
Reglamento Europeo de Inteligencia Artificial: obligaciones a partir del 2 de agosto de 2026
Como ya informamos en anteriores circulares (consultar), el marco regulatorio europeo en materia de Inteligencia Artificial entró en vigor el día 1 de agosto de 2024, pero prevé una aplicación progresiva, surtiendo plenos efectos el próximo 2 de agosto de 2026.
Estamos ante el primer instrumento normativo del mundo que regula la inteligencia artificial, y que es aplicable en la Unión Europea, estableciendo así determinadas conductas que deben seguir todas las personas implicadas (físicas o jurídicas).
Mediante la presente circular, realizaremos un breve resumen de los aspectos de mayor relevancia que tiene para las empresas dicho Reglamento:
– Empresas y sectores afectados.
Debemos destacar de inicio que el Reglamento de Inteligencia Artificial aplica a cualquier empresa que desarrolle, comercialice, ponga en servicio, distribuya o use sistemas de IA en la UE, o cuyos resultados se utilicen en la UE, aunque la empresa esté propiamente fuera de la UE.
Por lo tanto, una empresa del sector tradicional (industrial, alimentación, logística, distribución, despachos profesionales, entre otros) puede quedar dentro del ámbito de aplicación del Reglamento por utilizar herramientas de IA en sus procesos internos, aunque no haya desarrollado esa IA. Por ejemplo, si una empresa utiliza un sistema de IA en sus procesos internos para selección de personal mediante el análisis de los CV.
Esto supone un cambio de sistema, porque no estamos ante una norma que obligue a su cumplimiento por un determinado tamaño de empresa, ya sea por facturación o número de empleados; el Reglamento de IA no aplica por sectores, sino por el papel que desempeña la empresa respecto del sistema de IA y por el riesgo que presenta dicho sistema. Por ello, puede haber grandes empresas que no estén afectadas por el presente Reglamento y pequeñas empresas que sí que lo estén.
– Actores implicados en el Reglamento de IA.
A continuación, se detallan los diversos actores implicados según el Reglamento de IA:
a) Proveedor: persona que desarrolla un sistema de IA o un modelo de IA de uso general o para el que se desarrolle un sistema de IA o un modelo de IA de uso general y lo introduzca en el mercado o ponga en servicio el sistema de IA con su propio nombre o marca, previo pago o gratuitamente.
b) Responsables del despliegue (deployers): personas que utilicen un sistema de IA bajo su propia cuenta y riesgo, salvo cuando su uso se enmarque en una actividad personal y no profesional.
c) Importador: persona ubicada o establecida en la UE que introduzca en el mercado un sistema de IA que lleve el nombre o la marca de una persona física o jurídica establecida en un tercer país.
d) Fabricantes de productos que introduzcan en el mercado o pongan en servicio un sistema de IA junto con su producto y con su propio nombre o marca.
e) Representantes autorizados de los proveedores que no estén establecidos en la Unión.
– Enfoque basado en el riesgo.
El Reglamento de IA impone un enfoque basado en el riesgo, esto es, que cuanto mayor sea el riesgo, mayores serán las obligaciones legales. Hay 4 tipos de riesgos:
a) Riesgo inaceptable: son usos prohibidos que el Reglamento establece por su especial peligrosidad para los derechos fundamentales, como: técnicas manipuladoras para distorsionar el comportamiento de una persona, sistemas para evaluar o predecir el riesgo de que una persona cometa un delito, sistemas de identificación biométrica remota en tiempo real en espacios de acceso público con fines de garantía del cumplimiento del Derecho (salvo los establecidos legalmente), entre otros.
b) Riesgo alto: son aquellos sistemas utilizados en ámbitos críticos (ej.: biometría; gestión de infraestructuras críticas de suministros relacionadas con agua, gas, electricidad, transporte, entre otros; servicios privados catalogados como esenciales, tales como banca, seguros, crédito, entre otros).
c) Riesgo limitado (transparencia): se trata de un riesgo permitido con obligaciones de transparencia; son sistemas que no son prohibidos ni de alto riesgo pero que pueden afectar a la información que reciben las personas, imponiendo requisitos de transparencia como informar que se interactúa con un sistema de IA.
d) Riesgo mínimo o de uso general: estamos ante un riesgo general cuando el uso está ligado a modelos de IA con capacidades de gran impacto por sus posibles efectos negativos a gran escala en la UE (salud, seguridad, derechos fundamentales, entre otros).
– ¿Qué deben hacer las empresas?
El Reglamento de IA requiere adoptar una serie de medidas en atención al tipo de riesgo que tenga la entidad. Esto implica un cambio de concepto a nivel nacional, pues es posible que una microempresa tenga obligaciones que no tiene una gran empresa, con los costes asociados que ello conlleva:
a) Riesgo inaceptable: no se puede implementar nada, debido a que no se puede llevar a cabo la actividad prohibida.
b) Alto riesgo: debe implantarse un sistema de gestión de riesgos durante todo el ciclo de vida (identificar, evaluar y mitigar riesgos, incluido uso indebido razonablemente previsible, y mantenerlos bajo control). Asimismo, se debe implantar una supervisión humana efectiva, esto es, personas con capacidad de vigilancia orientadas a prevenir o minimizar riesgos en el uso de la IA.
Si una empresa utiliza un sistema de alto riesgo como, por ejemplo, una empresa que adquiera un programa de IA para filtrar CV, puntuar a candidatos/as o evaluar el rendimiento de las personas trabajadoras, se deberá, entre otros: realizar una evaluación de impacto, informar a las personas trabajadores de qué datos se van a utilizar, garantizar el principio de minimización de datos, verificar que se adquiere el sistema siguiendo todas las pautas de actuación del Reglamento de IA, entre otros.
c) Riesgo limitado: este grupo incluye, entre otros, aquellos sistemas que interactúan directamente con personas y sistemas que generan o manipulan contenido, como podrían ser los denominados chatbots o asistentes virtuales.
Como medidas básicas, deberá incluirse un aviso legible al inicio de la interacción que detalle que se está ante este sistema, una identificación clara de que se está ante un chatbot, así como un canal alternativo humano cuando resulte pertinente.
d) Riesgo mínimo o de uso general: los proveedores y responsables del despliegue deberán adoptar medidas para garantizar, en la mayor medida posible, que las personas trabajadoras que utilizan sistemas de IA tengan suficientes conocimientos (es lo que se denomina alfabetización de conocimientos según el Reglamento).
En Escura disponemos de un área de Cumplimiento Normativo para asesorar y ayudar a las empresas a cumplir con el Reglamento de IA y a la confección e implantación de la documentación a cumplimentar.
© La presente información es propiedad de Escura, abogados y economistas, quedando prohibida su reproducción sin permiso expreso.












