Lo esencial en 30 segundos

  • El IA Act es la primera regulación mundial completa sobre inteligencia artificial
  • Las prácticas prohibidas se aplican desde febrero de 2025 (scoring social, manipulación...)
  • Las obligaciones GPAI (modelos como ChatGPT, Claude) se aplican desde agosto de 2025
  • Los sistemas de alto riesgo estarán regulados a partir de agosto de 2026
  • Sanciones de hasta 35 M EUR o 7% de la facturación mundial

La Unión Europea adoptó en abril de 2024 el reglamento sobre inteligencia artificial, comúnmente llamado IA Act o AI Act. Esta legislación histórica establece el primer marco jurídico completo del mundo para regular el desarrollo y el uso de la IA. Para las empresas, comprender y anticipar estas obligaciones ya no es una opción — es una necesidad estratégica.

Calendario de aplicación: ¿en qué punto estamos?

El IA Act adopta un enfoque progresivo. No todas las obligaciones entran en vigor simultáneamente, lo que deja a las empresas tiempo para prepararse.

1 de agosto de 2024
Entrada en vigor del reglamento
2 de febrero de 2025
Prácticas prohibidas + obligación de alfabetización en IA
2 de agosto de 2025
Obligaciones GPAI (modelos de uso general) + gobernanza
Diciembre de 2025
Herramienta de denuncia whistleblower lanzada por la Comisión
2 de agosto de 2026
Sistemas IA de alto riesgo (Anexo III)
2 de agosto de 2027
IA de alto riesgo en productos regulados + conformidad de GPAI existentes

Posible aplazamiento

En noviembre de 2025, la Comisión Europea propuso a través del "Digital Omnibus" aplazar ciertos plazos a diciembre de 2027. Sin embargo, las prácticas prohibidas y las obligaciones GPAI siguen vigentes.

Los cuatro niveles de riesgo

El IA Act clasifica los sistemas de inteligencia artificial en cuatro categorías según su nivel de riesgo. Este enfoque proporcionado busca no frenar la innovación a la vez que protege los derechos fundamentales.

1. Riesgo inaceptable: las prácticas prohibidas

Desde el 2 de febrero de 2025, estos usos de la IA están pura y simplemente prohibidos en Europa:

Práctica prohibida Descripción
Scoring social Calificación de individuos basada en su comportamiento social o sus características personales
Manipulación subliminal Técnicas que explotan las vulnerabilidades psicológicas para influir en los comportamientos
Reconocimiento de emociones Detección de emociones en el lugar de trabajo o en centros educativos
Scraping biométrico Recopilación no dirigida de imágenes faciales en Internet para crear bases de datos
Policía predictiva Predicción de la criminalidad basada únicamente en el perfilado
Identificación biométrica en tiempo real En lugares públicos (salvo excepciones estrictamente reguladas para las fuerzas del orden)

2. Riesgo elevado: documentación y conformidad

Los sistemas de IA de alto riesgo están listados en el Anexo III del reglamento. Afectan a ámbitos donde la IA puede tener un impacto significativo en los derechos de las personas:

  • Biometría: Identificación, categorización, reconocimiento de emociones
  • Infraestructuras críticas: Gestión del tráfico, energía, agua
  • Educación: Acceso a centros educativos, evaluación, detección de trampas
  • Empleo: Reclutamiento, promoción, vigilancia de empleados
  • Servicios esenciales: Scoring crediticio, seguros, prestaciones sociales
  • Aplicación de la ley: Detección de mentiras, perfilado
  • Migración: Control fronterizo, solicitudes de asilo

Para estos sistemas, los proveedores deben implementar:

  • Un sistema de gestión de riesgos
  • Una gobernanza de los datos de entrenamiento
  • Una documentación técnica completa
  • Mecanismos de trazabilidad
  • Un control humano apropiado
  • El marcado CE tras evaluación de conformidad

3. Riesgo limitado: transparencia obligatoria

Ciertos sistemas de IA presentan un riesgo limitado pero requieren una obligación de transparencia:

  • Chatbots: El usuario debe saber que está interactuando con una IA, no con un humano
  • Deepfakes: Los contenidos sintéticos que imitan a personas reales deben estar claramente marcados
  • Sistemas de categorización: Información sobre el funcionamiento
  • Generación de contenido: Mención de que el contenido ha sido generado por IA

Impacto en los chatbots de marketing

  • Todos los chatbots en tus sitios web deben informar a los visitantes de que están interactuando con una IA
  • Una mención visible al inicio de la conversación es suficiente
  • Los asistentes virtuales de atención al cliente están afectados

4. Riesgo mínimo: sin obligación específica

La gran mayoría de los sistemas de IA (filtros antispam, videojuegos, asistentes de productividad básicos...) presentan un riesgo mínimo y no están sujetos a ninguna obligación particular.

Las obligaciones GPAI: ChatGPT, Claude, Gemini afectados

Los modelos de IA de uso general (GPAI - General Purpose AI) son objeto de un régimen específico. Desde el 2 de agosto de 2025, los proveedores de estos modelos deben respetar obligaciones de transparencia y documentación.

¿Quién está afectado?

Proveedor Modelos afectados
OpenAI GPT-5, GPT-4o, DALL-E
Anthropic Claude Opus 4.5, Sonnet, Haiku
Google Gemini 3.0, PaLM
Meta Llama 3.3
Mistral Mistral Large, Mixtral

Obligaciones de los proveedores GPAI

  • Documentación técnica: Arquitectura, proceso de entrenamiento, consumo energético
  • Política de uso: Usos autorizados, restricciones, prohibiciones
  • Resumen de los datos de entrenamiento: Conformidad con los derechos de autor
  • Instrucciones para los implementadores: Guía de integración y buenas prácticas

El caso de los modelos con riesgo sistémico

Los modelos GPAI que superan el umbral de 10 elevado a 25 FLOPs (potencia de cálculo de entrenamiento) se consideran de riesgo sistémico. Además, deben:

  • Realizar evaluaciones del modelo y pruebas adversariales
  • Documentar y notificar los incidentes graves
  • Asegurar la ciberseguridad del modelo y su infraestructura
  • Notificar a la Comisión en las 2 semanas siguientes si se alcanza el umbral

GPT-5, Claude Opus 4.5 y Gemini 3.0 Pro probablemente entran en esta categoría.

Sanciones: importes disuasorios

Tipo de infracción Multa máxima
Prácticas prohibidas (Artículo 5) 35 M EUR o 7% de la facturación mundial
No conformidad de sistemas de alto riesgo 15 M EUR o 3% de la facturación mundial
Información incorrecta a las autoridades 7,5 M EUR o 1% de la facturación mundial

Para las pymes, se prevén importes reducidos: se aplica el menor entre la multa a tanto alzado y el porcentaje de la facturación.

¿Cómo ponerse en conformidad?

Paso 1: Cartografiar tus sistemas de IA

Primer paso indispensable: censar todas las herramientas que utilizan IA en tu organización:

  • Software profesional con funcionalidades de IA
  • Plugins y extensiones (ChatGPT en tus herramientas)
  • Servicios cloud y API de terceros
  • Chatbots en tus sitios web
  • Herramientas de marketing automation
  • Soluciones de RRHH (filtrado de CV, evaluación...)

Paso 2: Clasificar los riesgos

Para cada sistema identificado, determina su categoría de riesgo según el IA Act. Los sistemas que afectan al empleo, al crédito o a la seguridad son generalmente de alto riesgo.

Paso 3: Documentar

Para los sistemas afectados, constituye un expediente que incluya:

  • Descripción y objetivos del sistema
  • Datos utilizados y su procedencia
  • Métricas de rendimiento
  • Limitaciones y sesgos identificados
  • Medidas de control humano

Paso 4: Informar y formar

  • Actualizar las menciones legales de tus chatbots
  • Informar a los empleados del uso de IA en los procesos de RRHH
  • Formar a los equipos sobre los retos de la IA responsable
  • Designar un responsable de conformidad IA

Impacto en la visibilidad IA y el marketing digital

El IA Act tiene implicaciones directas para las estrategias AEO y GEO:

  • Chatbots de marketing: Obligación de informar a los visitantes
  • Contenidos generados por IA: Potencial obligación de marcado
  • Conformidad como señal de confianza: Los motores e IA podrían valorar a los actores responsables
  • Transparencia algorítmica: Documentación de los sistemas de recomendación

La conformidad como ventaja competitiva

  • Transforma la restricción regulatoria en garantía de seriedad
  • Posiciónate como actor responsable de la IA
  • Anticipa los criterios de conformidad en las licitaciones
  • Los motores de búsqueda podrían valorar los sitios conformes

FAQ: Preguntas frecuentes sobre el IA Act

Mi empresa usa ChatGPT. ¿Me afecta el IA Act?
Como implementador (usuario) de un sistema de IA, tienes obligaciones limitadas. Principalmente debes asegurarte de que el uso sea conforme a las condiciones del proveedor e informar a las personas afectadas si la IA impacta sus derechos (ej: decisiones de RRHH). Es OpenAI, como proveedor, quien soporta la mayoría de las obligaciones GPAI.
¿Las startups se benefician de exenciones?
El IA Act prevé sandboxes regulatorios (regulatory sandboxes) que permiten a las startups y pymes probar sus innovaciones en un marco aligerado. Además, los importes de las sanciones están limitados a cantidades más bajas para las pequeñas estructuras.
¿Mi chatbot de atención al cliente debe ser modificado?
Sí. Desde febrero de 2025, todos los chatbots deben informar claramente a los usuarios de que están interactuando con una IA. Una mención al inicio de la conversación ("Soy un asistente virtual impulsado por IA") generalmente es suficiente.
¿El IA Act se aplica a las empresas fuera de la UE?
Sí. Como el RGPD, el IA Act tiene un alcance extraterritorial. Se aplica a las empresas no europeas desde el momento en que sus sistemas de IA se utilizan en la UE o que los outputs afectan a personas situadas en la UE.

Verifica tu visibilidad en las IA

Descubre cómo aparece tu marca en ChatGPT, Claude, Gemini y Perplexity

Empezar la auditoría gratuita

Artículos relacionados

Guía AEO: Answer Engine Optimization Guía GEO: Generative Engine Optimization IA conversacionales a vigilar en 2025 Glosario: IA Act