¿Te afecta el Reglamento de IA de la UE si tu software no tiene IA?
Legislación

¿Te afecta el Reglamento de IA de la UE si tu software no tiene IA?

El Reglamento de IA de la UE solo regula lo que denomina un sistema de IA. Si las herramientas de software que usa su empresa no encajan en esa definición, la norma no le alcanza en absoluto. La prueba es breve. ¿El sistema deduce sus propias respuestas o se limita a seguir reglas que escribió una persona? Acierte con esa única pregunta y las obligaciones más pesadas desaparecen.

Puntos clave

  • El Reglamento obliga a los sistemas de IA, no a cada pieza de software que ejecuta una empresa.
  • La prueba consiste en si un sistema infiere sus respuestas en lugar de ejecutar reglas fijas.
  • Las herramientas sencillas basadas en reglas quedan fuera de la norma, y así lo dice el considerando 12.
  • Los complementos de IA, como la clasificación, los chatbots o la traducción, pueden volver a incluirle.
  • El plazo principal para el alto riesgo se trasladó al 2 de diciembre de 2027, pero la prueba siguió igual.

Qué regula realmente el Reglamento de IA de la UE

El Reglamento de IA de la UE es una norma de seguridad de productos para la IA. Clasifica los sistemas de IA por riesgo e impone obligaciones a los más arriesgados. No regula el software en general. Tampoco regula los datos ni la automatización. Regula los sistemas que cumplen su propia definición de IA, y solo esos. Por eso la primera pregunta nunca es qué hace su herramienta. Es si su herramienta es siquiera un sistema de IA.

La norma divide la IA en cuatro niveles de riesgo:

  • Riesgo inaceptable: una lista breve de usos prohibidos, como la puntuación social y la mayoría del reconocimiento facial en vivo en lugares públicos.
  • Alto riesgo: sistemas que pueden afectar a la seguridad o a los derechos, como la IA usada para contratar, despedir o puntuar a las personas. Estos conllevan las obligaciones más pesadas.
  • Riesgo limitado: sistemas que solo tienen que ser transparentes sobre sí mismos, como un chatbot que le avisa de que es un bot.
  • Riesgo mínimo: todo lo demás, donde se sitúa la mayor parte de la IA y no se aplica ninguna obligación.

El alcance es amplio. Conforme al artículo 2 del Reglamento, las reglas obligan a los proveedores que introducen un sistema de IA en el mercado de la UE. También obligan a los responsables del despliegue que lo usan dentro de la UE, aunque el proveedor esté fuera. Pero cada uno de esos puntos de anclaje depende de las mismas palabras: sistema de IA. Sin sistema de IA, no hay proveedor ni responsable del despliegue, y las obligaciones nunca comienzan.

¿Qué cuenta como «sistema de IA» según la norma?

Un sistema de IA, en palabras de la propia norma, es una máquina que deduce sus respuestas por sí misma. Hace algo más que ejecutar un guion fijo. La definición oficial gira en torno a una capacidad: el sistema debe inferir. Esa es la línea que separa la IA regulada del software corriente.

«sistema de IA: un sistema basado en una máquina diseñado para funcionar con distintos niveles de autonomía, que puede mostrar capacidad de adaptación tras el despliegue y que, para objetivos explícitos o implícitos, infiere, a partir de la información de entrada que recibe, cómo generar resultados como predicciones, contenidos, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales.»
Artículo 3, apartado 1, del Reglamento (UE) 2024/1689

Las notas que explican la norma son tajantes sobre qué deja fuera. El considerando 12 dice que la definición no debe abarcar «los sistemas informáticos tradicionales más sencillos o los enfoques de programación». Tampoco debe abarcar los sistemas «basados en las reglas definidas únicamente por personas físicas para ejecutar operaciones automáticamente». En términos claros: si una persona escribió cada regla y el software solo las ejecuta, no es IA según esta norma.

Mire las herramientas que un equipo de cumplimiento usa de verdad. Un formulario web, un flujo de trabajo que enruta un caso, una bandeja de entrada cifrada, una búsqueda en una base de datos, un árbol de decisión fijo. Ninguno de ellos infiere nada. Hacen exactamente lo que se les indicó. Son software, no sistemas de IA.

Una sola cosa activa el interruptor, y no es lo que la gente supone. El Reglamento no se aplica porque maneje datos sensibles, automatice una tarea o funcione en la nube. Se aplica porque el sistema infiere. Una herramienta puede ser grande, compleja y crítica para el negocio y aun así quedar fuera de la norma, siempre que no aprenda de los datos ni construya su propio modelo para llegar a una respuesta.

Ilustración que contrasta una máquina de engranajes y reglas con un sistema de IA que infiere a partir de un flujo de datos

El software basado en reglas ejecuta una lógica fija. Un sistema de IA infiere sus propias respuestas, y esa es la línea que traza la norma.

Entonces, ¿se aplica si su software no tiene IA?

En cuanto a las partes del Reglamento sobre alto riesgo y transparencia, la respuesta es no. Si ninguna parte de su software cumple la definición del artículo 3, apartado 1, usted no es el proveedor ni el responsable del despliegue de un sistema de IA. Las obligaciones de alto riesgo y las reglas de transparencia del artículo 50 no tienen nada a lo que adherirse. No hay evaluación de conformidad que superar, ni expediente de riesgos que conservar, ni IA que registrar.

Esa respuesta viene con dos salvedades honestas. La primera es asegurarse de que de verdad no tiene IA. Los proveedores añaden funciones constantemente, y la inferencia puede esconderse en una sola de ellas. Un ejemplo muestra cómo ocurre esto. Supongamos que su herramienta de denuncias es software corriente, pero activa un asistente de IA que adivina la urgencia de cada denuncia. Ese asistente infiere. Ahora usted despliega un sistema de IA, aunque el resto de la herramienta solo siga reglas. Un chatbot en su página de contacto, una función de traducción con IA o un servicio de IA que funcione por debajo como subencargado del tratamiento pueden hacer lo mismo.

La segunda salvedad es que sigue aplicándose otra normativa. El Reglamento General de Protección de Datos (RGPD) rige sus datos personales tanto si usa IA como si no. Y la obligación de alfabetización en materia de IA del Reglamento, la regla de que el personal debe entender la IA con la que trabaja, solo afecta a las empresas que realmente usan sistemas de IA. Prescinda de la IA y esa obligación desaparece con ella.

Dónde quedan atrapadas las herramientas de denuncias y de RR. HH.

El empleo es una de las zonas de alto riesgo de la norma, y ahí es justo donde vive el software de denuncias y de RR. HH. El anexo III enumera ocho áreas de alto riesgo. El punto 4 abarca la IA usada en «empleo, gestión de los trabajadores y acceso al autoempleo». Cita la IA que filtra solicitudes de empleo, evalúa a las personas candidatas, asigna tareas según el comportamiento o los rasgos, o supervisa el rendimiento de las personas. La IA que criba o puntúa a los trabajadores se presume de alto riesgo.

Eso engloba una función que muchas herramientas de cumplimiento anuncian ahora. Cada vez más plataformas de denuncias y de gestión de casos añaden IA para clasificar denuncias, puntuar su gravedad, predecir resultados o traducir los envíos al vuelo. En cuanto esa IA ayuda a decidir cómo se tramita la denuncia de un trabajador, el cliente que la usa puede convertirse en responsable del despliegue de un sistema de alto riesgo. Eso conlleva trámites, supervisión humana y obligaciones de registro. Un chatbot de IA que recibe la primera denuncia añade la obligación del artículo 50 de avisar a las personas de que están hablando con una máquina.

Esas obligaciones del responsable del despliegue no son ligeras, y recaen sobre usted, el comprador, no solo sobre el proveedor. Tiene que mantener a una persona en el circuito de las decisiones que moldea la IA. Tiene que vigilar el sistema con el tiempo y conservar sus registros. Tiene que avisar a los trabajadores afectados cuando ha intervenido una IA. Para un proceso sensible como una denuncia de irregularidades, donde la confianza es lo esencial, esa es una carga pesada que asumir por una función cómoda.

Una herramienta sin IA en ese recorrido se salta toda la cuestión. Una plataforma de denuncias como WeMoral que mantiene la inferencia fuera de la recepción y la clasificación de las denuncias sigue siendo software corriente a ojos del Reglamento. Sus clientes nunca heredan la carga de alto riesgo de un responsable del despliegue. El contraste es nítido en cuanto se ponen los dos en paralelo:

Pregunta Herramienta sin IA Herramienta con IA añadida
¿Es un sistema de IA? No, solo ejecuta reglas fijas Sí, una función infiere resultados
¿Dentro del régimen de alto riesgo? No Probablemente, según el punto 4 del anexo III
Su papel según el Reglamento Ninguno Responsable del despliegue, a veces proveedor
Qué debe hacer Nada conforme al Reglamento de IA Supervisión, registro, divulgación, documentación

Conviene conocer una regla que acota el alcance. Un sistema del anexo III puede escapar de la etiqueta de alto riesgo si no plantea un riesgo significativo de daño, por ejemplo cuando solo realiza una tarea administrativa limitada. Pero es una excepción estrecha, y el proveedor tiene que documentar esa evaluación. Para cualquier cosa que criba a personas o moldea cómo se tratan sus denuncias, la suposición segura es alto riesgo.

Un medidor de riesgo que va del verde tranquilo al rojo de alarma, en representación de los cuatro niveles de riesgo del Reglamento de IA de la UE

El Reglamento clasifica la IA por riesgo, desde mínimo en un extremo hasta unos pocos usos prohibidos en el otro.

¿Qué cambia el 2 de agosto de 2026 y qué se acaba de aplazar?

La fecha general de entrada en aplicación del Reglamento es el 2 de agosto de 2026. Es cuando se activan la mayoría de las reglas y comienza la aplicación nacional. Pero las fechas se han movido. Un paquete de simplificación conocido como el Ómnibus Digital, respaldado por el Parlamento Europeo el 16 de junio de 2026 y aún en sus últimos trámites antes de convertirse en ley, retrasa los plazos más pesados.

Conforme a ese paquete, las obligaciones autónomas de alto riesgo se trasladan al 2 de diciembre de 2027. La IA de alto riesgo integrada en productos regulados pasa al 2 de agosto de 2028. El marcado de los contenidos generados por IA también obtiene una breve prórroga. Algunas cosas no se mueven. Los usos prohibidos se aplican desde febrero de 2025. Las obligaciones básicas de transparencia siguen recayendo en la fecha de 2026, y ese es el momento en que comienza la aplicación general. Puede seguir el estado actual en la página del Reglamento de IA de la Comisión Europea. Trate las fechas del ómnibus como casi definitivas hasta que se publiquen en su totalidad.

Un funcionario de estilo cómic desliza un marcador de plazo de cumplimiento de 2026 hacia 2027

El Ómnibus Digital traslada los plazos más pesados de 2026 a finales de 2027.

Las sanciones muestran por qué las fechas atraen tanta atención. El Reglamento permite multas de hasta 35 millones de euros o el 7 % del volumen de negocios anual mundial por los usos prohibidos. La mayoría de las demás infracciones llegan hasta los 15 millones de euros o el 3 %. Facilitar información engañosa a las autoridades llega hasta los 7,5 millones de euros o el 1 %. Esos límites son lo bastante elevados como para que el alcance no sea un tecnicismo. Para una herramienta sin IA, los plazos movedizos no cambian nada. La prueba sigue igual. Sin IA, no hay nada que hacer, en ninguna de estas fechas.

Cómo comprobar si está dentro del alcance

Puede resolver su propia exposición con una sola pregunta, planteada a cada función. ¿Infiere o sigue reglas que escribió una persona? Recorra su pila de software por orden y la respuesta suele quedar clara.

  1. Enumere cada función que clasifica, puntúa, predice, ordena, recomienda o redacta contenido.
  2. Para cada una, pregunte si aprende de los datos o solo ejecuta una lógica fija.
  3. Busque IA oculta: chatbots, traducción, clasificación de búsquedas y cualquier IA que un proveedor ejecute por debajo.
  4. Para todo lo que sí infiera, decida su papel. ¿Lo construyó o lo etiquetó usted, o simplemente lo usa?
  5. Si una función infiere y toca el trabajo, los derechos o las denuncias de las personas, trátela como posiblemente de alto riesgo y busque asesoramiento.

Haga la misma pregunta por escrito a sus proveedores de software. Una respuesta clara sobre si alguna función infiere, y dónde, le dice más sobre su exposición al Reglamento de IA que cualquier folleto sobre automatización «inteligente» o «smart». Conserve esa respuesta archivada, para poder mostrarla si alguna vez se la pide un regulador o un cliente.

La norma recompensa saber con exactitud qué hace su software. Una herramienta sin IA da al regulador una superficie menor que inspeccionar y le deja un régimen menos que gestionar. Su trabajo consiste en demostrar que nada en su pila infiere, y en elegir herramientas que lo mantengan así.

Actualizado el
Marek Tekieli

Especialista en cumplimiento centrado en políticas y flujo interno de información. Escribe sobre normativa de la UE, casos célebres y sistemas de denuncia.

¡Lanza tu canal de denuncias para informantes en menos de 5 minutos!

Página de denuncias lista para usar y conforme con la Ley 2/2023 reguladora de la protección de las personas que informen sobre infracciones. La implantas sin un programador.

Reserva una demostración Pruébelo gratis