Skip to content
Confir.
Prueba gratuita
Blog

La Ley de IA de la UE en Alemania: aplicación, autoridades y obligaciones empresariales

Country Guide5 January 2026· 18 min de lectura

La Bundesnetzagentur lidera la aplicación de la Ley de IA de la UE en Alemania a través de la KI-MIG. Cubre las funciones de las autoridades, la superposición con el RGPD, las sanciones y el plazo de alto riesgo de diciembre de 2027.

Alemania es la mayor economía de la UE y uno de los mayores usuarios de IA en la industria manufacturera, los servicios financieros y la administración pública. La Ley de IA de la UE —el Reglamento (UE) 2024/1689— es directamente aplicable aquí sin transposición al Derecho alemán. Lo que Alemania sí debe hacer, y lo que ha llevado más tiempo del que a Bruselas le habría gustado, es designar a sus autoridades de aplicación, dotarlas de competencias e incardinar el Reglamento en el tejido existente del Derecho administrativo alemán. Ese proceso está ya en marcha.

Este artículo expone dónde se encuentra Alemania: las autoridades designadas, la legislación de aplicación que avanza por el Bundestag, la interacción con el RGPD y la BDSG, el calendario corregido tras el Ómnibus Digital y lo que las empresas alemanas deberían estar haciendo ahora.

Un reglamento, no una directiva: no se requiere transposición alemana

La Ley de IA de la UE es un reglamento. Entró en vigor el 1 de agosto de 2024 y se aplica directamente en todos los Estados miembros, incluida Alemania, en virtud del artículo 288 del TFUE. Las empresas alemanas no esperan a una ley alemana para que las obligaciones surtan efecto: las prácticas prohibidas del Artículo 5 se aplican desde el 2 de febrero de 2025, y las obligaciones de GPAI del capítulo V se aplican desde el 2 de agosto de 2025.

Lo que Alemania debe proporcionar es la infraestructura nacional de aplicación: autoridades designadas, procedimientos sancionadores internos y medidas nacionales para los ámbitos en los que el Reglamento deja explícitamente margen a la discrecionalidad de los Estados miembros, como el modo en que interactúan los reguladores sectoriales, cómo se consulta a los comités de empresa y cómo se operativizan los requisitos de alfabetización en materia de IA del Artículo 4 para los empleadores públicos.

La ley de aplicación alemana: la KI-MIG

Alemania incumplió el plazo del 2 de agosto de 2025 para designar a las autoridades nacionales competentes: el desplome de la anterior coalición trastocó el calendario legislativo. El 10 de febrero de 2026, el nuevo Gabinete Federal aprobó un proyecto de ley gubernamental oficial de la KI-MIG (Gesetz zur Durchführung der Verordnung über künstliche Intelligenz, Ley de Ejecución del Reglamento sobre Inteligencia Artificial, también descrita como Ley de Vigilancia del Mercado de la IA y de Fomento de la Innovación). A principios de junio de 2026, la KI-MIG se ha presentado en el Bundestag pero aún no se ha promulgado. Se prevé su aprobación parlamentaria antes del 2 de agosto de 2026, cuando comienza la aplicación general de la Ley, incluidas las obligaciones de transparencia de riesgo limitado del Artículo 50.

La KI-MIG hace tres cosas principales: designa a las autoridades nacionales competentes; crea la base jurídica interna para las competencias de aplicación y las sanciones; e introduce modificaciones de concordancia en otras normas alemanas. Su aprobación no cambia qué obligaciones se aplican ni cuándo —eso lo establece el propio Reglamento—. Sí determina qué autoridad alemana puede investigar y sancionar.

¿Quién aplica la Ley de IA de la UE en Alemania?

Bundesnetzagentur: autoridad central

La KI-MIG designa a la Bundesnetzagentur (Agencia Federal de Redes) como principal autoridad de vigilancia del mercado (AVM), autoridad notificante (AN) y punto de contacto único (PCU) para la Oficina de IA de la UE. La Bundesnetzagentur es ya el regulador alemán de la energía, las telecomunicaciones, los ferrocarriles y los servicios postales —sectores con larga experiencia en la regulación técnica compleja de productos— y aporta esa capacidad de coordinación transectorial a la aplicación de la Ley de IA.

Dentro de la Bundesnetzagentur, el proyecto de KI-MIG establece dos estructuras internas:

  • La UKIM (Unabhängige KI-Marktüberwachungskammer, Cámara Independiente de Vigilancia del Mercado de la IA), un órgano operativamente independiente dentro de la Agencia que lleva a cabo las actividades de vigilancia del mercado para los sistemas de IA de alto riesgo.
  • El KoKIVO (Koordinierungs- und Kompetenzzentrum KI-VO, Centro de Coordinación y Competencia para el Reglamento de IA), que aglutina los conocimientos especializados, apoya a las autoridades federales y de los Länder en la aplicación del Reglamento y coordina la aplicación entre autoridades.

Como AVM, la Bundesnetzagentur tiene competencia para auditar la documentación técnica, revisar las evaluaciones de la conformidad y los registros de vigilancia poscomercialización del Artículo 72, dictar órdenes correctoras, exigir retiradas o recuperaciones e imponer las multas administrativas del Artículo 99.

Los reguladores sectoriales conservan la autoridad sobre su ámbito

La KI-MIG adopta un modelo híbrido: la Bundesnetzagentur como autoridad central por defecto, con las autoridades sectoriales competentes que conservan la responsabilidad dentro de sus propios ámbitos de regulación.

La BaFin (Autoridad Federal de Supervisión Financiera) supervisa los sistemas de IA desplegados por las entidades financieras bajo su control —modelos de calificación crediticia, motores de riesgo de seguros y sistemas de negociación algorítmica—. La BaFin ya ha publicado expectativas de supervisión para la IA en la banca y los seguros; su mandato en virtud de la Ley de IA se superpone a esas expectativas existentes. Para un prestamista regional alemán que utilice una herramienta de calificación crediticia por IA, tanto la BaFin como la Bundesnetzagentur serán pertinentes, y conviene una relación temprana con las orientaciones de la BaFin.

La BSI (Bundesamt für Sicherheit in der Informationstechnik, Oficina Federal de Seguridad de la Información) apoya la aplicación cuando los sistemas de IA se cruzan con la ciberseguridad y las infraestructuras críticas (KRITIS). Para los proveedores que aleguen el cumplimiento de los requisitos de exactitud, robustez y ciberseguridad del Artículo 15, las orientaciones técnicas de la BSI —en particular la BSI-CS 147— proporcionan una norma nacional de referencia que complementa las normas armonizadas europeas que se están desarrollando con arreglo al Artículo 40.

La BfDI y las autoridades de protección de datos (APD) de los Länder ocupan una posición controvertida. El proyecto de KI-MIG otorga a la Bundesnetzagentur la competencia por defecto incluso para los sistemas de IA que tratan datos personales, una elección que suscitó duras críticas de las autoridades estatales de protección de datos de Alemania, que sostienen que el Artículo 74 del Reglamento asigna la responsabilidad de supervisión de la IA de alto riesgo en ámbitos sensibles a las autoridades que ya regulan esos ámbitos, lo que, para los despliegues intensivos en protección de datos, significa las APD. La disputa está viva y puede revisarse antes de la promulgación. Lo que las empresas deben tener en cuenta: siempre que un sistema de IA de alto riesgo trate datos personales a gran escala —piénsese en el cribado de candidatos, las decisiones de admisibilidad a prestaciones públicas o la categorización biométrica—, deben esperar que tanto la función de vigilancia del mercado de la Bundesnetzagentur como la APD pertinente muestren interés.

Oficina de IA (Bruselas): supervisión de la GPAI

Los proveedores de modelos de GPAI con sede en Alemania —empresas que desarrollan e introducen modelos de IA de uso general en el mercado— no son supervisados por la Bundesnetzagentur, sino directamente por la Oficina de IA de la UE en Bruselas. La Oficina de IA tiene competencia sobre todas las obligaciones de los modelos de GPAI con arreglo a los Artículos 53 y 55, y la Bundesnetzagentur actúa como su PCU para las empresas alemanas. Las empresas alemanas del ámbito de los modelos fundacionales o los grandes modelos de lenguaje deben relacionarse con el proceso de códigos de buenas prácticas de la Oficina de IA en lugar de tratar el cumplimiento en materia de GPAI como un asunto nacional.

Cómo interactúa la arquitectura de aplicación de Alemania con el RGPD y la BDSG

El RGPD y la Ley de IA de la UE corren en paralelo para los sistemas de IA que tratan datos personales, y eso abarca a casi todos los sistemas de alto riesgo del Anexo III. El RGPD, aplicado en Alemania a través de la Bundesdatenschutzgesetz (BDSG), no desaparece cuando se aplica la Ley de IA; las obligaciones se suman.

La interacción más práctica es la que se da entre la evaluación de impacto relativa a la protección de datos (EIPD) del artículo 35 del RGPD y la EIDF (evaluación de impacto relativa a los derechos fundamentales) del Artículo 27 que la Ley de IA exige a determinados responsables del despliegue. Ambas son obligatorias antes del despliegue para los sistemas que cubren, ambas exigen una evaluación de los riesgos para los derechos fundamentales, y ambas deben documentarse y ponerse a disposición de los supervisores. Para una agencia federal alemana que despliegue una herramienta de IA para evaluar la admisibilidad de los demandantes de empleo, realizar tanto una EIPD con arreglo al RGPD como una EIDF con arreglo al Artículo 27 —y coordinar sus conclusiones— no es opcional. La BfDI ha publicado orientaciones sobre la EIPD que los organismos públicos alemanes deberían ampliar para cubrir los requisitos de la EIDF; las dos evaluaciones pueden compartir buena parte de su base fáctica.

Una segunda interacción se refiere a los registros y los archivos. El Artículo 12 de la Ley de IA de la UE exige sistemas de conservación de registros para la IA de alto riesgo; el artículo 22 del RGPD regula la toma de decisiones automatizada y la obligación de facilitar información significativa sobre la lógica aplicada. Una empresa alemana que utilice una herramienta de IA de cribado de candidatos tiene obligaciones simultáneas con arreglo a ambos instrumentos en materia de documentación, transparencia y revisión humana. La carga de cumplimiento es real, pero la documentación elaborada para un marco nutre al otro.

El calendario de la Ley de IA de la UE tal como se aplica en Alemania

FechaQué se aplica
2 de febrero de 2025Prácticas prohibidas del Artículo 5 y alfabetización en materia de IA del Artículo 4: en vigor, exigibles ahora
2 de agosto de 2025Obligaciones de GPAI (capítulo V, Artículos 51 a 56), gobernanza, Oficina de IA, sanciones del Artículo 99
2 de agosto de 2026Aplicación general, incluida la transparencia de riesgo limitado del Artículo 50 (chatbots, ultrafalsificaciones, marcado de contenido sintético)
2 de diciembre de 2027Sistemas de IA de alto riesgo autónomos (lista del Anexo III): aplazado en virtud del Ómnibus Digital
2 de agosto de 2028IA de alto riesgo como componente de seguridad de productos regulados del Anexo I: aplazado en virtud del Ómnibus Digital

Dos puntos merecen subrayarse para las empresas alemanas.

Primero, el Artículo 5 ya está vigente. La Bundesnetzagentur ya tiene competencia para actuar sobre las prácticas prohibidas: la categorización biométrica por características sensibles fuera de las excepciones permitidas, la identificación biométrica remota en tiempo real en espacios públicos (fuera de las excepciones de garantía del cumplimiento del Derecho), la puntuación social y la manipulación de personas explotando vulnerabilidades. Toda empresa u organismo público alemán cuya IA toque esas categorías debería haber completado su revisión hace meses.

Segundo, el plazo de alto riesgo ya no es agosto de 2026. En virtud del Ómnibus Digital —el paquete de modificaciones de la Comisión sobre el que el Parlamento y el Consejo alcanzaron un acuerdo político el 7 de mayo de 2026, con adopción formal prevista antes del 2 de agosto de 2026—, los sistemas de alto riesgo autónomos del Anexo III tienen ahora hasta el 2 de diciembre de 2027, y la IA de alto riesgo integrada en productos regulados del Anexo I tiene hasta el 2 de agosto de 2028. La fecha original de agosto de 2026 se ha aplazado. Ese aplazamiento no es un indulto: construir un sistema completo de gestión de riesgos del Artículo 9, un paquete de documentación técnica del Anexo IV, controles de supervisión humana del Artículo 14 y superar una evaluación de la conformidad con arreglo al Artículo 43 lleva a la mayoría de las organizaciones bien dotadas de seis a doce meses de trabajo concentrado. Empezar ahora es el ritmo adecuado; empezar a mediados de 2027 no lo es.

Sanciones: a qué se enfrentan realmente las empresas alemanas

El marco sancionador es el Artículo 99 del Reglamento, aplicado por las autoridades alemanas a través de las competencias de aplicación internas de la KI-MIG. Hay tres niveles:

  • 35.000.000 EUR o el 7 % del volumen de negocios anual mundial total (si esta última cifra es mayor): por infracciones de las prohibiciones del Artículo 5. Este es el techo por desplegar una práctica de IA prohibida.
  • 15.000.000 EUR o el 3 %: por el incumplimiento de la mayoría de las demás obligaciones: requisitos de la IA de alto riesgo (Artículos 9 a 15), obligaciones del proveedor (Artículo 16), obligaciones del responsable del despliegue (Artículo 26) y deberes de transparencia del Artículo 50.
  • 7.500.000 EUR o el 1 %: por facilitar información incorrecta, incompleta o engañosa a organismos notificados o autoridades competentes.

Para las pymes y las empresas emergentes, el artículo 99, apartado 6, establece una protección de proporcionalidad: la multa se limita al menor de los dos importes, la cantidad fija o el porcentaje. Una empresa alemana con 20 millones de euros de volumen de negocios no puede afrontar una multa de 15 millones de euros por incumplir una obligación de alto riesgo: el 3 % de 20 millones de euros son 600.000 euros, y ese es el techo aplicable.

Las multas son máximos, no valores por defecto. La Bundesnetzagentur aplicará factores de proporcionalidad —duración de la infracción, grado de responsabilidad, cooperación con la investigación e infracciones previas— antes de llegar a una cifra. Pero el techo es real, y el nivel de «35 M EUR / 7 %» se aplica desde el 2 de agosto de 2025 a las empresas que persistan en prácticas prohibidas.

Una corrección que la literatura existente del mercado alemán suele equivocar: el tercer nivel es del 1 %, no del 1,5 %. No existe ningún nivel del 1,5 % en ninguna parte del Reglamento.

Las multas específicas de GPAI son un instrumento aparte: hasta 15 millones de euros o el 3 %, impuestas por la Comisión directamente a los proveedores de modelos de GPAI con arreglo al Artículo 101.

Consideraciones de cumplimiento específicas de Alemania

Maquinaria e IA industrial: la intersección con el Anexo I

La base industrial de Alemania —automoción, ingeniería mecánica, química, automatización— significa que una gran parte de las empresas afectadas integra la IA en máquinas y sistemas de producción. Cuando la IA es un componente de seguridad de una máquina cubierta por el Reglamento sobre máquinas revisado (UE) 2023/1230, entra en la categoría del Anexo I / alto riesgo y se enfrenta al plazo más largo del 2 de agosto de 2028. Pero también se enfrenta a la vía de evaluación de la conformidad más exigente del Artículo 43: la evaluación por un organismo notificado tercero, no la autoevaluación. Los fabricantes alemanes de maquinaria que integran IA en sistemas críticos para la seguridad deben identificar pronto a los organismos notificados: las limitaciones de capacidad en los organismos acreditados ya son una preocupación.

Comités de empresa e IA de empleo

La Ley de Constitución de la Empresa de Alemania (Betriebsverfassungsgesetz) otorga a los comités de empresa (Betriebsräte) derechos de cogestión con arreglo al § 87, apartado 1, n.º 6, sobre los sistemas técnicos capaces de supervisar el comportamiento o el rendimiento de los empleados. La planificación de turnos impulsada por IA, la puntuación del rendimiento, las herramientas de contratación y los sistemas de asignación de tareas entran todos en ese ámbito.

Las obligaciones del responsable del despliegue del Artículo 26 —incluidas la supervisión humana, la información a los empleados y la EIDF del Artículo 27 para determinados responsables del despliegue— interactúan con los derechos de consulta del comité de empresa. Un empleador alemán que despliega un sistema de IA de empleo del Anexo III sin completar los procedimientos de cogestión del comité de empresa se enfrenta a una exposición simultánea con arreglo a la aplicación de la Ley de IA de la UE y al Derecho laboral alemán. La secuencia práctica: iniciar la consulta de la BetrVG antes de la EIDF de la Ley de IA de la UE, ya que las preguntas del comité de empresa sobre el sistema generarán documentación que nutre ambos procesos.

Organismos públicos: EIDF obligatoria y la Bundesagentur für Arbeit

Los organismos públicos alemanes —agencias federales (Bundesbehörden), autoridades estatales Landesbehörden y organismos como la Bundesagentur für Arbeit— despliegan IA en varias de las categorías del Anexo III con mayores repercusiones sociales: evaluación de la admisibilidad a prestaciones públicas, herramientas de riesgo en la garantía del cumplimiento del Derecho, tramitación de inmigración y evaluación educativa.

El Artículo 27 exige a los responsables del despliegue que sean organismos públicos (o que actúen en interés público) completar una EIDF antes de poner en servicio un sistema de IA de alto riesgo. La EIDF debe completarse antes del despliegue, documentarse, estar disponible para la inspección de la Bundesnetzagentur y actualizarse cuando el contexto de despliegue cambie de forma material. Los organismos públicos alemanes deben tratar el foco temprano de aplicación de la Bundesnetzagentur como probablemente dirigido aquí en primer lugar: el cumplimiento del sector público tiene alta visibilidad y marca la pauta que se espera que sigan los demás.

Responsable del despliegue frente a proveedor: el riesgo del Artículo 25 para los personalizadores alemanes

La mayoría de las empresas alemanas que despliegan herramientas de IA de terceros se sitúan firmemente en el papel de responsable del despliegue con arreglo al Artículo 26. Pero la práctica del Mittelstand de personalizar las aplicaciones de los proveedores —ajustar modelos con datos de producción propios, modificar parámetros, integrar IA de terceros en flujos de trabajo a medida— puede empujar a las empresas a cruzar la línea del Artículo 25 hacia las obligaciones del proveedor. Cualquiera que modifique sustancialmente un sistema de IA de alto riesgo, o que lo introduzca en el mercado bajo su propio nombre, debe volver a realizar la evaluación de la conformidad y asumir toda la pila de proveedor del Artículo 16. Muchas empresas alemanas de ingeniería y software desconocen que existe este umbral. Si su empresa ha adaptado una herramienta de adquisiciones por IA, un modelo de mantenimiento predictivo o un sistema de cribado de RR. HH. utilizando sus propios datos o su propia configuración, el análisis del Artículo 25 no es opcional.

Cómo ayuda Confir a las empresas alemanas

Los equipos de cumplimiento alemanes que construyen sus programas de la Ley de IA de la UE afrontan un conjunto de obligaciones intensivo en documentación: registros de gestión de riesgos del Artículo 9, documentación técnica del Anexo IV, EIDF del Artículo 27, preparación de la conformidad del Artículo 43, registros de vigilancia poscomercialización del Artículo 72 y un inventario de IA que sustente todo ello.

Confir es una herramienta de cumplimiento alojada en la UE, construida específicamente para este trabajo. Su motor de clasificación es basado en reglas y determinista: codifica los Artículos 5 y 6 con la lógica del Anexo III en reglas explícitas, de modo que la misma admisión produce siempre la misma conclusión con una explicación legible por humanos de la regla que se activó. Genera el paquete completo de documentación técnica del Anexo IV, la declaración de conformidad del Artículo 47 / Anexo V y la EIDF del Artículo 27. La evaluación de cumplimiento abarca cuatro áreas estructuradas: clasificación de riesgo (AIRC), datos y robustez técnica (AITR), transparencia y supervisión humana (AITO), y gobernanza y vigilancia poscomercialización (AIGM).

Qué deben hacer ahora las empresas alemanas

De inmediato (las obligaciones del Artículo 5 ya se aplican): audite cualquier sistema de IA que pueda implicar categorización biométrica, puntuación social, manipulación subliminal, explotación de vulnerabilidades personales o identificación biométrica en tiempo real en espacios públicos. Si encaja en una categoría del Artículo 5 y no se aplica ninguna exención, deje de utilizarlo o reestructúrelo. La prohibición es exigible desde el 2 de febrero de 2025.

Antes del 2 de agosto de 2026 (aplicación general, Artículo 50): todo sistema de IA que interactúe con personas físicas —chatbots, asistentes de voz, herramientas de contenido generado por IA— debe cumplir los requisitos de transparencia y etiquetado del Artículo 50. Los usuarios deben saber cuándo interactúan con una IA, cuándo el contenido se genera sintéticamente y cuándo se utiliza el reconocimiento de emociones. Este no es el plazo de alto riesgo, pero es real y se acerca.

2026-2027 (preparación para el alto riesgo, sistemas del Anexo III): las empresas con sistemas autónomos del Anexo III tienen hasta el 2 de diciembre de 2027 en virtud del aplazamiento del Ómnibus Digital. Aproveche 2026 para construir el inventario y la clasificación de IA, identificar qué sistemas caen realmente en categorías de alto riesgo tras aplicar el filtro del artículo 6, apartado 3, asignar los papeles de proveedor/responsable del despliegue y empezar la documentación. Para la IA de empleo, la consulta del comité de empresa debe iniciarse en paralelo.

De forma continua: vigile el avance de la KI-MIG por el Bundestag. Esté atento a las primeras acciones de aplicación de la Bundesnetzagentur: señalarán qué sectores y qué tipos de obligación está priorizando la autoridad. Siga las orientaciones de la Oficina de IA de la UE sobre GPAI si su empresa desarrolla o integra modelos fundacionales.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Country Guide

La Ley de IA de la UE en Austria: autoridades, obligaciones y el camino hacia la ejecución

La Ley de IA de la UE se aplica en Austria sin transposición. La RTR KI-Servicestelle asesora; la designación de la autoridad está pendiente. Sanciones de hasta 35 M EUR. Plazo: dic. de 2027.

Country Guide

La Ley de IA de la UE en Bélgica: autoridades, obligaciones y complejidad federal

El BIPT/IBPT de Bélgica es la autoridad de vigilancia del mercado propuesta para la Ley de IA de la UE. Cubre los 21 organismos del Artículo 77, el solapamiento con el RGPD, las sanciones y el plazo de diciembre de 2027.

Country Guide

La Ley de IA de la UE en Francia: ejecución, autoridades y obligaciones de las empresas

La Ley de IA de la UE se aplica directamente en Francia. Se propone a la CNIL y a la DGCCRF como autoridades de ejecución. Cubre las sanciones, el solapamiento con el RGPD y el plazo de alto riesgo de diciembre de 2027.