EU AI Act en vigor: Reglamento (UE) 2024/1689 y el calendario operativo

El 12 de julio de 2024 se publica en el DOUE el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024 — el AI Act. El texto entra en vigor a los veinte días de su publicación: 1 de agosto de 2024. La aplicación, sin embargo, es escalonada por artículos. Lo que importa para un CISO/DPO es el calendario por bloques, no la fecha de “en vigor”.

En diciembre cubrimos el acuerdo político del 9 de diciembre de 2023 — fase trilogue, sin texto oficial. Este post es la continuación: texto definitivo, fechas exactas, sujetos exactos, multas confirmadas.

Lectura: análisis del texto publicado en DOUE (versión consolidada). Las fechas son las del Art. 113. Para cualquier decisión vinculante, leer directamente el Reglamento.

Las cuatro fechas que hay que poner en el calendario

El Art. 113 del Reglamento fija una aplicación escalonada. Cuatro hitos:

Tres notas importantes sobre la tabla:

1. Entrada en vigor ≠ aplicabilidad. Un sistema que hoy hace social scoring no es ilegal el 2 de agosto de 2024, sí lo es el 2 de febrero de 2025. El plazo se cuenta desde la publicación en DOUE, no desde la entrada en vigor.
2. Los modelos GPAI ya colocados en el mercado antes del 2 de agosto de 2025 tienen período de transición hasta el 2 de agosto de 2027 para adaptarse (Art. 111). El plazo es más estricto para nuevos modelos.
3. Para sistemas de alto riesgo ya en uso antes del 2 de agosto de 2026, solo se exige cumplimiento si sufren un cambio significativo en su diseño después de esa fecha (Art. 111.2) — con la excepción de los usados por autoridades públicas, que sí caen bajo régimen completo.

La clasificación: por dónde empieza el inventario

El AI Act sigue clasificando los sistemas en cuatro categorías, igual que el acuerdo político de diciembre. El texto definitivo afina límites pero la estructura es la misma.

Riesgo inaceptable (Art. 5) — prohibido

Sistemas que el Reglamento prohíbe directamente. La lista del texto final:

• Técnicas subliminales o manipuladoras que causen daño material o psicológico.
• Explotación de vulnerabilidades por edad, discapacidad o situación socioeconómica.
• Social scoring por entes públicos o privados que conduzca a trato desfavorable desproporcionado.
• Evaluación o predicción del riesgo individual de cometer un delito basada únicamente en perfilado o rasgos de personalidad.
• Scraping no dirigido de imágenes faciales de internet o CCTV para construir bases de datos de reconocimiento facial.
• Inferencia de emociones en el puesto de trabajo y en centros educativos (con excepción médica o de seguridad).
• Categorización biométrica basada en datos sensibles (etnia, opinión política, orientación sexual, religión).
• Identificación biométrica remota en tiempo real en espacios públicos con fines policiales (con excepciones tasadas: búsqueda de víctimas, prevención de ataque terrorista inminente, persecución de delitos graves del Anexo II, con autorización judicial previa salvo urgencia).

Aplicabilidad: 2 de febrero de 2025. Para un equipo legal, esa es la primera fecha real.

Alto riesgo (Art. 6 + Anexo III) — obligaciones extensas

El Anexo III lista los casos de uso considerados de alto riesgo. El listado definitivo:

1. Identificación y categorización biométrica (no prohibida bajo Art. 5).
2. Gestión y operación de infraestructuras críticas (transporte, agua, gas, electricidad, sanidad).
3. Educación y formación profesional (admisión, evaluación, asignación, detección de prácticas prohibidas en exámenes).
4. Empleo y gestión de trabajadores (cribado de CV, asignación de tareas, evaluación de rendimiento, decisiones de despido).
5. Acceso a servicios esenciales públicos y privados (crédito, seguros, asistencia social, evaluación de elegibilidad para servicios públicos, triage médico de emergencias, scoring de prima de seguros de vida y salud).
6. Aplicación de la ley (evaluación de fiabilidad de pruebas, perfilado, evaluación del riesgo de reincidencia, detección de deepfakes con fines penales).
7. Migración, asilo y control de fronteras (detección de migración irregular, riesgo en visados, asistencia a autoridades en exámenes).
8. Administración de justicia y procesos democráticos (asistencia a autoridades judiciales, sistemas que pretenden influir en resultados electorales).

Las obligaciones de Anexo III (Capítulo III, Sección 2) para el provider:

• Sistema de gestión de riesgos documentado a lo largo del ciclo de vida (Art. 9).
• Calidad, gobierno y mitigación de sesgos en datos de entrenamiento, validación y pruebas (Art. 10).
• Documentación técnica detallada (Art. 11), conservación de logs automáticos (Art. 12).
• Información transparente al deployer (Art. 13).
• Diseño que permita supervisión humana efectiva (Art. 14).
• Niveles adecuados de precisión, robustez y ciberseguridad (Art. 15).
• Evaluación de conformidad previa a la puesta en mercado (Art. 43), marcado CE, declaración UE de conformidad.
• Registro en la base de datos UE de sistemas de alto riesgo (Art. 49).

Aplicabilidad general: 2 de agosto de 2026.

Riesgo limitado (Art. 50) — transparencia

Obligación de informar al usuario:

• Chatbots: el usuario debe saber que interactúa con una IA, salvo que sea obvio.
• Sistemas de generación de imagen, audio o vídeo: contenido marcado como generado o manipulado por IA en formato legible por máquina (estándares tipo C2PA).
• Deepfakes: etiquetado obligatorio salvo excepciones de obra artística o seguridad pública con autorización.
• Categorización biométrica y reconocimiento de emociones (cuando no caen en Art. 5): informar al sujeto.

Aplicabilidad: 2 de agosto de 2026, salvo para autoridades de aplicación de la ley en ciertos casos.

Riesgo mínimo — sin obligaciones específicas

Filtros de spam, recomendadores estándar, IA en videojuegos. El Reglamento promueve códigos de conducta voluntarios pero no impone obligaciones.

GPAI: el régimen específico para modelos de propósito general

El capítulo V (Art. 51–56) regula los general-purpose AI models — los foundation models en la práctica.

GPAI estándar

Todo modelo GPAI, riesgo sistémico o no, debe:

• Mantener documentación técnica a disposición de la AI Office y de las autoridades nacionales (Art. 53.1.a, Anexo XI).
• Proporcionar información a proveedores downstream que integran el modelo (Art. 53.1.b, Anexo XII).
• Publicar un resumen del contenido del dataset de entrenamiento (Art. 53.1.d), bajo formato armonizado que publique la AI Office.
• Tener política de cumplimiento del copyright UE documentada (Art. 53.1.c) — Directiva 2019/790, opt-outs de Art. 4 del DSM Directive incluidos.

GPAI con riesgo sistémico

Criterio del Art. 51.2: modelos entrenados con >10^25 FLOPs acumulados, o designados como sistémicos por la Comisión vía Art. 51.1.b (basado en capacidades técnicas, número de usuarios registrados, número de business users, recursos computacionales, modalidad, etc.).

Para referencia: GPT-4 se estima en ~2·10^25 FLOPs, Llama-3.1-405B sobre 4·10^25, Gemini Ultra en torno a 5·10^25. La estimación pública de FLOPs no es ni transparente ni estable; la AI Office puede ajustar el umbral.

Obligaciones adicionales (Art. 55):

• Evaluaciones del modelo con metodología estandarizada, incluyendo adversarial testing.
• Análisis y mitigación de riesgos sistémicos a nivel UE, documentado.
• Reporte de incidentes serios a la AI Office y a las autoridades nacionales.
• Ciberseguridad adecuada del modelo y de los pesos físicos.

Aplicabilidad GPAI: 2 de agosto de 2025.

Sujetos: provider, deployer, importer, distributor

El Reglamento distingue cuatro roles. Las obligaciones varían:

• Provider (Art. 16): quien desarrolla el sistema o lo hace desarrollar, y lo coloca en el mercado bajo su marca. La mayor parte del peso normativo recae aquí — declaración de conformidad, documentación, registro, vigilancia post-mercado.
• Deployer (Art. 26): quien usa el sistema bajo su autoridad (salvo uso personal no profesional). Obligaciones: uso conforme a las instrucciones, supervisión humana, gestión de input data, retención de logs cuando sea de alto riesgo, evaluación de impacto en derechos fundamentales para entidades públicas y para ciertos casos del Anexo III (FRIA, Art. 27).
• Importer (Art. 23): quien introduce en la UE un sistema de un proveedor establecido fuera. Verifica que el provider ha hecho la evaluación de conformidad y que la documentación está disponible.
• Distributor (Art. 24): quien comercializa sin modificar. Verifica marcado CE, documentación, e informa de no conformidades.

Cambio de rol: si un deployer modifica sustancialmente un sistema, le pone su marca, o lo destina a un fin no previsto que cambia su clasificación (de limited a high-risk, por ejemplo), pasa a ser provider con todas las obligaciones (Art. 25). Esto es relevante para fine-tunes operativos de modelos GPAI.

Sanciones (Art. 99)

Tres tramos:

• Incumplimiento de prohibiciones del Art. 5: hasta 35 millones de euros o el 7 % del volumen de negocios anual mundial total, lo que sea superior.
• Otras obligaciones (sistemas de alto riesgo, transparencia, GPAI, etc.): hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial.
• Suministro de información incorrecta o engañosa a organismos notificados o autoridades competentes: hasta 7,5 millones de euros o el 1 % del volumen de negocios anual mundial.

Para PYMEs y startups: se aplica el importe o porcentaje menor de los dos, no el mayor (Art. 99.6). Es la única atenuación material en el régimen sancionador.

Niveles más altos que GDPR. La intención política es disuasoria.

Flowchart de clasificación (para un primer triaje)

Para cada sistema de IA del inventario, en este orden:

1. ¿Cae en la lista de prácticas prohibidas del Art. 5? → STOP. Retirar antes del 2 de febrero de 2025.
2. ¿Está listado en el Anexo III? → es alto riesgo, salvo que el provider documente que el sistema no afecta materialmente al resultado de la toma de decisiones (Art. 6.3 — excepción documentada con evaluación).
3. ¿Es un componente de seguridad de un producto regulado por la legislación del Anexo I (juguetes, dispositivos médicos, vehículos, ascensores, equipos a presión, etc.)? → alto riesgo bajo Anexo I. Aplicabilidad 2 de agosto de 2027.
4. ¿Es un chatbot, generador de contenido, deepfake, sistema de reconocimiento de emociones o categorización biométrica? → riesgo limitado, obligaciones de transparencia Art. 50.
5. ¿Es un modelo de propósito general entrenado con >10^25 FLOPs o designado por la Comisión? → GPAI con riesgo sistémico (independientemente del caso de uso downstream). Régimen del Art. 55.
6. ¿Es un modelo de propósito general por debajo del umbral? → GPAI estándar, obligaciones del Art. 53.
7. Ninguna de las anteriores → riesgo mínimo. Sin obligaciones específicas, códigos de conducta voluntarios.

El paso 1 es donde más equipos van a tener trabajo en los próximos seis meses. El paso 5/6 es donde lo van a tener los entrenadores de foundation models.

Qué empezar a hacer ya

Sin alarmismo. El trabajo operativo para un CISO/DPO durante el segundo semestre de 2024:

1. Inventario IA. Listado de todos los sistemas de IA en uso, desarrollados internamente o adquiridos. Para cada uno: proveedor, caso de uso, datos que procesa, decisión que apoya, área del negocio que lo usa. Si la respuesta a “qué IA usamos” hoy es “no sabemos”, la fase 1 es entre agosto y diciembre.
2. Triaje contra Art. 5. Pasar el inventario por la lista de prácticas prohibidas. Cualquier sistema que caiga ahí: retirar o reescribir antes de 2 de febrero de 2025. Los casos típicos: scoring de empleados con clasificación por rasgos personales, reconocimiento de emociones en call centers, identificación biométrica remota en lugares de trabajo abierto al público.
3. Clasificación Anexo III. Para los sistemas que sobrevivan al paso 2, contraste contra los 8 puntos del Anexo III. Documentar la decisión, especialmente cuando se aplique la exención del Art. 6.3 (“no afecta materialmente al resultado”).
4. Documentación técnica preliminar. Aunque la obligación formal de Anexo III aplique en agosto de 2026, el set de documentos (gestión de riesgos, calidad de datos, logs, supervisión humana, evaluación de conformidad) es trabajo de años. Empezar ahora con los sistemas claramente high-risk.
5. Role check. Para cada sistema, identificar role: provider, deployer, importer, distributor. Si la organización entrena modelos propios (incluso fine-tunes sustantivos sobre Llama, Mistral o similares), evaluar si cae en GPAI y, si supera el umbral o se designa, en GPAI sistémico.
6. Coordinación con AESIA. La Agencia Española de Supervisión de la Inteligencia Artificial inicia operaciones el 19 de junio de 2024 en La Coruña. Mapear contacto, suscribirse a comunicaciones, anticipar la primera ola de guidelines no vinculantes.
7. FRIA donde toque. Evaluación de impacto en derechos fundamentales (Art. 27): para entidades públicas que usen sistemas Anexo III y para ciertos deployers de Anexo III puntos 5.b (servicios esenciales privados) y 5.c (crédito). Plantilla previsible en 2025–2026.

Coordinación con el resto del compliance stack

El AI Act no vive solo. La coordinación con normas existentes:

• GDPR (Reglamento 2016/679): aplica a cualquier sistema que procese datos personales. Para Art. 5.f (scraping facial) y categorización biométrica, GDPR es el cuerpo principal. AI Act añade prohibición; GDPR ya regulaba como categoría especial.
• DSA (Reglamento 2022/2065): plataformas digitales y VLOPs. Sistemas de recomendación entran en DSA y, si superan umbral o caen en Anexo III, también en AI Act.
• NIS2 (Directiva 2022/2555): ciberseguridad para entidades esenciales e importantes. Adecuada ciberseguridad del Art. 15 del AI Act se coordina con NIS2. España todavía no ha transpuesto NIS2; deadline pasado 17 de octubre de 2024.
• DORA (Reglamento 2022/2554): resiliencia operativa digital del sector financiero. Aplicación desde 17 de enero de 2025. Para entidades financieras que usen IA en credit scoring o gestión de riesgos, ambos aplican.
• Cybersecurity Act (Reglamento 2019/881): certificación de ciberseguridad. ENISA. Para sistemas de alto riesgo, esquemas de certificación pueden contribuir a la presunción de conformidad del Art. 15.

Cada sistema del inventario va a tener probablemente más de un marco aplicable. La parte difícil del trabajo de compliance en 2025–2026 es la coordinación, no el AI Act en sí mismo.

Las preguntas que siguen abiertas

• Códigos de práctica para GPAI (Art. 56): la AI Office los está coordinando con la industria. Primera versión esperada en mayo de 2025, listos para aplicación 2 de agosto de 2025.
• Estándares armonizados: CEN-CENELEC JTC 21 está elaborando estándares para Anexo III. Cuando se publiquen, dan presunción de conformidad. Hasta entonces, el provider tiene que justificar técnicamente el cumplimiento.
• Comités de la AI Office y AI Board todavía en composición. Las primeras guidelines no vinculantes de la AI Office se esperan a lo largo de 2024–2025.
• Definición operativa de “cambio significativo” (Art. 111.2) para sistemas legacy: no hay todavía guía oficial sobre qué cuenta como cambio que dispara la obligación de cumplir.

Referencias

• Texto oficial DOUE — Reglamento (UE) 2024/1689: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
• Art. 99 (Sanciones): https://artificialintelligenceact.eu/article/99/
• Art. 113 (Entrada en vigor y aplicación): https://artificialintelligenceact.eu/article/113/
• AESIA: https://aesia.digital.gob.es/
• Plan de coordinación EU sobre IA: https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
• Post previo de IRONHACKERS: EU AI Act — el acuerdo político del 9 de diciembre y qué viene después