Regulación de la Inteligencia Artificial en Europa: lo que las empresas deben saber

Cómo el nuevo marco legal europeo transformará el uso de la IA? 

La inteligencia artificial (IA) está transformando sectores enteros a una velocidad vertiginosa. No pasa un día sin que veamos cómo la IA impacta en la forma en que interactuamos con la tecnología, desde las recomendaciones personalizadas en plataformas online hasta aplicaciones en áreas tan sensibles como la salud, la contratación o la seguridad.  

 Sin embargo, esta expansión tecnológica viene acompañada de importantes retos legales. Y es ahí donde la Unión Europea (UE) ha dado un paso decisivo con la aprobación de una nueva normativa que no solo regula esta tecnología, sino que también promueve su desarrollo responsable. 

 El Reglamento de IA (UE 2024/1689), publicado el 13 de junio de 2024 en el Diario Oficial de la Unión Europea, establece un marco normativo armonizado en todos los Estados miembros, incluido España. Esta es la primera ley general a nivel mundial que regula el uso de la IA, y su impacto se sentirá en los próximos años, tanto a nivel económico como social. 

A diferencia de otros enfoques internacionales, como el estadounidense, esta normativa europea combina medidas de control con iniciativas destinadas a fomentar la innovación tecnológica. Un ejemplo claro es la creación de sandboxes o entornos de prueba controlados, así como incentivos específicos para que las pequeñas y medianas empresas (PYMEs) puedan desarrollar sistemas de IA de manera sostenible y alineada con los valores de la UE. 

 ¿Qué debes saber como empresa? 

1. Fases de implementación y Entrada en Vigor 

 Aunque la publicación en el Diario Oficial de la UE marca un hito importante, la regulación no será plenamente aplicable hasta el 2 de agosto de 2026, cuando entrarán en vigor la mayoría de las obligaciones. No obstante, algunas disposiciones específicas se adelantan en el calendario: 

• Febrero de 2025: Entra en vigor la prohibición de prácticas de IA que violan derechos fundamentales. 

• Agosto de 2025: Se aplican las primeras normativas para sistemas de IA generales que presenten riesgos sistémicos, así como el inicio de un sistema de gobernanza en la UE y el marco sancionador inicial. 

• Agosto de 2027: Se activa la regulación para los sistemas de IA de alto riesgo en sectores específicos, como productos de seguridad, juguetes o dispositivos médicos, que requerirán una evaluación rigurosa antes de su comercialización. 

2. Ámbito de Aplicación y Exclusiones 

 El reglamento cubre un espectro amplio de tecnologías basadas en IA, aunque establece excepciones notables. Quedan fuera del ámbito de aplicación los sistemas diseñados para fines militares o de seguridad nacional, así como aquellos creados exclusivamente para la investigación científica. Asimismo, las pruebas realizadas en condiciones de laboratorio no estarán sujetas a las mismas restricciones que los productos listos para su comercialización. 

 Para las empresas y desarrolladores de IA, es esencial conocer estas exclusiones para poder determinar cuándo y cómo aplicar las normativas del Reglamento de IA. 

 Si un sistema de IA se desarrolla únicamente con fines de investigación interna o pruebas en entornos controlados, no será necesario cumplir con los requisitos estrictos hasta que el producto esté listo para su comercialización. 

• Los sistemas que se destinan a usos militares o de seguridad nacional estarán completamente fuera del alcance del reglamento, lo que permite a los desarrolladores de este sector operar bajo sus propios marcos de regulación. 

 No obstante, cualquier empresa que decida comercializar o poner en servicio un sistema de IA deberá asegurar que cumple con el reglamento europeo, incluyendo los requisitos de transparencia, auditoría, y evaluación de riesgos, una vez que el sistema esté listo para el mercado o uso práctico. 

3. Clasificación de Sistemas de IA según el Riesgo 

La UE ha decidido adoptar un enfoque muy particular para la regulación de la IA: clasificar los sistemas de IA en función del riesgo que presentan. Y aquí está la clave. No todas las aplicaciones de IA son iguales, y lo que se busca con esta regulación es asegurar que los sistemas más invasivos o que puedan tener un mayor impacto en derechos fundamentales estén más controlados. 

El reglamento propone cuatro niveles de riesgo: 

• Riesgo inaceptable: IA que será completamente prohibida, como sistemas de vigilancia masiva o manipulación cognitiva. Ejemplos: IA para la puntuación social o el reconocimiento de emociones en entornos laborales o educativos, salvo en casos excepcionales como la seguridad o la medicina. 

• Riesgo alto: Se aplicará una regulación estricta a aplicaciones que afectan, por ejemplo, la salud, la educación o los procesos de selección de personal. Abarca sistemas que afectan a sectores clave, como productos que requieren evaluaciones de conformidad antes de su comercialización (juguetes, ascensores, dispositivos médicos) y sistemas utilizados por administraciones públicas o en sectores como seguros o empleo. Estos sistemas están sujetos a estrictas obligaciones de transparencia y seguridad, incluida una evaluación de conformidad para garantizar su fiabilidad. 

• Riesgo limitado: Estos sistemas deberán cumplir con ciertos requisitos de transparencia, pero su supervisión será menos rigurosa. 

• Riesgo mínimo: Aplicaciones cotidianas que no presentan prácticamente riesgos y que, por tanto, estarán exentas de obligaciones importantes. Hay que decir que la mayoría de los sistemas de IA caen en esta categoría y pueden ser desarrollados y utilizados bajo un marco menos riguroso, aunque deberán cumplir con requisitos básicos de transparencia e información, especialmente si hay un riesgo de manipulación o confusión del usuario. 

Este enfoque proporciona a las empresas un mapa claro de qué tipo de regulación enfrentan en función del tipo de IA que utilicen. En España, esto supone un reto y una oportunidad, ya que las empresas tecnológicas y las que utilicen IA deberán ajustar sus procesos, pero a la vez contarán con un marco claro en el que operar. 

4. Impacto del reglamento en las empresas en España 

Para las empresas españolas, el impacto de esta regulación será tangible y no se podrá obviar. Aquellas que desarrollan IA o integran esta tecnología en sus procesos deberán prestar especial atención a los requisitos de cumplimiento.  

¿Qué implica esto en la práctica? 

• Evaluaciones de conformidad: Las empresas que desarrollen o utilicen IA de alto riesgo tendrán que realizar evaluaciones exhaustivas de los sistemas antes de lanzarlos al mercado. Esto incluirá auditorías independientes para asegurarse de que el sistema es seguro, ético y respetuoso con los derechos fundamentales. 

• Documentación y registro: Las organizaciones tendrán la obligación de documentar cómo funcionan sus sistemas de IA, qué datos utilizan y qué decisiones toman. Además, deberán garantizar que sus sistemas no sean discriminatorios o que sus decisiones no resulten en perjuicios para los usuarios. 

• Requisitos de transparencia: En ciertos casos, las empresas deberán informar claramente a los usuarios de que están interactuando con una IA. Esto parece sencillo, pero muchas aplicaciones actuales no lo hacen de forma explícita, lo que puede generar problemas de confianza entre los consumidores. 

5. Órgano Supervisor y Régimen Sancionador 

Para asegurar el cumplimiento de esta normativa, los Estados miembros deberán designar autoridades competentes que supervisen la aplicación de las disposiciones.  

En España, se ha creado la Agencia Española de Supervisión de Inteligencia Artificial, que será la entidad encargada de la inspección y sanción en caso de infracciones. 

A nivel europeo, la Oficina Europea de Inteligencia Artificial, creada por la Decisión de la Comisión de 24 de enero de 2024 (DOUE-Z-2024-70007), será el organismo de control al que corresponderán importantes funciones, especialmente en la supervisión de los modelos de IA de uso general. 

El incumplimiento de las obligaciones del reglamento puede conllevar sanciones muy elevadas. De hecho, las multas por incumplimiento del AI Act pueden llegar hasta los 35 millones de euros o el 7% del volumen de negocios annual total a escala MUNDIAL durante el ejercicio financiero anterior, si este importe fuera superior. Una cifra superior a las previstas en el RGPD. 

6. IA y protección de datos: una relación compleja 

Si hablamos de IA, no podemos dejar de mencionar el RGPD. La mayoría de los sistemas de IA funcionan a partir de grandes volúmenes de datos, muchos de ellos datos personales. Aquí es donde las empresas deben ser especialmente cautelosas, porque deberán cumplir no solo con las nuevas normas del AI Act, sino también con las exigencias de protección de datos establecidas por el RGPD.  

La AEPD (Agencia Española de Protección de Datos) ya ha alertado sobre los riesgos que entraña la IA en relación con la privacidad, especialmente cuando hablamos de decisiones automatizadas que pueden afectar a los derechos de las personas.  

Las empresas deberán asegurarse de que sus algoritmos cumplen con los principios de transparencia, minimización de datos y, sobre todo, con el derecho de los usuarios a no ser sometidos a decisiones automatizadas que les afecten de manera significativa sin intervención humana. 

CONCLUSION:

En un panorama legal que se vuelve cada vez más complejo, contar con un asesoramiento legal especializado será crucial para las empresas que quieran evitar sanciones y, al mismo tiempo, aprovechar todo el potencial que ofrece la IA. Esto es especialmente relevante para startups y PYMEs, que a menudo pueden no tener la estructura interna necesaria para gestionar estos riesgos. 

En Eleva Legal, ayudamos a las empresas a cumplir con este entorno normativo y tecnológico, proporcionándoles las herramientas jurídicas que necesitan para cumplir con el AI Act y el RGPD, al tiempo que les ayudamos a implementar buenas prácticas de IA que fomenten la innovación de manera segura y legal.