Las Normas Armonizadas en materia de Inteligencia Artificial (RIA) marcan el nuevo estándar europeo para el desarrollo y uso de la IA, combinando innovación y confianza. A través de un enfoque basado en el riesgo, establecen un marco claro que impulsa la adopción responsable de estas tecnologías, refuerza la seguridad jurídica de las empresas y garantiza la protección de los derechos fundamentales en un entorno cada vez más digital.
El RIA tiene un ámbito de aplicación amplio. Se aplica a proveedores, responsables del despliegue, importadores, distribuidores y representantes autorizados de sistemas de IA, tanto si están establecidos en la Unión Europea (UE) como cuando, aun estando fuera de ella, introducen sistemas en el mercado de la UE o sus resultados se utilizan en el mismo.
El RIA articula sus obligaciones en función del nivel de riesgo de la IA, concentrando las exigencias más intensas en los sistemas de IA de alto riesgo.
Entre los sistemas considerados de alto riesgo se hallan, entre otros, los sistemas de IA utilizados en los siguientes ámbitos:
Los sistemas de IA de alto riesgo están sometidos a las obligaciones más estrictas. Entre ellas figuran, requisitos de gestión de riesgos y de calidad, documentación técnica, conservación de registros, supervisión humana, transparencia, ciberseguridad y evaluación de conformidad previa a su introducción en el mercado o puesta en servicio, cuando resulte exigible. Además, quienes despliegan estos sistemas también deben utilizarlos conforme a las instrucciones del proveedor, garantizar una supervisión humana efectiva y cumplir determinadas obligaciones adicionales de control e información.
La aplicación de las obligaciones previstas en el RIA es escalonada. Desde febrero de 2025 ya son exigibles las prohibiciones relativas a determinadas prácticas de IA y los requisitos de alfabetización en IA. A partir de agosto de 2026 resultará aplicable, con carácter general, el régimen previsto para los sistemas de alto riesgo de su Anexo III. En el caso de los sistemas de alto riesgo vinculados a productos regulados por la normativa sectorial de la UE y comprendidos en el Anexo I, ese régimen será exigible desde agosto de 2027.
El RIA incorpora un régimen sancionador muy relevante para las empresas. Las multas más altas se reservan para los supuestos en que se utilicen prácticas de IA prohibidas, y pueden ascender hasta 35 millones de euros o el 7 % del volumen de negocio mundial anual. Junto a ello, el RIA prevé sanciones de hasta 15 millones de euros o el 3 % para el incumplimiento de determinadas obligaciones esenciales, especialmente las vinculadas a sistemas de alto riesgo y a las responsabilidades de los distintos operadores de la cadena de valor.
Por fin, facilitar información incorrecta, incompleta o engañosa a las autoridades puede dar lugar a multas de hasta 7,5 millones de euros o el 1 % del volumen de negocio mundial anual.
En el plano interno, debe tenerse en cuenta el Anteproyecto de Ley para el buen uso y la gobernanza de la inteligencia artificial, actualmente en fase de tramitación prelegislativa, cuyo objetivo es adaptar el ordenamiento español al RIA y que, entre otras cuestiones, prevé la designación de las autoridades nacionales competentes en materia de supervisión y vigilancia del mercado, así como el desarrollo del régimen sancionador y del esquema de sanciones aplicable en España.
En primer lugar, llevar a cabo una fase de auditoría o “discovery” para entender la IA que una organización está utilizando y/o desea implementar y, a continuación, regular su uso mediante una Política interna y determinar el rol de la empresa en relación con cada IA para poder implementar las obligaciones correspondientes. Finalmente, puede ser necesario que haya un AI Officer que se encargue de controlar y/o mitigar el impacto de la IA en la organización.
La adaptación del sistema de cumplimiento del grupo a la normativa española y a la Ley 2/2023, garantizando control local eficaz y reducción de riesgos.
Novedades legales: sentencias del Tribunal Supremo, riesgos digitales, nueva Ley 10/2025 y gobierno corporativo para reforzar cumplimiento y seguridad jurídica
Cómo el compliance transforma los valores éticos en reglas y procesos reales, reforzando la coherencia, la reputación y la credibilidad de la empresa.