¿Qué es la discriminación algorítmica?

La discriminación algorítmica ocurre cuando un sistema de inteligencia artificial toma decisiones automatizadas que generan un trato desigual o injusto basado en características protegidas como el género, la raza, la edad o la discapacidad, a menudo debido a sesgos en los datos de entrenamiento o en el diseño del modelo.

¿Qué obligaciones tiene el AI Act respecto al sesgo?

El Reglamento de IA (AI Act) impone obligaciones estrictas para los sistemas de alto riesgo, incluyendo la implementación de sistemas de gestión de riesgos, la gobernanza de datos para minimizar sesgos, documentación técnica detallada, transparencia para los usuarios y una supervisión humana efectiva para corregir posibles desviaciones algorítmicas.

¿Qué multas puede haber por incumplir el AI Act?

Las sanciones pueden ser masivas, alcanzando hasta 35 millones de euros o el 7% de la facturación global anual de la empresa por el uso de prácticas prohibidas, y hasta 15 millones de euros o el 3% por el incumplimiento de las obligaciones generales establecidas en el Reglamento.

¿Cómo afecta el RGPD a la inteligencia artificial?

El RGPD exige que cualquier tratamiento de datos personales mediante IA cumpla con principios fundamentales como la transparencia, la licitud, la limitación de la finalidad y la minimización de datos. Además, garantiza derechos como la oposición a decisiones automatizadas y el derecho a obtener una explicación humana.

¿Es obligatorio realizar una EIPD en proyectos de IA?

SÍ, es obligatoria siempre que el tratamiento de datos mediante IA entrañe un alto riesgo para los derechos y libertades de las personas, lo cual es común en sistemas de perfilado, decisiones automatizadas o tratamiento masivo de categorías especiales de datos.

¿Qué es la responsabilidad proactiva en el contexto de la IA?

La responsabilidad proactiva o 'accountability' implica que el responsable del tratamiento no solo debe cumplir con la normativa (RGPD/AI Act), sino que debe ser capaz de demostrar dicho cumplimiento mediante documentación, auditorías, evaluaciones de impacto y medidas técnicas desde el diseño.

Firma Scarpa

Informe Estratégico: El Nuevo Orden Operativo de la IA

24 de enero de 2026•

PorRicardo Scarpa

Volver a Firma Scarpa

Análisis profundo sobre el cumplimiento del EU AI Act, arquitectura de riesgos, modelos GPAI y el papel de la AESIA en España.

Este informe sintetiza el nuevo mapa operativo que impone el Reglamento (UE) 2024/1689 y traduce sus obligaciones en criterios prácticos de cumplimiento para operadores, proveedores y autoridades públicas.

Resumen ejecutivo: el EU AI Act redefine el ciclo de vida de los sistemas de IA con un enfoque de riesgo, introduce obligaciones específicas para modelos fundacionales y desplaza el centro de gravedad del cumplimiento hacia la trazabilidad, la gobernanza y la supervisión humana efectiva.

1. Alcance operativo y objetivos de cumplimiento

El Reglamento (UE) 2024/1689 no es solo un texto jurídico; es un marco operativo que obliga a rediseñar procesos internos, cadenas de suministro y gobernanza tecnológica. Su alcance extraterritorial exige que cualquier sistema de IA desplegado en la Unión se adecúe a criterios de seguridad, transparencia y respeto de derechos fundamentales.

La lectura estratégica del Reglamento desplaza el foco desde la innovación hacia la responsabilidad. El cumplimiento ya no se limita a la documentación, sino que se integra en decisiones técnicas, de negocio y de contratación pública.

2. Arquitectura de riesgos y categorías aplicables

La clasificación por niveles de riesgo define la intensidad regulatoria. Para facilitar su aplicación, se propone una lectura funcional que conecta cada categoría con obligaciones concretas de cumplimiento.

Riesgo inaceptable

Prohibición inmediata de prácticas como puntuación social o manipulación de vulnerabilidades. No admite excepción salvo supuestos muy tasados.

Riesgo alto

Sistemas en sectores críticos (justicia, empleo, educación). Exigen gestión de riesgos, calidad de datos, supervisión humana y registro.

Riesgo limitado

Obligaciones de transparencia y avisos al usuario. Incluye sistemas conversacionales y ciertos usos de IA generativa.

Riesgo mínimo

Sin obligaciones específicas, pero sujetos a normas sectoriales y a códigos voluntarios de conducta.

3. Modelos GPAI y umbrales técnicos

El Reglamento introduce obligaciones específicas para los modelos de propósito general, en especial los sistemas clasificados como GPAI. Estos modelos deberán documentar sus capacidades, límites, y evaluar riesgos sistémicos antes de su puesta en servicio.

El umbral operativo relevante aparece cuando el entrenamiento supera 10^25 FLOP, indicador que el legislador utiliza como proxy para identificar modelos con impacto sistémico. Esta métrica obliga a los proveedores a justificar medidas de mitigación y transparencia reforzada.

4. Supervisión, AESIA y escenarios de cumplimiento

En España, la AESIA se perfila como un nodo de gobernanza central para la supervisión del Reglamento. Su papel no se limita a la vigilancia del mercado: también coordinará estándares de cumplimiento, procedimientos de auditoría y el despliegue de entornos de prueba regulatoria o Sandbox.

El cumplimiento efectivo dependerá de la interoperabilidad entre autoridades nacionales, auditorías técnicas y la adopción de metodologías de evaluación de riesgos coherentes.

5. Calendario de aplicación

El despliegue es progresivo y exige planificación anticipada. Las fechas clave permiten escalonar auditorías y adaptación contractual.

Fecha	Hito regulatorio
Febrero 2025	Prohibiciones de riesgo inaceptable y obligaciones iniciales de transparencia.
Agosto 2025	Entrada en vigor de requisitos para modelos GPAI y documentación técnica.
Febrero 2026	Aplicación de obligaciones de alto riesgo para nuevos sistemas.
Agosto 2026	Supervisión plena y régimen sancionador operativo.

6. Sesgo algorítmico y riesgos jurídicos emergentes

El cumplimiento no puede limitarse a una visión formal. Los riesgos de Sesgo Algorítmico son hoy el principal frente de litigiosidad y exigencia de transparencia en decisiones automatizadas.

Este nuevo orden operativo exige que abogados, proveedores y autoridades integren mecanismos de trazabilidad, auditorías de datos y criterios de explicabilidad como parte central de sus políticas de compliance.