Todo lo que debes saber del Reglamento de Inteligencia Artificial (AI Act)

by | Jul 17, 2025 | Noticias

[Artículo redactado por LetsLaw, socios del Cluster de IA de la Comunidad de Madrid]

La Inteligencia Artificial ha dejado de ser una materia exclusiva de ingenieros, programadores y visionarios tecnológicos. Hoy, la regulación algorítmica entra de lleno en la agenda jurídica europea con el Reglamento Reglamento (UE) 2024/1689, de 13 de junio de 2024, conocido como AI Act, que inaugura una nueva era de la gobernanza del dato, la automatización y la ética. 

Más que un ajuste técnico, el AI Act representa un cambio estructural en el modelo de control algorítmico, estableciendo obligaciones activas de cumplimiento, redefiniendo el perímetro del riesgo y consolidando la trazabilidad como garantía jurídica. Por ello, en este artículo vamos a abordar de forma sintética, pero rigurosa, los aspectos esenciales del nuevo reglamento.  

¿Por qué regular la IA? 

El objetivo del reglamento no es asustar ni frenar la innovación con trabas burocrácticas. El reto es más fino: proteger derechos fundamentales sin ahogar el desarrollo tecnológico, y para logarlo, el AI Act adopta un enfoque de proporcionalidad, regulando esta tecnología en función de su capacidad para generar efectos adversos para la sociedad.  

El corazón del reglamento es su clasificación de riesgos, determinando así el grado de intervención normativa aplicable a cada tipo:  

Categoría 

Ejemplo 

Régimen jurídico 

Riesgo inaceptable 

Reconocimiento facial masivo, manipulación subliminal, puntuación social. 

Prohibición total 

Alto riesgo 

IA en justicia, sanidad, transporte, educación, selección laboral. 

Obligaciones técnicas, jurídicas y de conformidad 

Riesgo limitado 

Chatbots, sistemas de recomendación, deepfakes. 

Requisitos de transparencia frente al usuario. 

Riesgo mínimo 

Filtros antispam, asistentes virtuales. 

Sin obligaciones específicas. 

  

Sujetos responsables y exigencias clave 

El Reglamento establece un catálogo de obligaciones destinadas a diversos operadores, dependiendo de su rol dentro del ciclo de vida del sistema: proveedores, responsables del despliegue de los sistemas, importadores, distribuidores, fabricantes, representantes autorizados de los proveedores que no son de la UE y los usuarios. 

Para los sistemas de alto riesgo, destacan las siguientes obligaciones:  

  • Sistema de gestión de riesgos: Establecer, implantar, documentar y mantener un sistema de gestión de riesgos, que se tendrá que revisar y actualizar de forma periódica.  
  • Gobernanza de datos: Los conjuntos de datos de entrenamiento deben ser pertinentes, representativos y auditables.  
  • Documentación técnica: Se deberá de elaborar antes de su introducción en el mercado europea y se mantendrá actualizada. 
  • Conservación de registros: Los sistemas de IA de alto riesgo deben permitir técnicamente el registro automático de acontecimientos.  
  • Transparencia: Estos sistemas de IA deben diseñarse para garantizar un nivel de transparencia suficiente para poder interpretar sus resultados de salida. 
  • Supervisión humana: Los sistemas de alto riesgo deberán desarrollarse de forma que puedan ser vigilados de manera eficaz y efectiva por personas físicas.  
  • Ciberseguridad, precisión y validez: Estos sistemas deben contar con un nivel adecuado de ciberseguridad, precisión y validez. 

Además, a partir de este mes (julio 2025), ya entran en vigor las obligaciones específicas para los modelos fundacionales o de propósito general (GPAI). Estos modelos deberán:  

  • Publicar documentación técnica y resúmenes detallados de los datos utilizados para el entrenamiento.  
  • Justificar la legalidad del uso de materiales protegidos por derechos de autor. 
  • Establecer sistemas de mitigación de riesgos sistémicos 
  • Incorporar garantías de ciberseguridad y resiliencia técnica, para evitar usos maliciosos o resultados no previstos.  

Estos requisitos se intensifican cuando el modelo alcanza una escala y un nivel de penetración suficiente para ser considerado GPAI de alto impacto. En tal caso, se podrán exigir también auditorías externas, acceso a la documentación interna y medidas reforzadas de transparencia.  

Consecuencias jurídicas 

El AI Act ya no es una previsión futura, sino una realidad jurídica con efectos inmediatos, especialmente para modelos fundacionales y sistemas prohibidos. Esto obliga a requilibrar estrategias operativas, contractuales y de producto.  

Además, la aplicación del Reglamento no se deja al azar, sino que establece un sistema multinivel de supervisión y garantía del cumplimiento, que se despliega en tres planos:  

  • A nivel nacional, cada Estado miembro debe designar una autoridad competente en materia de IA, con facultades sancionadoras y de inspección. 
  • A nivel europeo, se ha creado el Comité Europeo de Inteligencia Artificial, que actúa como órgano técnico y coordinador. 
  • En las propias organizaciones, se impone un deber reforzado de diligencia proactiva, debiendo implementar mecanismos internos de control. 

En cuanto al régimen sancionador, se imponen multas administrativas de elevada cuantía:  

  • Hasta 35 millones de euros o el 7% del volumen de negocio mundial por uso de IA prohibida.  
  • Hasta 15 millones de euros o el 3% por incumplimiento en sistemas de alto riesgo.  
  • Hasta 7,5 millones de euros o el 1% por infracciones menores o falta de cooperación.  

Gobernanza algorítmica en clave europea 

Este Reglamento marca el inicio de una era de trazabilidad, normativa y ética, con implicaciones directas para la ciudadanía europea. No puede leerse como una ley técnica más, sino como una norma con vocación estructural, que traslada al plano jurídico el debate sobre el modelo de sociedad digital que la Unión Europea quiera consolidar.  

Impone límites, pero también abre espacios, facilitando la creación de sandboxes regulatorios, impulsando la interoperabilidad y promoviendo la confianza tecnológica como activo estratégico europeo. 

El reto no reside únicamente en cumplir formalmente el Reglamento, sino en interiorizar sus exigencias desde las primeras fases de desarrollo hasta su implementación. 

 

Para profundizar en estos aspectos, desde el Cluster IA Comunidad de Madrid, hemos realizado un webinar con la jurista Lorena Romero, fundadora de IA Transformers, donde se analiza en detalle el impacto del AI Act sobre empresas, startups y administraciones públicas.  

Puedes ver el webinar completo a continuación y en nuestro canal de YouTube.