Publicaciones

Guía de cumplimiento de la Ley de IA de la UE: novedades, alcance y requisitos clave.

08/06/2026

    Una guía práctica sobre alcance, plazos, estándares e impacto sectorial.

    ¿Qué es el reglamento de IA de la UE y por qué es importante? 

    El reglamento de IA de la UE es el marco jurídico de la Unión Europea para regular determinados sistemas en función del riesgo. Establece normas armonizadas para el desarrollo, la comercialización y el uso de dichos sistemas en la UE. 

    Su objetivo es apoyar un despliegue seguro, la transparencia, la trazabilidad y el respeto de los derechos fundamentales, al tiempo que se permite que la innovación continúe. 

    A diferencia de las orientaciones voluntarias, el reglamento: 

    • Se aplica a todos los sectores. 
    • Cubre tanto a proveedores como a usuarios. 
    • Puede aplicarse a organizaciones fuera de la UE cuando los sistemas se comercializan en el mercado de la UE o se utilizan en la UE. 
    • Incluye evaluación de la conformidad, vigilancia del mercado y sanciones. 

    En la práctica, cualquier organización que desarrolle, integre o utilice sistemas que entren dentro del ámbito del Reglamento puede necesitar evaluar sus obligaciones, independientemente de dónde esté establecida. 

    Categorías de riesgo del reglamento de IA de la UE 

    La clasificación por riesgo es fundamental en la regulación. El reglamento agrupa los sistemas en categorías con obligaciones que aumentan a medida que aumenta el impacto potencial. 

    Riesgo inaceptable

    Ciertas prácticas están prohibidas porque se consideran incompatibles con los derechos fundamentales o la seguridad. Las prácticas prohibidas incluyen ahora los sistemas de IA capaces de generar deepfakes sexualizados.

    Otros ejemplos incluyen: 

    • Puntuación social por parte de autoridades públicas. 
    • Ciertas prácticas manipuladoras o explotadoras. 
    • Algunos usos de identificación o categorización biométrica específicamente restringidos por el reglamento. 

    Sistemas de alto riesgo

    La clasificación como alto riesgo en virtud del reglamento depende del papel y la función del sistema de IA dentro de un producto o caso de uso concreto, más que del sector por sí solo. 

    En la práctica, muchos sistemas de alto riesgo se encuentran en productos regulados o ámbitos sensibles, incluidos: 

    • Dispositivos médicos y diagnósticos in vitro. 
    • Maquinaria y sistemas industriales relacionados con la seguridad. 
    • Sistemas de automoción y transporte. 
    • Empleo, contratación y evaluación del rendimiento. 
    • Infraestructuras críticas. 

    Estos sistemas deben cumplir requisitos relacionados con: 

    • Gestión de riesgos y gobernanza de datos. 
    • Documentación técnica. 
    • Supervisión humana. 
    • Precisión, robustez y ciberseguridad. 
    • Supervisión posterior a la comercialización. 

    Ámbito de los componentes de seguridad 

    En virtud del acuerdo del AI Omnibus, la definición de lo que se considera un componente de seguridad se ha restringido. 

    Las funciones de IA que únicamente asisten a los usuarios u optimizan el rendimiento no se clasifican automáticamente como de alto riesgo, siempre que su fallo o mal funcionamiento no genere riesgos para la salud o la seguridad. 

    Como resultado, la clasificación como alto riesgo de los sistemas de IA integrados en productos regulados depende del papel real del sistema y de su impacto en la seguridad, y no de la mera presencia de IA. 

    Sistemas de riesgo limitado 

    Algunos sistemas están sujetos principalmente a obligaciones de transparencia. Los ejemplos más habituales incluyen: 

    • Chatbots. 
    • Contenido generado o manipulado, como deepfakes, cuando dicho contenido no entra dentro de las prácticas prohibidas y está sujeto a obligaciones de transparencia o marcado de agua. 

    Sistemas de riesgo mínimo 

    La mayoría de los sistemas se encuadran en esta categoría y no están sujetos a obligaciones adicionales en virtud del Reglamento, aunque los códigos voluntarios y los controles internos pueden seguir siendo útiles. 

    Cronograma del reglamento de IA de la UE

    El reglamento entró en vigor el 1 de agosto de 2024 y, tras el acuerdo provisional del AI Omnibus, algunas fechas originales se han pospuesto y las obligaciones se aplicarán de forma progresiva. 

    • 2 de diciembre de 2026 - Obligaciones de marcado de agua / transparencia para contenido generado por IA 
    • 2 de diciembre de 2027 - Requisitos principales para los sistemas de IA de alto riesgo 
    • 2 de agosto de 2028 -  Sistemas de IA utilizados como componentes de seguridad y cubiertos por la legislación sectorial de seguridad y vigilancia del mercado de la UE 

    Para muchas organizaciones, diciembre de 2027 es ahora el hito clave para disponer de gobernanza, controles y evidencias preparados. 

    ¿Dónde encaja ISO/IEC 42001?

    ISO/IEC 42001:2023 es la primera norma internacional de sistemas de gestión de la IA. Es voluntaria, pero puede respaldar la gobernanza interna, la documentación y la rendición de cuentas. 

    ISO/IEC 42001 sigue siendo especialmente relevante durante el periodo de transición ampliado del reglamento de IA, apoyando la gobernanza, la documentación y la rendición de cuentas a medida que las organizaciones se preparan para las obligaciones de alto riesgo aplicables a partir de diciembre de 2027. 

    La norma se alinea bien con temas que también aparecen en el reglamento, incluidos: 

    • Gestión de riesgos. 
    • Roles y responsabilidades definidos. 
    • Documentación. 
    • Supervisión. 
    • Mejora continua. 

    También es compatible con otros sistemas de gestión, incluido ISO/IEC 27001. 

    En la práctica: 

    • El reglamento de IA de la UE define qué debe lograrse. 
    • ISO/IEC 42001 ayuda a las organizaciones a estructurar cómo organizarlo y demostrarlo. 

    Para los sistemas de alto riesgo, ISO/IEC 42001 puede respaldar muchos de los controles organizativos necesarios para la preparación, mientras que las obligaciones técnicas y de conformidad específicas de la UE deben abordarse por separado. 

    Marcos normativos relacionados de la UE

    El reglamento de IA de la UE no está aislado. Forma parte de un entorno regulatorio más amplio. 

    Reglamento de Ciberresiliencia 

    El reglamento de Ciberresiliencia se centra en la ciberseguridad de los productos con elementos digitales. Se solapa con el reglamento de IA en ámbitos como: 

    • Desarrollo seguro. 
    • Gestión de vulnerabilidades. 
    • Vigilancia posterior a la comercialización. 

    Esto es especialmente relevante para los productos habilitados con IA.

    RGPD y gobernanza de datos 

    El reglamento complementa al RGPD, pero va más allá de los datos personales. Los sistemas de alto riesgo introducen requisitos adicionales en torno a: 

    • Calidad de los conjuntos de datos. 
    • Mitigación de sesgos. 
    • Trazabilidad y mantenimiento de registros. 

    NIST AI RMF y marcos internacionales 

    El Marco de Gestión de Riesgos de IA del NIST no es jurídicamente vinculante en la UE, pero puede ser útil para: 

    • Identificación de riesgos. 
    • Evaluaciones basadas en el ciclo de vida. 
    • Prácticas internas de gobernanza. 

    Suele utilizarse junto con ISO/IEC 42001 como marco de referencia práctico.

    ISO/IEC 27001

    ISO/IEC 27001 sigue siendo una base sólida para la seguridad de la información. Apoya la preparación en ámbitos como: 

    • Controles de seguridad. 
    • Control de accesos. 
    • Gestión de incidentes. 

    Se considera cada vez más como una línea base de gobernanza en organizaciones con programas de cumplimiento maduros. 

    Impacto sectorial del reglamento de IA de la UE

    Medicina y atención sanitaria

    Los sistemas utilizados en entornos médicos y sanitarios suelen ser de alto riesgo por diseño. También interactúan estrechamente con los requisitos del MDR y el IVDR. 

    Las áreas clave de enfoque incluyen: 

    • Rendimiento clínico. 
    • Transparencia y explicabilidad. 
    • Supervisión posterior a la comercialización. 

    Automoción y transporte 

    Los sistemas de asistencia avanzada a la conducción, funciones autónomas o componentes de seguridad pueden entrar en el marco de alto riesgo e interactuar con las normas existentes sobre vehículos. 

    Las principales prioridades incluyen: 

    • Validación de la seguridad. 
    • Supervisión humana. 
    • Ciberseguridad y robustez.

    Industria y maquinaria

    Los sistemas utilizados en contextos industriales y de maquinaria pueden estar sujetos tanto al reglamento de IA de la UE como a la legislación específica de productos. No obstante, no todos los sistemas de IA en maquinaria se clasifican automáticamente como de alto riesgo. 

    En virtud del acuerdo del AI Omnibus, el reglamento de Maquinaria se ha transferido al Anexo I, Sección B del reglamento de IA. Se espera que la Comisión Europea adopte actos delegados en virtud del reglamento de Maquinaria para especificar los requisitos de salud y seguridad relacionados con la IA, con aplicación prevista para agosto de 2028. 

    En la práctica, solo los sistemas de IA que se consideren componentes de seguridad —es decir, aquellos cuyo fallo o mal funcionamiento pueda generar riesgos para la salud o la seguridad— probablemente activarán las obligaciones de alto riesgo. 

    Empleo, RR. HH. y procesos empresariales 

    Los sistemas utilizados para contratación, evaluación o elaboración de perfiles suelen ser de alto riesgo. 

    Los principales problemas son: 

    • Sesgos y discriminación. 
    • Revisión humana. 
    • Transparencia hacia las personas.

    De la regulación a la acción

    Incluso antes de que estén disponibles todas las normas armonizadas, las organizaciones ya pueden adoptar medidas prácticas para prepararse para el reglamento de IA. 

    Los plazos de implementación ampliados ofrecen una oportunidad para una preparación gradual, que incluye el diseño de la gobernanza, el inventario y la clasificación de sistemas, los procedimientos de gestión de riesgos y la recopilación de evidencias para respaldar futuras evaluaciones de conformidad. 

    FAQs - Preguntas frecuentes 

    ¿Es obligatoria ISO/IEC 42001 en virtud del reglamento? 

    No. ISO/IEC 42001 es voluntaria, pero está ampliamente reconocida como una base sólida para la gobernanza. 

    ¿Se aplica el reglamento a empresas no pertenecientes a la UE? 

    Sí, si sus sistemas se comercializan en el mercado de la UE o se utilizan en la UE. 

    ¿Están regulados todos los sistemas? 

    No. Algunos sistemas de IA, incluidos los integrados en productos regulados, pueden quedar fuera de las obligaciones de alto riesgo cuando no se consideran componentes de seguridad y no generan riesgos para la salud o la seguridad. 

    ¿Es esto simplemente otro RGPD? 

    No. El reglamento se centra en el comportamiento del sistema, la seguridad y los derechos fundamentales, no únicamente en los datos personales. 

    Conclusión 

    Prepararse para el reglamento de IA de la UE no consiste únicamente en cumplir requisitos legales. También implica establecer una gobernanza clara, documentación y procesos de control que respalden un despliegue seguro en todos los mercados. 

    Descargo de responsabilidad: Esta visión general se basa en el acuerdo provisional del AI Omnibus. Las obligaciones y los plazos finales pueden ajustarse tras la adopción formal y la publicación en el Diario Oficial de la Unión Europea. 

     

     

    Ver todas las publicaciones

    Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies. ​

    Panel de configuración de cookies