Las cuatro categorías de riesgo
El EU AI Act no prohíbe la IA: la regula en función del daño potencial que puede causar. Cada categoría tiene requisitos distintos:
| Nivel | Qué incluye | Obligación |
|---|---|---|
| Riesgo inaceptable | Reconocimiento facial masivo en espacios públicos, sistemas de calificación social, manipulación subliminal | Prohibición total desde febrero 2025 |
| Alto riesgo | IA en salud, reclutamiento, educación, justicia, infraestructuras críticas, crédito bancario | Evaluación de conformidad, registro, documentación técnica, supervisión humana |
| Riesgo limitado | Chatbots con usuarios finales, sistemas de generación de contenido sintético (deepfakes) | Obligación de transparencia: informar al usuario de que interactúa con IA |
| Riesgo mínimo | Filtros de spam, IA en videojuegos, recomendadores de contenido no crítico | Sin obligaciones específicas (código de conducta voluntario) |
¿Qué sectores tienen más obligaciones?
Las pymes que operan en sectores regulados son las que deben prestar más atención. Los dos sectores con mayor exposición en la cartera de SANCANTIA son:
Clínicas y servicios de salud
- Cualquier sistema de IA que apoye decisiones diagnósticas o terapéuticas es alto riesgo.
- Los chatbots de atención al paciente que no toman decisiones clínicas son riesgo limitado: solo necesitan informar al usuario de que habla con IA.
- Automaciones de gestión de citas, recordatorios y facturación son riesgo mínimo.
- Recomendación: distinguir en el diseño del sistema entre flujos clínicos y flujos administrativos.
Despachos de abogados y asesores
- La IA usada en administración de justicia o asesoramiento legal vinculante es alto riesgo.
- Los asistentes IA que redactan borradores (contratos, escritos) para revisión humana son riesgo limitado o mínimo, según el caso.
- Los sistemas que califican el riesgo de clientes o expedientes sin supervisión humana directa pueden ser alto riesgo.
- Recomendación: implementar "human-in-the-loop" explícito en todos los flujos que afecten a decisiones sobre personas.
Calendario de aplicación
El reglamento se aplica de forma escalonada. Los hitos relevantes para las empresas en 2025-2027:
- Febrero 2025: prohibición de prácticas de IA inaceptables.
- Agosto 2025: obligaciones para modelos de IA de propósito general (GPAI) como GPT-4 o Claude.
- Agosto 2026: plena aplicación para sistemas de alto riesgo en sectores críticos.
- Agosto 2027: aplicación para sistemas de IA incorporados en productos regulados por otras directivas (médico, maquinaria…).
Qué debe hacer una pyme ahora mismo
No es necesario contratar un equipo legal de 20 personas. Para la mayoría de pymes, el cumplimiento básico se reduce a cuatro acciones:
- Inventariar los sistemas de IA que usas o planeas usar y clasificarlos por nivel de riesgo.
- Informar a los usuarios cuando interactúan con un chatbot o sistema automatizado (riesgo limitado).
- Documentar el propósito, las limitaciones y la supervisión humana de cada sistema.
- Elegir proveedores que ya cumplan sus propias obligaciones como proveedores de GPAI.
- Formar al equipo que usa IA en su trabajo diario: el Artículo 4 del reglamento exige alfabetización suficiente para un uso responsable, sin umbral de tamaño de empresa. Lo desarrollamos con detalle en qué exige el Artículo 4 y cómo demostrarlo con formación in-company.
En SANCANTIA incluimos la evaluación de riesgo EU AI Act en todos los proyectos de implementación. Nuestra política de uso de IA detalla cómo aplicamos estos principios en nuestros propios productos.
Preguntas frecuentes sobre el EU AI Act
¿Afecta el EU AI Act a las pymes que solo usan IA, no la desarrollan?
Sí, aunque con obligaciones menores. El reglamento distingue entre 'proveedores' (quienes crean el sistema de IA) y 'desplegadores' (quienes lo usan en su negocio). Si tu empresa usa un chatbot de IA para atención al cliente o un sistema de IA para tomar decisiones sobre empleados o clientes, eres desplegador y tienes obligaciones de transparencia, registro y gestión de riesgos proporcionales al nivel de riesgo del sistema.
¿Cuándo entran en vigor las principales obligaciones?
El reglamento entró en vigor el 1 de agosto de 2024 con aplicación progresiva: las prácticas prohibidas se aplicaron desde febrero 2025; las obligaciones para sistemas de alto riesgo en sectores críticos (salud, empleo, infraestructuras) se aplican desde agosto 2026; el resto de obligaciones desde agosto 2027. Las multas pueden llegar a 35 millones de euros o el 7% de la facturación global.
¿Los sistemas de IA generativa como ChatGPT o Claude están regulados?
Sí. Los modelos de propósito general (GPAI, como GPT-4 o Claude) tienen sus propias obligaciones de transparencia y documentación técnica. Los proveedores de estos modelos deben cumplir con ellas. Como usuario empresarial, tu obligación es asegurarte de que el proveedor cumple y de documentar cómo y para qué usas el modelo, especialmente en sectores regulados.
Términos relacionados
Amplía tu comprensión del marco regulatorio y técnico de la IA:
