Por Redacción - 2 Junio 2025
La Unión Europea ha marcado un hito fundamental en el desarrollo de la inteligencia artificial con la implementación de la “EU AI Act”, la primera regulación integral a nivel global para esta tecnología. En vigor desde agosto de 2024 y con una aplicación progresiva hasta agosto de 2027, esta normativa establece un conjunto de estándares diseñados para asegurar que el desarrollo de la IA se realice de manera segura, ética y respetuosa con los derechos fundamentales de las personas. La trascendencia de esta legislación se refleja también en el ámbito nacional, donde España ha aprobado el “Anteproyecto de Ley para el Buen Uso y la Gobernanza de la Inteligencia Artificial”, reforzando así el enfoque europeo y obligando a los proveedores y desarrolladores que operan en el continente a adherirse a criterios estrictos para evitar posibles penalizaciones. En este escenario, consultoras especializadas como Innova-tsn, reconocidas por su experiencia en el ciclo integral del dato y la inteligencia artificial, han analizado en profundidad la nueva legislación para ofrecer a sus clientes una guía clara hacia una adopción responsable de la IA.
Uno de los pilares de la EU AI Act es la clasificación de los sistemas de inteligencia artificial según su nivel de riesgo, lo que permite aplicar regulaciones proporcionales a su impacto. Se han definido cuatro categorías: los sistemas de riesgo inaceptable, que incluyen aquellos que vulneran derechos fundamentales o manipulan el comportamiento humano, están estrictamente prohibidos en toda la Unión Europea. Los sistemas de alto riesgo, como los empleados en diagnósticos médicos o procesos de selección de personal, están permitidos pero sujetos a exigencias rigurosas, que abarcan desde evaluaciones de conformidad y supervisión humana hasta la implementación de mecanismos de gobernanza robustos. Para los sistemas de riesgo limitado, como los generadores de texto o imágenes, se establecen obligaciones de transparencia hacia el usuario, mientras que los de riesgo mínimo, como los filtros de spam o asistentes virtuales, no tienen una regulación específica, aunque deben acatar normativas generales como el Reglamento General de Protección de Datos (GDPR).
El régimen sancionador de la legislación europea impone multas que varían en función de la gravedad de la infracción.
Las penalizaciones más severas, que pueden alcanzar los 35 millones de euros o el 7% de la facturación global (aplicándose siempre la cifra mayor), se reservan para casos de uso o creación de sistemas prohibidos. Otros incumplimientos, como la omisión de la documentación requerida o la falsificación de información ante una solicitud oficial, pueden acarrear sanciones de hasta 15 millones de euros o el 3% del volumen de negocio global. Para infracciones de menor calado, las multas pueden ascender a 7,5 millones de euros o el 1% de la facturación. No obstante, el anteproyecto español adopta un enfoque más indulgente con el sector público, previendo únicamente amonestaciones o apercibimientos, incluso en escenarios de uso de tecnologías prohibidas o de alto riesgo, como la identificación biométrica remota.
La transparencia es un requisito fundamental, exigiendo a los sistemas de IA proporcionar documentación clara y accesible sobre su lógica de funcionamiento, el uso de datos y las decisiones automatizadas, especialmente cuando pueden afectar derechos fundamentales.
Esta claridad debe mantenerse a lo largo de todo el ciclo de vida del modelo, desde la recopilación y preparación de datos hasta la monitorización y el mantenimiento. En el caso de sistemas de IA generativa, como ChatGPT o Copilot, se imponen requisitos adicionales, tales como resúmenes detallados de los datos de entrenamiento, la inclusión de marcas de agua para identificar contenido sintético y la obtención del consentimiento explícito para el uso de datos biométricos, limitando su almacenamiento al tiempo estrictamente necesario.
Además de la transparencia, la explicabilidad es crucial: las organizaciones deben asegurar que tanto usuarios como responsables comprendan el funcionamiento de los sistemas de IA, ofreciendo justificaciones claras sobre su comportamiento, tanto desde una perspectiva técnica como funcional. En este sentido, la capacitación continua de los equipos involucrados es esencial para fomentar un uso informado y ético. La seguridad también constituye un pilar, requiriendo que las organizaciones protejan la integridad, confidencialidad y disponibilidad de los datos, modelos e infraestructuras de IA. Para ello, se recomienda la implementación de medidas alineadas con la norma ISO 27001, como el cifrado de datos, la autenticación multifactor, la restricción de accesos y evaluaciones periódicas con supervisión humana.
La privacidad, intrínsecamente ligada al cumplimiento del RGPD, demanda que las organizaciones garanticen la protección de los datos personales y el control del usuario a lo largo de todo el ciclo de vida del modelo.
Estrategias como la anonimización de datos identificativos durante el entrenamiento de los modelos son clave para upholding este principio. Asimismo, la sostenibilidad se ha convertido en una consideración prioritaria, dado el considerable consumo energético que implica el entrenamiento de grandes modelos de lenguaje, que puede equivaler al suministro anual de energía de más de mil hogares. Para mitigar este impacto, se sugieren estrategias como la optimización algorítmica, el empleo de modelos pre-entrenados y el uso de arquitecturas eficientes. La equidad es otro componente esencial, recomendándose el uso de muestras de datos equilibrados y la participación de equipos multidisciplinares en todas las fases del proyecto para minimizar sesgos discriminatorios y salvaguardar el bienestar social.
Finalmente, el gobierno de la IA es indispensable para una correcta adopción de la legislación, implicando que las organizaciones establezcan procesos, políticas y estructuras internas que aseguren la operatividad responsable de la inteligencia artificial. Este enfoque de gobernanza se divide en una dimensión institucional, que aborda aspectos organizativos como la asignación de roles y la creación de estructuras de gobierno, y una dimensión operativa, enfocada en los aspectos técnicos de la implementación. La combinación de ambas perspectivas ofrece una estrategia efectiva para alinear el cumplimiento normativo con los objetivos empresariales.
Más allá de evitar sanciones, la EU AI Act presenta a las empresas una oportunidad para diferenciarse en sectores regulados, ya que cada sistema de IA posee particularidades que requieren un análisis detallado para una clasificación correcta. En este contexto, contar con un socio estratégico puede simplificar el proceso de evaluación, categorización e implementación de soluciones que cumplan con la regulación y los principios de una IA responsable.
