Ley de IA

Un enfoque basado en el riesgo

La Ley de IA define cuatro niveles de riesgo para los sistemas de IA:

Riesgo inaceptable

Todos los sistemas de IA considerados una clara amenaza para la seguridad, los medios de subsistencia y los derechos de las personas están prohibidos. La Ley de IA prohíbe ocho prácticas, a saber:

1. manipulación y engaño perjudiciales basados en la IA
2. explotación nociva de vulnerabilidades basada en la IA
3. Puntuación social
4. Evaluación o predicción del riesgo de infracción penal individual
5. raspado no selectivo de Internet o material de CCTV para crear o ampliar bases de datos de reconocimiento facial
6. Reconocimiento de emociones en lugares de trabajo e instituciones educativas
7. categorización biométrica para deducir determinadas características protegidas
8. Identificación biométrica remota en tiempo real con fines policiales en espacios de acceso público

Las prohibiciones entraron en vigor en febrero de 2025. La Comisión publicó dos documentos clave para apoyar la aplicación práctica de las prácticas prohibidas:

• Las directrices sobre prácticas de IA prohibidas en virtud de la Ley de IA, que ofrecen explicaciones jurídicas y ejemplos prácticos para ayudar a las partes interesadas a comprender y cumplir las prohibiciones.
• Directrices sobre la definición de sistema de IA de la Ley de IA, para ayudar a las partes interesadas a determinar el ámbito de aplicación de la Ley de IA

Alto riesgo

Los casos de uso de IA que pueden plantear riesgos graves para la salud, la seguridad o los derechos fundamentales se clasifican como de alto riesgo. Estos casos de uso de alto riesgo incluyen:

• Componentes de seguridad de la IA en infraestructuras críticas (por ejemplo, transporte), cuyo fallo podría poner en peligro la vida y la salud de los ciudadanos
• Soluciones de IA utilizadas en instituciones educativas, que pueden determinar el acceso a la educación y el curso de la vida profesional de una persona (por ejemplo, puntuación de los exámenes)
• Componentes de seguridad de productos basados en IA (por ejemplo, aplicación de IA en cirugía asistida por robot)
• Herramientas de IA para el empleo, la gestión de los trabajadores y el acceso al trabajo por cuenta propia (por ejemplo, programas informáticos de clasificación de CV para la contratación)
• Determinados casos de uso de IA utilizados para dar acceso a servicios públicos y privados esenciales (por ejemplo, puntuación crediticia que niega a los ciudadanos la oportunidad de obtener un préstamo)
• Sistemas de IA utilizados para la identificación biométrica remota, el reconocimiento de emociones y la categorización biométrica (por ejemplo, sistema de IA para identificar retroactivamente a un ladrón)
• Casos de uso de la IA en las fuerzas y cuerpos de seguridad que pueden interferir con los derechos fundamentales de las personas (por ejemplo, evaluación de la fiabilidad de las pruebas)
• Casos de uso de la IA en la gestión de la migración, el asilo y el control fronterizo (por ejemplo, examen automatizado de las solicitudes de visado)
• Soluciones de IA utilizadas en la administración de justicia y los procesos democráticos (por ejemplo, soluciones de IA para preparar resoluciones judiciales)

Los sistemas de IA de alto riesgo están sujetos a obligaciones estrictas antes de que puedan comercializarse:

• sistemas adecuados de evaluación y mitigación de riesgos
• alta calidad de los conjuntos de datos que alimentan el sistema para minimizar los riesgos de resultados discriminatorios
• registro de la actividad para garantizar la trazabilidad de los resultados
• documentación detallada que proporcione toda la información necesaria sobre el sistema y su finalidad para que las autoridades evalúen su cumplimiento
• información clara y adecuada al implementador
• medidas adecuadas de supervisión humana
• alto nivel de robustez, ciberseguridad y precisión

Riesgo de transparencia

Esto se refiere a los riesgos asociados a la necesidad de transparencia en torno al uso de la IA. La Ley de IA introduce obligaciones específicas de divulgación para garantizar que los seres humanos estén informados cuando sea necesario para preservar la confianza. Por ejemplo, cuando se utilizan sistemas de IA como los chatbots, los humanos deben ser conscientes de que están interactuando con una máquina para que puedan tomar una decisión informada.

Además, los proveedores de IA generativa deben garantizar que los contenidos generados por IA sean identificables. Además, determinados contenidos generados por la IA deben etiquetarse de manera clara y visible, a saber, las falsificaciones profundas y el texto publicado con el fin de informar al público sobre asuntos de interés público.

Las normas de transparencia de la Ley de IA entrarán en vigor en agosto de 2026.

Riesgo mínimo o nulo

La Ley de IA no introduce normas para la IA que se consideren de riesgo mínimo o nulo. La gran mayoría de los sistemas de IA utilizados actualmente en la UE entran en esta categoría. Esto incluye aplicaciones como videojuegos habilitados para IA o filtros de spam.

¿Cómo funciona todo en la práctica para los proveedores de sistemas de IA de alto riesgo?

Una vez que un sistema de IA está en el mercado, las autoridades se encargan de la vigilancia del mercado, los responsables del despliegue garantizan la supervisión y el seguimiento humanos, y los proveedores disponen de un sistema de seguimiento posterior a la comercialización. Los proveedores y los responsables del despliegue también notificarán incidentes graves y fallos de funcionamiento.

¿Cuáles son las reglas para los modelos de IA de propósito general?

Los modelos de IA de uso general (GPAI) pueden realizar una amplia gama de tareas y se están convirtiendo en la base de muchos sistemas de IA en la UE. Algunos de estos modelos podrían conllevar riesgos sistémicos si son muy capaces o ampliamente utilizados. Para garantizar una IA segura y fiable, la Ley de IA establece normas para los proveedores de dichos modelos. Esto incluye la transparencia y las normas relacionadas con los derechos de autor. Para los modelos que pueden conllevar riesgos sistémicos, los proveedores deben evaluar y mitigar estos riesgos. Las normas de la Ley de IA sobre la IAGP entraron en vigor en agosto de 2025.

Apoyo al cumplimiento

En julio de 2025, la Comisión publicó tres instrumentos clave para apoyar el desarrollo y el despliegue responsables de los modelos de IAGP:

• Las Directrices sobre el alcance de las obligaciones de los proveedores de modelos de IAGP aclaran el alcance de las obligaciones de IAGP en virtud de la Ley de IA, ayudando a los agentes a lo largo de la cadena de valor de la IA a comprender quién debe cumplir estas obligaciones.
• El Código de buenas prácticas GPAI es una herramienta voluntaria de cumplimiento presentada a la Comisión por expertos independientes, que ofrece orientaciones prácticas para ayudar a los proveedores a cumplir sus obligaciones en virtud de la Ley de IA en relación con la transparencia, los derechos de autor y la seguridad y protección.
• La plantilla para el resumen público del contenido de capacitación de los modelos GPAI requiere que los proveedores brinden una visión general de los datos utilizados para entrenar sus modelos. Esto incluye las fuentes de las que se obtuvieron los datos (que incluyen grandes conjuntos de datos y nombres de dominio principales). La plantilla también solicita información sobre los aspectos del tratamiento de datos para permitir a las partes con intereses legítimos ejercer sus derechos en virtud del Derecho de la UE.

Estas herramientas están diseñadas para trabajar mano a mano. Juntos, proporcionan un marco claro y procesable para que los proveedores de modelos de IAGP cumplan la Ley de IA, reduciendo la carga administrativa y fomentando la innovación, salvaguardando al mismo tiempo los derechos fundamentales y la confianza pública.

La Comisión también está desarrollando otras herramientas de apoyo que ofrecen orientaciones sobre cómo cumplir las normas de transparencia de la Ley de IA:

• Código de buenas prácticas sobre marcado y etiquetado de contenidos generados por IA seleccionado por la Oficina de IA. El código será una herramienta voluntaria para guiar a los proveedores y responsables del despliegue de sistemas de IA generativa a cumplir las obligaciones de transparencia. Estos incluyen el marcado del contenido generado por IA y la divulgación de la naturaleza artificial de las imágenes, el audio (incluidos los deepfakes) y el texto.
• Las Directrices sobre sistemas de IA transparentes para aclarar el ámbito de aplicación, las definiciones jurídicas pertinentes, las obligaciones de transparencia, las excepciones y las cuestiones horizontales conexas.

Estos instrumentos de apoyo se están preparando y se publicarán en el segundo trimestre de 2026. Más información sobre cómo apoya la Oficina de IA la aplicación de la Ley de IA.

Gobernanza y aplicación

La Oficina Europea de IA y las autoridades de los Estados miembros son responsables de aplicar, supervisar y hacer cumplir la Ley de IA. El Consejo de IA, la Comisión Técnica Científica y el Foro Consultivo dirigen y asesoran la gobernanza de la Ley de IA. Más información sobre la gobernanza y la aplicación de la Ley de IA.  

Cronología de la solicitud

La Ley de IA entró en vigor el 1 de agosto de 2024 y será plenamente aplicable dos años después, el 2 de agosto de 2026, con algunas excepciones:

• las prácticas de IA prohibidas y las obligaciones de alfabetización en materia de IA entraron en vigor a partir del 2 de febrero de 2025
• las normas de gobernanza y las obligaciones para los modelos de IAGP entraron en vigor el 2 de agosto de 2025.
• las normas para los sistemas de IA de alto riesgo —integradas en productos regulados— tienen un período de transición ampliado hasta el 2 de agosto de 2028 (como resultado del acuerdo político sobre la propuesta de simplificar la Ley de IA — «AI omnibus»)

¿Cómo está simplificando la Comisión la aplicación de la Ley de IA?

El paquete digital sobre simplificación propuso modificaciones para simplificar la aplicación de la Ley de IA y garantizar que las normas sigan siendo claras, sencillas y favorables a la innovación. Esta propuesta legislativa (denominada «AI omnibus») se adoptó el 19 de noviembre de 2025 y se alcanzó un acuerdo político el 7 de mayo de 2026.

Tras el acuerdo político, se establece un calendario de aplicación claro para las normas que rigen los sistemas de IA de alto riesgo:

• Las normas aplicables a los sistemas utilizados en determinadas zonas de alto riesgo —incluidas la biometría, las infraestructuras críticas, la educación, el empleo, la migración, el asilo y el control fronterizo— se aplicarán a partir del 2 de diciembre de 2027.
• En el caso de los sistemas integrados en productos como ascensores o juguetes, las normas se aplicarán a partir del 2 de agosto de 2028.

Esto garantiza que las normas se apliquen cuando las empresas dispongan de las herramientas de apoyo adecuadas para facilitar la aplicación, como las normas.

Además, se han acordado las siguientes modificaciones de la Ley de IA:

• Prohibición de los sistemas de IA que generen contenido sexualmente explícito e íntimo no consentido o material de abuso sexual de menores, como las aplicaciones de «nudificación» de la IA
• Reforzar las competencias de la Oficina de IA y centralizar la supervisión de los sistemas de IA basados en modelos de IA de uso general, reduciendo la fragmentación de la gobernanza
• Ampliar determinados requisitos simplificados concedidos a las pequeñas y medianas empresas se amplían a las pequeñas empresas de mediana capitalización (pymes y SMC), incluidos los requisitos simplificados de documentación técnica
• Más innovadores tendrán acceso a espacios controlados de pruebas, incluido un espacio controlado de pruebas a escala de la UE, para probar sus soluciones de IA en condiciones reales
• Se aclara la interacción entre la Ley de IA y la legislación de la UE en materia de seguridad de los productos, en particular el Reglamento sobre máquinas, evitando la duplicación entre las normas sectoriales y de IA.

Todo esto complementa las acciones de la Oficina de IA ya en marcha para proporcionar claridad a las empresas y las autoridades nacionales. Por ejemplo, a través de directrices, códigos de prácticas y el servicio de asistencia de la Ley de IA.