Skip to content
Confir.
Prueba gratuita
Blog

La Ley de IA de la UE en Suecia: ejecución, autoridades y obligaciones empresariales

Country Guide15 May 2026· 26 min de lectura

El informe SOU 2025:101 propone a la PTS — no a la IMY — como autoridad principal de Suecia para la Ley de IA. Cubre los papeles de las autoridades, el solapamiento con el RGPD, las sanciones y el plazo de alto riesgo de dic 2027.

El modelo propuesto por Suecia para la Ley de IA de la UE contiene una verdadera sorpresa: el informe de investigación del Gobierno SOU 2025:101 propone situar al regulador de telecomunicaciones — la PTS, la Post- och telestyrelsen — en el centro de la supervisión de la Ley de IA, y no a la autoridad de protección de datos IMY que la mayoría de los profesionales esperaban que liderara. Esa propuesta está en consulta y no se ha promulgado. Pero apunta a una decisión estructural deliberada, y las empresas que operan en Suecia deben comprender tanto la situación jurídica actual como la dirección de los acontecimientos.

La Ley de IA de la UE — Reglamento (UE) 2024/1689 — se aplica directamente en Suecia sin transposición sueca alguna, en virtud del artículo 288 del TFUE. Las prácticas prohibidas del Artículo 5 son exigibles desde el 2 de febrero de 2025. Las obligaciones de los modelos GPAI con arreglo al Capítulo V se aplican desde el 2 de agosto de 2025. Esas obligaciones están vigentes hoy, con independencia de la situación del proceso nacional de aplicación de Suecia.

Un reglamento, no una directiva: no se exige transposición sueca

La Ley de IA de la UE es un reglamento. El artículo 288 del TFUE le confiere efecto jurídico directo en todos los Estados miembros, incluida Suecia. Las empresas suecas no necesitan esperar a una ley sueca de aplicación antes de que las obligaciones surtan efecto — la pregunta relevante para cualquier empresa es qué obligaciones se aplican ahora, no si Suecia ha actuado.

Lo que Suecia sí debe proporcionar, con arreglo al Artículo 70 del Reglamento, es la designación de autoridades nacionales competentes — una autoridad de vigilancia del mercado, una autoridad notificante y un punto de contacto único para la Oficina de IA de la UE — y el marco jurídico interno para conferir competencias de ejecución a esas autoridades. Suecia no finalizó esas designaciones antes del plazo del 2 de agosto de 2025 fijado por el Reglamento. El informe SOU 2025:101 es el vehículo para colmar esa laguna, pero es una propuesta en consulta, no una ley concluida.

Para las empresas suecas, la implicación práctica es esta: las obligaciones son reales y están en marcha, pero la infraestructura de ejecución que las hará operativas a nivel interno aún no está implantada. Eso no hace que el cumplimiento sea opcional — convierte el período comprendido entre hoy y la entrada en vigor de la ley nacional en una ventana para construir el programa antes de que una autoridad esté en condiciones de auditarlo.

El modelo propuesto por Suecia (SOU 2025:101)

En 2025, el Gobierno sueco encargó una investigación oficial sobre cómo debería Suecia estructurar su aplicación de la Ley de IA de la UE. Esa investigación dio lugar al SOU 2025:101, que propone una ley nacional y un reglamento complementario destinados a entrar en vigor a tiempo para el 2 de agosto de 2026 — la fecha en la que comienza la aplicación general de la Ley.

La decisión estructural central del SOU 2025:101 es la propuesta de que la PTS (Post- och telestyrelsen — la Autoridad Sueca de Correos y Telecomunicaciones) actúe como:

  • la autoridad de supervisión principal de la Ley de IA de la UE en Suecia, responsable de emitir normativa y orientaciones;
  • la autoridad coordinadora, responsable de garantizar la coherencia entre las diversas autoridades suecas con competencia sectorial; y
  • el punto de contacto único (PCU) para la Oficina de IA de la UE en Bruselas.

Es una desviación significativa de lo que muchos observadores suponían. La IMY (Integritetsskyddsmyndigheten — la autoridad de protección de datos de Suecia) tiene experiencia en la regulación tecnológica transversal, un amplio perfil público y supervisa los sistemas de IA que tratan datos personales. Habría sido una elección natural para el papel de supervisión principal. El SOU 2025:101 propone otra cosa, situando el mandato más amplio — incluida la IA de alto riesgo en el lugar de trabajo, las obligaciones de alfabetización en materia de IA y los requisitos de transparencia — en la PTS.

Con arreglo a la propuesta del SOU 2025:101, la PTS tendría la responsabilidad principal de emitir normativa vinculante y orientaciones no vinculantes a las organizaciones sujetas a la Ley, y funcionaría como centro de coordinación interno para la ejecución entre autoridades.

Esto es una propuesta. La investigación está en consulta; si se adopta a través del proceso legislativo ordinario de Suecia, está previsto que la nueva ley y el reglamento surtan efecto a tiempo para el 2 de agosto de 2026. Hasta que se promulgue esa legislación, la PTS no tiene mandato formal alguno sobre la Ley de IA de la UE más allá de lo que el propio Reglamento confiere al Estado miembro en su conjunto.

¿Quién supervisará la Ley de IA de la UE en Suecia?

La PTS: autoridad principal propuesta

Con arreglo al SOU 2025:101, la PTS sería la autoridad de vigilancia del mercado de Suecia, la autoridad coordinadora y el punto de contacto único. Su mandato propuesto cubre los sistemas de IA de alto riesgo en el lugar de trabajo (Anexo III, punto 4 — herramientas de contratación, asignación de tareas, supervisión, rendimiento y despido), las obligaciones de alfabetización en materia de IA del Artículo 4 y las obligaciones de transparencia del Artículo 50 para los sistemas de riesgo limitado. La PTS ya tiene experiencia regulando las comunicaciones electrónicas y la infraestructura digital, y la investigación concluyó que su capacidad técnica y su papel de coordinación intersectorial la hacían más idónea para la posición de mandato más amplio que cualquier autoridad de un único sector.

Para las empresas en Suecia que despliegan sistemas de IA, la PTS es el interlocutor interno propuesto para la vigilancia del mercado, las auditorías de documentación técnica y los procedimientos de ejecución en primera instancia — pero solo una vez que la legislación nacional esté en vigor.

La IMY: protección de datos y ámbitos sensibles para los derechos

La IMY conserva su competencia sobre las cuestiones de protección de datos con arreglo al RGPD y se espera que supervise determinados ámbitos sensibles para los derechos de la aplicación de la Ley de IA en Suecia. Esto incluye los sistemas de IA que tratan datos personales a escala, donde el RGPD y la Ley de IA de la UE se solapan directamente. Para cualquier sistema de IA de alto riesgo que implique datos personales — cribado de selección de personal, evaluación crediticia, admisibilidad a prestaciones públicas —, la intervención de la IMY junto a la autoridad PTS propuesta es el modelo de funcionamiento esperado.

El reparto de tareas entre la PTS y la IMY es uno de los aspectos que aún se están perfilando como parte del proceso de consulta. Las empresas deben planificar contando con que ambas autoridades se interesen por los sistemas de IA que combinan la clasificación de alto riesgo con el tratamiento de datos personales.

Autoridades sectoriales

Los reguladores sectoriales de Suecia conservarán la competencia de dominio en sus propios ámbitos, en coherencia con el marco del Artículo 70 del Reglamento para las autoridades nacionales competentes y las disposiciones de vigilancia del mercado del Artículo 74. La IA de servicios financieros — modelos de calificación crediticia, herramientas de fijación de precios de seguros cubiertos por el punto 5 del Anexo III — se sitúa dentro de la órbita natural de la Finansinspektionen. La IA sanitaria se cruza con la IVO (Inspektionen för vård och omsorg). Se espera que la asignación precisa de responsabilidades sectoriales se aborde en el reglamento complementario que acompaña a la ley nacional propuesta.

La Oficina de IA de la UE: supervisión de la GPAI

Las empresas suecas que desarrollan e introducen en el mercado modelos de IA de uso general están supervisadas directamente por la Oficina de IA de la UE en Bruselas, no por la PTS ni por ninguna autoridad sueca. Las obligaciones de los modelos GPAI con arreglo a los Artículos 53 y 55 son competencia de la Oficina de IA. La PTS, una vez designada, actuaría como PCU interno para la coordinación, pero la supervisión principal de los proveedores de GPAI permanece a nivel de la UE.

Cómo interactúa el marco de Suecia con el RGPD

El RGPD y la Ley de IA de la UE corren en paralelo para cualquier sistema de IA que trate datos personales — y eso es la mayoría de los sistemas de alto riesgo del Anexo III. La IMY ejecuta el RGPD en Suecia, y su papel no disminuye porque la Ley de IA de la UE añada una capa adicional de obligaciones.

El solapamiento práctico más directo se da entre la EIPD (evaluación de impacto relativa a la protección de datos) del artículo 35 del RGPD y la EIDF (evaluación de impacto relativa a los derechos fundamentales) del Artículo 27 de la Ley de IA de la UE. Ambas son evaluaciones obligatorias previas al despliegue; ambas evalúan los riesgos para los derechos; ambas deben documentarse y estar a disposición de los supervisores. El Artículo 27, apartado 4, de la Ley de IA de la UE permite expresamente que la EIDF se base en una EIPD ya existente cuando el alcance se solape — un ahorro de tiempo significativo cuando ambas se aplican al mismo sistema.

La EIDF del Artículo 27 se aplica a los organismos públicos que despliegan IA de alto riesgo, y a cualquier responsable del despliegue — público o privado — de sistemas de IA de las categorías de solvencia (punto 5, letra b)) o de seguros de vida y de salud (punto 5, letra c)) del Anexo III. Una autoridad pública sueca que despliega una herramienta de IA para evaluar la admisibilidad a prestaciones sociales afronta tanto la obligación de EIPD del artículo 35 del RGPD como la obligación de EIDF del Artículo 27. Estas pueden compartir su fundamento fáctico, pero son evaluaciones distintas con destinatarios regulatorios distintos.

Las obligaciones de conservación de registros también se cruzan. El Artículo 12 de la Ley de IA de la UE exige que los sistemas de IA de alto riesgo generen registros que capten el funcionamiento del sistema. El artículo 22 del RGPD rige la toma de decisiones automatizada y exige que las personas reciban información significativa sobre la lógica aplicada. Una empresa sueca de servicios financieros que ejecuta una herramienta de calificación crediticia con IA debe satisfacer ambas: los registros del Artículo 12 y los requisitos de transparencia y de revisión humana del artículo 22 del RGPD. La documentación de cumplimiento elaborada para un marco informa directamente al otro.

El calendario de la Ley de IA de la UE tal como se aplica en Suecia

FechaQué se aplica
2 de febrero de 2025Prácticas prohibidas del Artículo 5 y alfabetización en materia de IA del Artículo 4 — en vigor, exigibles ahora
2 de agosto de 2025Obligaciones de GPAI (Capítulo V, Artículos 51 a 56), gobernanza, Oficina de IA, sanciones del Artículo 99
2 de agosto de 2026Aplicación general, incluida la transparencia de riesgo limitado del Artículo 50 (chatbots, ultrafalsificaciones, marcado de contenido sintético); entrada en vigor prevista de la ley nacional sueca (propuesta SOU 2025:101, sujeta a adopción legislativa)
2 de diciembre de 2027Sistemas de IA de alto riesgo autónomos (lista del Anexo III) — aplazado en virtud del Ómnibus Digital
2 de agosto de 2028IA de alto riesgo como componente de seguridad de productos regulados del Anexo I — aplazado en virtud del Ómnibus Digital

Dos fechas merecen especial atención para las empresas suecas.

El Artículo 5 ya está vigente. Las prácticas prohibidas — categorización biométrica por características sensibles, identificación biométrica remota en tiempo real en espacios públicos fuera de las excepciones para la garantía del cumplimiento del Derecho, puntuación social y manipulación de personas explotando vulnerabilidades — son exigibles desde el 2 de febrero de 2025. No se exige designación de autoridad nacional alguna para que estas obligaciones se apliquen. Toda empresa sueca cuya IA toque esas categorías debería haber completado ya su revisión.

El plazo de alto riesgo no es agosto de 2026. En virtud del Ómnibus Digital — el paquete de modificaciones de la Comisión sobre el que el Parlamento y el Consejo alcanzaron un acuerdo político el 7 de mayo de 2026, con adopción formal prevista antes del 2 de agosto de 2026 —, los sistemas de alto riesgo autónomos del Anexo III tienen hasta el 2 de diciembre de 2027, y la IA de alto riesgo integrada en productos regulados del Anexo I tiene hasta el 2 de agosto de 2028. La fecha original de agosto de 2026 se ha aplazado para esas categorías. Pero construir un sistema de gestión de riesgos del Artículo 9, un paquete de documentación técnica del Anexo IV, controles de supervisión humana del Artículo 14 y superar una evaluación de la conformidad con arreglo al Artículo 43 es un programa de seis a doce meses para la mayoría de las organizaciones. El aplazamiento crea tiempo; no elimina el trabajo.

Sanciones: a qué se enfrentan las empresas en Suecia

El marco sancionador es el Artículo 99 del Reglamento (UE) 2024/1689. Se aplican tres niveles, cada uno «la cifra mayor» entre una cantidad fija y un porcentaje del volumen de negocios anual mundial total:

  • 35 millones de euros o el 7 % — por las infracciones de las prácticas prohibidas del Artículo 5. Este nivel se aplica desde el 2 de agosto de 2025, cuando el Artículo 99 pasó a ser exigible.
  • 15 millones de euros o el 3 % — por el incumplimiento de la mayoría de las demás obligaciones: requisitos de IA de alto riesgo de los Artículos 9 a 15, obligaciones del proveedor del Artículo 16, obligaciones del responsable del despliegue del Artículo 26 y deberes de transparencia del Artículo 50.
  • 7,5 millones de euros o el 1 % — por facilitar información incorrecta, incompleta o engañosa a los organismos notificados o a las autoridades competentes.

Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, ofrece una protección de proporcionalidad: la multa se limita al menor de los dos importes, la cantidad fija o el porcentaje. Una empresa sueca con un volumen de negocios de 10 millones de euros no puede afrontar una multa de 15 millones de euros por la infracción de una obligación de alto riesgo — el 3 % de 10 millones de euros son 300 000 euros, y ese es el techo.

Son cifras máximas, no valores por defecto. Las autoridades de ejecución ponderan factores de proporcionalidad — la duración de la infracción, el grado de responsabilidad, la cooperación con la investigación, la magnitud del daño — antes de llegar a un importe concreto. Los techos son reales; el supuesto de base para una primera infracción cooperativa es sustancialmente inferior.

La ley nacional propuesta en el SOU 2025:101 establecería la base jurídica interna para que las autoridades suecas apliquen en la práctica estos niveles del Artículo 99. Hasta que esa legislación esté en vigor, la ejecución a nivel nacional está limitada procesalmente — pero las obligaciones subyacentes, incluida la prohibición de las prácticas del Artículo 5, no lo están.

Las multas específicas de la GPAI son un instrumento independiente: hasta 15 millones de euros o el 3 %, impuestas por la Comisión directamente a los proveedores de modelos GPAI con arreglo al Artículo 101.

Consideraciones de cumplimiento específicas de Suecia

La sorpresa de la PTS-en-lugar-de-la-IMY

La propuesta de otorgar a la PTS, en lugar de a la IMY, el mandato de supervisión principal es la sorpresa central del SOU 2025:101 y debería llevar a los equipos de cumplimiento suecos a reconsiderar sus suposiciones. Si daba por hecho que su trabajo de cumplimiento de IA se situaba principalmente dentro de su programa de RGPD, bajo la supervisión de la IMY, deberá revisar ese planteamiento. Con arreglo al modelo propuesto, una herramienta de IA de empleo de alto riesgo, un chatbot sujeto a las obligaciones de transparencia del Artículo 50 y un programa de alfabetización en materia de IA del Artículo 4 caerían todos principalmente dentro de la competencia de la PTS — no de la IMY. La IMY conserva la competencia en protección de datos, pero el mandato más amplio de la Ley de IA se sitúa en otro lugar.

Esto sigue siendo una propuesta. Las empresas que colaboran de forma proactiva con las autoridades suecas en el cumplimiento de IA deben vigilar atentamente el resultado de la consulta, ya que la ley definitiva puede ajustar el reparto propuesto entre la PTS y la IMY.

IA en el lugar de trabajo: el foco en el empleo

El SOU 2025:101 destaca específicamente la IA en el lugar de trabajo como un ámbito prioritario para el mandato propuesto de la PTS. El punto 4 del Anexo III de la Ley de IA de la UE cubre el empleo, la gestión de los trabajadores y el acceso al autoempleo — incluidas las herramientas de IA utilizadas para la contratación y el cribado (punto 4, letra a)), la asignación de tareas y la supervisión del rendimiento, la conducta y el comportamiento de los trabajadores (punto 4, letra b)), y las decisiones de promoción y despido (punto 4, letra c)).

Las empresas suecas que utilizan IA en los procesos de RR. HH. — sistemas de seguimiento de candidatos con puntuación por IA, evaluaciones de rendimiento asistidas por IA, planificación automatizada — necesitan evaluar si esas herramientas entran en el punto 4 del Anexo III, si se aplica el filtro de la exención del Artículo 6, apartado 3 (para herramientas que genuinamente solo desempeñan tareas procedimentales limitadas sin influir en las evaluaciones de personas físicas), y, en caso de ser de alto riesgo, qué conlleva la pila completa de obligaciones. El liderazgo propuesto de la PTS sobre este ámbito, en lugar de una autoridad del mercado laboral o de empleo, es un indicio de que los primeros casos de ejecución en Suecia pueden centrarse en la IA del lugar de trabajo.

Espacio controlado de pruebas regulatorio antes del 2 de agosto de 2026

Los Artículos 57 a 59 del Reglamento exigen a cada Estado miembro establecer al menos un espacio controlado de pruebas regulatorio de IA antes del 2 de agosto de 2026. Se espera que la ley nacional propuesta en el SOU 2025:101 dé efecto a esta obligación. Con arreglo al Artículo 58, las pymes y las empresas emergentes deben recibir acceso prioritario al espacio controlado de pruebas y no se les debe cobrar por la participación. Las empresas suecas con sistemas de IA novedosos que sean difíciles de clasificar, o que requieran claridad regulatoria antes de que se confirme una designación de alto riesgo, deben vigilar las disposiciones de la PTS sobre el espacio controlado de pruebas una vez que la ley nacional esté en vigor.

La EIDF del sector público: una obligación obligatoria

Los organismos públicos suecos — agencias gubernamentales, municipios y organismos que desempeñan funciones públicas — que despliegan sistemas de IA de alto riesgo están sujetos a la EIDF del Artículo 27. Es obligatoria, debe completarse antes del despliegue, y debe documentarse y ponerse a disposición de los supervisores. Dado que los municipios suecos y las autoridades nacionales operan herramientas de IA en la administración de prestaciones, la gestión de expedientes y la asignación de servicios públicos, la obligación de EIDF tiene un peso operativo real en el sector público sueco. El Artículo 27, apartado 4, permite que la EIDF se base en una EIPD del artículo 35 del RGPD cuando se haya realizado una — esta coordinación es práctica, no opcional, para los sistemas que manejan datos personales a escala.

El Artículo 25 y el riesgo de cambio de papel

La mayoría de las empresas suecas que despliegan herramientas de IA de terceros se sitúan en el papel de responsable del despliegue con arreglo al Artículo 26. Las obligaciones del responsable del despliegue son reales — supervisión humana, vigilancia, registros del Artículo 12 durante seis meses, notificación al proveedor de los riesgos y los incidentes graves —, pero más ligeras que la pila del proveedor. El riesgo surge cuando las empresas van más allá: ajustar un modelo con datos propios, configurar un sistema de IA de un tercero para una finalidad concreta que difiera materialmente de la finalidad prevista por el proveedor, o introducir un sistema de IA de un tercero en el mercado con su propio nombre. Cualquiera de esos pasos puede activar el Artículo 25, convirtiendo al responsable del despliegue en proveedor con el conjunto completo de obligaciones del Artículo 16. Las empresas tecnológicas suecas y cualquier organización que personalice ampliamente las herramientas de IA deberían realizar el análisis del Artículo 25 antes de que el marco nacional de ejecución esté operativo.

Cómo ayuda Confir a las empresas en Suecia

Los equipos de cumplimiento suecos que construyen sus programas de la Ley de IA de la UE afrontan el mismo conjunto de obligaciones intensivas en documentación que las empresas de toda la UE: registros de gestión de riesgos del Artículo 9, documentación técnica del Anexo IV, EIDF del Artículo 27, preparación de la conformidad del Artículo 43, registros del Artículo 12 y un inventario de IA que sustente todo ello.

Confir es una herramienta de cumplimiento alojada en la UE construida a tal efecto para este trabajo. Su motor de clasificación es basado en reglas y determinista — codifica los Artículos 5 y 6 con la lógica del Anexo III en reglas explícitas, produciendo la misma conclusión a partir de la misma admisión cada vez, con una explicación legible por humanos de qué regla se activó. Esa reproducibilidad importa para la defensa ante una auditoría: cuando la PTS (o cualquier autoridad nacional) le pida demostrar el razonamiento de su clasificación, la regla que produjo la conclusión es visible y explicable.

Confir genera el paquete completo de documentación técnica del Anexo IV, la declaración de conformidad del Artículo 47 / Anexo V y la EIDF del Artículo 27. La evaluación estructurada abarca cuatro áreas: clasificación de riesgo con arreglo a los Artículos 5 y 6 (AIRC), datos y robustez técnica con arreglo a los Artículos 10, 11 y 15 (AITR), transparencia y supervisión humana con arreglo a los Artículos 13, 14 y 27 (AITO), y gobernanza y vigilancia poscomercialización con arreglo a los Artículos 9, 72 y 73 (AIGM).

Qué deben hacer ahora las empresas en Suecia

Inmediatamente (las obligaciones del Artículo 5 ya se aplican). Audite cualquier sistema de IA que pudiera implicar categorización biométrica por características sensibles, puntuación social, manipulación subliminal, explotación de vulnerabilidades personales, identificación biométrica en tiempo real en espacios públicos o reconocimiento de emociones en el lugar de trabajo. Si el sistema entra dentro de una categoría del Artículo 5 y no se aplica ninguna exención legal, deje de utilizarlo o reestructúrelo. La prohibición es exigible desde el 2 de febrero de 2025.

Antes del 2 de agosto de 2026 (transparencia del Artículo 50 y aplicación general). Cualquier sistema de IA que interactúe con personas físicas — chatbots, asistentes de voz, herramientas de contenido generado por IA — debe cumplir los requisitos de divulgación del Artículo 50 a partir de esa fecha. Los usuarios deben saber cuándo están interactuando con un sistema de IA, cuándo el contenido se genera de forma sintética y cuándo se utiliza el reconocimiento de emociones. Además, vigile el avance de la consulta del SOU 2025:101. Si la ley nacional se promulga según lo propuesto, la PTS tendrá competencias formales de ejecución a partir de esa fecha.

2026-2027 (preparación de alto riesgo, sistemas del Anexo III). Las empresas con sistemas autónomos del Anexo III tienen hasta el 2 de diciembre de 2027 en virtud del aplazamiento del Ómnibus Digital. Utilice 2026 para construir el inventario y la clasificación de IA, identificar qué sistemas caen realmente en categorías de alto riesgo tras aplicar el filtro del Artículo 6, apartado 3, asignar los papeles de proveedor y de responsable del despliegue, y comenzar la documentación. Las herramientas de IA del lugar de trabajo del punto 4 del Anexo III probablemente atraigan la atención temprana de la PTS dado el énfasis del SOU 2025:101 — priorícelas.

De forma continua. Haga seguimiento del resultado de la consulta del SOU 2025:101 y del avance de la ley nacional propuesta a través del proceso legislativo sueco. Vigile los primeros pasos formales de la PTS en la supervisión de la IA una vez promulgada la ley. Siga las orientaciones de la Oficina de IA de la UE sobre la GPAI si su empresa desarrolla o integra modelos fundacionales.

Preguntas frecuentes

¿Quién es la autoridad de supervisión propuesta para la Ley de IA de la UE en Suecia?

Con arreglo al informe de investigación del Gobierno SOU 2025:101, la PTS (Post- och telestyrelsen — la Autoridad Sueca de Correos y Telecomunicaciones) se propone como autoridad de supervisión principal, autoridad coordinadora y punto de contacto único para la Oficina de IA de la UE. Es una propuesta en consulta, aún no promulgada. Muchos profesionales esperaban que liderara la autoridad de protección de datos IMY, pero el SOU 2025:101 propone otorgar el mandato más amplio — incluida la IA del lugar de trabajo, la alfabetización en materia de IA y las obligaciones de transparencia — a la PTS. La IMY conserva la competencia sobre los aspectos de protección de datos.

¿Ha aprobado Suecia su ley nacional de aplicación de la Ley de IA de la UE?

No — no a junio de 2026. Suecia no finalizó las designaciones de autoridades antes del plazo del 2 de agosto de 2025 fijado por el Artículo 70. El SOU 2025:101 propone una ley nacional y un reglamento complementario, actualmente en consulta, destinados a entrar en vigor a tiempo para el 2 de agosto de 2026 — pero esto depende de una adopción puntual a través del proceso legislativo ordinario. Las obligaciones de la Ley de IA de la UE se aplican en cualquier caso: el Reglamento tiene efecto directo con arreglo al artículo 288 del TFUE.

¿Exige la Ley de IA de la UE alguna transposición sueca?

No. Como reglamento del Derecho de la UE, el Reglamento (UE) 2024/1689 se aplica directamente en Suecia sin necesidad de incorporarse a la legislación sueca. Lo que Suecia debe proporcionar — con arreglo al Artículo 70 — es la designación de autoridades nacionales competentes y el marco jurídico interno para conferirles competencias de ejecución. La ley nacional propuesta lo hace; no crea nuevas obligaciones sustantivas, que vienen fijadas por el propio Reglamento.

¿Qué multas pueden afrontar las empresas suecas con arreglo a la Ley de IA de la UE?

El Artículo 99 establece tres niveles, cada uno «la cifra mayor» entre una cantidad fija y una proporción del volumen de negocios anual mundial total: 35 millones de euros o el 7 % por las infracciones de la prohibición del Artículo 5; 15 millones de euros o el 3 % por la mayoría de las demás obligaciones, incluidos los requisitos de IA de alto riesgo, los deberes del proveedor del Artículo 16 y los deberes del responsable del despliegue del Artículo 26; y 7,5 millones de euros o el 1 % por facilitar información incorrecta o engañosa a las autoridades. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita las multas al menor de los dos importes, la cantidad fija o el porcentaje. Estas cifras se aplican en toda la UE — no existen importes de multa específicos de Suecia.

¿Cuándo se aplican las obligaciones de IA de alto riesgo en Suecia?

En virtud del Ómnibus Digital (acuerdo político alcanzado el 7 de mayo de 2026), los sistemas de IA de alto riesgo autónomos de la lista del Anexo III — incluidos los sistemas de selección de personal, de solvencia y biométricos — tienen hasta el 2 de diciembre de 2027. La IA de alto riesgo integrada en productos regulados del Anexo I tiene hasta el 2 de agosto de 2028. Las prohibiciones del Artículo 5 se aplican desde el 2 de febrero de 2025; las disposiciones sobre GPAI y sanciones se aplican desde el 2 de agosto de 2025; y la transparencia de riesgo limitado del Artículo 50 se aplica a partir del 2 de agosto de 2026.

¿Por qué se propone a la PTS como autoridad principal en lugar de a la IMY?

El SOU 2025:101 concluyó que el mandato técnico intersectorial de la PTS, su experiencia coordinando entre distintos dominios regulatorios y su capacidad institucional para gestionar la gama más amplia de obligaciones de la Ley de IA la hacían la autoridad principal más idónea. El mandato de la IMY está anclado específicamente en la protección de datos. El ámbito de la Ley de IA de la UE es más amplio — cubre usos de la IA que pueden no implicar datos personales pero que, aun así, afectan a los derechos fundamentales, la seguridad o la equidad del mercado. La investigación juzgó que una autoridad de mandato más amplio era la decisión estructural acertada para el papel de coordinación principal.

¿Cómo interactúa el marco de Suecia con el RGPD?

El RGPD y la Ley de IA de la UE se superponen para los sistemas de IA que tratan datos personales. El solapamiento clave se da entre el artículo 35 del RGPD (EIPD) y el Artículo 27 de la Ley de IA de la UE (EIDF) — ambas son evaluaciones obligatorias previas al despliegue para los sistemas que cubren, ambas evalúan los riesgos para los derechos fundamentales, y el Artículo 27, apartado 4, permite expresamente que la EIDF se base en una EIPD ya completada. La IMY ejecuta el RGPD en Suecia; el mandato propuesto de la PTS cubre las obligaciones más amplias de la Ley de IA. Las empresas deben planificar contando con que ambas autoridades intervengan allí donde coincidan los datos personales y la clasificación de IA de alto riesgo.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Country Guide

La Ley de IA de la UE en Austria: autoridades, obligaciones y el camino hacia la ejecución

La Ley de IA de la UE se aplica en Austria sin transposición. La RTR KI-Servicestelle asesora; la designación de la autoridad está pendiente. Sanciones de hasta 35 M EUR. Plazo: dic. de 2027.

Country Guide

La Ley de IA de la UE en Bélgica: autoridades, obligaciones y complejidad federal

El BIPT/IBPT de Bélgica es la autoridad de vigilancia del mercado propuesta para la Ley de IA de la UE. Cubre los 21 organismos del Artículo 77, el solapamiento con el RGPD, las sanciones y el plazo de diciembre de 2027.

Country Guide

La Ley de IA de la UE en Francia: ejecución, autoridades y obligaciones de las empresas

La Ley de IA de la UE se aplica directamente en Francia. Se propone a la CNIL y a la DGCCRF como autoridades de ejecución. Cubre las sanciones, el solapamiento con el RGPD y el plazo de alto riesgo de diciembre de 2027.