La Ley de IA de la UE: lo que tu empresa tiene que hacer

La Ley de IA de la UE ya está en vigor. Entró en vigor el 1 de agosto de 2024 como Reglamento (UE) 2024/1689, y las primeras obligaciones llevan aplicándose desde febrero de 2025. Si tienes una empresa en la UE, o vendes a la UE, estás dentro de su ámbito.

Para la mayoría de empresas tradicionales, el trabajo es más pequeño de lo que sugieren los titulares. La pregunta no es "¿usamos IA?". Casi seguro que la usas, ya sea a través de un chatbot, un asistente de redacción o lo que tu proveedor te haya colado discretamente en su producto el año pasado. La pregunta que importa es dónde la usas, a quién afecta y si puede influir en una decisión que toque la vida de alguien.

La mayoría de empresas normales no están en las categorías prohibidas ni en las de alto riesgo. Están en riesgo de transparencia: la parte de la Ley que dice que hay que avisar a la gente cuando está hablando con una máquina, mirando contenido generado por IA o interactuando con un sistema que no es humano. Eso cambia tu lista de tareas.

Si quieres confirmar dónde te sitúas, la Comisión Europea publica una herramienta gratuita de autoevaluación que puedes usar aquí: el verificador de cumplimiento de la Ley de IA.

En su forma, la Ley de IA se parece al RGPD: basada en riesgos, apoyada en documentación, supervisada por reguladores. La analogía termina ahí. El RGPD regula datos personales; la Ley de IA regula sistemas de IA. Lo que hiciste por el RGPD no te cubre aquí, y esto no te cubre el RGPD. Son dos disciplinas paralelas.

Descártate primero

Antes de preocuparte por avisos de transparencia o planes de formación, comprueba que no estás en las dos categorías duras. Para la mayoría de los lectores, esta sección será un "no soy yo" rápido. Ese es justamente el objetivo.

Usos prohibidos

La Ley de IA prohíbe una lista concreta de prácticas. El resumen en lenguaje claro de la Comisión recoge ocho: manipulación dañina, explotación de grupos vulnerables, puntuación social, predicción del comportamiento delictivo de una persona, recopilación masiva e indiscriminada de imágenes faciales de internet o cámaras de seguridad para crear bases de reconocimiento, reconocimiento de emociones en el trabajo y en centros educativos, categorización biométrica para inferir rasgos protegidos e identificación biométrica remota en tiempo real por las fuerzas del orden en espacios públicos. Esto no describe a una empresa normal. Las señales de alarma son los sistemas que puntúan a personas, infieren sus emociones o rasgos protegidos en el trabajo, o intentan dirigir su comportamiento sin que se den cuenta. Si reconoces tu stack en esa lista, para y consulta con un abogado. Las prohibiciones se aplican desde el 2 de febrero de 2025.

Usos de alto riesgo

Alto riesgo no significa prohibido. Significa fuertemente regulado. Los tipos de usos que la Ley mete en esta categoría incluyen el cribado de currículums o el ranking de candidatos, la puntuación del rendimiento de empleados, el apoyo a decisiones de crédito o préstamos, el acceso a servicios esenciales públicos o privados, la admisión o calificación en educación, la identificación biométrica, las decisiones automatizadas en servicios públicos y la IA usada como componente de seguridad en productos regulados. Si algo de eso es tu caso, no intentes cumplir las obligaciones de alto riesgo con un artículo web. Busca asesoramiento especializado y reserva presupuesto para trabajo de documentación serio.

¿No lo tienes claro?

Si se te ha encogido el estómago leyendo los dos párrafos anteriores, pasa por el verificador de cumplimiento gratuito de la UE. Lo elabora la propia Comisión, te lleva por un cuestionario corto y te dice en qué categoría cae cada sistema. Úsalo antes de empezar a gastar dinero en consultores.

La situación realista: riesgo de transparencia

Aquí es donde vive la mayoría de las empresas. La Ley de IA no quiere impedirte usar IA en esta zona. Quiere que las personas que están al otro lado sepan qué está pasando.

Tienes un chatbot o un agente de voz

El artículo 50(1) del Reglamento es corto y directo: los responsables del despliegue de sistemas de IA pensados para interactuar con personas tienen que informar a esas personas de que están interactuando con una máquina, salvo que el hecho sea evidente para alguien razonablemente informado en esas circunstancias.

En la práctica, "evidente" rinde menos de lo que las empresas esperan. Un widget que pone "Habla con nosotros" no es obviamente un bot. Un primer mensaje amable del estilo "Hola, ¿en qué te puedo ayudar?" tampoco. Si un cliente puede pensar razonablemente que está hablando con una persona, le debes una aclaración.

Cómo tiene que ser ese aviso: una nota visible en el propio widget de chat, escrita en lenguaje claro. No enterrada en los términos y condiciones. No en un tooltip que nadie abre. Algo que la persona vea antes de escribir su primera pregunta.

Con un agente de voz, la misma regla aplica por teléfono. El agente tiene que identificarse como asistente de IA al principio de la llamada, antes de empezar a preguntar nada. "Hola, soy el asistente de IA de Fontanería Acme. Puedo reservarte una cita o pasarte con una persona" es del estilo que funciona.

Unos apuntes prácticos. El deber recae sobre ti como responsable del despliegue, no sobre el proveedor cuyo chatbot has incrustado. Si licencias la herramienta, la aclaración es tuya igualmente. El listón es bajo y el coste de implementación es prácticamente cero, así que no merece la pena hacerse el listo con excepciones. Con una sola frase en el primer contacto suele bastar: "Estás chateando con nuestro asistente de IA. Escribe 'humano' en cualquier momento para hablar con una persona."

Usas IA para crear contenido público

Si tu equipo de marketing o comunicación usa IA para producir cualquier cosa que sale hacia fuera, esta sección va contigo. El artículo 50 del Reglamento aborda el contenido generado por IA en tres capas, y se solapan de un modo que confunde a más de un responsable del despliegue.

La primera capa es el artículo 50(2), el deber general de marcado. Los proveedores de sistemas de IA que generan audio, imagen, vídeo o texto sintéticos tienen que marcar las salidas como artificialmente generadas en un formato legible por máquina. El deber recae sobre el proveedor, es decir, la empresa que construye la herramienta, no sobre ti. Pero conviene saber que existe. Cuando elijas una herramienta, pregunta al proveedor qué marcado aplica y si ese marcado sobrevive al tipo de ediciones y exportaciones que hace tu equipo.

La segunda capa es la que te toca directamente. El artículo 50(4) dice que los responsables del despliegue que usan IA para generar o manipular contenido de imagen, audio o vídeo que constituye un deepfake (cualquier cosa que pueda pasar por una grabación auténtica de personas, lugares o hechos reales) tienen que aclarar que el contenido es artificial. Para una empresa normal, los casos claros son las fotos de personas generadas por IA en campañas de marketing, las clonaciones de voz en anuncios, las imágenes de producto retocadas con IA que parecen fotografía real y los avatares sintéticos en vídeos de formación. Si el espectador puede confundir la salida con algo real, lo etiquetas.

La tercera capa es la regla estrecha del texto. El texto generado por IA publicado para informar al público sobre asuntos de interés público tiene que aclararse, salvo que un humano lo haya revisado y una persona u organización asuma la responsabilidad editorial. Para la mayoría de empresas esto casi nunca aplica (no estás publicando noticias) y la excepción de revisión editorial es amplia. Toma nota y sigue adelante.

Cómo es un "suficientemente bien": una etiqueta visible junto al contenido. "Generado con IA" o "Imagen generada con IA" sobre el propio recurso, no escondida en los metadatos de la imagen, no en letra pequeña a tres clics de distancia.

Usas IA internamente

El uso puramente interno de IA no dispara, por sí solo, los deberes del artículo 50 sobre transparencia hacia fuera. Si tu equipo usa un asistente de redacción para escribir correos, un resumidor de IA para comprimir una reunión o un copiloto interno para consultar tus propios documentos, no tienes que colgar un cartel en el Slack que diga "este equipo usa IA". Los deberes de transparencia apuntan a situaciones en las que la IA toca a una persona ajena a tu organización.

Pero el uso interno no es barra libre. Siguen aplicando dos obligaciones:

1. La alfabetización en IA del artículo 4. Los empleados que usan herramientas de IA tienen que entender lo que hace y lo que no hace cada herramienta, qué datos no se pueden meter, cuándo hace falta revisión humana y cómo detectar una mala salida. Más sobre esto en la siguiente sección.
2. El gobierno del dato. La Ley de IA no sustituye al RGPD. Si tu herramienta interna trata datos personales (de empleados, de clientes o de potenciales clientes), el RGPD sigue aplicando entero. Sigues necesitando una base jurídica, garantías adecuadas y una respuesta clara sobre transferencias internacionales. Ten especial cuidado con lo que el personal pega en herramientas de IA de terceros que pueden entrenarse con esas entradas.

Cómo es un "suficientemente bien" para uso interno: una política corta por escrito que nombre las herramientas aprobadas, los usos prohibidos y las categorías de datos que no se pueden meter. Más un responsable con nombre que pueda contestar dudas y actualizar la política cuando cambie la herramienta o su alcance. Que sea aburrido. Aburrido vale.

La formación en IA ya está vigente

El artículo 4 exige a proveedores y responsables del despliegue de sistemas de IA garantizar un nivel suficiente de formación en IA entre su personal y entre las personas que manejan sistemas de IA en su nombre. El deber aplica desde el 2 de febrero de 2025. Si estabas esperando a agosto de 2026 para hacer algo, ya vas tarde.

Lo que el artículo 4 no exige: convertir a tus empleados en ingenieros de IA. No hay obligación de meter a toda la plantilla en un curso de aprendizaje automático, y la Comisión ha dejado claro que no hay que medir los conocimientos del personal con exámenes formales.

Lo que sí exige: comprensión por rol, calibrada a lo que cada persona hace realmente con la IA. Cada perfil necesita cosas distintas.

Un empleado normal que usa un asistente de redacción con IA necesita saber para qué está aprobada la herramienta, qué datos no se pueden meter, cuándo debe revisar un humano la salida y cómo escalar si algo pinta mal. Con una sesión breve y una política de una página suele bastar.

Un mando que use IA en cualquier decisión que afecte a personas, aunque sea de forma informal, necesita más: cómo llega la herramienta a su salida, cuáles son sus modos de fallo conocidos, cuándo tiene que decidir un humano y cómo se registra esa revisión.

Un equipo dueño de un sistema de IA de cara al cliente necesita la formación más profunda: respuesta a incidentes, escalado, documentación.

Cómo es un "suficientemente bien": un programa de formación corto y por escrito, ajustado al rol, con registros de asistencia y refrescos cuando cambie la herramienta o su alcance. Que sea práctico y proporcionado al riesgo.

Si tu IA viene de un proveedor

La mayoría de las empresas son responsables del despliegue de herramientas de IA de terceros, no proveedores de modelos de IA de uso general. Los deberes duros para GPAI bajo la Ley de IA (documentación técnica, política de derechos de autor, resumen público del contenido de entrenamiento, más extras para modelos que suponen riesgo sistémico) recaen sobre el proveedor del modelo, no sobre ti.

Aun así, tienes un deber por el lado del despliegue: saber qué estás usando. Las preguntas de partida para hacerle a cualquier proveedor de una herramienta de IA de la que dependas para algo importante:

• ¿Qué modelo está detrás de la herramienta y quién es su proveedor?
• ¿El modelo subyacente es un modelo de IA de uso general según la Ley, y se clasifica como de riesgo sistémico?
• ¿Podéis compartir la documentación técnica y la guía de uso previsto del producto?
• ¿Qué supervisión humana recomendáis por nuestro lado?
• ¿Cómo se detectan, gestionan y notifican los incidentes?
• ¿Dónde se marca o etiqueta el contenido generado por IA y qué sobrevive a la edición y exportación?

Esa es la lista de partida. La guía de acción complementaria (todavía en preparación) va más allá: cuestionario completo para proveedores, qué tipo de respuestas deberían dejarte tranquilo y cuáles no, además de plantillas que puedes pasarle directamente al proveedor.

Fechas que importan

La Ley de IA se aplica por etapas, no en un único corte. Tienes tiempo para prepararte, pero la preparación empieza ya porque algunos deberes están vivos.

Las fechas que una empresa normal necesita tener en la cabeza:

• 2 de febrero de 2025 — Empiezan a regular las prácticas de IA prohibidas. Aplican las obligaciones de formación en IA.
• 2 de agosto de 2025 — Entran en aplicación las obligaciones para modelos de IA de uso general.
• 2 de agosto de 2026 — La mayor parte de la Ley de IA pasa a ser ampliamente aplicable. Esta es la fecha grande para los deberes de transparencia, incluidas las obligaciones del artículo 50 comentadas arriba.
• 2 de agosto de 2027 — Aplican reglas posteriores, incluidas las que afectan a ciertos sistemas de IA de alto riesgo integrados en productos regulados, y los periodos de transición para algunos modelos GPAI ya en el mercado antes de agosto de 2025.

Por lo general, quédate con agosto de 2026. Es cuando llegan los deberes de transparencia.

Sanciones, para que tengas contexto

Las cifras del Reglamento son grandes. Hasta 35 millones de euros o el 7% del volumen de negocio anual mundial por usos prohibidos de IA. Hasta 15 millones o el 3% por muchas otras infracciones. Hasta 7,5 millones o el 1% por proporcionar información incorrecta, incompleta o engañosa a las autoridades. Los topes son altos porque las peores conductas que captura la Ley son genuinamente dañinas, no porque cada chatbot sea una responsabilidad de 35 millones. Una empresa que puede enseñar qué usa, por qué y cómo lo controla está en una posición muy distinta a la que no puede.

Qué hacer esta semana

Esto no es teatro jurídico. Es higiene básica de empresa alrededor de herramientas que ya estás usando. Si puedes contestar cinco preguntas sobre cada sistema de IA en tu empresa, estás en mejor sitio que la mayoría de tus iguales: qué hace, quién lo lleva, qué toca, qué pasa cuando se equivoca y quién revisa la salida.

Tres cosas concretas que puedes hacer en los próximos siete días:

1. Pasa el verificador de cumplimiento de la UE por las herramientas de IA que más usas.
2. Apunta qué IA usas en realidad. Una hoja de cálculo basta. Si tu empresa llevó un registro de actividades de tratamiento por el RGPD en 2018, esto es el mismo tipo de ejercicio: lista distinta, misma disciplina. Hacer el inventario no te cubre el RGPD, y el RGPD no te cubre esto. Son paralelos.
3. Empieza la formación en alfabetización en IA, rol por rol, aunque sea una página por rol.

Fuentes oficiales y aviso legal

Este artículo es información general, no asesoramiento jurídico. Para casos de uso de IA de alto riesgo o sensibles, cuenta con asesoría jurídica cualificada antes de comprometerte con una línea de actuación, y considera buscar profesionales especializados en establecer el cumplimiento de tus sistemas.

La Comisión publica sus propios materiales sobre la Ley de IA. Estas son las fuentes usadas en este artículo:

• Reglamento (UE) 2024/1689: eur-lex.europa.eu/eli/reg/2024/1689
• Página de política de la Comisión Europea sobre la Ley de IA: digital-strategy.ec.europa.eu
• FAQ "Navigating the AI Act": digital-strategy.ec.europa.eu/faqs
• Obligaciones de la IA de uso general: digital-strategy.ec.europa.eu/factpages
• Preguntas y respuestas sobre alfabetización en IA: digital-strategy.ec.europa.eu/ai-literacy
• Verificador de cumplimiento de la Ley de IA: ai-act-service-desk.ec.europa.eu