El pasado 12 de julio, el Diario Oficial de la Unión Europea (DOUE), el boletín oficial que recoge las acciones, decisiones y actos legislativos aprobados en el marco de la UE (y llamado coloquialmente "el BOE europeo"), albergó en sus páginas la publicación del Reglamento Europeo de Inteligencia Artificial (IA Act, en inglés). Empezó, entonces, una cuenta atrás de 20 días para su entrada en vigor que ha culminado hoy, 1 de agosto.
Así, este jueves se consolida esta normativa, que será de plena aplicación 24 meses después, es decir, a principios de agosto de 2026, aunque algunos aspectos de la misma sí que serán de obligado cumplimiento antes de dicha fecha.
El arduo y lento camino que ha recorrido esta ley desde que se empezó a trabajar en ella, da cuenta de la importancia de este documento, considerado uno de los más relevantes en la historia del ecosistema digital comunitario. De hecho, dado su carácter pionero, se espera que siente las bases de la futura regulación alrededor de dicha tecnología en todo el mundo.
Para llegar hasta este punto fueron necesarias más de medio centenar de reuniones técnicas, además de un último trílogo (conversaciones entre el Consejo, el Parlamento y la Comisión Europea) que será recordado por ser uno de los más largos hasta la fecha (alcanzando casi las 40 horas). Todo ello con el objetivo de lograr una posición común entre los legisladores en asuntos que suscitaron fricciones como la aproximación al reconocimiento facial y biométrico en tiempo real.
Aquí, España tuvo un papel fundamental, ya que fue el país que ostentó la presidencia rotatoria del Consejo de la Unión Europea durante los últimos seis meses en 2023 y que, en este período, impulsó la ley para que solventase sus últimos escollos.
Un enfoque basado en el riesgo
Finalmente, la legislación apuesta por un enfoque basado en el riesgo, dividiendo los diferentes usos de esta tecnología en categorías que indican la peligrosidad que entrañan y estableciendo requisitos y obligaciones a los participantes en la cadena de valor.
Así, a partir de la definición de sistema de IA establecida por la OCDE e integrada en el reglamento, la ley prohíbe aquellas prácticas consideradas de "riesgo inaceptable", entre ellas, el empleo de técnicas manipuladoras para alterar el comportamiento de una persona, la explotación de vulnerabilidades, la evaluación de personas o colectivos atendiendo a sus características (social scoring), o los sistemas dedicados a inferir emociones en el trabajo o en los centros educativos.
Además, se considera de "alto riesgo" los sistemas que afectan a infraestructuras críticas, los dedicados a la educación y formación profesional (como los que determinan la admisión o la evaluación de los resultados educativos), los que afectan a la justicia y los procesos democráticos (sistemas de asistencia a las autoridades judiciales o aquellos que influyan en el comportamiento electoral) o los que tengan que ver con el control fronterizo.
De esta forma, los sistemas de "alto riesgo" deben cumplir criterios específicos como asegurar la calidad de los conjuntos de datos, permitir la supervisión humana efectiva durante su uso, implantar y mantener un proceso de gestión de riesgos o cumplir niveles adecuados de precisión, solidez y ciberseguridad, entre otros. A estas se suman, asimismo, otros requisitos específicos para los proveedores, así como para los responsables del despliegue.
Por otro lado, la ley regula también los modelos de IA de uso general sobre los que establece una serie de obligaciones dedicadas a los proveedores como documentar el proceso de entrenamiento y resultados, informar sobre sus características y requisitos legales a los proveedores de sistemas de IA que vayan a integrarlo, establecer directrices para asegurar el respecto a la normativa de propiedad intelectual o publicar un resumen detallado del contenido usado para el entrenamiento.
Multas de hasta 35 millones
La norma contempla sanciones de hasta 35 millones de euros o el 7% de su facturación anual mundial para las compañías que realicen alguna de las prácticas prohibidas. También, incluye multas de hasta 15 millones o el 3% de la facturación para las que incumplan las obligaciones especificadas para proveedores, importadores, distribuidores o responsables del despliegue.
Los reguladores precisan que el suministro de información incorrecta, incompleta o engañosa a los organismos o autoridades incluirá sanciones de hasta 7,5 millones de euros o el 1% de la facturación.
Todo ello será gestionado a través de la AI Office, una entidad creada específicamente para esta legislación que se encargará de supervisar que los Estados miembros aplican la nueva normativa, supervisar los modelos de IA más avanzados y contribuir a fomentar las normas y prácticas de ensayo.
Próximos pasos
¿Y ahora qué? A pesar de que este 1 de agosto se oficializa la entrada en vigor de esta regulación, hay que contemplar distintas fechas de aplicabilidad de la misma.
Así, se espera que la norma sea de completa obligatoriedad 24 meses a partir de hoy, en agosto de 2026. No obstante, algunos aspectos de la misma serán aplicables antes de dicha fecha, entre ellos, las prohibiciones de prácticas (que se aplicarán seis meses después de la entrada en vigor). También, los códigos de buenas prácticas (nueve meses después); las normas sobre la IA de uso general, incluida la gobernanza (doce meses después), y las obligaciones para los sistemas de alto riesgo (treinta y seis meses después).
El adelanto de algunos de los puntos recogidos en la norma coincide con la intención de los legisladores de dar cobertura a una tecnología que evoluciona de forma rápida. De hecho, cabe recordar que, desde el inicio de la concepción de esta legislación hasta su actual consolidación, esta tecnología ha experimentado grandes variaciones como el despliegue de su vertiente generativa, lo que obligó a los autores de la norma a adaptarse en mitad de su elaboración.