Circulares

03/03/2026

Reglamento Europeo de Inteligencia Artificial (RIA)

La inteligencia Artificial (IA) viene para quedarse. Está suponiendo un fenómeno sin precedentes pues, de hecho, está considerada como la 5ª Revolución Industrial  y su avance vertiginoso puede medirse con un claro ejemplo: En sólo dos meses, una de las herramientas de IA más conocidas –ChatGPT- alcanzó 100 millones de usuarios.

Conscientes de ello, Europa ha tratado de “blindar” y proteger a los usuarios promulgando el Reglamento (UE) 2024/1689, del Parlamento Europeo y del Consejo, de 13 de junio de 2024 (Reglamento de Inteligencia Artificial). Su aplicación –que es progresiva- supondrá sin duda un antes y un después en la regulación normativa de una materia cuya andadura no ha hecho más que empezar y, además, de una forma vertiginosa.

Este Reglamento persigue por encima de todo la protección de los derechos de las personas ante cualquier injerencia en el uso y aplicación de un sistema de IA. A juicio de la Comisión Europea constituye: “(…) el primer marco jurídico global en materia de IA en todo el mundo. El objetivo de las normas es fomentar una IA fiable en Europa.(…)”


Aunque el Reglamento entró en vigor el pasado 1 de Agosto de 2024 en toda Europa –incluida España-, su implementación está siendo progresiva y en varias fases, culminando la última en Agosto de 2027.

Para facilitar la transición a este nuevo marco normativo, la Comisión Europea ha puesto en marcha un paquete de medidas como el Pacto sobre la IA, cuyo objeto es -en palabras de la Comisión Europea-: “(…) apoyar la futura aplicación, colaborar con las partes interesadas e invitar a los proveedores y implementadores de IA de Europa y de fuera de ella a cumplir con antelación las obligaciones clave de la Ley de IA (…)” , o el servicio de asistencia de la Ley de IA. 

Además, la Comisión Europea ha puesto a disposición de los ciudadanos la plataforma de información única de la Ley de IA, la cual trata de resolver cualquier duda o cuestión que pueda surgir a un usuario.

APLICACIÓN DEL REGLAMENTO SEGÚN SU ENFOQUE.

El Reglamento se aplica a proveedores, importadores, distribuidores y desarrolladores que comercialicen, pongan en servicio o utilicen sistemas de IA en la Unión Europea, independientemente de si están establecidos dentro o fuera de la UE. 

Las obligaciones principales recaen sobre quienes desarrollan o implementan IA de alto riesgo, IA generativa de propósito general y prácticas prohibidas, y ello, por cuanto el Reglamento tiene un enfoque basado en el riesgo. Así, se parten de 4 niveles de riesgo:

1º) Riesgo inaceptable. 

Engloba aquellos sistemas de IA que supongan una amenaza para la seguridad, medios de subsistencia o derechos de las personas. Se prohíbe de forma expresa: 

  1. Manipulación y engaño perjudiciales basados en la IA.
  2. Explotación nociva de vulnerabilidades basada en la IA.
  3. Puntuación social.
  4. Evaluación o predicción del riesgo de infracción penal individual.
  5. Raspado no selectivo de Internet o material de CCTV para crear o ampliar bases de datos de reconocimiento facial.
  6. Reconocimiento de emociones en lugares de trabajo e instituciones educativas.
  7. Categorización biométrica para deducir determinadas características protegidas.
  8. Identificación biométrica remota en tiempo real con fines policiales en espacios de acceso público.

Las disposiciones del Reglamento que regulan estas prohibiciones entraron en vigor el 2 de febrero de 2025.
A tal efecto, la Comisión Europea ha publicado las “Directrices sobre prácticas de IA prohibidas en virtud de la Ley de IA” que suponen una herramienta útil para ayudar a conocer y a cumplir las citadas prohibiciones y que incluyen tanto explicaciones como ejemplos prácticos.

2º) Alto riesgo

Enmarca aquellos sistemas de IA que conlleven riesgos graves para la salud, la seguridad o los derechos fundamentales. Las disposiciones del Reglamento relativas a Alto Riesgo entrarán en vigor en agosto de 2026 y agosto de 2027. Se consideran como de Alto Riesgo:  

  • Componentes de seguridad de la IA en infraestructuras críticas tales como transporte que pudieran poner en grave riesgo la seguridad o incluso la vida de las personas. 
  • IA en instituciones educativas que puedan determinar el acceso a la educación o influir en la vida profesional de una persona como por ejemplo la puntuación en un examen.
  • Componentes de seguridad de productos basados en IA, como por ejemplo cirugía asistida por robot.
  • Herramientas de IA para el empleo, gestión de los trabajadores y acceso al trabajo por cuenta propia.
  • Herramientas de IA para dar acceso a servicios públicos y privados esenciales.
  • Sistemas de IA utilizados para la identificación biométrica remota, reconocimiento de emociones y la categorización biométrica.
  • Herramientas de IA en Fuerzas y Cuerpos de Seguridad del Estado que puedan interferir con los derechos fundamentales de las personas, como por ejemplo la evaluación de la fiabilidad de las pruebas de acceso.
  • IA en migración, asilo y control fronterizo.
  • Sistemas de IA en la Administración de Justicia (por ejemplo para dictar resoluciones judiciales)y en los procesos democráticos. 

El Reglamento obliga a que los sistemas de IA de Alto Riesgo estén sujetos a obligaciones estrictas antes de su comercialización:

  • Cumplimiento de proceso de evaluación y mitigación de riesgos.
  • Alta calidad de los conjuntos de datos que alimentan el sistema para minimizar los riesgos de resultados discriminatorios.
  • Llevanza de un registro de actividad para garantizar la trazabilidad de los resultados.
  • Exigencia de documentación detallada con toda la información necesaria sobre el sistema y su finalidad. 
  • Información clara y adecuada al implementador.
  • Supervisión humana.
  • Altos niveles de robustez, ciberseguridad y precisión.

3º) Riesgo de transparencia

Las disposiciones normativas del Reglamento relativas a este riesgo entrarán en vigor el día 1 de agosto de 2026. 

Se refiere a la opacidad («caja negra») de los algoritmos, que impide entender cómo toman decisiones, generando sesgos ocultos, falta de responsabilidad y desconfianza. Por ello, el Reglamento exige transparencia para chatbots, IA generativa y deepfakes a fin de que los usuarios sepan cuándo interactúan con una máquina.

Además, en el caso de los proveedores de IA generativa, deben garantizar que los contenidos que se hayan generado mediante el uso de este tipo de IA sean identificables, y además deben etiquetar su contenido de manera clara y visible. 

4º) Riesgo mínimo o nulo

La Ley de IA no introduce normas para la IA que se consideren de riesgo mínimo o nulo en cuanto que no amenazan los derechos ni la seguridad de las personas.

En esta categoría se incluyen la gran mayoría de los sistemas de IA utilizados actualmente en la UE: videojuegos, filtros de spam, correctores de estilo, asistentes virtuales básicos y aplicaciones de recomendaciones en e-commerce. 

APLICACIÓN DEL REGLAMENTO SEGÚN FASES DE ENTRADA EN VIGOR

Conscientes de la repercusión mediática y del calado de este Reglamento, se ha diseñado un cronograma progresivo de entrada en vigor a fin de permitir un margen de transición y adaptación a las empresas, administraciones y desarrolladores. 

  • 12 de Julio de 2024: Publicación del Reglamento en el Diario Oficial de la Unión Europea
  • 2 de febrero de 2025: Prohibiciones de IA de riesgo inaceptable 
  • 2 de agosto de 2025: Disposiciones del Reglamento aplicables a IA de uso general (GPAI), códigos de buenas prácticas, sanciones y gobernanza.
  • 2 de agosto de 2026: Entrarán en aplicación la mayoría de obligaciones para IA de alto riesgo y de cumplimiento general.
  • 2 de agosto de 2027: Entrarán en aplicación las disposiciones del Reglamento relativas a IA de alto riesgo en componentes de productos ya regulados (ej. juguetes, seguridad de la aviación, vehículos).

APLICACIÓN DEL REGLAMENTO PARA PROVEEDORES DE SISTEMA DE IA

Una vez más, el Reglamento calibra el tipo de riesgo en el uso de sistemas de IA para imponer distintas obligaciones a los proveedores de software que desarrollan, comercializan o ponen en servicio sistemas de IA en la Unión Europea, así como a responsables del despliegue de tecnologías de IA en el mercado único de la UE.

En primer lugar, los proveedores deben clasificar correctamente sus sistemas y herramientas de IA según su nivel de riesgo, y en función de ello, cumplir las obligaciones que el Reglamento impone según el tipo de riesgo. 

El incumplimiento de estas obligaciones puede acarrear sanciones económicas muy significativas, por lo que es fundamental que todos los proveedores y responsables realicen un análisis riguroso de sus productos, tipo de riesgo y actuaciones a emprender en cumplimiento del Reglamento.

1º) Proveedores de sistemas de IA de Alto Riesgo: 

Están comprendidos entre sistemas de IA de Alto Riesgo los de gestión de infraestructuras críticas como el transporte, los de educación, empleo, servicios públicos, justicia o migración, tal y como hemos tenido ocasión de analizar en apartado anterior. Deben cumplir las siguientes obligaciones: 

  • Calidad del sistema: Los sistemas deben ser precisos, fiables, robustos e incluir un nivel adecuado de ciberseguridad frente a posibles ataques.
  • Calidad de los Datos: Los datos utilizados para el entrenamiento, validación y prueba de los sistemas de IA deben ser de alta calidad, pertinentes, representativos y libres de errores.  
  • Instauración de sistema de gestión de riesgos.
  • Elaboración de documentación técnica antes de la comercialización del sistema. Una vez comercializado, se debe garantizar la trazabilidad de su funcionamiento.
  • Registro: Los proveedores deben registrar sus sistemas de IA de alto riesgo en una base de datos pública de la UE antes de introducirlos en el mercado.
  • Sometimiento a procedimiento de Evaluación y Conformidad.
  • Marcado CE: Superado el procedimiento, el proveedor deberá colocar el marcado CE que indique el cumplimiento de los requisitos del Reglamento.
  • Transparencia y Supervisión Humana: El sistema debe diseñarse para permitir una supervisión humana efectiva, garantizando que una persona pueda intervenir o anular una decisión del sistema. 
  • Vigilancia Post-Comercialización, la cual incluye obligación de notificar a las autoridades cualquier incidente grave.

2º) Proveedores de sistemas de IA de Uso General (GPAI)

Entre estos proveedores se encuentran OpenAI (GPT-4), Anthropic (Claude), Google (Gemini), Mistral AI y Meta (Llama).

Se les aplican las siguientes obligaciones:

  • Mantener una documentación técnica actualizada sobre el modelo.
  • Proporcionar información y documentación a los proveedores de sistemas de IA que integren su modelo, para que estos puedan cumplir con sus propias obligaciones.
  • Establecer una política de cumplimiento de la legislación sobre derechos de autor.

Si un modelo de IA de uso general es clasificado como de riesgo sistémico, se añaden obligaciones más estrictas, como la evaluación del modelo, la gestión de riesgos y la garantía de un nivel adecuado de ciberseguridad

3º) Obligaciones para Sistemas de Riesgo Limitado

Se aplican a sistemas como los chatbots o los que generan contenido sintético (deepfakes).

En este caso, las obligaciones se centran en la transparencia:

  • Informar a los usuarios: Se debe informar a las personas de que están interactuando con un sistema de IA, a menos que sea obvio.
  • Marcar el contenido artificial: El contenido de audio, imagen, vídeo o texto generado o manipulado artificialmente debe estar marcado como tal en un formato legible por máquina.

GOBERNANZA 

Para garantizar una adecuada aplicación del Reglamento, se crean varios órganos de gobierno:

  • Oficina Europea de Inteligencia Artificial: Será la encargada de supervisar la aplicación del Reglamento, especialmente en lo relativo a los modelos de IA de uso general.
  • Autoridades de vigilancia en cada Estado miembro: En el caso de España, la Agencia Española de Supervisión de Inteligencia Artificial (AESIA), se encargará de la supervisión, asesoramiento y vigilancia en la aplicación de las disposiciones contenidas en el Reglamento.  Depende de la Secretaría de Estado de Digitalización e Inteligencia Artificial ( Ministerio para la Transformación Digital y de la Función Pública).
  • Grupo de expertos científicos independientes.
  • Comité de IA conformado por representantes de los Estados miembros.
  • Foro consultivo para las partes interesadas.

 Asesoramiento Especializado

Ante la complejidad técnica y legal que plantea el nuevo Reglamento Europeo de Inteligencia Artificial, el equipo de abogados especializados de HispaColex se pone a su entera disposición para garantizar que su entidad cumpla con todas las obligaciones normativas. Dado que el incumplimiento puede acarrear sanciones económicas muy significativas, nuestros expertos ofrecen un análisis riguroso de sus sistemas de IA, la clasificación de su nivel de riesgo y el diseño de una hoja de ruta personalizada para la implementación de las medidas de transparencia y gobernanza exigidas por la Unión Europea. No dude en consultarnos para asegurar la viabilidad legal y la ética digital de sus proyectos tecnológicos.

Foto del avatar  Ana Isabel Caballero Ferrer - HispaColex
< Anterior
Siguiente >

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *