EU AI Act: plazos y obligaciones tecnicas para empresas españolas

El reloj ya esta corriendo

El Reglamento (UE) 2024/1689 sobre inteligencia artificial (el EU AI Act) entro en vigor el 1 de agosto de 2024. No es una directiva que cada estado miembro transponga a su gusto. Es un reglamento de aplicacion directa. Y sus plazos no son teoricos: las primeras prohibiciones ya aplican desde febrero de 2025.

Para la empresa española que desarrolla o despliega sistemas de IA, la pregunta ya no es “me afecta?” sino “que tengo que hacer y para cuando?”.

El calendario que importa

El EU AI Act tiene un despliegue escalonado. Estas son las fechas criticas:

2 de febrero de 2025 (ya pasado): Prohibicion de practicas de IA inaceptables. Sistemas de puntuacion social, manipulacion subliminal, explotacion de vulnerabilidades y vigilancia biometrica masiva en tiempo real quedan prohibidos. Si tu empresa opera alguno de estos sistemas, ya estas en incumplimiento.

2 de agosto de 2025: Obligaciones para modelos de IA de proposito general (GPAI). Afecta directamente a quienes desarrollan o fine-tunean foundation models. Requiere documentacion tecnica, politica de cumplimiento de derechos de autor y resumen del contenido de entrenamiento.

2 de agosto de 2026: Entrada en vigor de la mayoria de las obligaciones. Aqui es donde el grueso del reglamento se activa: clasificacion de riesgo, requisitos para sistemas de alto riesgo, obligaciones de transparencia, sandboxes regulatorios.

2 de agosto de 2027: Obligaciones completas para sistemas de alto riesgo del Anexo I (juguetes, dispositivos medicos, aviacion, vehiculos, ascensores, equipos de presion, maquinaria).

Clasificacion de riesgo: donde encaja tu sistema

El EU AI Act clasifica los sistemas de IA en cuatro niveles. La clasificacion determina las obligaciones:

Riesgo inaceptable (prohibido): Lo mencionado arriba. Si crees que tu sistema podria caer aqui, necesitas asesoramiento legal inmediato, no un articulo tecnico.

Riesgo alto (regulacion estricta): Sistemas de IA usados en infraestructura critica, educacion, empleo, servicios esenciales, migracion, justicia y procesos democraticos. Tambien los sistemas listados en el Anexo III: scoring crediticio, seleccion de personal, evaluacion de riesgo en seguros, entre otros.

¿Tu empresa usa IA para filtrar CVs? Riesgo alto. ¿Para evaluar solvencia de clientes? Riesgo alto. ¿Para priorizar incidencias de soporte? Probablemente no, pero depende de la implementacion.

Riesgo limitado (obligaciones de transparencia): Chatbots, deepfakes, sistemas de generacion de contenido. La obligacion principal es informar al usuario de que esta interactuando con IA o de que el contenido fue generado artificialmente.

Riesgo minimo (sin obligaciones especificas): La inmensa mayoria de aplicaciones de IA. Filtros de spam, recomendaciones de productos, optimizacion de rutas logisticas. Sin obligaciones regulatorias especificas, aunque las buenas practicas siempre aplican.

Que tienes que hacer (concretamente)

Si tu sistema es de riesgo alto

Las obligaciones son sustanciales. Resumiendo los articulos 8 a 15 del Reglamento:

Sistema de gestion de riesgos (Art. 9): Un proceso continuo (no un documento puntual) de identificacion, evaluacion y mitigacion de riesgos del sistema de IA. Debe cubrir riesgos conocidos y razonablemente previsibles, con medidas de mitigacion documentadas.

Gobernanza de datos (Art. 10): Los datasets de entrenamiento deben ser relevantes, representativos y, en la medida de lo posible, libres de errores. Hay que documentar las decisiones de diseño de datos, los sesgos conocidos y las medidas adoptadas para mitigarlos.

Documentacion tecnica (Art. 11): Antes de comercializar el sistema, hay que producir documentacion tecnica que demuestre cumplimiento. Incluye: descripcion general del sistema, elementos del diseño, proceso de desarrollo, capacidades y limitaciones, metricas de rendimiento, y medidas de mitigacion de riesgo.

Registro automatico (Art. 12): El sistema debe generar logs que permitan trazabilidad. Quien lo uso, cuando, que datos proceso, que resultado produjo. Los logs deben conservarse durante un periodo apropiado al proposito del sistema.

Transparencia (Art. 13): Instrucciones de uso claras para el deployer. Capacidades y limitaciones del sistema, nivel de precision y metricas de rendimiento, riesgos conocidos, especificaciones de los datos de entrada.

Supervision humana (Art. 14): El sistema debe diseñarse para que pueda ser supervisado por personas. Esto no significa “un humano aprueba cada decision” necesariamente, pero si que debe haber mecanismos para que un operador pueda intervenir, corregir o detener el sistema.

Precision, robustez y ciberseguridad (Art. 15): Niveles apropiados de precision (documentados y comunicados), robustez frente a errores y adversarial attacks, y medidas de ciberseguridad proporcionales al riesgo.

Si usas modelos GPAI (foundation models)

Si desarrollas o haces fine-tuning de modelos de proposito general (cualquier cosa basada en GPT, Llama, Mistral, etc.), desde agosto de 2025 necesitas:

• Documentacion tecnica del modelo segun el Anexo XI
• Politica de cumplimiento con la Directiva de derechos de autor (2019/790)
• Resumen detallado del contenido de entrenamiento

Si el modelo tiene “riesgo sistemico” (mas de 10^25 FLOPS de entrenamiento, o designado por la Comision), las obligaciones son aun mayores: evaluacion de riesgos sistematicos, pruebas adversariales, reporte de incidentes graves y medidas de ciberseguridad.

Para la mayoria de las empresas españolas que usan APIs de OpenAI, Anthropic o Google, las obligaciones del proveedor del modelo GPAI recaen sobre el desarrollador del modelo, no sobre el usuario. Pero si haces fine-tuning o construyes sistemas de alto riesgo sobre esos modelos, si eres responsable de la documentacion de tu sistema completo.

Si tu sistema es de riesgo limitado

Obligacion principal: transparencia. Si tu chatbot conversa con clientes, debe informar de que es un sistema de IA. Si generas imagenes o video sintetico, debe estar claramente marcado. Si usas sistemas de deteccion de emociones o categorización biometrica, debes informar a los sujetos.

Sanciones

Las multas son proporcionales al tamaño de la empresa, pero los maximos son significativos:

• Practicas prohibidas: hasta 35 millones EUR o 7% de la facturacion global anual
• Incumplimiento de obligaciones de alto riesgo: hasta 15 millones EUR o 3%
• Informacion incorrecta a autoridades: hasta 7.5 millones EUR o 1%

Para PYMEs, las multas se ajustan proporcionalmente. Pero incluso la multa mas pequeña puede ser existencial para una empresa de 50 empleados.

Tres pasos para empezar hoy

Si tu empresa desarrolla o despliega sistemas de IA y aun no has empezado la evaluacion de cumplimiento:

1. Inventaria tus sistemas de IA (esta semana). Todo lo que use machine learning, deep learning o sistemas basados en reglas complejas. Incluye las APIs de terceros. Clasifica cada uno segun la piramide de riesgo.

2. Prioriza por riesgo (este mes). Los sistemas de riesgo alto necesitan atencion inmediata. La documentacion tecnica no se escribe en un fin de semana. El sistema de gestion de riesgos es un proceso continuo que necesita tiempo para madurar.

3. Establece gobernanza (este trimestre). Designa responsabilidades internas. El AI Act no requiere un “AI Officer” formal, pero alguien tiene que ser responsable del cumplimiento. En una PYME, puede ser el CTO. En una gran empresa, necesitas un equipo cross-functional.

El EU AI Act no es el fin de la IA en Europa. Es la formalizacion de practicas que toda organizacion responsable ya deberia seguir. Documentar los sistemas, gestionar riesgos, ser transparente con los usuarios. La regulacion simplemente pone plazos y sanciones a lo que deberia ser sentido comun.

Si necesitas ayuda para evaluar el impacto del EU AI Act en tu organizacion, nuestro equipo de consultoria puede realizar una evaluacion de cumplimiento y definir la hoja de ruta tecnica. Para empresas que desarrollan soluciones de IA y machine learning, ofrecemos asesoria especifica sobre documentacion tecnica y gestion de riesgos. Consulta nuestras soluciones tecnologicas para mas detalle.