¿Qué es el EU AI Act?
El EU AI Act (Reglamento UE 2024/1689) es el primer marco regulatorio comprehensivo para sistemas de inteligencia artificial. Fue aprobado por el Parlamento Europeo en mayo de 2024 y entró en vigor el 1 de agosto de 2024. Es aplicable a cualquier empresa que comercialice, importe, distribuya o use sistemas de IA en la Unión Europea, independientemente de dónde esté constituida.
El reglamento adopta un enfoque basado en riesgo: no prohíbe la IA como tecnología, sino que regula aplicaciones específicas según el nivel de riesgo que representan para los derechos fundamentales, la salud y la seguridad.
Las sanciones máximas son de €35 millones o el 7% de la facturación global anual (lo que sea mayor) para las infracciones más graves. Para incumplimientos menores, hasta €15 millones o el 3% de la facturación. Las multas aplican también a empresas fuera de la UE si sus sistemas afectan a usuarios europeos.
Las cuatro categorías de riesgo
Riesgo inaceptable (prohibido): sistemas que manipulan el comportamiento humano subconscientemente, scoring social generalizado, identificación biométrica en tiempo real en espacios públicos (con excepciones), reconocimiento de emociones en lugares de trabajo y escuelas.
Alto riesgo (regulado intensamente): IA en infraestructura crítica, educación, empleo (contratación/despido), prestaciones sociales, servicios esenciales, ley y justicia. Requieren evaluación de conformidad, registro en base de datos UE, y supervisión humana.
Riesgo limitado (transparencia obligatoria): chatbots y sistemas que generan deepfakes deben informar al usuario que está interactuando con IA.
Riesgo mínimo: la mayoría de las aplicaciones de IA. Sin obligaciones específicas más allá de las existentes.
Usos prohibidos desde febrero de 2025
en vigor las prohibiciones
de sistemas alto riesgo
revenue global anual
Desde febrero de 2025, quedan prohibidos: sistemas de scoring social por parte de autoridades públicas, IA que explote vulnerabilidades de grupos específicos (edad, discapacidad), identificación biométrica remota en tiempo real en espacios públicos (salvo excepciones de seguridad nacional con autorización judicial), y categorización biométrica para inferir raza, religión u orientación política.
Plazos de implementación
El reglamento tiene una implementación gradual: prohibiciones aplicables desde febrero 2025, regulaciones para sistemas de propósito general (GPT, Claude, Gemini) desde agosto 2025, y cumplimiento completo de sistemas de alto riesgo para agosto 2026.
Qué deben hacer las empresas ahora
Las empresas que usan IA en sus procesos deben: inventariar sus sistemas de IA y clasificarlos por nivel de riesgo, establecer procesos de documentación técnica, implementar mecanismos de supervisión humana en sistemas de alto riesgo, y designar un responsable de cumplimiento de IA si operan a escala significativa en Europa.
Conclusión
El EU AI Act establece el estándar global que otros países están observando. LATAM, Asia y EE.UU. tienen procesos regulatorios en marcha que toman elementos de este reglamento. Para las empresas, invertir en cumplimiento ahora no es solo evitar multas — es construir confianza con clientes que cada vez más evalúan las prácticas de IA de sus proveedores.