Glosario de IA

EU AI Act: qué es el Reglamento de IA europeo y qué debes hacer como empresa

El EU AI Act (Reglamento de Inteligencia Artificial de la Unión Europea) es el primer marco legal de IA del mundo, publicado en el Diario Oficial de la UE el 12 de julio de 2024. Clasifica los sistemas de IA en cuatro niveles de riesgo y establece obligaciones proporcionales para cualquier empresa que desarrolle o use IA dentro del mercado europeo, incluidas las pymes.

Las cuatro categorías de riesgo

El EU AI Act no prohíbe la IA: la regula en función del daño potencial que puede causar. Cada categoría tiene requisitos distintos:

NivelQué incluyeObligación
Riesgo inaceptable Reconocimiento facial masivo en espacios públicos, sistemas de calificación social, manipulación subliminal Prohibición total desde febrero 2025
Alto riesgo IA en salud, reclutamiento, educación, justicia, infraestructuras críticas, crédito bancario Evaluación de conformidad, registro, documentación técnica, supervisión humana
Riesgo limitado Chatbots con usuarios finales, sistemas de generación de contenido sintético (deepfakes) Obligación de transparencia: informar al usuario de que interactúa con IA
Riesgo mínimo Filtros de spam, IA en videojuegos, recomendadores de contenido no crítico Sin obligaciones específicas (código de conducta voluntario)

¿Qué sectores tienen más obligaciones?

Las pymes que operan en sectores regulados son las que deben prestar más atención. Los dos sectores con mayor exposición en la cartera de SANCANTIA son:

Clínicas y servicios de salud

  • Cualquier sistema de IA que apoye decisiones diagnósticas o terapéuticas es alto riesgo.
  • Los chatbots de atención al paciente que no toman decisiones clínicas son riesgo limitado: solo necesitan informar al usuario de que habla con IA.
  • Automaciones de gestión de citas, recordatorios y facturación son riesgo mínimo.
  • Recomendación: distinguir en el diseño del sistema entre flujos clínicos y flujos administrativos.

Despachos de abogados y asesores

  • La IA usada en administración de justicia o asesoramiento legal vinculante es alto riesgo.
  • Los asistentes IA que redactan borradores (contratos, escritos) para revisión humana son riesgo limitado o mínimo, según el caso.
  • Los sistemas que califican el riesgo de clientes o expedientes sin supervisión humana directa pueden ser alto riesgo.
  • Recomendación: implementar "human-in-the-loop" explícito en todos los flujos que afecten a decisiones sobre personas.

Calendario de aplicación

El reglamento se aplica de forma escalonada. Los hitos relevantes para las empresas en 2025-2027:

  • Febrero 2025: prohibición de prácticas de IA inaceptables.
  • Agosto 2025: obligaciones para modelos de IA de propósito general (GPAI) como GPT-4 o Claude.
  • Agosto 2026: plena aplicación para sistemas de alto riesgo en sectores críticos.
  • Agosto 2027: aplicación para sistemas de IA incorporados en productos regulados por otras directivas (médico, maquinaria…).

Qué debe hacer una pyme ahora mismo

No es necesario contratar un equipo legal de 20 personas. Para la mayoría de pymes, el cumplimiento básico se reduce a cuatro acciones:

  1. Inventariar los sistemas de IA que usas o planeas usar y clasificarlos por nivel de riesgo.
  2. Informar a los usuarios cuando interactúan con un chatbot o sistema automatizado (riesgo limitado).
  3. Documentar el propósito, las limitaciones y la supervisión humana de cada sistema.
  4. Elegir proveedores que ya cumplan sus propias obligaciones como proveedores de GPAI.
  5. Formar al equipo que usa IA en su trabajo diario: el Artículo 4 del reglamento exige alfabetización suficiente para un uso responsable, sin umbral de tamaño de empresa. Lo desarrollamos con detalle en qué exige el Artículo 4 y cómo demostrarlo con formación in-company.

En SANCANTIA incluimos la evaluación de riesgo EU AI Act en todos los proyectos de implementación. Nuestra política de uso de IA detalla cómo aplicamos estos principios en nuestros propios productos.

Preguntas frecuentes sobre el EU AI Act

¿Afecta el EU AI Act a las pymes que solo usan IA, no la desarrollan?

Sí, aunque con obligaciones menores. El reglamento distingue entre 'proveedores' (quienes crean el sistema de IA) y 'desplegadores' (quienes lo usan en su negocio). Si tu empresa usa un chatbot de IA para atención al cliente o un sistema de IA para tomar decisiones sobre empleados o clientes, eres desplegador y tienes obligaciones de transparencia, registro y gestión de riesgos proporcionales al nivel de riesgo del sistema.

¿Cuándo entran en vigor las principales obligaciones?

El reglamento entró en vigor el 1 de agosto de 2024 con aplicación progresiva: las prácticas prohibidas se aplicaron desde febrero 2025; las obligaciones para sistemas de alto riesgo en sectores críticos (salud, empleo, infraestructuras) se aplican desde agosto 2026; el resto de obligaciones desde agosto 2027. Las multas pueden llegar a 35 millones de euros o el 7% de la facturación global.

¿Los sistemas de IA generativa como ChatGPT o Claude están regulados?

Sí. Los modelos de propósito general (GPAI, como GPT-4 o Claude) tienen sus propias obligaciones de transparencia y documentación técnica. Los proveedores de estos modelos deben cumplir con ellas. Como usuario empresarial, tu obligación es asegurarte de que el proveedor cumple y de documentar cómo y para qué usas el modelo, especialmente en sectores regulados.

Términos relacionados

Amplía tu comprensión del marco regulatorio y técnico de la IA:

¿Necesitas implementar IA cumpliendo el EU AI Act?

En SANCANTIA incluimos la evaluación de riesgos regulatorios en todos los proyectos. Hablamos 15 minutos y te decimos qué nivel de riesgo tiene tu caso.

Diagnóstico gratuito
Estela Molinero

Estela Molinero — CEO de SANCANTIA

Consultora de IA y automatización empresarial. Experiencia en España y EE.UU., incluyendo Grupo Mapfre (IBEX 35). Profesora de IA en la Universidad de Cantabria.

Última actualización: 2026-06-30 · Ver todos los términos del glosario