Cumplimiento y aplicación de la normativa mundial sobre IA: riesgos de la Ley de IA de la UE y retos normativos internacionales
Puntos clave:
- La Ley de IA de la UE es la primera normativa integral del mundo en materia de inteligencia artificial. Clasifica los sistemas de IA según su nivel de riesgo e impone obligaciones de cumplimiento a las empresas que desarrollan o implementan IA. Aunque se prevé que los cambios legislativos amplíen los plazos clave hasta finales de 2027 y 2028, los requisitos fundamentales ya están en vigor. Los fabricantes deberían aprovechar este tiempo adicional para crear ahora mismo la infraestructura necesaria para cumplir con la normativa.
- La normativa mundial en materia de IA está fragmentada y evoluciona rápidamente. La UE exige evaluaciones de conformidad con sanciones de hasta el 7 % de la facturación global. Estados Unidos se basa principalmente en marcos voluntarios. China impone normas de registro de algoritmos y de etiquetado de contenidos. No existe un único enfoque de cumplimiento que satisfaga todos los regímenes al mismo tiempo.
- El cumplimiento normativo en materia de inteligencia artificial es una prioridad contractual y de gobernanza, no solo un problema tecnológico. Los acuerdos con los proveedores y las estructuras de supervisión internas deben diseñarse de manera que cumplan con el régimen aplicable más exigente.
Los gobiernos de todo el mundo están tomando medidas para regular la inteligencia artificial (IA), lo que afecta directamente a los fabricantes. La Ley de IA de la UE, que entró en vigor en agosto de 2024, establece obligaciones vinculantes para las empresas que desarrollen o implanten sistemas de IA en los mercados europeos. Estados Unidos, China y otras grandes economías están impulsando sus propios enfoques, a menudo con requisitos contradictorios. Para los fabricantes que operan a nivel transfronterizo, las consecuencias prácticas son inmediatas: un mismo sistema de IA puede clasificarse de forma diferente en cada jurisdicción, lo que da lugar a distintas obligaciones de cumplimiento y riesgos de aplicación de la normativa.
1. Obligaciones de cumplimiento previstas en la Ley de la UE sobre la IA para los sistemas de alto riesgo
La Ley de IA de la UE clasifica los sistemas de IA en cuatro niveles de riesgo: inaceptable (prohibido), de alto riesgo (estrictamente regulado), de riesgo limitado (obligaciones de transparencia) y de riesgo mínimo (sin obligaciones específicas). Para los fabricantes, la clasificación de alto riesgo conlleva importantes requisitos de cumplimiento. La IA utilizada como componente de seguridad en maquinaria, la IA integrada en productos que requieren el marcado CE y la IA en infraestructuras críticas suelen considerarse de alto riesgo.
Es importante destacar que la mayoría de las aplicaciones industriales de IA —entre las que se incluyen la optimización de la producción, la detección de anomalías y el mantenimiento predictivo— se clasifican en la categoría de riesgo mínimo si no desempeñan funciones directas de seguridad y es un ser humano quien toma la decisión final. Esta distinción del «ser humano en el bucle» es uno de los factores más importantes a la hora de determinar la carga normativa a la que se enfrenta un fabricante en el marco de la UE.
La ley también distingue entre «proveedores» (desarrolladores de IA) y «usuarios» (empresas que utilizan IA de terceros). Los proveedores deben implementar sistemas de gestión de riesgos, mantener la documentación técnica y llevar a cabo evaluaciones de conformidad. Los usuarios, entre los que se incluyen la mayoría de los fabricantes que adquieren software de IA, deben garantizar que la IA se utilice según lo previsto, contar con personal de supervisión cualificado y supervisar las operaciones. Los fabricantes deben exigir contractualmente a los proveedores que faciliten la documentación de conformidad. Consulte nuestro artículo anterior sobre otros consejos y estrategias para los fabricantes que negocian contratos con proveedores de IA.
Un acuerdo legislativo de mayo de 2026 (el «Digital Omnibus») propone ampliar los plazos clave de cumplimiento: hasta diciembre de 2027 para los sistemas autónomos de alto riesgo, y hasta agosto de 2028 para la IA integrada en productos regulados. En el caso concreto de los fabricantes de maquinaria, el acuerdo propone eximir al Reglamento de la UE sobre maquinaria de la aplicación directa de la Ley de IA; en su lugar, los requisitos en materia de IA se integrarán en las normas de seguridad de la maquinaria ya existentes. No obstante, los requisitos de conocimientos sobre IA y las prácticas prohibidas están en vigor desde febrero de 2025 y siguen vigentes.
2. Cómo orientarse entre las normativas internacionales sobre IA aplicables al sector manufacturero y a la cadena de suministro
Más allá de la UE, los fabricantes se enfrentan a un panorama mundial fragmentado. Estados Unidos carece de una ley federal integral sobre IA. La actual administración aboga por un enfoque favorable a la innovación y ha tratado de adelantarse a las regulaciones estatales en materia de IA, pero las leyes de 48 estados crean actualmente un mosaico de obligaciones. El Marco de Gestión de Riesgos de la IA (AI RMF) del Instituto Nacional de Estándares y Tecnología (NIST) sigue siendo la principal norma de gobernanza voluntaria para las empresas estadounidenses.
China adopta un enfoque diferente: etiquetado obligatorio de los contenidos generados por IA, normas de seguridad nacional y normas específicas para cada sector que afectan a las cadenas de suministro del sector de la automoción. El Reino Unido aplica un enfoque más flexible y sectorial, sin una legislación exhaustiva.
Para los fabricantes multinacionales, la norma ISO/IEC 42001, la primera norma internacional sobre sistemas de gestión de la IA, ofrece un marco operativo útil que puede servir de puente entre los distintos requisitos nacionales. El Marco de Gestión de Riesgos de la IA (RMF) del NIST constituye un recurso técnico complementario. Estos marcos voluntarios ayudan a estructurar la gobernanza interna y la gestión de proveedores, aunque no eliminan la obligación de cumplir con las normas específicas de cada jurisdicción.
3. Tendencias en materia de aplicación y sanciones en la normativa internacional sobre IA
Las sanciones previstas en la Ley de IA de la UE superan el ya considerable límite máximo del 4 % establecido en el Reglamento General de Protección de Datos. Las infracciones de las prácticas prohibidas se castigan con multas de 35 millones de euros o del 7 % de la facturación anual mundial (lo que sea mayor), según la Ley de IA de la UE. Otras infracciones de alto riesgo conllevan sanciones de 15 millones de euros o del 3 % de la facturación. Para un fabricante con unos ingresos anuales de 10 000 millones de euros, una sola infracción de una práctica prohibida podría suponer una multa de hasta 700 millones de euros.
En EE. UU., la aplicación de la normativa se lleva a cabo mediante las competencias reguladoras existentes: la FTC puede actuar contra prácticas desleales o engañosas en materia de IA, mientras que las leyes estatales establecen vías adicionales de responsabilidad. En China, la aplicación de la normativa se basa en las leyes de ciberseguridad y protección de datos, y las sanciones pueden incluir multas, la suspensión del servicio o incluso la remisión a la justicia penal.
Para los fabricantes, el fallo de un solo proveedor de inteligencia artificial podría acarrear responsabilidades normativas en varias jurisdicciones al mismo tiempo. La tecnología puede explicar por qué se tomó una decisión, pero no eximirá de las consecuencias.
4. Gestión de los riesgos de cumplimiento normativo en las aplicaciones de IA en la fabricación y la cadena de suministro
Los fabricantes deberían adoptar las siguientes medidas para hacer frente a los riesgos de incumplimiento:
- Realizar un inventario de IA. Identificar cada sistema de IA según su finalidad, acceso a los datos, nivel de autonomía y jurisdicciones aplicables.
- Solicita a los proveedores la documentación relativa al cumplimiento normativo. Exige a los proveedores de IA la documentación técnica, las declaraciones de conformidad y las declaraciones contractuales sobre la clasificación de riesgos.
- Diseña un sistema de gobernanza para el régimen más exigente. Si operas en la UE, adapta tu sistema a las normas de la Ley de IA de la UE. Utiliza la norma ISO/IEC 42001 como marco operativo. Consulta nuestro artículo anterior para obtener más información sobre cómo crear un programa de gobernanza de la IA escalable.
- Negociar contratos que distribuyan el riesgo normativo. Los acuerdos con los proveedores de IA deben abordar las obligaciones en materia de evaluación de la conformidad, el mantenimiento de la documentación, la notificación de incidentes y la indemnización por sanciones normativas.
- Incorporar la supervisión humana en el diseño de los sistemas. La distinción entre «human-in-the-loop» y «no human-in-the-loop» es el factor más importante a la hora de determinar si la IA aplicada a la fabricación entra en la categoría de alto riesgo o de riesgo mínimo según el marco normativo de la UE. Diseñar procesos que mantengan una autoridad humana significativa sobre las decisiones críticas para la seguridad.
Los equipos de Fabricación, Cadena de Suministro e Inteligencia Artificial de Foley & Lardner asesoran habitualmente a empresas manufactureras que se enfrentan a la intersección entre la tecnología de IA y el cumplimiento normativo a nivel mundial. Para obtener más información, póngase en contacto con los autores o con su socio de referencia en Foley.