La Ley de IA de la UE en Irlanda: ejecución, autoridades y obligaciones empresariales
Irlanda designó 15 autoridades competentes de la Ley de IA y está creando la AI Office of Ireland para agosto de 2026. Función de la DPC, ejecución, sanciones y plazos.
Irlanda es donde buena parte de la tecnología mundial se encuentra con el Derecho de la UE. Google, Meta, Apple, LinkedIn, Airbnb y decenas de otras empresas tecnológicas multinacionales tienen su sede europea en Dublín — y eso significa que sus obligaciones en virtud de la Ley de IA de la UE, como proveedores o responsables del despliegue de sistemas de IA en toda la Unión, están ancladas aquí. El Reglamento (UE) 2024/1689 se aplica directamente en Irlanda sin que se requiera transposición irlandesa alguna. Lo que Irlanda ha tenido que construir es la infraestructura de ejecución: las autoridades que investigarán, sancionarán y coordinarán.
Esa construcción está en marcha y avanza más rápido que en varios otros Estados miembros. En septiembre de 2025, Irlanda designó 15 autoridades nacionales competentes a partir de sus reguladores sectoriales ya existentes. Un nuevo organismo estatutario — la AI Office of Ireland — se está creando a través del Anteproyecto de la Regulation of Artificial Intelligence Bill 2026 y debe estar operativo antes del 1 de agosto de 2026. Dada la concentración de empresas tecnológicas multinacionales sujetas a las obligaciones de proveedor de la Ley de IA de la UE, la arquitectura de ejecución de Irlanda tendrá un alcance que va mucho más allá de su propio territorio.
Un reglamento, no una directiva: no se requiere transposición irlandesa
La Ley de IA de la UE es un reglamento con arreglo al artículo 288 del TFUE. Entró en vigor el 1 de agosto de 2024 y se aplica directamente en todos los Estados miembros, incluida Irlanda, sin transponerse al Derecho nacional. Las empresas irlandesas y las filiales irlandesas de las multinacionales no esperan a una ley nacional antes de que las obligaciones surtan efecto.
Las prácticas prohibidas del Artículo 5 se aplican desde el 2 de febrero de 2025. Las obligaciones de GPAI del Capítulo V se aplican desde el 2 de agosto de 2025. Lo que Irlanda debe aportar — y lo que aporta a través de las designaciones de septiembre de 2025 y de la ley de 2026 — es la maquinaria de ejecución nacional: las autoridades facultadas para investigar, dictar órdenes correctivas e imponer multas con arreglo al Artículo 99.
El Anteproyecto de la Regulation of Artificial Intelligence Bill 2026, publicado el 4 de febrero de 2026, da efecto jurídico nacional a las competencias de ejecución y a las sanciones en virtud del Reglamento (UE) 2024/1689. No crea nuevas obligaciones sustantivas de IA; estas las fija el propio Reglamento. Determina qué autoridades irlandesas pueden actuar ante las infracciones y cómo.
El modelo de ejecución distribuida de Irlanda
Irlanda adoptó un modelo distribuido en lugar de una estructura de autoridad única, lo que refleja su arquitectura reguladora existente de organismos sectoriales especializados. El resultado es un mapa más complejo que el de España (donde la AESIA es la única autoridad de vigilancia del mercado) o el de Alemania (donde la Bundesnetzagentur ostenta la función central).
En septiembre de 2025, el Gobierno designó 15 autoridades nacionales competentes, cada una responsable de la Ley de IA de la UE dentro de su ámbito existente. El punto de contacto único de la UE reside en el Department of Enterprise, Tourism and Employment (DETE).
El organismo coordinador central es la AI Office of Ireland, un nuevo organismo estatutario independiente que se está estableciendo mediante la ley de 2026. Debe estar operativo antes del 1 de agosto de 2026 — la misma fecha en que se aplican las disposiciones generales de la Ley, incluidas las obligaciones de transparencia de riesgo limitado del Artículo 50. No hay período de gracia: el estado operativo y el inicio de la aplicación general son simultáneos.
La implicación práctica para las empresas: la autoridad pertinente es la que ya regula su sector. Una fintech de Dublín tiene como interlocutor al Central Bank of Ireland; una emisora, a Coimisiún na Meán. La AI Office of Ireland coordina, no sustituye a las 15.
¿Quién ejecuta la Ley de IA de la UE en Irlanda?
Las 15 autoridades sectoriales competentes
Las designaciones de septiembre de 2025 abarcan los principales reguladores sectoriales de Irlanda. Las autoridades clave para las empresas que probablemente se encuentren con sistemas de IA de alto riesgo son:
Data Protection Commission (DPC): La DPC ostenta competencia sobre los sistemas de IA con implicaciones para los derechos fundamentales y los datos personales. Es también la autoridad de control líder de Irlanda en materia de RGPD — y, dado que Dublín alberga los establecimientos en la UE de muchas de las mayores empresas tecnológicas del mundo, la DPC es ya el regulador de RGPD líder en la UE de Google, Meta, Apple, LinkedIn y otras a través del mecanismo de ventanilla única. Ese doble peso convierte a la DPC en la autoridad de la Ley de IA más relevante de Irlanda para las empresas tecnológicas.
Central Bank of Ireland: Responsable de los sistemas de IA desplegados en el sector de los servicios financieros — calificación crediticia, evaluación de riesgos de seguros, sistemas de negociación algorítmica y decisiones automatizadas de concesión de préstamos. Cualquier sistema de IA que afecte a la determinación de la solvencia o a las categorías de riesgo de seguros de vida o de salud del Anexo III, punto 5, letras b) y c), operado por una entidad regulada por el Central Bank, queda bajo su competencia.
Coimisiún na Meán: El regulador audiovisual y de medios en línea de Irlanda ostenta competencia sobre el uso de la IA en los contenidos audiovisuales, las plataformas en línea y la radiodifusión — incluidas, cuando proceda, las obligaciones de transparencia del Artículo 50 para los contenidos generados por IA y las ultrafalsificaciones.
Otras autoridades designadas cubren la salud (Health Products Regulatory Authority y otras), la seguridad laboral y el empleo (Health and Safety Authority, Workplace Relations Commission), la educación, la protección de los consumidores y los servicios públicos y las telecomunicaciones. El mapa completo de 15 autoridades se corresponde con las categorías de alto riesgo del Anexo III y la legislación sectorial con la que esas categorías se cruzan.
AI Office of Ireland y DETE
Una vez promulgada la ley de 2026, la AI Office of Ireland coordina la ejecución entre las 15 autoridades y ofrece orientación sobre la aplicación del Reglamento en Irlanda. Es un organismo estatutario independiente, no un departamento gubernamental. El DETE actúa como punto de contacto único (PCU) de Irlanda con arreglo al Artículo 70 — el conducto hacia el sistema de la UE, incluida la Oficina de IA de la UE en Bruselas.
Oficina de IA de la UE (Bruselas): supervisión de la GPAI — una distinción crítica
Las empresas con sede en Irlanda que desarrollan e introducen en el mercado modelos GPAI no son supervisadas por la AI Office of Ireland ni por la DPC, sino directamente por la Oficina de IA de la UE en Bruselas. La Oficina de IA de la UE ostenta competencia sobre todas las obligaciones de los modelos GPAI con arreglo a los Artículos 53 y 55. El DETE es el PCU de Irlanda para esta interfaz.
La distinción es importante de enunciar con claridad: la AI Office of Ireland (coordinador nacional) y la Oficina de IA de la UE (supervisor de GPAI con sede en Bruselas) son organismos diferentes. Una empresa que desarrolla un gran modelo de lenguaje desde Dublín debe relacionarse con Bruselas — no con la AI Office of Ireland — para las obligaciones de GPAI.
Cómo interactúa el marco de Irlanda con el RGPD
El RGPD y la Ley de IA de la UE se superponen para cualquier sistema de IA que trate datos personales — y eso incluye casi todos los casos de uso de alto riesgo del Anexo III. En Irlanda, esa intersección tiene una dimensión añadida: la DPC es simultáneamente la autoridad competente de Irlanda en virtud de la Ley de IA de la UE para la IA relevante para los derechos fundamentales y la autoridad de control líder de la UE en materia de RGPD para una gran parte de las empresas tecnológicas mundiales.
El solapamiento estructural más directo se da entre el artículo 35 del RGPD (evaluación de impacto relativa a la protección de datos, o EIPD) y el Artículo 27 de la Ley de IA de la UE (evaluación de impacto relativa a los derechos fundamentales, o EIDF). Ambas son obligatorias antes de desplegar los sistemas que cubren; ambas exigen documentación disponible para los supervisores. El Artículo 27, apartado 4, permite que la EIDF se apoye en una EIPD existente — una eficiencia notable para las empresas que ya han integrado el cumplimiento del RGPD en sus procesos.
Una segunda interacción se refiere a las decisiones automatizadas. El artículo 22 del RGPD regula las decisiones basadas únicamente en el tratamiento automatizado con efectos jurídicos o similarmente significativos. El Artículo 12 de la Ley de IA de la UE exige la conservación de registros para los sistemas de IA de alto riesgo. Una empresa de Dublín que ejecuta un cribado de selección de personal con IA que clasifica o elimina candidatos opera bajo ambos de forma simultánea. La documentación de cumplimiento elaborada para un marco informa al otro; ninguno sustituye al otro.
Dado el papel de la DPC como autoridad de control líder en materia de RGPD para muchos establecimientos multinacionales en la UE, cualquier acción de ejecución del RGPD que afecte a un sistema de IA de alto riesgo probablemente implicará también a la DPC en su condición de autoridad de la Ley de IA. Las relaciones reguladoras construidas en torno al RGPD deberían ampliarse para cubrir la preparación frente a la Ley de IA de la UE.
El calendario de la Ley de IA de la UE tal como se aplica en Irlanda
| Fecha | Qué se aplica |
|---|---|
| 2 de febrero de 2025 | Prácticas prohibidas del Artículo 5 y alfabetización en materia de IA del Artículo 4 — en vigor y exigibles ya |
| 2 de agosto de 2025 | Obligaciones de GPAI (Capítulo V, Artículos 51 a 56), gobernanza, Oficina de IA de la UE, sanciones del Artículo 99 |
| 2 de agosto de 2026 | Aplicación general, incluida la transparencia de riesgo limitado del Artículo 50; AI Office of Ireland operativa |
| 2 de diciembre de 2027 | Sistemas de IA de alto riesgo autónomos (lista del Anexo III) — aplazados en virtud del Ómnibus Digital |
| 2 de agosto de 2028 | IA de alto riesgo como componentes de seguridad de productos regulados del Anexo I — aplazada en virtud del Ómnibus Digital |
Dos puntos merecen un enunciado directo.
El Artículo 5 ya está vigente. Las prácticas prohibidas — categorización biométrica por características sensibles, identificación biométrica remota en tiempo real en espacios públicos, puntuación social, manipulación que explota vulnerabilidades personales — son exigibles desde el 2 de febrero de 2025. Cualquier empresa cuya IA afecte a esas categorías debería haber completado su revisión.
El plazo de alto riesgo no es 2026. En virtud del Ómnibus Digital — acuerdo político alcanzado el 7 de mayo de 2026, adopción formal prevista antes del 2 de agosto de 2026 — los sistemas autónomos del Anexo III tienen hasta el 2 de diciembre de 2027, y la IA de alto riesgo de productos del Anexo I tiene hasta el 2 de agosto de 2028. Eso no es una invitación a demorarse: construir un sistema de gestión de riesgos del Artículo 9, la documentación técnica del Anexo IV, los controles de supervisión humana del Artículo 14 y preparar una evaluación de la conformidad con arreglo al Artículo 43 lleva a la mayoría de las organizaciones de seis a doce meses.
Sanciones: a qué se enfrentan las empresas en Irlanda
El marco de sanciones es el Artículo 99 del Reglamento (UE) 2024/1689. La ley de 2026 establece el procedimiento de ejecución nacional a través del cual las autoridades irlandesas pueden imponer estas multas. Se aplican tres niveles:
- 35 000 000 de euros o el 7 % del volumen de negocios anual mundial total (si esta última cifra es mayor) — por infracciones de las prohibiciones del Artículo 5.
- 15 000 000 de euros o el 3 % — por incumplimiento de la mayoría de las demás obligaciones, incluidos los requisitos de IA de alto riesgo de los Artículos 9 a 15, las obligaciones del proveedor del Artículo 16, las obligaciones del responsable del despliegue del Artículo 26 y los deberes de transparencia del Artículo 50.
- 7 500 000 de euros o el 1 % — por facilitar información incorrecta, incompleta o engañosa a organismos notificados o autoridades competentes.
Para las empresas más pequeñas, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, la cantidad fija o el porcentaje. Una empresa con 8 millones de euros de volumen de negocios anual mundial no puede enfrentarse a una multa de 15 millones de euros por un incumplimiento de una obligación de alto riesgo — el 3 % de 8 millones de euros son 240 000 euros. El límite es significativo para las empresas autóctonas irlandesas y las empresas tecnológicas en fase inicial; no se aplica a las multinacionales donde el 3 % del volumen de negocios mundial supera el máximo fijo.
Para las grandes multinacionales con sede en Dublín, el cálculo del porcentaje se aplica sobre el volumen de negocios mundial. La cuantía la fija el Reglamento; la ley de 2026 establece la mecánica procedimental de cómo la imponen las autoridades irlandesas.
Las multas específicas de la GPAI son independientes: hasta 15 millones de euros o el 3 %, impuestas a los proveedores de modelos GPAI directamente por la Comisión Europea con arreglo al Artículo 101.
Consideraciones de cumplimiento específicas de Irlanda
Multinacionales que operan IA a escala de la UE desde Dublín
El alcance extraterritorial de la Ley de IA de la UE significa que una empresa que introduce un sistema de IA en el mercado de la UE o lo pone en servicio para usuarios de la UE está vinculada por el Reglamento con independencia de dónde tenga su sede. Para las empresas tecnológicas con operaciones en la UE legalmente basadas en Irlanda, esto concentra las obligaciones del proveedor dentro de la jurisdicción irlandesa.
Un proveedor que introduce un sistema de IA de alto riesgo en el mercado de la UE desde su establecimiento en Dublín debe cumplir todo el conjunto de obligaciones del Artículo 16: sistema de gestión de riesgos del Artículo 9, documentación técnica del Artículo 11 / Anexo IV, conservación de registros del Artículo 12, información de transparencia del Artículo 13, supervisión humana del Artículo 14, exactitud y ciberseguridad del Artículo 15, sistema de gestión de la calidad del Artículo 17, evaluación de la conformidad del Artículo 43, declaración de conformidad del Artículo 47 / Anexo V y registro en la base de datos de la UE del Artículo 49. La DPC y la AI Office of Ireland son los interlocutores de primera instancia; la Oficina de IA de la UE es el interlocutor para cualquier obligación de GPAI.
El doble papel de la DPC
Para cualquier multinacional con sede europea en Dublín, la DPC supervisará simultáneamente el cumplimiento del RGPD y, cuando estén implicados derechos fundamentales o datos personales, el cumplimiento de la Ley de IA de la UE. Un incidente de IA que desencadene una investigación del RGPD probablemente desencadenará también el escrutinio de la Ley de IA. Las relaciones reguladoras construidas en torno al RGPD deberían ampliarse explícitamente para cubrir la preparación frente a la Ley de IA de la UE.
Navegar entre 15 autoridades: sepa qué regulador es responsable de su sector
Identificar la autoridad correcta es en sí mismo un paso de cumplimiento en el modelo distribuido. Una empresa de tecnología médica que construye una herramienta de diagnóstico con IA en Cork responde ante los reguladores sanitarios; una empresa de tecnología de RR. HH. de Dublín que construye software de cribado de selección de personal responde ante los reguladores de empleo y seguridad laboral. Presentar la documentación a la autoridad equivocada es una fuente previsible de fricción.
La función de coordinación de la AI Office of Ireland debería producir con el tiempo orientación sobre qué autoridad lidera en los sistemas de IA transversales. Hasta que esa orientación madure, las empresas deberían asignar su inventario de IA a la autoridad sectorial pertinente antes de que comience cualquier interacción reguladora.
EIDF del sector público y Artículo 25
Los organismos públicos irlandeses que despliegan sistemas de IA de alto riesgo del Anexo III deben completar una EIDF del Artículo 27 antes de poner los sistemas en servicio. La obligación de la EIDF recae sobre el organismo que realiza el despliegue — la documentación técnica del Artículo 11 / Anexo IV del proveedor la informa, pero no la sustituye.
La línea del Artículo 25 importa igualmente: las empresas que modifican sustancialmente un sistema de IA de alto riesgo o lo introducen en el mercado con su propio nombre se convierten en proveedores sujetos a todo el conjunto del Artículo 16. Para el sector tecnológico de Irlanda, donde muchas empresas construyen sobre modelos fundacionales de terceros y distribuyen productos a clientes de la UE, este cambio no es teórico. Si construye una herramienta de selección de personal sobre un modelo de un tercero y la vende con su marca, usted es el proveedor — el proveedor del modelo no lo es.
Cómo ayuda Confir a las empresas en Irlanda
Las empresas en Irlanda que construyen sus programas de cumplimiento de la Ley de IA de la UE se enfrentan a una carga de trabajo intensiva en documentación: inventario de IA, registros de gestión de riesgos del Artículo 9, documentación técnica del Anexo IV, EIDF del Artículo 27 cuando se requieran, preparación de la conformidad del Artículo 43 y conservación de registros del Artículo 12. Las multinacionales que operan IA a escala de la UE desde Dublín se enfrentan a la misma pila a gran escala.
Confir es una herramienta de cumplimiento alojada en la UE construida específicamente para este trabajo. Su motor de clasificación es determinista y basado en reglas — codifica los Artículos 5 y 6 con la lógica del Anexo III en reglas explícitas, de modo que la misma admisión produce el mismo resultado siempre, con una explicación legible por una persona. Genera el paquete de documentación técnica del Anexo IV, la declaración de conformidad del Artículo 47 / Anexo V y la EIDF del Artículo 27.
Qué deben hacer ahora las empresas en Irlanda
De inmediato (el Artículo 5 ya se aplica): Audite cualquier sistema de IA que implique categorización biométrica por características sensibles, puntuación social, manipulación subliminal o identificación biométrica en tiempo real en espacios públicos. Estas prohibiciones son exigibles desde el 2 de febrero de 2025 — las autoridades irlandesas tienen la facultad de actuar ya.
Antes del 2 de agosto de 2026 (Artículo 50 y AI Office of Ireland operativa): Los sistemas de IA que interactúan con personas físicas deben cumplir los requisitos de divulgación del Artículo 50 — los usuarios deben saber cuándo están interactuando con una IA, cuándo un contenido es sintético. Este plazo no se ha aplazado.
Identifique cuál de las 15 autoridades es responsable de su sector: el Central Bank para los servicios financieros; la DPC para la IA intensiva en datos; Coimisiún na Meán para los medios en línea. La AI Office of Ireland coordina; la autoridad sectorial ejecuta.
2026-2027 (preparación de alto riesgo): Los sistemas autónomos del Anexo III tienen hasta el 2 de diciembre de 2027. Utilice 2026 para construir el inventario de IA, clasificar los sistemas, aplicar el filtro del Artículo 6, apartado 3, asignar las funciones de proveedor/responsable del despliegue y comenzar la documentación del Anexo IV. Los organismos públicos deberían iniciar la planificación de la EIDF en paralelo.
Haga un seguimiento de la ley de 2026 y de las primeras orientaciones de la AI Office of Ireland. El Anteproyecto es un esquema; la ley promulgada y la orientación inicial de la AI Office of Ireland determinarán los detalles procedimentales. Las empresas con relaciones existentes con la DPC deberían ampliar esas conversaciones para cubrir la preparación frente a la Ley de IA.
Preguntas frecuentes
¿Quién ejecuta la Ley de IA de la UE en Irlanda?
Irlanda utiliza un modelo distribuido: 15 reguladores sectoriales existentes, cada uno con competencia en su ámbito, la AI Office of Ireland como coordinador central estatutario y el DETE como punto de contacto único de la UE con arreglo al Artículo 70. Las autoridades clave son la Data Protection Commission (derechos fundamentales, datos), el Central Bank of Ireland (servicios financieros) y Coimisiún na Meán (medios audiovisuales y en línea). La Oficina de IA de la UE en Bruselas supervisa directamente a los proveedores de modelos GPAI en toda la UE.
¿Qué es la AI Office of Ireland?
Un nuevo organismo estatutario independiente que se está creando a través del Anteproyecto de la Regulation of Artificial Intelligence Bill 2026, publicado el 4 de febrero de 2026. Coordina la ejecución entre las 15 autoridades competentes designadas de Irlanda y debe estar operativo antes del 1 de agosto de 2026. Es un organismo nacional — distinto de la Oficina de IA de la UE en Bruselas, que supervisa a los proveedores de modelos GPAI con arreglo a los Artículos 53 y 55.
¿Cuántas autoridades competentes de la Ley de IA tiene Irlanda?
Irlanda designó 15 autoridades nacionales competentes en septiembre de 2025, a partir de reguladores sectoriales existentes. El DETE es el punto de contacto único de la UE. La AI Office of Ireland, una vez establecida, actúa como coordinador central de las 15.
¿Cuáles son las multas de la Ley de IA de la UE en Irlanda?
El Artículo 99 establece tres niveles: 35 millones de euros o el 7 % del volumen de negocios anual mundial por infracciones de las prohibiciones del Artículo 5; 15 millones de euros o el 3 % por la mayoría de las demás obligaciones, incluidos los requisitos de alto riesgo y los deberes del responsable del despliegue; y 7,5 millones de euros o el 1 % por facilitar información incorrecta a las autoridades. El Artículo 99, apartado 6, limita las multas para las empresas más pequeñas al menor de los dos importes, la cantidad fija o el porcentaje. Para las grandes multinacionales con sede en Dublín, el porcentaje se aplica sobre el volumen de negocios mundial.
¿Cuál es el papel de la Data Protection Commission en la ejecución de la Ley de IA de la UE?
La DPC ostenta competencia sobre los sistemas de IA con implicaciones para los derechos fundamentales y los datos personales, y es también la autoridad de control líder de Irlanda en materia de RGPD — la autoridad líder de ventanilla única para muchas multinacionales con establecimientos en la UE en Dublín. Esto significa que las acciones de ejecución del RGPD que afecten a sistemas de IA con características de alto riesgo probablemente implicarán a la DPC en ambas funciones. La EIPD del artículo 35 del RGPD y la EIDF del Artículo 27 de la Ley de IA pueden coordinarse; el Artículo 27, apartado 4, permite que la EIDF se apoye en una EIPD existente.
¿Cuándo se aplican las reglas de IA de alto riesgo en Irlanda?
En virtud del Ómnibus Digital (acuerdo político de 7 de mayo de 2026): los sistemas autónomos del Anexo III se aplican a partir del 2 de diciembre de 2027; la IA de alto riesgo de productos regulados del Anexo I, a partir del 2 de agosto de 2028. Las prohibiciones del Artículo 5 se aplican desde el 2 de febrero de 2025. Las obligaciones de transparencia de riesgo limitado del Artículo 50 se aplican a partir del 2 de agosto de 2026.
¿Requiere la Ley de IA de la UE legislación irlandesa para aplicarse?
No. El Reglamento (UE) 2024/1689 se aplica directamente con arreglo al artículo 288 del TFUE. El Anteproyecto de la Regulation of Artificial Intelligence Bill 2026 no crea obligaciones sustantivas de IA — estas las fija el Reglamento. La ley confiere a las autoridades irlandesas las competencias jurídicas nacionales para investigar y sancionar, y establece la AI Office of Ireland. ---
Guías relacionadas
- La Ley de IA de la UE en Alemania: un modelo de autoridad única para comparar
- ¿Qué es la Ley de IA de la UE?
- Resumen de la Ley de IA de la UE
- Sanciones de la Ley de IA de la UE: el Artículo 99 explicado
- Calendario y plazos de la Ley de IA de la UE
- Alcance extraterritorial: ¿se le aplica la Ley de IA de la UE?
- Anexo III: la lista de casos de uso de alto riesgo
- Cumplimiento de la IA en la fintech en virtud de la Ley de IA de la UE
- Cumplimiento de la IA en el sector público y obligaciones de EIDF
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →