La importancia del «IA Act» para tu empresa

El fenómeno de la Inteligencia Artificial (IA) es una realidad ineludible y un «monstruo insaciable» que ha pasado a formar parte de nuestro día a día. Europa ha dado un paso vertiginoso hacia la regulación de su uso en esta nueva era. La expansión de la IA en sectores como salud, educación, transporte, financiero o en áreas relacionadas con los recursos humanos han generado enormes oportunidades, pero también nuevos desafíos éticos, legales y sociales. La postura de Europa desde su poder legislativo en este ámbito ha traído consigo el Reglamento de Inteligencia Artificial (AI Act) que se basa en el enfoque del riesgo de estos sistemas por niveles: riesgo no regulado, limitado, alto e inaceptable.

Roadmap de la IA Act – ¿Cuándo entra en vigor?

La AI Act de la Unión Europea entró en vigor en agosto de 2024, y como suele ser habitual en este tipo de regulaciones, la magnitud del reto legislativo es tal que su aplicación plena será obligatoria una vez transcurrido un periodo de adaptación de dos años. Todo ello, cuando aún existen interpretaciones pendientes de ser resueltas por las autoridades de control o directamente desarrolladas por “Guidelines” desde la Comisión Europea. Durante este tiempo, las distintas obligaciones se han ido implementando de forma progresiva. Así, en una primera fase, desde el 2 de febrero de 2025 se han empezado a aplicar las disposiciones generales (ámbito de aplicación, alfabetización en materia de IA a la hora de promover el conocimiento de su uso, etc.) y las prohibiciones relacionadas con los sistemas de riesgo inaceptable (amenazas para derechos fundamentales o seguridad de las personas físicas como la manipulación cognitiva/ conductual, sistemas de puntuación social, identificación biométrica remota y en tiempo real, reconocimiento de emociones y sentimientos y el uso para la explotación de vulnerabilidades de menores o discapacitados). Uno de los puntos más relevantes para las organizaciones del ámbito público o privado, es la alfabetización en materia de IA. Es necesario disponer de habilidades y competencias que permitan a las personas interactuar con la IA de manera efectiva y responsable. Esto implica comprender cómo funcionan los algoritmos, el alcance que tiene su capacidad, poder identificar fuentes de datos y sesgos y evaluar impactos sociales, éticos y culturales. Asimismo, a partir del 2 de mayo de 2025 se han habilitado los códigos de buenas prácticas, cuya finalidad es orientar el desarrollo y el uso responsable de la inteligencia artificial. Finalmente, el pasado 2 de agosto de 2025 comenzaron a ser vinculantes el resto de las disposiciones generales y los Estados Miembros de la Unión Europea deben adaptar su legislación nacional, incluyendo la actualización de los regímenes de sanciones y multas. A partir de ese momento, la normativa comenzó a aplicarse de forma efectiva y las empresas que no la cumplen podrán ser sancionadas.

No obstante, la AI Act establece un periodo transitorio hasta el 11 de mayo de 2026, durante el cual no se impondrán sanciones automáticas por incumplimiento. Las autoridades podrán, sin embargo, emitir advertencias y orientaciones, fomentando la participación en los “sandbox” regulatorios y en iniciativas como GPAI (Global Partnership in Artificial Intelligence), que impulsan una adopción progresiva, responsable y voluntaria de la normativa.

Cumplimiento Normativo

El Reglamento establece las obligaciones legales, técnicas y de privacidad que deben exigirse a cualquier proveedor de sistemas de inteligencia artificial, centrando el eje de actuación y regulatorio sobre los sistemas denominados de Riesgo Alto o Riesgo Inaceptable, de cara a su uso restrictivo o prohibición.

El proveedor debe garantizar el cumplimiento del AI Act, incluyendo la gestión de riesgos, la gobernanza de datos y la realización de evaluaciones de conformidad antes de su comercialización. Asimismo, debe asegurar la transparencia, trazabilidad y capacidad de explicar las decisiones del sistema, mantener registros automáticos y entregar documentación técnica completa. También se requiere la implementación de medidas de supervisión humana, políticas de seguridad y un plan de respuesta ante incidentes. Todas estas obligaciones deben integrarse en el contrato con el proveedor para asegurar el cumplimiento normativo, la mitigación de riesgos y la protección legal y reputacional de la empresa.

¿Cómo afecta a mi empresa?

Es necesario establecer un plan de acción para estar al día en esta materia, serán muchos los aspectos a analizar y tener en cuenta, lo más importante es poner el foco de actuación en los fundamentos de la AI ACT. Es decir, un paso fundamental será desglosar las tareas por los distintos bloques que suponen estos principios afectados: Riesgos, Ética, Legislación, Gobierno, Calidad, Sistema Gestión de la Inteligencia Artificial (SGIA) y Auditoría.

Un resumen de los hitos más importantes que se exigen:

  1. Categorización a los riesgos asociados al uso de IA (respecto al uso interno y colaboración con herramientas externas). Una vez analizada la categoría de riesgos por cada uso es fundamental evaluar el nivel de madurez y exposición a los mismos en un plan de supervisión continua.
  2. Implementar un marco de gobierno y riesgo de IA (para esta fase, podemos acudir a los estándares normativos ISO/IEC 23894 que proporciona directrices para la gestión de riesgos en sistemas de IA, ISO/EIC 38507 que regula la gobernanza en sistemas de Inteligencia Artificial (IA) o el conjunto de guías NIST AI Risk Management Framework, entre otros).
  3. Desarrollar políticas internas de ética, calidad y auditoría IA, organizando un plan de acción documental y formativo.
  4. Establecer un Sistema de Gestión de la Inteligencia Artificial (SGIA) integrado con el Sistema de Gestión de la Seguridad de la Información (SGSI).
  5. Completar los procesos de auditoría y cumplimiento con el resto de las exigencias que tiene el Reglamento IA. ¿Qué aspectos puede valorar una auditoría del sistema de IA?

Una auditoría del sistema de inteligencia artificial analiza diversos ejes de control que permiten verificar el cumplimiento normativo, la eficacia del sistema y su alineación con los principios de calidad, transparencia y seguridad exigidos por la AI Act. Entre los principales aspectos que se valoran se encuentran los siguientes:

  • Liderazgo y supervisión

Las organizaciones deben establecer políticas integrales de gobernanza de IA que abarquen todo su ciclo de vida, desde el diseño hasta la comercialización, asegurando privacidad, seguridad, calidad de datos y equidad. Esto incluye probar los modelos antes de su lanzamiento, usar datos protegidos, aplicar evaluaciones de impacto y mecanismos de control ético, promover la diversidad en los equipos, y alinear las prácticas internas y de terceros con la futura regulación europea de IA, garantizando una adopción responsable y transparente.

  • Gestión del riesgo

Se requiere realizar evaluaciones de impacto algorítmico y de equidad, adoptar un plan de seguimiento continuo de los modelos y establecer una metodología estandarizada que valore tanto los beneficios como los posibles daños que se van detectando. El plan de acción debe incluir una combinación entre control técnico del sistema IA, de la trazabilidad y la gobernanza ética documentada. Existen herramientas que nos pueden ayudar a llevar a cabo la gestión de riesgos de forma muy eficaz en este ámbito.

  • Políticas y procedimientos

Se requiere implantar los procesos que cubran todo el ciclo de vida de los modelos, incluyendo privacidad y seguridad desde el diseño, verificación de datos, pruebas piloto y uso de datos protegidos.

  • Transparencia

Las obligaciones en materia de transparencia se deben abordar como la necesidad de adaptar la información a los distintos interesados que la reciben (cliente persona física o jurídica, socios, auditores, usuarios…), comunicándola de manera clara y accesible. Esto implica explicar de forma exhaustiva cómo funcionan los algoritmos que están detrás de estas informaciones, hasta qué punto interviene la IA, la modalidad en que los distintos datos afectan a los resultados y como se gestiona la calidad y la trazabilidad de la información.

  • Training and awareness

Es fundamental ofrecer formación específica también denominada como “AI literacy” o Alfabetización IA. Ello implica preparar un contenido que recoja los aspectos relativos a ética de la herramienta, equidad en IA para los equipos de los distintos departamentos, y muy importante, comprender cómo manejar sesgos y reducir los riesgos. Desde PERSEUS podemos asesoraros en planes formativos en este contexto.

  • Aplicación, monitorización y verificación

Cómo último eje de actuación y para garantizar un uso de IA responsable, es primordial regular la intervención y reparación de los equipos humanos tanto en decisiones como en reportes de problemas. Se recomienda establecer un plan de supervisión y auditoría incluyendo revisión humana de decisiones críticas, monitoreo del flujo de datos, pruebas contractuales y adversariales. Asimismo, junto con los controles de auditoría predefinidos anteriormente, equipos internos especializados y canales de comunicación claros permite verificar el correcto funcionamiento y responder a incidencias de manera efectiva.

En definitiva, la entrada en vigor de la AI Act marca un cambio estructural en la forma en que las organizaciones deben diseñar, desplegar y supervisar los sistemas de inteligencia artificial. El cumplimiento ya no se limita a exigencias técnicas, sino que requiere una adaptación profunda de los procesos internos, la cultura organizativa y los mecanismos de control, con especial atención a la gestión del riesgo, la trazabilidad, la ética y la transparencia. Aquellas organizaciones que adopten un enfoque proactivo, alineando desde el inicio los desarrollos de IA con los marcos regulatorios y estándares internacionales, no solo reducirán su exposición a sanciones, sino que fortalecerán su competitividad, su resiliencia tecnológica y la confianza de sus clientes, socios y reguladores.

Por último, se recomienda tener en cuenta la ISO 42001 como estándar de regulación que recoge todos los puntos abordados y sobre el cual se puede establecer el plan director para la implantación de los sistemas en un entorno de uso responsable y de cumplimiento normativo.

Desde Perseus Ciberseguridad podemos ayudar a tu empresa en la implantación eficaz de la IA ACT, evaluando los riesgos con objeto de reducirlos al mínimo posible mediante servicios profesionales especializados y adaptados a las necesidades de cada organización.

Martín Ibañez Vicioso

Área de GRC