El sistema de clasificación por riesgo
El EU AI Act clasifica los sistemas de IA en cuatro categorías. Las obligaciones dependen de dónde cae tu sistema:
La mayoría de sistemas de IA empresariales (chatbots de atención al cliente, recomendadores de contenido, herramientas de productividad) caen en la categoría de riesgo mínimo o limitado — con obligaciones relativamente manejables.
Sistemas completamente prohibidos desde febrero 2025
Desde el 2 de febrero de 2025, estos sistemas de IA están prohibidos en la UE:
Sistemas de puntuación social por parte de gobiernos o entidades que afecten derechos fundamentales.
Manipulación subliminal de comportamiento humano sin que el usuario sea consciente.
Explotación de vulnerabilidades de grupos específicos (niños, personas mayores, personas con discapacidad).
Identificación biométrica remota en tiempo real en espacios públicos por fuerzas del orden (con excepciones limitadas).
Inferencia de emociones en lugares de trabajo o educación.
Si alguno de tus sistemas podría interpretarse en estas categorías, necesitas consejo legal especializado con urgencia.
Alto riesgo: las obligaciones que más afectan a empresas
Los sistemas de alto riesgo incluyen: IA en contratación laboral, scoring crediticio, sistemas médicos diagnósticos, sistemas de seguridad crítica, y IA en procesos judiciales o migratorios.
Si tu empresa cae aquí, las obligaciones son significativas:
Obligación Responsable ────────────────────────────────────────────────── Sistema de gestión de riesgos Desarrollador + Usuario Calidad de datos documentada Desarrollador Documentación técnica completa Desarrollador Logging automático de uso Ambos Supervisión humana implementada Usuario Evaluación de conformidad Desarrollador Registro en base de datos EU Ambos Marcado CE (equipos físicos) Desarrollador
El proceso de evaluación de conformidad para sistemas de alto riesgo puede tomar 6-18 meses. Si desarrollas estos sistemas, ya deberías estar en proceso.
Riesgo limitado: obligaciones de transparencia
Para la mayoría de empresas, sus sistemas de IA caerán aquí. Las obligaciones son principalmente de transparencia:
Chatbots y sistemas conversacionales: Los usuarios deben saber que están interactuando con IA. Esto aplica a cualquier chatbot que podría confundirse con un humano.
Contenido generado por IA: El contenido generado por IA (texto, imágenes, audio, video) debe estar etiquetado como tal. Esto incluye deepfakes y contenido sintético.
Sistemas de recomendación: Obligación de transparencia sobre la lógica principal de la recomendación.
Timeline de cumplimiento: qué hacer y cuándo
Fecha Obligación ──────────────────────────────────────────────────────────── Feb 2025 Sistemas prohibidos: compliance obligatorio Ago 2025 GPAI (modelos de propósito general): compliance Feb 2026 Sistemas de alto riesgo (Anexo I): compliance Ago 2026 Todos los sistemas de alto riesgo (Anexo III) Ago 2027 Sistemas existentes pre-reglamento
Acciones inmediatas para cualquier empresa:
1. Inventario de sistemas de IA (internos y de proveedores). 2. Clasificación por nivel de riesgo. 3. Nombrar un responsable de cumplimiento de IA. 4. Revisar contratos con proveedores de IA para clarificar responsabilidades. 5. Implementar etiquetado básico de contenido generado por IA.