La primera pregunta sobre la ley europea de inteligencia artificial no es jurídica ni técnica. Es de inventario: ¿en qué casilla cae cada uno de sus sistemas? De esa respuesta depende todo lo demás — qué le exige la ley y cuánto le cuesta no hacerlo. Y la mayoría de las empresas no puede responderla, sencillamente porque no tiene la lista de lo que su IA hace.
Vamos a quitarle el misterio, sin tecnicismos.
La ley ordena la IA por riesgo, no por tecnología
El Reglamento europeo de IA [Fuente: Reglamento (UE) 2024/1689, EUR-Lex, 2024, https://eur-lex.europa.eu/eli/reg/2024/1689/oj] no mira si usa un modelo grande o pequeño. Mira para qué lo usa. Y reparte los sistemas en tres grupos:
- Prohibidos — usos vedados (por ejemplo, puntuar socialmente a las personas). Si su caso encaja aquí, no hay cumplimiento posible: no se puede usar.
- De alto riesgo — usos sensibles que sí se permiten, pero con obligaciones serias. Aquí está el grueso del trabajo.
- Con obligaciones de transparencia — por ejemplo, avisar de que quien le escribe es una IA. Aplica con independencia de lo anterior.
Cómo se decide si lo suyo es «de alto riesgo»
Hay dos vías [Fuente: Reglamento (UE) 2024/1689, art. 6 y Anexo III, EUR-Lex, 2024]. La que afecta a la mayoría es la segunda: que el uso del sistema figure en una lista (el Anexo III) de ámbitos sensibles — entre ellos empleo y gestión de trabajadores, acceso a servicios esenciales (incluido el crédito), infraestructuras críticas o educación. Si su IA decide o influye en algo de esa lista, probablemente es de alto riesgo.
Hay una salida —la ley permite alegar que su caso concreto no plantea un riesgo importante—, pero viene con una trampa que conviene conocer.
La trampa: decir «no es de alto riesgo» también hay que demostrarlo
Aunque su sistema esté en la lista, puede quedar fuera del alto riesgo si encaja en ciertas excepciones (por ejemplo, que solo haga una tarea preparatoria). Pero la ley exige algo: debe documentar esa evaluación por escrito antes de poner el sistema en marcha, y enseñarla si la autoridad la pide [Fuente: Reglamento (UE) 2024/1689, art. 6.3 y 6.4, EUR-Lex, 2024]. Y hay un límite que no admite excepción: si su IA elabora perfiles de personas, siempre es de alto riesgo.
Dicho de otro modo: decir «lo mío no aplica» no le ahorra el trabajo de gobernanza. Se lo cambia de forma — en vez de cumplir las obligaciones de alto riesgo, tiene que poder justificar, con un documento, por qué no le aplican. Sin un inventario de sus sistemas y de su finalidad, esa justificación no existe.
Por eso el problema es de gobernanza, no de modelo
Responder «¿me aplica?» con solvencia exige tres cosas que no tienen que ver con la tecnología:
- La lista de sus sistemas de IA (los que hay, no los que cree que hay).
- La finalidad de cada uno: qué decide, sobre quién, con qué datos.
- La trazabilidad para sostener, ante quien pregunte, que su clasificación es correcta.
Eso es exactamente un ejercicio de gobernanza de datos — el mismo que hace que la IA opere de verdad su negocio. No son dos proyectos: la base que pone su IA a funcionar es la que le deja clasificarla y defenderla.
Qué hacer con esto
Si no tiene aún esa lista, ese es el primer paso, y no es grande: empieza por un departamento. En nuestro método, el inventario y la clasificación de riesgo son lo primero que queda por escrito — los primeros quince días. No para tranquilizarle, sino para que usted, y no un tercero, sepa dónde está parado.
Las fechas de aplicación del régimen de alto riesgo están sujetas a un posible diferimiento en discusión a nivel europeo; conviene confirmarlas antes de tomar decisiones con calendario.