Obligaciones AI Act por articulo

El AI Act (Reglamento (UE) 2024/1689) impone obligaciones diferenciadas segun el nivel de riesgo del sistema de IA. Las practicas de riesgo inaceptable estan prohibidas (articulo 5). Los sistemas de alto riesgo deben cumplir requisitos estrictos: documentacion tecnica, gestion de riesgos, gobernanza de datos, supervision humana y ciberseguridad. Los sistemas de riesgo limitado estan sujetos a obligaciones de transparencia (articulo 50). Todos los operadores deben garantizar la alfabetizacion en IA de su personal (articulo 4).

El AI Act se aplica a cuatro categorias de operadores: los proveedores (que desarrollan o comercializan un sistema de IA), los implementadores (que utilizan un sistema de IA bajo su propia autoridad), los importadores (que introducen en la UE un sistema de un proveedor no comunitario) y los distribuidores (que ponen un sistema de IA a disposicion en el mercado europeo). Las obligaciones varian segun el rol del operador y el nivel de riesgo del sistema en cuestion.

El proveedor es quien desarrolla un sistema de IA o lo hace desarrollar, y lo comercializa o pone en servicio bajo su propio nombre o marca. El implementador es toda persona que utiliza un sistema de IA bajo su propia autoridad en un contexto profesional. Una misma organizacion puede ostentar ambos roles segun los sistemas de que se trate. Los proveedores tienen obligaciones mas amplias, incluyendo la documentacion tecnica y la evaluacion de conformidad previa a la comercializacion.

Los sistemas de IA de alto riesgo deben cumplir un conjunto integral de requisitos reglamentarios: sistema de gestion de riesgos (art. 9), gobernanza de los datos de entrenamiento (art. 10), documentacion tecnica detallada (art. 11), registro automatico de eventos (art. 12), transparencia e informacion al usuario (art. 13), medidas de supervision humana (art. 14) y garantias de precision, robustez y ciberseguridad (art. 15). El proveedor debe ademas establecer un sistema de gestion de la calidad.

El AI Act entro en vigor el 1 de agosto de 2024 con una aplicacion progresiva. Las practicas prohibidas y la obligacion de alfabetizacion en IA se aplican desde el 2 de febrero de 2025. Las normas para modelos GPAI se aplican desde el 2 de agosto de 2025. Las obligaciones de transparencia (art. 50) y los sistemas de alto riesgo del Anexo III se aplicaran a partir del 2 de agosto de 2026. Los sistemas del Anexo I (productos regulados) seguiran el 2 de agosto de 2027.

Las sanciones son proporcionadas a la gravedad de la infraccion: hasta 35 millones de euros o el 7 % del volumen de negocios anual mundial para las practicas prohibidas, hasta 15 millones de euros o el 3 % para el incumplimiento de otras obligaciones reglamentarias, y hasta 7,5 millones de euros o el 1 % para el suministro de informacion inexacta a las autoridades. Para las pymes y startups, los importes se ajustan al mas bajo de los dos umbrales.

Si, los proveedores de modelos GPAI (como los grandes modelos de lenguaje) tienen obligaciones especificas desde el 2 de agosto de 2025: elaborar documentacion tecnica, respetar los derechos de autor de la UE y publicar un resumen de los datos de entrenamiento. Los modelos GPAI que presenten riesgo sistemico tienen obligaciones adicionales: evaluacion exhaustiva del modelo, mitigacion de riesgos sistemicos, notificacion de incidentes graves y nivel adecuado de ciberseguridad.

Un sistema de IA se clasifica como de alto riesgo en dos casos: si es un componente de seguridad de un producto cubierto por la legislacion de armonizacion de la UE (Anexo I: dispositivos medicos, maquinaria, juguetes, etc.), o si entra en los ambitos sensibles del Anexo III (biometria, infraestructuras criticas, educacion, empleo, servicios esenciales, fuerzas del orden, migracion, justicia). Nuestra herramienta de diagnostico gratuita le permite identificar en pocos minutos el nivel de riesgo aplicable a su sistema.