La entrada en vigor definitiva del Reglamento Europeo de Inteligencia Artificial (AI Act) ha marcado un antes y un después en la forma en que las organizaciones desarrollan y despliegan sistemas algorítmicos. Para muchas empresas, la integración de la IA ha pasado de ser una ventaja competitiva a un desafío de cumplimiento normativo de alta complejidad. La incertidumbre sobre la clasificación de los sistemas según su nivel de riesgo genera una exposición jurídica que puede comprometer no solo la operatividad, sino la viabilidad ética y legal de la corporación en el mercado único europeo.
La falta de adecuación a este marco legislativo conlleva repercusiones que trascienden lo tecnológico, afectando directamente a la responsabilidad civil y penal de los administradores. Las autoridades de supervisión han comenzado a auditar la trazabilidad de los datos de entrenamiento y la transparencia de los modelos generativos, penalizando la opacidad. Un despliegue descuidado de sistemas de IA puede derivar en la retirada obligatoria de productos del mercado, daños reputacionales por sesgos discriminatorios y sanciones económicas que superan los techos establecidos por el RGPD.
La solución ante esta transformación digital reside en un enfoque de gobernanza algorítmica liderado por el servicio de IAR. Mediante la implementación de auditorías de riesgos, sistemas de gestión de la calidad y documentación técnica rigurosa, las empresas pueden garantizar que su innovación es segura, transparente y plenamente conforme con el Derecho de la Unión.
Respuesta directa: El cumplimiento normativo de la Inteligencia Artificial es el conjunto de obligaciones legales establecidas por el Reglamento (UE) 2024/1689 para garantizar que los sistemas de IA sean seguros y respeten los derechos fundamentales. Clasifica los sistemas en niveles de riesgo (inaceptable, alto, limitado y mínimo). El incumplimiento puede acarrear sanciones de hasta 35 millones de euros o el 7 % de la facturación global.
Clasificación de sistemas y niveles de riesgo en la IA
La clasificación de sistemas es el proceso jurídico y técnico mediante el cual se determina el nivel de riesgo de una aplicación de IA para establecer las obligaciones correspondientes. El Reglamento Europeo de IA adopta un enfoque basado en el riesgo, lo que implica que las exigencias normativas aumentan proporcionalmente al impacto potencial del sistema sobre la seguridad y los derechos de las personas. Esta arquitectura legal busca proteger al ciudadano sin frenar la innovación tecnológica en sectores no críticos.
Es fundamental realizar un diagnóstico temprano, ya que los sistemas considerados de «riesgo inaceptable» están prohibidos de forma taxativa en todo el territorio de la Unión Europea desde principios de 2025.
Riesgo inaceptable: sistemas que utilizan técnicas de manipulación subliminal, puntuación social por parte de autoridades públicas o identificación biométrica remota en tiempo real en espacios públicos (salvo excepciones muy limitadas).
Riesgo alto: infraestructuras críticas, educación, empleo (cribado de CV), acceso a servicios esenciales y sistemas de justicia. Requieren una evaluación de conformidad previa y un sistema de gestión de riesgos permanente.
Riesgo limitado: sistemas como los chatbots o generadores de imágenes (deepfakes). Su obligación principal es la transparencia: el usuario debe saber que está interactuando con una IA.
Riesgo mínimo o nulo: incluye la mayoría de las aplicaciones actuales, como filtros de spam o videojuegos. No tienen obligaciones adicionales bajo el AI Act, aunque deben cumplir con el resto de la normativa vigente.
Comparativa de obligaciones según el rol del actor
| Responsabilidad legal | Proveedor de IA (Fabricante) | Desplegador de IA (Usuario profesional) |
| Evaluación de conformidad | Obligatoria antes de la comercialización | No requerida (salvo modificación sustancial) |
| Marcado CE de conformidad | Requisito indispensable para riesgo alto | Debe verificar su presencia en el producto |
| Registro en base de datos UE | Obligatorio para sistemas de alto riesgo | Solo en casos específicos de uso público |
| Vigilancia poscomercialización | Obligación de reportar fallos graves | Obligación de uso conforme a instrucciones |
| Documentación técnica | Debe crearla y mantenerla 10 años | Debe conservar los registros de actividad |
La determinación del rol es el primer paso para evitar errores costosos. Para asegurar una correcta categorización, el soporte de IAR permite alinear el desarrollo técnico con las exigencias de la Oficina Europea de Inteligencia Artificial.
Requisitos para sistemas de IA de alto riesgo
Los requisitos para sistemas de alto riesgo son el conjunto de estándares de calidad y seguridad que deben cumplir los algoritmos con impacto significativo en la vida de los ciudadanos. Según el artículo 9 del Reglamento, estos sistemas deben estar respaldados por un sistema de gestión de riesgos que cubra todo su ciclo de vida. La norma exige que los datos de entrenamiento sean pertinentes, representativos y, en la medida de lo posible, estén libres de sesgos que puedan generar discriminación por razón de género, raza o ideología.
La transparencia técnica debe permitir que las autoridades de control comprendan cómo el sistema llega a una decisión determinada. Esto implica el mantenimiento de registros automáticos (logs) que aseguren la trazabilidad de los resultados durante el funcionamiento operativo de la IA.
Gobernanza de datos: los conjuntos de datos de entrenamiento, validación y prueba deben someterse a prácticas de examen de sesgos y brechas de información.
Documentación técnica: debe incluir la arquitectura del sistema, el diseño algorítmico y las especificaciones de hardware necesarias para un funcionamiento seguro.
Transparencia y suministro de información: las instrucciones de uso deben ser claras para el desplegador, detallando las limitaciones del sistema y su precisión esperada.
Supervisión humana: los sistemas de IA deben diseñarse para que las personas físicas puedan supervisar su funcionamiento y, en caso necesario, intervenir o desactivar el proceso.
Precisión, solidez y ciberseguridad: el sistema debe ser resistente a errores, ataques de inversión de datos o intentos de manipulación externa por parte de terceros malintencionados.
El régimen sancionador y la responsabilidad corporativa
El régimen sancionador de la IA es el sistema de multas administrativas diseñado para garantizar la eficacia del cumplimiento en todo el mercado único. Al igual que ocurrió con el RGPD, la cuantía de las multas está pensada para ser disuasoria y proporcional al tamaño de la empresa infractora. La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) tiene potestad para realizar inspecciones y requerir el acceso al código fuente si existen indicios de riesgo para el interés público.
Las sanciones se dividen en tres tramos principales dependiendo de la gravedad de la infracción y el tipo de obligación vulnerada.
Infracción de prohibiciones: el uso de sistemas de riesgo inaceptable puede conllevar multas de hasta 35.000.000 € o el 7 % del volumen de negocios anual mundial.
Incumplimiento de requisitos: no cumplir con las obligaciones de gobernanza de datos o transparencia para sistemas de alto riesgo acarrea multas de hasta 15.000.000 € o el 3 % de la facturación.
Suministro de información incorrecta: proporcionar datos falsos a las autoridades o no notificar cambios sustanciales se penaliza con hasta 7.500.000 € o el 1,5 % del volumen de negocios.
Responsabilidad civil: además de las multas, la nueva Directiva de Responsabilidad en materia de IA facilita que las víctimas de daños causados por sistemas algorítmicos reclamen indemnizaciones judiciales.
Procedimiento de evaluación y marcado CE
La evaluación de conformidad es el procedimiento obligatorio para verificar que un sistema de IA de alto riesgo cumple con todos los requisitos legales antes de su puesta en servicio. Este proceso suele realizarse mediante un control interno de la calidad por parte del proveedor, aunque en ciertos casos (como en la identificación biométrica) es necesaria la intervención de un organismo notificado independiente. Una vez superada la evaluación, el sistema debe portar el marcado CE de forma visible y legible.
El proceso no finaliza con la comercialización. La norma impone un deber de vigilancia continua para detectar desviaciones en el comportamiento del algoritmo una vez está operando con datos reales de producción.
Análisis de clasificación: determinar si el sistema entra en el anexo de alta criticidad o si utiliza modelos fundacionales de uso general (GPAI).
Implementación de requisitos: aplicar los controles de gobernanza, transparencia y seguridad exigidos en los artículos 10 a 15 del Reglamento.
Expedición de declaración UE de conformidad: documento legal donde el proveedor asume la responsabilidad total sobre el cumplimiento del sistema.
Colocación del marcado CE: símbolo que garantiza a los desplegadores y usuarios que el producto ha sido validado bajo los estándares europeos de seguridad.
Preguntas frecuentes sobre el cumplimiento de la IA
¿Es obligatoria la auditoría de algoritmos para todas las empresas?
No es obligatoria para todas. Solo los proveedores de sistemas de IA de alto riesgo o aquellos que desarrollan modelos de IA de uso general con riesgos sistémicos están obligados a realizar evaluaciones de conformidad y auditorías técnicas. No obstante, cualquier empresa que despliegue IA en procesos de recursos humanos o banca debería realizar una auditoría voluntaria para mitigar riesgos de responsabilidad civil y sesgos.
¿Qué ocurre con los sistemas de IA que ya estaban en uso antes de la norma?
Existe un periodo de transitoriedad. Los sistemas de IA que ya estaban en el mercado deben adaptarse gradualmente. Sin embargo, si un sistema antiguo sufre una modificación sustancial en su diseño o finalidad tras la fecha de aplicación definitiva, deberá cumplir con todos los requisitos del Reglamento de forma inmediata como si fuera un sistema nuevo.
¿Cómo afecta el Reglamento a la IA generativa como ChatGPT?
La IA generativa se clasifica generalmente bajo «modelos de IA de uso general». Estos modelos tienen obligaciones específicas de transparencia, como revelar que el contenido ha sido generado por IA y proporcionar resúmenes detallados de los datos protegidos por derechos de autor utilizados para su entrenamiento, además de cumplir con normativas de propiedad intelectual.
¿Qué autoridad supervisa el cumplimiento de la IA en España?
La autoridad principal es la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), en coordinación con la Oficina Europea de IA. En casos donde la IA procese datos de carácter personal, la Agencia Española de Protección de Datos (AEPD) mantendrá sus competencias de supervisión sobre la privacidad y el tratamiento de dicha información.
El despliegue de soluciones de inteligencia artificial sin un marco de cumplimiento sólido es una estrategia de alto riesgo en el ecosistema regulado de 2026. La complejidad técnica de los algoritmos no exime a las organizaciones de sus responsabilidades éticas y legales frente a la sociedad y los reguladores. Adaptarse al AI Act no debe verse como un obstáculo a la innovación, sino como la garantía necesaria para construir una confianza digital duradera con los usuarios y socios comerciales.
Audidat ofrece un servicio integral de consultoría para que su transición hacia la IA sea segura y rentable. Nuestro equipo de expertos en gobernanza algorítmica le ayudará en la clasificación de sus sistemas, la elaboración de la documentación técnica y la supervisión de sus modelos para evitar sesgos y sanciones. Tome el control de su innovación y garantice su cumplimiento normativo con el apoyo especializado de IAR.
