El todavía relativamente nuevo Reglamento de IA de la UE (Reglamento (UE) 2024/1689) introduce un amplio régimen de cumplimiento, pero sus exigencias entran en vigor por fases. En particular, el marco de sanciones y ejecución está activo desde el 2 de agosto de 2025, mientras que muchas obligaciones sustantivas para la IA de alto riesgo solo se aplicarán más adelante.
El Reglamento de IA de la UE tiene aplicación extraterritorial. El artículo 2(1)(c) especifica que se aplica no solo a proveedores y usuarios (deployers) establecidos en la UE, sino también a actores extracomunitarios que comercialicen sistemas de IA en el mercado de la UE o cuyos resultados se utilicen en la UE, con independencia de dónde tengan su sede.
Esto significa que las empresas fuera de la UE, incluidos desarrolladores de modelos de IA y proveedores de aplicaciones, deben cumplir si sus sistemas entran en esta definición.
Este artículo explica lo que los usuarios (responsables del despliegue) y los llamados “wrappers” de IA (entidades que ajustan o crean aplicaciones sobre modelos de IA de propósito general) deben saber sobre obligaciones y responsabilidades a partir de agosto de 2025.
Definiciones clave: usuarios (responsables del despliegue) vs. “wrappers” de IA
El Reglamento de IA distingue a los proveedores de IA (quienes desarrollan o ponen modelos/sistemas en el mercado) de los usuarios (responsables del despliegue) (quienes utilizan sistemas de IA bajo su autoridad). En el artículo 3, un “usuario ( responsables del despliegue)” se define como la persona u organización que utiliza un sistema de IA (salvo en contextos puramente personales y no profesionales). En términos prácticos, un cliente corporativo que usa una herramienta de IA (por ejemplo, una empresa que despliega un filtro de contratación basado en IA) es un usuario.
El término “AI wrapper” no aparece en el propio Reglamento, pero se corresponde aproximadamente con lo que el Reglamento denomina “proveedor posterior”. El artículo 3(68) define al proveedor posterior como un proveedor de un sistema de IA (incluido uno basado en un modelo de propósito general) que integra un modelo de IA en su sistema, haya sido desarrollado internamente u obtenido de otra entidad. En otras palabras, un “wrapper de IA” suele ser un proveedor de software que toma un modelo (de uso general) existente y lo ajusta o lo incrusta en su aplicación (normalmente mediante llamadas a API). Estas entidades probablemente actuarán como proveedores del sistema de IA final frente a sus clientes, incluso si no entrenaron el modelo subyacente.
Entrada en vigor por fases (2 de agosto de 2025 y posteriores)
El Reglamento de IA entra en vigor por etapas (artículo 113). De forma crítica, el Capítulo V (modelos de IA de propósito general), el Capítulo VII (gobernanza) y el Capítulo XII (sanciones y ejecución) se aplican desde el 2 de agosto de 2025. Todos los demás capítulos (incluida la mayoría de los requisitos para la IA de alto riesgo del Capítulo III, con la excepción de su Sección 4, y las normas de transparencia del Capítulo IV) se aplican más tarde, en general desde el 2 de agosto de 2026, con algunas disposiciones tan tarde como 2027.
En resumen:
-
En vigor desde el 2 de agosto de 2025: Artículo 4 (alfabetización en IA), prohibición de ciertos usos “prohibidos” de IA (Capítulo II, artículo 5), obligaciones para proveedores de modelos de IA de uso general (Capítulo V, artículo 53), creación de la Oficina de IA y estructuras de gobernanza (Capítulo VII), régimen sancionador (Capítulo XII)
-
Aplazado hasta 2026/27: La mayoría de las obligaciones sobre IA de alto riesgo para proveedores e implementadores (Capítulo III, Secciones 1–3, artículos 6–27), reglas de transparencia para ciertos proveedores/implementadores (Capítulo IV), obligaciones de vigilancia posterior a la comercialización e informes (Capítulos IX–XI)
Obligaciones vigentes para usuarios
A partir de agosto de 2025, los usuarios tienen dos conjuntos clave de obligaciones exigibles:
1. Cumplimiento del artículo 4 – Requisitos de alfabetización en IA
El artículo 4 del Reglamento de IA exige que “…los responsables del despliegue de sistemas de IA adoptarán medidas para garantizar que, en la mayor medida posible, su personal y demás personas que se encarguen en su nombre del funcionamiento y la utilización de sistemas de IA tengan un nivel suficiente de alfabetización en materia de IA, teniendo en cuenta sus conocimientos técnicos, su experiencia, su educación y su formación, así como el contexto previsto de uso de los sistemas de IA y las personas o los colectivos de personas en que se van a utilizar dichos sistemas.”
Esto significa:
-
Los usuarios corporativos de IA (usuarios) deben asegurar que el personal que utiliza herramientas de IA, especialmente las de alto riesgo o sensibles, esté debidamente formado y comprenda cómo operarlas legalmente.
-
Esta obligación ya está en vigor y es exigible desde el 2 de agosto de 2025.
2. Prácticas de IA prohibidas – Artículo 5
Los usuarios deben asegurarse de no utilizar ni beneficiarse de sistemas de IA que incurran en determinadas prácticas prohibidas, como el score social, técnicas subliminales manipulativas y el scraping no dirigido de imágenes faciales. Estas prohibiciones están vigentes desde principios de 2025 y son exigibles desde el 2 de agosto de 2025.
Obligaciones vigentes para proveedores, incluidos los “wrappers”
1. Proveedores de modelos de IA de uso general (GPAI)
Si una entidad proporciona un modelo de propósito general (según el artículo 3(63)), el artículo 53 impone obligaciones inmediatas, entre ellas:
-
Documentación técnica (Anexo XI)
-
Respeto de las normas de derecho de autor de la UE (art. 53(1)(c))
-
Resumen de los datos de entrenamiento (art. 53(1)(d))
-
Políticas de uso e información para proveedores posteriores (Anexo XII)
-
Cooperación con las autoridades nacionales (art. 53(3))
La Comisión Europea ha publicado recientemente un Código de buenas prácticas para modelos de propósito general que puede utilizarse para señalar cumplimiento.
Estas obligaciones son plenamente exigibles desde el 2 de agosto de 2025. Los modelos ya presentes en el mercado se benefician de un período transitorio hasta 2027.
2. Wrappers / Proveedor Posterior de sistemas de IA
Las entidades que integran modelos GPAI en aplicaciones probablemente se conviertan en «proveedores» de sistemas de IA y pueden incluso quedar sometidas a las obligaciones del Capítulo III si su sistema se clasifica como de alto riesgo. Aunque esas reglas del Capítulo III aún no son exigibles, los wrappers deben:
-
Cumplir con las responsabilidades de alfabetización en IA del artículo 4, garantizando que el personal y los desarrolladores externos estén capacitados para identificar oportunidades o riesgos legales, técnicos y éticos.
-
Evitar usos prohibidos (artículo 5).
-
Prepararse, en su caso, para cumplir con los requisitos de documentación y gestión de riesgos a partir de 2026.
Aplicación y sanciones efectivas desde el 2 de agosto de 2025
El Capítulo XII está en vigor con excepción del artículo 101, que entra en vigor a partir del 2 de agosto de 2026. Se podrán imponer sanciones por violaciones a las disposiciones aplicables.
Multas administrativas:
-
Hasta 35 millones de euros o el 7 % de la facturación global por prácticas de IA prohibidas (artículo 5).
-
Hasta 15 millones de euros o el 3 % de la facturación global por otras infracciones.
-
Hasta 7,5 millones de euros o el 1,5 % de la facturación por suministrar información incorrecta o engañosa a los organismos notificados o autoridades nacionales.
Las autoridades nacionales están facultadas para investigar, emitir advertencias o imponer sanciones según la gravedad de la infracción.
Qué todavía no es aplicable (fase 2026–2027)
Aún no son exigibles:
-
Obligaciones del Capítulo III para implementadores (p. ej., supervisión humana, documentación, evaluaciones de impacto).
-
Requisitos de transparencia (Capítulo IV, incluido el artículo 50).
-
Procesos de clasificación y registro de sistemas.
-
Intercambio de información y vigilancia posterior a la comercialización (Capítulos IX–XI).
Puntos clave de cumplimiento
-
Implementadores: deben ya cumplir con el artículo 4 (alfabetización en IA) y evitar las prácticas prohibidas del artículo 5. Empezar a preparar procesos de gobernanza y formación ahora.
-
Wrappers / Proveedores: quienes construyen sobre modelos GPAI deben cumplir con el artículo 53, facilitar la alfabetización en IA (artículo 4) en la cadena de valor y evitar prácticas prohibidas (artículo 5). Prepararse para las obligaciones completas de proveedor en 2026.
-
Todos los actores: deben documentar pasos de cumplimiento, revisar contratos con proveedores y clientes e implementar formación interna alineada con los artículos 4 y 5.
Recordatorio: la Ley de IA no es el único marco jurídico
Aunque la Ley de IA de la UE introduce nuevas obligaciones, tanto implementadores como proveedores de sistemas de IA deben seguir cumpliendo con otras normativas aplicables de la UE, incluidas:
-
Reglamento General de Protección de Datos (RGPD):
Obligaciones sobre minimización de datos, transparencia, base legal para el tratamiento y derechos relativos a decisiones automatizadas. -
Ley de Servicios Digitales (DSA):
Para plataformas e intermediarios, incluye obligaciones sobre moderación de contenidos, responsabilidad algorítmica, transparencia y evaluaciones de riesgos sistémicos. -
Derecho de autor de la UE:
Los proveedores deben asegurar el uso legal de datos de entrenamiento y salidas, especialmente si usan material protegido. Los implementadores también pueden ser responsables si publican o comercializan salidas de IA que infringen derechos de autor.
Estos marcos funcionan en paralelo con la Ley de IA. El incumplimiento de cualquiera de ellos puede dar lugar a sanciones superpuestas. Una gobernanza integrada en todos los dominios legales es esencial.
Conclusión
El 2 de agosto de 2025 marca el inicio de una exposición legal significativa bajo la Ley de IA de la UE. Aunque no todas las obligaciones están aún en vigor, el Artículo 4 (alfabetización en IA), el Artículo 5 (prácticas prohibidas) y el Artículo 53 (responsabilidades sobre GPAI) ya crean deberes exigibles, y las sanciones del Capítulo XII pueden aplicarse.
