Ley de IA de la UE: Cambios de 2025 explicados
ley de IA de la UE y los planes nacionales de IA, como el de Australia, para ofrecer orientación.
Ley de IA de la UE: Fundamentos y cambios
La Ley de IA de la UE está en vigor desde 2024 y se aplicará gradualmente hasta agosto de 2027. Se basa en un modelo basado en el riesgo con cuatro niveles de riesgo y una categoría adicional para modelos de IA de propósito general (GPAI), también conocidos como modelos fundacionales. Servicio de atención al cliente de la Ley de IA, ECNL
En 2025, este marco se perfeccionará. La UE publicará directrices y un código de conducta para la IA de propósito general. Al mismo tiempo, propone en el marco de un "Ómnibus Digital" una prórroga de los plazos para los sistemas de alto riesgo de agosto de 2026 hasta finales de 2027. Estrategia Digital Europa, Estrategia Digital Europa, Reuters, OneTrust
Para las empresas, esto significa que el cumplimiento de la IA es una tarea estratégica, especialmente en sectores como los servicios financieros, la salud o la administración pública, donde muchos casos de uso entran en la categoría de "sistema de IA de alto riesgo". Ley de Inteligencia Artificial UE, Servicio de atención al cliente de la Ley de IA
Comprender los cambios de la Ley de IA de la UE en 2025
La Ley de IA de la UE regula la IA basándose en niveles de riesgo: riesgo inaceptable, alto, limitado y mínimo, complementado por una vía separada para los modelos de IA de propósito general. ECNL
El calendario de implementación oficial de la Comisión Europea prevé cuatro etapas clave:
- A partir del 2 de febrero de 2025, se aplicarán disposiciones generales (definiciones, alfabetización en IA) y la prohibición de prácticas de IA "inaceptables", como ciertas formas de puntuación social. Servicio de atención al cliente de la Ley de IA
- A partir del 2 de agosto de 2025, entrarán en vigor las normas para los modelos de IA de propósito general (GPAI) y deberá establecerse la estructura de gobernanza (Consejo de IA, Panel Científico, etc.). Servicio de atención al cliente de la Ley de IA, Estrategia Digital Europa
- A partir del 2 de agosto de 2026, deberían aplicarse la mayoría de las normas, incluidos los apéndices de alto riesgo (Anexo III) y las obligaciones de transparencia, junto con los bancos de pruebas nacionales de IA y la supervisión operativa. Servicio de atención al cliente de la Ley de IA
- A partir del 2 de agosto de 2027, se aplicarán además las normas para la IA de alto riesgo integradas en productos regulados (por ejemplo, dispositivos médicos, vehículos). Servicio de atención al cliente de la Ley de IA
En 2025, el enfoque se desplazará hacia la IA de propósito general y la cuestión de la rapidez con la que se implementarán realmente las obligaciones de alto riesgo.

Fuente: mindfoundry.ai
Hitos y plazos clave de la Ley de IA de la UE que ilustran la introducción gradual del reglamento hasta 2027.
Directrices y código de conducta para la IA de propósito general
En julio de 2025, la Comisión Europea publicará tres instrumentos clave para la regulación de modelos fundacionales: directrices para proveedores de GPAI, un código de conducta de GPAI y otras ayudas para la interpretación. Estrategia Digital Europa
Las directrices de GPAI y las preguntas frecuentes oficiales aclaran cuándo se considera que un modelo es de IA de propósito general (tareas amplias, gran esfuerzo de entrenamiento, aplicabilidad versátil) y cuándo una adaptación genera un proveedor propio con obligaciones. Estrategia Digital Europa
El Código de Conducta de GPAI es un instrumento voluntario que ofrece a los proveedores recomendaciones concretas para la organización de la documentación, la transparencia y los procesos de derechos de autor, con el fin de preparar los requisitos legales. Estrategia Digital Europa
La Comisión admite que el código de conducta se completó más tarde de lo previsto (finales de 2025 en lugar de mayo). Esto prolongó la incertidumbre para los proveedores de modelos fundacionales y fue una razón para las demandas de las grandes empresas tecnológicas de una "pausa" para la Ley de IA. Reuters, Reuters
Ómnibus Digital: plazos adelantados para sistemas de alto riesgo
En noviembre de 2025, la Comisión presentará un paquete bajo el título "Ómnibus Digital". Un punto central es el aplazamiento de la aplicación de las obligaciones de alto riesgo de agosto de 2026 a finales de 2027. Reuters, euronews, OneTrust
Se verían afectadas aplicaciones como la identificación biométrica en espacios públicos, IA para solicitudes y exámenes de empleo, IA en redes de energía y transporte, evaluación de la solvencia crediticia o decisiones basadas en IA en la atención sanitaria y la aplicación de la ley. Reuters, Servicio de atención al cliente de la Ley de IA
El retraso propuesto es un aplazamiento para completar las normas, las directrices y las estructuras de supervisión, no una reversión de la regulación. Sin embargo, las ONG y algunos parlamentarios hablan de un "retroceso" de los mecanismos de protección digital, ya que al mismo tiempo se debaten relajaciones en las normas de protección de datos y cookies. The Guardian
Las empresas deben aprovechar este período como una ventana de oportunidad para establecer estructuras de gobernanza. Esto también lo subrayan los análisis de cumplimiento, por ejemplo, de Nemko o Compliance & Risks. digital.nemko.com, complianceandrisks.com
Planes nacionales de IA
Paralelamente a la UE, Australia sigue un enfoque diferente: con un Plan Nacional de IA, se agrupan las inversiones en centros de datos, infraestructura de datos y formación. La IA se regulará en gran medida a través de las leyes existentes, complementada por un Instituto de Seguridad de IA propio a partir de 2026. Página de la industria, ABC, Reuters
Plan Nacional de Inteligencia Artificial de Australia: Infraestructura, Datos, Personas
Mientras la UE perfecciona la Ley de IA, Australia se centra en un enfoque diferente con su Plan Nacional de IA 2025: menos prohibiciones nuevas, pero una expansión coordinada de la infraestructura, el acceso a los datos y las capacidades. Página de la industria
El plan sigue tres líneas principales:
- Centros de datos e infraestructura: El gobierno federal apoya las inversiones en centros de datos modernos optimizados para GPU y capacidades de datos soberanas para retener las cargas de trabajo de IA en el país. Reuters, Daily Telegraph
- Formación y habilidades: Un objetivo central es capacitar a los empleados de todos los niveles para utilizar la IA de forma segura y productiva, desde el servicio público (Plan de IA del APS) hasta la industria. finance.gov.au, go8.edu.au
- Seguridad y Gobernanza: Un Instituto de Seguridad de IA, financiado con 30 millones de dólares australianos, se creará para 2026 y servirá como centro de competencia para el desarrollo seguro de IA, especialmente en lo que respecta a la seguridad nacional y la soberanía. News.com.au
El gobierno australiano enfatiza que, por el momento, se basará en las leyes existentes, por ejemplo, en materia de protección de datos, derecho de la competencia y protección del consumidor, en lugar de crear una Ley de IA propia. ABC, The Guardian
Para las empresas que operan en varias jurisdicciones, surge un contraste: en la UE, el cumplimiento de la IA está vinculado a un marco especial (Ley de IA de la UE), mientras que Australia trabaja más con autoridades supervisoras sectoriales e instrumentos jurídicos existentes, complementado por un programa nacional de inversión y cualificación.
Cumplimiento de IA para empresas
El debate se reduce a la pregunta: ¿Cómo construyo una estrategia de cumplimiento de IA que aborde tanto la Ley de IA de la UE como los planes nacionales de IA? Un punto de partida pragmático es tratar la IA como una extensión de las estructuras de gobernanza existentes, similar a los enfoques de cumplimiento por diseño. complianceandrisks.com
¿Qué significa "sistema de IA de alto riesgo" en la UE en concreto?
La pregunta central de muchos proyectos es: "¿Qué significa sistema de IA de alto riesgo en la UE? ¿Se aplica a nuestro proyecto?"
La Ley de IA define los sistemas de alto riesgo a través de dos vías: primero, la IA que es parte o componente de seguridad de un producto ya regulado (por ejemplo, dispositivos médicos, vehículos). Segundo, los sistemas de IA en ciertas áreas de aplicación sensibles enumeradas en el Anexo III. Ley de Inteligencia Artificial UE, Ley de Inteligencia Artificial UE
El Anexo III incluye, entre otros: biométrica (por ejemplo, reconocimiento facial remoto en espacios públicos), infraestructura crítica (energía, transporte, agua), educación (admisión, supervisión de exámenes), empleo y RR.HH. (selección y evaluación de candidatos), acceso a servicios esenciales (por ejemplo, créditos, seguros), aplicación de la ley, migración y justicia. Ley de Inteligencia Artificial UE, Servicio de atención al cliente de la Ley de IA
Ejemplos prácticos:
- Banco: Un modelo de puntuación que decide automáticamente los límites de crédito y las condiciones para clientes privados se clasifica como de alto riesgo, ya que interfiere con las oportunidades financieras. eyreACT
- Hospital: Un sistema de triaje que prioriza a los pacientes de emergencia basándose en la evaluación de IA de datos vitales es de alto riesgo debido al riesgo para la salud y la vida. twobirds.com
- Agencia: Una agencia de empleo que utiliza un modelo para evaluar la empleabilidad de los candidatos entra típicamente en el Anexo III debido a la interferencia con los derechos sociales. Stibbe
Es crucial legalmente si un sistema crea un riesgo significativo para la salud, la seguridad o los derechos fundamentales. La Ley de IA permite excepciones para algunos casos del Anexo III si no existe un "riesgo significativo", por ejemplo, en escenarios limitados de detección de fraude. Al Act, dpo-consulting.com
Para los sistemas de IA de alto riesgo se aplican requisitos estrictos: gestión de riesgos documentada, gobernanza de datos robusta, documentación técnica, registro, conceptos de supervisión humana y requisitos de precisión, robustez y ciberseguridad. Ley de Inteligencia Artificial UE
Las empresas que utilizan IA en estas áreas deben analizar desde el principio qué proyectos caen en la categoría de alto riesgo y comenzar la documentación.

Fuente: ctol.digital
La clasificación de riesgo de los sistemas de IA según la Ley de IA de la UE, desde el riesgo mínimo hasta el inaceptable.
Modelos de IA de propósito general: nuevas directrices de la UE para modelos fundacionales
El segundo gran eje son los modelos de IA de propósito general (GPAI), a menudo llamados modelos fundacionales. La Ley de IA define un "modelo de IA de propósito general" como un modelo que ha sido entrenado con grandes cantidades de datos, muestra una amplia generalidad y puede realizar una multitud de tareas diferentes de manera competente. Ley de Inteligencia Artificial UE
Ejemplos son modelos como GPT-4, DALL·E o BERT, que solo se vuelven específicos de dominio al integrarse en sistemas concretos. Taylor Wessing
A partir del 2 de agosto de 2025, se aplican obligaciones especiales para los proveedores de estos modelos de IA de propósito general:
- Requisitos de transparencia (incluida documentation técnica, descripción de las capacidades, limitaciones conocidas, resúmenes de los datos de entrenamiento).
- Normas sobre el tratamiento de derechos de autor, por ejemplo, mediante políticas y mecanismos para respetar las cadenas de derechos.
- Para modelos sistémicamente riesgosos, se aplican obligaciones adicionales como evaluaciones de modelos, mitigación de riesgos, pruebas adversariales e informes de incidentes. Estrategia Digital Europa, Estrategia Digital Europa, Reuters
Los modelos sistémicamente riesgosos se clasifican entre otros en función de umbrales técnicos (cómputo de entrenamiento) y sus posibles impactos. Ley de Inteligencia Artificial UE, Stibbe
El marco de GPAI es prácticamente relevante para dos grupos en las empresas:
- Proveedores de modelos- Equipos que entrenan sus propios modelos fundacionales y los ofrecen "as-a-service" o de forma amplia internamente.
- Usuarios posteriores, que integran un modelo fundacional externo en un sistema concreto, asumiendo así el papel de proveedor o implantador del sistema. Eipa, EY
El aplazamiento propuesto en el Ómnibus Digital afecta principalmente a los requisitos de alto riesgo, no a las obligaciones generales de GPAI, que entran en vigor a partir de agosto de 2025. OneTrust
Quienes ya automatizan procesos de toma de decisiones internos con un modelo fundacional deben comprobar si su propia configuración se considera un proveedor de GPAI, un sistema de alto riesgo o una combinación de ambos roles.
Tres observaciones prácticas para la estrategia de cumplimiento de IA
- Sin inventario, no hay estrategia: Las empresas que crean un mapa de IA con antelación, identificando qué sistemas se utilizan dónde, qué datos utilizan y qué decisiones influyen, pueden reconocer más rápidamente qué casos de uso entran potencialmente en el Anexo III o implican modelos fundacionales. eyreACT, dpo-consulting.com
- Aclarar la clase de riesgo + rol: La combinación de la clase de riesgo (alto riesgo vs. riesgo limitado) y el rol (proveedor vs. implantador) determina las obligaciones. Por ejemplo, alguien que utiliza un modelo fundacional de EE. UU. en un contexto bancario de la UE puede ser simultáneamente un implantador de un sistema de alto riesgo y un "usuario posterior" de un modelo de GPAI, con obligaciones diferentes y superpuestas. Ley de Inteligencia Artificial UE
- Pensar el cumplimiento como una característica del producto: Especialmente en sectores regulados, el cumplimiento de la IA se convierte en un argumento de venta. Una Fintech que ha establecido una gestión de riesgos de IA según la Ley de IA de la UE tendrá más facilidad con clientes B2B. Las evaluaciones de impacto estructuradas (por ejemplo, evaluaciones de impacto sobre derechos humanos o derechos fundamentales) hacen visibles los riesgos. arXiv, arXiv
Quienes utilicen el plazo más largo para los sistemas de alto riesgo hasta 2027 para establecer dichos procesos estarán en una mejor posición cuando la supervisión formal se intensifique y se beneficiarán antes de un bono de confianza.
Definiciones importantes
- Ley de IA de la UE: Un reglamento de la Unión Europea para regular la Inteligencia Artificial, que sigue un enfoque basado en el riesgo.
- IA de propósito general (GPAI) / Modelos fundacionales: Modelos de IA entrenados con grandes cantidades de datos, que muestran una amplia generalidad y pueden realizar una multitud de tareas diferentes.
- Sistema de IA de alto riesgo: Sistemas de IA que representan un riesgo significativo para la salud, la seguridad o los derechos fundamentales, ya sea como parte de productos regulados o en áreas de aplicación sensibles específicas (Anexo III).
- Ómnibus Digital: Un paquete de propuestas de la Comisión de la UE que incluye, entre otras cosas, un aplazamiento de los plazos para los sistemas de IA de alto riesgo.
- Plan Nacional de IA (Australia): La estrategia de Australia para promover la IA mediante inversiones en infraestructura, acceso a datos y formación, donde la regulación se basa principalmente en leyes existentes.

Fuente: user-added
Un diagrama muestra siete principios para el uso de IA, dispuestos en un círculo con descripciones textuales.
Recursos y perspectivas
Para aquellos que prefieren que se les expliquen los temas, algunos vídeos son muy adecuados, siempre como complemento de los textos originales:
- Una introducción concisa a la estructura, las clases de riesgo y el alcance global ofrece „EU AI Act Explained 2025“.
- Una visión más general y fundamentalmente fundamentada proporciona „The EU’s AI Act Explained“.
- Quienes ya trabajan con modelos fundacionales obtienen una visión práctica del Código de Conducta de GPAI en la conversación „Unpacking the EU AI Act Code of Practice with Marietje Schaake“ con un punto de vista práctico sobre el Código de Conducta de GPAI..
- Para el contexto australiano, merece la pena echar un vistazo a las discusiones sobre la estrategia de IA de allí y el ecosistema de IA, por ejemplo, en el formato „Australia’s AI ecosystem growth and opportunities“ del Centro Nacional de IA..
Los países están endureciendo las normas de IA, pero no lo hacen en todas partes por igual. En Europa, la Ley de IA de la UE se está precisando y, en parte, alargando en el tiempo, sin renunciar a su lógica fundamental de regulación estrictamente basada en el riesgo. En Australia, existe un Plan Nacional de IA para infraestructura, habilidades y seguridad, que se basa más en las leyes existentes y la supervisión sectorial. Servicio de atención al cliente de la Ley de IA, Página de la industria
Para las empresas, esto significa: no elegir entre innovación y regulación, sino configurar la propia estrategia de IA de manera que apoye ambas. Quienes identifiquen sus sistemas de IA de alto riesgo, clasifiquen correctamente los modelos fundacionales y establezcan la gobernanza de IA como parte integrante del desarrollo de productos y procesos, aprovecharán la "transición regulatoria" actual como una oportunidad.