Se acabó el “todo vale”: la regulación de la Unión Europea se abre paso en el ámbito tecnológico con el reglamento de Inteligencia Artificial

Lide Ibarra

Abogada en Sayma

La Unión Europea lleva años articulando una ambiciosa arquitectura legal ante los excesos de la tecnología. Comenzó en 2018 con la entrada en vigor del Reglamento General de Protección de Datos (RGPD), una normativa que, entre otras cuestiones, obliga a las empresas a declarar qué información personal van a emplear y con qué propósito.

Continuó con la Ley de Servicios Digitales, gestada a la vez que la Ley de Mercados Digitales y aplicada de forma generalizada desde febrero de este año. En apenas medio año de andadura, la Ley de Servicios Digitales ha impulsado investigaciones contra X, por sospechas de difusión de desinformación, y contra Meta, empresa matriz de Facebook e Instagram, para evaluar sus posibles efectos nocivos entre los jóvenes. También obligó a TikTok a retirar una aplicación que pagaba por ver vídeos o recomendar usuarios.

La terminación de este entramado regulatorio llega con el Reglamento de Inteligencia Artificial (IA) que tiene como finalidad proteger la salud, la seguridad y los derechos fundamentales de las personas ubicadas en la Unión Europea, al mismo tiempo que orienta a las entidades hacia el uso responsable y seguro de la Inteligencia Artificial.

¿Qué regula este Reglamento de IA?

Regula la comercialización y el uso de sistemas de inteligencia artificial e introduce una serie de obligaciones para los actores dentro de la cadena de valor (proveedores, importadores, responsables del despliegue, etc.), como obligación de notificación y registro, evaluaciones de conformidad, transparencia y seguridad de los productos, entre otras.

El Reglamento adopta una aproximación basada en el nivel de riesgo de estos sistemas. Así, cuanto mayor sea el riesgo (inaceptable, alto o limitado) para los derechos y libertades de los ciudadanos europeos, mayores obligaciones se imponen a los actores de la cadena de valor. Además, movido por el reciente desarrollo de la IA generativa, el Reglamento de IA regula también los denominados sistemas de IA de uso general.

¿Quién controlará la aplicación del Reglamento de IA?

En España, se ha constituido la Agencia Española de Supervisión de Inteligencia Artificial, que será la principal autoridad supervisora a nivel nacional y cuenta con potestad sancionadora.

Debe señalarse que el Reglamento de IA establece un régimen sancionador severo, con multas, en los casos más graves, de hasta los 35 millones de euros o el 7% del volumen de negocios total anual a nivel mundial, si esta cantidad fuera mayor.

¿Cuándo será aplicable el Reglamento de IA?

Tras su publicación, entró en vigor el 1 de agosto y será aplicable de manera progresiva.

La regla general es que el Reglamento será aplicable a los 24 meses desde su entrada en vigor, a partir del 2 de agosto de 2026. Sin embargo, hay relevantes excepciones:

• Regla general: se aplica a los 24 meses desde la entrada en vigor del texto.
• Sistemas de IA prohibidos -pero autorizados previamente por la correspondiente autoridad judicial o autoridad pública competente–: a los 6 meses desde la entrada en vigor del Reglamento de IA. (Ejemplos de sistemas prohibidos: sistemas de identificación biométrica remota en tiempo real en espacios públicos para luchar contra delitos de terrorismo o la explotación sexual de menores, el asesinato, el tráfico de drogas, búsqueda específica de víctimas, la prevención del riesgo para la vida o la salud física).
• Normas de IA de uso general, incluida la gobernanza: a los 12 meses desde la entrada en vigor del texto. (Ejemplos de sistema de uso general: sistemas capaces de llevar a cabo de forma competente un gran rango de tareas distintas como, generar videos, imágenes, conversar en lenguaje lateral, o programar código).
• Obligaciones para sistemas de alto riesgo: como regla general a los 24 meses, y 36 meses para los sistemas recogidos en el Anexo I del Reglamento de IA. (Ejemplos de sistema de alto riesgo: sistemas utilizados como componentes de seguridad en el funcionamiento de infraestructuras críticas digitales, del tráfico rodado o del suministro de agua, gas, calefacción o electricidad; sistemas para determinar el acceso o la admisión de personas físicas a centros educativos, evaluar los resultados del aprendizaje, la contratación o la selección de personas físicas; para tomar decisiones que afecten a las condiciones de las relaciones de índole laboral; sistemas que evalúen a las personas para beneficiarse de servicios y prestaciones esenciales de asistencia pública sanitaria, de servicios crediticios, seguros de vida y de salud; sistemas utilizados por las autoridades públicas competentes en materia de migración, asilo y gestión del control fronterizo).

En cualquier caso, debido a la complejidad de las obligaciones y demás previsiones contenidas en el Reglamento de IA, las empresas deberían comenzar a analizar el impacto que este texto tiene en los sistemas de IA ya implementados o en fase de implementación.