La Ley de IA de la UE es la primera ley integral del mundo que regula la inteligencia artificial —y, al igual que el Reglamento General de Protección de Datos (RGPD) antes que ella, su influencia trasciende ampliamente las fronteras europeas. Si su empresa desarrolla, vende o incluso simplemente usa IA y tiene alguna relación con el mercado de la UE, es muy probable que esta ley le sea aplicable. Esta guía la explica en términos claros y prácticos.
Este artículo constituye información general, no asesoramiento jurídico. Para conocer sus obligaciones específicas, consulte a un profesional cualificado.
Conclusiones clave
- Ley de IA de la UE es la primera ley integral sobre IA y adopta un enfoque basado en el riesgo .
- Cuatro niveles de riesgo: inaceptable (prohibido), alto riesgo (normas estrictas), riesgo limitado (transparencia) y riesgo mínimo (libre).
- Se aplica extraterritorialmente — las empresas no pertenecientes a la UE quedan incluidas si su IA afecta al mercado de la UE.
- Entrará en vigor progresivamente, con distintas obligaciones que entrarán en vigor en fechas diferentes.
- Las sanciones son severas — multas elevadas basadas en la facturación global.
- ¿Qué es la Ley de Inteligencia Artificial de la UE?
- Los cuatro niveles de riesgo
- ¿A quién afecta?
- Obligaciones clave para la IA de alto riesgo
- IA de propósito general
- Cronograma y sanciones
- Qué deben hacer ahora las empresas
- Hoja de ruta de cumplimiento progresivo para los nuevos plazos de 2026-2028
- Preguntas frecuentes
- Conclusión
- Artículos relacionados
¿Qué es la Ley de Inteligencia Artificial de la UE?
La Ley de Inteligencia Artificial de la UE es una normativa de la Unión Europea que establece reglas sobre cómo se pueden desarrollar, comercializar y utilizar los sistemas de inteligencia artificial. Su objetivo es garantizar que la IA utilizada en la UE sea segura, transparente y respete los derechos fundamentales, sin dejar de fomentar la innovación.
Su característica definitoria es un enfoque basado en el riesgo. En lugar de regular toda la IA de la misma manera, clasifica los sistemas de IA según el nivel de riesgo que representan para las personas y aplica normas más estrictas a los usos de mayor riesgo. Un filtro antispam y un sistema de IA que evalúa candidatos a empleo no se tratan de igual forma —y ese es precisamente el propósito.
Los cuatro niveles de riesgo
Todo lo dispuesto en la ley deriva de estas categorías:
| Nivel de riesgo | Tratamiento | Ejemplos |
|---|---|---|
| Riesgo inaceptable | Prohibido expresamente | Clasificación social, IA manipuladora o explotadora |
| Alto riesgo | Obligaciones estrictas | IA en contratación laboral, concesión de crédito, educación e infraestructuras críticas |
| Riesgo limitado | Obligaciones de transparencia | Chatbots, contenidos generados mediante IA |
| Riesgo mínimo | En gran medida no regulados | Filtros antispam, IA en videojuegos, herramientas de recomendación |
Riesgo inaceptable — un pequeño conjunto de usos de la IA considerados una amenaza clara para los derechos de las personas queda prohibido por completo.
Alto riesgo — la categoría más relevante desde el punto de vista del cumplimiento normativo. La IA utilizada en ámbitos con consecuencias significativas —decisiones laborales, acceso al crédito y a servicios esenciales, educación, ciertos sistemas críticos— está sujeta a requisitos rigurosos antes y durante su uso.
Riesgo limitado — sistemas como los chatbots y los contenidos generados mediante IA están sujetos a obligaciones de transparencia : las personas deben ser informadas de que están interactuando con una IA o de que el contenido ha sido generado mediante IA.
Riesgo mínimo — la gran mayoría de las aplicaciones de IA se encuadran en esta categoría y prácticamente no están sujetas a nuevas obligaciones.
¿A quién afecta?
Esta es la parte que muchas empresas pasan por alto: la Ley de Inteligencia Artificial de la UE se aplica extraterritorialmente. No es necesario estar establecido en Europa para quedar sujeto a ella.
La ley alcanza a:
- Proveedores — quienes desarrollan sistemas de IA o los introducen en el mercado de la UE.
- Usuarios finales (desplegadores) — empresas que usar sistemas de IA en sus operaciones dentro de la UE.
- Empresas no pertenecientes a la UE — si su sistema de IA se utiliza en la UE, o sus resultados se emplean en la UE, la ley puede aplicarse a usted independientemente de la ubicación de su empresa.
Así pues, cualquier empresa del mundo que ofrezca un producto de IA a clientes de la UE, o que utilice IA para tomar decisiones que afecten a personas en la UE, podría quedar comprendida dentro de su ámbito de aplicación. Se trata del mismo «efecto Bruselas» que convirtió el Reglamento General de Protección de Datos (RGPD) en un estándar global.
Obligaciones clave para la IA de alto riesgo
Si su IA se clasifica en la categoría de alto riesgo, deberá cumplir requisitos tales como:
- Gestión de riesgos — un proceso continuo para identificar y reducir los riesgos.
- Gobernanza de los datos — uso de conjuntos de datos adecuados y bien gestionados, prestando especial atención a sesgos.
- Documentación — registros técnicos detallados que demuestren el cumplimiento normativo.
- Transparencia — información clara para las personas que despliegan el sistema y para aquellas afectadas por él.
- Supervisión humana — el sistema debe diseñarse de modo que las personas puedan supervisarlo de forma efectiva.
- Precisión y solidez — rendimiento y seguridad adecuados.
- Mantenimiento de registros — registro detallado para que pueda rastrearse el funcionamiento del sistema.
Para riesgo limitado sistemas, la obligación central es más sencilla: divulgación. Informe a los usuarios de que están interactuando con inteligencia artificial y etiquete claramente el contenido generado por IA.
IA de propósito general
La Ley también aborda la IA de propósito general — los grandes modelos fundamentales que sustentan muchos productos. Los proveedores de estos modelos asumen un conjunto propio de obligaciones, incluidos requisitos de transparencia y documentación, además de deberes adicionales para los modelos más capaces, cuyos riesgos potenciales son más amplios.
Cronograma y sanciones
La Ley de IA de la UE no entra en vigor de forma inmediata y simultánea. Se implementa progresivamente, aplicándose distintas obligaciones en fechas diferentes: primero entraron en vigor las prohibiciones sobre usos vetados, seguidas, según un calendario escalonado, de los requisitos aplicables a sistemas de alto riesgo y otros. Dado que las fechas exactas dependen de la categoría, las empresas deben verificar el cronograma vigente correspondiente a las obligaciones que les afectan.
El penalizaciones son intencionadamente severas: multas sustanciales calculadas como un porcentaje de la facturación anual mundial de la empresa, siendo las multas más elevadas para las infracciones más graves. Al igual que con el Reglamento General de Protección de Datos (RGPD), el diseño de las sanciones garantiza que las grandes empresas no puedan considerar el cumplimiento como una opción facultativa.
Qué deben hacer ahora las empresas
Una lista de verificación práctica inicial:
- Inventariar su IA. Enumere todos los sistemas de IA que desarrolle o utilice y que tengan alguna incidencia en la UE.
- Clasifique cada uno según su nivel de riesgo. Esto determina qué obligaciones, si las hay, debe cumplir.
- Centrarse en los sistemas de alto riesgo — ahí radica el verdadero esfuerzo de cumplimiento normativo.
- Verificar las obligaciones de transparencia — si utiliza chatbots o genera contenido mediante IA, asegúrese de divulgarlo debidamente.
- Asignar responsabilidad Designe claramente a una persona encargada de la gobernanza de la IA.
- Obtener asesoramiento especializado para cualquier sistema de alto riesgo o cuya clasificación sea incierta.
Para la mayoría de las empresas, gran parte de su uso de IA se encuadrará en las categorías de riesgo mínimo o limitado y requerirá poca intervención. El esfuerzo se concentra en los sistemas de alto riesgo; por tanto, la primera tarea consiste simplemente en identificar cuáles de sus sistemas, si alguno, cumplen con ese criterio.
Hoja de ruta de cumplimiento progresivo para los nuevos plazos de 2026-2028
El cronograma ya no representa un único punto crítico. En virtud del paquete de simplificación Digital Omnibus, sobre el cual el Consejo y el Parlamento Europeo alcanzaron un acuerdo provisional el 7 de mayo de 2026, las obligaciones más exigentes relativas a sistemas de alto riesgo se han pospuesto: los sistemas independientes enumerados en el Anexo III (contratación, calificación crediticia, educación y similares) entrarán en vigor a partir del 2 de diciembre de 2027, y la IA integrada en productos regulados contemplados en el Anexo I (dispositivos médicos, maquinaria, vehículos) a partir del 2 de agosto de 2028. Esto representa un respiro, no una exención. Las prácticas prohibidas han estado vetadas desde febrero de 2025; las normas sobre transparencia entran en vigor por primera vez, y las obligaciones relativas a la IA de propósito general (que ya están vigentes desde agosto de 2025) serán exigibles con imposición de multas a partir del 2 de agosto de 2026. Tenga en cuenta que estas nuevas fechas están sujetas a la adopción formal y publicación en el Diario Oficial. Considere esta prórroga como tiempo para cumplir correctamente con las obligaciones, no para aplazarlas.
Aborde el problema en cuatro fases:
- Fase 1 — Inventario (hágalo ahora). Enumere todos los sistemas de inteligencia artificial que su organización diseña, adquiere o integra. Para cada uno, registre al proveedor, su finalidad empresarial, los datos con los que interactúa y las personas afectadas por sus resultados. No puede clasificar ni presupuestar lo que no ha catalogado, y la IA «oculta» dentro de herramientas SaaS es el punto ciego más frecuente.
- Fase 2 — Clasificación y cribado. Asigne a cada sistema un nivel de riesgo. Cualquier sistema que pudiera estar prohibido (por ejemplo, el reconocimiento de emociones en el entorno laboral o la extracción masiva y no dirigida de datos para bases de datos de reconocimiento facial) debe suspenderse de inmediato: dichas prohibiciones ya están vigentes. Identifique como candidatos de alto riesgo a todos aquellos que requieran una revisión más exhaustiva.
- Fase 3 — Cierre de brechas (2026-2027). Para los sistemas de alto riesgo, elabore la documentación técnica, el proceso de gestión de riesgos, el diseño de supervisión humana, los registros (logs) y las pruebas de gobernanza de datos exigidas por la Ley. Si usted implementa un sistema de un tercero en lugar de desarrollarlo internamente, sus obligaciones bajo el artículo 26 son menores, pero reales: asegúrese de obtener por escrito las instrucciones del proveedor y su documentación de conformidad.
- Fase 4 — Operación y supervisión (continua). La conformidad no es un trámite único. Asigne responsables identificados, conserve los registros, supervise el rendimiento y notifique sin demora los incidentes graves.
Implemente desde el primer día formación sobre alfabetización en IA en paralelo: es económica, ya se espera tanto de los proveedores como de los usuarios, y una plantilla capacitada es lo que garantiza que todas las demás fases funcionen correctamente. Si es una PYME o una empresa mediana pequeña, preste atención a las simplificaciones introducidas por el paquete Omnibus, diseñadas expresamente para su tipo de organización, incluidos requisitos reducidos de documentación y acceso prioritario a «entornos reguladores de ensayo» (regulatory sandboxes) para pruebas en entornos reales.
Preguntas frecuentes
¿Qué es la Ley de Inteligencia Artificial de la UE?
La Ley de IA de la UE es la ley integral de la Unión Europea que regula la inteligencia artificial —la primera de su tipo—. Emplea un enfoque basado en el riesgo, clasificando los sistemas de IA en cuatro niveles (riesgo inaceptable, alto, limitado y mínimo) y aplicando obligaciones proporcionales al riesgo que cada uno representa.
¿Se aplica la Ley de IA de la UE a empresas no comunitarias?
Sí. La ley tiene alcance extraterritorial. Una empresa con sede en cualquier lugar puede quedar sujeta a ella si su sistema de IA se comercializa en el mercado de la UE, se utiliza dentro de la UE o sus resultados se emplean en dicho territorio. Empresas de todo el mundo pueden tener obligaciones si su IA tiene alguna incidencia en la UE.
¿Cuáles son las categorías de riesgo establecidas en la Ley de IA de la UE?
Cuatro: riesgo inaceptable (prohibido expresamente), alto riesgo (obligaciones estrictas, como la IA aplicada a procesos de contratación o concesión de crédito), riesgo limitado (obligaciones de transparencia, como los chatbots que deben revelar su naturaleza de IA) y riesgo mínimo (la mayoría de las aplicaciones de IA, prácticamente sin regulación).
¿Cuáles son las sanciones por infringir la Ley de IA de la UE?
Las sanciones consisten en multas sustanciales calculadas como un porcentaje de la facturación anual mundial de la empresa, reservándose las multas más elevadas para las infracciones más graves, como la utilización de sistemas de IA prohibidos. Su diseño sigue el enfoque del RGPD, al hacer que el incumplimiento resulte realmente costoso.
¿Qué debe hacer mi empresa para cumplir con la Ley de IA de la UE?
Comience por inventariar todos los sistemas de IA que desarrolle o utilice y que tengan alguna incidencia en la UE, y luego clasifíquelos según su nivel de riesgo. La mayoría serán de bajo riesgo y requerirán poca acción. Concentre sus esfuerzos de cumplimiento en los sistemas de alto riesgo, asegúrese de cumplir con las obligaciones de transparencia respecto a los chatbots y al contenido generado por IA, asigne claramente la responsabilidad de la gobernanza y solicite asesoramiento jurídico cuando sea necesario.
¿Se han retrasado realmente hasta 2027 las normas aplicables a los sistemas de IA de alto riesgo?
Sí, en la mayoría de los casos. El paquete digital Omnibus —acordado provisionalmente por el Consejo y el Parlamento Europeo el 7 de mayo de 2026— aplaza las obligaciones relativas a los sistemas de alto riesgo enumerados en el anexo III (como sistemas independientes) hasta el 2 de diciembre de 2027, y las correspondientes a la IA integrada en productos regulados bajo el anexo I hasta el 2 de agosto de 2028. Este aplazamiento está sujeto a su adopción formal y no afecta a las prohibiciones (vigentes desde febrero de 2025) ni a las normas sobre transparencia y modelos de propósito general (vinculadas al 2 de agosto de 2026). Planifique sus actividades según estas nuevas fechas, pero no considere la lista de prohibiciones como opcional.
¿Son menores las sanciones económicas para las startups y las pequeñas empresas?
Efectivamente, sí. Los límites máximos establecidos son elevados: hasta 35 millones de euros o el 7 % de la facturación anual mundial para prácticas prohibidas, y hasta 15 millones de euros o el 3 % para infracciones relacionadas con sistemas de alto riesgo. En la mayoría de los casos, la autoridad reguladora aplica la cifra mayor. Sin embargo, el apartado 6 del artículo 99 invierte este criterio para PYMEs y startups: la multa queda limitada a la cantidad menor de ambas. Por tanto, una empresa pequeña se expone únicamente a un porcentaje de su modesta facturación, y no a una sanción fija de varios millones de euros.
¿Somos responsables si solo utilizamos una herramienta de IA de terceros, sin desarrollarla nosotros mismos?
Puede ser así, aunque sus obligaciones son más limitadas. Si simplemente implementa un sistema de alto riesgo desarrollado por un tercero en su actividad empresarial, usted es un «usuario» (deployer), no un «proveedor» (provider); por tanto, las responsabilidades principales —evaluación de conformidad, documentación técnica, marcado CE y registro en la UE— recaen sobre el fabricante o vendedor. No obstante, sus obligaciones bajo el artículo 26 siguen siendo vinculantes: debe utilizar el sistema conforme a las instrucciones del proveedor, asignar una supervisión humana debidamente capacitada, conservar los registros (logs) durante al menos seis meses, supervisar su funcionamiento, notificar sin demora los incidentes graves, informar a las personas afectadas y llevar a cabo, cuando proceda, una evaluación del impacto sobre los derechos fundamentales. Una advertencia importante: si modifica sustancialmente el sistema o lo comercializa bajo su propia marca, podría asumir la totalidad de las obligaciones propias de un proveedor.
Conclusión
La Ley de IA de la UE constituye un hito: es la primera iniciativa integral para regular la IA y, gracias a su alcance extraterritorial, probablemente se convertirá en un referente global, tal como lo hizo el RGPD en materia de protección de datos. Su diseño basado en el riesgo es razonable: la IA de riesgo mínimo queda libre de regulación, mientras que la IA utilizada en decisiones trascendentales está sometida a un escrutinio riguroso.
Para la mayoría de las empresas, la tarea práctica es manejable: inventariar su IA y clasificarla según su nivel de riesgo permitirá identificar que las obligaciones más exigentes solo se aplican a los usos de alto riesgo. El error a evitar es suponer que la ley no les afecta por no estar ubicados en Europa: si su IA alcanza el mercado de la UE, muy probablemente sí les concierne.

