Desde el 1 de agosto de 2024 entró en vigor el Reglamento de Inteligencia Artificial de la UE, conocido como IA Act, el primer marco legal global general para regular la IA. Audidat analiza en detalle todo lo que implica esta normativa.
El objetivo es claro: permitir el desarrollo y uso de IA en Europa, pero con fuertes garantías para proteger la salud, seguridad y derechos fundamentales de las personas evitando riesgos como sesgos, discriminación o decisiones automatizadas injustas.
La normativa implica a un amplio abanico de actores: no solo a quienes desarrollan IA, sino también a quienes la implementan, distribuyen, importan o la usan en sus procesos, por lo que muchas empresas, incluso sin ser “tech”, pueden verse afectadas.
El enfoque del reglamento es “según riesgo”: no toda IA se regula igual. Las herramientas consideradas de “alto riesgo” por ejemplo, las usadas en sanidad, justicia, selección de personal, crédito, servicios financieros, decisiones sobre personas están sujetas a obligaciones estrictas de gobernanza, transparencia, supervisión humana, gestión de riesgos, trazabilidad, y documentación técnica.
Por eso, para cualquier empresa que utilice IA para decisiones sensibles, no basta solo con implementar la tecnología: debe asegurar que se cumplen estos requisitos normativos.
¿Qué nos puede pasar si no nos adaptamos?: sanciones, prohibiciones y consecuencias
El IA Act prevé un régimen sancionador serio para quienes no respeten sus obligaciones:- Si una empresa incurre en infracciones consideradas muy graves, por ejemplo, utilizar sistemas prohibidos o someter a personas a decisiones automáticas injustas o discriminatorias las multas pueden alcanzar hasta 35 millones de euros o bien el 7 % del volumen de negocio global anual, si esta cifra es mayor.
- Para otras infracciones (“menos graves”) como no cumplir con requisitos técnicos u organizativos, transparencia, supervisión humana, documentación o gobernanza las sanciones pueden ser de hasta 15 millones de euros o el 3 % de la facturación anual global.
- Si la empresa proporciona información incorrecta, incompleta o engañosa a las autoridades, también hay multas: hasta 7,5 millones de euros o un 1 % del volumen de negocio.
- Además de sanciones económicas, en casos de “alto riesgo” o prácticas prohibidas la autoridad puede ordenar la retirada del sistema de IA del mercado, su desconexión o incluso su prohibición.
¿Quién nos vigila y nos puede sancionar?: los órganos de supervisión en Europa y España
Para garantizar el cumplimiento del IA Act, se han creado estructuras de supervisión a nivel europeo y nacional:- A nivel de la UE existe una Oficina de IA dentro de la Comisión Europea, un comité de expertos científicos independientes, un comité de representantes de Estados miembros y un foro consultivo de partes interesadas, con el fin de coordinar aplicación, definir normas técnicas y asesorar sobre riesgos.
- En España, la entidad encargada de supervisar y sancionar el cumplimiento es la Agencia Española de Supervisión de Inteligencia Artificial (AESIA), creada con anterioridad ya para aplicar lo dispuesto en la regulación.
- Dependiendo del ámbito de uso de la IA, otras autoridades pueden intervenir, por ejemplo, la Agencia Española de Protección de Datos (AEPD) cuando hay tratamiento de datos sensibles o decisiones que afecten a derechos fundamentales como privacidad o discriminación, el Consejo General del Poder Judicial en casos relacionados con justicia o la Junta Electoral Central en contextos electorales.
Además, las autoridades pueden adoptar medidas cautelares: retirar un sistema de IA del mercado o suspender su uso mientras se investiga un incumplimiento lo que puede paralizar proyectos enteros.
¿Por qué las empresas deben preocuparse y actuar ya?
La entrada en vigor del IA Act marca un antes y un después: la IA deja de ser un territorio sin reglas. Si tu empresa desarrolla, vende, importa, distribuye o usa sistemas de IA desde chatbots hasta herramientas de selección de personal, scoring crediticio, diagnóstico sanitario, moderación de contenido, etc. debes comprobar si esos sistemas están regulados como de “alto riesgo” o incluso prohibidos.No adaptarse conlleva riesgos gravísimos: sanciones millonarias, retirada de sistemas, pérdida de reputación, paralización de proyectos, demandas, y pérdida de confianza por parte de clientes, usuarios o reguladores.
Además, la normativa no es algo puntual: exige establecer gobernanzas internas, supervisión humana, trazabilidad, documentación técnica y transparencia constante. Por tanto, la transformación hacia un uso responsable de la IA supone cambios reales en la forma de operar, no simplemente marcar una casilla.
En España, gracias a la AESIA y otras autoridades sectoriales, el control ya es posible: cualquier empresa debe estar preparada para auditorías, inspecciones o recibir denuncias de usuarios.
En ese contexto, adaptar la empresa al IA Act ya no es opcional: es una obligación para quien quiera trabajar con IA sin asumir riesgos excesivos.
Conclusión
El IA Act representa un punto de inflexión. La inteligencia artificial, que promete eficiencia, innovación y ventajas competitivas, viene ahora acompañada de obligaciones concretas y sanciones muy duras. Para las empresas, esto significa que el camino hacia la IA debe ir de la mano de una gobernanza responsable, cumplimiento normativo y una evaluación crítica de riesgo.Quienes se adapten pronto podrán beneficiarse de la IA en un entorno regulado con garantías. Quienes no lo hagan, arriesgan mucho más que multas: su reputación, su viabilidad y su futuro.
Antes de integrar soluciones de Inteligencia Artificial en tu organización, es fundamental realizar los análisis adecuados y asegurarte de que todo se construye sobre una base sólida. Como bien dice el refrán, “¡no empieces la casa por el tejado!”. Garantizar que los cimientos de tu estrategia tecnológica cumplen con la normativa no solo minimiza riesgos, sino que también te permite crecer de forma sostenible y diferenciarte realmente de la competencia.
