La inteligencia artificial (IA) dejó de ser un experimento de laboratorio para convertirse en un sistema que organiza buena parte de la vida contemporánea. Desde recomendaciones en plataformas de vídeo hasta diagnósticos médicos, sus aplicaciones crecen con rapidez, al igual que las preocupaciones sobre derechos, transparencia y seguridad.
En ese escenario, la Unión Europea aprobó en 2024 el Artificial Intelligence Act (AI Act), el primer marco legal integral de alcance global. El reglamento comenzó a desplegarse de forma gradual, pero el 2 de agosto de 2025 ha marcado un antes y un después: entraron en vigor las obligaciones para modelos de propósito general (GPAI) y el régimen de sanciones. Para España, la fecha tuvo otro significado: la AESIA ha asumido desde esa fecha plenas competencias de supervisión y sanción.
¿Qué es el AI Act y por qué importa?
El AI Act fue propuesto por la Comisión en 2021, tras tres años de debate público y técnico. Se adoptó en 2024 como Reglamento. Debido a la proliferación de sistemas y aplicaciones con Inteligencia Artificial, y las implicaciones a todos los niveles que pueden tener, como se vio en un artículo anterior sobre Deepfakes, se hace imprescindible tener una regulación sobre esta tecnología.
Su relevancia descansa en dos hechos:
- Es el primer marco vinculante supranacional para regular la IA en los 27 Estados miembros.
- Tiene efecto extraterritorial, ya que también se aplica a proveedores extranjeros que operen en el mercado europeo.
Mientras EE. UU. opta por regulaciones sectoriales y la OCDE o la UNESCO han emitido solo principios éticos no vinculantes, la UE decidió legislar con fuerza obligatoria.
Un enfoque basado en riesgos
La lógica del AI Act es sencilla: a mayor riesgo, más obligaciones.
- Prohibidos: sistemas que manipulan subliminalmente, programas de puntuación social o predicciones de delitos basadas en perfiles personales.
- Alto riesgo: aplicaciones en justicia, transporte, sanidad o empleo. Deben registrarse en la base europea, someterse a auditorías y garantizar supervisión humana.
- Riesgo limitado: obligación de transparencia, como informar al usuario de que interactúa con un chatbot.
- Riesgo mínimo: la mayoría de sistemas cotidianos, como filtros de spam, sin cargas adicionales.
“El AI Act traslada al terreno tecnológico el principio de regular en función del riesgo, no de la herramienta en sí.” Veale & Borgesius, 2021.
El hito del 2 de agosto de 2025
El reglamento entró en vigor formalmente en agosto de 2024, pero con obligaciones escalonadas. La Comisión Europea confirmó en julio de 2025 que no habría retrasos.
Desde ese día son exigibles:
- Obligaciones para GPAI: transparencia sobre datos de entrenamiento, documentación técnica y mitigación de sesgos.
- Régimen sancionador: multas de hasta 35 millones de euros o el 7 % de la facturación global.
- Gobernanza: activación de organismos notificados y de la futura Oficina Europea de IA.
Proveedores, usuarios y nuevas obligaciones
El reglamento distingue claramente los diferentes roles implicados en los sistemas de Inteligencia Artificial y las responsabilidades de cada uno de ellos:
- Proveedores: diseñar y auditar sistemas, mantener documentación, registrar los de alto riesgo y garantizar supervisión humana.
- Usuarios: emplear la IA solo en el marco previsto y garantizar respeto al RGPD.
- Desarrolladores de GPAI: desde agosto de 2025, deben cumplir requisitos adicionales de transparencia y mitigación de riesgos sistémicos.
España: la AESIA entra en acción
En España, la AESIA asumió desde el 2 de agosto de 2025 la supervisión del AI Act. Desde esa fecha, tiene la potestad de sancionar a empresas que incumplan el reglamento de IA, incluidas multinacionales.
La coordinación con la Agencia Española de Protección de Datos (AEPD) es esencial, ya que muchas infracciones combinan aspectos de privacidad y de seguridad de IA. El reto será evitar duplicidad de competencias y dotar de claridad a los operadores económicos.
Empresas españolas ante el cambio
Para las empresas, especialmente pymes y startups, las consecuencias son tangibles:
- Obligatoriedad de auditar sistemas de IA antes de comercializarlos.
- Elaboración de documentación técnica y evaluaciones de riesgo.
- Implantación de políticas de gobernanza y formación interna.
Los sistemas ya en el mercado antes de agosto de 2025 disponen de un plazo hasta 2027 para adaptarse. Además, el calendario no se detiene. Durante los próximos meses, se irán cumpliendo los siguientes hitos:
- Finales de 2025: previsto un Código de Buenas Prácticas para GPAI, aunque podría retrasarse
- Agosto 2026: obligaciones para sistemas de alto riesgo.
- Agosto 2027: cumplimiento pleno de todos los sistemas ya existentes.
El 2 de agosto de 2025 fue el día en que la IA dejó de estar solo bajo observación política para entrar en un régimen jurídico vinculante. Europa estrenó el primer marco legal completo de IA, y España, a través de la AESIA, se convirtió en uno de los primeros países en aplicarlo en clave nacional.
La pregunta que queda abierta es doble: ¿será el AI Act un referente global que marque el rumbo de la gobernanza tecnológica, o supondrá un lastre para la competitividad de las empresas europeas? En cualquier caso, la Unión Europea ya ha fijado las reglas y el resto del mundo observa.
