El pasado 2 de febrero de 2025 marcó un hito en la implementación del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (en adelante, el Reglamento de IA). Con la entrada en vigor de sus Capítulos I y II, la Unión Europea ha iniciado formalmente la aplicación progresiva de un marco normativo diseñado para garantizar un uso seguro de los sistemas de inteligencia artificial.
Aunque el grueso de las obligaciones del Reglamento será aplicable a partir del 2 de agosto de 2026, el artículo 113 del Reglamento de IA establece un calendario escalonado que anticipa la entrada en vigor de determinadas disposiciones clave y que recoge así:
“Entrada en vigor y aplicación
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Será aplicable a partir del 2 de agosto de 2026.
No obstante:
a) los capítulos I y II serán aplicables a partir del 2 de febrero de 2025;
b) el capítulo III, sección 4, el capítulo V, el capítulo VII y el capítulo XII y el artículo 78 serán aplicables a partir del 2 de agosto de 2025, a excepción del artículo 101;
c) el artículo 6, apartado 1, y las obligaciones correspondientes del presente Reglamento serán aplicables a partir del 2 de agosto de 2027.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro”.
En este contexto, el 2 de agosto de 2025 representa una segunda fase en la implementación del Reglamento de IA, al activarse obligaciones relativas a los modelos de IA de uso general (General Purpose AI Models o GPAI), la gobernanza institucional, el régimen sancionador y la confidencialidad, entre otros aspectos.
En el presente artículo resumiremos las disposiciones aplicables desde el 2 de agosto de 2025.
Por un lado, el Capítulo III, sección 4 establece que todos los Estados miembros deberán designar a las autoridades notificantes responsables de evaluar y supervisar a los organismos correspondientes, que serán los encargados de realizar las evaluaciones de conformidad de los sistemas de IA de alto riesgo. Además, dicha sección establece los requisitos de competencia, imparcialidad y transparencia que deben cumplir estos organismos, así como los procedimientos para su designación, supervisión, y en su caso retirada.
Recordemos que las autoridades notificantes actúan como garantes de calidad de los sistemas de evaluación de IA, dentro de su papel de supervisión, siempre con capacidad técnica, imparcial y operativa, podemos destacar:
- Evaluar la competencia técnica de los organismos candidatos.
- Verificar la imparcialidad e independencia de los mismos respecto de los operadores económicos.
- Supervisar periódicamente el desempeño de los organismos notificados.
- Retirar la designación en caso de incumplimiento grave o persistente.
En segundo lugar, el Capítulo V introduce un régimen específico para los modelos de IA de propósito general (GPAI), es decir, aquellos modelos fundacionales que pueden ser reutilizados en múltiples contextos y aplicaciones. Por tanto, a partir del 2 de agosto de 2022, los proveedores de GPAI deberán cumplir con obligaciones de transparencia, documentación técnica, evaluación de riesgos sistémicos y notificación a la Comisión.
El Reglamento de IA define los GPAI como aquellos modelos que, independientemente de cómo se introduzcan en el mercado (como productos o servicios), pueden ser integrados en una amplia gama de aplicaciones, incluyendo sistemas de IA de alto riesgo. Esta definición abarca tanto modelos fundacionales como aquellos reutilizados por terceros para fines diversos.
En particular, los modelos GPAI que presenten riesgos sistémicos, el cual podría ser por su escala, capacidad o impacto potencial, y estarán sujetos a requisitos adicionales, como auditorías externas, pruebas de robustez y ciberseguridad, y mecanismos de mitigación de riesgos. Aunque las multas específicas para estos proveedores no serán aplicables aún, el resto del régimen sí lo será, lo que obliga a los desarrolladores a anticipar su cumplimiento.
Por otra parte, el Capítulo VII establece la arquitectura institucional del Reglamento de IA. A partir del 2 agosto de 2025, se activa formalmente la Oficina Europea de Inteligencia Artificial, que coordinará la aplicación del Reglamento a nivel de la UE, apoyará a las autoridades nacionales y emitirá directrices interpretativas.
Además, se crea la Junta Europea de Inteligencia Artificial, compuesta por representantes de los Estados miembros, con funciones consultivas y de coordinación. Esta gobernanza multinivel tiene como objetivo garantizar una aplicación coherente del Reglamento en toda la Unión Europea.
En penúltimo lugar, el artículo 78 del Reglamento de IA, refuerza la protección de la información confidencial obtenida en el marco de la aplicación del Reglamento. Las autoridades competentes, organismos notificados y demás entidades implicadas deberán respetar estrictamente la confidencialidad de los datos técnicos, comerciales y personales a los que accedan durante sus funciones.
Este deber de confidencialidad se extiende incluso tras el cese de las funciones de los agentes implicados, y se articula como una garantía esencial para fomentar la cooperación de los operadores económicos sin comprometer sus secretos industriales o derechos fundamentales.
En último lugar, el Capitulo XII, a excepción del artículo 101, viene a definir el régimen sancionador del Reglamento de IA. Las autoridades competentes podrán imponer multas administrativas por infracciones como el uso de sistemas prohibidos, el incumplimiento de requisitos para sistemas de alto riesgo o la falta de cooperación con las autoridades.
Las sanciones pueden alcanzar hasta 35 millones de euros o el 7% del volumen de negocio global anual, dependiendo de la gravedad de la infracción. Aunque el artículo 101 (referido específicamente a las multas para proveedores de GPAI) no será aplicable aún, el resto del régimen sí lo será, lo que refuerza la necesidad de cumplimiento desde esta segunda fase.
