La llegada del AI Act, el primer marco regulatorio significativo sobre inteligencia artificial en la Unión Europea, marca un hito en la forma en que se gestionan y supervisan los sistemas de IA. Este reglamento, que ya está en vigor, establece un conjunto de normas que las empresas deben seguir para garantizar el uso seguro y ético de la inteligencia artificial. Con la fecha de 2 de agosto de 2026 en el horizonte, las organizaciones deben prepararse para cumplir con las exigencias más estrictas que se implementarán para los sistemas de IA de alto riesgo.
### Clasificación de Sistemas de IA y sus Implicaciones
El AI Act clasifica los sistemas de inteligencia artificial en diferentes categorías según el nivel de riesgo que representan. En la cúspide de esta jerarquía se encuentran los sistemas prohibidos, que incluyen herramientas de manipulación subliminal y la puntuación social ciudadana, así como la identificación biométrica en tiempo real en espacios públicos para fines policiales. Estas tecnologías están vetadas desde febrero de 2025, reflejando la preocupación de la UE por la protección de los derechos fundamentales de los ciudadanos.
Los sistemas de alto riesgo son aquellos que pueden afectar derechos fundamentales, acceso a servicios esenciales o la seguridad pública. Ejemplos de estos sistemas incluyen herramientas de selección de personal, scoring crediticio y diagnósticos médicos. Las empresas que utilicen este tipo de tecnologías deben cumplir con obligaciones estrictas, como la implementación de un sistema de gestión de riesgos documentado y la garantía de calidad y trazabilidad de los datos utilizados.
Por otro lado, los sistemas de riesgo limitado, como los chatbots y herramientas generativas, están sujetos a obligaciones de transparencia, lo que implica que los usuarios deben ser informados de que están interactuando con una IA y que los contenidos generados son automáticos. Esta clasificación no solo establece un marco claro para la regulación, sino que también ayuda a las empresas a entender mejor sus responsabilidades y los riesgos asociados con el uso de la inteligencia artificial.
### Sanciones y Responsabilidades: Un Marco Estricto
El régimen sancionador del AI Act es comparable al del Reglamento General de Protección de Datos (RGPD), pero con multas que pueden ser significativamente más altas en casos graves. Las infracciones de las prohibiciones absolutas pueden resultar en sanciones de hasta 35 millones de euros o el 7% del volumen de negocio mundial anual de la empresa. Por otro lado, el incumplimiento de las obligaciones relacionadas con sistemas de alto riesgo puede acarrear multas de hasta 15 millones de euros o el 3% de la facturación anual.
Además, la nueva Directiva de Responsabilidad por IA permite a los particulares reclamar daños causados por sistemas de inteligencia artificial. Esto introduce una presunción de causalidad, lo que significa que si una empresa no puede demostrar que cumplió con el AI Act, se presume que su incumplimiento causó el daño sufrido por el afectado. Esto es especialmente relevante en casos de discriminación, donde una empresa que despliega un sistema de selección de personal basado en IA sin haber realizado la evaluación de conformidad obligatoria se encuentra en desventaja procesal.
Las pequeñas y medianas empresas (pymes) tienen cierta proporcionalidad reconocida en el texto del reglamento, pero no están exentas de cumplir con las normativas. La reputación de una empresa también puede verse afectada por sanciones públicas, lo que puede tener consecuencias comerciales que superen el costo de la multa. En un entorno donde los consumidores son cada vez más conscientes del uso ético de la tecnología, una resolución sancionadora puede impactar negativamente en la percepción pública de la marca.
### Preparación y Estrategias para el Cumplimiento
Para cumplir con el AI Act, las empresas deben tomar medidas proactivas. El primer paso es realizar un inventario de los sistemas de IA que están actualmente en uso o en desarrollo. Muchas organizaciones carecen de visibilidad sobre cuántos sistemas operan en su cadena de valor, especialmente aquellos que provienen de proveedores externos. Una vez identificados, es crucial clasificarlos conforme al AI Act y revisar los contratos con los proveedores para asegurar que se obtenga toda la documentación técnica necesaria para cumplir con las obligaciones.
Para los sistemas de alto riesgo, el proceso de evaluación de conformidad puede tardar entre tres y doce meses, por lo que es recomendable iniciar este proceso sin demora. Además, el AI Act requiere una gobernanza continua, lo que implica vigilancia post-mercado, actualización de la documentación ante cambios en el sistema y revisiones periódicas del sistema de gestión de riesgos.
La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) está en proceso de dotarse de capacidad inspectora, lo que subraya la importancia de que las empresas se preparen adecuadamente. El momento de actuar es ahora, mientras aún hay margen para hacerlo de manera ordenada y sin los costos adicionales que conlleva la reactividad ante incumplimientos.
