La Inteligencia Artificial (en adelante, IA) se ha consolidado como una de las tecnologías más disruptivas de nuestro tiempo al ser capaz de revolucionar y transformar sectores como la sanidad, educación o los servicios públicos. La implantación de sistemas de IA impulsa y potencia las mejoras en el entorno en el que se apliquen, pero a su vez, acompañan una serie de preocupaciones o desafíos, principalmente sobre la privacidad y derechos fundamentales.
Ante esto, la Unión Europea, en aras de dar respuesta a estos nuevos desafíos, promulgó el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo de 13 de junio de 2024 por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) 300/2008, (UE) 167/2013, (UE) 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial) (en adelante, RIA o Reglamento de Inteligencia Artificial) cuyo objetivo principal es garantizar un uso seguro, transparente, ético y respetuoso de los sistemas de IA con los derechos fundamentales.
El Reglamento de Inteligencia Artificial, nacido en el contexto de la Estrategia Europea de IA de la Comisión Europea, busca posicionar a la UE como referente a nivel mundial en el campo de la IA, al ser posiblemente, la normativa más ambiciosa en IA aprobada por el momento centrada en el ser humano y una innovación segura y fiable.
Pese a su entrada en vigor el 1 de agosto de 2024, su aplicación es progresiva y, este 2 de agosto de 2025 entra en vigor el segundo gran paquete normativo del RIA, constituyendo prácticamente el verdadero arranque legal del RIA ya que, a partir de esta fecha, serán de aplicación las normas de gobernanza y las obligaciones para los sistemas IA de uso general.
Este hito normativo contiene importantes avances y novedades en materia de clasificación y regulación de sistemas de IA, derechos de los usuarios, gobernanza, transparencia, responsabilidad de los proveedores de IA, entre otros aspectos claves detallados en el artículo de este blog: PRIMERA APROXIMACIÓN AL REGLAMENTO DE INTELIGENCIA ARTIFICIAL, cuya lectura recomendamos y motivo por el cual en el presente artículo nos centraremos en el contenido aplicable a partir de 2 de agosto.
A modo recordatorio, desde el pasado 2 de febrero son de aplicación las disposiciones generales del RIA contenidas en los Capítulos I y II: ámbito de aplicación y definiciones, obligación de alfabetización en materia de IA y prácticas de IA prohibidas.
Sin embargo, a partir de este 2 de agosto, según el artículo 113 del RIA, comenzará a ser aplicable “el capítulo III, sección 4, el capítulo V, el capítulo VII y el capítulo XII y el artículo 78 (…) a excepción del artículo 101”, es decir, comenzará a ser aplicable el siguiente régimen
jurídico:
A. EVALUACION DE CONFORMIDAD DE SISTEMAS DE IA DE ALTO RIESGO Y AUTORIDADES NOTIFICANTES (artículos 28 a 39 – Capítulo III, Sección 4 del RIA)
En este contenido del RIA, se exige a los sistemas de IA de alto riesgo la necesidad de realizar una evaluación previa a su comercialización, en la línea de la obligación impuesta a los proveedores de sistemas de IA de alto riesgo (art. 16 f) RIA) de asegurarse de que dichos sistemas sean sometidos al procedimiento pertinente de evaluación conforme al art. 43 RIA garantizando el cumplimiento de los requisitos del Capítulo II, Sección II del RIA.
La evaluación previa puede realizarse de forma interna por el proveedor o bien, mediante una evaluación externa por un organismo notificado y supervisado por una autoridad notificante.
Por ende, a partir de este 2 de agosto, cada EE.MM deberá nombrar como mínimo una autoridad notificante, responsable de organizar y gestionar los procedimientos de evaluación y supervisión de estos organismos de evaluación de la conformidad.
B. MODELO DE IA DE USO GENERAL (artículos 51 y ss. – Capítulo V del RIA)
Según el art. 3. 63 RIA, un modelo de IA de uso general es todo aquel entrenado con un gran volumen de datos mediante técnicas de aprendizaje autosupervisado, con alto grado de generalidad, capaz de ejecutar múltiples tareas, independientemente de la forma en que se introduce en el mercado y que puede integrarse en diversas aplicaciones o sistemas posteriores, excepto aquellos modelos de IA utilizados para investigación, desarrollo o creación de prototipos antes de su comercialización.
Estos modelos de IA de uso general sirven de base a herramientas como Gemini o ChatGPT y, debido a su impacto, el RIA hizo una distinción entre los modelos de IA de uso general sin riesgo sistémico y con riesgo sistémico. Con todo ello, a partir de su entrada en vigor, los proveedores de estos modelos deberán cumplir las siguientes obligaciones (artículos 53 y 54 RIA):
- Proporcionar información necesaria a los integradores para un uso transparente y seguro.
- Elaborar y mantener de forma actualizada la documentación técnica del sistema de IA.
- En caso de que el establecimiento se sitúe fuera de la UE, deberán nombrar un representante legal en la UE.
Junto a estas obligaciones, aquellos proveedores de modelos de IA de uso general con riesgo sistémico (artículo 55 RIA) deberán evaluar y mitigar los riesgos, realizar una vigilancia continua de los mismos, notificar aquellas incidencias graves que puedan ocasionarse y adoptar las medidas necesarias para garantizar la seguridad de su modelo.
Los riesgos sistémicos son aquellos riesgos de daños a gran escala derivados de modelos más avanzados o aquellos que tengan un impacto equivalente. Estos riesgos pueden manifestarse mediante la reducción de las barreras, por ejemplo, para el desarrollo de armas químicas o biológicas, o cuestiones no deseadas de control sobre los modelos autónomos de IA de uso general (Considerando 110 RIA).
Llegado el momento, estos modelos más avanzados pueden plantear riesgos sistémicos, incluidos riesgos novedosos, al impulsar el estado de la técnica. Al mismo tiempo, algunos modelos por debajo del umbral que refleja el estado de la técnica también pueden plantear riesgos sistémicos, por ejemplo, a través del alcance, la escalabilidad o los andamios.
En consonancia con lo dispuesto en el artículo 56 RIA, el cumplimiento de estas obligaciones podrá ser demostrado mediante la adhesión al Código de Buenas Prácticas aprobado por la Comisión Europea el pasado 10 de julio de 2025, al menos, por el momento hasta la adopción de normas armonizadas que otorguen presunción de cumplimiento.
Además, con la publicación reciente por la Comisión Europea del modelo de plantilla para la comunicación preceptiva del resumen de los contenidos utilizados para el entrenamiento de los modelos de IA de propósito general, por parte de sus proveedores, se complementa el Código de Buenas Prácticas para IA de uso general, y aunque no son vinculantes, orientan la supervisión y el cumplimiento del RIA.
Cabe destacar que, pese a la entrada en vigor de este conjunto de obligaciones, el sistema de supervisión y cumplimiento efectivo dispuesto en los artículos 88 a 94 no será de aplicación hasta el próximo 2 de agosto de 2026. Esto supone una falta de control institucional efectiva sobre estos modelos que podrá ser parcialmente mitigado mediante el sistema previsto en el artículo 68 del RIA con la conformación del Grupo de Expertos Independientes.
C. GOBERNANZA IA (Capítulo VII del RIA)
El Capítulo VII del RIA contiene el marco de gobernanza necesario para la implementación efectiva de los sistemas IA, dividido en dos niveles:
- Oficina de la IA, Comité Europeo de IA, Foro Consultivo y Grupo de expertos científicos independientes, a nivel europeo.
- Autoridades nacionales competentes y punto de contacto único, a nivel nacional.
A nivel europeo se han constituido los siguientes entes:
En primer lugar, la Oficina de la IA (art. 64 RIA), operativo desde mayo de 2025, es el órgano ejecutivo dependiente de la Comisión Europea cuyas funciones claves giran en torno a la aplicación del RIA, coordinando las políticas, representando a la Unión Europea a nivel internacional e impulsando la innovación segura.
Seguidamente, el Comité Europeo de IA (arts. 65 a 66 RIA), cuya secretaría se integra en la Oficina de la IA, está constituido por representantes de los EE.MM y se encargan de realizar un asesoramiento e intercambio de buenas prácticas y políticas comunes.
Por último, en aras de asistir tanto a la Comisión como al Comité en el asesoramiento, implantación y alerta sobre riesgos emergentes están el Foro Consultivo y Grupo de Expertos Independientes como órganos de soporte técnico.
Y, el artículo 70 RIA, a nivel nacional los EE. MM deberán designar al menos una autoridad notificante, encargada de la designación y supervisión de organismo de evaluación de conformidad y, una autoridad nacional de vigilancia del mercado, quien será responsable de la supervisión del cumplimiento normativo, en este caso, del RIA.
En España el Anteproyecto de Ley para el Buen Uso y la Gobernanza de la IA de marzo de este año, prevé las siguientes instituciones:
- Secretaría de Estado de Digitalización e IA como autoridad notificante, a través de la Dirección General de IA.
- Agencia Española de Supervisión de Inteligencia Artificial (AESIA), autoridad principal de vigilancia del mercado.
Además, designa a la Secretaria de Estado como la representante nacional en el Comité Europeo de IA y, según el ámbito del sistema IA designa autoridades sectoriales competentes como la Agencia Española de Proteccion de datos (para cuestiones de protección de datos) o el Banco de España (para sistemas que afecten a servicios financieros), entre otros.
Junto a la aplicabilidad respecto a las instituciones, también a partir de este 2 de agosto será aplicable la obligación de confidencialidad en el ejercicio de las competencias de los órganos de gobernanza de la IA (art. 78 RIA) en la realización de sus funciones de inspección y control de cumplimiento del RIA, debiendo en todo momento, respetar la confidencialidad de la información y datos obtenidos en el ejercicio de sus funciones.
Este deber de confidencialidad conlleva que únicamente trataran aquellos datos que sean estrictamente necesarios para la evaluación del riesgo que acompañan los sistemas de IA. Además, deberán implantar las medidas adecuadas y necesarias de ciberseguridad en aras de proteger la seguridad y confidencialidad de los datos obtenidos, eliminando todos aquellos que no sean estrictamente necesarios.
En cumplimiento de este deber de confidencialidad, el RIA establece una protección reforzada frente a la divulgación no autorizada de información más sensible en el caso de autoridades que velan por el cumplimiento del Derecho, inmigración o asilo, entre otros, y utilicen sistemas de alto riesgo indicados en los puntos 1, 6 o 7 del anexo III.
D. RÉGIMEN SANCIONADOR DEL RIA (Capítulo XII del RIA)
De igual manera que el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), el RIA configura un régimen sancionador remitiendo a la normativa nacional para cuestiones procedimentales y de ejecución (artículo 99.2 RIA).
Antes de detallar las infracciones y sanciones que comenzarán a ser aplicables, cabe indicar que las multas específicas impuestas por la Comisión a los proveedores de modelos de IA de uso general no serán aplicables a partir de este 2 de agosto, sino del próximo año 2026.
Pues bien, el artículo 99 RIA contiene una clasificación de las infracciones en muy graves, graves y leves:
- Infracciones muy graves con multas de hasta 35 millones de euros o el 7% del volumen de negocios anual de la empresa por infracción del artículo 5 RIA, es decir, prácticas de IA prohibidas.
- Infracciones graves por el incumplimiento de obligaciones o requisitos distintos al contenido del artículo 5 RIA con multas de hasta 15 millones de euros o el 3 % del volumen de negocios anual.
- Infracciones leves con multas de hasta 7,5 millones de euros o el 1 % del volumen de negocios anual por facilitar información falsa, engañosa o incompleta.
Además, según el artículo 100 del RIA el Supervisor Europeo de Protección de Datos, podrá imponer multas de hasta 1,5 millones de euros por la realización de practicas prohibidas o hasta 750.000 euros ante incumplimiento del RIA.
En esta línea, resulta destacable mencionar que, pese a que cada EE. MM deberá comunicar a la Comisión su régimen sancionador aplicable, a más tardar el 2 de agosto de 2025, España todavía no ha aprobado formalmente su marco nacional, lo cual genera un vacío que puede comprometer la aplicación efectiva de sanciones, principalmente respecto a las prácticas prohibidas del artículo 5 RIA que están vigentes desde el 2 de febrero de 2025.
Cabe destacar que, el 18 de julio de 2025, la Comisión Europea publicó unas directrices aclaratorias de las obligaciones de los proveedores de modelos de IA, vigentes desde el 2 de agosto de 2025 y, aunque no son vinculantes, orientan la supervisión y cumplimiento del RIA.
En definitiva, la entrada en vigor de este amplio bloque normativo supone un punto de inflexión operativo para los sistemas IA dentro del ámbito europeo, puesto que la operatividad del RIA se traduce en obligaciones muy concretas para proveedores, autoridades nacionales e instituciones de IA donde la transparencia en los datos de los sistemas de IA ya no es una opción, sino un deber regulatorio clave que refuerza la confianza en estos sistemas.
Esta aplicación escalonada del RIA que exige a los EE.MM un esfuerzo legislativo e institucional, complementa al Reglamento General de Protección de Datos reforzando la protección de toda persona física en tratamientos automatizados, especialmente en la calidad de los datos, supervisión humana, prevención de usos discriminatorios y transparencia algorítmica.
