¿Qué es el AI Act y cómo afecta a empresas y desarrolladores?

Introducción

El AI Act (o Ley de Inteligencia Artificial de la Unión Europea) representa el primer marco regulatorio global integral para la inteligencia artificial. Publicado oficialmente el 12 de julio de 2024 y entrando en vigor el 1 de agosto de 2024, el AI Act despliega un enfoque basado en el nivel de riesgo, afecta a actores dentro y fuera de la UE, y establece obligaciones concretas sobre seguridad, transparencia, documentación y supervisión. Explicaremos qué es, por qué es tan relevante y cómo impacta a empresas y desarrolladores.

“Vídeo explicativo: ¿Qué es el AI Act de la UE y por qué importa?”

Contexto histórico

  • Propuesta inicial: Comisión Europea presentó el “Libro Blanco sobre Inteligencia Artificial” en febrero de 2020.
  • Negociaciones legislativas: entre el Consejo y Parlamento entre 2022 y 2023; acuerdo final el 9 de diciembre de 2023.
  • Aprobación definitiva: Parlamento el 13 de marzo de 2024, Consejo el 21 de mayo de 2024.
  • Entrada en vigor: 1 de agosto de 2024, con plazos escalonados de aplicación según el tipo de riesgo (6 a 36 meses).

Este es el primer intento por armonizar regulación de IA a nivel global, al estilo del GDPR, marcando tendencia para futuras leyes en EE.UU., China, y otros países.

¿Qué establece el AI Act?

Ámbito de aplicación y extraterritorialidad

  • Aplica a proveedores, desplegadores, importadores, distribuidores y fabricantes de producto que desarrollan o usan IA con vínculo al mercado europeo.
  • Incluso empresas fuera de la UE (como EE.UU., Suiza) quedan dentro del alcance si su IA procesa datos o genera resultados usados en Europa.

Clasificación del riesgo

La regulación divide los sistemas de IA en categorías, cada una con requisitos distintos:

  1. Riesgo inaceptable: usos prohibidos (como vigilancia biométrica en tiempo real, ingeniería social manipulativa, social scoring abusivo).
  2. Alto riesgo: sistemas que afectan salud, seguridad o derechos fundamentales (IA en sanidad, educación, selección de personal, justicia, infraestructuras críticas). Requieren evaluaciones de conformidad, calidad, gobernanza de datos, impacto en derechos.
  3. Riesgo limitado: IA con obligaciones de transparencia, como chatbots o deepfakes; usuarios deben ser informados que están interactuando con IA.
  4. Riesgo mínimo: sistemas sin regulación adicional, como videojuegos o filtros de spam.

Además, se define una categoría especial: los modelos de IA de propósito general (GPAI), como GPT‑4, Llama o Gemini. Se aplican reglas específicas: resumen de datos de entrenamiento, cumplimiento del Copyright Directive, transparencia y evaluaciones adicionales en caso de riesgo sistémico.

Gobernanza y supervisión

  • Se crea la Oficina de IA de la Comisión Europea y un Consejo Europeo de IA, junto a paneles nacionales y expertos, responsables de supervisar el cumplimiento
  • Cada Estado miembro debe designar autoridades competentes que validen certificaciones, realicen auditorías y garanticen coherencia entre países.

Cronograma de aplicación

  • Prohibiciones de riesgo inaceptable: 6 meses tras entrada en vigor.
  • Códigos de práctica: plazo de 9 meses.
  • Modelos de IA de propósito general: desde 2 de agosto de 2025.
  • Sistemas de alto riesgo integrados en productos: hasta 2 de agosto de 2027 para cumplimiento completo.

Sanciones

Las empresas que incumplan pueden enfrentar multas de hasta 35 millones de EUR o 7 % del volumen de negocio mundial, lo que sea mayor. Para infracciones menores, pueden aplicarse penas menores desde el 1,5 % o 7,5 millones.

Análisis experto: impacto sobre empresas y desarrolladores

Empresas: qué cambia

  • Las compañías proveedoras de IA pasan a gestionar un cuerpo documental extensivo: GDPR+ para IA, con políticas de gobernanza de datos, supervisión humana, auditorías de calidad e impacto.
  • Contratos y cadena de valor: en contratos B2B, debe aclararse quién es proveedor y quién proveedor modificado (nuevo proveedor). Si modificas un sistema de bajo riesgo y lo conviertes en alto–riesgo, tú te vuelves proveedor con obligaciones completas. Los contratos deben asignar responsabilidades y acceso técnico entre partes.
  • Costos y soporte: auditorías, certificaciones, seguros y personal responsable (CISO IA).
  • Para compañías globales, el Act funciona como barrera de entrada si no se adaptan: perder mercados o enfrentar sanciones reputacionales.

Desarrolladores y proveedores de modelos IA

  • Desarrolladores de modelos generativos o de alto potencial deben documentar los datos de entrenamiento, cumplir licencias y derechos de autor, y proveer transparencia frente a usuarios y reguladores.
  • La creación o uso de sistemas de alto riesgo requiere evaluación de impacto en derechos fundamentales (FRIA), gestión de riesgos (artículo 9) y registros automatizados.
  • En caso de usar frameworks open‑source, están exentos salvo que sean de alto riesgo o generen transparencia relevante.

Extranjeros: efecto extraterritorial

  • Empresas ubicadas fuera de la UE pueden ser consideradas proveedor o desplegador si la salida o uso de IA ocurre en Europa. Por ejemplo, sistemas de reclutamiento usados por bancos europeos deben cumplir AI Act incluso si se desarrollan fuera.
  • Esto coincide con el modelo GDPR: compliance híbrida, aunque la empresa resida en Mendoza o EE.UU., si apuntás al mercado europeo debés acatar estas reglas.

Tendencias del sector

  • Expertos comparan el impacto legal con el del GDPR: fase inicial de alarma, luego adaptación y auditorías rutinarias.
  • Empresas europeas debaten que la normativa puede fomentar estándares de calidad global, aunque podría frenar la innovación si los costos son elevados para pymes. Sin embargo, se esperan “sandboxes regulatorios” para apoyar a startups.

Aplicaciones sectoriales

IndustriaAplicaciones IA típicasImpacto del AI Act
SaludDiagnóstico automatizado, IA médicaAlto riesgo: exige certificación, gestión de privacidad y pruebas clínicas.
EducaciónSistemas adaptativos, scoring estudiantilAlto riesgo si afectan acceso o oportunidades.
Marketing y publicidadPersonalización, targeting, deepfakesTransparencia obligatoria; prácticas manipulativas prohibidas.
Legal / JusticiaIA para decisiones judiciales o vettingAlto riesgo: impacto profundo y derechos fundamentales.
FinanzasScoring crediticio, trading algorítmicoEvaluaciones estrictas; Auditoría y gobernanza exigida.

En el sector moda o retail, por ejemplo, el uso de IA para pruebas virtuales o selección de prendas puede entrar en riesgo limitado o alto, según influencia en decisiones personales. Se requieren auditorías, log de actividad IA, y supervisión humana.

Consideraciones éticas y legales

  • Protege derechos fundamentales (privacidad, no discriminación, libertad de expresión).
  • Evita manipulación algorítmica, deepfakes o decision‑making sesgado.
  • Fomenta transparencia: informar usuarios, facilitar explicaciones, garantizar supervisión humana.
  • La regulación se aplica también a IA de uso general, limitando riesgos sistémicos.
  • Criticada por posibles lagunas: escasa regulación sobre uso secundario de modelos entrenados, organizaciones open‑source reciben menos control, riesgo de ventajas para grandes corporaciones tecnológicas.

Conclusión

El AI Act marca un antes y un después en la política global sobre IA. Es el primer marco regulador integral que prioriza la seguridad, los derechos ciudadanos y la responsabilidad corporativa. Cualquier empresa o desarrollador que trabaja con IA y tiene relación con la UE debe evaluar su rol según el Act, identificar si produce o despliega sistemas, y cumplir obligaciones que van desde transparencia hasta auditoría completa y certificación. El horizonte completo de cumplimiento será entre 2025 y 2027, dependiendo del tipo de IA tratada.

Preguntas frecuentes sobre que es el AI Act y cómo afecta a empresas y desarrolladores

¿Qué es el AI Act?
El AI Act es un reglamento de la UE aprobado el 1 de agosto de 2024 que regula el uso, desarrollo e importación de IA según el nivel de riesgo generado.

¿A quién aplica el AI Act?
Aplica a proveedores, desplegadores, importadores y distribuidores de IA dentro o fuera de la UE cuyos sistemas se usen en el mercado europeo.

¿Cuáles son las categorías de riesgo del AI Act?
Incluye riesgo inaceptable (prohibido), alto riesgo (con requisitos estrictos), riesgo limitado (transparencia) y riesgo mínimo (sin regulación adicional).

¿Qué sanciones contempla el AI Act?
Multas de hasta €35 millones o 7 % del volumen de negocio mundial en casos graves de incumplimiento.

¿Te gustó este artículo? Compártelo en tus redes 👇

Explorá estos artículos relacionados con el tema tratado:

  1. ¿Qué es el AI Act? Todo sobre la ley de inteligencia artificial de la Unión Europea
  2. Historia de la Inteligencia Artificial: Del sueño de Turing a la revolución de los modelos generativos
  3. Cómo el EU AI Act afecta a pymes tecnológicas
  4. Qué es el AI Act de la Unión Europea: regulación pionera en inteligencia artificial
wpseo_editor
Editor especializado en tecnología y transformación digital, con 6 años de experiencia en creación de contenido SEO para WordPress. Apasionado por la inteligencia artificial y su impacto en la comunicación moderna. Coordino equipos de redacción y optimización para audiencias hispanohablantes.