Lo esencial en 30 segundos
- El IA Act es la primera regulación mundial completa sobre inteligencia artificial
- Las prácticas prohibidas se aplican desde febrero de 2025 (scoring social, manipulación...)
- Las obligaciones GPAI (modelos como ChatGPT, Claude) se aplican desde agosto de 2025
- Los sistemas de alto riesgo estarán regulados a partir de agosto de 2026
- Sanciones de hasta 35 M EUR o 7% de la facturación mundial
La Unión Europea adoptó en abril de 2024 el reglamento sobre inteligencia artificial, comúnmente llamado IA Act o AI Act. Esta legislación histórica establece el primer marco jurídico completo del mundo para regular el desarrollo y el uso de la IA. Para las empresas, comprender y anticipar estas obligaciones ya no es una opción — es una necesidad estratégica.
Calendario de aplicación: ¿en qué punto estamos?
El IA Act adopta un enfoque progresivo. No todas las obligaciones entran en vigor simultáneamente, lo que deja a las empresas tiempo para prepararse.
Posible aplazamiento
En noviembre de 2025, la Comisión Europea propuso a través del "Digital Omnibus" aplazar ciertos plazos a diciembre de 2027. Sin embargo, las prácticas prohibidas y las obligaciones GPAI siguen vigentes.
Los cuatro niveles de riesgo
El IA Act clasifica los sistemas de inteligencia artificial en cuatro categorías según su nivel de riesgo. Este enfoque proporcionado busca no frenar la innovación a la vez que protege los derechos fundamentales.
1. Riesgo inaceptable: las prácticas prohibidas
Desde el 2 de febrero de 2025, estos usos de la IA están pura y simplemente prohibidos en Europa:
| Práctica prohibida | Descripción |
|---|---|
| Scoring social | Calificación de individuos basada en su comportamiento social o sus características personales |
| Manipulación subliminal | Técnicas que explotan las vulnerabilidades psicológicas para influir en los comportamientos |
| Reconocimiento de emociones | Detección de emociones en el lugar de trabajo o en centros educativos |
| Scraping biométrico | Recopilación no dirigida de imágenes faciales en Internet para crear bases de datos |
| Policía predictiva | Predicción de la criminalidad basada únicamente en el perfilado |
| Identificación biométrica en tiempo real | En lugares públicos (salvo excepciones estrictamente reguladas para las fuerzas del orden) |
2. Riesgo elevado: documentación y conformidad
Los sistemas de IA de alto riesgo están listados en el Anexo III del reglamento. Afectan a ámbitos donde la IA puede tener un impacto significativo en los derechos de las personas:
- Biometría: Identificación, categorización, reconocimiento de emociones
- Infraestructuras críticas: Gestión del tráfico, energía, agua
- Educación: Acceso a centros educativos, evaluación, detección de trampas
- Empleo: Reclutamiento, promoción, vigilancia de empleados
- Servicios esenciales: Scoring crediticio, seguros, prestaciones sociales
- Aplicación de la ley: Detección de mentiras, perfilado
- Migración: Control fronterizo, solicitudes de asilo
Para estos sistemas, los proveedores deben implementar:
- Un sistema de gestión de riesgos
- Una gobernanza de los datos de entrenamiento
- Una documentación técnica completa
- Mecanismos de trazabilidad
- Un control humano apropiado
- El marcado CE tras evaluación de conformidad
3. Riesgo limitado: transparencia obligatoria
Ciertos sistemas de IA presentan un riesgo limitado pero requieren una obligación de transparencia:
- Chatbots: El usuario debe saber que está interactuando con una IA, no con un humano
- Deepfakes: Los contenidos sintéticos que imitan a personas reales deben estar claramente marcados
- Sistemas de categorización: Información sobre el funcionamiento
- Generación de contenido: Mención de que el contenido ha sido generado por IA
Impacto en los chatbots de marketing
- Todos los chatbots en tus sitios web deben informar a los visitantes de que están interactuando con una IA
- Una mención visible al inicio de la conversación es suficiente
- Los asistentes virtuales de atención al cliente están afectados
4. Riesgo mínimo: sin obligación específica
La gran mayoría de los sistemas de IA (filtros antispam, videojuegos, asistentes de productividad básicos...) presentan un riesgo mínimo y no están sujetos a ninguna obligación particular.
Las obligaciones GPAI: ChatGPT, Claude, Gemini afectados
Los modelos de IA de uso general (GPAI - General Purpose AI) son objeto de un régimen específico. Desde el 2 de agosto de 2025, los proveedores de estos modelos deben respetar obligaciones de transparencia y documentación.
¿Quién está afectado?
| Proveedor | Modelos afectados |
|---|---|
| OpenAI | GPT-5, GPT-4o, DALL-E |
| Anthropic | Claude Opus 4.5, Sonnet, Haiku |
| Gemini 3.0, PaLM | |
| Meta | Llama 3.3 |
| Mistral | Mistral Large, Mixtral |
Obligaciones de los proveedores GPAI
- Documentación técnica: Arquitectura, proceso de entrenamiento, consumo energético
- Política de uso: Usos autorizados, restricciones, prohibiciones
- Resumen de los datos de entrenamiento: Conformidad con los derechos de autor
- Instrucciones para los implementadores: Guía de integración y buenas prácticas
El caso de los modelos con riesgo sistémico
Los modelos GPAI que superan el umbral de 10 elevado a 25 FLOPs (potencia de cálculo de entrenamiento) se consideran de riesgo sistémico. Además, deben:
- Realizar evaluaciones del modelo y pruebas adversariales
- Documentar y notificar los incidentes graves
- Asegurar la ciberseguridad del modelo y su infraestructura
- Notificar a la Comisión en las 2 semanas siguientes si se alcanza el umbral
GPT-5, Claude Opus 4.5 y Gemini 3.0 Pro probablemente entran en esta categoría.
Sanciones: importes disuasorios
| Tipo de infracción | Multa máxima |
|---|---|
| Prácticas prohibidas (Artículo 5) | 35 M EUR o 7% de la facturación mundial |
| No conformidad de sistemas de alto riesgo | 15 M EUR o 3% de la facturación mundial |
| Información incorrecta a las autoridades | 7,5 M EUR o 1% de la facturación mundial |
Para las pymes, se prevén importes reducidos: se aplica el menor entre la multa a tanto alzado y el porcentaje de la facturación.
¿Cómo ponerse en conformidad?
Paso 1: Cartografiar tus sistemas de IA
Primer paso indispensable: censar todas las herramientas que utilizan IA en tu organización:
- Software profesional con funcionalidades de IA
- Plugins y extensiones (ChatGPT en tus herramientas)
- Servicios cloud y API de terceros
- Chatbots en tus sitios web
- Herramientas de marketing automation
- Soluciones de RRHH (filtrado de CV, evaluación...)
Paso 2: Clasificar los riesgos
Para cada sistema identificado, determina su categoría de riesgo según el IA Act. Los sistemas que afectan al empleo, al crédito o a la seguridad son generalmente de alto riesgo.
Paso 3: Documentar
Para los sistemas afectados, constituye un expediente que incluya:
- Descripción y objetivos del sistema
- Datos utilizados y su procedencia
- Métricas de rendimiento
- Limitaciones y sesgos identificados
- Medidas de control humano
Paso 4: Informar y formar
- Actualizar las menciones legales de tus chatbots
- Informar a los empleados del uso de IA en los procesos de RRHH
- Formar a los equipos sobre los retos de la IA responsable
- Designar un responsable de conformidad IA
Impacto en la visibilidad IA y el marketing digital
El IA Act tiene implicaciones directas para las estrategias AEO y GEO:
- Chatbots de marketing: Obligación de informar a los visitantes
- Contenidos generados por IA: Potencial obligación de marcado
- Conformidad como señal de confianza: Los motores e IA podrían valorar a los actores responsables
- Transparencia algorítmica: Documentación de los sistemas de recomendación
La conformidad como ventaja competitiva
- Transforma la restricción regulatoria en garantía de seriedad
- Posiciónate como actor responsable de la IA
- Anticipa los criterios de conformidad en las licitaciones
- Los motores de búsqueda podrían valorar los sitios conformes
FAQ: Preguntas frecuentes sobre el IA Act
Verifica tu visibilidad en las IA
Descubre cómo aparece tu marca en ChatGPT, Claude, Gemini y Perplexity
Empezar la auditoría gratuita