Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Reglamento de Inteligencia Artificial. Resumen

El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de Inteligencia Artificial) fue aprobado con un amplio consenso entre los eurodiputados (523 votos a favor, 46 en contra y 49 abstenciones).

El Reglamento tiene por objetivo mejorar el funcionamiento del mercado interior, fomentar la innovación y garantizar un nivel elevado de protección de la salud, la seguridad y los derechos fundamentales, mediante un enfoque basado en el riesgo. Establece normas armonizadas para la introducción en el mercado, la puesta en servicio y el uso de sistemas de IA en toda la Unión, asegurando la libre circulación de bienes y servicios basados en IA que sean fiables, seguros, transparentes, trazables y no discriminatorios.

Entrada en vigor

El Reglamento entró en vigor el 1 de agosto de 2024, aunque su aplicación es escalonada:

  • 2 de febrero de 2025: Capítulos I (disposiciones generales) y II (prácticas prohibidas), más obligaciones de alfabetización en IA.
  • 2 de agosto de 2025: Capítulo III, Sección 4 (organismos notificados), Capítulo V (modelos de IA de uso general), Capítulo VII (gobernanza), Capítulo XII (sanciones, salvo artículo 101), artículo 78 (confidencialidad) y obligaciones de transparencia para proveedores de modelos de IA de Propósito General (GPAI).
  • 2 de agosto de 2026: Resto del Reglamento, salvo el artículo 6, apartado 1.
  • 2 de agosto de 2027: Artículo 6, apartado 1, y obligaciones correspondientes (sistemas de alto riesgo que son productos o componentes de seguridad del Anexo I).

Ámbito de aplicación

El Capítulo I establece un ámbito de aplicación subjetivo amplio, que comprende a todos los actores de la cadena de valor de la IA:

  1. Proveedores que introduzcan en el mercado o pongan en servicio sistemas o modelos de IA de uso general en la Unión Europea, estén o no establecidos en la Unión.
  2. Responsables del despliegue establecidos en la Unión Europea.
  3. Proveedores y responsables del despliegue de sistemas de IA establecidos en un tercer país cuando los resultados se utilicen en la Unión Europea.
  4. Importadores y distribuidores.
  5. Fabricantes de productos que incorporen IA bajo su marca.
  6. Representantes autorizados de proveedores no establecidos en la Unión Europea.
  7. Personas afectadas ubicadas en la Unión Europea. 

El Reglamento no se aplicará en los siguientes casos:

  • Ámbitos fuera del Derecho de la Unión Europea, incluida la seguridad nacional de los Estados miembros.
  • Sistemas de IA que se usen exclusivamente con fines militares, de defensa o seguridad nacional.
  • Autoridades públicas de terceros países u organizaciones internacionales que utilicen sistemas de IA en el marco de acuerdos o de la cooperación internacional (con garantías adecuadas).
  • Sistemas desarrollados exclusivamente para investigación y desarrollo científico.
  • Actividades de investigación, pruebas o desarrollo previas a la puesta en el mercado (las pruebas en condiciones reales no estarán cubiertas por esa exclusión).
  • Sistemas de IA de código abierto y licencias libres, salvo que sean de alto riesgo o prohibidos (artículos 5 o 50).
  • Uso puramente personal y no profesional por personas físicas.

Terminología

El Capítulo I concluye con una serie de definiciones clave que son muy útiles para quien no esté familiarizado con la terminología en IA.

El 29 de julio de 2025 se publicaron las Directrices de la Comisión Europea relativas a la definición de sistema de IA establecida en el Reglamento (UE) 2024/1689.

Prácticas prohibidas

El Capítulo II establece una serie de prohibiciones de uso de la IA, por el elevado riesgo que representan para los seres humanos.

Desde el 2 de febrero de 2025 está prohibida la introducción en el mercado, la puesta en servicio o la utilización de los sistemas o modelos de IA que:

  • Usen técnicas subliminales, manipuladoras o engañosas que alteren sustancialmente el comportamiento de las personas.
  • Exploten vulnerabilidades por edad, discapacidad o situación socioeconómica.
  • Realicen social scoring (puntuación social) con efectos perjudiciales o desproporcionados.
  • Evalúen el riesgo de cometer delitos basándose solo en perfiles de personalidad (salvo apoyo a valoración humana basada en hechos objetivos y verificables).
  • Crean bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales de Internet o de circuitos cerrados de televisión (CCTV).
  • Infieran emociones en el lugar de trabajo o centros educativos (salvo fines médicos o de seguridad)
  • Clasifiquen biométricamente para inferir raza, opiniones políticas, religión, orientación sexual, etc. (salvo etiquetado lícito o cumplimiento del Derecho).
  • Identificación biométrica remota en tiempo real en espacios públicos para aplicación de la ley, salvo excepciones estrictas (búsqueda de víctimas, amenaza inminente a la vida, localización de sospechosos de delitos graves con pena ≥4 años), con autorización judicial o administrativa previa, evaluación de impacto y registro (salvo urgencia justificada).

Al margen de las prohibiciones de uso, el Reglamento establece diferentes niveles de riesgo: riesgo inaceptable, que se corresponden con las prohibiciones de uso; riesgo alto; y riesgo distinto al nivel alto (limitado y mínimo).

Sistemas de alto riesgo

El Capítulo III se refiere a los sistemas de IA de alto riesgo, distinguiendo dos categorías:

  1. Sistemas de IA destinados a ser utilizados como componente de seguridad de un producto cubierto por la legislación de armonización de la Unión Europea enumerados en el Anexo I, o que el propio sistema de IA sea uno de dichos productos.
  2. Sistemas de IA del Anexo III: infraestructuras críticas (suministros de agua, gas, calefacción y electricidad y tráfico rodado); educación y formación profesional; gestión del empleo y acceso al autoempleo; servicios públicos y privados esenciales como sanidad o banca; gestión de la migración, asilo y control fronterizo; administración de justicia y procesos democráticos. Se considerarán siempre de alto riesgo cuando el sistema efectúe la elaboración de perfiles de personas físicas.

Los sistemas de IA contemplados en el anexo III no se considerarán de alto riesgo cuando el riesgo no plantee un perjuicio a la salud, la seguridad o los derechos fundamentales de las personas físicas, también al no influir sustancialmente en el resultado de la toma de decisiones. En estos casos, el proveedor estará obligado a documentar su evaluación antes de que dicho sistema sea introducido en el mercado o puesto en servicio. Además, estará sujeto a la obligación de registro. El proveedor facilitará la documentación de la evaluación a las autoridades nacionales competentes, si fuera requerido.

Los sistemas de IA de alto riesgo se diseñarán y desarrollarán de modo que puedan ser vigilados de manera efectiva por personas físicas durante el período que estén en uso, lo que incluye dotarlos de herramientas de interfaz humano-máquina adecuadas. El Reglamento dedica el artículo 14 a desarrollar –con detalle– cómo, cuándo y por qué cabe la supervisión humana.

Modelos de IA de uso general

El Capítulo V se dedica a regular los «Modelos de IA de uso general», estableciendo las reglas de clasificación (art. 51), procedimiento (art. 52), obligaciones de los proveedores de modelos de IA de uso general (art. 53), representantes autorizados de los proveedores de modelos de IA de uso general (art. 54) y obligaciones de los proveedores de modelos de IA de uso general con riesgo sistémico (art. 55). También se ocupa de regular los «Códigos de buenas prácticas» (art. 56).   

El Capítulo VI regula las «Medidas de apoyo a la innovación». Los artículos 57 a 61 se ocupan de los «espacios controlados de pruebas para la IA» que serán diseñados para desarrollar, entrenar, probar y validar sistemas de inteligencia artificial con el soporte y supervisión de los organismos de gobernanza nacionales.

El Capítulo VII se ocupa de la «Gobernanza». A escala de la Unión, se crea la «Oficina de IA» (art. 64), el «Consejo Europeo de Inteligencia Artificial» (arts. 65 y 66) y «Foro consultivo» (art. 67), además del reconocimiento de un «Grupo de expertos científicos independientes» (art. 68). A escala nacional, los Estados miembro designarán, al menos, una autoridad notificante y autoridad de vigilancia (art. 70), si bien se pueden realizar por una sola autoridad. En el caso de España se ha designado como autoridad única para ejercer dichas funciones a la «Agencia Española de Supervisión de la Inteligencia Artificial» (AESIA).

El Capítulo VIII se dedica a la «Base de datos de la UE para sistemas de IA de alto riesgo» que afecta a las actividades incluidas en el anexo III. Esa base de datos estará gestionada por la Comisión Europea y será de acceso público.

El Capítulo IX se dedica a regular la vigilancia poscomercialización, intercambio de información sobre incidentes graves y vigilancia del mercado.

El Capítulo X se ocupa de los «Códigos de conducta» cuyo objetivo principal es fomentar que los proveedores de sistemas de IA que no son de alto riesgo cumplan, de manera voluntaria, los requisitos obligatorios para los sistemas de alto riesgo.

Los Códigos de conducta podrán ser elaborados por proveedores o responsables del despliegue de sistemas de IA particulares, por las organizaciones que los representen o por ambos, también con la participación de cualquier parte interesada y sus organizaciones representativas, como, por ejemplo, las organizaciones de la sociedad civil y el mundo académico. Dichos Códigos podrán comprender uno o varios sistemas de IA en función de la similitud de la finalidad prevista de los distintos sistemas.

El Capítulo XI se refiere a la delegación de poderes en favor de la Comisión para realizar actos delegados en las condiciones establecidas en el Reglamento. El artículo 98 se refiere al procedimiento de comité.

El Capítulo XII se refiere a las sanciones. El artículo 100 se ocupa de las multas administrativas a instituciones, órganos y organismos de la Unión y el artículo 101 a proveedores de modelos de IA de uso general.

El Capítulo XIII se ocupa de las Disposiciones finales, entre ellas, en el artículo 113 a la entrada en vigor y aplicación del Reglamento.

Finalmente, acompañan al Reglamento varios anexos:

  • Anexo I: Lista de actos legislativos de armonización de la Unión
  • Anexo II: Lista de los delitos a que se refiere el artículo 5, apartado 1, párrafo primero, letra h), inciso iii).
  • Anexo III: Sistemas de IA de alto riesgo a que se refiere el artículo 6, apartado 2.
  • Anexo IV: Documentación técnica a que se refiere el artículo 11, apartado 1.
  • Anexo V: Declaración UE de conformidad
  • Anexo VI: Procedimiento de evaluación de la conformidad fundamentado en un control interno.
  • Anexo VII: Conformidad fundamentada en la evaluación del sistema de gestión de la calidad y la evaluación de la documentación técnica.
  • Anexo VIII: Información que debe presentarse para la inscripción en el registro de sistemas de IA de alto riesgo de conformidad con el artículo 49.
  • Anexo IX: Información que debe presentarse para la inscripción en el registro de los sistemas de IA de alto riesgo enumerados en el anexo III en relación con las pruebas en condiciones reales de conformidad con el artículo 60.
  • Anexo X: Actos legislativos de la Unión relativos a sistemas informáticos de gran magnitud en el espacio de libertad, seguridad y justicia.
  • Anexo XI: Documentación técnica a que se refiere el artículo 53, apartado 1, letra a) — Documentación técnica para proveedores de modelos de IA de uso general.
  • Anexo XII: Información sobre transparencia a que se refiere el artículo 53, apartado 1, letra b) — Documentación técnica de los proveedores de modelos de IA de uso general para los proveedores posteriores que integren el modelo en su sistema de IA.
  • Anexo XIII: Criterios para la clasificación de los modelos de IA de uso general con riesgo sistémico a que se refiere el artículo 51.

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es