Regulación IA · UE · 2025–2027
EU AI Act para PYMEs: Obligaciones, Categorías de Riesgo y Plazos
Qué sistemas de IA están prohibidos desde febrero 2025, categorías de alto riesgo, plazos de aplicación (2025–2027), multas de hasta €35M y guía práctica para empresas medianas.
Feb 2025
Prohibiciones absolutas en vigor
€35M
Multa máx. por IA inaceptable (o 7% facturación)
Ago 2026
Obligaciones completas alto riesgo
Fuente: Reglamento (UE) 2024/1689 · DOUE L 2024/1689 · AESIA España
Respuesta directa
El EU AI Act clasifica los sistemas de IA en 4 niveles: inaceptable (prohibidos desde feb 2025), alto riesgo (RRHH, crédito, educación — obligaciones plenas desde ago 2026), riesgo limitado (chatbots — solo transparencia) y riesgo mínimo (sin obligaciones). La mayoría de PYMEs solo necesitan añadir la frase "soy un asistente de IA" a sus chatbots. Los sistemas de RRHH con IA, scoring crediticio o vigilancia biométrica tienen obligaciones más estrictas.
Preguntas frecuentes
¿Qué es el EU AI Act y cuándo es obligatorio?
El EU AI Act (Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024) es el primer marco regulatorio integral del mundo para la inteligencia artificial. Establece obligaciones para cualquier empresa que desarrolle, ponga en el mercado o use sistemas de IA en la Unión Europea, con independencia de dónde esté establecida la empresa (principio de extraterritorialidad: también aplica a empresas de EEUU, China o cualquier país si sus sistemas de IA afectan a personas en la UE). El calendario de aplicación es escalonado: (1) 2 de febrero de 2025: prohibiciones absolutas en vigor (sistemas de IA de riesgo inaceptable). (2) 2 de agosto de 2025: obligaciones para modelos de IA de propósito general (GPAI). (3) 2 de agosto de 2026: obligaciones completas para sistemas de IA de alto riesgo. (4) 2 de agosto de 2027: obligaciones para sistemas de IA de alto riesgo usados en productos regulados (maquinaria, dispositivos médicos, vehículos). Las multas varían según la infracción: hasta €35M o el 7% de la facturación global para prohibiciones; hasta €15M o el 3% para otras obligaciones; hasta €7,5M o el 1,5% para información incorrecta al regulador.
¿Cuáles son los sistemas de IA prohibidos bajo el EU AI Act?
El AI Act (art. 5) prohíbe absolutamente desde el 2 de febrero de 2025 las siguientes prácticas de IA: (1) Sistemas de IA que explotan vulnerabilidades de personas (edad, discapacidad, situación económica) para manipular su comportamiento de forma que les cause daño. (2) Sistemas de puntuación social (social scoring) por autoridades públicas para evaluar la confiabilidad de personas basándose en su comportamiento en múltiples contextos — práctica habitual en China que queda expresamente prohibida en la UE. (3) Identificación biométrica remota en tiempo real en espacios públicos (reconocimiento facial en cámaras de CCTV), con excepciones muy limitadas para fuerzas de seguridad y con autorización judicial. (4) Sistemas de categorización biométrica que infieran raza, origen étnico, opiniones políticas, creencias religiosas u orientación sexual. (5) Técnicas de manipulación subliminal que actúen sobre el subconsciente de las personas sin que sean conscientes. (6) Sistemas de IA que exploten vulnerabilidades de grupos específicos (personas mayores, niños, personas con discapacidades psicológicas). Empresas que ya usaban sistemas similares debieron descontinuarlos o adaptarlos antes del 2 de febrero de 2025.
¿Qué son los sistemas de IA de alto riesgo y qué obligaciones generan?
Los sistemas de IA de alto riesgo son los que presentan riesgos significativos para la salud, seguridad o derechos fundamentales de las personas. El AI Act (Anexos I y III) enumera dos categorías: Productos regulados con componente IA (Anexo I): maquinaria industrial con IA, vehículos autónomos, dispositivos médicos con IA, aeronaves. Aplicaciones de alto riesgo (Anexo III): (a) Infraestructuras críticas (IA en gestión de redes eléctricas, agua, tráfico). (b) Educación (sistemas de acceso o evaluación). (c) Empleo (IA para selección de personal, decisiones sobre despidos, evaluación del rendimiento). (d) Servicios esenciales (scoring crediticio, evaluación seguros, evaluación de prestaciones sociales). (e) Aplicaciones de orden público (control de acceso, predicción de criminalidad). (f) Gestión de fronteras (identificación de riesgos). (g) Administración de justicia. Las obligaciones para sistemas de alto riesgo incluyen: Sistema de gestión de riesgos (art. 9), gobernanza de datos y datos de entrenamiento (art. 10), documentación técnica y registros (arts. 11-12), transparencia (art. 13), supervisión humana (art. 14), exactitud y robustez (art. 15), registro en la base de datos EU AI (art. 71), declaración de conformidad CE.
¿Afecta el AI Act a las empresas que solo usan IA (no la desarrollan)?
Sí. El AI Act distingue entre proveedores (empresas que desarrollan o ponen en el mercado sistemas de IA) y desplegadores (empresas que usan sistemas de IA de terceros en su actividad). Las obligaciones son distintas pero ambos tienen responsabilidades: Proveedores (developers): obligaciones completas — conformidad, documentación técnica, registro en EU AI DB, marcado CE para alto riesgo. Desplegadores (deployers): (a) Para sistemas de alto riesgo: deben asegurarse de que el sistema tiene el marcado CE y la documentación técnica, implementar supervisión humana, formación a empleados, mantener logs de operación. (b) Para todos los sistemas: obligaciones de transparencia cuando la IA interactúa con personas (deben informar que están hablando con una IA). Ejemplos prácticos para desplegadores: una empresa de RRHH que usa un ATS con IA para cribado de CVs es desplegadora de un sistema de alto riesgo — debe verificar la conformidad del proveedor y garantizar supervisión humana. Una empresa de e-commerce que usa un chatbot debe informar al usuario de que está interactuando con IA.
¿Qué son los modelos de IA de propósito general (GPAI) y qué obligaciones tienen?
Los modelos GPAI (General Purpose AI) son modelos que pueden realizar múltiples tareas distintas — los LLMs como GPT-4, Gemini, Claude o Llama entran en esta categoría. El AI Act (arts. 51-56) introduce obligaciones específicas para sus proveedores desde agosto de 2025: Para todos los modelos GPAI: (a) Documentación técnica que incluya los datos de entrenamiento, metodología, capacidades y limitaciones del modelo. (b) Política de uso aceptable. (c) Resumen de los datos de entrenamiento para cumplimiento de derechos de autor (muy relevante para el litigio en curso en EEUU y UE). Para modelos GPAI de alto impacto sistémico (aquellos entrenados con más de 10^25 FLOPs — actualmente GPT-4 y similares): (a) Evaluación de riesgos sistémicos y medidas de mitigación. (b) Pruebas de adversarial robustness. (c) Notificación de incidentes graves a la Comisión Europea. (d) Descripción del consumo de energía y hardware. Las empresas que usan APIs de modelos GPAI de terceros (OpenAI, Google, Anthropic) generalmente no tienen obligaciones como proveedores GPAI, pero deben asegurarse de que el modelo que usan cumple el AI Act si lo despliegan en aplicaciones de alto riesgo.
¿Tiene el AI Act obligaciones específicas de transparencia para usuarios?
Sí. El AI Act (art. 50) establece obligaciones de transparencia con tres niveles: (1) Chatbots e IA conversacional: cualquier sistema de IA que interactúe directamente con personas debe informar claramente de que es un sistema de IA (a menos que sea obvio por el contexto). Esto aplica a asistentes de voz, chatbots de atención al cliente, bots de RRHH. (2) Deepfakes: cualquier contenido generado o manipulado por IA (imágenes, audio, video) debe ser etiquetado como tal. Excepción: si el contenido está claramente marcado como ficción o sátira. (3) Sistemas de reconocimiento de emociones e inferencia biométrica: las personas sometidas a estos sistemas deben ser informadas. (4) Sistemas de IA que toman decisiones que afectan a personas: en sistemas de alto riesgo, las personas afectadas por una decisión automática (ej.: denegación de crédito por IA) tienen derecho a una explicación de la lógica del sistema. Esta obligación se solapa con el derecho a explicación del GDPR (art. 22) para decisiones automatizadas.
¿Qué debe hacer una PYME con un chatbot de atención al cliente para cumplir el AI Act?
Para una PYME con un chatbot de atención al cliente (la mayoría no son de alto riesgo), los requisitos son relativamente sencillos: (1) Obligación de transparencia (art. 50): el chatbot debe identificarse como IA al inicio de la conversación. Si ya lo hace ("Hola, soy el asistente virtual de X"), cumple este requisito. (2) Evaluar si es alto riesgo: un chatbot de FAQ de e-commerce, soporte técnico o reservas NO es de alto riesgo. Un chatbot que toma decisiones sobre prestaciones sociales, crédito o acceso a servicios esenciales SÍ puede serlo. (3) Datos de entrenamiento: si la PYME ha entrenado un modelo propio con datos de clientes, debe verificar el cumplimiento de GDPR en la base legal del tratamiento. (4) Proveedor del modelo: si usa ChatGPT, Gemini, Claude u otro LLM, el proveedor del modelo es responsable de la conformidad del modelo GPAI. La PYME es desplegadora y debe verificar los términos de uso del proveedor. Para la mayoría de PYMEs con chatbots básicos, el cumplimiento del AI Act requiere añadir una frase de identificación al inicio de la conversación y verificar que el proveedor del LLM es conforme.
¿Cómo debe una empresa clasificar sus sistemas de IA bajo el EU AI Act?
El proceso de clasificación bajo el AI Act sigue estos pasos: (1) Inventariar los sistemas de IA: cualquier software que use machine learning, deep learning, sistemas basados en reglas estadísticas, o técnicas de lógica difusa para generar outputs (predicciones, recomendaciones, decisiones, contenido) que afecten a personas. (2) Comprobar si está en la lista de usos prohibidos (Anexo I Art. 5): si sí, debe discontinuarse inmediatamente. (3) Comprobar si está en los Anexos I o III (alto riesgo): producto regulado con IA o aplicación en los 7 dominios de alto riesgo. Si sí, se aplican las obligaciones del Capítulo III. (4) Para sistemas de riesgo limitado: transparencia (informar al usuario que interactúa con IA). (5) Para sistemas de riesgo mínimo (filtros de spam, motores de recomendación de contenido, videojuegos): no hay obligaciones específicas del AI Act, solo las normas generales de GDPR y competencia. La Comisión Europea ha publicado guías de aplicación y herramientas de autoevaluación. Para empresas con múltiples sistemas de IA, IgeraRegtech puede automatizar el inventario y la clasificación.
¿Cuáles son las multas y el régimen sancionador del AI Act?
El AI Act (art. 99) establece tres niveles de sanciones: (1) Infracciones de las prohibiciones absolutas (art. 5 — IA inaceptable): multas de hasta €35.000.000 o el 7% del volumen de negocios mundial total del año anterior (lo que sea mayor). (2) Incumplimiento de otras obligaciones del Reglamento (sin ser prohibiciones): multas de hasta €15.000.000 o el 3% del volumen de negocios anual mundial. (3) Suministro de información incorrecta, incompleta o engañosa a las autoridades u organismos notificados: multas de hasta €7.500.000 o el 1,5% del volumen de negocios anual mundial. Para las PYMEs y startups, el reglamento (art. 99.6) prevé que los estados miembros puedan establecer límites máximos más bajos en las multas. El organismo supervisor en España será la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña, creada en anticipación al AI Act. La AESIA tiene poder de investigación, acceso a sistemas y documentación, y puede ordenar la retirada del mercado de sistemas de IA no conformes.
¿Cómo puede IgeraRegtech ayudar con el cumplimiento del EU AI Act?
IgeraRegtech tiene indexado el texto completo del Reglamento (UE) 2024/1689, los Anexos I-XIII, las guías de la Comisión Europea y los documentos de la AESIA española. Esto permite: (1) Inventario y clasificación de sistemas de IA: el equipo responde preguntas como "¿nuestro ATS de selección de personal es un sistema de alto riesgo?" y obtiene la respuesta con cita del Anexo III y criterios de aplicación. (2) Checklist de cumplimiento por sistema: para cada sistema de IA de alto riesgo, el sistema genera la lista de obligaciones específicas (documentación técnica, supervisión humana, registro en EU AI DB). (3) Plantilla de documentación técnica (art. 11): el AI Act exige documentación técnica detallada; IgeraRegtech genera la plantilla. (4) Alertas de cambios: cuando la Comisión actualiza los Anexos (añade o elimina categorías de alto riesgo), el sistema genera alerta. (5) Seguimiento del timeline: el sistema muestra qué obligaciones ya están vigentes y cuáles entran en vigor en agosto de 2026 y 2027, con cuenta regresiva para el equipo.
Las 4 categorías de riesgo del AI Act
Prohibido. Social scoring, reconocimiento facial en tiempo real en espacios públicos, manipulación subliminal. Vigente desde febrero 2025.
Permitido con obligaciones estrictas. RRHH, crédito, educación, infraestructuras críticas. Obligaciones completas desde agosto 2026.
Solo transparencia obligatoria. Chatbots, deepfakes, reconocimiento de emociones. Informar que es IA.
Sin obligaciones específicas. Filtros de spam, videojuegos, recomendaciones de contenido.
Clasifica tus sistemas de IA con IgeraRegtech
Inventario automático, clasificación de riesgo, documentación técnica y alertas de cambios normativos. Desde €299/mes.
Ver IgeraRegtech →