El vertiginoso avance de la IA sitúa al legislador ante un dilema sin precedentes: cómo establecer normas que no sean un obstáculo para la innovación y la competitividad.
Pocas materias generan tanto debate jurídico como la inteligencia artificial. En apenas una década, hemos pasado de estar expectantes ante sus posibilidades a enfrentarnos al reto de regularla. Y el legislador se enfrenta al desafía de regular una realidad que cambia con una rapidez sin precedente.
La Unión Europea aprobó el Reglamento de Inteligencia Artificial —Reglamento (UE) 2024/1689, conocido como AI Act—, publicado en el Diario Oficial el 13 de junio de 2024 y en vigor desde el 1 de agosto de ese mismo año. Su objetivo es garantizar que los sistemas de IA sean seguros, transparentes y respetuosos de los derechos fundamentales. Se trata de una declaración de intenciones loable, pero que no está exenta de problemas jurídicos.
El AI Act es un marco necesario, pero ¿suficientemente ágil?
El Reglamento clasifica los sistemas de IA en función del riesgo que presentan. El artículo 5 enumera las prácticas de IA de riesgo inaceptable, directamente prohibidas desde el 2 de febrero de 2025: entre ellas, los sistemas de puntuación social ciudadana, la identificación biométrica remota en tiempo real en espacios públicos con carácter general, o la manipulación subliminal de comportamientos. En el otro extremo, la mayoría de las aplicaciones cotidianas —filtros de correo, recomendadores de contenido, etc.— quedan en la categoría de riesgo mínimo, sin obligaciones adicionales.
El espacio más denso normativamente es el de los sistemas de alto riesgo, regulados en los artículos 6 a 49 —nada menos que 43 de los 113 artículos del Reglamento—. El artículo 6 establece los criterios de clasificación, que remiten al Anexo III: biometría, infraestructuras críticas, educación, empleo, servicios esenciales, justicia, aplicación de la ley y migración. Para estos sistemas, los artículos 8 a 15 imponen un catálogo exigente de requisitos técnicos y jurídicos.
| Principales obligaciones para sistemas de alto riesgo (Arts. 8–15 y 16–27) | |
| Art. 9 | Sistema continuo de gestión de riesgos durante todo el ciclo de vida del sistema. |
| Art. 10 | Gobernanza de datos: los conjuntos de entrenamiento, validación y prueba deben ser representativos y libres de errores en lo posible. |
| Art. 11 + Anexo IV | Documentación técnica completa con lógica de decisión, datos utilizados y limitaciones conocidas. |
| Art. 14 | Supervisión humana obligatoria y proporcional al riesgo; no caben decisiones totalmente autónomas en ámbitos críticos. |
| Art. 16 | Obligaciones del proveedor: evaluación de conformidad y obtención del marcado CE. |
| Arts. 26–27 | Obligaciones del implantador: conservación de registros, notificación de incidentes y evaluación de impacto sobre derechos fundamentales. |
| Arts. 72–73 | Vigilancia postcomercialización y notificación de incidentes graves a las autoridades competentes. |
La lógica jurídica interna de las normas puede parecer impecable, pero sólo sobre el papel. El problema surge en la práctica. Las empresas, especialmente las pymes, se enfrentan a un laberinto de cumplimiento cuyos costes pueden resultar disuasorios. A esto se suma una acumulación normativa preocupante: el AI Act convive con el RGPD, la Directiva sobre responsabilidad por IA, el Reglamento de Datos y la Ley de Resiliencia Cibernética. El artículo 26 del AI Act, por ejemplo, obliga al implantador a realizar una evaluación de impacto sobre derechos fundamentales que en muchos casos se superpone a la evaluación de impacto de protección de datos ya exigida por el RGPD, generando duplicidades que el propio Reglamento solo resuelve parcialmente.
Consciente de ello, la Comisión Europea ha anunciado un paquete de simplificación digital que propone reducir el calendario de aplicación de las obligaciones de alto riesgo y eliminar solapamientos regulatorios, aunque su tramitación aún está en curso.
Hace unos días, el CEO de Siemens, Cedrik Neike, afirmó que “si no podemos utilizar los datos en Europa, acabaremos entrenando modelos en Estados Unidos o en China”.
Soberanía digital: el dato como activo estratégico
Estrechamente ligada al debate regulatorio se encuentra la cuestión de la soberanía digital. El AI Act aborda la gobernanza de datos para sistemas de alto riesgo en su artículo 10, pero no resuelve por sí solo la tensión entre protección y aprovechamiento de los datos industriales. El artículo 59 contempla la posibilidad de que los espacios aislados de regulación —los llamados sandboxes, previstos en el artículo 57— permitan el tratamiento de datos personales con fines de desarrollo en interés público, aunque su implementación práctica sigue siendo incipiente.
Europa dispone del RGPD como un activo diferencial, y la cultura normativa en torno a la protección de datos que poco a poco se va implementando. Sin embargo, paradójicamente, esta fortaleza puede volverse debilidad si no se articula de forma inteligente. Cuando las restricciones al uso de datos industriales obligan a las empresas a procesarlos fuera del territorio europeo, la soberanía digital se vacía de contenido real. La coordinación entre el AI Act, el Reglamento de Datos (Data Act) y el RGPD no es todavía la que el ecosistema empresarial necesita.
La irrupción de los agentes de IA: una figura sin marco normativo claro
Si el debate en torno al AI Act ya plantea serios interrogantes, la aparición de los llamados agentes de IA introduce una complejidad adicional que la regulación vigente apenas puede controlar. A diferencia de los sistemas tradicionales, los agentes autónomos son capaces de tomar decisiones encadenadas y operar en entornos físicos y digitales con independencia cada día mayor.
Esto genera dudas jurídicas sobre la responsabilidad cuando un agente de IA causa un daño. El AI Act exige supervisión humana en los sistemas de alto riesgo —artículo 14—, pero esta exigencia pierde nitidez cuando el agente opera de forma autónoma y sus decisiones son difícilmente predecibles o auditables en tiempo real. El artículo 50, aplicable desde el 2 de agosto de 2026, obliga a informar al usuario cuando interactúa con un sistema de IA, pero los agentes que actúan en segundo plano quedan en una zona gris.
| Calendario de aplicación del Reglamento (UE) 2024/1689 | |
| 1 agosto 2024 | Entrada en vigor del Reglamento. |
| 2 febrero 2025 | Prohibiciones del art. 5 y obligaciones de alfabetización en IA (art. 4). |
| 2 agosto 2025 | Normas de gobernanza y obligaciones para modelos de IA de propósito general (arts. 51–55). |
| 2 agosto 2026 | Aplicación plena: sistemas de alto riesgo del Anexo III y transparencia (art. 50). Multas: hasta 15 M€ o el 3% de la facturación mundial. |
| 2 agosto2027 | Plazo extendido para sistemas de alto riesgo integrados en productos regulados (Anexo I). |
En el entorno empresarial, el trabajo se organiza en torno a equipos formados por personas y agentes de IA que gestionan procesos, supervisan infraestructuras o adoptan decisiones estratégicas. Esta realidad exige reformular conceptos tan asentados como la responsabilidad corporativa, el deber de diligencia o la auditoría interna.
Hacia una regulación inteligente
El reto no consiste en elegir entre regular o no regular la inteligencia artificial. Esa disyuntiva es falsa. La IA ya opera en sectores críticos y toma decisiones que afectan a derechos e intereses legítimos. La ausencia de regulación no es neutralidad; es impunidad.
Pero regular bien exige más que buenas intenciones. El propio AI Act incorpora mecanismos de mejora continua: el artículo 97 permite a la Comisión actualizar mediante actos delegados los Anexos I y III para añadir nuevas categorías de alto riesgo conforme evolucione la tecnología. Es un paso en la dirección correcta, aunque insuficiente si no va acompañado de una reducción del coste de cumplimiento para las empresas pequeñas y medianas —para quienes el artículo 62 prevé medidas de apoyo, como acceso prioritario a los sandboxes y guías específicas, aún pendientes de desarrollo efectivo.
Europa tiene la oportunidad de liderar un modelo regulatorio de la IA que sea, al mismo tiempo, garantista para los ciudadanos y competitivo para las empresas. Aprovecharla requiere abandonar la tentación del maximalismo normativo y apostar por una regulación que proteja sin paralizar, que exija sin asfixiar, y que confíe en la capacidad de sus instituciones —y de sus juristas— para adaptarse a un mundo que cambia más deprisa que sus leyes.
