José Morato

La nueva regulación europea de IA: cómo afectará realmente a las empresas

Ver autor

El debate sobre la nueva regulación europea de inteligencia artificial se está planteando en términos equivocados. No se trata de si Europa está regulando demasiado o demasiado pronto, sino de si las empresas están preparadas para competir en un entorno donde el cumplimiento normativo es una ventaja estratégica.

El Reglamento (UE) 2024/1689, conocido como AI Act, no es solo una norma técnica. Es el primer marco integral del mundo que regula el uso de la inteligencia artificial según su riesgo. Y pienso que representa el paso más ambicioso de la Unión Europea para equilibrar innovación y protección de derechos.

Un enfoque basado en el riesgo

El AI Act parte de una idea clave: no toda IA supone el mismo nivel de riesgo.
El reglamento clasifica los sistemas en cuatro categorías que determinan sus obligaciones:

  • Riesgo inaceptable: prácticas prohibidas como manipulación cognitiva, puntuación social o reconocimiento emocional en entornos laborales o educativos.
  • Alto riesgo: sistemas que afectan decisiones significativas, como contratación de personas, crédito, justicia, educación o salud.
  • Riesgo limitado: IA con obligaciones de transparencia, como chatbots o generadores de texto.
  • Riesgo mínimo: herramientas sin impacto relevante, como filtros de spam o analítica interna.

Además, creo que este enfoque de proporcionalidad es un acierto: evita sobre-regular innovaciones inocuas y concentra las exigencias en los sistemas que realmente pueden alterar derechos fundamentales.

Provider o Deployer: la pregunta que toda empresa debe hacerse

La distinción entre Provider y Deployer es el verdadero eje del Reglamento, y muchas empresas aún no la han comprendido.

  • Un Provider (proveedor) desarrolla o comercializa un sistema de IA bajo su nombre o marca.
  • Un Deployer (usuario o implementador) utiliza un sistema de IA desarrollado por un tercero en sus servicios o procesos.

La diferencia no es técnica, es jurídica.

El Provider debe garantizar la seguridad, trazabilidad y cumplimiento técnico del sistema (evaluaciones, documentación de marcado CE, gestión de riesgos,etc.).

El Deployer debe garantizar un uso conforme a la ley: supervisión humana, registros de decisiones y formación de los equipos.

En la práctica, muchas empresas serán ambas cosas a la vez, especialmente aquellas que desarrollan sus propios modelos y los integran en productos o plataformas.

Fechas clave del calendario del AI Act

Aunque el AI Act entró en vigor en agosto de 2024, su aplicación será progresiva:

  • Febrero de 2025 → prohibiciones absolutas (riesgo inaceptable).
  • Agosto de 2025 → requisitos de transparencia para IA generativas y de propósito general.
  • Agosto de 2026 → plena aplicación.

En mi opinión, el error sería esperar. Las empresas tienen menos de dos años para adaptarse, y el trabajo no se limita a un checklist legal: exige rediseñar procesos, políticas y documentación técnica.

Qué deben hacer las empresas desde hoy

He visto a muchas compañías asumir que esta norma “solo afecta a los grandes”. En mi experiencia, es justo lo contrario. Las empresas del middle market así como pymes y Startups que desarrollan, entrenan o integran IA en su negocio serán las primeras bajo el radar del cumplimiento.

Bajo mi criterio, estos son los pasos urgentes:

  1. Diagnóstico de rol y riesgo
    Determinar si eres Provider, Deployer o ambos. Clasificar tus sistemas según su nivel de riesgo.
  2. Gobernanza y documentación
    • Preparar documentación técnica, planes de evaluación y procedimientos de gestión de riesgos.
    • Definir protocolos de supervisión humana, trazabilidad y registro de decisiones automatizadas.
  1. Evaluaciones de impacto (FRIA)
    El artículo 27 del AI Act exige Evaluaciones de Impacto sobre Derechos Fundamentales (FRIA) para sistemas de alto riesgo. Este será el auténtico barómetro de cumplimiento.
  2. Revisión de contratos y responsabilidades
    Cada relación con proveedores o integradores tecnológicos debe reflejar claramente quién asume qué obligación. Las zonas grises serán las más peligrosas.
  3. Formación y cultura interna
    No se trata solo de cumplir, sino de comprender. Los equipos jurídicos, técnicos y de producto deben hablar el mismo idioma regulatorio.
Riesgo sí, pero también oportunidad

El AI Act no frena la innovación europea, la profesionaliza. Las empresas que integren el cumplimiento como parte de su modelo, no como un trámite, convertirán la regulación en un activo competitivo: atraerán inversión, ganarán confianza y se posicionarán mejor ante clientes y socios.

En mi opinión, la transparencia, la trazabilidad y la supervisión humana dejarán de ser cargas para convertirse en sellos de fiabilidad en la sociedad de los próximos años.

Más opiniones
Álvaro Rojas
Siempre activo, pero nunca presente: cómo rompí el bucle
Laia Jiménez
Se duerme mejor con un poco de presión
Albert Xavier Pérez
Cofounders: la relación más determinante de tu empresa
Iván García Berjano
FEPYME: ahora el momento de solicitar un préstamo de Enisa lo eliges tú
Ver todas