Ley de IA2026-04-1613 min de lectura

Reglamento de IA de la UE: Todo lo que necesitas saber en 2026

MW
Malte Wagenbach

Founder & CEO, Matproof

También disponible en:EnglishDeutschFrançaisNederlandsItaliano

Índice

  1. 01¿Qué es el Reglamento de IA de la UE?
  2. 02¿Quién debe cumplir?
  3. 03Los cuatro niveles de riesgo
  4. 04Modelos de IA de propósito general (GPAI)
  5. 05Plazos clave
  6. 06Sanciones
  7. 07Cómo prepararse: Hoja de ruta de cumplimiento en 6 pasos
  8. 08Preguntas frecuentes

Reglamento de IA de la UE: Todo lo que necesitas saber en 2026

El Reglamento de IA de la UE (Reglamento 2024/1689) es la primera ley integral del mundo que regula la inteligencia artificial. Clasifica los sistemas de IA en cuatro niveles de riesgo — prohibido, alto riesgo, riesgo limitado y riesgo mínimo — e impone obligaciones obligatorias a los proveedores y responsables del despliegue que operan en el mercado de la UE. La aplicación completa de los requisitos para IA de alto riesgo comienza el 2 de agosto de 2026, con multas de hasta 35 millones de euros o el 7 % del volumen de negocio anual mundial en caso de infracciones. Según una encuesta de PwC, a principios de 2026, más del 70 % de las organizaciones europeas que utilizan IA aún no han completado los preparativos de cumplimiento.

Este resumen cubre todo lo que los CTO, responsables de cumplimiento y DPO necesitan saber: a quién se aplica la normativa, cómo funcionan los niveles de riesgo, cuáles son los plazos, cómo son las sanciones y qué medidas tomar ahora.

Realiza la evaluación gratuita de preparación para el Reglamento de IA para evaluar la situación actual de tu organización.

¿Qué es el Reglamento de IA de la UE?

El Reglamento de IA de la UE es un reglamento — no una directiva — lo que significa que se aplica directamente en los 27 Estados miembros de la UE sin transposición nacional. Fue firmado el 13 de junio de 2024, publicado en el Diario Oficial el 12 de julio de 2024 y entró en vigor el 1 de agosto de 2024.

Sus objetivos fundamentales:

  1. Garantizar la seguridad de los sistemas de IA colocados en el mercado de la UE y respetar los derechos fundamentales
  2. Proporcionar seguridad jurídica para la inversión y la innovación en IA
  3. Mejorar la gobernanza y la aplicación de las regulaciones de IA en la UE
  4. Facilitar un mercado único para IA legal, segura y fiable

El reglamento sigue un enfoque basado en el riesgo: cuanto mayor sea el riesgo que un sistema de IA supone para la salud, la seguridad o los derechos fundamentales, más estrictas son las obligaciones.

Cifras clave

Métrica Valor
Niveles de riesgo 4 (prohibido, alto riesgo, limitado, mínimo)
Categorías de alto riesgo (Anexo III) 8
Multa máxima 35 M€ o 7 % del volumen de negocio mundial
Sistemas de IA de alto riesgo estimados en la UE 15 % de todos los sistemas de IA
Calendario de implementación 3 fases en 24 meses
Estados miembros de la UE cubiertos 27

¿Quién debe cumplir?

El Reglamento de IA se aplica a toda la cadena de valor de la IA, independientemente de dónde tengan su sede las organizaciones:

Proveedores (desarrolladores)

  • Empresas que desarrollan sistemas de IA colocados en el mercado de la UE
  • Proveedores de modelos de IA de propósito general (GPAI), incluidos los desarrolladores de modelos de base
  • Empresas no pertenecientes a la UE cuya producción de IA se utiliza dentro de la UE
  • Fabricantes de productos que integran IA en productos regulados
  • Organizaciones que adaptan o ajustan modelos de IA de terceros

Responsables del despliegue (usuarios)

  • Organizaciones que utilizan sistemas de IA de alto riesgo dentro de la UE
  • Instituciones financieras que utilizan IA para la calificación crediticia o la fijación de precios de seguros
  • Empleadores que utilizan IA para la contratación, evaluación del rendimiento o gestión de la plantilla
  • Proveedores de atención médica que utilizan sistemas de diagnóstico por IA
  • Organismos del sector público que utilizan IA para la prestación de servicios o la toma de decisiones

Obligaciones universales

Todas las organizaciones que utilicen IA en la UE deben garantizar la alfabetización en IA entre su personal (Art. 4), independientemente de la clasificación de riesgo de su sistema de IA. Esta obligación está vigente desde el 2 de febrero de 2025.

La Comisión Europea estima que el Reglamento de IA afectará a más de 6.000 proveedores y a decenas de miles de responsables del despliegue en toda la UE.

Los cuatro niveles de riesgo

1. Prácticas de IA prohibidas (Art. 5) — Prohibición total

Estos usos de IA son ilegales en la UE. Las infracciones conllevan las multas más elevadas: 35 millones de euros o el 7 % del volumen de negocio mundial.

  • Puntuación social por parte de autoridades públicas
  • Identificación biométrica remota en tiempo real en espacios públicos (con estrechas excepciones para las fuerzas del orden)
  • Técnicas de manipulación subliminal que causen daño
  • Explotación de vulnerabilidades basada en la edad, la discapacidad o la situación económica
  • Reconocimiento de emociones en lugares de trabajo y centros educativos (con excepciones limitadas)
  • Recopilación no selectiva de imágenes faciales de internet o circuitos cerrados de televisión
  • Categorización biométrica por atributos sensibles (raza, religión, orientación sexual)
  • Policía predictiva basada únicamente en perfilado

Fecha de aplicación: 2 de febrero de 2025 (ya en vigor)

2. Sistemas de IA de alto riesgo (Art. 6, Anexo III) — Obligaciones más estrictas

Los sistemas de IA de alto riesgo deben cumplir 14 requisitos obligatorios en virtud de los Art. 9–15 antes de su comercialización. El Anexo III define 8 categorías:

Categoría Ejemplos
1. Identificación biométrica Reconocimiento facial, cotejo de huellas dactilares
2. Infraestructura crítica Gestión de redes eléctricas, IA para el tratamiento del agua
3. Educación Evaluación de estudiantes, vigilancia de exámenes, admisiones
4. Empleo Cribado de CV, puntuación de entrevistas, evaluación del rendimiento
5. Servicios esenciales Calificación crediticia, riesgo de seguros, elegibilidad para prestaciones sociales
6. Fuerzas del orden Herramientas de policía predictiva, análisis de pruebas
7. Migración y control de fronteras Tramitación de visados, evaluación de solicitudes de asilo
8. Administración de justicia Apoyo a sentencias, investigación jurídica por IA

Obligaciones de los proveedores para IA de alto riesgo:

  • Sistema de gestión de riesgos (Art. 9)
  • Gobernanza de datos (Art. 10)
  • Documentación técnica (Art. 11)
  • Registro automático de eventos (Art. 12)
  • Transparencia hacia los responsables del despliegue (Art. 13)
  • Diseño para la supervisión humana (Art. 14)
  • Exactitud, robustez y ciberseguridad (Art. 15)
  • Sistema de gestión de calidad (Art. 17)
  • Evaluación de conformidad (Art. 43)
  • Registro en la base de datos de la UE (Art. 49)

Fecha de aplicación: 2 de agosto de 2026

3. IA de riesgo limitado (Art. 50) — Obligaciones de transparencia

Estos sistemas de IA deben revelar su naturaleza de IA a los usuarios:

  • Los chatbots deben informar a los usuarios de que están interactuando con IA
  • Los deepfakes y el contenido generado por IA deben estar etiquetados
  • Los sistemas de reconocimiento de emociones deben informar a los sujetos
  • Los sistemas de categorización biométrica deben revelar su función

Fecha de aplicación: 2 de agosto de 2026

4. IA de riesgo mínimo — Sin obligaciones específicas

Todos los demás sistemas de IA (filtros de spam, juegos con IA, gestión de inventarios) no tienen obligaciones específicas más allá del requisito universal de alfabetización en IA. La Comisión Europea estima que esto abarca aproximadamente el 85 % de todos los sistemas de IA en la UE.

Modelos de IA de propósito general (GPAI)

El Reglamento de IA introduce obligaciones específicas para los modelos GPAI (Art. 53–55), reconociendo los desafíos únicos que plantean los modelos de base como GPT, Claude y Gemini:

Todos los proveedores de GPAI deben:

  • Preparar y mantener documentación técnica
  • Proporcionar información a los proveedores intermedios que integren sus modelos
  • Cumplir con las obligaciones de derechos de autor
  • Publicar un resumen de los datos de entrenamiento

Los modelos GPAI con riesgo sistémico (basados en cómputo acumulativo superior a 10^25 FLOPs o designación de la Comisión) deben además:

  • Realizar evaluaciones de modelos para riesgos sistémicos
  • Llevar a cabo pruebas adversariales (red-teaming)
  • Notificar incidentes graves a la Oficina Europea de IA
  • Garantizar protecciones adecuadas de ciberseguridad

Fecha de aplicación: 2 de agosto de 2025 (ya en vigor)

Plazos clave

Fecha Hito
1 de agosto de 2024 El Reglamento de IA entra en vigor
2 de febrero de 2025 Prácticas de IA prohibidas; alfabetización en IA requerida
2 de agosto de 2025 Obligaciones de modelos GPAI aplicables
2 de agosto de 2026 Aplicación completa: IA de alto riesgo, transparencia, evaluación de conformidad
2 de agosto de 2027 IA de alto riesgo en productos del Anexo I (legislación existente sobre seguridad de productos de la UE)

Sanciones

El Reglamento de IA establece uno de los regímenes de sanciones más significativos de la UE:

Infracción Multa máxima
Prácticas de IA prohibidas (Art. 5) 35 M€ o 7 % del volumen de negocio anual mundial
Incumplimiento IA de alto riesgo (Art. 6–49) 15 M€ o 3 % del volumen de negocio anual mundial
Información engañosa a las autoridades 7,5 M€ o 1,5 % del volumen de negocio anual mundial
Proporcionalidad para PYME El menor entre el importe fijo y el límite porcentual

Por comparación, la multa máxima del RGPD es de 20 M€ o el 4 % del volumen de negocio. El nivel superior del Reglamento de IA (7 %) es la multa porcentual más elevada en la regulación digital de la UE.

Organismos de aplicación:

  • Oficina Europea de IA — supervisa directamente a los proveedores de modelos GPAI
  • Autoridades nacionales competentes — aplican en cada Estado miembro
  • Autoridades de vigilancia del mercado — investigan e imponen medidas correctoras

Cómo prepararse: Hoja de ruta de cumplimiento en 6 pasos

Paso 1: Inventario de sistemas de IA

Crea un inventario completo de todos los sistemas de IA utilizados o desarrollados por tu organización. Documenta el propósito, las entradas de datos, el contexto de despliegue y el alcance de toma de decisiones de cada sistema. Según Gartner, el 40 % de las organizaciones no puede enumerar con precisión todos los sistemas de IA que opera.

Paso 2: Clasificación de riesgos

Clasifica cada sistema de IA según el Art. 5 (prohibido), el Art. 6 y el Anexo III (alto riesgo) y el Art. 50 (riesgo limitado). Para casos límite, aplica los criterios de exención del Art. 6(3). Esta clasificación determina todo tu conjunto de obligaciones de cumplimiento.

Paso 3: Análisis de brechas

Para cada sistema de alto riesgo, evalúa las prácticas actuales frente a los requisitos de los Art. 9–15. Identifica brechas en gestión de riesgos, gobernanza de datos, documentación, registro, transparencia, supervisión humana y exactitud/robustez. Prioriza por riesgo y complejidad de implementación.

Paso 4: Implementar controles

Aborda las brechas identificadas: construir sistemas de gestión de riesgos (Art. 9), establecer gobernanza de datos (Art. 10), crear documentación técnica (Art. 11), implementar registro (Art. 12) y diseñar mecanismos de supervisión humana (Art. 14). Un análisis de McKinsey estima que esta fase lleva de 3 a 6 meses para la mayoría de las organizaciones.

Paso 5: Evaluación de conformidad

Prepárate para la evaluación de conformidad en virtud del Art. 43. La mayoría de los sistemas de alto riesgo siguen la vía de autoevaluación (Anexo VI). Los sistemas de identificación biométrica para las fuerzas del orden requieren evaluación de terceros por un organismo notificado (Anexo VII). Prepara la Declaración UE de conformidad (Anexo V) y la documentación del marcado CE.

Paso 6: Registrar y supervisar

Registra los sistemas de alto riesgo en la base de datos de la UE (Art. 49). Implementa la vigilancia post-comercialización (Art. 72), la notificación de incidentes graves (Art. 73) y los procesos de cumplimiento continuos. Integra las obligaciones del Reglamento de IA en tu marco GRC existente.

Matproof automatiza los pasos 2–6 con clasificación de riesgos impulsada por IA, generación automática de documentación y supervisión continua del cumplimiento — solicita una demo para ver cómo funciona.

Preguntas frecuentes

¿Qué es el Reglamento de IA de la UE en términos sencillos?

El Reglamento de IA de la UE es una ley que regula cómo se pueden desarrollar y utilizar los sistemas de IA en Europa. Categoriza la IA por nivel de riesgo — algunos usos están prohibidos por completo, los usos de alto riesgo enfrentan requisitos estrictos, y la mayoría de las IA cotidianas no tienen obligaciones específicas. Piensa en ello como el RGPD, pero para la inteligencia artificial.

¿El Reglamento de IA de la UE se aplica fuera de la UE?

Sí. Al igual que el RGPD, el Reglamento de IA tiene alcance extraterritorial. Si la producción de tu sistema de IA se utiliza dentro de la UE, o si colocas sistemas de IA en el mercado de la UE, debes cumplir — independientemente de dónde tenga su sede tu empresa (Art. 2).

¿Cuál es la diferencia entre el Reglamento de IA de la UE y el RGPD?

El RGPD protege los datos personales; el Reglamento de IA regula los sistemas de IA. Se solapan cuando la IA procesa datos personales (que es la mayoría de IA). Diferencias clave: el Reglamento de IA utiliza un sistema de clasificación basado en riesgos, requiere evaluaciones de conformidad para IA de alto riesgo y tiene multas máximas más elevadas (7 % frente al 4 % del volumen de negocio). La mayoría de las organizaciones deben cumplir con ambos.

¿Cuánto cuesta el cumplimiento del Reglamento de IA de la UE?

Los costes varían significativamente según el tamaño de la organización y el portafolio de IA. La Comisión Europea estima costes de cumplimiento de 6.000–7.000 € para un sistema de gestión de riesgos de IA y 3.000–7.500 € para la evaluación de conformidad por sistema de alto riesgo. Las organizaciones con muchos sistemas de IA enfrentan costes proporcionalmente más altos, aunque herramientas como Matproof pueden reducir el coste en un 60–80 % mediante la automatización.

¿Está la IA de código abierto exenta del Reglamento de IA de la UE?

Parcialmente. Los modelos de IA de código abierto están exentos de la mayoría de las obligaciones de los proveedores, pero deben seguir cumpliendo el Art. 5 (prácticas prohibidas) y deben publicar un resumen de los datos de entrenamiento. Si un modelo de código abierto se utiliza en una aplicación de alto riesgo, el responsable del despliegue asume las obligaciones de cumplimiento.

¿Qué ocurre si no cumplo antes del 2 de agosto de 2026?

Las autoridades nacionales de vigilancia del mercado pueden investigar, imponer multas (hasta 35 M€/7 % del volumen de negocio), ordenar la retirada de sistemas de IA del mercado o restringir su uso. Más allá de las sanciones financieras, el incumplimiento arriesga dañar la reputación y perder la confianza de los clientes.

reglamento IA UE resumenreglamento IA explicadoqué es el reglamento IA UEley inteligencia artificial europeareglamento IA 2026regulación IA Europa

EU AI Act Readiness Assessment

Check your AI compliance before August 2026

Take the free assessment

¿Listo para simplificar el cumplimiento?

Esté listo para la auditoría en semanas, no meses. Vea Matproof en acción.

Solicitar una demo