Reglamento de IA (AI Act): qué obligaciones tendrán las empresas tecnológicas en 2025

Reglamento de IA (AI Act): qué obligaciones tendrán las empresas tecnológicas en 2025


En 2025 se activan dos bloques que impactan de lleno a startups y a empresas en transformación que integran IA en sus productos y procesos en España:

- Desde el 02/02/2025: entran en vigor las prohibiciones de determinadas prácticas de IA y la obligación transversal de fomentar la alfabetización en IA (AI literacy) dentro de las organizaciones.
- Desde el 02/08/2025: se aplican las reglas para modelos de IA de propósito general (GPAI), con especial peso en los proveedores de estos modelos y efectos indirectos para integradores que se apoyan en terceros.

A partir de aquí, el foco regulatorio para 2025 es claro: detectar y desactivar usos prohibidos y exigir al proveedor de GPAI la información necesaria para usar el modelo con seguridad jurídica. La transparencia reforzada (p. ej., etiquetado de “deepfakes” y chatbots) llega en 2026, por lo que 2025 es el año para preparar esa transición.

---

Fechas clave para implementar el RIA

02/02/2025. Se activan las prohibiciones del Reglamento y la obligación de promover la alfabetización en IA dentro de las organizaciones. Afecta a toda la cadena (proveedores, distribuidores e integradores/usuarios empresariales). En la práctica, conviene elaborar un inventario de casos de uso, aplicar un filtro estricto para detectar funciones que caigan en los supuestos prohibidos y retirarlas o rediseñarlas de inmediato. En paralelo, inicia una microformación para los equipos de producto, datos, legal y operaciones, con foco en límites del modelo, sesgos, privacidad y seguridad.

02/08/2025. Entran en juego las obligaciones para GPAI. El mayor peso recae en los proveedores (documentación técnica, resumen del entrenamiento, política de propiedad intelectual, seguridad y, si procede, medidas reforzadas por riesgo sistémico). Para los integradores, la prioridad es solicitar, revisar y conservar esa documentación y trasladar las advertencias y limitaciones pertinentes a clientes y usuarios. Es recomendable ajustar contratos (origen lícito de datos, licencias y restricciones de uso, ciberseguridad, gestión de incidencias) y preparar canales internos para monitorizar cambios relevantes en los modelos de terceros.

02/08/2026. Comenzará a aplicarse el bloque de transparencia (p. ej., etiquetado de contenido sintético y avisos en chatbots). Aunque todavía queda un año, es sensato cerrar en 2025 la estrategia de etiquetado: decisiones de UI/UX, uso de marcas de agua y metadatos, y mensajes claros para evitar confusión con contenido humano.

---

¿A quién afecta en 2025?


- Proveedores: quien desarrolla y “pone en el mercado” el sistema/modelo de IA.
- Importadores y distribuidores: quienes comercializan en la UE sistemas de IA de terceros.
- Usuarios empresariales / “desplegadores”: quien integra sistemas de IA (propios o ajenos) en su actividad.

Si un producto o servicio se ofrece o utiliza en la UE, el AI Act aplica con independencia del lugar de establecimiento del proveedor.

---

Lo que no puedes hacer desde el 02/02/2025 (prohibiciones)


El Reglamento prohíbe, entre otras, las siguientes prácticas:
- Clasificación social de personas (“social scoring”) que derive en trato perjudicial injustificado.
- Categorización biométrica que infiera atributos sensibles (p. ej., orientación sexual, convicciones políticas o religiosas).
- Raspado masivo de imágenes faciales de internet o CCTV para crear bases de datos de reconocimiento.
- Reconocimiento de emociones en entornos laborales o educativos, salvo excepciones muy acotadas (p. ej., salud o seguridad).
- Técnicas manipulativas o subliminales que distorsionen significativamente la conducta y provoquen perjuicio.

Qué hacer ya
1) Elaborar un inventario de casos de uso de IA (propios y de terceros).
2) Aplicar un filtro Art. 5 para identificar usos prohibidos.
3) Retirar o rediseñar esas funciones y documentar la decisión.
4) Arrancar un programa básico de alfabetización en IA para los equipos de producto, datos, legal y operaciones.

Sanciones (orientativas): la infracción de prohibiciones puede acarrear multas de hasta 35 millones de euros o el 7% del volumen de negocio mundial (la cifra mayor), con proporcionalidad para pymes.

---

GPAI desde el 02/08/2025: qué cambia si usas modelos de terceros


Las obligaciones más intensas del capítulo GPAI recaen sobre los proveedores de los modelos. Entre otras, deben:
- Proporcionar documentación técnica adecuada a integradores.
- Publicar un resumen suficientemente detallado de los datos de entrenamiento.
- Contar con una política de propiedad intelectual/copyright coherente con las normas de la UE.
- Implementar medidas de seguridad y mitigación de riesgos y, en su caso, notificar si el modelo alcanza la categoría de “riesgo sistémico”, desplegando controles reforzados.

Para integradores (tu caso más probable):
- Solicita, revisa y conserva la documentación del proveedor y el resumen de datos; son la base de tu análisis jurídico-técnico.
- Contractualiza garantías (origen lícito de datos, derechos de PI, restricciones de uso, ciberseguridad, gestión de incidentes).
- Traslada avisos a tus clientes/usuarios cuando el contenido generado pueda confundirse con humano (aunque la obligación plena llegue en 2026, es recomendable anticiparse).
- Monitorea si el proveedor declara o alcanza riesgo sistémico (cambia el nivel de exigencia técnica).

> Pista útil: alinearse con el Código de Prácticas para GPAI (instrumento voluntario) ayuda a demostrar diligencia cuando integras modelos de terceros.

---

España: gobernanza y herramientas públicas


- AESIA: autoridad española especializada en supervisión de IA. Coordina con autoridades sectoriales y con la AEPD cuando hay datos personales.
- Sandbox regulatorio de IA: entorno de pruebas oficial para proyectos (especialmente de alto riesgo) que necesiten ensayar requisitos con supervisión de la Administración.
- Anteproyecto de Ley para el buen uso y la gobernanza de la IA (2025): alinea el ordenamiento español con el AI Act e incorpora medidas adicionales, como etiquetado de contenidos generados por IA y un régimen sancionador nacional. (En tramitación en la fecha de publicación.)

---

Soft law y estándares que conviene seguir en 2025


Aunque no son vinculantes, hay materiales de autoridad que orientan la interpretación del marco:
- Guías de la Comisión para GPAI y Código de Prácticas (publicado en 2025).
- Orientaciones de autoridades de protección de datos (europeas y españolas) sobre bases jurídicas, minimización y auditoría cuando hay datos personales.
- UNE-ISO/IEC 42001:2025 (sistema de gestión de IA): referencia útil para dotar de gobernanza proporcionada sin convertir el proyecto en “compliance por compliance”.

---

2025 para integradores: hoja de ruta pragmática (no sectorial)


1. Mapa de IA y “filtros duros”: inventario + criba Art. 5 (prohibiciones). Si algo cae dentro, no se lanza.
2. AI literacy: microformación interna sobre límites del modelo, sesgos, privacidad y usos prohibidos.
3. Diligencia con el proveedor GPAI (desde 02/08/2025): documentación técnica, resumen de datos, copyright, ciberseguridad, gestión de incidentes y situación de riesgo.
4. Contratos y avisos: actualiza Términos/DPA, cláusulas de atribución, limitaciones de uso y transparencia hacia el usuario final.
5. Transparencia 2026, preparada en 2025: define etiquetado (UI/UX), marcas de agua y metadatos para contenido sintético y chatbots.
6. Gobernanza ligera: políticas mínimas, roles y registros (cambios de modelo, incidencias y “no-go uses”), apoyándote en estándares como UNE-ISO/IEC 42001.

---

Preguntas frecuentes (rápidas)


¿Puedo usar reconocimiento emocional en RR. HH. o formación interna?
No, entra en el grupo de prácticas prohibidas desde el 02/02/2025, con excepciones muy limitadas.

Si integro un modelo de un tercero, ¿me cambia algo en 2025?
Sí. Desde el 02/08/2025, debes revisar la documentación del proveedor de GPAI y ajustar avisos/contratos en tu cadena de valor.

¿El Código de Prácticas para GPAI es obligatorio?
No. Es voluntario, pero útil para demostrar diligencia y anticipar expectativas regulatorias.

¿Quién me supervisa en España?
La AESIA en materia de IA, la AEPD cuando haya datos personales y los reguladores sectoriales según el caso. El sandbox es una vía para ensayar proyectos complejos bajo supervisión.

---

En conclusión: ¿Que debes hacer con el RIA?


2025 es el año de las bases: detectar y desactivar usos prohibidos, elevar la alfabetización en IA y exigir al proveedor documentación y garantías para integrar modelos con seguridad jurídica. Si haces esto ahora, la transición a la transparencia reforzada de 2026 será mucho más sencilla.

Artículos relacionados

¿Qué criptomonedas quedan fuera del Reglamento MICA? Exclusiones y normativa aplicable en España
Legal

¿Qué criptomonedas quedan fuera del Reglamento MICA? Exclusiones y normativa aplicable en España

No todas las criptomonedas están reguladas por MICA. Descubre qué activos quedan fuera de su ámbito de aplicación y qué normas se aplican en España.

Leer más →
Whitepaper en criptomonedas: requisitos y obligaciones bajo MICA en España
Legal

Whitepaper en criptomonedas: requisitos y obligaciones bajo MICA en España

¿Es obligatorio publicar un whitepaper en criptomonedas? Descubre qué exige MICA en España, qué debe incluir el libro blanco y cómo proteger al inversor.

Leer más →
Cómo constituir una Sociedad Limitada (SL) paso a paso en España
Legal

Cómo constituir una Sociedad Limitada (SL) paso a paso en España

¿Vas a emprender? Descubre paso a paso cómo crear una Sociedad Limitada en España: trámites legales, registro, NIF y estatutos.

Leer más →