Industria

La Ley AI de la UE: lo que realmente significa para las empresas que envían AI

Vincent Wahidi
Vincent Wahidi · 6 min de lectura
La Ley AI de la UE: lo que realmente significa para las empresas que envían AI

Si construye, compra o implementa AI que afecta a personas en la UE, la Ley AI ahora establece las reglas a las que debe responder. Las multas por prácticas prohibidas se aplican desde febrero de 2025, y la fecha límite que importa para la mayoría de las empresas ordinarias, cuando entran en vigor las obligaciones de alto riesgo y sus sanciones, es el 2 de agosto de 2026. La mayoría de los equipos no necesitan entrar en pánico. Necesitan saber en qué nivel de riesgo se encuentra su sistema e iniciar la documentación que requiere ese nivel.

Cuatro niveles, y sólo dos que te cuestan un verdadero esfuerzo

La ley clasifica cada sistema AI en cuatro niveles de riesgo. Los riesgos inaceptables están completamente prohibidos: la puntuación social gubernamental, la mayor parte de la identificación biométrica en tiempo real en espacios públicos y la manipulación que causa daño. Esas prácticas están prohibidas desde el 2 de febrero de 2025. El riesgo mínimo, que cubre la mayor parte del software, incluidos los filtros de spam y los motores de recomendación, no conlleva nuevas obligaciones.

Entre esos dos extremos se encuentran los niveles que realmente dan forma a la forma de construir. El riesgo limitado conlleva un deber de transparencia: informar a las personas cuando están hablando con un robot y etiquetar los medios sintéticos. El alto riesgo es donde residen las pesadas obligaciones y donde se destinará la mayor parte del trabajo y el presupuesto de cumplimiento. Si aún no puede descartar un alto riesgo para un sistema, asúmalo hasta que pueda. El coste de adivinar mal apunta sólo en una dirección.

Lo que realmente se considera de alto riesgo

Ésta es la pregunta que decide su carga de trabajo y es más limitada de lo que sugieren los titulares. Un sistema es de alto riesgo en dos casos. En primer lugar, si se trata de un componente de seguridad de un producto ya regulado, como un dispositivo médico, una maquinaria o un vehículo. En segundo lugar, si opera en una de las áreas que la Ley enumera en el Anexo III: contratación y gestión de trabajadores, acceso a la educación, calificación crediticia y servicios financieros esenciales, servicios y beneficios públicos esenciales, aplicación de la ley, migración y administración de justicia.

El hilo conductor es la consecuencia. Si su modelo ayuda a decidir quién consigue un trabajo, un préstamo, una plaza en la escuela o una prestación, probablemente sea de alto riesgo y la carga de demostrar lo contrario recae en usted. Un chatbot que responde preguntas sobre productos no es de alto riesgo. El mismo chatbot, reutilizado para seleccionar a los solicitantes de empleo, lo es.

Las fechas que conllevan multas

La Ley entró en vigor el 1 de agosto de 2024 y se aplica por etapas. Las prácticas prohibidas y el deber de alfabetización AI se aplican desde el 2 de febrero de 2025. Las obligaciones para los modelos AI de uso general, los grandes modelos de lenguaje en los que ahora construyen la mayoría de los equipos, se aplicaron a partir del 2 de agosto de 2025. La fecha más importante para las empresas ordinarias es el 2 de agosto de 2026, cuando los requisitos de alto riesgo y las sanciones financieras entran en vigor. El AI de alto riesgo integrado en productos regulados tendrá vigencia hasta el 2 de agosto de 2027.

Las penas son de tamaño para que se sientan. El uso de un sistema prohibido puede costar hasta 35 millones de euros o el 7 por ciento de la facturación anual mundial, lo que sea mayor. El incumplimiento de las obligaciones de alto riesgo puede alcanzar los 15 millones de euros o el 3 por ciento de la facturación. Proporcionar a los reguladores información incorrecta o engañosa puede alcanzar los 7,5 millones de euros o el 1 por ciento. Estos son límites máximos, adaptados a la violación, pero son lo suficientemente grandes como para que "lo abordaremos más tarde" deje de ser un plan.

Cómo se ven en la práctica las obligaciones de alto riesgo

Quitar el lenguaje legal y el régimen de alto riesgo es en gran medida una buena disciplina de ingeniería, escrita. Necesita un proceso de gestión de riesgos que se aplique a lo largo de toda la vida del sistema, no una aprobación única. Necesita gobernanza de datos: saber cuáles son sus datos de entrada y capacitación, de dónde provienen y cómo podrían sesgar un resultado. Necesita documentación técnica y registro automático, de modo que cuando se impugna una decisión se pueda reconstruir cómo el sistema llegó a ella. Se necesita una supervisión humana significativa, una persona que pueda comprender, anular y detener el sistema, en lugar de un sello de goma. Y antes de entrar en funcionamiento, un sistema de alto riesgo necesita una evaluación de conformidad y un registro en la base de datos de la UE.

Nada de esto es exótico. Es la misma disciplina que separa un modelo que se ejecuta en producción de una demostración que funciona una vez.

Qué hacer ahora

Una lista de verificación breve y honesta supera a una carpeta de cumplimiento que nadie lee.

  • Haga un inventario de cada sistema AI que construya o compre, incluidas las funciones silenciosamente impulsadas por el modelo de un proveedor.
  • Clasificar cada uno por tier, y ser estricto con las áreas de alto riesgo del Anexo III.
  • Asigne un propietario designado a cada sistema de alto riesgo. No hay cumplimiento sin propietario.
  • Inicie la documentación técnica y el registro ahora, mientras el sistema es pequeño. Actualizarlo más tarde cuesta mucho más.
  • Construya el camino de supervisión humana hacia el producto, no como un complemento al final.
  • Lea los términos del proveedor de su AI de uso general. Sus obligaciones no borran las tuyas.

Mapear sus sistemas según los niveles de riesgo de la Ley y elaborar la documentación que exige cada uno forma parte de nuestro trabajo de consultoría AI.

comida para llevar

La Ley AI se trata menos de prohibir el AI que de obligarlo a documentar y supervisar el AI que toma decisiones importantes sobre las personas. Para sistemas que son claramente de riesgo mínimo o limitado, el trabajo es pequeño. Para los sistemas de alto riesgo, el trabajo es real y el 2 de agosto de 2026 está más cerca de lo que parece. Primero asigne sus sistemas a los niveles. Casi todo lo demás se deriva de saber cuál es su posición.

Vincent Wahidi

Autor

Vincent Wahidi is the director of Encelyte, a computer engineer who builds production AI, automation, and custom software for enterprises across Cyprus and the wider region. He writes the strategy, cost and decision-maker pieces himself; the practical how-to guides are curated under the five mission-cat bylines below.

Leer a continuación

AI para hoteles y operadores turísticos: más allá del chatbot

¿Tienes un problema que valga la pena resolver?

Cuéntanos qué estás construyendo o arreglando. Te responderemos en un día laborable con un siguiente paso claro.