Reglamento (UE) 2024/1689

EU AI Act

Las reglas de la IA ya están en vigor

La UE ha escrito la primera ley integral del mundo sobre IA. No regula la tecnología: regula el uso que le das. Crea IA, compra IA o simplemente deja que tu equipo la use, y una parte tiene que ver contigo.

Tu chatbot debe decir que es un bot, desde agosto de 2026Filtrar CVs con IA, eso es alto riesgoPuntuación social, prohibida sin másReconocimiento de emociones en el trabajo, prohibidoLos deepfakes deben etiquetarse, todos y cada unoHasta el 7% del volumen de negocios mundial, el techo de las multasNo tienes que crear IA, basta con usarla¿No eres una empresa de la UE? Te aplica si tu IA llega a la UEPuntuación crediticia con IA, alto riesgoTu plantilla usa IA a diario, la ley espera formaciónComprar IA no externaliza la responsabilidadModelos de uso general, regulados desde 2025Las prohibiciones están activas, desde febrero de 2025A la mayoría de la IA apenas le afecta, si conoces tu nivel Tu chatbot debe decir que es un bot, desde agosto de 2026Filtrar CVs con IA, eso es alto riesgoPuntuación social, prohibida sin másReconocimiento de emociones en el trabajo, prohibidoLos deepfakes deben etiquetarse, todos y cada unoHasta el 7% del volumen de negocios mundial, el techo de las multasNo tienes que crear IA, basta con usarla¿No eres una empresa de la UE? Te aplica si tu IA llega a la UEPuntuación crediticia con IA, alto riesgoTu plantilla usa IA a diario, la ley espera formaciónComprar IA no externaliza la responsabilidadModelos de uso general, regulados desde 2025Las prohibiciones están activas, desde febrero de 2025A la mayoría de la IA apenas le afecta, si conoces tu nivel
Reglamento de IA

(nombre, ley de la UE)Reglamento (UE) 2024/1689

La primera ley integral del mundo sobre inteligencia artificial. Regula la IA según el uso que le das, no según lo lista que sea la tecnología: cuanto más arriesgado es el uso, más estrictas son las reglas.

Ya está en vigor, llega por fases, y está escrita para quienes crean IA y quienes simplemente la usan.

Misma familia GDPR, marcado CE, derecho de seguridad de los productos. Misma lógica, nuevo tema.

00 / El concepto

Una ley, ordenada por riesgo

La mayoría de las leyes tecnológicas regulan la cosa. El Reglamento de IA regula la situación: el mismo modelo que redacta tu boletín, sin regular, pasa a ser de alto riesgo en cuanto empieza a filtrar candidaturas de empleo. Lo que cuenta es para qué se usa el sistema, sobre quién y qué les ocurre.

Todo lo demás del Reglamento se deriva de ese único movimiento. Cada uso de la IA cae en uno de cuatro niveles, y cada nivel tiene su propio manual de reglas: desde nada en absoluto, hasta un deber de honestidad, hasta mucho papeleo, hasta una prohibición total.

Fig. 00 / Cuatro niveles, una pirámide
Prohibidoprohibido desde 2 feb 2025
Alto riesgoempleo · crédito · exámenesdeberes estrictos, 2027 / 2028
Transparenciachatbots · contenido sintéticodeclarar, desde 2 ago 2026
Riesgo mínimofiltros de spam · juegos · casi toda la IAsin deberes nuevos
empleo · crédito · exámenes chatbots · contenido sintético filtros de spam · juegos · casi toda la IA PROHIBIDO prohibido desde 2 feb 2025 ALTO RIESGO deberes estrictos, 2027 / 2028 TRANSPARENCIA declarar, desde 2 ago 2026 RIESGO MÍNIMO sin deberes nuevos MENOS SISTEMAS, REGLAS ESTRICTAS
01 / A quién aplica

Te aplica a ti, probablemente

El Reglamento clasifica en roles a todos los que rodean a un sistema de IA. Dos importan para la mayoría de las empresas. El proveedor crea o vende el sistema y carga con los deberes pesados. El responsable del despliegue lo usa en el trabajo y carga con menos, pero reales: usar el sistema según las instrucciones, mantener a una persona realmente al mando y formar a quienes lo manejan.

Y la ley llega más allá de la Unión: sigue al resultado. Una herramienta creada en otra parte, cuyos resultados se usan en Europa, queda cubierta. "No somos una empresa de la UE" no es una exención. Pregúntale a cualquiera que se topó con el GDPR.

Fig. 01 / Dos roles, dos manuales
LO CREAS O LO VENDESPROVEEDORel manual pesado:diseñar, probar, documentar, registrar
LA USAS EN EL TRABAJORESPONSABLE DEL DESPLIEGUEel manual operativo:supervisión, instrucciones, formación

también aplica a: importadores y distribuidores, y a quien use en la UE el resultado de su sistema

LO CREAS O LO VENDES PROVEEDOR el manual pesado: diseñar, probar, documentar, registrar LA USAS EN EL TRABAJO RESPONSABLE el manual operativo: supervisión, instrucciones, formación también aplica a: importadores y distribuidores, y a quien use en la UE el resultado de su sistema
02 / Los cuatro niveles

De prohibido a apenas afectado

Encuentra tu caso de uso en esta fila y sabrás casi todo lo que la ley te pide. El nivel sigue al uso, no al marketing del proveedor.

prohibido

Inaceptable

Usos que la UE decidió que ninguna salvaguarda puede arreglar: puntuación social, manipulación que causa daño, reconocimiento de emociones en el trabajo o la escuela, extraer rostros de internet.

ilegal desde 2 feb 2025
deberes estrictos

Alto riesgo

IA que decide sobre vidas y medios de vida: contratación, crédito, exámenes, productos sanitarios, infraestructuras. Permitida, pero bajo el manual completo, probada y documentada.

aplica 2 dic 2027 / 2 ago 2028
declarar

Transparencia

IA que alguien podría confundir con una persona, o contenido que podría pasar por real: chatbots, deepfakes, contenido sintético. El deber es la honestidad: dilo, etiquétalo.

aplica 2 ago 2026
sigue adelante

Mínimo

Filtros de spam, recomendaciones, IA en videojuegos, tu asistente de redacción. La inmensa mayoría de los sistemas. Sin obligaciones nuevas más allá de las leyes que siempre aplicaron.

sin deberes del Reglamento de IA

El mismo modelo puede estar en tres niveles en la misma semana. Nunca es "¿está regulada esta IA?", siempre "¿está regulado este uso?".

03 / Las líneas rojas

Ocho prácticas quedan sencillamente descartadas

El nivel de lo prohibido es corto, concreto y ya es ley, desde el 2 de febrero de 2025. Ninguna evaluación de la conformidad, ninguna casilla de consentimiento, ninguna cláusula contractual las hace legales.

puntuación social manipulación y engaño dañinos explotar la edad, la discapacidad o la precariedad predecir delitos a partir de perfiles extracción masiva de rostros reconocimiento de emociones en trabajo y escuela clasificación biométrica por raza, creencia u orientación identificación facial remota en directo en espacios públicos

añadido en mayo de 2026, cumplimiento antes del 2 dic 2026

generadores de imágenes íntimas no consentidas y CSAM

Si el uso está en esta lista, la pregunta del papeleo nunca surge. Es sencillamente ilegal.

Existen unas pocas excepciones muy concretas, sobre todo casos médicos, de seguridad y de aplicación de la ley estrechamente acotados. Si crees que eres la excepción, ese es justo el momento de llamar a un abogado.

04 / Alto riesgo

Donde el manual se vuelve pesado

Alto riesgo no significa tecnología que da miedo. Significa decisiones de peso sobre las personas: quién consigue el empleo, el préstamo, el título, el visado, el tratamiento. El Reglamento detalla este terreno en dos anexos: sistemas autónomos en áreas sensibles, e IA dentro de productos que ya necesitan un marcado CE.

usos autónomos (anexo III)

contratación & gestión de personal puntuación crediticia tarificación de seguros de vida & salud educación & exámenes servicios públicos esenciales infraestructuras críticas identificación biométrica aplicación de la ley migración & fronteras justicia & elecciones

IA dentro de productos regulados (anexo I)

productos sanitarios maquinaria vehículos juguetes ascensores aviación

Los proveedores de estos sistemas deben el programa completo: gestión de riesgos, gobernanza de datos, documentación técnica, registros, supervisión humana, precisión y ciberseguridad, y después una evaluación de la conformidad, un marcado CE y la inscripción en la base de datos de la UE, antes de que el sistema llegue al mercado.

Los responsables del despliegue deben una versión operativa: seguir las instrucciones de uso, asignar una supervisión humana formada, vigilar el sistema en funcionamiento e informar a las personas a las que afecta. Los organismos públicos, los bancos y las aseguradoras añaden una evaluación de impacto relativa a los derechos fundamentales.

05 / Las reglas de honestidad

Desde agosto de 2026, la IA deja de pasar por humana

El nivel de transparencia es el plazo que afecta a casi todo el mundo, porque casi todo el mundo lanza ya un chatbot o publica contenido generado. Desde el 2 de agosto de 2026: un chatbot debe decir que lo es. Un deepfake debe etiquetarse como sintético. El audio, la imagen y el vídeo generados por IA deben llevar una marca legible por máquina, para que las herramientas y plataformas puedan reconocerlo.

El deber es ligero, y de eso se trata: no menos IA, solo IA honesta.

Si una persona pudiera razonablemente confundirlo con lo real, tiene derecho a saber que no lo es.

Los sistemas que ya estaban en el mercado antes del 2 de agosto de 2026 tienen un periodo de gracia para la marca legible por máquina, hasta el 2 de diciembre de 2026. Los deberes de declaración en sí no se aplazan.

06 / El calendario

Dos fases ya han llegado. La siguiente, en semanas.

El Reglamento entró en vigor el 1 de agosto de 2024 y se aplica por etapas. Las prohibiciones y el deber de alfabetización en IA están activos. Las reglas sobre modelos están activas. Las reglas de honestidad llegan en agosto de 2026, y el programa de alto riesgo en 2027 y 2028.

Fig. 02 / Las fases, y dónde te encuentras
AGO 2024 en vigor FEB 2025 prohibiciones + alfabetización IA AGO 2025 reglas GPAI + multas ESTÁS AQUÍ JUN 2026 AGO 2026 reglas de honestidad DIC 2026 nueva prohibición + marca DIC 2027 alto riesgo, anexo III AGO 2028 alto riesgo en productos

Fechas actualizadas el 7 de mayo de 2026: el acuerdo "Digital Omnibus" de la UE trasladó los plazos de alto riesgo de 2026/2027 a diciembre de 2027 y agosto de 2028, y añadió la nueva prohibición. Se espera la adopción formal antes de agosto de 2026; las nuevas fechas son vinculantes una vez publicadas en el Diario Oficial de la UE.

07 / Lo que está en juego

Lo que cuesta ignorarlo

€35M / 7%prácticas prohibidas
€15M / 3%la mayoría de las demás infracciones
€7.5M / 1%engañar a las autoridades

Suma fija o porcentaje del volumen de negocios anual mundial, lo que sea mayor. Para las pequeñas y medianas empresas, se aplica el menor de los dos. Las autoridades nacionales hacen cumplir la mayor parte; la Oficina de IA de la Comisión vigila los modelos de uso general. El régimen de multas está en vigor desde agosto de 2025.

El coste más silencioso llega antes: cuestionarios de compras, listas de comprobación de diligencia debida, clientes corporativos que preguntan por tu nivel. El cumplimiento se está convirtiendo en un documento de ventas.

08 / Qué significa para ti

Cuatro frases que jubilar este año

"solo usamos ChatGPT"

Quien usa también tiene deberes

Usar IA en el trabajo te convierte en responsable del despliegue. Un manual más ligero que el de quien la crea, pero un manual: supervisión, instrucciones y gente que sabe lo que la herramienta puede y no puede hacer.

"es una ley para las grandes tecnológicas"

Clasifica por uso, no por tamaño

Una empresa de diez personas que filtra CVs con IA está en terreno de alto riesgo. El filtro de spam de un gigante tecnológico está en mínimo. Tu tamaño determina la multa, no el deber.

"todavía no aplica nada"

Dos fases ya han llegado

Las prohibiciones y el deber de alfabetización en IA aplican desde febrero de 2025, y las reglas sobre modelos desde agosto de 2025. Las reglas de honestidad llegan en agosto de 2026.

"no estamos en la UE"

La ley sigue al resultado

Vende en Europa, atiende a usuarios europeos o deja que los resultados de tu sistema se usen allí, y estás dentro del ámbito. El GDPR ya enseñó esta lección a todo el mundo una vez.

09 / Qué hacer ahora

Seis pasos, ninguno dramático

Para la mayoría de las empresas esto no es una emergencia de cumplimiento. Es una tarde de honestidad sobre dónde vive ya la IA en el negocio, y luego el hábito de mantener esa imagen al día.

01

Inventario

Enumera todos los sistemas de IA de la casa: los que creaste, los que compraste, los que viven dentro de otras herramientas y los que la plantilla usa de forma discreta.

02

Clasifica

Ordena cada uso según los cuatro niveles. La mayoría caen en mínimo. Los que tocan contratación, dinero, seguridad o estudiantes merecen una mirada más atenta.

03

Conoce tu rol

Proveedor, responsable del despliegue, importador o distribuidor, por cada sistema. Los deberes siguen al rol, y una misma empresa puede ocupar varios a la vez.

04

Forma a tu gente

El deber de alfabetización en IA ya aplica. Quien maneje o supervise un sistema de IA debería entender qué hace, en qué se equivoca y cuándo anular su decisión.

05

Pregunta a tus proveedores

Qué nivel, qué documentación, quién carga con los deberes de proveedor. Comprar IA no transfiere la parte de responsabilidad del responsable del despliegue.

06

Ponlo por escrito

Una política de IA, un responsable con nombre y un registro de lo anterior. Cuando un cliente o una autoridad pregunte, la respuesta ya debería existir.

Esta página es orientación, no asesoramiento jurídico. Si tu inventario revela terreno de alto riesgo, recurre a un asesor.

eu-ai-act: ¿dónde te sitúas?

eu-ai-act:~$¿quieres un segundo par de ojos sobre tu mapa de IA?

MethodKit ayuda a los equipos a ponerse de acuerdo sobre cómo trabajan de verdad, incluida la IA ya entretejida en ello. El inventario, los niveles, los roles: es un ejercicio de mapeo, y mapear es lo nuestro. Deja tu email abajo y empieza la conversación.

¿prefieres el email? ola@methodkit.com