Ley de IA de la UE: resumen completo

La Ley de IA de la UE entró en vigor el 1 de agosto de 2024. Es el primer marco legal integral para la inteligencia artificial en el mundo. Si tu empresa desarrolla, despliega o utiliza sistemas de IA que afectan a ciudadanos de la UE, esta regulación te aplica independientemente de dónde esté tu sede.

Este resumen cubre qué regula la ley, a quién afecta, cómo funciona el sistema basado en riesgos y los plazos que necesitas controlar.

Qué regula la Ley de IA de la UE

La regulación se dirige a sistemas de IA introducidos en el mercado de la UE o cuyo resultado afecte a personas dentro de la UE. Define un sistema de IA de forma amplia: cualquier sistema basado en máquinas que genere predicciones, contenido, decisiones o recomendaciones capaces de influir en entornos físicos o virtuales.

La ley no regula la investigación en IA sin aplicación comercial, los sistemas de IA puramente militares ni la IA utilizada exclusivamente para fines personales no profesionales. Todo lo demás entra en el ámbito de aplicación.

A quién afecta

Tres categorías de organizaciones entran bajo la regulación:

• Proveedores — empresas que desarrollan o introducen sistemas de IA en el mercado.
• Implementadores — organizaciones que utilizan sistemas de IA en un contexto profesional.
• Importadores y distribuidores — entidades que introducen IA de terceros en el mercado de la UE.

Una empresa estadounidense de SaaS que vende un chatbot de IA a clientes europeos es un proveedor bajo esta ley. Un banco español que usa ese chatbot para evaluaciones de préstamos es un implementador. Ambos tienen obligaciones de cumplimiento, aunque el proveedor asume la carga más pesada.

El sistema de clasificación por riesgos

La ley organiza los sistemas de IA en cuatro niveles de riesgo. Cada nivel conlleva obligaciones diferentes. Lee nuestra guía detallada de clasificación de riesgos para un desglose completo.

• Riesgo inaceptable — prohibido directamente. Puntuación social por gobiernos, vigilancia biométrica en tiempo real en espacios públicos (con excepciones limitadas), IA manipuladora dirigida a grupos vulnerables.
• Riesgo alto — permitido pero muy regulado. Incluye IA en contratación, evaluación crediticia, evaluación educativa, aplicación de la ley e infraestructura crítica. Consulta nuestra guía de sistemas de IA de alto riesgo.
• Riesgo limitado — solo obligaciones de transparencia. Los chatbots deben revelar que son IA. Los deepfakes deben etiquetarse. Los sistemas de reconocimiento emocional necesitan notificar al usuario.
• Riesgo mínimo — sin obligaciones específicas. Filtros de spam, IA en videojuegos, sistemas de gestión de inventario.

Requisitos clave de cumplimiento

Para sistemas de alto riesgo, los requisitos son considerables:

• Un sistema de gestión de riesgos que cubra todo el ciclo de vida de la IA
• Estándares de gobernanza de datos para conjuntos de entrenamiento y validación
• Documentación técnica suficiente para la evaluación de conformidad
• Capacidades de registro que permitan la trazabilidad de las decisiones del sistema
• Transparencia hacia los implementadores sobre capacidades y limitaciones
• Mecanismos de supervisión humana proporcionales al nivel de riesgo
• Estándares de precisión, robustez y ciberseguridad

Nuestro checklist de cumplimiento desglosa estos requisitos en pasos concretos.

Aplicación y sanciones

Las multas escalan según la gravedad de la infracción. El máximo es 35 millones de euros o el 7% de la facturación anual global, lo que sea mayor. Ese techo se aplica al despliegue de sistemas de IA prohibidos. Las infracciones de cumplimiento de alto riesgo se limitan a 15 millones o el 3%. Proporcionar información incorrecta a las autoridades: 7,5 millones o el 1%.

Cada Estado miembro designa autoridades nacionales competentes para la aplicación. A nivel de la UE, la Oficina Europea de IA coordina la implementación y tiene poder de aplicación directa sobre modelos de IA de propósito general. Para la estructura completa de sanciones, consulta nuestra guía de sanciones y aplicación.

Cronograma: qué pasa y cuándo

La ley utiliza una implementación por fases:

• 2 de febrero de 2025 — entran en vigor las prohibiciones sobre IA de riesgo inaceptable.
• 2 de agosto de 2025 — se aplican las reglas para modelos de IA de propósito general. Las estructuras de gobernanza deben estar operativas.
• 2 de agosto de 2026 — entra en vigor el grueso de las obligaciones, incluyendo todos los requisitos de alto riesgo para sistemas del Anexo III.
• 2 de agosto de 2027 — se aplican las reglas para IA de alto riesgo integrada en productos regulados por legislación existente de la UE (Anexo I).

Controla cada fecha límite en nuestro cronograma de la Ley de IA.

Cómo interactúa con el RGPD

La Ley de IA no reemplaza al RGPD. Se superpone. Si tu sistema de IA procesa datos personales, cumples con ambas. Los requisitos de gobernanza de datos en la Ley de IA hacen referencia explícita a los principios del RGPD. Nuestra comparación Ley de IA vs RGPD mapea dónde se solapan y dónde divergen ambas regulaciones.

Qué hacer ahora

Empieza con un inventario de cada sistema de IA que tu organización usa o desarrolla. Clasifica cada uno por nivel de riesgo. Para cualquier cosa en la categoría de alto riesgo, empieza a documentar tu enfoque de gestión de riesgos, prácticas de datos y mecanismos de supervisión humana.

Si operas IA de atención al cliente, la mayoría de los chatbots caen bajo riesgo limitado con obligaciones de transparencia, pero algunos pueden calificar como alto riesgo según las decisiones que influyan.

Las empresas que traten esto como un ejercicio de marcar casillas lo pasarán mal. Las que integren el cumplimiento en su proceso de desarrollo ahora tendrán una ventaja estructural cuando la aplicación comience en agosto de 2026.

Para una visión más amplia sobre la construcción de prácticas responsables de IA, consulta nuestra guía de marco de gobernanza de IA y el hub de señal de gobernanza de IA.