← VOLVER AL BLOG
Política

La regulación de la IA en Europa: lo que nadie te está contando

El AI Act ya es ley. Más allá de los titulares, qué significa realmente para quienes desarrollamos software en la Unión Europea.

28 de enero de 2025 ~10 min de lectura
#ia #regulación #europa #ai-act #política

El AI Act entró en vigor en agosto de 2024. Nueve meses después, la mayoría de developers en Europa siguen sin saber exactamente qué implica para su trabajo. No es culpa suya: la cobertura mediática se ha centrado en los titulares llamativos —“Europa regula la IA”— sin entrar en lo que realmente afecta a alguien que escribe código día a día.

Voy a intentar arreglarlo.

El sistema de riesgo: lo que realmente importa

El AI Act clasifica los sistemas de IA en cuatro niveles de riesgo. La mayoría de lo que desarrollamos cae en las categorías más bajas:

// Distribución de sistemas de IA por nivel de riesgo (estimado)

Riesgo inaceptable (prohibido): sistemas de puntuación social por gobiernos, manipulación subliminal, identificación biométrica en tiempo real en espacios públicos. Si no estás construyendo para un estado autoritario, no te afecta.

Riesgo alto: sistemas de RRHH que afectan contrataciones, scoring crediticio, diagnóstico médico, infraestructura crítica. Si construyes esto, tienes trabajo por delante.

Riesgo limitado: chatbots, sistemas de recomendación, generadores de contenido. Básicamente: transparencia. Si tu app usa IA que interactúa con humanos, tienes que decírselo.

Riesgo mínimo: el resto. Filtros de spam, juegos con IA, herramientas de productividad. Sin obligaciones adicionales.

Los plazos que debes conocer

Esto es lo que la mayoría de artículos no explica claramente:

// Plazos de aplicación del AI Act
  • Febrero 2025: prohibiciones de riesgo inaceptable aplicables.
  • Agosto 2025: obligaciones para modelos de IA de propósito general (GPT-4, Claude, Gemini…).
  • Agosto 2026: obligaciones para sistemas de alto riesgo.
  • Agosto 2027: obligaciones para sistemas de alto riesgo en sectores específicos (médico, etc.).

Si construyes con APIs de terceros (OpenAI, Anthropic, Google), esos proveedores asumen la carga regulatoria de los modelos base. Tú sigues siendo responsable de cómo los usas, pero el cumplimiento del modelo en sí no es tu problema.

Lo que sí debes hacer probablemente

Sin entrar en asesoría legal (no soy abogado, y esto no es consejo legal), hay algunas cosas que como developer deberías evaluar:

Si tienes un chatbot o interfaz conversacional con IA: necesitas informar al usuario de que está interactuando con una IA. Una línea en la UI. Sin drama.

Si usas IA para generar contenido audiovisual: necesitas marcarlo como generado por IA. Deep fakes, básicamente. Si no haces deep fakes, tampoco drama.

Si construyes sistemas que toman decisiones sobre personas en contextos de alto riesgo: aquí sí necesitas revisar con alguien que sepa de compliance. No es trivial.

Mi lectura como developer

La narrativa de “Europa destruye la innovación en IA” es simplista. El AI Act es una regulación que, en su mayoría, aplica a casos de uso genuinamente problemáticos. La parte que afecta al developer medio es razonablemente sensata: di que usas IA, no manipules a la gente, no discrimines en procesos críticos.

Lo que sí me preocupa es la velocidad de implementación y la capacidad de las autoridades nacionales para aplicar esto de forma coherente. La regulación existe; la pregunta es si habrá músculo ejecutivo real.

De momento, si desarrollas en Europa: revisa en qué categoría caen tus productos, implementa las transparencias básicas (son fáciles) y mantente informado. El ecosistema todavía está digiriendo la ley.