La inteligencia artificial lleva años creciendo sin freno, ganando protagonismo en sectores clave y colándose en decisiones que afectan directamente a nuestras vidas. Pero hasta ahora, lo había hecho sin un marco legal común, especialmente en Europa.
Eso ha cambiado. La Unión Europea acaba de dar un paso histórico con la aprobación del Reglamento (UE) 2024/1689, también conocido como Reglamento de Inteligencia Artificial (RIA). Se trata de la primera ley del mundo que regula la IA de forma integral y directamente aplicable en todos los Estados miembros.
No es solo una norma para técnicos y legisladores. Lo que está en juego, en palabras del propio texto, es cómo se garantiza que el uso de la IA no vulnere los derechos fundamentales, ni comprometa la seguridad ni la equidad en un entorno cada vez más digitalizado.
Riesgos calculados, pero no invisibles
El enfoque que ha elegido la UE es muy claro: regular según el riesgo. No todas las inteligencias artificiales suponen un peligro, pero algunas pueden ser profundamente lesivas si se usan mal, o si se usan sin control.
Por eso, el reglamento establece una clasificación por niveles de riesgo. Y en función de ese nivel, se fijan obligaciones distintas. No se trata de frenar la tecnología, sino de exigir más responsabilidad a quien más poder concentra.
Los sistemas de riesgo mínimo podrán seguir operando sin grandes restricciones. Los de riesgo medio o de transparencia deberán avisar al usuario cuando se esté interactuando con una IA —como los asistentes conversacionales o generadores de contenido—.
Y luego están los de alto riesgo, que incluyen aplicaciones en salud, justicia, educación, recursos humanos o infraestructuras críticas. En estos casos, el reglamento exige evaluaciones previas, documentación técnica, transparencia y trazabilidad. Todo con un objetivo: proteger al ciudadano.
Jorge Calvo, director de Innovación y Analítica de datos de el Colegio Europeo de Madrid, insiste en que «la transparencia en la Ley de IA no es un todo o nada, sino que se aplica de forma proporcional al riesgo». Explica que la obligación más visible es el etiquetado, que permite a cualquier usuario saber si está interactuando con un sistema artificial.
Pero para los sistemas de alto riesgo, las exigencias van mucho más allá: «las empresas tienen la obligación de mantener una documentación técnica exhaustiva. Debe poder explicar con qué datos se ha entrenado el modelo, qué medidas se han tomado para mitigar sesgos y cómo se garantiza su fiabilidad».
Lo que la IA no podrá hacer, por ley
Además de establecer niveles de riesgo, la ley marca prohibiciones claras. Prácticas que directamente quedan fuera de juego en el mercado europeo por su peligrosidad.
Se prohíben, por ejemplo, los sistemas diseñados para manipular emociones o influir de forma encubierta en decisiones individuales. También la clasificación de personas por su comportamiento social o características personales como su ideología, orientación sexual o religión.
Tampoco se permitirá la recolección masiva de datos biométricos, ni el uso del reconocimiento facial en tiempo real en espacios públicos —salvo en contadas excepciones legales, como amenazas graves a la seguridad—.
Estas prácticas, según la Comisión Europea, son directamente incompatibles con los valores democráticos de la UE y suponen una amenaza inaceptable a los derechos fundamentales.
Las reglas cambian a partir del 2 de agosto
El calendario ya está en marcha. El 2 de agosto de 2025 ha entrado en vigor un tramo clave del Reglamento: las obligaciones específicas para los modelos de IA de propósito general (GPAI), como ChatGPT, Gemini o Claude.
Son los grandes modelos entrenados con millones de datos, capaces de realizar tareas muy diversas: generar texto, traducir, programar, recomendar productos, crear imágenes, asistir en diagnósticos. Lo hacen todo. Y por eso, Europa les exige más.
A partir de esa fecha, los proveedores que operen en Europa tendrán que documentar sus sistemas, publicar un resumen de los datos de entrenamiento y cooperar con las autoridades para garantizar su cumplimiento legal.
Y si el modelo se considera de riesgo sistémico —por su escala, potencia o impacto social—, las obligaciones aumentan: informes de transparencia, evaluaciones de impacto en derechos fundamentales, pruebas previas al despliegue y protocolos para incidentes.
Las fechas clave: una aplicación escalonada
El Reglamento entró en vigor el 20 de junio de 2024, pero su aplicación se hará por fases. La primera gran fecha es el 2 de agosto de 2025, cuando comenzarán a aplicarse las obligaciones para los modelos fundacionales o de propósito general (GPAI), como ChatGPT o Gemini.
Sin embargo, otras disposiciones se activarán más adelante:
- En febrero de 2025, se prohíben formalmente las prácticas vetadas por la ley.
- A partir del 2 de agosto de 2026, se aplicarán las obligaciones para los sistemas de alto riesgo.
- En agosto de 2027, entrará en vigor la exigencia de registro público para estos sistemas.
Esta aplicación escalonada busca dar tiempo a los Estados miembros, a las empresas y a las autoridades supervisoras para adaptarse al nuevo marco normativo.
Multas de hasta 15 millones de euros
Las sanciones no son simbólicas. Quien incumpla las nuevas normas podrá enfrentarse a multas de hasta 15 millones de euros o el 3% del volumen de negocio global. Y en caso de obstrucción o falta de cooperación, hasta el 1% o 7,5 millones.
En España, la vigilancia recaerá en organismos como la Agencia Española de Protección de Datos, la CNMC o la Secretaría de Estado de Digitalización e Inteligencia Artificial. A nivel comunitario, la Oficina Europea de Inteligencia Artificial coordinará la supervisión y podrá intervenir en casos transfronterizos.
A diferencia de otras disposiciones del reglamento —que se aplicarán en 2026 o incluso en 2027—, las obligaciones sobre GPAI serán exigibles desde agosto de este mismo año. La cuenta atrás ya ha empezado.
¿Y si no estamos listos?
Aunque el calendario está fijado, el despliegue no está exento de dudas. La propia Comisión Europea ha reconocido que algunos elementos del reglamento pueden retrasarse por falta de directrices claras o presión del sector.
Uno de los puntos más delicados es la definición técnica de qué es una IA. Conceptos como «inferencia» o «adaptabilidad» aún generan debate. También hay fricciones sobre los criterios de «manipulación» o «riesgo significativo» y sobre cómo aplicar la norma a las pymes, que alertan de cargas regulatorias desproporcionadas.
Para aclarar el panorama, la Comisión trabaja en directrices interpretativas y un código de buenas prácticas para modelos GPAI. Pero su publicación se ha retrasado varias veces. El temor es que la falta de claridad pueda convertir una buena ley en una norma difícil de aplicar.
Jorge Calvo recomienda que las empresas no esperen a que las dudas se resuelvan para empezar a actuar: «La preparación debe comenzar ya, no en 2027. No se trata solo de cumplir una ley, sino de integrar una nueva cultura de responsabilidad».
Según el experto, el primer paso para las organizaciones es hacer un inventario de los sistemas de IA que utilizan. Luego, deben clasificarlos por nivel de riesgo, y finalmente crear una Oficina de IA Responsable que centralice la estrategia de cumplimiento y gobernanza interna.
Innovación, sí; sin derechos por el camino
La gran apuesta europea está aquí: demostrar que es posible innovar sin sacrificar derechos. Frente a potencias como China o Estados Unidos —donde el desarrollo de IA ha avanzado con menor regulación—, Europa quiere liderar desde los valores democráticos.
En 2024, según el AI Index Report de Stanford, las instituciones europeas desarrollaron apenas tres modelos destacados de IA. Muy por debajo de los 15 de China y los 40 de EE. UU. Pero la UE cree que la clave no está solo en la cantidad, sino en el impacto y la confianza.
«Esta ley es un catalizador de confianza», señala Jorge Calvo. «La gente desconfía de lo que no entiende, y la IA puede ser una caja negra. Al exigir transparencia y una gestión de riesgos rigurosa, podemos decirles a nuestros clientes que las soluciones de IA que ofrecemos son seguras, éticas y fiables. Esa confianza es lo que acelerará su adopción real y nos diferenciará en el mercado».
Una ley ambiciosa con puntos débiles
El Reglamento tiene fortalezas, pero también grietas. Una de las más visibles: el artículo 27, que exige evaluar el impacto en derechos fundamentales, solo es obligatorio para el sector público. Las empresas privadas quedan fuera, aunque puedan generar daños comparables o mayores.
Además, la estructura del texto es compleja: 113 artículos, 13 anexos y numerosas remisiones cruzadas dificultan su lectura y aplicación, incluso para juristas. La Comisión ha prometido herramientas para facilitar su interpretación, pero aún no están listas.
Algunos expertos han alertado de que las excepciones concedidas a las fuerzas de seguridad —por ejemplo, para usar reconocimiento facial en tiempo real— pueden abrir la puerta a abusos si no se vigilan con lupa. Organizaciones como Access Now o EDRi han señalado que el reglamento, pese a su ambición, no logra blindar del todo a los ciudadanos frente a la vigilancia masiva.
También preocupa la posibilidad de una implementación desigual entre países, que podría fracturar la unidad legal que pretende la norma. No todos los Estados miembros tienen agencias suficientemente preparadas, y la brecha digital entre administraciones podría generar un mapa de derechos fragmentado.
Y finalmente, voces del sector tecnológico critican que las obligaciones para los GPAI son aún vagas, especialmente en lo relativo a transparencia y documentación de entrenamiento. Algunas startups temen que, sin aclaraciones pronto, el reglamento acabe favoreciendo a las grandes tecnológicas que ya tienen músculo legal y financiero.
El futuro se juega en la ejecución
La UE ya ha puesto las cartas sobre la mesa: una ley ambiciosa, con visión ética, pero anclada en el realismo regulador. El éxito —o el fracaso— del Reglamento dependerá de cómo se implemente, de si se corrigen sus vacíos y se aplican sus exigencias con firmeza.
Lo que está claro es que ya no vale el todo vale. A partir de ahora, quien quiera operar con inteligencia artificial en Europa tendrá que respetar unas reglas comunes, con un marco de garantías y sanciones.
Es un cambio de era. Porque si la inteligencia artificial será parte del futuro, Europa quiere que sea un futuro que respete a las personas.
