Resumen de la Ley de IA de la UE: qué es, a quién cubre y qué debe hacer

El Reglamento (UE) 2024/1689 entró en vigor el 1 de agosto de 2024. Es la primera ley horizontal vinculante del mundo para la inteligencia artificial — lo que significa que atraviesa todos los sectores y se sitúa por encima de las normas específicas de cada producto. El mecanismo central es un marco basado en el riesgo: sus obligaciones dependen por completo de lo que haga su sistema de IA, no de la tecnología sobre la que funciona. Si eso suena más simple que el RGPD, la pila de alto riesgo revisará esa impresión.

Para un tratamiento más profundo del ámbito de aplicación completo y la estructura de gobernanza de la Ley, consulte la guía exhaustiva de la Ley de IA de la UE. Esta página es la versión de consulta rápida: lectura de cinco minutos, todos los aspectos esenciales.

---

Qué es realmente la Ley de IA de la UE

La Ley es un Reglamento de la UE directamente aplicable — no se necesita legislación nacional de transposición, y se aplica de manera uniforme en los 27 Estados miembros. Su cita completa es Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo. El reglamento se basa en el riesgo: no prohíbe la IA. Asigna obligaciones legales a los dos niveles de riesgo superiores y deja en gran medida los sistemas restantes a códigos voluntarios.

El reglamento es extraterritorial. Debe cumplir si introduce un sistema de IA en el mercado de la UE, si despliega uno dentro de la UE, o si el resultado de su sistema de IA se utiliza en la UE — con independencia de dónde esté constituida su empresa o estén alojados sus servidores. Una empresa estadounidense que ofrece decisiones de crédito asistidas por IA a bancos europeos entra en la Ley en los mismos términos que una firma de Múnich.

---

Los cuatro niveles de riesgo

Riesgo inaceptable — prohibido (Artículo 5)

Determinadas aplicaciones están prohibidas de forma absoluta. Son ilegales desde el 2 de febrero de 2025. La lista incluye la IA que manipula a las personas de forma subliminal (Artículo 5, apartado 1, letra a)), explota las vulnerabilidades de grupos específicos para causar perjuicio (Artículo 5, apartado 1, letra b)), opera sistemas de puntuación social que perjudican el acceso a servicios (Artículo 5, apartado 1, letra c)), despliega identificación biométrica remota en tiempo real en espacios de acceso público con fines de garantía del cumplimiento del Derecho fuera de excepciones estrechas (Artículo 5, apartado 1, letra h)), elabora perfiles de personas para predecir la comisión de delitos basándose únicamente en esa elaboración de perfiles (Artículo 5, apartado 1, letra d)), utiliza el reconocimiento de emociones en el lugar de trabajo o en las instituciones educativas (Artículo 5, apartado 1, letra f)), o extrae imágenes faciales de internet para crear bases de datos de reconocimiento (Artículo 5, apartado 1, letra e)).

Si su sistema toca cualquiera de estas, la conversación termina ahí. Elimine o rediseñe.

Alto riesgo — la pila completa de obligaciones (Artículo 6 + Anexo III)

Aquí es donde el reglamento gasta la mayoría de sus palabras. Un sistema es de alto riesgo si entra dentro de uno de los ocho ámbitos del Anexo III: biometría; infraestructuras críticas; educación y formación profesional; empleo y gestión de los trabajadores; acceso a servicios privados y públicos esenciales (incluida la calificación de solvencia y la fijación de precios del riesgo en los seguros de salud/vida); garantía del cumplimiento del Derecho; migración, asilo y control fronterizo; y administración de justicia y procesos democráticos.

La clasificación se realiza con arreglo al Artículo 6. Incluso dentro de estos ámbitos, se aplica un filtro del Artículo 6, apartado 3: si un sistema no plantea un riesgo significativo de perjuicio — por ejemplo, desempeña una tarea procedimental limitada o realiza trabajo preparatorio sin influir en decisiones individuales — no es de alto riesgo. Pero cualquier sistema que elabore perfiles de personas físicas es siempre de alto riesgo, con independencia de ese filtro.

Los proveedores de alto riesgo heredan una densa pila de obligaciones: un sistema de gestión de riesgos (Artículo 9), requisitos de datos y gobernanza de datos (Artículo 10), documentación técnica con arreglo al Anexo IV (Artículo 11), conservación de registros y registro automático (Artículo 12), transparencia hacia los responsables del despliegue (Artículo 13), medidas de supervisión humana (Artículo 14), requisitos de exactitud, robustez y ciberseguridad (Artículo 15), un sistema de gestión de la calidad (Artículo 17) y una evaluación de la conformidad con arreglo al Artículo 43 antes de salir al mercado. Los responsables del despliegue de sistemas de alto riesgo asumen sus propios deberes con arreglo al Artículo 26, incluidos la vigilancia, la conservación de registros y — para los organismos públicos y determinados responsables del despliegue de servicios — una evaluación de impacto relativa a los derechos fundamentales con arreglo al Artículo 27.

Riesgo limitado — solo deberes de transparencia (Artículo 50)

Los sistemas que interactúan directamente con personas físicas deben divulgar ese hecho. El Artículo 50 exige, entre otras cosas, que se informe a los usuarios cuando interactúan con un chatbot o un sistema de IA (Artículo 50, apartado 1), que el contenido sintético de audio, imagen, vídeo y texto se marque como generado por IA (Artículo 50, apartado 4), y que los sistemas de reconocimiento de emociones o de categorización biométrica divulguen su funcionamiento a las personas (Artículo 50, apartado 3). Estos deberes se aplican desde el 2 de agosto de 2026. Sin evaluación de la conformidad, sin paquete de documentación técnica — solo divulgación y marcado.

Riesgo mínimo — sin obligaciones obligatorias

Todo lo que queda fuera de los niveles anteriores. Filtros de correo no deseado, motores de recomendación para contenido no crítico, la mayoría de las herramientas de productividad de uso interno. No se aplican obligaciones de cumplimiento obligatorias, aunque la Ley fomenta los códigos de conducta voluntarios. La mayoría de las herramientas de productividad de uso general se sitúan aquí para la empresa que las despliega de forma típica — salvo que el caso de uso entre dentro de un ámbito del Anexo III.

---

GPAI: una categoría transversal separada (Capítulo V)

Los modelos de IA de uso general — los grandes modelos fundacionales sobre los que se construyen muchas aplicaciones — se rigen por separado con arreglo al Capítulo V (Artículos 51 a 56). La IA de uso general no es un quinto nivel de riesgo. Las obligaciones se adhieren al modelo en sí, no a sus usos aguas abajo.

Todos los proveedores de IA de uso general deben cumplir las obligaciones de base del Artículo 53: documentación técnica, información de transparencia aguas abajo, una política de cumplimiento de los derechos de autor y un resumen de los datos de entrenamiento. Los modelos con riesgo sistémico — los entrenados por encima de 10²⁵ FLOP o designados por la Comisión con arreglo al Artículo 51 — afrontan deberes adicionales con arreglo al Artículo 55: evaluación del modelo, pruebas adversarias, notificación de incidentes a la Oficina de IA y medidas de ciberseguridad.

El Capítulo V se aplica desde el 2 de agosto de 2025. Si construye aplicaciones sobre un modelo fundacional, las obligaciones de GPAI permanecen en el proveedor del modelo. Su obligación es clasificar el sistema que construye por lo que hace — y si ese uso entra dentro del Anexo III, entra en la pila de alto riesgo como proveedor con arreglo al Artículo 16, posiblemente a través del mecanismo de cambio de papel del Artículo 25.

---

A quién cubre

La Ley define cuatro papeles: proveedor (desarrolla el sistema o lo introduce en el mercado con su propio nombre — obligaciones del Artículo 16, las más pesadas), responsable del despliegue (lo utiliza profesionalmente bajo su autoridad — obligaciones del Artículo 26), importador (trae al mercado de la UE el sistema de un proveedor no perteneciente a la UE — Artículo 23) y distribuidor (lo pone a disposición en la cadena de suministro — Artículo 24). Un responsable del despliegue o un distribuidor se convierte en proveedor si pone su propio nombre en un sistema, lo modifica sustancialmente o cambia materialmente su finalidad prevista (Artículo 25).

La mayoría de las empresas que adoptan herramientas de IA de terceros son responsables del despliegue. Las empresas que construyen y comercializan funciones de IA en sus propios productos suelen ser proveedores.

---

Las fechas clave

Las fechas de 2027 y 2028 reflejan el Ómnibus Digital, acordado políticamente en mayo de 2026, que aplazó el plazo original de alto riesgo del 2 de agosto de 2026. Ese aplazamiento se aplica únicamente al régimen de alto riesgo — el calendario de las prohibiciones, las normas de GPAI y las sanciones no se vio afectado.

Para la cronología anotada completa, consulte la cronología de cumplimiento de la Ley de IA de la UE.

---

Sanciones (Artículo 99)

Tres niveles, cada uno calculado como la cifra mayor — el importe fijo o el porcentaje del volumen de negocios anual mundial total del ejercicio financiero anterior:

35 000 000 EUR o el 7 % (Artículo 99, apartado 3) — infracción de las prohibiciones del Artículo 5. Desplegar una aplicación prohibida acarrea el techo más alto de la Ley.

15 000 000 EUR o el 3 % (Artículo 99, apartado 4) — incumplimiento de la mayoría de las demás obligaciones. Esto cubre toda la pila de obligaciones de alto riesgo, los deberes del proveedor y del responsable del despliegue, y los incumplimientos de transparencia del Artículo 50. El nivel de transparencia del Art. 50 se sitúa aquí, no en el nivel inferior de 7,5 M EUR.

7 500 000 EUR o el 1 % (Artículo 99, apartado 5) — facilitar información incorrecta, incompleta o engañosa a organismos notificados o autoridades competentes.

Límite para pymes y empresas emergentes (Artículo 99, apartado 6): para las empresas más pequeñas, la multa se limita al menor del importe fijo o el porcentaje. Una empresa con 2 M EUR de volumen de negocios anual afronta un techo de 60 000 EUR (el 3 %), no de 15 M EUR, por una infracción de alto riesgo. Eso sigue siendo material, y no protege frente al daño reputacional de una constatación pública.

Para un desglose completo de cómo se calculan y aplican estos niveles, consulte la guía de sanciones de la Ley de IA de la UE.

---

Cinco cosas que hacer ahora

1. Construya su inventario de IA. Enumere cada sistema de IA que su empresa construye o despliega. Para cada uno, registre las entradas de datos, el alcance de la decisión, la población de usuarios y su papel (proveedor o responsable del despliegue). No puede clasificar lo que no ha catalogado.

2. Criba para detectar infracciones del Artículo 5. Revise cada sistema frente a las prohibiciones. Si algún caso de uso toca la manipulación subliminal, la puntuación social, el reconocimiento de emociones en el lugar de trabajo o la identificación biométrica en tiempo real en espacios públicos, escálelo de inmediato. Son infracciones vigentes.

3. Clasifique con arreglo al Artículo 6 y al Anexo III. Para cada sistema que sobreviva al cribado del Artículo 5, compruebe si entra dentro de un ámbito del Anexo III. Si lo hace, aplique el filtro del Artículo 6, apartado 3: ¿elabora perfiles de personas físicas? ¿Plantea un riesgo significativo de perjuicio? Documentar esta evaluación es en sí mismo un paso de cumplimiento.

4. Confirme que se cumplen sus obligaciones de alfabetización en IA. El Artículo 4 exige que todo el personal que trabaja con sistemas de IA tenga una alfabetización en IA suficiente para su función. Esto se aplica desde el 2 de febrero de 2025 y cubre toda la IA — no solo los sistemas de alto riesgo.

5. Empiece ya la documentación de alto riesgo. El plazo de 2027 suena lejano. El paquete de documentación técnica del Anexo IV, el sistema de gestión de riesgos del Artículo 9 y la evaluación de la conformidad del Artículo 43 llevan meses de ensamblaje, sobre todo si la gobernanza de sus datos de entrenamiento no está documentada. Empezar tarde significa comprimir el trabajo más difícil en la peor ventana.

El motor de clasificación basado en reglas de Confir le guía a través de los Artículos 5 y 6 mediante listas de comprobación en lenguaje sencillo, deriva su papel y genera automáticamente el paquete de documentación técnica del Anexo IV y la declaración de conformidad del Artículo 47. Sin necesidad de consultores.

---

Preguntas frecuentes

¿Qué es la Ley de IA de la UE en términos sencillos?

El Reglamento (UE) 2024/1689 es una ley vinculante de la UE que clasifica los sistemas de IA en cuatro categorías de riesgo — prohibido, alto riesgo, riesgo limitado y riesgo mínimo — y adhiere obligaciones legales a las dos superiores. Los proveedores y los responsables del despliegue de IA de alto riesgo deben superar una evaluación de la conformidad, mantener documentación técnica e implementar la supervisión humana antes de salir al mercado. El reglamento se aplica en los 27 Estados miembros y alcanza a las empresas no pertenecientes a la UE cuyo resultado de IA se utiliza en la UE.

¿Qué sistemas de IA están prohibidos en este momento?

Las prohibiciones del Artículo 5 surtieron efecto el 2 de febrero de 2025 y ya están en vigor. Los usos prohibidos incluyen la IA que manipula a las personas de forma subliminal, las puntúa socialmente para perjudicar su acceso a servicios, predice la comisión de delitos basándose únicamente en la elaboración de perfiles, reconoce emociones en el lugar de trabajo o en las escuelas, extrae imágenes faciales sin consentimiento para crear bases de datos de reconocimiento, o identifica a las personas en tiempo real mediante biometría en espacios públicos con fines de garantía del cumplimiento del Derecho (fuera de excepciones legales estrechas). Las infracciones acarrean multas de hasta 35 M EUR o el 7 % del volumen de negocios mundial con arreglo al Artículo 99, apartado 3.

¿Cuándo se aplican realmente las obligaciones de IA de alto riesgo?

En virtud del Ómnibus Digital acordado en mayo de 2026, el plazo para los sistemas de IA de alto riesgo autónomos enumerados en el Anexo III es el 2 de diciembre de 2027. La IA de alto riesgo integrada en productos sujetos a la legislación de seguridad de los productos de la UE (Anexo I — productos sanitarios, máquinas, vehículos) debe cumplir antes del 2 de agosto de 2028. La fecha original del 2 de agosto de 2026 se ha aplazado; solo las obligaciones de transparencia de riesgo limitado del Artículo 50 aterrizan en esa fecha.

¿Qué exige realmente el «alto riesgo» de un proveedor?

Un proveedor de alto riesgo debe implementar un sistema de gestión de riesgos (Artículo 9), mantener documentación de gobernanza de los datos de entrenamiento (Artículo 10), producir documentación técnica completa con arreglo al Anexo IV (Artículo 11), conservar registros (Artículo 12), facilitar información a los responsables del despliegue (Artículo 13), incorporar mecanismos de supervisión humana (Artículo 14) y cumplir las normas de exactitud y ciberseguridad (Artículo 15). Antes de introducir el sistema en el mercado, el proveedor debe completar una evaluación de la conformidad (Artículo 43) y registrar el sistema en la base de datos de la UE con arreglo al Artículo 49.

¿Qué multa acarrea una infracción de transparencia del Artículo 50?

Las infracciones del Artículo 50 — no divulgar que los usuarios interactúan con una IA, o no marcar los medios sintéticos generados por IA — entran en el Artículo 99, apartado 4: 15 000 000 EUR o el 3 % del volumen de negocios anual mundial, si esta última cifra es mayor. Es el nivel intermedio, no el nivel de 7,5 M EUR / 1 %. El nivel inferior se aplica únicamente a facilitar información incorrecta a las autoridades (Artículo 99, apartado 5).

¿Se aplican las normas de GPAI a las empresas que simplemente utilizan modelos fundacionales?

No. Las obligaciones del Capítulo V (Artículos 51 a 56) vinculan a los proveedores de modelos de IA de uso general — las empresas que los entrenan y distribuyen. Si construye una aplicación sobre un modelo fundacional, su obligación es clasificar el sistema que crea por su uso. Si ese uso entra dentro del Anexo III, es un proveedor de alto riesgo de ese sistema con arreglo al Artículo 16, posiblemente elevado a través del Artículo 25. La documentación técnica y las obligaciones de derechos de autor del proveedor de GPAI no se transfieren a los responsables del despliegue aguas abajo.

¿Se aplica la Ley de IA de la UE a las empresas no pertenecientes a la UE?

Sí. El Artículo 2 se aplica extraterritorialmente a todo proveedor que introduzca un sistema de IA en el mercado de la UE o lo ponga en servicio en la UE, y a todo responsable del despliegue que utilice IA dentro de la UE — con independencia de dónde esté establecida la empresa. Si el resultado de su sistema alcanza a usuarios de la UE, a interesados de la UE o a procesos de toma de decisiones de la UE, está en el ámbito de aplicación.

---

Guías relacionadas

• la Ley de IA de la UE explicada — guía completa
• cronología de cumplimiento de la Ley de IA de la UE
• sanciones de la Ley de IA de la UE — desglose del Artículo 99
• guía de niveles de clasificación de riesgo
• sistemas de alto riesgo del Anexo III
• comparación de herramientas de gestión de riesgos