Ley de IA de la UE: qué deben saber las empresas sobre las nuevas normas de IA
- por Ilona K.

Tabla de contenido
A medida que la inteligencia artificial (IA) se generaliza, surgen nuevas regulaciones que definen cómo las empresas pueden desarrollar y utilizar tecnologías de IA. Uno de los documentos clave es la Ley de IA de la UE (una norma de la Unión Europea que regula el desarrollo y el uso de sistemas de IA y que, en algunos casos, también se aplica a empresas de fuera de la UE). Veamos qué regula, a quién se aplica y cómo pueden prepararse las empresas.
Qué es la Ley de IA de la UE
La Ley de IA de la UE es la primera norma integral de la Unión Europea que regula el uso de la inteligencia artificial.
Su objetivo es crear normas uniformes para el desarrollo y el uso de la IA, al tiempo que impulsa el avance tecnológico y reduce los posibles riesgos para la sociedad. La Ley es solo un componente de una estrategia más amplia de la UE para desarrollar una inteligencia artificial fiable y centrada en las personas, que incluye el Plan de Acción Continental sobre IA, el Paquete de Innovación en IA y el lanzamiento de Fábricas de IA (infraestructura para el desarrollo y el despliegue de inteligencia artificial). En conjunto, estas iniciativas buscan no solo garantizar la seguridad y proteger los derechos fundamentales, sino también estimular la inversión, la innovación y una adopción más amplia de la IA en la UE.
La Ley se basa en un enfoque basado en el riesgo, lo que significa que cuanto mayor sea la probabilidad de que un sistema de IA afecte a la seguridad, los derechos o los intereses de las personas, más estrictos serán los requisitos que se le impongan. Por tanto, la Ley de IA no establece normas uniformes para todos los sistemas de IA. En su lugar, se dividen en cuatro categorías de riesgo, cada una con sus propios requisitos:

1. Riesgo inaceptable
Esta categoría incluye sistemas de IA cuyo uso está prohibido porque suponen una amenaza para la seguridad o los derechos humanos fundamentales, como los sistemas de puntuación social; las tecnologías que utilizan IA para manipular el comportamiento humano o explotar vulnerabilidades; el reconocimiento de emociones en el lugar de trabajo y en instituciones educativas; y ciertos tipos de identificación biométrica en espacios públicos. La prohibición de estas prácticas entró en vigor en febrero de 2025.
2. Alto riesgo
Esta categoría incluye sistemas de IA que podrían tener un impacto significativo en la vida de las personas, como soluciones utilizadas en educación, sanidad, empleo, infraestructuras críticas, fuerzas y cuerpos de seguridad, migración y evaluación crediticia.
La Ley de IA establece los requisitos más estrictos para estos sistemas. Entre ellos se incluyen la gestión de riesgos, el uso de datos de alta calidad, el mantenimiento de documentación técnica, la garantía de supervisión humana y el cumplimiento de requisitos de fiabilidad, precisión y ciberseguridad.

3. Riesgo limitado
Esta categoría se centra en la transparencia en el uso de la IA. Por ejemplo, las personas usuarias deben saber cuándo están interactuando con un sistema de IA, como un chatbot. Además, ciertos contenidos creados con IA, incluidos los deepfakes, deben etiquetarse como tales. La mayoría de los requisitos de transparencia se aplicarán a partir de agosto de 2026.
4. Riesgo mínimo o nulo
La mayoría de las aplicaciones de IA entran en esta categoría. Aquí se incluyen filtros de spam, IA en videojuegos y muchas otras herramientas cotidianas. La Ley de IA no establece requisitos obligatorios adicionales para estas aplicaciones.
Este enfoque permite desarrollar sin trabas las tecnologías cuyos riesgos potenciales son mínimos, al tiempo que establece requisitos más estrictos para los usos de la IA que podrían afectar a la seguridad o a los derechos humanos fundamentales.
A quién se aplica la Ley de IA de la UE

Los requisitos de la Ley de IA no se aplican exclusivamente a las empresas que crean LLM u otros sistemas de IA. En la práctica, la norma puede afectar a un abanico mucho más amplio de organizaciones, ya que la IA ya forma parte de muchos productos digitales y procesos empresariales.
Las empresas pueden usar IA tanto internamente como mediante soluciones de terceros integradas en sitios web, productos o sistemas internos. Esto podría incluir un chatbot de atención al cliente que responde preguntas, un sistema de recomendación que ayuda a las personas usuarias a encontrar el producto o servicio adecuado, una herramienta de generación de contenido o una solución para analizar actividades sospechosas.
El mero uso de IA no significa automáticamente que una empresa quede sujeta a todos los requisitos de la Ley de IA de la UE. Las responsabilidades dependen del papel que desempeñe la organización al utilizar la IA, de la herramienta concreta empleada y de si esta encaja en categorías reguladas por la ley.
Por qué esto importa a las empresas internacionales
La característica clave de la Ley de IA de la UE es su aplicación extraterritorial.
Si una organización ofrece bienes o servicios a personas usuarias en la Unión Europea, o si los resultados de sus sistemas de IA se utilizan en la UE, determinadas disposiciones de la ley pueden aplicarse a esa empresa con independencia del país en el que esté constituida.
Por eso, la Ley de IA ya despierta interés mucho más allá del mercado europeo.
Una empresa internacional puede usar IA para automatizar la atención al cliente, gestionar consultas o personalizar servicios. Si clientes de países de la UE utilizan estas funcionalidades, la empresa debería evaluar qué requisitos legales pueden aplicarse específicamente a esos casos de uso de IA.
Esto no significa que cualquier empresa que trabaje con clientes europeos deba cumplir automáticamente todas las disposiciones de la Ley de IA. Sin embargo, ignorar la nueva norma simplemente porque la empresa está registrada fuera de la Unión Europea ya no es una opción.
Por qué esto importa al sector de los dominios
El sector de los dominios también está implementando activamente la IA.
Hoy en día, la IA ayuda a las personas usuarias a encontrar nombres de dominio disponibles, sugiere alternativas basadas en palabras clave o descripciones de proyectos, automatiza la atención al cliente y analiza solicitudes de clientes.
La inteligencia artificial también se utiliza para mejorar la seguridad. Los algoritmos pueden identificar registros sospechosos, analizar actividad atípica o ayudar a detectar dominios potencialmente utilizados para phishing y otros abusos.
Escenarios como estos demuestran hasta qué punto la IA ya se ha integrado en el sector moderno de los dominios.
Si estos servicios están disponibles para personas usuarias en la Unión Europea, las empresas deberían evaluar con antelación si ciertos requisitos de la Ley de IA de la UE se aplican a las herramientas de IA que utilizan.
Qué deberían hacer ahora las empresas
Las empresas deberían evaluar con detenimiento cómo utilizan la IA en sus operaciones. Este análisis puede ayudarlas a entender qué disposiciones legales podrían ser relevantes para su organización y qué pasos podrían ser necesarios de cara al futuro:
- Elaborar una lista de las herramientas de IA utilizadas en la empresa, incluidas las funciones integradas de servicios de terceros, chatbots, herramientas de automatización y soluciones de análisis de datos.
- Determinar el papel de la empresa en relación con cada solución de IA, es decir, si está desarrollando su propio sistema de IA, integrando una herramienta existente en su producto o utilizándola solo para procesos internos.
- Evaluar la finalidad de los sistemas de IA utilizados y determinar si encajan en categorías para las que la Ley de IA establece requisitos adicionales.
- Si la empresa está sujeta a la Ley de IA, revisar qué empleados trabajan con herramientas de IA y asegurarse de que cuentan con el nivel de alfabetización en IA requerido por la ley.
- Hacer seguimiento de las actualizaciones regulatorias, incluidos posibles cambios en los plazos y requisitos en el marco de la iniciativa Digital Omnibus.
Esta evaluación preliminar puede ayudar a la empresa a entender qué disposiciones de la Ley de IA podrían ser relevantes para ella y a prepararse para la futura aplicación de los requisitos de la norma.
El uso de la IA se está convirtiendo en una parte habitual de los negocios digitales. Las empresas están implementando IA para agilizar la atención al cliente, automatizar tareas rutinarias, mejorar la seguridad y hacer que sus servicios sean más cómodos.
Al mismo tiempo, también están cambiando los requisitos para utilizar estas tecnologías.
Cuándo entran en vigor los requisitos de la Ley de IA de la UE

Aunque la Ley de IA de la UE entró oficialmente en vigor en 2024, sus disposiciones se están implementando de forma gradual. El objetivo es dar tiempo a las empresas para adaptarse a los nuevos requisitos. Actualmente, pueden identificarse cinco etapas clave:
Febrero de 2025: primeras prohibiciones y requisitos de alfabetización en IA
Las primeras disposiciones de la ley entraron en vigor el 2 de febrero de 2025.
En primer lugar, entró en vigor la prohibición del uso de sistemas de IA clasificados como riesgos inaceptables. Entre ellos se incluyen los sistemas de puntuación social, las tecnologías basadas en la manipulación del comportamiento humano, ciertos tipos de identificación biométrica en espacios públicos y otras prácticas que la UE considera incompatibles con la protección de los derechos humanos fundamentales.
En segundo lugar, las empresas incluidas en el ámbito de la Ley de IA deberían garantizar un nivel adecuado de alfabetización en IA entre los empleados que trabajan con inteligencia artificial. Esto no implica una certificación obligatoria ni un curso uniforme. Sin embargo, las organizaciones deben asegurarse de que los empleados comprendan las capacidades y limitaciones de los sistemas de IA que utilizan, conozcan los riesgos asociados y sean capaces de emplear estas herramientas de forma responsable. La evaluación tiene en cuenta el puesto del empleado, las características de las soluciones de IA utilizadas y el contexto en el que se usan.
Agosto de 2025: normas para modelos de propósito general
La siguiente etapa comenzó el 2 de agosto de 2025, cuando empezaron a aplicarse los requisitos a los proveedores de modelos de inteligencia artificial de propósito general (GPAI), por ejemplo, los grandes modelos de lenguaje (LLM) que pueden utilizarse para una amplia variedad de tareas.
Para los proveedores de estos modelos, la ley establece obligaciones de preparar documentación técnica, cumplir los requisitos de derechos de autor, garantizar una transparencia suficiente y, en el caso de los modelos más potentes, gestionar los riesgos sistémicos.
Para la mayoría de las empresas que simplemente utilizan servicios de IA ya disponibles, esta etapa tiene una importancia más bien indirecta. Sin embargo, estos requisitos se aplican a desarrolladores y proveedores de los modelos básicos de IA sobre los que se construyen muchos servicios modernos.
Agosto de 2026: requisitos clave para las empresas
El hito más importante para la mayoría de las empresas será el 2 de agosto de 2026.
En esa fecha se aplicará una parte significativa de las disposiciones de la Ley de IA, incluidos los requisitos para sistemas de IA de alto riesgo, las responsabilidades de los participantes en el mercado, las normas de transparencia y las competencias de las autoridades supervisoras.
En concreto, entrarán en vigor los requisitos para los sistemas de IA de alto riesgo, entre ellos:
- gestión de riesgos durante todo el ciclo de vida del sistema;
- garantía de la calidad de los datos utilizados para el entrenamiento y el funcionamiento de la IA;
- mantenimiento de documentación técnica;
- registro de eventos para garantizar la trazabilidad del funcionamiento del sistema;
- supervisión humana del funcionamiento de la IA;
- cumplimiento de los requisitos de precisión, fiabilidad y ciberseguridad.
Durante este periodo también se aplicarán muchos requisitos de transparencia. Por ejemplo, se deberá informar a las personas usuarias cuando interactúen con un sistema de IA, como un chatbot, y ciertos contenidos generados por IA, incluidos los deepfakes, deberán etiquetarse como tales.
Agosto de 2027: IA en productos regulados
La siguiente etapa de la implementación de la Ley de IA comenzará el 2 de agosto de 2027. A partir de entonces, la ley se aplicará a los sistemas de IA que sean componentes de seguridad de productos ya regulados por la legislación de la UE. Esto se aplica, por ejemplo, a productos sanitarios, maquinaria, vehículos y otros productos en los que la inteligencia artificial afecta a la seguridad de uso.
Finales de 2030: fin del período transitorio
La etapa final de la implementación de la Ley de IA concluirá el 31 de diciembre de 2030. Para esa fecha, determinados grandes sistemas de información de la Unión Europea enumerados en el Anexo X de la Ley de IA (una lista de ciertos grandes sistemas de información de la UE para los que la ley prevé un período transitorio más largo hasta el pleno cumplimiento de la Ley) deberán cumplir los requisitos de la norma.
Para la mayoría de las empresas, esta fecha no implicará nuevas obligaciones, pero sí completará la implementación gradual de la ley. La Comisión Europea está debatiendo actualmente la iniciativa Digital Omnibus (un paquete de modificaciones legislativas destinado a simplificar y armonizar la regulación digital en la UE y reducir la carga administrativa para las empresas), que propone aplazar la entrada en vigor de ciertos requisitos para sistemas de IA de alto riesgo, de forma provisional hasta finales de 2027.
Sin embargo, estos cambios aún no se han adoptado. Por ello, se recomienda a las empresas consultar el calendario actual de implementación de la Ley de IA y no retrasar los preparativos a la espera de posibles cambios.
Prepararse para los nuevos requisitos no significa necesariamente hacer cambios a gran escala desde hoy. Sin embargo, comprender dónde y cómo se utiliza la IA dentro de una empresa puede ayudar a evaluar con rapidez los posibles riesgos, evitar complicaciones inesperadas en el futuro y adaptarse con más confianza a la nueva regulación.
Preguntas frecuentes
¿La Ley de IA de la UE se aplica a empresas fuera de la Unión Europea?
Sí. La Ley tiene aplicación extraterritorial. En ciertos casos, sus requisitos pueden aplicarse a empresas registradas fuera de la UE si ofrecen productos o servicios a personas usuarias en la UE o si los resultados de sus sistemas de IA se utilizan dentro de la UE.
¿Todas las empresas están obligadas a cumplir la Ley de IA de la UE?
No. Las obligaciones dependen del papel que desempeñe la empresa en el uso de la IA, de los sistemas de IA implicados y de la categoría de riesgo en la que se encuadren. El simple uso de IA no implica automáticamente la aplicación de todos los requisitos de la ley.
¿Qué sistemas de IA están regulados de forma más estricta?
Los requisitos más estrictos se aplican a los sistemas de IA de alto riesgo. Estos incluyen soluciones utilizadas en sanidad, educación, empleo, infraestructuras críticas, fuerzas y cuerpos de seguridad y evaluación crediticia. Para estos sistemas, la Ley de IA establece requisitos de gestión de riesgos, calidad de los datos, documentación, supervisión humana y ciberseguridad.
¿Cuándo entrará en vigor la mayoría de los requisitos de la Ley de IA de la UE?
Aunque la ley entró en vigor en 2024, sus disposiciones se están implementando por etapas. Una de las fechas clave es el 2 de agosto de 2026, cuando entrará en vigor una parte significativa de los requisitos para las empresas, incluidas las normas para sistemas de IA de alto riesgo y los requisitos de transparencia. No obstante, ciertas disposiciones ya están en vigor desde febrero y agosto de 2025.
¿Qué debería hacer ahora una empresa?
Empezar con una evaluación interna de su uso de la IA, por ejemplo, determinar qué herramientas de IA se utilizan dentro de la empresa, dónde se usan, qué papel desempeña la organización en relación con estos sistemas y si pueden quedar sujetas a la Ley de IA. Este análisis puede ayudar a entender con antelación qué obligaciones podrían surgir a medida que la ley vaya entrando en vigor.
¿Quieres estar al día de las tendencias del sector tecnológico? Visita el blog de it.com Domains y contáctanos en redes sociales.
Este artículo fue traducido por inteligencia artificial y puede contener imprecisiones. Consulta el original en inglés.

Lea también



