorías llevan más de un año en situación de incumplimiento si no se han reestructurado o han cesado. Las obligaciones sobre la GPAI en virtud del capítulo V (Artículos 51 a 56), el marco de gobernanza y el régimen sancionador del Artículo 99 se aplican desde el 2 de agosto de 2025.
Lo que Austria, como Estado miembro, debe proporcionar es la infraestructura nacional de ejecución: autoridades competentes designadas con las facultades para auditar, investigar y multar. Esa es la pieza que Austria aún no ha completado.
La designación de Austria sigue tomando forma
El Artículo 70 de la Ley de IA de la UE exigía que cada Estado miembro designara al menos una autoridad nacional competente (ANC) — que actuara como autoridad de vigilancia del mercado y, cuando proceda, como autoridad notificante — antes del 2 de agosto de 2025. Austria incumplió ese plazo.
Austria anunció un KI-Maßnahmenpaket (paquete de medidas de IA) que establece un enfoque en dos pasos. El primer paso es la creación de la KI-Servicestelle (Ventanilla de Servicios de IA) dentro de la RTR-GmbH (Rundfunk und Telekom Regulierungs-GmbH), el regulador austriaco ya existente de telecomunicaciones y radiodifusión. La KI-Servicestelle es actualmente un órgano consultivo: ayuda a las partes interesadas a comprender sus obligaciones, ofrece orientación sobre cómo se aplica la Ley de IA de la UE y desarrolla conocimiento institucional en previsión del segundo paso. En esta fase no tiene facultades de vigilancia del mercado, ni la autoridad para exigir documentación técnica, ni la facultad de imponer las multas del Artículo 99.
El segundo paso es la transición prevista de la RTR/KI-Servicestelle a una autoridad nacional de IA específica con todo el abanico de competencias que exige el Reglamento: vigilancia del mercado, supervisión de la evaluación de la conformidad y funciones de certificación. El KI-Maßnahmenpaket también abarca las obligaciones de transparencia y etiquetado de la IA y el desarrollo de competencias en la industria y la administración pública austriacas.
Esa transición no se ha completado formalmente a junio de 2026. Las empresas que operan en Austria deben tratar la designación como pendiente, no como resuelta. La KI-Servicestelle es un recurso genuino para comprender sus obligaciones — pero la arquitectura de ejecución que puede investigar, dictar órdenes correctivas e imponer multas todavía se está construyendo.
¿Quién hará cumplir la Ley de IA de la UE en Austria?
RTR KI-Servicestelle: consultiva hoy, futura autoridad mañana
La RTR-GmbH aloja la KI-Servicestelle como el punto de contacto actual de Austria para las cuestiones de la Ley de IA de la UE. Hoy funciona como un órgano de orientación y educación — que publica documentos de orientación, responde a las consultas de las partes interesadas y ayuda a las organizaciones a comprender dónde se sitúan sus sistemas de IA en el marco de clasificación del Reglamento. Es la primera parada adecuada para las empresas austriacas que intentan determinar si un sistema está prohibido, es de alto riesgo, de riesgo limitado o de riesgo mínimo.
Cuando se complete el KI-Maßnahmenpaket en dos pasos de Austria, la RTR — o una autoridad específica que la acompañe — asumirá las facultades de vigilancia del mercado en virtud del Artículo 74 y disposiciones conexas. Eso significa la facultad de auditar la documentación técnica, revisar las evaluaciones de la conformidad, examinar los registros de vigilancia poscomercialización del Artículo 72, dictar órdenes correctivas, exigir recuperaciones o retiradas del mercado y remitir casos para la imposición de sanciones administrativas. Los contornos de esa transición aún no están fijados en el Derecho promulgado.
La DSB austriaca: pertinente para la IA de alto riesgo y los datos personales
La Datenschutzbehörde (DSB) — la autoridad nacional de protección de datos de Austria — es pertinente siempre que los sistemas de IA de alto riesgo traten datos personales. Eso describe casi todos los sistemas del Anexo III: el cribado de contratación, la calificación de la solvencia, la identificación biométrica, la admisibilidad a prestaciones públicas y la IA de garantía del cumplimiento del Derecho tratan todos datos personales en su núcleo.
El RGPD no desaparece cuando se aplica la Ley de IA de la UE. Las obligaciones se acumulan. Para los sistemas de IA que tratan datos personales en un contexto de alto riesgo del Anexo III, las empresas deben anticipar el interés tanto de la eventual autoridad de IA austriaca (vigilancia del mercado) como de la DSB (protección de datos). Construir en paralelo el cumplimiento del RGPD y el de la Ley de IA de la UE es más eficiente que tratarlos como programas separados.
Oficina de IA de la UE: supervisión de los proveedores de GPAI
Las empresas austriacas que desarrollan e introducen en el mercado modelos de IA de uso general (GPAI) — ya sean de pesos abiertos o cerrados — no son supervisadas por ninguna autoridad austriaca, sino directamente por la Oficina de IA de la UE en Bruselas. La Oficina de IA tiene competencia sobre las obligaciones de GPAI en virtud de los Artículos 53 y 55. Los proveedores austriacos de modelos de GPAI deben participar en el proceso de los códigos de buenas prácticas de la Oficina de IA y seguir las orientaciones de la Oficina de IA de la UE en lugar de esperar una directriz nacional.
Cómo interactúa el marco de Austria con el RGPD
El RGPD y la Ley de IA de la UE discurren de forma concurrente para los sistemas de IA que tratan datos personales. Eso abarca esencialmente todos los sistemas de alto riesgo del Anexo III y una parte significativa de los despliegues de riesgo limitado del Art. 50.
La intersección más directa es entre dos evaluaciones obligatorias. El artículo 35 del RGPD exige una evaluación de impacto relativa a la protección de datos (EIPD) antes de un tratamiento que probablemente entrañe un alto riesgo para las personas físicas — que es casi con seguridad lo que es un despliegue de IA de alto riesgo del Anexo III. El Artículo 27 de la Ley de IA de la UE exige que determinados responsables del despliegue realicen una evaluación de impacto relativa a los derechos fundamentales (EIDF) antes de poner en servicio un sistema de IA de alto riesgo. Ambas deben completarse antes del despliegue, ambas requieren un análisis documentado y ambas deben estar disponibles para la inspección de la autoridad de supervisión. El Artículo 27, apartado 4, reconoce explícitamente que la EIDF puede basarse en una EIPD ya existente; en la práctica, el fundamento fáctico de ambas evaluaciones — la descripción del sistema, los flujos de datos, las poblaciones afectadas, los posibles perjuicios — se solapa sustancialmente, y una EIPD bien estructurada puede aportar la materia prima para la EIDF.
Un segundo solapamiento práctico atañe a la conservación de registros y a las decisiones automatizadas. El Artículo 12 de la Ley de IA de la UE exige sistemas de conservación de registros para la IA de alto riesgo. El artículo 22 del RGPD rige la toma de decisiones automatizada y exige facilitar información significativa sobre la lógica aplicada, así como permitir la revisión humana. Una empresa austriaca que utilice un modelo de IA de calificación crediticia se enfrenta a obligaciones simultáneas en virtud de ambos instrumentos en materia de documentación, transparencia e intervención humana. La carga de cumplimiento es real — pero es sustancialmente la misma tarea de documentación vista a través de dos prismas jurídicos distintos.
Para los organismos públicos austriacos, la DSB ha establecido orientaciones sobre la EIPD en virtud del artículo 35 del RGPD. Los organismos que desplieguen sistemas de IA de alto riesgo deben ampliar ese trabajo de EIPD de forma explícita para cubrir los requisitos de la EIDF del Artículo 27, tratando ambas evaluaciones como un ejercicio coordinado en lugar de como esfuerzos de cumplimiento separados.
El calendario de la Ley de IA de la UE tal como se aplica en Austria
| Fecha | Qué se aplica |
|---|---|
| 2 de febrero de 2025 | Prácticas prohibidas del Artículo 5 y alfabetización en IA del Artículo 4 — en vigor, exigibles ya |
| 2 de agosto de 2025 | Obligaciones de GPAI (capítulo V, Artículos 51 a 56), gobernanza, Oficina de IA de la UE, sanciones del Artículo 99 |
| 2 de agosto de 2026 | Aplicación general, incluida la transparencia de riesgo limitado del Artículo 50 (chatbots, ultrafalsificaciones, marcado de contenido sintético, divulgación del reconocimiento de emociones) |
| 2 de diciembre de 2027 | Sistemas de IA de alto riesgo autónomos (lista del Anexo III) — aplazado en virtud del Ómnibus Digital |
| 2 de agosto de 2028 | IA de alto riesgo como componente de seguridad de productos regulados del Anexo I — aplazado en virtud del Ómnibus Digital |
El Ómnibus Digital — el paquete de modificaciones de la Comisión, sobre el que el Parlamento Europeo y el Consejo alcanzaron un acuerdo político el 7 de mayo de 2026, con la adopción formal prevista antes del 2 de agosto de 2026 — aplazó el plazo original de alto riesgo de agosto de 2026 hasta el 2 de diciembre de 2027 para los sistemas autónomos del Anexo III y el 2 de agosto de 2028 para la IA integrada en productos regulados del Anexo I. Ese aplazamiento no es una invitación a hacer una pausa. Un sistema de gestión de riesgos del Artículo 9, la documentación técnica del Anexo IV, los controles de supervisión humana del Artículo 14 y una evaluación de la conformidad en virtud del Artículo 43 representan de seis a doce meses de trabajo enfocado para la mayoría de las organizaciones. Las empresas que empiecen en 2026 estarán listas; las que empiecen a mediados de 2027, no.
El Artículo 5 ya está en vigor y lo está desde febrero de 2025. La designación incompleta de la autoridad de Austria no afecta a eso: las prohibiciones son jurídicamente vinculantes para las empresas austriacas ahora, y la ejecución puede provenir del nivel de la UE o, una vez completada la designación, de la autoridad nacional.
Sanciones: a qué se enfrentan las empresas en Austria
El marco sancionador es el Artículo 99 del Reglamento (UE) 2024/1689. Austria las aplicará a través de procedimientos de ejecución nacionales una vez que la autoridad nacional esté designada y facultada. Tres niveles, cada uno «si esta última cifra es mayor» de una cantidad fija o un porcentaje del volumen de negocios anual mundial total:
- 35 000 000 EUR o el 7 % — para las infracciones de las prohibiciones del Artículo 5. Este techo se aplica desde el 2 de agosto de 2025.
- 15 000 000 EUR o el 3 % — para el incumplimiento de la mayoría de las demás obligaciones: los requisitos de alto riesgo (Artículos 9 a 15), las obligaciones del proveedor (Artículo 16), las obligaciones del responsable del despliegue (Artículo 26) y los deberes de transparencia del Artículo 50.
- 7 500 000 EUR o el 1 % — por facilitar información incorrecta, incompleta o engañosa a los organismos notificados o a las autoridades competentes.
Para las empresas por debajo de cierto tamaño, el Artículo 99, apartado 6, ofrece una protección de proporcionalidad genuina: para las pymes y las empresas emergentes, la multa se limita al menor de los dos importes, la cantidad fija o el porcentaje. Una empresa con un volumen de negocios anual de 8 millones EUR no puede afrontar una multa de 15 millones EUR por una infracción de una obligación de alto riesgo — el 3 % de 8 millones EUR es 240 000 EUR, y ese es el techo aplicable. Las empresas austriacas más pequeñas deben tener en cuenta esta protección, pero no deben tratarla como una razón para aplazar el cumplimiento: la exposición reputacional y operativa de un sistema de IA no conforme va más allá de la propia multa.
Un ejemplo: una autoridad de transporte público austriaca que despliegue una IA de vigilancia policial predictiva para la seguridad de las rutas que entre dentro de una prohibición del Artículo 5 se enfrentaría al nivel más alto — hasta 35 millones EUR o el 7 % del volumen de negocios. Para un gran organismo público o una sociedad cotizada, el 7 % del volumen de negocios mundial puede superar con creces la cantidad fija de 35 millones EUR.
Las multas específicas de la GPAI son un instrumento aparte: la Comisión puede multar a los proveedores de modelos de GPAI con hasta 15 millones EUR o el 3 % en virtud del Artículo 101.
Consideraciones de cumplimiento específicas de Austria
Vías industriales y de productos del Anexo I
Austria tiene un sector manufacturero significativo — ingeniería mecánica, electrónica, automatización industrial — y las empresas que integran IA en maquinaria o en productos críticos para la seguridad se enfrentan a la vía de productos del Anexo I en lugar de a la vía del Anexo III. Cuando la IA es un componente de seguridad de un producto cubierto por la regulación de productos de la UE (el Reglamento sobre máquinas revisado (UE) 2023/1230, el reglamento sobre productos sanitarios o similares), se clasifica como de alto riesgo en virtud del Artículo 6, apartado 1, en lugar del Artículo 6, apartado 2, + Anexo III. El plazo para esos sistemas es el 2 de agosto de 2028 en virtud del Ómnibus Digital. Es crucial que la vía de evaluación de la conformidad en virtud del Artículo 43 para los productos del Anexo I implica normalmente a un organismo notificado — la vía de terceros más exigente, no la autoevaluación. Los fabricantes austriacos que integran IA en sistemas de seguridad deben identificar y contactar con organismos notificados adecuados con mucha antelación al plazo de 2028; la capacidad de los organismos acreditados es limitada.
Acceso a los espacios controlados de pruebas regulatorios
El Artículo 57 de la Ley de IA de la UE exige que cada Estado miembro establezca al menos un espacio controlado de pruebas regulatorio antes del 2 de agosto de 2026, con acceso prioritario y tarifas reducidas para las empresas más pequeñas en virtud del Artículo 58. Los espacios controlados de pruebas permiten a las empresas desarrollar y probar sistemas de IA en un entorno controlado antes de su salida al mercado. Las empresas austriacas — en particular las que desarrollan aplicaciones de alto riesgo novedosas — deben vigilar las novedades de la RTR/KI-Servicestelle sobre el acceso a los espacios controlados de pruebas una vez completada la transición de la autoridad.
Sector público: EIDF obligatoria en virtud del Artículo 27
Las agencias federales austriacas (Bundesbehörden), las autoridades de los Länder y los responsables del despliegue de servicios públicos figuran entre los sujetos obligados a la EIDF del Artículo 27. El Artículo 27 exige que los responsables del despliegue que sean organismos públicos — o que presten determinados servicios de interés público utilizando IA de alto riesgo del Anexo III — completen una evaluación de impacto relativa a los derechos fundamentales antes del despliegue. Para los sistemas de solvencia y de seguros de salud o de vida (Anexo III, puntos 5, letra b), y 5, letra c)), los responsables del despliegue privados también están dentro del ámbito de aplicación. La EIDF debe documentarse, actualizarse cuando el contexto del despliegue cambie de forma material y estar disponible para la inspección de la autoridad de supervisión. Los organismos públicos austriacos deben tratar esto como un control previo al despliegue, no como un ejercicio opcional.
Artículo 25 y cambios de rol: el riesgo de la personalización
La mayoría de las empresas austriacas que despliegan herramientas de IA de terceros se sitúan en el rol de responsable del despliegue en virtud del Artículo 26. Pero las empresas que modifican sustancialmente un sistema de IA de alto riesgo — ajustando un modelo con datos propios, modificando su finalidad prevista o introduciéndolo en el mercado con su propio nombre — pueden cruzar la línea del Artículo 25 hacia las obligaciones completas de proveedor en virtud del Artículo 16. Eso significa volver a realizar la evaluación de la conformidad, reconstruir el paquete de documentación técnica del Anexo IV y emitir una nueva declaración de conformidad del Artículo 47 / Anexo V. Las empresas de software y los integradores de tecnología austriacos que adaptan herramientas de IA para sus clientes deben completar el análisis del Artículo 25 antes de dar por supuesto que son simplemente responsables del despliegue.
Utilizar la KI-Servicestelle mientras la designación está pendiente
La RTR KI-Servicestelle es genuinamente útil. Aunque no tiene facultades de ejecución, su orientación y su producción consultiva ayudan a las empresas a comprender dónde se sitúan sus sistemas en el marco de clasificación del Reglamento y qué obligaciones de documentación se aplican. Las empresas austriacas deben seguir sus publicaciones y utilizarla como punto de referencia mientras se completa la designación de la autoridad nacional de Austria.
Cómo ayuda Confir a las empresas en Austria
Los equipos de cumplimiento austriacos que construyen programas de la Ley de IA de la UE se enfrentan al mismo reto de documentación que en el resto de la UE — registros de gestión de riesgos del Artículo 9, documentación técnica del Anexo IV, EIDF del Artículo 27, preparación de la conformidad en virtud del Artículo 43, registros de vigilancia poscomercialización del Artículo 72, un registro del Artículo 49 y un inventario de IA que sustente todo ello. Sin una autoridad nacional plenamente facultada todavía designada en Austria, aún no hay un órgano de ejecución que emita orientaciones formales sobre las expectativas locales — lo que hace que autoestructurar el programa de cumplimiento sea más importante, no menos.
Confir es una herramienta de cumplimiento alojada en la UE creada específicamente para este trabajo. Su motor de clasificación es determinista y basado en reglas: codifica los Artículos 5 y 6 con la lógica del Anexo III en reglas explícitas, de modo que la misma admisión produce el mismo hallazgo cada vez, con una explicación legible por humanos de qué regla se activó. Sin inferencia, sin alucinaciones — una decisión de diseño deliberada para un producto cuyo resultado tiene que sostenerse ante un regulador. Confir genera el paquete completo de documentación técnica del Anexo IV, la declaración de conformidad del Artículo 47 / Anexo V y la EIDF del Artículo 27. La evaluación estructurada abarca cuatro áreas: clasificación de riesgos y cumplimiento (AIRC), datos y solidez técnica (AITR), transparencia y supervisión humana (AITO), y gobernanza y vigilancia poscomercialización (AIGM).
Qué deberían hacer ahora las empresas en Austria
De inmediato — las prohibiciones del Artículo 5 se aplican ya. Audite todo sistema de IA que pueda implicar categorización biométrica por características sensibles, identificación biométrica remota en tiempo real en espacios públicos, puntuación social por parte de autoridades públicas, técnicas subliminales o manipuladoras, o explotación de vulnerabilidades individuales. Si un sistema encaja en una categoría del Artículo 5 y no se aplica ninguna exención, debe detenerse o reestructurarse. Esto es así desde el 2 de febrero de 2025. La designación pendiente de la autoridad de Austria no ofrece ningún escudo.
Antes del 2 de agosto de 2026 — transparencia del Artículo 50. Todo sistema de IA que interactúe con personas físicas — chatbots, asistentes de voz, herramientas de IA orientadas al cliente — debe cumplir los requisitos de transparencia y divulgación del Artículo 50: los usuarios deben saber cuándo interactúan con una IA, cuándo el contenido se ha generado sintéticamente y cuándo se está utilizando el reconocimiento de emociones. Este no es el plazo de alto riesgo, pero es una obligación genuina con una fecha infranqueable a menos de dos meses de hoy.
2026-2027 — preparación de alto riesgo hacia el 2 de diciembre de 2027. Las empresas con sistemas autónomos del Anexo III tienen hasta el 2 de diciembre de 2027 en virtud del aplazamiento del Ómnibus Digital. Utilice 2026 para construir el inventario de IA y la clasificación, aplique el filtro del Artículo 6, apartado 3, para identificar qué sistemas recaen genuinamente en categorías de alto riesgo, asigne los roles de proveedor y de responsable del despliegue en virtud de los Artículos 16 y 26, y comience la documentación. Las organizaciones que integran IA en productos regulados (vía del Anexo I) deben contactar simultáneamente con organismos notificados para la vía de 2028.
Utilice la RTR KI-Servicestelle. Mientras la designación completa de la autoridad de Austria está pendiente, la KI-Servicestelle es el principal recurso nacional para la orientación sobre las obligaciones. Vigile sus publicaciones y trate su producción consultiva como el indicador disponible más cercano de cómo es probable que la eventual autoridad nacional de IA austriaca interprete el Reglamento.
Preguntas frecuentes
¿Ha designado Austria una autoridad nacional competente para la Ley de IA de la UE?
Todavía no, a junio de 2026. Austria incumplió el plazo de designación del Artículo 70 del 2 de agosto de 2025. En virtud de su KI-Maßnahmenpaket, Austria ha establecido la KI-Servicestelle en la RTR-GmbH como órgano consultivo, con un segundo paso previsto para convertirla en una autoridad nacional de IA plenamente facultada responsable de la vigilancia del mercado, la supervisión de la evaluación de la conformidad y la certificación. El calendario de esa transición no se ha promulgado en una ley.
¿Qué es la RTR KI-Servicestelle y qué puede hacer?
La KI-Servicestelle es un órgano consultivo alojado por la RTR-GmbH (el regulador austriaco de telecomunicaciones y radiodifusión). Ofrece orientación y apoyo educativo a las partes interesadas que buscan comprender sus obligaciones de la Ley de IA de la UE. Actualmente no tiene facultades de vigilancia del mercado, ni la autoridad para exigir documentación técnica, ni la facultad de imponer multas administrativas. Esas facultades llegarán una vez que Austria complete la designación de la autoridad en virtud de su KI-Maßnahmenpaket en dos pasos.
¿Se aplica la Ley de IA de la UE en Austria aunque no se haya designado ninguna autoridad nacional?
Sí. El Reglamento (UE) 2024/1689 es directamente aplicable en Austria en virtud del artículo 288 del TFUE. La ausencia de una autoridad nacional competente designada no suspende ninguna obligación. Las prohibiciones del Artículo 5 son exigibles desde el 2 de febrero de 2025; las disposiciones sobre la GPAI y las sanciones, desde el 2 de agosto de 2025. Una vez completada la designación de Austria, la autoridad nacional tendrá alcance de ejecución retrospectivo sobre la conducta pasada.
¿Cuál es el plazo de cumplimiento de alto riesgo para las empresas austriacas?
En virtud del Ómnibus Digital (acuerdo político alcanzado el 7 de mayo de 2026), los sistemas de IA de alto riesgo autónomos de la lista del Anexo III tienen hasta el 2 de diciembre de 2027. La IA de alto riesgo integrada en productos regulados del Anexo I — maquinaria, productos sanitarios — tiene hasta el 2 de agosto de 2028. El plazo original de agosto de 2026 se aplazó. Las prohibiciones del Artículo 5 ya están en vigor.
¿A qué sanciones pueden enfrentarse las empresas en Austria?
El Artículo 99 establece tres niveles: 35 millones EUR o el 7 % del volumen de negocios anual mundial por las infracciones de las prohibiciones del Artículo 5; 15 millones EUR o el 3 % por la mayoría de las demás obligaciones, incluidos los requisitos de IA de alto riesgo y los deberes del responsable del despliegue del Artículo 26; y 7,5 millones EUR o el 1 % por facilitar información incorrecta o engañosa a las autoridades o a los organismos notificados. El Artículo 99, apartado 6, limita las multas para las pymes y las empresas emergentes al menor de los dos importes, la cantidad fija o el porcentaje.
¿Cómo interactúan el RGPD y la Ley de IA de la UE para las empresas austriacas?
Los dos regímenes se acumulan siempre que la IA trata datos personales. El solapamiento práctico clave es entre la EIPD del artículo 35 del RGPD y la EIDF del Artículo 27 de la Ley de IA de la UE — ambas deben completarse antes de desplegar sistemas de IA de alto riesgo que impliquen datos personales, y ambas cubren un terreno fáctico similar. El Artículo 27, apartado 4, permite que la EIDF se base en una EIPD ya existente. La conservación de registros en virtud del Artículo 12 de la Ley de IA también se cruza con las obligaciones de decisión automatizada del artículo 22 del RGPD. Para las empresas con exposición a datos personales, diseñar ambos programas conjuntamente es más eficiente que ejecutarlos por separado.
¿Es una empresa austriaca que utiliza una herramienta de IA de un tercero un proveedor o un responsable del despliegue?
La mayoría de las empresas que utilizan una herramienta de IA de un tercero son responsables del despliegue en virtud del Artículo 26. La distinción importa: los responsables del despliegue tienen obligaciones más ligeras que los proveedores, aunque deben seguir las instrucciones, mantener registros, garantizar la supervisión humana y (para determinados contextos de interés público o de solvencia) realizar una EIDF del Artículo 27. Pero una empresa que modifica sustancialmente un sistema de IA de alto riesgo, lo reetiqueta con su propio nombre o lo reutiliza para una finalidad prevista distinta cruza la línea del Artículo 25 y asume las obligaciones completas de proveedor en virtud del Artículo 16 — incluida la repetición de la evaluación de la conformidad. ---
Guías relacionadas
- La Ley de IA de la UE en Alemania: ejecución, autoridades y obligaciones
- ¿Qué es la Ley de IA de la UE?
- Resumen de la Ley de IA de la UE
- Sanciones de la Ley de IA de la UE: el Artículo 99 explicado
- Calendario y fechas clave de la Ley de IA de la UE
- Alcance extraterritorial de la Ley de IA de la UE
- Clasificación de riesgo de la IA en virtud del Artículo 6 y el Anexo III
- Evaluación de la conformidad en virtud del Artículo 43
- Autoridad de vigilancia del mercado — glosario
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →