AI Act europeo: resumen artículo por artículo del Reglamento de Inteligencia Artificial
Guía artículo por artículo del Reglamento (UE) 2024/1689: alcance, prácticas prohibidas, alto riesgo, GPAI, gobernanza, supervisión y sanciones.
En este articulo
El Reglamento (UE) 2024/1689, conocido como AI Act o Reglamento de Inteligencia Artificial, es la primera norma europea de alcance general que regula el desarrollo, comercialización, despliegue y uso de sistemas de inteligencia artificial. Su objetivo no es prohibir la IA, sino ordenar su uso conforme al nivel de riesgo: desde sistemas prohibidos, hasta sistemas de alto riesgo, obligaciones de transparencia, modelos de propósito general y mecanismos de supervisión pública. La Comisión Europea lo define como el primer marco jurídico integral sobre IA a nivel mundial y lo articula alrededor de un enfoque basado en riesgos para proveedores y responsables del despliegue de sistemas de IA. (digital-strategy.ec.europa.eu)
La versión oficial del AI Act fue publicada en el Diario Oficial de la Unión Europea el 12 de julio de 2024. El Reglamento consta de 13 capítulos, 113 artículos y 13 anexos, aunque el núcleo práctico para empresas se concentra especialmente en las prácticas prohibidas, los sistemas de alto riesgo, la transparencia, la IA de propósito general, la gobernanza, la vigilancia poscomercialización y el régimen sancionador. (artificialintelligenceact.eu)
Capítulo I — Disposiciones generales
Artículo 1 — Objeto
Define qué regula el AI Act: establece normas armonizadas para introducir, poner en servicio y utilizar sistemas de IA en la Unión Europea. También fija prohibiciones, requisitos para sistemas de alto riesgo, obligaciones de transparencia, reglas para modelos de IA de propósito general, mecanismos de supervisión y sanciones.
En términos prácticos: es el artículo que dice “para qué existe” el Reglamento.
Artículo 2 — Ámbito de aplicación
Determina a quién se aplica. Afecta a proveedores, responsables del despliegue, importadores, distribuidores, representantes autorizados y otros operadores, incluso cuando estén fuera de la UE si el resultado del sistema de IA se utiliza dentro del mercado europeo.
Es clave porque confirma el alcance extraterritorial del AI Act: no basta con estar fuera de Europa para quedar fuera de la norma.
Artículo 3 — Definiciones
Incluye el vocabulario jurídico esencial: sistema de IA, proveedor, responsable del despliegue, importador, distribuidor, modelo de propósito general, riesgo sistémico, datos de entrenamiento, instrucciones de uso, vigilancia humana, incidente grave, entre otros.
Es uno de los artículos más importantes porque condiciona toda la interpretación posterior.
Artículo 4 — Alfabetización en IA
Obliga a proveedores y responsables del despliegue a procurar que su personal y otras personas implicadas tengan un nivel suficiente de conocimiento sobre IA, teniendo en cuenta su contexto, experiencia, formación y uso previsto del sistema.
En la práctica, introduce una obligación cultural y organizativa: no basta con comprar o usar IA; hay que entender razonablemente sus capacidades, límites y riesgos.
Capítulo II — Prácticas de IA prohibidas
Artículo 5 — Prácticas de IA prohibidas
Prohíbe usos considerados incompatibles con los derechos fundamentales, la seguridad o la dignidad humana. Incluye, entre otros, la manipulación subliminal dañina, la explotación de vulnerabilidades, el social scoring, ciertos sistemas predictivos de criminalidad individual, el scraping indiscriminado para bases de datos biométricas, el reconocimiento emocional en trabajo y educación, ciertas categorizaciones biométricas y la identificación biométrica remota en tiempo real en espacios públicos con fines policiales, salvo excepciones muy tasadas.
Es el artículo de “línea roja”: no regula cómo hacer estos sistemas, sino que directamente los excluye del mercado salvo excepciones concretas. La Comisión Europea resume estas prohibiciones como el nivel de “riesgo inaceptable” dentro del enfoque del AI Act. (digital-strategy.ec.europa.eu)
Capítulo III — Sistemas de IA de alto riesgo
Sección 1 — Clasificación como alto riesgo
Artículo 6 — Reglas de clasificación de sistemas de IA de alto riesgo
Establece cuándo un sistema de IA se considera de alto riesgo. Hay dos grandes vías: que sea componente de seguridad de productos regulados por legislación europea de armonización, o que encaje en alguno de los ámbitos sensibles del Anexo III, como empleo, educación, infraestructuras críticas, servicios esenciales, migración, justicia o aplicación de la ley.
Es el artículo que responde a la pregunta: “¿mi sistema entra en alto riesgo?”.
Artículo 7 — Modificación del Anexo III
Permite a la Comisión Europea actualizar la lista de sistemas de alto riesgo del Anexo III mediante actos delegados, siempre que se cumplan determinados criterios de riesgo.
Esto evita que el Reglamento quede obsoleto ante nuevos usos de IA.
Sección 2 — Requisitos de los sistemas de IA de alto riesgo
Artículo 8 — Cumplimiento de requisitos
Establece que los sistemas de IA de alto riesgo deben cumplir los requisitos de esta sección durante todo su ciclo de vida. Es una cláusula marco: conecta la clasificación de alto riesgo con las obligaciones técnicas, documentales y organizativas.
Artículo 9 — Sistema de gestión de riesgos
Obliga a implantar un sistema continuo de gestión de riesgos para identificar, analizar, evaluar, mitigar y monitorizar los riesgos del sistema de IA.
En la práctica, exige tratar la IA como un sistema sujeto a riesgo operativo, técnico, jurídico y humano, no como una simple funcionalidad de software.
Artículo 10 — Datos y gobernanza de datos
Regula la calidad, pertinencia, representatividad, completitud y gobernanza de los datos de entrenamiento, validación y prueba. También exige analizar sesgos, errores y limitaciones.
Es uno de los artículos más relevantes para auditoría: obliga a justificar qué datos se usan, con qué calidad y con qué impacto potencial.
Artículo 11 — Documentación técnica
Exige que los sistemas de alto riesgo cuenten con documentación técnica suficiente antes de su comercialización o puesta en servicio.
Esa documentación debe permitir evaluar si el sistema cumple el AI Act.
Artículo 12 — Registro automático de eventos
Obliga a diseñar sistemas de alto riesgo con capacidad de generación de logs o registros automáticos adecuados a su finalidad.
Tiene una función probatoria y de trazabilidad: saber qué ocurrió, cuándo, con qué entrada, con qué salida y bajo qué condiciones.
Artículo 13 — Transparencia e información a los responsables del despliegue
Exige que los sistemas de alto riesgo sean suficientemente transparentes para que quienes los despliegan puedan interpretarlos y utilizarlos correctamente.
No exige explicar todo el modelo matemático, pero sí proporcionar instrucciones de uso, limitaciones, rendimiento esperado, riesgos conocidos y condiciones de uso.
Artículo 14 — Vigilancia humana
Obliga a diseñar los sistemas de alto riesgo de forma que puedan ser supervisados eficazmente por personas durante su uso.
Introduce una idea esencial: la supervisión humana debe ser real, competente y útil, no meramente decorativa.
Artículo 15 — Precisión, robustez y ciberseguridad
Exige que los sistemas de alto riesgo alcancen niveles adecuados de precisión, solidez, resiliencia y seguridad frente a errores, ataques o manipulación.
Este artículo conecta directamente IA, seguridad y fiabilidad técnica.
Sección 3 — Obligaciones de proveedores, responsables del despliegue y otros operadores
Artículo 16 — Obligaciones de los proveedores de sistemas de alto riesgo
Resume las obligaciones principales del proveedor: cumplir requisitos, contar con sistema de gestión de calidad, conservar documentación, realizar evaluación de conformidad, registrar el sistema, aplicar marcado CE cuando corresponda, tomar medidas correctoras y cooperar con autoridades.
Es el artículo operativo central para quien desarrolla o comercializa IA de alto riesgo.
Artículo 17 — Sistema de gestión de calidad
Obliga al proveedor a implantar un sistema de gestión de calidad documentado. Debe cubrir estrategia regulatoria, diseño, desarrollo, pruebas, control de datos, gestión de riesgos, vigilancia poscomercialización, comunicación con autoridades y gestión de incidentes.
Es muy relevante para conectar AI Act con ISO/IEC 42001, ISO 9001, ISO 27001 o marcos internos de gobierno.
Artículo 18 — Conservación de documentación
Exige conservar documentación técnica, documentación del sistema de calidad y demás elementos necesarios durante un periodo determinado tras la comercialización o puesta en servicio.
Su finalidad es permitir auditoría, supervisión y prueba de cumplimiento.
Artículo 19 — Logs generados automáticamente
Obliga a conservar los registros automáticos cuando estén bajo control del proveedor.
Complementa el artículo 12: no basta con generar logs; hay que conservarlos de forma útil y verificable.
Artículo 20 — Medidas correctoras y deber de información
Si el proveedor considera que su sistema no cumple el Reglamento, debe adoptar medidas correctoras, retirarlo, recuperarlo o desactivarlo, e informar a distribuidores, responsables del despliegue y autoridades cuando proceda.
Introduce una lógica de responsabilidad continua.
Artículo 21 — Cooperación con autoridades competentes
Obliga a los proveedores a cooperar con las autoridades nacionales competentes y facilitarles la información necesaria.
Es la base de la supervisión administrativa.
Artículo 22 — Representantes autorizados de proveedores de sistemas de alto riesgo
Cuando el proveedor esté fuera de la UE, debe designar un representante autorizado en la Unión, con mandato escrito y funciones específicas.
Esto permite que exista un punto de responsabilidad dentro del mercado europeo.
Artículo 23 — Obligaciones de los importadores
Los importadores deben verificar que el sistema de alto riesgo cumple determinados requisitos antes de introducirlo en el mercado europeo.
No pueden limitarse a revender tecnología: tienen deberes de comprobación.
Artículo 24 — Obligaciones de los distribuidores
Los distribuidores deben comprobar elementos como marcado CE, declaración de conformidad, instrucciones de uso y cumplimiento aparente antes de comercializar el sistema.
Su responsabilidad es menor que la del proveedor, pero no inexistente.
Artículo 25 — Responsabilidades a lo largo de la cadena de valor de la IA
Regula cuándo un distribuidor, importador, responsable del despliegue u otro tercero pasa a ser considerado proveedor. Esto puede ocurrir si pone el sistema en el mercado bajo su nombre, modifica sustancialmente el sistema o cambia su finalidad prevista.
Es crucial para integradores, consultoras y empresas que adaptan herramientas de terceros.
Artículo 26 — Obligaciones de los responsables del despliegue de sistemas de alto riesgo
Impone obligaciones a quienes usan sistemas de alto riesgo: seguir instrucciones, garantizar supervisión humana, controlar datos de entrada, monitorizar funcionamiento, conservar logs cuando proceda, informar de incidentes y realizar ciertas evaluaciones.
Es el artículo clave para empresas que no desarrollan IA, pero la usan en procesos sensibles.
Artículo 27 — Evaluación de impacto sobre derechos fundamentales
Obliga a determinados responsables del despliegue a realizar una evaluación de impacto sobre derechos fundamentales antes de usar sistemas de alto riesgo, especialmente entidades públicas o privadas que prestan servicios públicos o esenciales.
Es una de las obligaciones más relevantes desde el punto de vista ético, jurídico y reputacional.
Sección 4 — Autoridades notificantes y organismos notificados
Artículo 28 — Autoridades notificantes
Cada Estado miembro debe designar autoridades responsables de evaluar, designar y supervisar organismos notificados.
Estas autoridades controlan quién puede evaluar la conformidad de sistemas de alto riesgo.
Artículo 29 — Solicitud de organismo de evaluación de conformidad
Regula cómo una entidad solicita ser reconocida como organismo notificado.
Establece un procedimiento formal para poder actuar como evaluador acreditado.
Artículo 30 — Procedimiento de notificación
Establece cómo los Estados miembros notifican a la Comisión y a otros Estados qué organismos están autorizados.
Busca transparencia y reconocimiento común dentro de la UE.
Artículo 31 — Requisitos de los organismos notificados
Define los requisitos de independencia, competencia técnica, imparcialidad, confidencialidad, recursos y ausencia de conflictos de interés.
Es esencial para garantizar que las auditorías de conformidad sean fiables.
Artículo 32 — Presunción de conformidad de organismos notificados
Permite presumir que un organismo cumple determinados requisitos cuando se ajusta a normas armonizadas aplicables.
Facilita la acreditación mediante estándares técnicos reconocidos.
Artículo 33 — Filiales y subcontratación
Permite que los organismos notificados subcontraten tareas o utilicen filiales, pero manteniendo la responsabilidad final.
Evita que la externalización diluya la responsabilidad.
Artículo 34 — Obligaciones operativas de los organismos notificados
Regula cómo deben actuar los organismos notificados al evaluar sistemas: con proporcionalidad, rigor, independencia y seguimiento adecuado.
Artículo 35 — Números de identificación y listas de organismos notificados
La Comisión asigna números de identificación y mantiene listas públicas de organismos notificados.
Esto permite verificar quién está realmente autorizado.
Artículo 36 — Cambios en las notificaciones
Regula qué ocurre cuando cambia el alcance, condiciones o validez de la notificación de un organismo.
Artículo 37 — Impugnación de la competencia de organismos notificados
Permite cuestionar si un organismo notificado sigue cumpliendo los requisitos.
Es un mecanismo de control de calidad institucional.
Artículo 38 — Coordinación de organismos notificados
Obliga a coordinar a los organismos notificados para asegurar coherencia en sus prácticas.
Busca evitar criterios divergentes entre países o entidades evaluadoras.
Artículo 39 — Organismos de evaluación de terceros países
Permite reconocer organismos de terceros países en virtud de acuerdos internacionales.
Facilita interoperabilidad regulatoria con países no pertenecientes a la UE.
Sección 5 — Normas, evaluación de conformidad, certificados y registro
Artículo 40 — Normas armonizadas y documentos de normalización
Reconoce el papel de las normas armonizadas europeas para demostrar cumplimiento de requisitos del AI Act.
En la práctica, será uno de los puentes entre obligación legal y control técnico auditable.
Artículo 41 — Especificaciones comunes
Permite a la Comisión adoptar especificaciones comunes cuando no existan normas armonizadas suficientes o adecuadas.
Sirve como mecanismo alternativo cuando la normalización vaya por detrás de la tecnología.
Artículo 42 — Presunción de conformidad con ciertos requisitos
Establece que cumplir determinadas normas armonizadas o especificaciones comunes puede generar presunción de conformidad.
Esto reduce incertidumbre para proveedores y auditores.
Artículo 43 — Evaluación de conformidad
Regula los procedimientos para demostrar que un sistema de alto riesgo cumple el Reglamento antes de su comercialización o puesta en servicio.
Es el artículo central sobre “cómo se certifica” o verifica el cumplimiento.
Artículo 44 — Certificados
Regula la emisión, validez, modificación, suspensión o retirada de certificados de conformidad.
Artículo 45 — Obligaciones de información de organismos notificados
Los organismos notificados deben informar a autoridades sobre certificados emitidos, denegados, suspendidos o retirados.
Garantiza trazabilidad institucional del sistema de certificación.
Artículo 46 — Excepción al procedimiento de evaluación de conformidad
Permite excepciones limitadas por razones excepcionales, como seguridad pública o protección de la vida y salud.
Debe interpretarse restrictivamente.
Artículo 47 — Declaración UE de conformidad
Obliga al proveedor a emitir una declaración formal de conformidad que afirme que el sistema cumple el AI Act.
Es un documento jurídico clave de responsabilidad del proveedor.
Artículo 48 — Marcado CE
Regula el marcado CE para sistemas de IA de alto riesgo cuando proceda.
El marcado CE comunica que el sistema cumple requisitos aplicables de la UE.
Artículo 49 — Registro
Exige registrar determinados sistemas de alto riesgo en la base de datos de la UE antes de su comercialización o puesta en servicio.
Aporta transparencia pública y control institucional.
Capítulo IV — Obligaciones de transparencia para ciertos sistemas de IA
Artículo 50 — Obligaciones de transparencia para proveedores y responsables del despliegue
Obliga a informar a las personas cuando interactúan con un sistema de IA, cuando se usan sistemas de reconocimiento de emociones o categorización biométrica, y cuando determinados contenidos han sido generados o manipulados artificialmente, como deepfakes o textos publicados para informar sobre asuntos de interés público.
Este artículo afecta a muchos sistemas que no son necesariamente de alto riesgo, pero que requieren transparencia para evitar engaño, confusión o manipulación. La Comisión Europea indica que estas reglas de transparencia entrarán en aplicación en agosto de 2026. (digital-strategy.ec.europa.eu)
Capítulo V — Modelos de IA de propósito general
Sección 1 — Reglas de clasificación
Artículo 51 — Clasificación de modelos de propósito general con riesgo sistémico
Define cuándo un modelo de IA de propósito general se considera de riesgo sistémico, especialmente por sus capacidades de alto impacto o por designación de la Comisión.
Es el artículo que distingue entre modelos generales ordinarios y modelos especialmente potentes o críticos.
Artículo 52 — Procedimiento
Regula cómo se identifica, comunica y decide la clasificación de un modelo como modelo de propósito general con riesgo sistémico.
Aporta garantías procedimentales para proveedores.
Sección 2 — Obligaciones de proveedores de modelos de propósito general
Artículo 53 — Obligaciones de proveedores de modelos de propósito general
Impone obligaciones como elaborar documentación técnica, proporcionar información a proveedores que integren el modelo en sistemas de IA, cumplir normas de copyright de la UE y publicar un resumen suficientemente detallado del contenido utilizado para el entrenamiento.
Es uno de los artículos más importantes para proveedores de modelos fundacionales.
Artículo 54 — Representantes autorizados de proveedores de modelos de propósito general
Exige que proveedores de terceros países designen representante autorizado en la UE, salvo excepciones.
Garantiza que haya un interlocutor responsable dentro de la Unión.
Sección 3 — Obligaciones de proveedores de modelos con riesgo sistémico
Artículo 55 — Obligaciones de proveedores de modelos de propósito general con riesgo sistémico
Añade obligaciones reforzadas: evaluación de modelos, identificación y mitigación de riesgos sistémicos, seguimiento de incidentes graves, ciberseguridad adecuada y comunicación con la Comisión.
Es el nivel más exigente para modelos de IA de propósito general.
Sección 4 — Códigos de buenas prácticas
Artículo 56 — Códigos de buenas prácticas
Prevé códigos de buenas prácticas para facilitar el cumplimiento de las obligaciones sobre modelos de propósito general.
La Comisión publicó en julio de 2025 un Código de Buenas Prácticas para IA de propósito general, con capítulos sobre transparencia, copyright y seguridad, concebido como herramienta voluntaria para demostrar cumplimiento de los artículos 53 y 55. ([digital-strategy.ec.europa.eu][3])
Capítulo VI — Medidas de apoyo a la innovación
Artículo 57 — Espacios controlados de pruebas de IA
Obliga a establecer sandboxes regulatorios de IA para permitir pruebas supervisadas en entornos controlados.
Busca equilibrar innovación y seguridad jurídica.
Artículo 58 — Funcionamiento de los sandboxes
Regula cómo deben funcionar los espacios controlados: objetivos, condiciones, supervisión, documentación, cooperación con autoridades y protección de derechos.
Artículo 59 — Tratamiento ulterior de datos personales en sandboxes
Permite, bajo condiciones estrictas, reutilizar datos personales para desarrollar ciertos sistemas de IA de interés público dentro de sandboxes.
Es una excepción sensible y debe interpretarse con cautela, siempre conectada con garantías de protección de datos.
Artículo 60 — Pruebas en condiciones reales fuera de sandboxes
Regula cuándo pueden probarse sistemas de alto riesgo en el mundo real antes de su comercialización.
Exige plan de pruebas, autorización o notificación, supervisión, límites temporales y salvaguardas.
Artículo 61 — Consentimiento informado en pruebas reales
Establece los requisitos del consentimiento informado de las personas que participan en pruebas en condiciones reales.
Busca evitar que las personas sean expuestas a sistemas de IA experimentales sin comprensión suficiente.
Artículo 62 — Medidas para proveedores y responsables del despliegue, especialmente pymes y startups
Obliga a los Estados miembros y a la Comisión a apoyar a pymes, startups y otros actores mediante acceso prioritario a sandboxes, formación, orientación y reducción proporcional de cargas.
Artículo 63 — Exenciones para operadores específicos
Regula derogaciones o tratamientos específicos para determinados operadores, especialmente en contextos de innovación o escala reducida.
Capítulo VII — Gobernanza
Sección 1 — Gobernanza a nivel de la Unión
Artículo 64 — Oficina de IA
Crea o reconoce el papel de la Oficina Europea de IA como órgano clave para apoyar la aplicación del Reglamento, especialmente respecto a modelos de propósito general.
Artículo 65 — Comité Europeo de Inteligencia Artificial
Establece el Comité Europeo de IA, compuesto por representantes de los Estados miembros.
Su función es coordinar la aplicación coherente del AI Act.
Artículo 66 — Tareas del Comité
Define las funciones del Comité: asesoramiento, coordinación, recomendaciones, intercambio de buenas prácticas, apoyo a autoridades nacionales y contribución a guías.
Artículo 67 — Foro consultivo
Crea un foro consultivo con partes interesadas: industria, pymes, sociedad civil, academia y otros actores.
Introduce participación externa en la gobernanza del Reglamento.
Artículo 68 — Panel científico de expertos independientes
Establece un panel científico para asesorar sobre modelos de propósito general, riesgos sistémicos, capacidades técnicas y evaluación.
Artículo 69 — Acceso de Estados miembros al grupo de expertos
Permite a los Estados miembros solicitar apoyo del grupo de expertos para sus tareas de supervisión.
Sección 2 — Autoridades nacionales competentes
Artículo 70 — Designación de autoridades nacionales y punto de contacto único
Cada Estado miembro debe designar autoridades competentes y un punto de contacto único para la aplicación del AI Act.
Es esencial para saber quién supervisa, investiga y sanciona en cada país.
Capítulo VIII — Base de datos de la UE para sistemas de alto riesgo
Artículo 71 — Base de datos europea de sistemas de alto riesgo del Anexo III
Crea una base de datos de la UE para registrar determinados sistemas de IA de alto riesgo.
Su finalidad es mejorar transparencia, trazabilidad y supervisión pública.
Capítulo IX — Vigilancia poscomercialización, intercambio de información y vigilancia del mercado
Sección 1 — Vigilancia poscomercialización
Artículo 72 — Vigilancia poscomercialización de proveedores
Obliga a los proveedores de sistemas de alto riesgo a contar con un sistema de vigilancia poscomercialización y un plan documentado.
El cumplimiento no termina con lanzar el sistema: continúa durante todo su ciclo de vida.
Sección 2 — Información sobre incidentes graves
Artículo 73 — Notificación de incidentes graves
Obliga a informar a las autoridades de incidentes graves relacionados con sistemas de alto riesgo.
Conecta el AI Act con una lógica similar a seguridad de producto, ciberseguridad y gestión de crisis.
Sección 3 — Ejecución
Artículo 74 — Vigilancia del mercado y control de sistemas de IA
Designa y regula las competencias de las autoridades de vigilancia del mercado.
Estas autoridades pueden controlar, investigar y actuar frente a sistemas que incumplan la norma.
Artículo 75 — Asistencia mutua y control de sistemas de propósito general
Regula la cooperación entre autoridades y con la Comisión para supervisar sistemas y modelos de IA, especialmente los de propósito general.
Artículo 76 — Supervisión de pruebas en condiciones reales
Da a las autoridades competencias para supervisar pruebas en el mundo real y exigir medidas si hay riesgos.
Artículo 77 — Facultades de autoridades de protección de derechos fundamentales
Reconoce poderes específicos a autoridades que protegen derechos fundamentales para solicitar documentación y acceder a información relevante.
Es especialmente importante en ámbitos como igualdad, privacidad, trabajo, educación o servicios públicos.
Artículo 78 — Confidencialidad
Obliga a autoridades y organismos a proteger secretos comerciales, propiedad intelectual, información confidencial y datos sensibles obtenidos en sus funciones.
Equilibra supervisión pública y protección empresarial.
Artículo 79 — Procedimiento nacional frente a sistemas que presentan riesgo
Establece cómo deben actuar las autoridades nacionales cuando detectan un sistema de IA que presenta riesgo.
Incluye evaluación, medidas correctoras y comunicación a otros Estados y a la Comisión.
Artículo 80 — Procedimiento frente a sistemas clasificados indebidamente como no alto riesgo
Permite actuar cuando un proveedor considera que su sistema del Anexo III no es de alto riesgo, pero la autoridad discrepa.
Es una garantía contra la infraclasificación interesada.
Artículo 81 — Procedimiento de salvaguardia de la Unión
Regula la intervención a nivel europeo cuando hay desacuerdos entre Estados o riesgos con dimensión transfronteriza.
Artículo 82 — Sistemas conformes que presentan riesgo
Permite actuar incluso contra sistemas formalmente conformes si en la práctica presentan riesgos para salud, seguridad o derechos fundamentales.
La conformidad documental no blinda frente a riesgos reales.
Artículo 83 — Incumplimiento formal
Regula incumplimientos formales como falta de marcado CE, declaración de conformidad, registro o documentación, aunque no se haya demostrado un daño material.
Artículo 84 — Estructuras de apoyo a pruebas de IA de la Unión
Prevé estructuras europeas de apoyo para pruebas de IA, orientadas a evaluación, conocimiento técnico y aplicación coordinada.
Sección 4 — Recursos
Artículo 85 — Derecho a presentar reclamación
Cualquier persona física o jurídica puede presentar una reclamación ante una autoridad de vigilancia del mercado si considera que se ha infringido el Reglamento.
Introduce un canal formal de reacción ciudadana o empresarial.
Artículo 86 — Derecho a explicación de decisiones individuales
Reconoce el derecho a recibir explicaciones significativas cuando una decisión basada en un sistema de alto riesgo produzca efectos jurídicos o afecte significativamente a una persona.
Es uno de los artículos más importantes desde la perspectiva de derechos individuales.
Artículo 87 — Comunicación de infracciones y protección de informantes
Protege a quienes informen sobre infracciones del AI Act, conectando con la lógica europea de protección de denunciantes.
Sección 5 — Supervisión de proveedores de modelos de propósito general
Artículo 88 — Ejecución de obligaciones de proveedores de modelos de propósito general
Atribuye a la Comisión competencias de supervisión y ejecución respecto a proveedores de modelos de propósito general.
Centraliza este ámbito por su dimensión transfronteriza y técnica.
Artículo 89 — Acciones de seguimiento
Permite a la Comisión realizar acciones de seguimiento para comprobar cumplimiento de obligaciones de proveedores de modelos de propósito general.
Artículo 90 — Alertas de riesgos sistémicos por el panel científico
Permite que el panel científico alerte sobre riesgos sistémicos relacionados con modelos de propósito general.
Artículo 91 — Poder para solicitar documentación e información
La Comisión puede solicitar documentación e información a proveedores de modelos de propósito general.
Es una herramienta básica de investigación y supervisión.
Artículo 92 — Poder para realizar evaluaciones
La Comisión puede realizar evaluaciones de modelos de propósito general, incluyendo pruebas técnicas cuando proceda.
Artículo 93 — Poder para solicitar medidas
La Comisión puede exigir medidas correctoras o de mitigación a proveedores de modelos de propósito general.
Artículo 94 — Derechos procedimentales de operadores económicos
Reconoce garantías procedimentales para operadores afectados por actuaciones de la Comisión: derecho a ser oídos, acceso a expediente y protección de confidencialidad.
Capítulo X — Códigos de conducta y directrices
Artículo 95 — Códigos de conducta para aplicación voluntaria
Promueve códigos de conducta voluntarios para aplicar requisitos del AI Act a sistemas que no son de alto riesgo.
Busca elevar buenas prácticas más allá del mínimo obligatorio.
Artículo 96 — Directrices de la Comisión
La Comisión debe emitir directrices para facilitar la aplicación práctica del Reglamento.
Este artículo es clave porque el AI Act necesita interpretación técnica constante.
Capítulo XI — Delegación de poderes y procedimiento de comité
Artículo 97 — Ejercicio de la delegación
Regula cómo la Comisión puede adoptar actos delegados para modificar o completar determinados aspectos del Reglamento.
Artículo 98 — Procedimiento de comité
Establece el procedimiento mediante el cual los Estados miembros participan en ciertos actos de ejecución de la Comisión.
Capítulo XII — Sanciones
Artículo 99 — Sanciones
Obliga a los Estados miembros a establecer sanciones efectivas, proporcionadas y disuasorias. También fija niveles máximos de multas, incluyendo sanciones especialmente elevadas para prácticas prohibidas.
Es el artículo que da fuerza real al Reglamento.
Artículo 100 — Multas administrativas a instituciones, órganos y organismos de la Unión
Regula sanciones aplicables a instituciones, órganos y organismos de la UE cuando incumplen el AI Act.
Artículo 101 — Multas a proveedores de modelos de propósito general
Establece multas específicas para proveedores de modelos de propósito general cuando incumplen obligaciones, solicitudes de información o medidas exigidas por la Comisión.
Capítulo XIII — Disposiciones finales
Artículo 102 — Modificación del Reglamento (CE) n.º 300/2008
Adapta la normativa de seguridad aérea para tener en cuenta sistemas de IA como componentes de seguridad.
Artículo 103 — Modificación del Reglamento (UE) n.º 167/2013
Introduce ajustes en la normativa sobre vehículos agrícolas y forestales cuando incorporen sistemas de IA de seguridad.
Artículo 104 — Modificación del Reglamento (UE) n.º 168/2013
Adapta la normativa sobre vehículos de dos o tres ruedas y cuatriciclos en relación con sistemas de IA.
Artículo 105 — Modificación de la Directiva 2014/90/UE
Ajusta la normativa sobre equipos marinos para considerar sistemas de IA integrados.
Artículo 106 — Modificación de la Directiva (UE) 2016/797
Adapta la normativa de interoperabilidad ferroviaria para sistemas de IA relevantes.
Artículo 107 — Modificación del Reglamento (UE) 2018/858
Introduce cambios en la homologación de vehículos de motor respecto a sistemas de IA como componentes de seguridad.
Artículo 108 — Modificación del Reglamento (UE) 2018/1139
Adapta normativa de aviación civil para sistemas de IA relacionados con seguridad aérea.
Artículo 109 — Modificación del Reglamento (UE) 2019/2144
Ajusta la normativa de seguridad general de vehículos de motor respecto a sistemas de IA.
Artículo 110 — Modificación de la Directiva (UE) 2020/1828
Incluye el AI Act dentro del marco europeo de acciones de representación para proteger intereses colectivos de consumidores.
En términos prácticos, facilita que determinadas infracciones puedan ser objeto de acciones colectivas.
Artículo 111 — Sistemas de IA ya comercializados o puestos en servicio y modelos de propósito general ya comercializados
Regula el régimen transitorio para sistemas y modelos existentes antes de la plena aplicación del Reglamento.
Es clave para empresas que ya tenían soluciones de IA en producción.
Artículo 112 — Evaluación y revisión
Obliga a revisar periódicamente el Reglamento, incluyendo listas de alto riesgo, prácticas prohibidas, gobernanza, impacto en innovación y necesidad de cambios.
Reconoce que la IA evoluciona y que la norma deberá adaptarse.
Artículo 113 — Entrada en vigor y aplicación
Establece cuándo entra en vigor y cuándo se aplican sus distintas partes. El AI Act entró en vigor el 1 de agosto de 2024 y, como regla general, será plenamente aplicable el 2 de agosto de 2026, con excepciones: prácticas prohibidas y alfabetización en IA desde febrero de 2025, reglas de gobernanza y obligaciones para modelos de propósito general desde agosto de 2025, y reglas específicas para sistemas de alto riesgo con calendarios diferenciados. La Comisión Europea ha indicado además que, tras el acuerdo político de simplificación de mayo de 2026, determinados sistemas de alto riesgo pasarían a aplicar desde el 2 de diciembre de 2027, y los integrados en productos desde el 2 de agosto de 2028. (digital-strategy.ec.europa.eu)
Lectura estratégica del AI Act
El AI Act no debe entenderse solo como una norma tecnológica. Es una arquitectura de gobernanza del riesgo algorítmico. Ordena quién puede desarrollar IA, quién puede integrarla, quién puede desplegarla, qué documentación debe existir, cómo se prueba la conformidad, cómo se supervisa el uso real y qué derechos conservan las personas afectadas.
Para una empresa, la pregunta no es simplemente: “¿uso inteligencia artificial?”. La pregunta correcta es:
¿Qué papel tengo en la cadena de valor de la IA, qué nivel de riesgo tiene mi sistema, qué impacto puede producir sobre personas y qué evidencias puedo aportar para demostrar que lo he gestionado correctamente?
Desde una perspectiva práctica, los artículos más importantes para compliance empresarial son:
Artículos 1 a 4, porque definen alcance, conceptos y alfabetización en IA.
Artículo 5, porque marca las prohibiciones absolutas.
Artículos 6 y 7, porque determinan si un sistema es de alto riesgo.
Artículos 8 a 15, porque fijan los requisitos técnicos de los sistemas de alto riesgo.
Artículos 16 a 27, porque asignan obligaciones a proveedores, deployers, importadores, distribuidores e integradores.
Artículo 50, porque introduce obligaciones de transparencia incluso para sistemas que no sean de alto riesgo.
Artículos 51 a 56, porque regulan modelos de IA de propósito general.
Artículos 72 a 87, porque articulan vigilancia, incidentes, reclamaciones y derecho a explicación.
Artículos 99 a 101, porque establecen el régimen sancionador.
En resumen: el AI Act convierte la inteligencia artificial en una materia de gobierno corporativo, gestión de riesgos, evidencia documental, supervisión técnica y responsabilidad humana. Para muchas organizaciones, cumplir no será solo “tener una política de IA”, sino construir un sistema real de control sobre cómo se diseñan, compran, integran, usan y revisan los sistemas de inteligencia artificial.