La inteligencia artificial se ha convertido en una herramienta estratégica para empresas y administraciones, pero su uso implica riesgos éticos, jurídicos y técnicos. El Reglamento de IA (AI Act) es la respuesta de la Unión Europea para garantizar que esta tecnología se desarrolle y utilice con seguridad, transparencia y respeto a los derechos fundamentales.
El 2 de agosto de 2025 comienza la segunda fase de aplicación de esta normativa, un momento decisivo que trae consigo nuevas obligaciones y un régimen sancionador más estricto.
En DiG Abogados, somos expertos en derecho tecnológico y regulación de inteligencia artificial, ofreciendo un asesoramiento integral para que empresas puedan cumplir con la normativa, minimizar riesgos y aprovechar las oportunidades que esta ofrece.
En qué consiste la la segunda fase de aplicación del Reglamento de IA
El Reglamento de IA, aprobado en 2024, entró en vigor el 1 de agosto de 2025, sin perjuicio de otras obligaciones que lo hicieron antes, como la de alfabetización y de prohibición de determinadas prácticas, y está diseñado para aplicarse de forma progresiva. Esta segunda fase introduce medidas clave que consolidan el marco de gobernanza y control, así como nuevas obligaciones para los modelos de inteligencia artificial de uso general.
A partir de ahora, no solo los desarrolladores de IA estarán bajo la lupa regulatoria: también lo estarán las empresas que integren estos sistemas en sus procesos o productos.
Fechas clave del calendario de aplicación
| Fecha | Disposición principal |
|---|---|
| 1 ago 2024 | Entrada en vigor formal del Reglamento de IA |
| 2 feb 2025 | Aplicación de prohibiciones explícitas y requisitos en educación en IA |
| 2 ago 2025 | Segunda fase: gobernanza institucional, GPAI, sanciones y confidencialidad |
| 2026–2027 | Entrada en vigor de obligaciones para sistemas de alto riesgo y supervisión total |
Cambios principales que trae la segunda fase
Gobernanza institucional
Cada Estado miembro debe designar autoridades competentes para supervisar el cumplimiento. En España, la AESIA (Agencia Española de Supervisión de IA) asume un papel central en la vigilancia y sanción.
Modelos de uso general (GPAI)
Los proveedores de modelos fundacionales de IA deberán:
-
Documentar métodos de entrenamiento y fuentes de datos.
-
Evaluar riesgos asociados a su tecnología.
- Notificar a la Comisión Europea sobre sus modelos y medidas de mitigación en caso de que exista riesgo sistémico.
Régimen sancionador
Desde esta fase, las autoridades pueden imponer multas de hasta 35 millones de euros o el 7 % de la facturación global por incumplimientos, en particular, respecto de los usos prohibidos del art. 5 RIA.
Código de buenas prácticas voluntario
Aunque no es obligatorio, adherirse a este código mejora la reputación y facilita demostrar diligencia ante una inspección.
A quién afecta esta fase
-
Proveedores de modelos de IA que desarrollen tecnología base.
-
Empresas que integren IA de uso general en sus procesos, productos o servicios.
-
Administraciones públicas que utilicen soluciones de IA en su gestión.
Acciones recomendadas para empresas
-
Identificar si se utiliza IA de uso general en la organización.
-
Revisar contratos y licencias para garantizar que cumplen con las nuevas exigencias.
-
Implementar protocolos internos de transparencia y evaluación de riesgos.
-
Formar al personal sobre los cambios regulatorios y responsabilidades legales.
Impacto sectorial y casos prácticos
La entrada en aplicación de la segunda fase del Reglamento de IA no afecta por igual a todos los sectores. La naturaleza y el riesgo de los sistemas de IA utilizados marcan la intensidad de las obligaciones.
Tecnología y software
Las empresas desarrolladoras de herramientas de IA deberán reforzar la transparencia sobre datos de entrenamiento, algoritmos y medidas de mitigación de sesgos. Un proveedor que ofrezca un modelo de lenguaje general, por ejemplo, estará obligado a documentar exhaustivamente sus procesos.
Sector financiero
Cuando entren en vigor las disposiciones sobre sistemas de IA de alto riesgo (2026), las entidades bancarias, que empleen IA para evaluación de riesgos crediticios tendrán que garantizar que los modelos cumplen criterios de no discriminación, así como auditar periódicamente su funcionamiento.
Sanidad y biotecnología
Ídem en hospitales que utilicen IA para diagnóstico asistido, esta fase exige asegurar que el sistema es fiable, trazable y se ha entrenado con datos de calidad, además de garantizar la supervisión humana.
Industria manufacturera
Los fabricantes que integren sistemas de IA en procesos industriales deberán demostrar que la tecnología no introduce riesgos para la seguridad física de trabajadores o consumidores.
Administraciones públicas
El uso de IA para toma de decisiones administrativas, como la gestión de prestaciones o control de tráfico, requerirá mayor supervisión y mecanismos claros de reclamación para los ciudadanos.
Este enfoque sectorial permite a las organizaciones anticipar dónde deberán reforzar sus políticas internas y qué documentación deberán tener lista ante una eventual inspección.
Preguntas frecuentes sobre la segunda fase del Reglamento de IA
1. ¿Qué es exactamente un modelo de uso general (GPAI)?
Un modelo de IA, también uno entrenado con un gran volumen de datos utilizando autosupervisión a gran escala, que presenta un grado considerable de generalidad y es capaz de realizar de manera competente una gran variedad de tareas distintas, independientemente de la manera en que el modelo se introduzca en el mercado, y que puede integrarse en diversos sistemas o aplicaciones posteriores, excepto los modelos de IA que se utilizan para actividades de investigación, desarrollo o creación de prototipos antes de su introducción en el mercado.
2. ¿Todas las empresas están obligadas a cumplir con esta fase?
En particular, solo aquellas que desarrollen (proveedores), estos modelos, sin perjuicio de las obligaciones que, los implementadores puedan tener en virtud del reglamento.
3. ¿Qué pasa si no cumplo con el reglamento?
Pueden imponerse sanciones muy elevadas, además de la posible prohibición temporal de uso de la tecnología.
4. ¿Es obligatorio el código de buenas prácticas?
No, pero su adopción, por parte de desarrolladores, puede servir como prueba de diligencia y compromiso con el cumplimiento.
5. ¿Cuándo entrarán en vigor las obligaciones para sistemas de alto riesgo?
Se aplicarán entre 2026 y 2027, según el calendario del AI Act.
Conclusión
La segunda fase del Reglamento de IA, vigente desde el 2 de agosto de 2025, consolida el marco europeo para un desarrollo responsable de la inteligencia artificial. Las empresas deben prepararse no solo para evitar sanciones, sino para aprovechar esta regulación como una oportunidad para reforzar la confianza y transparencia ante clientes y socios.
