Guía de Cumplimiento del Reglamento de IA de la UE para Empresas No Europeas: Obligaciones, Clasificación de Riesgos y Régimen Sancionador

El Reglamento (UE) 2024/1689 — el Reglamento Europeo de Inteligencia Artificial — entró en vigor el 1 de agosto de 2024 y desde entonces ha ido aplicándose de forma escalonada. El 2 de febrero de 2025 se hizo exigible la prohibición de prácticas de IA de riesgo inaceptable. El 2 de agosto de 2025 entró en vigor el marco regulador de los modelos de IA de uso general (GPAI) y la arquitectura institucional de la Oficina de IA de la UE. Las obligaciones aplicables a los sistemas de IA de alto riesgo contemplados en el Anexo III surtieron efecto a partir del 2 de agosto de 2026. El director jurídico o el responsable de cumplimiento de cualquier organización que desarrolle, despliegue o comercialice productos de IA en mercados de la UE ya no puede tratar el Reglamento de IA como una regulación futura. Es derecho vigente con mecanismos de aplicación activos.

La característica arquitectónica más significativa del Reglamento de IA — y la menos comprendida por las empresas no europeas — es su alcance extraterritorial. A diferencia de la primera generación de regulación de productos de la UE, que lograba efecto extraterritorial principalmente mediante condiciones de acceso al mercado, el Reglamento de IA impone expresamente obligaciones a entidades establecidas fuera de la Unión Europea. Este artículo ofrece un análisis de nivel profesional de dichas obligaciones, el sistema de clasificación de riesgos que determina su alcance, las distintas posiciones de cumplimiento requeridas de proveedores frente a responsables del despliegue, el proceso de evaluación de conformidad y los mecanismos de aplicación ahora operativos en la Oficina de IA de la UE.

Alcance Extraterritorial: Quiénes Quedan Sometidos y Por Qué

El ámbito geográfico del Reglamento de IA se define en el artículo 2(1), que establece cuatro criterios jurisdiccionales distintos. El Reglamento se aplica a:

(a) los proveedores que introduzcan en el mercado de la UE o pongan en servicio sistemas de IA en la UE, con independencia de si dichos proveedores están establecidos en la UE;

(b) los proveedores y responsables del despliegue de sistemas de IA establecidos en la UE;

(c) los proveedores de sistemas de IA establecidos en un tercer país cuando el resultado producido por el sistema se utilice en la UE; y

(d) los responsables del despliegue de sistemas de IA establecidos en un tercer país cuando el resultado producido por el sistema se utilice en la UE.

La consecuencia práctica para una empresa tecnológica estadounidense que ofrece una plataforma de selección de personal basada en IA, un fabricante japonés que vende un sistema de control de calidad por visión artificial o una empresa de tecnología financiera canadiense que proporciona decisiones de crédito mediante IA a prestamistas europeos es idéntica: si el resultado del sistema de IA se utiliza en la UE, la empresa queda dentro del perímetro regulatorio del Reglamento de IA, con independencia de dónde esté constituida, dónde se encuentren sus servidores o si dispone de establecimiento en la UE.

Esta arquitectura no es simplemente una reproducción del enfoque de «segmentación» del artículo 3(2) del GDPR. En ciertos aspectos es más amplia: el Reglamento de IA no exige que se dirija activamente a usuarios de la UE. El criterio decisivo es el uso del resultado en la UE. Un sistema desarrollado y operado íntegramente en un tercer país, vendido a una empresa con sede en la UE y cuyos resultados son consumidos por empleados de la UE o clientes residentes en la UE, activa las disposiciones extraterritoriales aunque el proveedor no europeo nunca haya considerado la UE como mercado principal.

El marco del artículo 2 también impone obligaciones a los importadores (artículo 23) — entidades establecidas en la UE que introducen en el mercado de la UE sistemas de IA que llevan el nombre o la marca de una entidad establecida fuera de la UE — y a los distribuidores (artículo 24). Para los proveedores no europeos, el importador asume una parte material de las obligaciones de cumplimiento que de otro modo recaerían sobre el proveedor, incluidas la verificación de que el proveedor ha llevado a cabo la evaluación de conformidad requerida, que el sistema de IA lleva el marcado CE cuando corresponde y que la documentación técnica exigida por el artículo 11 está disponible. Esto crea una dependencia de cumplimiento en la cadena: los proveedores no europeos que deseen mantener a sus importadores de la UE como socios de distribución viables deben suministrar sistemas y documentación conformes.

El Reglamento de IA establece una exención limitada en el artículo 2(2) para los sistemas de IA introducidos en el mercado, puestos en servicio o utilizados exclusivamente con fines militares, de seguridad nacional o de defensa. Las actividades de investigación científica y desarrollo también están excluidas en virtud del artículo 2(6), sujetas a determinadas condiciones. Estas exclusiones son estrictas y requieren demostración afirmativa; no se aplican por defecto a sistemas de IA de doble uso con aplicaciones tanto civiles como de defensa.

Clasificación Basada en el Riesgo: La Arquitectura de las Obligaciones

Las obligaciones de cumplimiento del Reglamento de IA no son uniformes. Se calibran en función de una clasificación de riesgos de cuatro niveles que determina qué obligaciones se aplican, con qué intensidad y con qué consecuencias sancionadoras. La clasificación la determina el propósito previsto del sistema y el caso de uso en que se despliega, no la tecnología en sí ni la descripción comercial.

El Marco de Clasificación de Riesgos

Nivel de Riesgo	Tratamiento Regulatorio	Ejemplos	Disposiciones Principales Aplicables
Inaceptable (Prohibido)	Prohibición absoluta — se prohíbe la introducción en el mercado, la puesta en servicio y el uso	Identificación biométrica remota en tiempo real en espacios públicos (con excepciones limitadas); puntuación social por autoridades públicas; manipulación subliminal; explotación de vulnerabilidades de grupos específicos; predicción policial basada únicamente en perfiles; IA que infiera atributos sensibles a partir de datos biométricos para fines de orden público	Artículo 5; sanciones de hasta 35 millones € o el 7% de la facturación global
Alto Riesgo (Anexo I — Seguridad de Productos)	Evaluación de conformidad completa; marcado CE; intervención obligatoria de organismo notificado para determinadas categorías	IA como componentes de seguridad en: productos sanitarios (Reglamento (UE) 2017/745); productos sanitarios para diagnóstico in vitro (Reglamento (UE) 2017/746); aviación (Reglamento (UE) 2018/1139); maquinaria (Reglamento (UE) 2023/1230); automoción (Reglamentos ECE)	Artículos 8–25; Capítulo I, Título III; Anexo I
Alto Riesgo (Anexo III — Caso de Uso)	Evaluación de conformidad (principalmente interna, algunas de terceros); registro en la base de datos de la UE; supervisión post-comercialización	Sistemas de identificación biométrica; IA en gestión de infraestructuras críticas; evaluación en educación y formación profesional; empleo, RRHH y gestión de trabajadores; acceso a servicios esenciales (crédito, seguros, prestaciones públicas); orden público; migración/asilo/control fronterizo; administración de justicia; procesos democráticos	Artículos 8–25; Capítulo II, Título III; Anexo III
Modelos GPAI	Documentación técnica; cumplimiento en materia de derechos de autor; transparencia; medidas de riesgo sistémico para modelos con ≥10²⁵ FLOPs	Modelos de lenguaje de gran tamaño, modelos fundacionales multimodales (series GPT, Gemini, Claude, Llama, Mistral)	Artículos 51–56; Capítulo II, Título VIII
Riesgo Limitado (Transparencia)	Solo obligaciones de divulgación	Chatbots; sistemas de reconocimiento de emociones; categorización biométrica; deepfakes y medios sintéticos	Artículo 50
Riesgo Mínimo	Sin obligaciones obligatorias (se fomentan códigos de conducta voluntarios)	Filtros antispam con IA, IA en videojuegos, sistemas básicos de recomendación sin impacto material en decisiones	Artículo 95 (medidas voluntarias)

Anexo III: Los Casos de Uso que Afectan a la Mayoría de las Empresas No Europeas

La lista del Anexo III es el foco práctico para la mayoría de las empresas tecnológicas no europeas. Abarca ocho ámbitos, dentro de cada uno de los cuales se designan casos de uso específicos como de alto riesgo:

1. Identificación y categorización biométrica — sistemas de IA destinados a la identificación biométrica remota de personas físicas, excepto la verificación en la que una persona física confirma su identidad. Esto abarca los sistemas de reconocimiento facial utilizados en la incorporación de clientes, la verificación de identidad en servicios financieros y el control de acceso.

2. Infraestructuras críticas — sistemas de IA destinados a funcionar como componentes de seguridad en la gestión u operación de infraestructuras digitales críticas, tráfico rodado y sistemas de energía, agua, gas y calefacción. Los proveedores de servicios en la nube que ofrecen servicios de infraestructura gestionada con IA a operadores de servicios esenciales de la UE quedan dentro de esta categoría.

3. Educación y formación profesional — sistemas de IA utilizados para determinar el acceso o la asignación a instituciones educativas, evaluar resultados de aprendizaje y supervisar a los estudiantes durante los exámenes. Las empresas de tecnología educativa con clientes institucionales en la UE deben clasificar su IA de evaluación y supervisión de exámenes como de alto riesgo.

4. Empleo, gestión de trabajadores y acceso al trabajo por cuenta propia — sistemas de IA utilizados para la selección y contratación, evaluación del rendimiento y el comportamiento, decisiones de promoción y asignación de tareas en función del comportamiento o las características de personalidad individuales. Las plataformas de IA para RRHH — sistemas de seguimiento de candidatos con puntuación de IA, herramientas de gestión del rendimiento, IA de planificación de la fuerza laboral — quedan directamente dentro del ámbito de aplicación. Esta es la categoría que genera mayor interés de aplicación en 2025–2026.

5. Acceso a servicios privados esenciales y prestaciones — sistemas de IA utilizados por entidades de crédito, entidades aseguradoras y autoridades de prestaciones públicas para evaluar la solvencia crediticia, valorar el riesgo asegurador y determinar el acceso a prestaciones públicas y servicios de emergencia. La puntuación crediticia mediante IA es la aplicación comercialmente más significativa dentro de esta categoría.

6. Orden público — IA utilizada para evaluaciones de riesgo individual, polígrafos, evaluación de la fiabilidad de las pruebas, evaluación del riesgo de reincidencia y elaboración de perfiles delictivos. Limitada a las autoridades públicas en la mayoría de los Estados miembros, pero los proveedores que suministran dichos sistemas a las fuerzas del orden de la UE asumen obligaciones de proveedor.

7. Gestión de la migración, el asilo y el control fronterizo — IA utilizada para tramitar solicitudes de migración, evaluar amenazas a la seguridad o la salud, toma de decisiones automatizada en la tramitación de visados y vigilancia en las fronteras de la UE.

8. Administración de justicia y procesos democráticos — IA utilizada para asistir a los tribunales, aplicar el derecho a los hechos e influir en los resultados electorales. Las herramientas de investigación jurídica basadas en IA desplegadas por tribunales de la UE o en procedimientos judiciales de la UE quedan dentro del ámbito de aplicación.

Obligaciones de Proveedores frente a Responsables del Despliegue: Una Distinción Estructural

El Reglamento de IA establece una distinción regulatoria fundamental entre proveedores — entidades que desarrollan un sistema de IA y lo introducen en el mercado o lo ponen en servicio — y responsables del despliegue — entidades que utilizan un sistema de IA bajo su propia responsabilidad con fines profesionales. Para las empresas no europeas, comprender qué función se aplica en cada configuración de la cadena de suministro es esencial, porque la carga de cumplimiento es sustancialmente asimétrica.

Obligaciones del Proveedor (Artículos 8–25)

Los proveedores de sistemas de IA de alto riesgo soportan las obligaciones principales y más exigentes del Reglamento de IA. Para los proveedores no europeos, estas obligaciones se vinculan en virtud del artículo 2(1)(a) y (c) y no pueden transferirse contractualmente a responsables del despliegue establecidos en la UE (aunque los importadores comparten ciertas obligaciones en virtud del artículo 23).

Las principales obligaciones del proveedor son:

Sistema de gestión de riesgos (artículo 9): Un proceso de gestión de riesgos continuo e iterativo que identifique los riesgos razonablemente previsibles para la salud, la seguridad y los derechos fundamentales; estime y evalúe esos riesgos; adopte medidas de mitigación de riesgos; y documente los riesgos residuales. No se trata de una evaluación de riesgos puntual, sino de un sistema operativo que debe mantenerse actualizado durante todo el ciclo de vida del sistema de IA.

Datos y gobernanza de datos (artículo 10): Los sistemas de IA de alto riesgo que utilicen datos de entrenamiento deben entrenarse, validarse y probarse con datos que cumplan criterios de calidad relacionados con la pertinencia, la representatividad, la ausencia de errores y la integridad. Los requisitos de gobernanza de datos del Reglamento de IA establecen obligaciones expresas de examinar los datos de entrenamiento en busca de posibles sesgos. Para los sistemas de IA entrenados con conjuntos de datos que incluyan datos personales de residentes de la UE, la intersección con los requisitos de EIPD del artículo 35 del GDPR exige un marco de cumplimiento coordinado.

Documentación técnica (artículo 11 y Anexo IV): Los proveedores deben preparar y mantener documentación técnica antes de introducir un sistema de IA de alto riesgo en el mercado. El Anexo IV especifica el contenido obligatorio: descripción del sistema y propósito previsto; elementos y arquitectura; proceso de desarrollo y metodologías de entrenamiento; métricas e umbrales de rendimiento; riesgos conocidos; medidas de exactitud, robustez y ciberseguridad; plan de supervisión post-comercialización. Para los proveedores no europeos que suministran a importadores de la UE, esta documentación debe estar disponible para las autoridades nacionales de vigilancia del mercado y la Oficina de IA de la UE previa solicitud.

Registro automático (artículo 12): Los sistemas de IA de alto riesgo deben diseñarse para generar automáticamente registros de su funcionamiento — como mínimo, registrando el período de cada uso, los datos de entrada y cualquier resultado de decisión — en la medida en que sea técnicamente viable. Estos registros constituyen la principal pista de auditoría para la supervisión post-despliegue y las investigaciones de aplicación.

Transparencia e información a los responsables del despliegue (artículo 13): Los sistemas de IA de alto riesgo deben diseñarse para garantizar que su funcionamiento sea suficientemente transparente como para que los responsables del despliegue puedan interpretar el resultado del sistema y utilizarlo de manera adecuada. Las instrucciones de uso — que deben acompañar a todo sistema de IA de alto riesgo — deben contener información específica sobre el propósito previsto del sistema, el nivel de rendimiento, los escenarios de uso indebido previsibles, las medidas técnicas disponibles para los responsables del despliegue y las medidas de supervisión humana requeridas.

Supervisión humana (artículo 14): Los sistemas de IA de alto riesgo deben diseñarse para permitir una supervisión humana efectiva por personas físicas durante el período de uso. Se trata de un requisito de diseño con contenido sustantivo: el sistema debe diseñarse para que la persona responsable de la supervisión pueda comprender las capacidades y limitaciones del sistema, detectar anomalías y fallos, e intervenir para anular, interrumpir o detener el sistema. El requisito de supervisión humana a efectos del Reglamento de IA se interrelaciona con el requisito del artículo 22(3) del GDPR de intervención humana en la toma de decisiones automatizada, pero no es idéntico a él; ambos deben satisfacerse simultáneamente para los sistemas de IA que produzcan efectos legales o igualmente significativos sobre personas físicas.

Exactitud, robustez y ciberseguridad (artículo 15): Los sistemas de IA de alto riesgo deben alcanzar niveles adecuados de exactitud, robustez y ciberseguridad a lo largo de su ciclo de vida. Las métricas e umbrales de exactitud deben declararse en la documentación técnica. El Reglamento exige que los sistemas mantengan un rendimiento coherente ante variaciones previsibles en los datos de entrada y sean resilientes frente a ataques adversariales.

Sistema de gestión de la calidad (artículo 17): Los proveedores deben implementar un sistema de gestión de la calidad que abarque el ciclo de vida completo de sus sistemas de IA de alto riesgo: desarrollo, pruebas, evaluación de conformidad, supervisión post-comercialización y gestión de no conformidades. El SGC debe ser proporcional al tamaño y la naturaleza del proveedor; para los proveedores de múltiples sistemas de IA de alto riesgo, el Reglamento fomenta un marco SGC unificado.

Evaluación de conformidad (artículo 43): Antes de que un sistema de IA de alto riesgo pueda introducirse en el mercado de la UE o ponerse en servicio, el proveedor debe completar una evaluación de conformidad que demuestre que el sistema cumple los requisitos de los artículos 8–15. Para la mayoría de los sistemas del Anexo III, se trata de una evaluación de conformidad interna basada en los propios procedimientos del proveedor; la evaluación por terceros a través de un organismo notificado es obligatoria para los sistemas de identificación biométrica (con excepciones limitadas) y los sistemas de IA que son componentes de seguridad de productos regulados en virtud de la legislación del Anexo I. Una vez completada, el proveedor debe redactar una Declaración de Conformidad UE en virtud del artículo 47 y colocar el marcado CE en virtud del artículo 48.

Registro en la base de datos de IA de la UE (artículo 49): Los proveedores de sistemas de IA de alto riesgo enumerados en el Anexo III deben registrar el sistema en la base de datos pública de IA mantenida por la UE antes de introducirlo en el mercado. La base de datos registra el propósito previsto del sistema, las métricas de exactitud y rendimiento, el procedimiento de evaluación de conformidad utilizado y el plan de supervisión post-comercialización.

Obligaciones del Responsable del Despliegue (Artículo 26)

Los responsables del despliegue de sistemas de IA de alto riesgo soportan un conjunto de obligaciones materialmente más reducido, aunque no insignificante. Para las empresas no europeas que despliegan — en lugar de desarrollar — sistemas de IA para uso profesional orientado a la UE, el artículo 26 define el umbral de cumplimiento:

Utilizar el sistema de IA de conformidad con las instrucciones de uso proporcionadas por el proveedor (artículo 26(1)).
Garantizar que las personas físicas responsables de la supervisión humana tengan la competencia, la formación y la autoridad necesarias para realizar la supervisión de manera efectiva (artículo 26(2)).
Supervisar el funcionamiento del sistema de IA sobre la base de las instrucciones de uso y notificar los incidentes graves al proveedor y a la autoridad nacional competente pertinente (artículo 26(5)).
Realizar una evaluación del impacto sobre los derechos fundamentales (EIPD-DFIA) antes de desplegar un sistema de IA de alto riesgo en casos de uso relativos a orden público, migración, administración de justicia, servicios privados esenciales y empleo (artículo 27, aplicable a organismos regulados por el derecho público y determinados responsables del despliegue privados).
Informar a los representantes de los trabajadores y a los trabajadores afectados antes de desplegar sistemas de IA en el contexto del empleo y la gestión de trabajadores (artículo 26(7)).

La obligación del responsable del despliegue de notificar incidentes graves crea una dependencia importante en la cadena de suministro: los responsables del despliegue no europeos deben mantener la capacidad operativa para identificar, evaluar y notificar incidentes que afecten a usuarios residentes en la UE u operaciones orientadas a la UE dentro de los plazos especificados por las autoridades nacionales competentes de los Estados miembros donde se notifique el incidente.

Cuándo Cambia la Línea entre Proveedor y Responsable del Despliegue

El Reglamento de IA contiene una disposición fundamental — el artículo 25(1) — en virtud de la cual un responsable del despliegue pasa a ser considerado proveedor a efectos regulatorios cuando:

introduce en el mercado un sistema de IA de alto riesgo bajo su propio nombre o marca;
modifica un sistema de IA de alto riesgo existente de manera suficientemente sustancial como para cambiar su propósito previsto; o
modifica un sistema de IA que no es de alto riesgo de manera que pase a ser de alto riesgo.

Para las empresas no europeas que venden sistemas de IA con marca propia, que ajustan modelos fundacionales con datos propietarios para casos de uso específicos orientados a la UE, o que integran componentes de IA en productos comercializados bajo su propia marca en la UE, el artículo 25(1) es una trampa de reclasificación. El análisis de obligaciones no sigue la estructura societaria de la cadena de suministro, sino la pregunta de quién configura sustancialmente el sistema de IA que llega al mercado de la UE.

Evaluaciones de Conformidad: Proceso e Implicaciones Prácticas

El proceso de evaluación de conformidad es la pieza central del procedimiento de la arquitectura de cumplimiento del Reglamento de IA. Su propósito es establecer, antes del despliegue, que un sistema de IA de alto riesgo cumple los requisitos sustantivos de los artículos 8–15. El proceso difiere materialmente según si el sistema de IA está contemplado en el Anexo I o en el Anexo III.

Sistemas del Anexo III (la mayoría de la IA comercial): El procedimiento de evaluación de conformidad predeterminado es interno — el proveedor realiza la evaluación conforme a sus propios procedimientos documentados. La base legal es el artículo 43(2) y el Anexo VI. El proveedor debe: revisar la documentación técnica frente a cada requisito de los artículos 8–15; documentar la metodología y el resultado de la evaluación; redactar la Declaración de Conformidad UE en la que se enumeren los requisitos aplicables y se atestigüe el cumplimiento; y conservar tanto la documentación técnica como los registros de la evaluación de conformidad durante diez años desde la introducción en el mercado.

La excepción al procedimiento de evaluación interna por defecto se aplica a los sistemas de IA utilizados para la identificación biométrica de personas físicas. En virtud del artículo 43(1) y del Anexo VII, estos sistemas están sujetos a evaluación de conformidad por terceros por parte de un organismo notificado acreditado. Los organismos notificados a efectos del Reglamento de IA son organismos de acreditación de nivel nacional designados en virtud del Reglamento (CE) n.º 765/2008. La Comisión Europea mantiene la base de datos NANDO de organismos notificados; a principios de 2026, la infraestructura de organismos notificados a efectos del Reglamento de IA todavía se está consolidando a nivel nacional.

Sistemas del Anexo I (IA como componente de seguridad): Estos sistemas de IA están sujetos a los procedimientos de evaluación de conformidad prescritos por la legislación de seguridad de productos en virtud de la cual se certifica el producto regulado. Para un producto sanitario que incorpora un componente diagnóstico de IA, la evaluación de conformidad sigue los procedimientos del Anexo IX o el Anexo X del Reglamento de Productos Sanitarios (Reglamento (UE) 2017/745). Los requisitos del Reglamento de IA se incorporan a la evaluación de conformidad sectorial existente a través de los requisitos generales de seguridad y rendimiento.

Modificación sustancial: Cuando un proveedor modifica un sistema de IA de alto riesgo de manera que constituye una «modificación sustancial» en el sentido del artículo 83(5) — un cambio que afecta al propósito previsto o al rendimiento del sistema de maneras que podrían comprometer el cumplimiento — la evaluación de conformidad debe repetirse para el sistema modificado. Esto tiene implicaciones materiales para los sistemas de IA que se actualizan mediante aprendizaje continuo, ajuste fino o reentrenamiento: cada ciclo de actualización debe evaluarse frente al umbral de modificación sustancial.

Para los proveedores no europeos sin personal en la UE, los desafíos prácticos de gestionar evaluaciones de conformidad, mantener documentación técnica en formatos accesibles desde la UE y responder a las solicitudes de información de las autoridades nacionales han llevado a la mayoría de los asesores de cumplimiento a recomendar el nombramiento de un representante autorizado en la UE en virtud del artículo 22. Esta entidad — que debe estar establecida en la UE, estar identificada en la documentación técnica y estar registrada en la base de datos de IA de la UE — actúa como punto de contacto legal para las autoridades nacionales competentes y la Oficina de IA de la UE, y asume responsabilidad de cumplimiento residual cuando el proveedor no actúa.

Prácticas Prohibidas: Las Líneas Rojas Vigentes desde Febrero de 2025

El artículo 5 del Reglamento de IA establece una lista de prácticas de IA que están absolutamente prohibidas — no de alto riesgo con condiciones, sino prohibidas sin excepción. Estas disposiciones están en vigor desde el 2 de febrero de 2025, lo que las convierte en las obligaciones más inmediatamente relevantes para cualquier empresa con despliegues de IA activos que tengan contacto con el mercado de la UE.

Las prácticas prohibidas son:

Manipulación subliminal (artículo 5(1)(a)): Sistemas de IA que despliegan técnicas subliminales que escapan a la conciencia de una persona, o técnicas manifiestamente manipuladoras o engañosas, de maneras que distorsionan materialmente el comportamiento de forma que causa daño. Esta prohibición va más allá de las técnicas puramente subliminales para abarcar la arquitectura de persuasión impulsada por IA que es engañosa o que explota vulnerabilidades psicológicas.

Explotación de vulnerabilidades (artículo 5(1)(b)): Sistemas de IA que explotan las vulnerabilidades de grupos específicos — personas con discapacidad, niños, personas mayores — de maneras que distorsionan su comportamiento de forma que causa daño. Esta disposición es directamente relevante para los sistemas de IA desplegados en redes sociales, juegos, finanzas al consumo y salud digital que utilizan técnicas de personalización y de inducción conductual dirigidas a usuarios de estas categorías.

Puntuación social (artículo 5(1)(c)): Sistemas de IA utilizados por autoridades públicas o en su nombre para evaluar o clasificar a personas físicas durante un período de tiempo en función de su comportamiento social o de sus características personales o de personalidad conocidas, inferidas o previstas, de maneras que conducen a un trato perjudicial no relacionado con el contexto en que se generaron los datos. Esta prohibición está dirigida a los sistemas gubernamentales de puntuación social del tipo que han generado preocupación en el discurso internacional sobre derechos humanos, pero su ámbito de aplicación alcanza a los actores privados que actúan bajo delegación de la autoridad pública.

Identificación biométrica remota en tiempo real (RTRBI) en espacios públicos (artículo 5(1)(d)): Esta es la prohibición que probablemente afecte más a los despliegues de tecnología comercial. Los sistemas de IA utilizados para la identificación biométrica remota en tiempo real — principalmente el reconocimiento facial — en espacios de acceso público con fines de orden público están prohibidos, salvo tres excepciones estrictas: la búsqueda de personas desaparecidas específicas y víctimas de trata; la prevención de amenazas específicas, sustanciales e inminentes para la vida; y la identificación de autores de delitos graves. Al margen de estas excepciones para el orden público, la RTRBI en espacios públicos está prohibida. Los despliegues comerciales de reconocimiento facial en establecimientos minoristas de acceso público, centros de transporte o recintos de entretenimiento quedan plenamente dentro de esta prohibición.

Predicción policial basada únicamente en perfiles (artículo 5(1)(e)): Sistemas de IA utilizados por autoridades policiales para realizar evaluaciones de riesgo individual con el único fin de predecir la probabilidad de que una persona cometa un delito, basándose en perfiles o en la evaluación de rasgos de personalidad.

Raspado no selectivo para bases de datos de reconocimiento facial (artículo 5(1)(f)): Sistemas de IA que crean o amplían bases de datos de reconocimiento facial mediante el raspado no selectivo de imágenes de internet o de cámaras de videovigilancia. Esta disposición aborda directamente el modelo de Clearview AI de creación de bases de datos biométricas a partir de imágenes raspadas.

Reconocimiento de emociones en el lugar de trabajo y en la educación (artículo 5(1)(g)): Sistemas de IA utilizados para inferir las emociones de personas físicas en los contextos del lugar de trabajo y las instituciones educativas. Esta prohibición abarca las herramientas de supervisión del compromiso basadas en IA que infieren estados emocionales a partir de expresiones faciales, patrones de voz o señales fisiológicas en entornos laborales o educativos.

Categorización biométrica por atributos sensibles (artículo 5(1)(h)): Sistemas de IA que categorizan individualmente a personas físicas basándose en datos biométricos para inferir o deducir raza, opiniones políticas, pertenencia a sindicatos, creencias religiosas o filosóficas, vida sexual u orientación sexual. Esta prohibición se aplica a los sistemas de IA que utilizan el análisis facial u otras señales biométricas para inferir estos atributos, incluidos los sistemas de IA que emplean estas inferencias como señales de marketing.

Cualquier sistema de IA que esté dentro de alguna de estas prohibiciones debe retirarse inmediatamente del mercado de la UE y del servicio orientado a la UE, con independencia de cuándo se desarrolló o de los términos en que se suministró a los clientes de la UE. Las revisiones de cumplimiento que identifiquen una práctica prohibida deben dar lugar a la suspensión operativa inmediata, no a un calendario de corrección.

Aplicación de la Oficina de IA de la UE: La Arquitectura Institucional

La Oficina de IA de la UE — establecida en el seno de la Comisión Europea por la Decisión de la Comisión (UE) 2024/1143 — es la autoridad central de aplicación para las obligaciones de los modelos GPAI y la coordinadora del ecosistema más amplio de aplicación del Reglamento de IA. Su función en relación con los sistemas de IA de alto riesgo es principalmente supervisora sobre las autoridades nacionales en lugar de directamente orientada a la aplicación, pero para los proveedores de modelos GPAI, la Oficina de IA es el regulador principal.

Autoridades de vigilancia del mercado (AVM): Para los sistemas de IA de alto riesgo, la aplicación primaria corresponde a las autoridades nacionales de vigilancia del mercado designadas por cada Estado miembro en virtud del artículo 74. Los Estados miembros disponían hasta el 2 de agosto de 2025 para designar sus AVM. La mayoría de las grandes economías de la UE han designado a los reguladores existentes: en Alemania, la Bundesnetzagentur y las autoridades sectoriales específicas; en Francia, la CNIL y la Autorité de la concurrence comparten las funciones de AVM con la recién designada estructura DNUM (Direction du numérique); en Irlanda, la función de AVM irlandesa se divide entre ComReg y la designación específica para IA en virtud del DCCAE; en España, AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) se estableció específicamente para la aplicación del Reglamento de IA y lleva operativa desde finales de 2024.

Poderes de investigación (artículo 74 y siguientes): Las AVM nacionales tienen amplios poderes de investigación: acceso a sistemas de IA, datos de entrenamiento, documentación y código fuente (sujeto a salvaguardias de confidencialidad); la facultad de exigir pruebas de sistemas de IA e inspección de los conjuntos de datos subyacentes; la facultad de imponer medidas correctoras; y la facultad de imponer multas administrativas.

Sanciones (artículo 99): La estructura de sanciones del Reglamento de IA es escalonada:

Infracción de las prohibiciones del artículo 5: hasta 35 millones de euros o el 7% de la facturación anual global, la cifra más alta.
Infracción de las obligaciones aplicables a proveedores, importadores, distribuidores y responsables del despliegue de sistemas de IA de alto riesgo en virtud de los artículos 8–15, 25–27, y los requisitos de registro y documentación: hasta 15 millones de euros o el 3% de la facturación anual global, la cifra más alta.
Suministro de información incorrecta, incompleta o engañosa a organismos notificados o autoridades competentes: hasta 7,5 millones de euros o el 1% de la facturación anual global, la cifra más alta.

Para las pymes y las startups, las multas están limitadas al mínimo del techo absoluto o porcentual. Para las grandes empresas tecnológicas multinacionales, el techo porcentual será el que generalmente rija — y el 7% de la facturación anual global es una sanción mayor que la mayor multa del GDPR en la historia para cualquier empresa con una facturación anual superior a aproximadamente 17.000 millones de euros.

La Oficina de IA tiene jurisdicción adicional de aplicación sobre los proveedores de modelos GPAI en virtud de los artículos 88–94, incluida la facultad de llevar a cabo evaluaciones de modelos, emitir medidas correctoras vinculantes e imponer multas de hasta 15 millones de euros o el 3% de la facturación anual global por incumplimiento de las obligaciones de GPAI.

Conclusiones Prácticas para Asesores Jurídicos Corporativos

1. Realice un inventario inmediato de sistemas de IA frente a las prohibiciones del artículo 5, no solo frente a la clasificación de alto riesgo.

Las prácticas prohibidas son exigibles desde el 2 de febrero de 2025. Todo sistema de IA de su cartera que tenga contacto con usuarios de la UE debe revisarse frente a cada una de las ocho prohibiciones del artículo 5 antes de continuar operando. Se debe prestar especial atención a: las herramientas de reconocimiento de emociones utilizadas en RRHH o en contextos orientados al cliente; los sistemas de reconocimiento facial o categorización biométrica utilizados en establecimientos minoristas de la UE de acceso público, centros de transporte o recintos de entretenimiento; y los sistemas de IA que utilizan técnicas de diseño persuasivo dirigidas a grupos vulnerables. Forme un equipo multifuncional (jurídico, tecnológico, de producto) para llevar a cabo la evaluación — el análisis jurídico depende de comprender lo que el sistema de IA hace realmente a nivel técnico, no lo que dice la descripción del producto.

2. Mapee su cadena de suministro de IA para determinar si es proveedor, responsable del despliegue o ambos en cada contexto orientado a la UE.

El conjunto de obligaciones regulatorias difiere materialmente entre proveedores y responsables del despliegue, y cambia cuando se aplican los criterios de reclasificación del artículo 25(1). Para cada sistema de IA que desarrolle, suministre o utilice en operaciones orientadas a la UE, documente: quién lo entrenó y es propietario de la documentación técnica; quién lo introduce en el mercado de la UE o lo pone en servicio; si el ajuste fino, la integración o la venta con marca propia por parte de cualquier parte de la cadena ha constituido una modificación sustancial; y quién asume las obligaciones en cada nivel. Este ejercicio de mapeo debe actualizarse cada vez que el sistema se actualice o cambie el modelo de distribución.

3. Designe un representante autorizado en la UE si es un proveedor no europeo de sistemas de IA de alto riesgo.

El artículo 22 exige que los proveedores no europeos de sistemas de IA de alto riesgo designen un representante autorizado en la UE antes de introducir sus sistemas en el mercado de la UE. El representante autorizado debe estar establecido en la UE, estar mandatado por escrito y estar registrado en la base de datos de IA de la UE junto con el sistema. El representante es solidariamente responsable del cumplimiento del Reglamento de IA junto con el proveedor. La selección del representante adecuado — con la capacidad operativa de responder a las consultas de las autoridades nacionales en plazos breves y la experiencia jurídica para gestionar la documentación de conformidad — debe abordarse con el mismo rigor que la contratación de un representante de GDPR de la UE.

4. Integre la intersección de cumplimiento del GDPR y el Reglamento de IA en un único marco integrado de gobernanza.

Los sistemas de IA de alto riesgo que tratan datos personales están sujetos simultáneamente al Reglamento de IA y al GDPR, con obligaciones superpuestas pero no idénticas. La EIPD exigida por el artículo 35 del GDPR para el tratamiento automatizado que probablemente suponga un alto riesgo debe coordinarse con el sistema de gestión de riesgos del Reglamento de IA en virtud del artículo 9, la documentación técnica en virtud del artículo 11 y — para los responsables del despliegue — la evaluación del impacto sobre los derechos fundamentales en virtud del artículo 27 del Reglamento de IA. Llevar a cabo estos ejercicios por separado crea duplicaciones e inconsistencias. Los equipos jurídicos deben diseñar un protocolo unificado de gobernanza de IA que aborde ambos marcos, con una asignación clara de responsabilidades para cada obligación y un mapeo compartido de flujos de datos que sirva tanto para la EIPD como para los requisitos de documentación del Reglamento de IA.

5. Prepárese para la ola de aplicación del Anexo III del 2 de agosto de 2026 con un calendario específico y una estructura de responsabilidades.

Las obligaciones de IA de alto riesgo para los casos de uso del Anexo III entraron en vigor el 2 de agosto de 2026. Para las organizaciones que aún no han completado las evaluaciones de conformidad, compilado la documentación técnica, registrado los sistemas en la base de datos de IA de la UE e implementado el sistema de gestión de la calidad exigido por el artículo 17, la urgencia es inmediata. Asigne un propietario del proyecto con nombre para el cumplimiento del Reglamento de IA dentro de la función jurídica o de cumplimiento, establezca un calendario con plazos firmes para cada entregable, y presupueste adecuadamente para la revisión de documentación técnica por terceros y, cuando sea necesario, para la evaluación del organismo notificado. El coste de un programa de evaluación de conformidad compliant es sustancialmente inferior al coste de una investigación regulatoria — y las AVM de IA de toda la UE han anunciado intenciones de aplicación activa para la ola del Anexo III.

Conclusión

El Reglamento de IA impone una arquitectura de cumplimiento integral a cualquier organización — dondequiera que esté constituida — que participe en el desarrollo, el suministro o el despliegue de sistemas de IA cuyos resultados lleguen al mercado de la UE. Para las empresas no europeas, las disposiciones extraterritoriales del artículo 2 eliminan la opción de la distancia regulatoria. Las prácticas prohibidas del artículo 5 ya están en vigor, las obligaciones de GPAI de los artículos 51–56 han sido operativas desde agosto de 2025, y las obligaciones completas de los sistemas de IA de alto riesgo en virtud del Anexo III son ahora exigibles.

La vía de cumplimiento es técnicamente exigente pero estructuralmente clara: clasificar cada sistema de IA frente a los niveles de riesgo, determinar la función de proveedor/responsable del despliegue dentro de cada cadena de distribución, completar las evaluaciones de conformidad requeridas antes del despliegue, mantener la documentación técnica a lo largo del ciclo de vida del sistema e implementar las estructuras de gobernanza — gestión de riesgos, gestión de la calidad, supervisión post-comercialización — que demuestren un cumplimiento continuo en lugar de una certificación puntual.

La Oficina de IA de la UE y las autoridades nacionales de vigilancia del mercado cuentan con las herramientas de investigación, la base legal y el compromiso institucional declarado para aplicar estas obligaciones frente a entidades no europeas. La estructura de multas — calibrada como porcentaje de la facturación anual global — garantiza que el tamaño no confiera inmunidad regulatoria. Para el director jurídico o el responsable de cumplimiento que asesora a consejos de administración internacionales, el Reglamento de IA no es un proyecto de futuro. Es la obligación de cumplimiento de hoy.

Aviso legal: Este artículo se facilita únicamente con fines informativos y educativos. No constituye asesoramiento jurídico y no crea ninguna relación abogado-cliente. El análisis refleja el texto del Reglamento (UE) 2024/1689, las medidas de implementación y la orientación disponible públicamente a la fecha de publicación. La aplicación del Reglamento de IA a hechos y sistemas específicos requiere asesoramiento jurídico cualificado con experiencia en regulación de IA en la UE. Los lectores no deben actuar en base a este artículo sin obtener asesoramiento profesional independiente adaptado a sus circunstancias específicas.

¿Necesita asesoramiento especializado en cumplimiento del Reglamento de IA para su empresa? Contacte con nuestro equipo.