Sistema de IA: definición en virtud de la Ley de IA de la UE
¿Qué se considera un sistema de IA en virtud del Reglamento (UE) 2024/1689? Definición del Artículo 3, características clave, casos límite y por qué importa para el cumplimiento.
Un sistema de IA, en virtud del Reglamento (UE) 2024/1689, es «un sistema basado en una máquina que está diseñado para funcionar con distintos niveles de autonomía y que puede mostrar capacidad de adaptación tras el despliegue, y que, para objetivos explícitos o implícitos, infiere, a partir de la información de entrada que recibe, cómo generar información de salida, como predicciones, contenidos, recomendaciones o decisiones, que puede influir en entornos físicos o virtuales». Si su software cumple esta definición es la primera pregunta que plantea la Ley de IA de la UE — antes de que comience cualquier clasificación de riesgo.
La definición de la Ley de IA de la UE
La definición legal aparece en el Artículo 3 del Reglamento (UE) 2024/1689, punto 1. El texto establece cuatro elementos esenciales: el funcionamiento basado en una máquina, distintos grados de autonomía, la capacidad de adaptación tras el despliegue y el uso de la inferencia para generar información de salida a partir de la información de entrada. Esa información de salida — predicciones, contenidos, recomendaciones o decisiones — debe tener la capacidad de influir en entornos físicos o virtuales para que se cumpla la definición.
El legislador de la UE alineó esta definición con la definición de IA de la OCDE, una decisión deliberada para mantener la coherencia de la Ley con los marcos de gobernanza internacionales y evitar la creación de una norma técnica exclusivamente europea que la práctica dejaría obsoleta con rapidez. La definición de la OCDE comparte la misma lógica de inferencia a partir de la información de entrada y el mismo énfasis en la influencia en el mundo real.
La alineación tiene un peso práctico. Las orientaciones de los reguladores y de la Comisión pueden leerse junto con los comentarios de la OCDE, y las empresas que operan en varias jurisdicciones parten de un punto de referencia común.
Dado que la definición es de alto nivel, la Comisión Europea publicó directrices sobre la definición de un sistema de IA el 6 de febrero de 2025 para ayudar a las organizaciones a trazar el límite en la práctica. Esas directrices desarrollan ejemplos concretos y aclaran cómo interactúan los cuatro elementos — en particular la distinción entre sistemas capaces de inferir y software que se limita a ejecutar una lógica predefinida. Para cualquier equipo de producto que dude de si su software cumple los requisitos, las directrices son el recurso interpretativo principal.
Las características definitorias
La autonomía no significa independencia total. La definición utiliza la expresión «distintos niveles de autonomía», que abarca un espectro que va desde sistemas restringidos que operan dentro de parámetros estrictos hasta sistemas que toman decisiones con una dirección humana mínima. Un sistema que genera una puntuación de riesgo crediticio sin que un humano especifique el cálculo exacto para cada caso cumple los requisitos; una calculadora que un humano programa para generar una fórmula fija, no.
La capacidad de adaptación tras el despliegue se refiere a la capacidad de un sistema de modificar su comportamiento en respuesta a nuevos datos o a la experiencia operativa una vez que está en funcionamiento. Los modelos de aprendizaje automático que se actualizan con las interacciones de los usuarios son el ejemplo más claro. No todo sistema de IA tiene que ser adaptativo — la definición utiliza «puede mostrar», no «debe mostrar» — pero la perspectiva de un cambio tras el despliegue es una de las características que distinguen la IA del software estático y justifican las obligaciones de supervisión continua.
La inferencia es el motor definitorio. El sistema debe inferir — derivar conclusiones, patrones o decisiones — a partir de la información de entrada que recibe, en lugar de ejecutar únicamente operaciones que una persona física haya definido explícitamente de antemano. Aquí es donde se traza el límite con el software tradicional. Un motor de reglas que aplica un árbol de decisión redactado por un humano, sin capacidad de derivar resultados más allá de lo que esas reglas explícitas especifican, no está infiriendo. Una red neuronal que aprende a clasificar entradas que nunca ha encontrado generalizando a partir de datos de entrenamiento sí está infiriendo. Las directrices de la Comisión de febrero de 2025 analizan este límite en detalle, incluidos casos intermedios como los modelos estadísticos y los algoritmos de optimización.
La información de salida que influye en entornos cierra el círculo. El sistema debe ser capaz de producir algo — una predicción, una recomendación, una decisión, un contenido — que afecte a algo en el mundo. Un sistema que procesa datos internamente y no produce ninguna salida a la que responda algún agente o entorno queda en la práctica fuera de la definición. En la mayoría de los casos reales, esta condición se cumple con facilidad: si la salida de un sistema es utilizada por una persona o alimenta otro proceso, está influyendo en un entorno.
Qué es y qué no es un sistema de IA
Los modelos clásicos de aprendizaje automático — clasificadores supervisados, modelos de regresión entrenados con datos históricos, redes neuronales, grandes modelos de lenguaje (LLM) y las aplicaciones construidas sobre ellos — cumplen claramente la definición del Artículo 3. Infieren, operan con cierta autonomía y su información de salida influye habitualmente en las decisiones.
Las aplicaciones construidas sobre LLM — un chatbot de atención al cliente, una herramienta de análisis de documentos, un asistente de cribado de candidatos — son sistemas de IA por derecho propio. El sistema construido por la empresa que lo despliega o por el proveedor se evalúa con arreglo a la Ley, aun cuando el modelo de IA de uso general (GPAI) subyacente se regule por separado en el Capítulo V (Artículos 51 a 55). El concepto a nivel de sistema y el concepto de modelo de IA de uso general se sitúan en capas distintas; ambos pueden generar obligaciones de forma simultánea.
En el otro lado del límite, la Ley y las directrices de la Comisión dejan claro que el software básico basado en reglas — sistemas que ejecutan únicamente operaciones definidas explícitamente por personas físicas, sin capacidad de inferir más allá de esas reglas — queda en general fuera de la definición del Artículo 3. Una herramienta de automatización de procesos empresariales que enruta formularios según un árbol de decisión fijo, sin componente de aprendizaje y sin capacidad de producir resultados más allá de lo que especifican las reglas escritas, no es un sistema de IA. Una fórmula de hoja de cálculo no es un sistema de IA. Un sistema experto con una base de conocimientos totalmente especificada por humanos y una ejecución determinista de reglas se sitúa en una zona gris que las directrices de febrero de 2025 desarrollan; en la mayoría de los casos, si el sistema no puede derivar nada más allá de lo que definen sus reglas explícitas, queda fuera del ámbito de aplicación.
El límite importa en la práctica porque existen categorías enteras de software — herramientas de flujo de trabajo, inteligencia empresarial tradicional, motores de decisión basados en reglas — cuyos desarrolladores y usuarios necesitan claridad sobre si la Ley se aplica siquiera. La respuesta honesta para los casos límite es: consulte las directrices de febrero de 2025 y documente la evaluación, porque los reguladores querrán comprobar que se planteó la pregunta.
Los modelos de IA de uso general (GPAI) merecen distinguirse explícitamente. Un modelo de IA de uso general — un modelo fundacional como un gran modelo de lenguaje — se rige por separado con arreglo al Capítulo V de la Ley, no como un «sistema de IA» en el sentido a nivel de sistema. El sistema que un proveedor construye y despliega utilizando un modelo de IA de uso general es el «sistema de IA». El modelo de IA de uso general es el componente subyacente. Ambas capas están reguladas, pero con arreglo a disposiciones distintas.
Por qué importa la definición para el cumplimiento
La definición del Artículo 3 es la puerta de entrada. Hasta que no establezca que su software es un sistema de IA, no se activa ninguna de las obligaciones de la Ley — clasificación, gestión de riesgos, documentación técnica, supervisión humana, evaluación de la conformidad. Esto convierte la cuestión del umbral en el primer punto de cualquier evaluación de cumplimiento, no en una ocurrencia tardía.
Una vez confirmado que algo es un sistema de IA, la siguiente pregunta es si está prohibido con arreglo al Artículo 5 (riesgo inaceptable), es de alto riesgo con arreglo al Artículo 6 en relación con el Anexo III (o a través del Anexo I para los componentes de seguridad de productos regulados), es de riesgo limitado con arreglo al Artículo 50 o es de riesgo mínimo. Ninguno de esos trabajos de clasificación es pertinente a menos que el software cumpla primero los requisitos de sistema de IA.
En la práctica, la mayor parte del software empresarial construido en los últimos cinco años — especialmente cualquier cosa que implique aprendizaje automático, personalización, motores de recomendación o análisis predictivo — cumplirá la definición sin mucha discusión. Los casos controvertidos están en los márgenes: herramientas de optimización, modelos estadísticos tradicionales, motores de reglas complejos. Para esos, la inversión en un análisis del umbral documentado merece la pena. Si las autoridades cuestionan posteriormente su postura de cumplimiento, demostrar que evaluó activamente la definición y llegó a una conclusión razonada es muy preferible a no tener constancia alguna de que se planteó la pregunta.
El flujo de trabajo de clasificación de Confir comienza con este paso del umbral. Su motor basado en reglas formula preguntas de admisión estructuradas en torno a los elementos del Artículo 3 — autonomía, inferencia, influencia en el entorno — y deriva una determinación documentada antes de proceder a la clasificación de riesgo con arreglo al Artículo 6 y al Anexo III. La misma lógica determinista que hace que los resultados de Confir sean defendibles ante una auditoría hace que el paso del umbral sea reproducible: las mismas entradas producen siempre el mismo resultado.
Preguntas frecuentes
¿Es toda herramienta de software un sistema de IA en virtud de la Ley de IA de la UE?
No. La Ley se aplica únicamente a los sistemas que infieren — que derivan información de salida a partir de la información de entrada de formas que van más allá de ejecutar operaciones definidas explícitamente. El software tradicional, los motores de reglas fijas y las fórmulas de hoja de cálculo quedan en general fuera de la definición. Las directrices de la Comisión Europea de 6 de febrero de 2025 ofrecen ejemplos prácticos detallados para trazar la línea. En caso de duda, documente la evaluación: los reguladores buscarán pruebas de que se consideró la pregunta.
¿Necesita un sistema utilizar aprendizaje automático para cumplir los requisitos de sistema de IA?
No necesariamente, pero en la práctica la mayoría de los sistemas que cumplen la definición del Artículo 3 implican alguna forma de aprendizaje automático o inferencia estadística. La definición se centra en la capacidad de inferir, no en la arquitectura técnica. Un algoritmo de optimización o un sistema bayesiano que puede derivar información de salida más allá de lo que definen sus reglas explícitas puede cumplir los requisitos incluso sin una red neuronal. Las directrices de la Comisión de febrero de 2025 desarrollan estos casos intermedios.
Si mi producto está construido sobre un LLM (un modelo de IA de uso general), ¿es un sistema de IA?
Sí. La aplicación que construye y despliega utilizando un modelo de IA de uso general es un sistema de IA por derecho propio y se evalúa con arreglo a los Artículos 5 y 6 y al Anexo III en función de su uso. El modelo de IA de uso general subyacente se regula por separado en el Capítulo V (Artículos 51 a 55). Ambas capas pueden generar obligaciones de forma simultánea — los deberes del proveedor del modelo en virtud del Artículo 53 (y del Artículo 55 para los modelos con riesgo sistémico) no sustituyen a sus obligaciones como proveedor del sistema en virtud del Artículo 16.
¿Cubre la definición los sistemas de IA utilizados internamente en una empresa, no vendidos a clientes?
Sí. La Ley de IA de la UE cubre los sistemas de IA puestos en servicio — utilizados operativamente — así como los introducidos en el mercado. El uso interno en un contexto profesional entra dentro del ámbito de aplicación. Una empresa que despliega un sistema de IA de un tercero para el cribado interno de RR. HH. o el análisis crediticio es un responsable del despliegue con arreglo al Artículo 26 y le incumben las obligaciones correspondientes. Si construyó usted mismo el sistema (proveedor, Artículo 16) o utiliza el de otro (responsable del despliegue, Artículo 26) determina qué obligaciones se aplican, no si el uso es interno o externo.
¿Cubre la definición del Artículo 3 los sistemas de IA utilizados fuera de la UE?
El ámbito territorial se rige por el Artículo 2, no por el Artículo 3. La Ley de IA sigue un enfoque basado en los efectos: se aplica a los proveedores que introducen sistemas de IA en el mercado de la UE y a los responsables del despliegue que operan dentro de la UE, aun cuando el proveedor esté establecido fuera de la UE. Si la información de salida de un sistema de IA afecta a personas en la UE, es probable que la Ley se aplique. El Artículo 2 detalla las excepciones y exclusiones, incluida una exclusión para la IA desarrollada exclusivamente con fines de seguridad nacional por los Estados miembros.
¿Cuándo entró en vigor la definición de sistema de IA?
El Reglamento (UE) 2024/1689 entró en vigor el 1 de agosto de 2024. El Artículo 3 (definiciones) se aplica desde entonces. Las prácticas prohibidas del Artículo 5 se aplican desde el 2 de febrero de 2025. Las obligaciones de alto riesgo con arreglo al Artículo 6 y al Anexo III se aplican a partir del 2 de diciembre de 2027 para los sistemas autónomos del Anexo III (aplazadas en virtud del Ómnibus Digital acordado en mayo de 2026), y a partir del 2 de agosto de 2028 para la IA de alto riesgo integrada en productos regulados del Anexo I.
Términos relacionados
- ¿Qué es la Ley de IA de la UE? — la estructura, los objetivos y el ámbito de la Ley en lenguaje sencillo
- Ámbito de la Ley de IA de la UE y a quién se aplica — alcance territorial, exenciones e identificación de funciones
- Clasificación de riesgo de la IA en virtud de la Ley de IA de la UE — cómo se clasifican los sistemas en los cuatro niveles una vez superado el umbral del Artículo 3
- Artículo 6: reglas de clasificación de IA de alto riesgo — las vías del Anexo III y del Anexo I hacia la condición de alto riesgo
- Modelo de IA de uso general (GPAI) — en qué se diferencian los modelos de IA de uso general de los sistemas de IA y por qué ambos pueden estar regulados de forma simultánea
- Finalidad prevista — por qué el uso para el que se introduce un sistema en el mercado determina la clasificación con arreglo al Anexo III
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →