Entra en vigor la Ley Europea de Inteligencia Artificial

/in , ,

Artículo actualizado el 30 de July de 2025

El día 2 de agosto de 2025 ha entrado en vigor el Reglamento (UE) 2024/1689 del Parlamento y del Consejo, sobre Inteligencia Artificial (Ley Europea de IA). En el ordenamiento jurídico de la Unión Europea, el Reglamento es la norma de mayor rango, vinculante y directamente aplicable en todos los Estados miembros, sin necesidad de transposición al derecho interno. Por tanto, se aplica en España automáticamente. La Unión Europea es la primera potencia global en legislar sobre esta materia. Ni Estados Unidos, ni China, tienen aún una Ley similar.

¿Por qué una Ley sobre Inteligencia Artificial?

En los últimos años, la IA ha tenido un desarrollo exponencial, y es cada vez más utilizada por empresas, profesionales y particulares en el día a día. Se trata de una magnífica herramienta que ahorra mucho tiempo y es capaz de realizar múltiples tareas, algunas de ellas impensables hasta ahora. Pero, por esta misma razón, su uso malintencionado puede ser muy dañino. Así lo demuestran recientes actos delictivos, consistentes en manipular la imagen de menores, con fines sexuales, o suplantar la voz o la imagen de personajes públicos para cometer estafas. Estos son solo dos ejemplos; la IA puede usarse para influir en la opinión pública con fines espurios, para perjudicar a empresas de la competencia, para utilizar maliciosamente datos personales, de salud, de origen étnico, de capacidad económica, etcétera.

Por ello, en su primer considerando, el Reglamento recoge que su objetivo es mejorar el funcionamiento del mercado interior mediante el establecimiento de un marco jurídico uniforme, de conformidad con los valores de la Unión, a fin de promover la adopción de una inteligencia artificial (IA) centrada en el ser humano y fiable, garantizando al mismo tiempo un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales consagrados en la Carta de los Derechos Fundamentales de la Unión Europea.

¿En qué afecta a las empresas proveedoras de Inteligencia Artificial?

La Ley establece cuatro posibles categorías de sistemas de IA que pueden desarrollar las empresas proveedoras. La primera, directamente prohibida.

Sistemas prohibidos

  • Manipulación subliminal o conductual: sistemas que manipulan el comportamiento humano de forma que las personas no sean conscientes de ello, y que puedan causar daño físico o psicológico.
  • Explotación de vulnerabilidades de grupos específicos como menores, personas con discapacidad o situación de vulnerabilidad social o económica.
  • Evaluación social generalizada (social scoring): sistemas que califican a las personas en función de su comportamiento social o características personales de forma persistente y generalizada.
  • Identificación biométrica remota en tiempo real en espacios públicos (por ejemplo, reconocimiento facial), salvo excepciones limitadas, como búsqueda de personas desaparecidas, amenazas terroristas o delitos graves, bajo control judicial o administrativo estricto.

Sistemas de alto riesgo

Los sistemas clasificados como de alto riesgo no están prohibidos, pero están sujetos a un régimen de obligaciones estrictas. Se consideran de alto riesgo cuando afectan a áreas críticas con impacto significativo sobre los derechos o la seguridad de las personas.

Ámbitos clave cubiertos:

  • Educación y formación: como sistemas de calificación automática.
  • Empleo, gestión laboral y acceso a trabajo: incluyendo herramientas de contratación o evaluación de desempeño.
  • Acceso a servicios esenciales: como crédito bancario, vivienda o atención sanitaria.
  • Justicia y procesos judiciales: sistemas que puedan influir en decisiones judiciales o administrativas.
  • Aplicación de la ley, migración, asilo y control fronterizo.
  • Infraestructuras críticas: transporte, energía, sanidad.
  • IA utilizada por autoridades públicas para tomar decisiones individuales automatizadas.

Para estos ámbitos, los proveedores están obligados a garantizar que su sistema de IA cumple con estos requisitos:

  • Evaluaciones de riesgo y de impacto.
  • Gestión y documentación técnica del sistema.
  • Transparencia, trazabilidad y supervisión humana.
  • Registro del sistema en una base de datos pública.

Sistemas de riesgo limitado

Son aquellos sistemas que no suponen un alto riesgo, pero sí requieren ciertas garantías de transparencia hacia los usuarios, especialmente si pueden inducir a error o a engaño.

Ejemplos:

  • Sistemas que interactúan con humanos, como chatbots o asistentes virtuales.
  • Sistemas que generan o manipulan contenido: texto, imágenes, audio o vídeo (deepfakes, por ejemplo).
  • Sistemas que detectan emociones o categorizan personas por rasgos (género, edad, etc.).

En este caso, los proveedores tienen que cumplir con estos requisitos:

  • Obligación de informar al usuario de que está interactuando con un sistema de IA.
  • Etiquetar claramente los contenidos sintéticos, especialmente cuando el contenido generado pudiera confundirse con contenido real.

Sistemas de riesgo mínimo o sin riesgo

La mayoría de los sistemas de IA (como filtros de spam, motores de recomendación de productos, videojuegos con IA, etc.) no están regulados directamente por la Ley europea de IA. Se les permite operar libremente sin requisitos específicos, aunque se fomenta el desarrollo responsable y ético mediante códigos de conducta voluntarios.

¿En qué afecta a los ciudadanos?

  1. Protección de derechos fundamentales

El objetivo principal del Reglamento es garantizar que la inteligencia artificial no vulnere los derechos fundamentales reconocidos por la legislación de la UE y las constituciones nacionales, tales como:

  • El derecho a la dignidad humana.
  • El derecho a la no discriminación (por sexo, etnia, religión, edad, discapacidad, etc.).
  • El derecho a la privacidad y a la protección de datos personales.
  • El derecho a una tutela judicial efectiva.
  • El derecho a la libertad de expresión y de pensamiento.

La IA debe desarrollarse de forma que respete estos principios, y cualquier uso que represente una amenaza seria para ellos (como el reconocimiento facial masivo o la puntuación social) está prohibido o regulado estrictamente.

  1. Transparencia y derecho a saber

El Reglamento refuerza el derecho de los ciudadanos a saber cuándo están interactuando con una IA. Esto se traduce en:

  • Información obligatoria: los usuarios deben ser informados de forma clara, accesible y comprensible si están tratando con un chatbot, asistente virtual, sistema de recomendación u otro tipo de IA.
  • Etiquetado de contenido artificial: cuando una IA genera contenidos sintéticos (texto, imágenes, vídeo, audio), estos deberán ser claramente etiquetados para evitar la confusión con contenidos reales.
  • Explicabilidad: en decisiones automatizadas que afecten significativamente a la persona (por ejemplo, en créditos, selección de personal, etc.), debe poder explicarse cómo y por qué se tomó la decisión.

  1. Derecho a intervención humana

Los ciudadanos tendrán garantía de intervención humana (es decir, que una persona se ocupe de su caso) cuando:

  • Un sistema de IA tome decisiones que afecten sus derechos (por ejemplo, denegación de una prestación social, sentencia judicial, selección para un empleo, etc.).
  • Existan dudas sobre la exactitud, imparcialidad o legalidad de la decisión tomada por el sistema.

La IA no puede ser utilizada como único factor decisivo en situaciones sensibles sin la posibilidad de revisión humana, lo cual refuerza la responsabilidad y la rendición de cuentas.

  1. Protección frente a prácticas abusivas

Se establecen prohibiciones claras para proteger a los ciudadanos de usos de la IA considerados abusivos o invasivos, como:

  • Sistemas de puntuación social: como los utilizados para calificar el comportamiento “bueno” o “malo” de una persona en base a sus acciones pasadas, solvencia, historial digital, etc.
  • Reconocimiento emocional o biométrico no consentido, especialmente en el ámbito laboral, educativo o en espacios públicos.
  • Predicción del comportamiento delictivo basada únicamente en características personales o perfiles de riesgo.

Estas medidas evitan que la IA se convierta en una herramienta de vigilancia masiva o control social.

Sanciones

El Reglamento establece multas administrativas en función de la gravedad de la infracción, el tipo de obligación vulnerada y el impacto del incumplimiento. Estas sanciones pueden alcanzar decenas de millones de euros, con un enfoque similar al del Reglamento General de Protección de Datos (RGPD).

Las sanciones pueden imponerse a:

  • Proveedores de sistemas de IA (desarrolladores, fabricantes).
  • Distribuidores, importadores o usuarios profesionales de sistemas de IA.
  • En algunos casos, también a personas jurídicas públicas si incumplen obligaciones sustanciales del Reglamento.

Las sanciones se clasifican en:

  1. Infracciones más graves – hasta 35 millones € o el 7% del volumen de negocio

Se aplican a las infracciones que suponen una violación directa de los valores fundamentales de la UE:

  • Uso de sistemas de IA prohibidos, como:
    • Puntuación social (social scoring).
    • Manipulación subliminal o explotación de vulnerabilidades.
    • Reconocimiento biométrico remoto en tiempo real (sin autorización legal).
  1. Incumplimientos de obligaciones para sistemas de alto riesgo – hasta 15 millones € o el 3% del volumen de negocio

Se refieren a infracciones en el uso o desarrollo de sistemas de alto riesgo sin cumplir los requisitos exigidos:

  • Falta de evaluación de riesgos.
  • Ausencia de documentación técnica.
  • Falta de supervisión humana o de medidas correctivas.
  • No registrar el sistema en la base de datos oficial.
  1. Falsedad o negligencia en la información suministrada – hasta 7,5 millones € o el 1% del volumen de negocio

Estas sanciones se aplican cuando:

  • Se suministra información falsa, incompleta o engañosa a las autoridades competentes (por ejemplo, durante una inspección o notificación).
  • No se colabora con las autoridades supervisores.

Criterios de aplicación y graduación de las sanciones

Las autoridades competentes tendrán en cuenta diversos factores para graduar las multas, tales como:

  • Gravedad y duración de la infracción.
  • Naturaleza e impacto de los datos o derechos afectados.
  • Intencionalidad o negligencia.
  • Medidas adoptadas para mitigar el daño.
  • Historial previo de cumplimiento.
  • Nivel de cooperación con las autoridades.

Críticas a la nueva Ley

La Unión Europea es acusada con frecuencia de exceso regulatorio. Aunque se trata de una norma pionera y ambiciosa cuyo propósito es equilibrar la innovación tecnológica con la protección de los derechos fundamentales, las tecnológicas europeas se quejan de que la fragmentación en la aplicación nacional del reglamento puede generar un mosaico normativo que las grandes tecnológicas (Google, Meta, Open AI, además, con sede en EEUU) pueden sortear con facilidad gracias a sus recursos, pero que supondría una barrera casi insalvable para los nuevos actores del sector.

Véase también: Protección de datos en la comunidad de propietarios

Lotisse. Antonio Ramírez Anaya

Abogado

You might also like
El socio-trabajador: ¿debe cobrar salario, factura, dividendo o retribución en especie?
Sequía extrema y comunidades de vecinos
El derecho de Defensa ya tiene su Ley
Viviendas turísticas: nueva regulación para una actividad imparable.
Ley de defensa del cliente financiero. Una medida muy necesaria.
Ley de Vivienda: ¿Un verdadero cambio?
Registro Único de Arrendamientos: obligatorio a partir del 1 de julio de 2025
Nuevo paquete de medidas urgentes del gobierno: pymes, autónomos y desempleados