Ley de IA de la UE: Cambios de 2025 explicados

Avatar
Lisa Ernst · 02.12.2025 · Tecnología · 10 min

ley de IA de la UE y los planes nacionales de IA, como el de Australia, para ofrecer orientación.

Ley de IA de la UE: Fundamentos y cambios

La Ley de IA de la UE está en vigor desde 2024 y se aplicará gradualmente hasta agosto de 2027. Se basa en un modelo basado en el riesgo con cuatro niveles de riesgo y una categoría adicional para modelos de IA de propósito general (GPAI), también conocidos como modelos fundacionales. Servicio de atención al cliente de la Ley de IA, ECNL

En 2025, este marco se perfeccionará. La UE publicará directrices y un código de conducta para la IA de propósito general. Al mismo tiempo, propone en el marco de un "Ómnibus Digital" una prórroga de los plazos para los sistemas de alto riesgo de agosto de 2026 hasta finales de 2027. Estrategia Digital Europa, Estrategia Digital Europa, Reuters, OneTrust

Para las empresas, esto significa que el cumplimiento de la IA es una tarea estratégica, especialmente en sectores como los servicios financieros, la salud o la administración pública, donde muchos casos de uso entran en la categoría de "sistema de IA de alto riesgo". Ley de Inteligencia Artificial UE, Servicio de atención al cliente de la Ley de IA

Comprender los cambios de la Ley de IA de la UE en 2025

La Ley de IA de la UE regula la IA basándose en niveles de riesgo: riesgo inaceptable, alto, limitado y mínimo, complementado por una vía separada para los modelos de IA de propósito general. ECNL

El calendario de implementación oficial de la Comisión Europea prevé cuatro etapas clave:

En 2025, el enfoque se desplazará hacia la IA de propósito general y la cuestión de la rapidez con la que se implementarán realmente las obligaciones de alto riesgo.

Hitos y plazos clave de la Ley de IA de la UE que ilustran la introducción gradual del reglamento hasta 2027.

Fuente: mindfoundry.ai

Hitos y plazos clave de la Ley de IA de la UE que ilustran la introducción gradual del reglamento hasta 2027.

Directrices y código de conducta para la IA de propósito general

En julio de 2025, la Comisión Europea publicará tres instrumentos clave para la regulación de modelos fundacionales: directrices para proveedores de GPAI, un código de conducta de GPAI y otras ayudas para la interpretación. Estrategia Digital Europa

Las directrices de GPAI y las preguntas frecuentes oficiales aclaran cuándo se considera que un modelo es de IA de propósito general (tareas amplias, gran esfuerzo de entrenamiento, aplicabilidad versátil) y cuándo una adaptación genera un proveedor propio con obligaciones. Estrategia Digital Europa

El Código de Conducta de GPAI es un instrumento voluntario que ofrece a los proveedores recomendaciones concretas para la organización de la documentación, la transparencia y los procesos de derechos de autor, con el fin de preparar los requisitos legales. Estrategia Digital Europa

La Comisión admite que el código de conducta se completó más tarde de lo previsto (finales de 2025 en lugar de mayo). Esto prolongó la incertidumbre para los proveedores de modelos fundacionales y fue una razón para las demandas de las grandes empresas tecnológicas de una "pausa" para la Ley de IA. Reuters, Reuters

Ómnibus Digital: plazos adelantados para sistemas de alto riesgo

En noviembre de 2025, la Comisión presentará un paquete bajo el título "Ómnibus Digital". Un punto central es el aplazamiento de la aplicación de las obligaciones de alto riesgo de agosto de 2026 a finales de 2027. Reuters, euronews, OneTrust

Se verían afectadas aplicaciones como la identificación biométrica en espacios públicos, IA para solicitudes y exámenes de empleo, IA en redes de energía y transporte, evaluación de la solvencia crediticia o decisiones basadas en IA en la atención sanitaria y la aplicación de la ley. Reuters, Servicio de atención al cliente de la Ley de IA

El retraso propuesto es un aplazamiento para completar las normas, las directrices y las estructuras de supervisión, no una reversión de la regulación. Sin embargo, las ONG y algunos parlamentarios hablan de un "retroceso" de los mecanismos de protección digital, ya que al mismo tiempo se debaten relajaciones en las normas de protección de datos y cookies. The Guardian

Las empresas deben aprovechar este período como una ventana de oportunidad para establecer estructuras de gobernanza. Esto también lo subrayan los análisis de cumplimiento, por ejemplo, de Nemko o Compliance & Risks. digital.nemko.com, complianceandrisks.com

Planes nacionales de IA

Paralelamente a la UE, Australia sigue un enfoque diferente: con un Plan Nacional de IA, se agrupan las inversiones en centros de datos, infraestructura de datos y formación. La IA se regulará en gran medida a través de las leyes existentes, complementada por un Instituto de Seguridad de IA propio a partir de 2026. Página de la industria, ABC, Reuters

Plan Nacional de Inteligencia Artificial de Australia: Infraestructura, Datos, Personas

Mientras la UE perfecciona la Ley de IA, Australia se centra en un enfoque diferente con su Plan Nacional de IA 2025: menos prohibiciones nuevas, pero una expansión coordinada de la infraestructura, el acceso a los datos y las capacidades. Página de la industria

El plan sigue tres líneas principales:

El gobierno australiano enfatiza que, por el momento, se basará en las leyes existentes, por ejemplo, en materia de protección de datos, derecho de la competencia y protección del consumidor, en lugar de crear una Ley de IA propia. ABC, The Guardian

Para las empresas que operan en varias jurisdicciones, surge un contraste: en la UE, el cumplimiento de la IA está vinculado a un marco especial (Ley de IA de la UE), mientras que Australia trabaja más con autoridades supervisoras sectoriales e instrumentos jurídicos existentes, complementado por un programa nacional de inversión y cualificación.

Cumplimiento de IA para empresas

El debate se reduce a la pregunta: ¿Cómo construyo una estrategia de cumplimiento de IA que aborde tanto la Ley de IA de la UE como los planes nacionales de IA? Un punto de partida pragmático es tratar la IA como una extensión de las estructuras de gobernanza existentes, similar a los enfoques de cumplimiento por diseño. complianceandrisks.com

¿Qué significa "sistema de IA de alto riesgo" en la UE en concreto?

La pregunta central de muchos proyectos es: "¿Qué significa sistema de IA de alto riesgo en la UE? ¿Se aplica a nuestro proyecto?"

La Ley de IA define los sistemas de alto riesgo a través de dos vías: primero, la IA que es parte o componente de seguridad de un producto ya regulado (por ejemplo, dispositivos médicos, vehículos). Segundo, los sistemas de IA en ciertas áreas de aplicación sensibles enumeradas en el Anexo III. Ley de Inteligencia Artificial UE, Ley de Inteligencia Artificial UE

El Anexo III incluye, entre otros: biométrica (por ejemplo, reconocimiento facial remoto en espacios públicos), infraestructura crítica (energía, transporte, agua), educación (admisión, supervisión de exámenes), empleo y RR.HH. (selección y evaluación de candidatos), acceso a servicios esenciales (por ejemplo, créditos, seguros), aplicación de la ley, migración y justicia. Ley de Inteligencia Artificial UE, Servicio de atención al cliente de la Ley de IA

Ejemplos prácticos:

Es crucial legalmente si un sistema crea un riesgo significativo para la salud, la seguridad o los derechos fundamentales. La Ley de IA permite excepciones para algunos casos del Anexo III si no existe un "riesgo significativo", por ejemplo, en escenarios limitados de detección de fraude. Al Act, dpo-consulting.com

Para los sistemas de IA de alto riesgo se aplican requisitos estrictos: gestión de riesgos documentada, gobernanza de datos robusta, documentación técnica, registro, conceptos de supervisión humana y requisitos de precisión, robustez y ciberseguridad. Ley de Inteligencia Artificial UE

Las empresas que utilizan IA ​​en estas áreas deben analizar desde el principio qué proyectos caen en la categoría de alto riesgo y comenzar la documentación.

La clasificación de riesgo de los sistemas de IA según la Ley de IA de la UE, desde el riesgo mínimo hasta el inaceptable.

Fuente: ctol.digital

La clasificación de riesgo de los sistemas de IA según la Ley de IA de la UE, desde el riesgo mínimo hasta el inaceptable.

Modelos de IA de propósito general: nuevas directrices de la UE para modelos fundacionales

El segundo gran eje son los modelos de IA de propósito general (GPAI), a menudo llamados modelos fundacionales. La Ley de IA define un "modelo de IA de propósito general" como un modelo que ha sido entrenado con grandes cantidades de datos, muestra una amplia generalidad y puede realizar una multitud de tareas diferentes de manera competente. Ley de Inteligencia Artificial UE

Ejemplos son modelos como GPT-4, DALL·E o BERT, que solo se vuelven específicos de dominio al integrarse en sistemas concretos. Taylor Wessing

A partir del 2 de agosto de 2025, se aplican obligaciones especiales para los proveedores de estos modelos de IA de propósito general:

Los modelos sistémicamente riesgosos se clasifican entre otros en función de umbrales técnicos (cómputo de entrenamiento) y sus posibles impactos. Ley de Inteligencia Artificial UE, Stibbe

El marco de GPAI es prácticamente relevante para dos grupos en las empresas:

El aplazamiento propuesto en el Ómnibus Digital afecta principalmente a los requisitos de alto riesgo, no a las obligaciones generales de GPAI, que entran en vigor a partir de agosto de 2025. OneTrust

Quienes ya automatizan procesos de toma de decisiones internos con un modelo fundacional deben comprobar si su propia configuración se considera un proveedor de GPAI, un sistema de alto riesgo o una combinación de ambos roles.

Tres observaciones prácticas para la estrategia de cumplimiento de IA

  1. Sin inventario, no hay estrategia: Las empresas que crean un mapa de IA con antelación, identificando qué sistemas se utilizan dónde, qué datos utilizan y qué decisiones influyen, pueden reconocer más rápidamente qué casos de uso entran potencialmente en el Anexo III o implican modelos fundacionales. eyreACT, dpo-consulting.com
  2. Aclarar la clase de riesgo + rol: La combinación de la clase de riesgo (alto riesgo vs. riesgo limitado) y el rol (proveedor vs. implantador) determina las obligaciones. Por ejemplo, alguien que utiliza un modelo fundacional de EE. UU. en un contexto bancario de la UE puede ser simultáneamente un implantador de un sistema de alto riesgo y un "usuario posterior" de un modelo de GPAI, con obligaciones diferentes y superpuestas. Ley de Inteligencia Artificial UE
  3. Pensar el cumplimiento como una característica del producto: Especialmente en sectores regulados, el cumplimiento de la IA se convierte en un argumento de venta. Una Fintech que ha establecido una gestión de riesgos de IA según la Ley de IA de la UE tendrá más facilidad con clientes B2B. Las evaluaciones de impacto estructuradas (por ejemplo, evaluaciones de impacto sobre derechos humanos o derechos fundamentales) hacen visibles los riesgos. arXiv, arXiv

Quienes utilicen el plazo más largo para los sistemas de alto riesgo hasta 2027 para establecer dichos procesos estarán en una mejor posición cuando la supervisión formal se intensifique y se beneficiarán antes de un bono de confianza.

Definiciones importantes

Un diagrama muestra siete principios para el uso de IA, dispuestos en un círculo con descripciones textuales.

Fuente: user-added

Un diagrama muestra siete principios para el uso de IA, dispuestos en un círculo con descripciones textuales.

Recursos y perspectivas

Para aquellos que prefieren que se les expliquen los temas, algunos vídeos son muy adecuados, siempre como complemento de los textos originales:

Los países están endureciendo las normas de IA, pero no lo hacen en todas partes por igual. En Europa, la Ley de IA de la UE se está precisando y, en parte, alargando en el tiempo, sin renunciar a su lógica fundamental de regulación estrictamente basada en el riesgo. En Australia, existe un Plan Nacional de IA para infraestructura, habilidades y seguridad, que se basa más en las leyes existentes y la supervisión sectorial. Servicio de atención al cliente de la Ley de IA, Página de la industria

Para las empresas, esto significa: no elegir entre innovación y regulación, sino configurar la propia estrategia de IA de manera que apoye ambas. Quienes identifiquen sus sistemas de IA de alto riesgo, clasifiquen correctamente los modelos fundacionales y establezcan la gobernanza de IA como parte integrante del desarrollo de productos y procesos, aprovecharán la "transición regulatoria" actual como una oportunidad.

¡Comparte nuestra publicación!