El Reglamento (UE) 2024/1689 sobre inteligencia artificial es la primera regulación horizontal de IA en el mundo. Entró en vigor el 1 de agosto de 2024 y se aplica de forma escalonada: prohibiciones desde febrero de 2025, modelos de propósito general desde agosto de 2025, alto riesgo desde agosto de 2026 y plazos finales en 2027 [1]. La AESIA es la autoridad competente en España.
El Reglamento aplica a proveedores que comercializan o ponen en servicio sistemas de IA en la UE, a desplegadores establecidos en la UE, a importadores y distribuidores y a proveedores de fuera de la UE cuando la salida del sistema se utiliza en la UE. La extraterritorialidad es similar a la del RGPD: la sede del proveedor no es la pregunta, sino el mercado al que se dirige.
Los roles que el Reglamento define en el artículo 3 importan porque cada uno asume obligaciones distintas. El proveedor diseña y comercializa. El desplegador usa el sistema bajo su autoridad. El importador introduce un sistema de un proveedor extracomunitario. El distribuidor lo pone a disposición sin alterarlo. Si una empresa modifica sustancialmente un sistema, asume el rol de proveedor para esa versión.
Riesgo inaceptable (artículo 5): prohibido. Incluye técnicas subliminales, explotación de vulnerabilidades, puntuación social pública, raspado masivo facial, reconocimiento de emociones en trabajo y educación, categorización biométrica por atributos sensibles y, con excepciones acotadas, identificación biométrica remota en tiempo real en espacios públicos.
Alto riesgo (Anexo III y productos del Anexo I): permitido con obligaciones plenas. El Anexo III incluye IA en infraestructuras críticas, educación, empleo, acceso a servicios esenciales, aplicación de la ley, migración y administración de justicia. El Anexo I extiende a IA integrada en productos sujetos a normativa armonizada (médicos, juguetes, vehículos).
Riesgo limitado: obligación de transparencia (chatbots, deepfakes, contenidos generados por IA). Riesgo mínimo: sin obligaciones específicas más allá de buenas prácticas voluntarias.
El calendario se diseñó para dar margen al ecosistema. Febrero de 2025: aplicables las prohibiciones del artículo 5 y la obligación de alfabetización en IA del artículo 4. Agosto de 2025: aplicables las obligaciones para modelos de IA de propósito general y la gobernanza institucional (AESIA en España, Oficina Europea de IA, autoridades sectoriales). Agosto de 2026: aplicables las obligaciones plenas para sistemas de alto riesgo, salvo los integrados en productos del Anexo I, que tienen hasta agosto de 2027.
Las multas siguen una estructura escalonada. Hasta 35 millones EUR o 7% del volumen de negocios anual mundial por incumplimiento del artículo 5. Hasta 15 millones EUR o 3% por incumplimiento de obligaciones para alto riesgo y modelos de propósito general. Hasta 7,5 millones EUR o 1% por información incorrecta a las autoridades.
Cuatro tareas no son negociables. Inventario de sistemas de IA con clasificación de riesgo justificada. DPIA y documentación del Anexo IV iniciadas para los sistemas de alto riesgo identificados. Sistema de gestión de calidad alineado con el artículo 17 (mapea con ISO 9001 o ISO/IEC 42001). Procedimientos de supervisión humana, monitorización y gestión de incidentes documentados.
La trampa habitual es asumir que la regulación entra en agosto de 2026 y, por tanto, hay tiempo. La realidad: documentar un sistema en producción, validar internamente y, si aplica, pasar evaluación de conformidad por organismo notificado lleva entre seis y doce meses. Empezar en marzo de 2026 deja margen escaso. Empezar antes deja opciones.
Ready to scope your project? Submit a short brief and we reply within one business day.
Cuéntanos qué quieres construir. Respondemos en un día hábil.