El Reglamento (UE) 2024/1689, conocido popularmente como RIA o Reglamento de Inteligencia Artificial, avanza hacia uno de sus hitos más relevantes. Aprobado en junio de 2024 y en vigor desde agosto de ese mismo año, esta norma constituye el primer marco jurídico integral del mundo dedicado a regular el desarrollo y el uso de sistemas de inteligencia artificial, y su despliegue se está produciendo de forma escalonada para dar tiempo a las organizaciones a adaptarse..

 

Un calendario que ya está en marcha

Desde febrero de 2025 son inaplicables las llamadas «prácticas de riesgo inaceptable«: manipulación subliminal, puntuación social de los ciudadanos, reconocimiento biométrico masivo no autorizado y otras prácticas similares quedan directamente prohibidas en territorio europeo. Esa misma fecha activó la obligación de garantizar una alfabetización mínima en IA entre el personal de cualquier empresa que utilice estos sistemas.

En agosto de 2025 entraron en vigor las obligaciones específicas para los proveedores de modelos de IA de propósito general (los llamados modelos GPAI), que afectan principalmente a las grandes compañías tecnológicas que desarrollan estos sistemas.

El próximo gran hito está fijado para el 2 de agosto de 2026, fecha en la que se activa el grueso del régimen general del Reglamento, incluidas las obligaciones para los sistemas de inteligencia artificial de alto riesgo recogidos en el Anexo III: selección de personal, evaluación crediticia, gestión de infraestructuras críticas, educación o seguridad, entre otros ámbitos especialmente sensibles. A partir de esa fecha, las autoridades nacionales, en España, la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), asumirán plenas competencias de inspección y sanción.

Conviene tener en cuenta que la Comisión Europea ha presentado un paquete de modificación conocido como «Ómnibus Digital», actualmente en tramitación, que podría desplazar algunos de estos plazos hacia 2027 y 2028 para determinados sistemas de alto riesgo. Hasta que ese texto no se apruebe definitivamente, el calendario vigente sigue siendo el de referencia.

 

Por qué afecta a cualquier organización

El Reglamento no se limita a las empresas tecnológicas: alcanza a cualquier entidad que desarrolle, comercialice, integre o utilice sistemas de inteligencia artificial dentro del mercado europeo, con independencia de su tamaño o de dónde tenga su sede, siempre que sus resultados se utilicen en la Unión. Las sanciones por incumplimiento pueden llegar hasta los 35 millones de euros o el 7% de la facturación global anual de la empresa, superando los topes ya conocidos del RGPD.

 

Una capa más sobre el cumplimiento ya existente

El Reglamento de IA no debe entenderse como un compartimento aislado, sino como una exigencia adicional que se suma a obligaciones ya conocidas en materia de protección de datos y normativa sectorial. Para las organizaciones que ya cuentan con sistemas de gestión de calidad o de cumplimiento normativo, la adaptación al RIA puede apoyarse en gran medida en estructuras ya existentes, complementadas con la clasificación de riesgo de cada sistema de IA utilizado y la documentación técnica correspondiente.

Con el plazo de agosto de 2026 cada vez más cerca, la recomendación para cualquier empresa, especialmente aquellas que emplean IA en procesos que afectan a personas, es comenzar ya la identificación de sus sistemas y su nivel de riesgo, en lugar de esperar a que se acerque la fecha límite.

 

Publicado el 26 de Junio de 2026
Por Alfredo Barroso
Departamento Jurídico