Saltar al contenido
AIPIA — Asociación Italiana de Profesionales de Inteligencia Artificial
Reglamento UE de IA

Reglamento UE de IA: guía práctica para la práctica internacional

El Reglamento (UE) 2024/1689 es la primera ley integral del mundo sobre inteligencia artificial. Se aplica a cualquier organización que despliegue IA en el mercado europeo, esté donde esté su sede. AIPIA traduce el Reglamento en orientación operativa a través de grupos de trabajo, sesiones para personas asociadas, formación y una guía de acceso abierto.

Por qué importa

La primera ley horizontal de IA con alcance global

El Reglamento UE de IA crea un marco jurídico único para inteligencia artificial en los 27 Estados miembros de la UE. Igual que el RGPD, opera con alcance extraterritorial: si tu sistema de IA presta servicio a personas usuarias en la UE, el Reglamento se aplica — aunque tu organización tenga sede en Buenos Aires, Madrid, Ciudad de México, Miami, Boston o São Paulo.

El Reglamento adopta un enfoque basado en el riesgo. Las prácticas consideradas incompatibles con los valores de la UE quedan prohibidas. Los usos de alto riesgo afrontan obligaciones estrictas de documentación, supervisión y evaluación de conformidad. Los usos de riesgo limitado requieren transparencia. A los usos de riesgo mínimo se les invita a adoptar códigos voluntarios.

Para organizaciones internacionales, el Reglamento UE se está consolidando como estándar global de facto. Reino Unido está construyendo su marco con principios compartidos; los Emiratos Árabes Unidos han publicado una Carta de IA alineada con normas internacionales; países en América Latina y Asia siguen el modelo europeo. El cumplimiento construido hoy bajo el Reglamento UE satisfará la mayoría de los marcos emergentes en otras jurisdicciones.

Qué ofrece AIPIA

  • Una guía abierta del Reglamento UE de IA mantenida por el CTS de AIPIA
  • Grupos de trabajo sobre clasificación de riesgo, obligaciones GPAI y aplicación sectorial
  • Sesiones para personas asociadas cuando la Comisión Europea, las autoridades italianas o el CEPD publican nuevas guías
  • Programas formativos que terminan con la Credencial Europea de IA en cumplimiento del Reglamento
  • Código ético alineado con el espíritu y las obligaciones del Reglamento
  • Seguro de responsabilidad civil profesional específico para IA para personas asociadas expuestas a los riesgos del Reglamento
Niveles de riesgo

Cuatro niveles, cuatro conjuntos de obligaciones

El Reglamento clasifica cada sistema de IA según su nivel de riesgo para la salud, la seguridad y los derechos fundamentales. Cada nivel activa una vía de cumplimiento distinta.

Riesgo inaceptable · prohibido
  • Puntuación social por parte de autoridades públicas
  • Identificación biométrica en tiempo real en espacios públicos (con excepciones acotadas para fuerzas del orden)
  • IA manipuladora o engañosa que cause daño
  • Explotación de vulnerabilidades de grupos específicos
  • Recolección masiva no dirigida de imágenes faciales para bases de datos de reconocimiento
  • Reconocimiento emocional en entornos laborales y educativos (con excepciones limitadas médicas o de seguridad)
Alto riesgo · obligaciones estrictas
  • IA en infraestructuras críticas (transporte, energía, agua)
  • Educación y formación profesional (admisiones, evaluación)
  • Empleo, gestión de personal, acceso al autoempleo
  • Servicios esenciales (scoring crediticio, prestaciones, despacho de emergencias)
  • Aplicación de la ley, migración, asilo, control de fronteras
  • Administración de justicia y procesos democráticos
  • Identificación biométrica, categorización y reconocimiento emocional (cuando no estén prohibidos)
  • Componentes de seguridad de productos regulados (maquinaria, dispositivos médicos, vehículos)
Riesgo limitado · transparencia
  • Chatbots y divulgación de contenido generado por IA
  • Etiquetado de deepfakes
  • Reconocimiento emocional fuera de contextos de alto riesgo
Riesgo mínimo · códigos voluntarios
  • Videojuegos con IA
  • Filtros antispam
  • La mayoría de las aplicaciones de IA de consumo
Roles

Quién carga con cada obligación

Una misma organización puede ostentar varios roles para sistemas distintos. Una empresa que desarrolla una herramienta de IA y la utiliza internamente es a la vez proveedor y usuario profesional respecto a ese sistema.

Proveedores

Organizaciones que desarrollan sistemas de IA y los introducen en el mercado. Asumen las obligaciones más exigentes: gestión de riesgos, gobernanza de datos, documentación técnica, transparencia, supervisión humana, exactitud y robustez, evaluación de conformidad y vigilancia poscomercialización.

Usuarios profesionales (deployers)

Organizaciones que utilizan sistemas de IA bajo su propia autoridad. Las obligaciones varían según el nivel de riesgo: supervisión humana, conservación de registros, evaluación de impacto en derechos fundamentales para organismos públicos y sectores concretos, transparencia hacia las personas afectadas.

Importadores y distribuidores

Intermediarios establecidos en la UE que introducen IA de terceros países en el mercado. Verifican el marcado CE, la documentación técnica y la conformidad. Retiran los sistemas no conformes.

Proveedores de modelos GPAI

Las personas y entidades que desarrollan modelos de base deben publicar resúmenes de los datos de entrenamiento, respetar la opt-out de derechos de autor en la UE, cumplir los requisitos de documentación técnica y — para los modelos de "riesgo sistémico" — realizar evaluaciones, pruebas adversariales y notificación de incidentes.

Aplicación extraterritorial

Impacto en Argentina, España, México y Miami

El alcance extraterritorial del Reglamento UE de IA replica la lógica del RGPD: el sistema entra en su ámbito cuando el output afecta a personas en la UE, con independencia de dónde tenga sede la organización. Esto tiene consecuencias prácticas distintas en cada uno de los cuatro mercados hispanohablantes que AIPIA atiende.

Argentina

Empresas con sede en Buenos Aires o Córdoba que prestan servicios de IA a clientes europeos — desarrollo de modelos, consultoría, análisis — quedan dentro del ámbito del Reglamento cuando el output del sistema se utiliza en la UE. La aplicación extraterritorial opera con independencia de la sede legal.

España

Empresas españolas con clientes en otros Estados miembros se enfrentan a la doble capa: aplicación directa del Reglamento como Estado miembro y supervisión nacional a través de AESIA (Agencia Española de Supervisión de IA). El sandbox regulatorio español ofrece un entorno de prueba alineado con la futura aplicación plena.

México

Empresas mexicanas — en CDMX, Monterrey o Guadalajara — que comercializan sistemas de IA con usuarios europeos, o cuyo output se utiliza en la UE, deben cumplir los mismos requisitos que un proveedor europeo. El acuerdo comercial UE-México refuerza la exigencia de cumplimiento alineado.

Miami / Florida

Empresas hispanas en Florida que sirven mercados latinoamericanos Y europeos — frecuente para consultoría, fintech y SaaS — operan bajo el Reglamento cuando el sistema afecta a personas en la UE. La aplicación extraterritorial sigue el modelo RGPD, hoy bien conocido por las empresas estadounidenses con clientela europea.

Calendario

Aplicación gradual entre 2024 y 2027

  1. 1 de agosto de 2024

    Entrada en vigor del Reglamento

  2. 2 de febrero de 2025

    Prácticas prohibidas y obligaciones de alfabetización en IA aplicables

  3. 2 de agosto de 2025

    Reglas para IA de uso general (GPAI) y órganos de gobernanza operativos

  4. 2 de agosto de 2026

    Aplicación de la mayoría de las disposiciones, incluidas las obligaciones para IA de alto riesgo

  5. 2 de agosto de 2027

    Plena exigibilidad para IA de alto riesgo integrada en productos regulados

FAQ

Preguntas frecuentes de profesionales internacionales

¿Se aplica el Reglamento UE de IA a empresas fuera de la UE?
Sí. El Reglamento tiene alcance extraterritorial. Se aplica a quienes introducen sistemas de IA en el mercado de la UE y a proveedores y usuarios establecidos fuera de la UE cuando el output del sistema se utiliza dentro de la UE. Empresas en Argentina, México, Estados Unidos, Reino Unido o el Golfo que sirven a clientela europea entran en el ámbito.

¿Cuál es la relación entre el Reglamento UE de IA y el RGPD?
Coexisten y se refuerzan mutuamente. El RGPD regula el tratamiento de datos personales; el Reglamento UE de IA regula los sistemas y modelos de IA. Los sistemas de IA de alto riesgo que procesan datos personales deben cumplir ambos marcos. En caso de conflicto, el RGPD sigue aplicándose a los aspectos de protección de datos, y el Reglamento UE de IA añade los requisitos a nivel de sistema.

¿Cuáles son las sanciones por incumplimiento?
Hasta 35 millones de euros o el 7% del volumen de negocio anual mundial por incumplimiento de las prácticas prohibidas. Hasta 15 millones de euros o el 3% por incumplimiento de las obligaciones de alto riesgo. Hasta 7,5 millones de euros o el 1% por información incorrecta, incompleta o engañosa a las autoridades. Las sanciones escalan con la gravedad, la intencionalidad y el tamaño de la empresa.

¿Cómo debería prepararse una empresa fuera de la UE?
Tres pasos iniciales. Primero, mapea todos los sistemas de IA utilizados o vendidos en la UE y clasifica su nivel de riesgo. Segundo, identifica si tu organización actúa como proveedor, usuario profesional, importador o distribuidor. Tercero, construye la documentación técnica, la evidencia de evaluación de conformidad y los procesos de vigilancia para los sistemas de alto riesgo antes de las fechas de aplicación correspondientes.

¿Necesitas apoyo práctico con el Reglamento UE de IA?

Formación, grupos de trabajo, sesiones para personas asociadas y seguro RC profesional específico para IA, pensados para profesionales internacionales que operan en el mercado europeo o le venden.

Formación Reglamento UE Cobertura RC Habla con nosotros