Este sábado 2 de agosto de 2025 entra en vigor uno de los bloques clave del nuevo Reglamento europeo de Inteligencia Artificial (AI Act). Aunque la ley fue aprobada en 2024 y se aplicará de forma gradual hasta 2026, esta fecha marca un antes y un después: por primera vez se activan normas obligatorias para modelos de IA de propósito general, se establecen sanciones y se ponen en marcha las autoridades supervisoras.
Para entender qué cambia realmente a partir de ahora y cómo afecta a empresas, desarrolladores y usuarios, hablamos con Vanesa Alarcón, abogada especializada en derecho digital y tecnologías emergentes. Vanesa asesora a empresas tecnológicas y startups en materia de protección de datos, contratos de software, propiedad intelectual, comercio electrónico y cumplimiento normativo. Es también Delegada de Protección de Datos en varias organizaciones, docente apasionada sobre el impacto legal de la innovación, y una entusiasta declarada del universo tech.
Vanesa Alarcón
Pregunta: Este sábado entra en vigor una parte clave del AI Act, ¿qué cambia exactamente a partir de ahora?
Respuesta: En realidad, no se trata de un cambio sino que lo que sucede es que la normativa se va implementando y exigiendo o entrando en vigor, por fases. Recordemos que en fecha 2 de febrero entraron en vigor las prácticas prohibidas y requisitos de alfabetización de la AI Act y, ahora, se trata de lo que tiene que ver con las obligaciones que deben cumplir los modelos conocidos como Inteligencia Artificial de Propósito General o GPAI. Estas obligaciones afectan tanto a desarrolladores, como a distribuidores y/o empresas que pongan a disposición del mercado este tipo de modelos.
Una de las grandes novedades afecta a los modelos de IA de propósito general, como los generativos. ¿Qué obligaciones deben asumir a partir de ahora sus desarrolladores?
Este tipo de empresas deben disponer de sistemas y medidas que permitan acreditar el diseño que han llevado a cabo con la IA, el entrenamiento que han aplicado, determinar qué capacidades y limitaciones tiene el modelo, mediante, por ejemplo, documentación técnica que lo justifique; deben implementar criterios de transparencia, informando, cuando se haya utilizado o desarrollada la IA, de que dicho contenido o material ha sido generado por IA.
Se exige que estos operadores o prestadores de servicios, dispongan también de sistemas de evaluación y mitigación de los riesgos, tanto desde un punto de vista relativo a los derechos fundamentales como desde un punto de vista técnico. Con ello se pretende evitar o minimizar el riesgo de impactos sistémicos para el ser humano.
Cabe recordar que los riesgos sistémicos son aquellos con capacidades de gran impacto o un cómputo de entrenamiento superior a 10^25 operaciones de coma flotante.
Así mismo, deben articularse mecanismos que permitan proteger los derechos fundamentales, los riesgos de discriminación, sesgos o usos indebidos de la IA.
Con esto, lo que se deberá llevar a cabo por parte de estas empresas es una Evaluación de Impacto de este tipo de riesgos, algo que ya sucede con el Reglamento General de Protección de Datos, pero enfocado ni solo a privadidad sino teniendo en cuenta también otros ámbitos jurídicos o de cumplimiento legal, en general, y éticos.
Además, también se exige que este tipo de proveedores dispongan de sistemas de supervisión humana, que permitan que un humano intervenga en decisiones que se generan de forma automatizada. Esto tampoco es nuevo puesto que el RGPD ya exigía este tipo de medidas.
La tecnología está muy avanzada pero todavía presenta fallos por lo que el control humano, al menos, por ahora, es imprescindible. Además, desde un punto de vista ético, si lo piensas, resulta esencial.
¿Y qué ocurre con las empresas que utilizan estos modelos, aunque no los hayan creado? ¿Están también sujetas a exigencias legales concretas?
Sí. La AI Act aplica a los proveedores que desarrollan modelos de IA de uso general y proveedores de sistemas de IA, en general; a usuarios profesionales de IA en sectores regulados; autoridades públicas que implementan IA; organismos notificados encargados de certificar la conformidad de sistemas de alto riesgo y empresas que integren IA en sus productos o servicios, incluso si no desarrollan la tecnología directamente.
Por aclarar, los usuarios profesionales de IA en sectores regulados podrían ser, por ejemplo, entidades bancarias que utilizan la IA para evaluar riesgos crediticios; hospitales o centros de salud que aplican IA en diagnósticos; empresas del sector educativo que utilizan IA para evaluar rendimientos o incluso nosotros, como despachos de abogados, si utilizamos la IA para preparar documentos o analizar jurisprudencia.
El AI Act prevé sanciones importantes para quienes no cumplan. ¿Qué tipo de infracciones se empiezan a sancionar ya y con qué criterios?
Se establecen varios escenarios por incumplimientos y en función de la gravedad del incumplimiento.
Así, por ejemplo, puede haber multas de hasta 7,5 millones o un 1% del volumen de negocio debido a infracciones como el disponer de errores en documentación técnica, esto es, para infracciones leves o más administrativas; en el rango de infracciones graves las multas, pueden ser de hasta 15 millones de euros o un 3% del volumen de negocio global anual. Un ejemplo de infracción aquí podría ser el no disponer de evaluaciones de conformidad, sistemas de gestión de riesgos o la falta de supervisión humana que comentábamos antes.
Y por último, existen multas de hasta 35 millones o un 7% del volumen de negocio, para infracciones muy graves, como por ejemplo, el hecho de que los proveedores utilicen o desarrollen sistemas de IA prohibidos (de acuerdo con lo que entró ya en vigor el pasado 2 de febrero) o por incumplimiento de obligaciones de transparencia.
Lo que sí puedo decir es que la normativa europea apuesta claramente por la transparencia y la necesidad de que las personas que reciben una prestación de servicios, sean informadas de forma clara y transparente acerca de los servicios.
Esto se encuentra regulado en la AI Act, pero también en el RGPD, en el Digital Package o la misma Cyberresilience Act. Se trata de otras normas que también es importante conocer y ver si afectan a nuestras empresas porque tienen que ver, claramente, con el componente online o tecnológico de la prestación de servicios.
Una pieza clave del reglamento son las autoridades nacionales competentes. ¿Ya están plenamente operativas y qué funciones tendrán a partir de ahora?
Las autoridades nacionales competentes (ANC) deben estar plenamente operativas antes del 2 de agosto de 2025. Hasta la fecha, algunos Estados miembros ya han designado sus autoridades nacionales competentes, mientras que otros aún están en proceso. Por ejemplo, España ya hace meses que designó la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), mientras que Finlandia ha propuesto un modelo descentralizado con múltiples autoridades.
Está previsto que la Comisión Europea facilite el intercambio de experiencias entre estas autoridades para asegurar una aplicación coherente del AI Act en toda la Unión Europea.
Lo cierto es que estas autoridades van a desempeñar un papel crucial en la implementación y supervisión del AI Act, como ya sucede con otras entidades, como las propias Autoridades de protección de datos en cada país.
Entre las funciones de dichas autoridades, se incluyen las de supervisión del cumplimiento, mediante el establecimiento de reglas, supervisando de forma efectiva lo que se hace; también la de evaluación de conformidad, designando y supervisando los organismos notificados (entidades independientes encargadas de realizar evaluaciones de conformidad antes de la comercialización de la IA); también está previsto que proporcionen orientación y asesoramiento sobre la implementación del AI Act, especialmente a pequeñas y medianas empresas, teniendo en cuenta las directrices del Comité de Inteligencia Artificial y la Comisión Europea. Por otra parte, también contribuirán y colaborarán con otras autoridades fuera del territorio, estableciendo acciones conjuntas, como también sucede con las autoridades de protección de datos en la actualidad. También participan de los Sandbox o entornos controlados donde los desarrolladores pueden probar sus sistemas de IA bajo supervisión, fomentando la innovación responsable.
Por lo tanto, se trata de entidades que no sólo inspirarán con pautas sino que se pretende que velen por dicho cumplimiento de la norma.
La Comisión Europea ha propuesto además un código de conducta voluntario. ¿Cuál es su utilidad real y qué incentivos existen para adherirse?
Yo soy una clara defensora de los códigos. De nuevo, en temas de protección de datos ya existen los Códigos Tipo que han venido regulando las buenas prácticas en protección de datos en determinados sectores.
En este caso, podríamos decir que, por un lado, pueden ser un marco orientativo de lo que deben hacer las empresas a la hora de cumplir con la AI Act pero también, pueden suponer lo siguiente: una mejora de la reputación, por ejemplo, porque ser miembro de un código reconocido públicamente, mejora la imagen y la credibilidad ante clientes, inversores y reguladores; aspectos de ventaja competitiva, mediante la diferenciación en el mercado frente a competidores que no asumen compromisos éticos similares; la reducción del riesgo regulatorio porque aplicar estos códigos puede ser un indicio de cumplimiento proactivo, lo que puede facilitar relaciones con autoridades y reducir riesgos de sanciones o litigios.
También es un apoyo y acceso a otros recursos, puesto que las organizaciones que se adhieran, pueden acceder a guías, formación y eventos organizados por la Comisión o grupos de trabajo para mejorar sus prácticas en IA. También puede constituir una forma de participación en el diálogo regulatorio, ya que los adheridos pueden tener voz en la evolución futura de las normas y buenas prácticas sobre IA, influyendo en políticas públicas.
De momento hay unas versiones publicadas que tal vez vayan evolucionando con el tiempo como la propia tecnología. Si bien, constituyen una buena base para las empresas.
Más allá del marco legal, el AI Act tendrá impactos muy distintos según el sector. ¿Qué industrias o tipos de uso deberían prestar especial atención desde ya?
Como hemos visto, no solo afecta a empresas que desarrollan IA sino a quiénes la utilizan o la subcontratan. Por lo tanto, cualquier empresa que utilice IA o sistemas de tecnología disruptiva debería realizar un mínimo análisis. Nosotros realizamos este tipo de análisis de riesgos para nuestros clientes. Se realiza un estudio mínimo y luego se determinan los elementos y pasos para seguir.
¿En la generación de contenidos, especialmente audiovisuales, qué prácticas debemos implementar para tener seguridad legal con las creaciones a nivel interno y de cara al cliente final?
Desde mi punto de vista, siempre es esencial analizar qué es lo que la empresa quiere llevar a cabo y cómo. Siempre hablo de la legalidad por defecto y desde el diseño de un proyecto o una empresa. Si se quiere llevar a cabo un proyecto con contenido audiovisual utilizando la IA, se debe conocer qué herramientas de IA se van a utilizar, el tipo de licencias que se utiliza, para ver qué es lo que dicen sobre los derechos de autor de la propia herramienta y también cómo están regulados los derechos de explotación y/o propiedad intelectual derivada de esos contenidos generados por IA. También se debe analizar qué sucede con los contenidos que mi empresa genera.
Muchas empresas aún están adaptándose. ¿Cuáles son las acciones mínimas que deberían emprender de forma inmediata para cumplir con esta nueva etapa regulatoria?
Desde mi punto de vista la clave es contar con el asesoramiento de un abogado experto en temas de tecnología, propiedad intelectual y protección de datos o ciberseguridad así como en temas relativos a negocios.
Es clave analizar lo que se está haciendo, cómo se está haciendo, si se quiere llevar a cabo alguna iniciativa nueva utilizando la IA, y determinar dónde se está a nivel de cumplimiento y riesgos para la empresa, así como determinar qué elementos es esencial proteger, mediante el análisis de licencias y soluciones de IA utilizadas, el tipo de licencias o contratos por los cuales se van a prestar servicios, la protección de los activos a nivel de derechos de autor o propiedad intelectual y también, no dejar fuera de la ecuación, los aspectos de privacidad, derechos al honor o imagen (en función de lo que se haga) y también elementos de ciberseguridad asociados al proyecto (dónde se almacena la información, cómo, si es seguro, tipo de brechas que se podrían producir…).
En mi caso, llevo más de 18 años asesorando a empresas en el sector tecnológico o en las patas tecnológicas.
Está claro que hoy en día asesorarse bien es clave, no solo para cumplir con las normas, sino para ofrecer un servicio de alta calidad, desde la consciencia por querer hacer las cosas lo mejor posible.
El calendario del AI Act se extiende hasta 2026. ¿Qué hitos clave vienen después de este 2 de agosto? ¿Cuáles son las próximas fechas importantes?
El próximo hito ocurre en 2027, período en el que los sistemas de alto riesgo, deberán cumplir con otras obligaciones. Los modelos de alto riesgo son, por ejemplo, componentes de seguridad de la IA en infraestructuras críticas; sistemas de IA utilizados para identificación biométrica remota; casos de uso de la IA para temas de fuerzas y cuerpos de seguridad, entre otros. A estos, se les exigirán otras obligaciones adicionales como disponer de sistemas adecuados de evaluación y mitigación de riesgos, trazabilidad, sistemas suficientemente robustos, entre otros.
Por último, desde Europa se ha planteado esta ley como pionera a nivel mundial. ¿Puede realmente el AI Act convertirse en un estándar global?
Desde mi punto de vista, sería lo óptimo que se convirtiera en un estándar global. Ya se hizo con el RGPD y, hoy por hoy, si bien había muchas reticencias, es un modelo que inspira y obliga a muchas empresas que quieren trabajar con la Unión Europea.
Lo que pienso es que se debe apostar por convertirse en el referente, apostando por la tecnología y el avance tecnológico pero con principios éticos y una concienciación clara de lo que se está haciendo desde el origen.
Apostar por la legalidad y la ética de un proyecto desde su inicio debería ser clave para el ser humano, en cuanto a su naturaleza y la necesidad de promover la dignidad y el interés social.
Si bien, está claro que no todas las empresas o estados, abogan por esta filosofía o modo de ver la situación, centrándose en números y la cifra de negocios. Luego corresponde también a las empresas, no solo al Estado o a la Comunidad Europea, tomar este tipo de consciencia o definir el modelo de empresa que quieren ser.
El problema que veo es el escenario de hiperregulación que tenemos hoy día encima de la mesa. Pero contando con un buen asesoramiento, no debería haber mayor problema.
