Contenido del artículo
La Ley de IA de la UE es la primera regulación de IA del mundo con sanciones de hasta 35 M€. Conozca categorías de riesgo, plazos de cumplimiento (2025-2027) y requisitos de IA de alto riesgo.
Respuesta rápida: La Ley de IA de la UE (Reglamento 2024/1689) es el primer marco legal integral del mundo que regula la inteligencia artificial según niveles de riesgo. Clasifica los sistemas de IA en cuatro niveles —prohibido, alto riesgo, riesgo limitado y riesgo mínimo— con sanciones de hasta 35 millones de euros o el 7 % de la facturación global por incumplimiento.
¿Qué es la Ley de IA de la UE?
La Ley de Inteligencia Artificial de la UE es un marco regulatorio basado en riesgos que entró en vigor el 1 de agosto de 2024, estableciendo normas armonizadas para el desarrollo, despliegue y uso de IA en los 27 Estados miembros de la UE. La Ley se aplica extraterritorialmente a cualquier organización cuyos sistemas de IA afecten a ciudadanos o empresas de la UE, independientemente de dónde tenga su sede el proveedor.
La regulación asigna los sistemas de IA a cuatro categorías de riesgo con obligaciones correspondientes. Las prácticas de IA de riesgo inaceptable (como la puntuación social y el reconocimiento de emociones en entornos laborales) están prohibidas. Los sistemas de alto riesgo requieren evaluaciones de conformidad, registro en la base de datos de la UE y monitorización continua. La IA de riesgo limitado debe cumplir requisitos de transparencia. Los sistemas de riesgo mínimo no tienen obligaciones específicas.
La Ley abarca a proveedores (desarrolladores), implementadores (usuarios), importadores, distribuidores y representantes autorizados. Los modelos de IA de propósito general como ChatGPT y GPT-4 tienen requisitos separados bajo el marco GPAI, vigente desde el 2 de agosto de 2025.
Por qué importa la Ley de IA de la UE en 2025
Los datos demuestran necesidades urgentes de cumplimiento:
- Sanciones máximas de 35 millones de euros o el 7 % de la facturación anual mundial —lo que sea mayor— por prácticas de IA prohibidas
- Sanciones máximas de 15 millones de euros o el 3 % de la facturación global por violaciones de modelos GPAI
- 2 de agosto de 2026 plazo de cumplimiento total para la mayoría de disposiciones
- 2 de agosto de 2027 plazo ampliado para sistemas de IA de alto riesgo integrados en productos regulados
- Más de 150.000 usuarios mensuales acceden a recursos sobre la Ley de IA de la UE, lo que indica una preocupación generalizada del sector
- Aumento del 21,3 % en menciones legislativas relacionadas con IA en 75 países desde 2023, con la Ley de IA de la UE como referencia global
Disposiciones actualmente en vigor (a septiembre de 2025):
- Prácticas de IA prohibidas (desde el 2 de febrero de 2025)
- Requisitos de modelos GPAI (desde el 2 de agosto de 2025)
- Obligaciones de alfabetización en IA para implementadores
Las organizaciones que utilicen IA para decisiones de empleo, scoring crediticio, aplicación de la ley, infraestructura crítica o educación deben prepararse para la clasificación de alto riesgo antes de agosto de 2027.
Categorías de riesgo de la Ley de IA de la UE: comparativa completa
| Nivel de riesgo | Ejemplos | Requisitos | Sanciones | Aplicación |
|---|---|---|---|---|
| Riesgo inaceptable PROHIBIDO | Sistemas de puntuación social, identificación biométrica en tiempo real en espacios públicos, reconocimiento de emociones en entornos laborales/educativos, manipulación subliminal | Prohibición total: no puede desarrollarse, desplegarse ni utilizarse en la UE | 35 M€ o 7 % facturación global | Vigente desde el 2 feb 2025 |
| Alto riesgo ALTO | IA en infraestructura crítica, empleo/RR. HH., scoring crediticio, aplicación de la ley, educación, servicios esenciales | Sistema de gestión de riesgos, documentación técnica, transparencia, supervisión humana, evaluación de conformidad, registro en base de datos UE | 35 M€ o 7 % facturación global | 2 ago 2027 (2026 autoridades públicas) |
| Riesgo limitado LIMITADO | Chatbots, deepfakes, reconocimiento de emociones (fuera del entorno laboral), generadores de contenido sintético | Obligaciones de transparencia: informar a usuarios de que interactúan con IA, etiquetar claramente contenido generado por IA | 15 M€ o 3 % facturación global | 2 ago 2026 |
| Riesgo mínimo MÍNIMO | Videojuegos con IA, filtros de spam, motores de recomendación, sistemas de gestión de inventario | Sin obligaciones específicas (códigos voluntarios recomendados) | N/A | Sin requisitos |
La IA de propósito general como ChatGPT, Claude, GPT-4 y Gemini debe mantener documentación técnica, proporcionar instrucciones de uso, cumplir la Directiva de Copyright de la UE y publicar resúmenes de datos de entrenamiento. Los modelos GPAI de alto impacto con riesgo sistémico deben realizar evaluaciones del modelo, pruebas adversariales, informar incidentes graves y garantizar protecciones de ciberseguridad.
Requisitos de sistemas de IA de alto riesgo
Las organizaciones que desplieguen IA de alto riesgo deben implementar:
- Sistema de gestión de riesgos - Identificación, análisis, estimación y mitigación continuos de riesgos de IA a lo largo del ciclo de vida
- Gobernanza de datos - Los conjuntos de datos de entrenamiento, validación y prueba deben ser relevantes, representativos y libres de errores
- Documentación técnica - Registros completos del diseño, desarrollo, metodología de entrenamiento y métricas de rendimiento del sistema
- Capacidades de registro - Registro automático de eventos para trazabilidad y monitorización post-comercialización
- Transparencia - Las instrucciones de uso deben ser claras, precisas y accesibles para los implementadores
- Supervisión humana - Medidas para que los humanos comprendan, monitoricen e intervengan en el funcionamiento del sistema de IA
- Estándares de precisión - Niveles adecuados de precisión, robustez y ciberseguridad
- Evaluación de conformidad - Evaluación por terceros antes de la comercialización
- Registro en base de datos UE - Mandatory registration before deployment (database operational by 2 ago 2026)
- Monitorización post-comercialización - Vigilancia continua del rendimiento y riesgos del sistema de IA
Preguntas frecuentes
¿Quién se ve afectado por la Ley de IA de la UE?
Cualquier organización cuyos sistemas de IA se comercialicen en el mercado de la UE o cuyos resultados se utilicen en la UE, independientemente de su sede. Esto incluye proveedores (desarrolladores), implementadores (usuarios que operan IA profesionalmente), importadores, distribuidores y fabricantes de productos. Las empresas de Norteamérica, Asia, Reino Unido y Suiza que desplieguen IA utilizada por ciudadanos o empresas de la UE deben cumplir. Las pymes reciben consideraciones proporcionales en las sanciones.
¿Cuándo entran en vigor las distintas disposiciones de la Ley de IA de la UE?
Prohibited AI practices: February 2, 2025 (already enforced). Requisitos de modelos GPAI: August 2, 2025 (already enforced). Transparencia obligations and AI literacy: August 2, 2026. High-risk AI systems: August 2, 2027 (36-month transition period). Public authorities using high-risk AI: August 2, 2026. Organizations should begin compliance preparation immediately as high-risk system conformity assessments require substantial lead time.
¿Cuáles son las sanciones por incumplimiento de la Ley de IA de la UE?
Prácticas de IA prohibidas: 35 millones de euros o el 7 % de la facturación anual global (lo que sea mayor). Incumplimiento de obligaciones de IA de alto riesgo: 15 millones de euros o el 3 % de la facturación global. Violaciones de modelos GPAI: 15 millones de euros o el 3 % de la facturación global. Suministro de información incorrecta/engañosa: 7,5 millones de euros o el 1 % de la facturación global. Pymes y startups reciben sanciones reducidas. Las autoridades supervisoras nacionales determinan las sanciones finales según la gravedad, el tamaño de la empresa y infracciones previas.
¿Cómo afecta la Ley de IA de la UE a los proveedores de IA terceros?
Las organizaciones que utilizan sistemas de IA de terceros siguen siendo responsables del cumplimiento como implementadores. Si utiliza IA para decisiones de empleo, scoring crediticio u otros fines de alto riesgo, debe garantizar que el proveedor de IA suministre la documentación necesaria, que el sistema cumpla los requisitos de la UE y que implemente una supervisión humana adecuada. Los programas de TPRM deben incluir ahora verificación de cumplimiento de la Ley de IA para todos los proveedores de IA. Supplier Shield ayuda a evaluar el cumplimiento de la Ley de IA de los proveedores como parte de la gestión integral de riesgos de terceros.
¿Qué se considera un sistema de IA de alto riesgo?
Un sistema de IA es de alto riesgo si: (1) actúa como componente de seguridad en productos cubiertos por la legislación de seguridad de la UE (juguetes, aviación, automóviles, dispositivos médicos, ascensores) que requieren evaluación de conformidad por terceros, O (2) entra en 8 áreas específicas del Anexo III: infraestructura crítica, educación, empleo, servicios esenciales, aplicación de la ley, migración, justicia o identificación biométrica. Los sistemas que realizan tareas preparatorias o detectan patrones sin sustituir la toma de decisiones humana pueden estar exentos. La elaboración de perfiles de individuos siempre se clasifica como alto riesgo.
Conclusión
La Ley de IA de la UE es la primera regulación integral de IA del mundo, estableciendo requisitos obligatorios para sistemas de IA según niveles de riesgo. Con prohibiciones ya aplicadas, requisitos GPAI activos desde agosto de 2025 y plazos de cumplimiento total en aproximación (2026-2027), las organizaciones deben evaluar de inmediato sus sistemas de IA, clasificar niveles de riesgo e implementar las estructuras de gobernanza requeridas.
El incumplimiento conlleva sanciones financieras severas —hasta 35 millones de euros o el 7 % de los ingresos globales. El alcance extraterritorial de la Ley significa que las empresas de todo el mundo que utilicen IA que afecte a ciudadanos de la UE deben cumplir, convirtiéndola en el estándar global de facto para la IA.
Supplier Shield ayuda a las organizaciones europeas a garantizar que los proveedores de IA cumplan la Ley de IA de la UE mediante evaluaciones automatizadas, monitorización continua y gestión documental —crítico para cumplir las obligaciones de gestión de riesgos de IA de terceros bajo la Ley de IA y las regulaciones NIS2.
Última actualización: 29 de septiembre de 2025
🎯 ¿Cuál es su nivel de riesgo de IA?
Responda 5 preguntas rápidas para descubrir sus requisitos de cumplimiento de la Ley de IA de la UE
1 de 5
¿Su sistema de IA toma decisiones sobre personas?
<!-- Question 2 -->
<div class="quiz-card" data-question="2">
<h3>¿Su IA utiliza datos biométricos?</h3>
<div class="options">
<button class="option-btn" data-score="prohibited" data-next="3">
<span class="icon">🚫</span>
<div class="option-content">
<strong>Sí: reconocimiento facial en tiempo real en público</strong>
<small>Vigilancia pública, identificación masiva</small>
</div>
</button>
<button class="option-btn" data-score="prohibited" data-next="3">
<span class="icon">😢</span>
<div class="option-content">
<strong>Sí: detección de emociones en trabajo/escuela</strong>
<small>Monitorización laboral, evaluación de estudiantes</small>
</div>
</button>
<button class="option-btn" data-score="high" data-next="3">
<span class="icon">🔐</span>
<div class="option-content">
<strong>Sí, pero para seguridad/control de acceso</strong>
<small>Acceso a edificios, desbloqueo de dispositivos</small>
</div>
</button>
<button class="option-btn" data-score="minimal" data-next="3">
<span class="icon">✅</span>
<div class="option-content">
<strong>No se utilizan datos biométricos</strong>
<small>Solo texto, números, datos estándar</small>
</div>
</button>
</div>
</div>
<!-- Question 3 -->
<div class="quiz-card" data-question="3">
<h3>¿En qué sector opera su IA?</h3>
<div class="options">
<button class="option-btn" data-score="high" data-next="4">
<span class="icon">⚡</span>
<div class="option-content">
<strong>Infraestructura crítica</strong>
<small>Energía, transporte, agua, sanidad</small>
</div>
</button>
<button class="option-btn" data-score="high" data-next="4">
<span class="icon">👮</span>
<div class="option-content">
<strong>Aplicación de la ley o justicia</strong>
<small>Policía, tribunales, sistemas legales</small>
</div>
</button>
<button class="option-btn" data-score="limited" data-next="4">
<span class="icon">🏢</span>
<div class="option-content">
<strong>Servicios empresariales/comerciales</strong>
<small>Marketing, ventas, operaciones</small>
</div>
</button>
<button class="option-btn" data-score="minimal" data-next="4">
<span class="icon">🎮</span>
<div class="option-content">
<strong>Entretenimiento para consumidores</strong>
<small>Juegos, contenido, recomendaciones</small>
</div>
</button>
</div>
</div>
<!-- Question 4 -->
<div class="quiz-card" data-question="4">
<h3>¿Pueden los humanos anular las decisiones de la IA?</h3>
<div class="options">
<button class="option-btn" data-score="minimal" data-next="5">
<span class="icon">✋</span>
<div class="option-content">
<strong>Sí: control humano total en todo momento</strong>
<small>Humano siempre en el bucle</small>
</div>
</button>
<button class="option-btn" data-score="limited" data-next="5">
<span class="icon">👁️</span>
<div class="option-content">
<strong>Sí: el humano puede revisar y anular</strong>
<small>Humano sobre el bucle</small>
</div>
</button>
<button class="option-btn" data-score="high" data-next="5">
<span class="icon">⚙️</span>
<div class="option-content">
<strong>Limitado: solo en casos específicos</strong>
<small>Humano fuera del bucle</small>
</div>
</button>
<button class="option-btn" data-score="prohibited" data-next="5">
<span class="icon">🤖</span>
<div class="option-content">
<strong>No: decisiones totalmente automatizadas</strong>
<small>Sin intervención humana posible</small>
</div>
</button>
</div>
</div>
<!-- Question 5 -->
<div class="quiz-card" data-question="5">
<h3>¿Cómo afecta su IA a las personas?</h3>
<div class="options">
<button class="option-btn" data-score="high" data-next="result">
<span class="icon">🎯</span>
<div class="option-content">
<strong>Determina el acceso a servicios esenciales</strong>
<small>Prestaciones, sanidad, educación, vivienda</small>
</div>
</button>
<button class="option-btn" data-score="high" data-next="result">
<span class="icon">📊</span>
<div class="option-content">
<strong>Evalúa características personales</strong>
<small>Rendimiento, comportamiento, predicciones</small>
</div>
</button>
<button class="option-btn" data-score="limited" data-next="result">
<span class="icon">💭</span>
<div class="option-content">
<strong>Influye en decisiones pero no decide</strong>
<small>Recomendaciones, sugerencias</small>
</div>
</button>
<button class="option-btn" data-score="minimal" data-next="result">
<span class="icon">🔧</span>
<div class="option-content">
<strong>Impacto individual mínimo</strong>
<small>Operaciones de backend, automatización</small>
</div>
</button>
</div>
</div>
<!-- Results Screen -->
<div class="quiz-card result-card" data-question="result">
<div class="result-content" id="resultContent">
<!-- Results injected by JavaScript -->
</div>
</div>
Enlaces de fuentes:
- Ley de Inteligencia Artificial de la UE (texto oficial)
- https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
- Fuente principal de todas las disposiciones
- Resumen de la Ley de IA del Parlamento Europeo
- https://www.europarl.europa.eu/topics/en/article/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence
- Categorías de riesgo, cronograma de aplicación
- Cronograma de implementación de la Ley de IA de la UE
- https://artificialintelligenceact.eu/implementation-timeline/
- Fechas detalladas de aplicación por disposición
- Resumen de alto nivel de la Ley de IA de la UE
- https://artificialintelligenceact.eu/high-level-summary/
- Clasificaciones de riesgo, panorama de obligaciones
- Cronograma de la Ley de IA de la UE (Goodwin Law)
- https://www.goodwinlaw.com/en/insights/publications/2024/10/insights-technology-aiml-eu-ai-act-implementation-timeline
- Plazos de cumplimiento, importes de sanciones
- Análisis de la Ley de IA de la UE (Jones Day, febrero 2025)
- https://www.jonesday.com/en/insights/2025/02/eu-ai-act-first-rules-take-effect-on-prohibited-ai-systems
- Prácticas prohibidas, detalles de aplicación
- Guía de cumplimiento GPAI (Greenberg Traurig, julio 2025)
- https://www.gtlaw.com/en/insights/2025/7/eu-ai-act-key-compliance-considerations-ahead-of-august-2025
- Requisitos de modelos GPAI
- Marco legal de la Ley de IA de la UE (White & Case)
- https://www.whitecase.com/insight-alert/long-awaited-eu-ai-act-becomes-law-after-publication-eus-official-journal
- Detalles de publicación oficial, 12 de julio de 2024
- Artículo 99: sanciones (texto oficial)
- https://artificialintelligenceact.eu/article/99/
- Detalles de la estructura de sanciones
- Estado de la Ley de IA de la UE 2025 (BSR)
- https://www.bsr.org/en/blog/the-eu-ai-act-where-do-we-stand-in-2025
- Estado actual de aplicación
¿Quiere aplicar esto a su ecosistema de proveedores? Vea la plataforma en acción y mapee sus principales riesgos de proveedores en vivo en una demostración.