El EU AI Act Ya Está Aquí: Qué Significa para Tu Empresa
El reglamento europeo de inteligencia artificial ya está en vigor. Compartimos lo que hemos aprendido ayudando a empresas a entender qué les aplica y qué no.
Cuando empezamos a recibir preguntas de clientes sobre el EU AI Act, nos dimos cuenta de algo curioso: había mucha preocupación, pero también mucha confusión. Algunos pensaban que cualquier uso de IA iba a requerir certificaciones costosas. Otros ni siquiera sabían que existía una normativa nueva.
La realidad, como suele pasar, está en un punto intermedio. Después de estudiar el reglamento y ayudar a varias empresas a entender qué les aplica, queremos compartir lo que hemos aprendido.
Primero, un poco de contexto
El Reglamento (UE) 2024/1689, conocido como AI Act, entró en vigor en agosto de 2024. Pero no todo el reglamento se aplica de golpe. La Comisión Europea diseñó un calendario de implementación progresivo.
Las primeras obligaciones entraron en vigor en febrero de 2025, concretamente las prohibiciones de ciertas prácticas de IA consideradas inaceptables. En agosto de 2025 comenzaron las obligaciones relacionadas con modelos de IA de propósito general (los grandes modelos de lenguaje, por ejemplo). Y las obligaciones para sistemas de alto riesgo entrarán en vigor en agosto de 2026.
Este calendario escalonado tiene sentido. Da tiempo a las empresas para adaptarse, pero también significa que no hay excusa para ignorar el tema.
La pregunta que todos se hacen: ¿me aplica esto?
Aquí es donde hemos visto más confusión. La respuesta depende de qué tipo de IA uses y para qué.
La mayoría de usos empresariales de IA caen en categorías de riesgo mínimo o limitado. Si usas un chatbot para atención al cliente, un filtro de spam, o un sistema de recomendación de productos, las obligaciones son relativamente ligeras. Básicamente, transparencia: si alguien interactúa con una IA, debe saberlo.
Donde las cosas se complican es cuando la IA toma o influye en decisiones que afectan significativamente a las personas. El reglamento define varias áreas de “alto riesgo”: selección de personal, evaluación crediticia, acceso a servicios públicos esenciales, sistemas de vigilancia, aplicación de la ley…
Si tu IA entra en alguna de estas categorías, las obligaciones son mucho más exigentes. Hablamos de documentación técnica detallada, sistemas de gestión de calidad, supervisión humana efectiva, y en algunos casos auditorías de terceros.
Lo que hemos observado en la práctica
En nuestra experiencia, muchas empresas descubren que sus sistemas de IA son menos problemáticos de lo que temían. Ese algoritmo de recomendación de productos que parecía complejo resulta ser riesgo mínimo. Ese chatbot de atención al cliente solo necesita un aviso claro de que es una IA.
Pero también hemos visto casos donde la clasificación no estaba tan clara. Un sistema de priorización de tickets de soporte que nadie había pensado como “IA de recursos humanos”… pero que en la práctica estaba influenciando qué técnicos recibían qué tareas. O un modelo de predicción de demanda que se usaba para decidir horarios de trabajadores.
Estos casos grises son los que requieren más reflexión. Y es donde merece la pena pararse a pensar antes de asumir que todo está bien o que todo es un problema.
La evaluación de impacto en derechos fundamentales
Una de las novedades del AI Act es la FRIA (Fundamental Rights Impact Assessment), una evaluación de impacto en derechos fundamentales. Es diferente de la DPIA del GDPR, que se centra en protección de datos. La FRIA es más amplia: mira impactos en igualdad, no discriminación, acceso a servicios…
No todas las empresas tienen que hacer una FRIA. Es obligatoria principalmente para entidades públicas y para empresas privadas que prestan ciertos servicios públicos (educación, sanidad, servicios sociales…). También aplica a empresas que usen IA de alto riesgo para evaluación crediticia o cálculo de primas de seguros.
Lo interesante de la FRIA es que, aunque no te sea obligatoria, puede ser una herramienta útil. Preguntarte “¿cómo podría afectar este sistema a los derechos de las personas?” antes de desplegarlo es simplemente buena práctica.
Sobre las multas
Se ha hablado mucho de las multas del AI Act, y los números asustan: hasta 35 millones de euros o el 7% de la facturación global. Pero es importante entender que ese es el techo máximo, reservado para las infracciones más graves: usar prácticas de IA prohibidas.
El régimen sancionador tiene varios niveles. Para incumplimientos de requisitos de alto riesgo, las multas máximas son de 15 millones o el 3% de facturación. Para información incorrecta a las autoridades, 7,5 millones o el 1%.
Además, para pymes y startups hay un tratamiento más favorable: en lugar de aplicar el mayor de los dos valores (porcentaje o cantidad fija), se aplica el menor.
Dicho esto, las multas no deberían ser la principal motivación para cumplir. El daño reputacional de un escándalo relacionado con IA discriminatoria o invasiva puede ser mucho peor que cualquier multa.
Lo que todavía no está claro
Siendo honestos, hay aspectos del AI Act que todavía están por definir. Los estándares técnicos que servirán como referencia para el cumplimiento aún están en desarrollo. La interpretación de algunos conceptos (“supervisión humana efectiva”, por ejemplo) dependerá de la práctica y posiblemente de casos judiciales.
Esto puede resultar frustrante para quien busca certeza absoluta. Pero también significa que las empresas que empiecen a trabajar en estos temas ahora tendrán ventaja cuando los detalles se aclaren.
Nuestra recomendación
Si tuviéramos que resumir lo que hemos aprendido en un par de ideas:
Lo primero es hacer un inventario real de los sistemas de IA que usas. No solo los que el departamento de tecnología llama “IA”, sino cualquier sistema que tome o influya en decisiones de forma automatizada. Muchas veces hay más de lo que parece.
Lo segundo es no asumir ni el peor ni el mejor escenario. Clasificar cada sistema según el marco de riesgo del AI Act requiere un análisis honesto del uso real, no del uso teórico que aparece en la documentación.
Y lo tercero es empezar ya. Aunque las obligaciones de alto riesgo no entren en vigor hasta agosto de 2026, adaptar sistemas y procesos lleva tiempo. Las empresas que esperen hasta el último momento se encontrarán con prisas y posiblemente con costes más altos.
Una reflexión final
El AI Act ha generado mucho ruido, y parte de ese ruido ha sido alarmismo. Pero debajo del ruido hay algo razonable: la idea de que si la IA va a tomar decisiones que afectan a las personas, debería haber cierta supervisión y transparencia.
Para la mayoría de empresas, cumplir con el AI Act no va a ser especialmente complicado. Para algunas, requerirá cambios significativos. Y para unas pocas, puede que signifique replantearse si ciertos usos de IA son realmente apropiados.
En cualquier caso, es mejor saberlo ahora que descubrirlo cuando llegue una inspección.
¿Tienes dudas sobre cómo afecta el AI Act a tu empresa? En AIXA AI hemos estado siguiendo la normativa desde su tramitación y podemos ayudarte a entender qué te aplica. Escríbenos y lo comentamos.
Fuentes:
¿Te ha gustado este artículo?
Recibe más contenido como este directamente en tu correo. Guías prácticas y las últimas innovaciones en IA empresarial.
Sin spam
Datos protegidos