Líderes de opinión

¿Cuánto impactará realmente la Ley de IA de la UE en su negocio?

mm
Publicado el
Actualizado el

A medida que entran en vigor nuevas disposiciones, aquí está lo que las empresas realmente necesitan saber sobre el cumplimiento

El 2 de febrero de 2025 marcó el primer hito importante en la implementación de la Ley de IA de la Unión Europea, con disposiciones que prohíben prácticas de IA prohibidas y requieren que las organizaciones garanticen que su personal tenga suficientes conocimientos, habilidades y comprensión sobre cómo funciona la IA, sus riesgos y beneficios (alfabetización en IA). Ahora, el 2 de agosto de 2025 representó otro punto crítico, ya que las obligaciones para los modelos de IA de propósito general han entrado en vigor.

La Ley de IA se aplica a aquellos que venden, importan o hacen disponibles sistemas de IA o modelos de IA de propósito general en la UE, ya sea que estén establecidos en la UE o no. También se aplica a las empresas establecidas en la UE que utilizan sistemas de IA o modelos.

Mientras que las empresas están genuinamente preocupadas por las obligaciones de cumplimiento de la IA, la realidad para la mayoría de los negocios será menos dramática de lo que podrían parecer las disposiciones a primera vista.

Como alguien que dirige una empresa global que utiliza la IA de manera extensiva en nuestra plataforma de gestión de documentos, he tenido que navegar por esta regulación de primera mano. La verdad es que, para la gran mayoría de las empresas, la Ley de IA es mucho más manejable de lo que inicialmente parece, similar a cómo el GDPR parecía abrumador desde una perspectiva estadounidense pero resultó ser manejable una vez que se entendieron los principios.

Pero a diferencia de la fecha de implementación única del GDPR, la Ley de IA se implementa en fases. Con multas que pueden llegar hasta 35 millones de euros o el 7% del volumen de negocios global, y una ola de aplicación crítica justo detrás de nosotros y otra fecha límite importante por delante, tener la estrategia de cumplimiento correcta es una necesidad.

Donde estamos en la línea de tiempo

A partir del 2 de agosto de 2025, las obligaciones para los modelos de IA de propósito general (GPAI) están ahora en vigor, y esto afecta a muchas más empresas de lo que la mayoría se da cuenta. Si está utilizando modelos de base como GPT-5, Claude o Llama en sus productos, puede heredar obligaciones de cumplimiento incluso si se considera solo un “usuario” del modelo.

Las obligaciones incluyen demostrar el cumplimiento de la ley de derechos de autor en los datos de entrenamiento, realizar pruebas de adversidad para vulnerabilidades de seguridad, implementar medidas de seguridad robustas y proporcionar documentación técnica detallada sobre las capacidades y limitaciones del modelo.

Muchas empresas de SaaS asumen que están exentas porque no están desarrollando modelos desde cero. Pero si está afinando o modificando de otra manera los modelos, puede encontrarse sujeto a las obligaciones de GPAI. La línea entre “utilizar” y “proporcionar” sistemas de IA es deliberadamente amplia en la regulación.

El 2 de agosto de 2026 es la fecha importante a tener en cuenta. Para esta fecha, los sistemas de IA clasificados como “de alto riesgo” deben cumplir con los requisitos de cumplimiento comprehensivos. El alcance es más amplio de lo que muchas empresas anticipan, y las obligaciones son sustanciales.

Las clasificaciones de alto riesgo incluyen sistemas utilizados para la contratación y el empleo, la calificación crediticia y las decisiones financieras, la evaluación educativa, el diagnóstico médico, la infraestructura de seguridad crítica y las aplicaciones de cumplimiento de la ley. Si su herramienta de IA ayuda a determinar quién se contrata, se aprueba para préstamos, se admite en programas o se diagnostica con condiciones, es probable que esté dentro del alcance.

Hay una carga que conlleva esto. Necesitará sistemas de gestión de riesgos comprehensivos con monitoreo continuo, documentación técnica que pruebe la seguridad y la confiabilidad de su sistema, estándares de calidad de datos con pruebas auditables de la integridad de los datos de entrenamiento, registro automático de todas las decisiones y operaciones del sistema, supervisión humana significativa con la capacidad de intervenir en tiempo real y marcado CE con evaluación de conformidad de terceros.

Esto no se trata solo de agregar un aviso en su sitio web. Los sistemas de alto riesgo requieren el tipo de sistemas de gestión de la calidad que normalmente se ven en la fabricación de dispositivos médicos o los sistemas de seguridad automotriz.

Entendiendo las categorías de riesgo

La Ley de IA opera en un enfoque basado en el riesgo de cuatro niveles que es más matizado de lo que muchos se dan cuenta.

  • Riesgo inaceptable (Prohibido): Estas aplicaciones de IA están prohibidas directamente, como los sistemas de puntuación social, la IA manipuladora que se dirige a grupos vulnerables, la identificación biométrica en tiempo real en espacios públicos (con excepciones limitadas para la aplicación de la ley), y el reconocimiento de emociones en lugares de trabajo o escuelas.
  • Alto riesgo (Altamente regulado, pero permitido): Este es el lugar donde muchas empresas se sorprenden. Como se mencionó anteriormente, las aplicaciones de alto riesgo incluyen herramientas de selección de currículums y contratación, sistemas de calificación crediticia y concesión de préstamos, dispositivos de diagnóstico médico, sistemas de seguridad en el transporte (vehículos autónomos, gestión de tráfico), herramientas de evaluación educativa, aplicaciones de cumplimiento de la ley y gestión de infraestructura crítica.
  • Riesgo limitado (Transparencia requerida): estos sistemas implican principalmente la IA que interactúa directamente con los humanos o genera contenido que podría ser confundido con material creado por humanos. Esto incluye chatbots, asistentes virtuales y sistemas de IA que crean medios sintéticos como deepfakes o imágenes y videos manipulados. Para estas aplicaciones, el requisito regulatorio principal es la transparencia, los usuarios deben ser claramente informados de que están interactuando con un sistema de IA en lugar de un humano, o cuando el contenido ha sido generado artificialmente.
  • Riesgo mínimo: La mayoría de las aplicaciones de IA caen en esta categoría de riesgo mínimo, que cubre sistemas que representan poco riesgo para los derechos fundamentales o la seguridad. Estos incluyen herramientas comerciales comunes como filtros de spam, sistemas de gestión de inventario, plataformas de análisis básicas, motores de recomendación para contenido o productos y enrutamiento de servicio al cliente automatizado. Para los sistemas de riesgo mínimo, no hay obligaciones regulatorias específicas bajo la Ley de IA más allá de los requisitos generales como la alfabetización en IA para el personal.

Si cae en las categorías de “Riesgo inaceptable” o “Alto riesgo”, la transparencia sola no es suficiente. Si cae en cualquier otra categoría, los requisitos de cumplimiento son manejables.

El efecto de onda del modelo de base

La fecha límite de GPAI de agosto de 2025 que acaba de pasar merece una atención especial porque crea un efecto de onda en todo el ecosistema de IA. Los proveedores de modelos de base como OpenAI, Anthropic y Meta han tenido que implementar nuevas medidas de cumplimiento, y esos requisitos fluyen hacia abajo a sus clientes empresariales.

Si está construyendo sobre estos modelos, necesitará comprender la postura de cumplimiento de su proveedor y cómo afecta sus propias obligaciones. Algunos proveedores de modelos pueden restringir ciertos casos de uso, otros pueden pasar los costos de cumplimiento a través de precios más altos o nuevos niveles de servicio.

Las empresas deben auditar su cadena de suministro de IA ahora si aún no lo han hecho. Documente qué modelos está utilizando, cómo los está personalizando y qué datos fluyen a través de ellos. Este inventario será crucial para comprender sus obligaciones actuales de GPAI y prepararse para los requisitos de sistemas de alto riesgo de 2026.

Salir adelante de la curva

La Ley de IA representa la primera regulación integral de IA en el mundo, y ahora estamos en medio de su implementación por fases. Con las obligaciones de GPAI ahora en vigor y la fecha límite importante para los sistemas de alto riesgo que se avecina en agosto de 2026, las empresas que vieron el GDPR como una carga perdieron la oportunidad de convertir la privacidad en un diferenciador. No cometan el mismo error con la gobernanza de la IA.

Las empresas que lucharán más son aquellas que se sorprendan cuando se intensifique la aplicación. Aquellas que están construyendo de manera responsable hoy encontrarán que el cumplimiento mejora en lugar de obstaculizar su estrategia de IA. Todavía hay tiempo para salir adelante de la curva, pero la ventana se está cerrando rápidamente.

mm

Stéphane Donzé es el Fundador y CEO de AODocs, una empresa de software que creó a partir de la idea de que la necesidad de cumplimiento y procesos eficientes de la empresa no es contradictoria con una buena experiencia del usuario. Antes de fundar AODocs, fue VP de Ingeniería en Exalead, una empresa líder en búsqueda empresarial. Después de que Exalead fue adquirida por Dassault Systèmes en 2010, se trasladó a California desde París como VP de Estrategia de Producto. Stéphane tiene una maestría en ingeniería de software de la Escuela Politécnica en Francia (X96). Con 18 años de experiencia en software empresarial, está apasionado por la experiencia del usuario en toda la organización.