La regulación de la inteligencia artificial en Europa continúa evolucionando. El Parlamento Europeo ha aprobado una modificación del Reglamento de Inteligencia Artificial (AI Act) con un doble objetivo: facilitar el cumplimiento normativo por parte de las empresas y, al mismo tiempo, reforzar la protección de los ciudadanos frente a algunos de los usos más peligrosos de la IA, como la generación de imágenes íntimas falsas sin consentimiento.
Estas novedades afectan directamente a empresas que desarrollan, comercializan o utilizan sistemas de inteligencia artificial, por lo que conviene conocer qué cambia y cómo prepararse.
¿Por qué se modifica ahora la Ley de IA?
El AI Act fue aprobado en 2024 como la primera regulación integral sobre inteligencia artificial del mundo. Sin embargo, su implantación práctica ha generado dudas entre empresas, desarrolladores y autoridades competentes.
Muchas de las normas técnicas necesarias para aplicar correctamente el Reglamento todavía no estaban disponibles, lo que podía provocar inseguridad jurídica y dificultar el cumplimiento de determinadas obligaciones.
Por este motivo, la Unión Europea ha aprobado un paquete de simplificación normativa («Digital Omnibus») que mantiene intacta la filosofía del Reglamento —basada en la gestión del riesgo—, pero adapta algunos plazos y elimina duplicidades con otras normas sectoriales.
Principales cambios aprobados
1. Se retrasan algunas obligaciones para los sistemas de IA de alto riesgo
Uno de los cambios más importantes es el aplazamiento de determinadas obligaciones aplicables a los sistemas considerados de alto riesgo.
Los nuevos plazos serán:
- 2 de diciembre de 2027: obligaciones para los sistemas de IA de alto riesgo independientes.
- 2 de agosto de 2028: obligaciones para los sistemas de IA que formen parte de productos regulados por normativa sectorial europea (como maquinaria o determinados dispositivos).
El objetivo es dar más tiempo a empresas y organismos para disponer de estándares técnicos claros y facilitar una implementación homogénea.
Es importante destacar que este retraso no supone una suspensión del AI Act, sino únicamente de determinadas obligaciones concretas.
2. Se aplaza la obligación de marcar determinados contenidos generados por IA
Otro de los cambios afecta a la obligación de identificar mediante marcas de agua («watermark») determinados contenidos generados mediante inteligencia artificial.
En concreto, los sistemas comercializados antes del 2 de agosto de 2026 dispondrán hasta el 2 de diciembre de 2026 para adaptarse a esta obligación de transparencia. A partir de esa fecha, el contenido generado por IA deberá poder identificarse mediante mecanismos adecuados de detección.
Esta medida busca facilitar la adaptación tecnológica sin renunciar a uno de los principios fundamentales del Reglamento: que los usuarios puedan distinguir cuándo un contenido ha sido generado artificialmente.
La gran novedad: prohibidos los «desnudos falsos»
Probablemente el cambio que más repercusión mediática ha tenido es la prohibición expresa de las herramientas conocidas como «nudificadores» o generadores de desnudos falsos mediante inteligencia artificial.
A partir de la entrada en vigor de esta modificación, quedarán prohibidos los sistemas capaces de generar:
- imágenes íntimas falsas de personas identificables;
- vídeos sexualmente explícitos creados sin consentimiento;
- audios con contenido sexual no consentido;
- material de abuso sexual infantil generado mediante IA.
Esta prohibición responde al enorme incremento de los llamados deepfakes sexuales, utilizados para humillar, acosar o extorsionar a personas mediante imágenes completamente falsas creadas con inteligencia artificial.
El Parlamento Europeo ha señalado que este tipo de herramientas afectan especialmente a mujeres y menores, constituyendo un grave ataque contra la dignidad, la privacidad y los derechos fundamentales.
¿Qué son exactamente los «desnudos falsos»?
Se trata de aplicaciones de inteligencia artificial capaces de modificar fotografías reales para simular que una persona aparece desnuda o participando en actos de contenido sexual.
Aunque la imagen sea completamente falsa, suele resultar extremadamente difícil distinguirla de una fotografía auténtica.
En los últimos años este fenómeno ha crecido de forma exponencial debido a la facilidad con la que cualquier usuario puede acceder a estas herramientas desde Internet.
Precisamente por ello, la Unión Europea ha decidido prohibir directamente su comercialización y utilización.
Se mantiene el enfoque basado en el riesgo
A pesar de estas modificaciones, la estructura principal del AI Act permanece intacta.
La regulación continúa clasificando los sistemas de inteligencia artificial según el nivel de riesgo que representan:
- Riesgo inaceptable (prohibidos).
- Alto riesgo.
- Riesgo limitado.
- Riesgo mínimo.
Cada categoría seguirá teniendo obligaciones específicas en materia de documentación, transparencia, supervisión humana, calidad de datos o gestión del riesgo.
¿Qué significa esto para las empresas?
Aunque algunos plazos se hayan ampliado, las empresas no deberían interpretar esta decisión como una invitación a esperar.
De hecho, muchas obligaciones ya son plenamente aplicables.
Entre ellas destacan:
- el cumplimiento del RGPD cuando se utilizan herramientas de IA que tratan datos personales;
- la obligación de garantizar una alfabetización suficiente en IA para el personal que utiliza estos sistemas (artículo 4 del AI Act);
- la necesidad de implantar políticas internas de uso responsable de la inteligencia artificial;
- la evaluación de riesgos de los sistemas utilizados.
En otras palabras, el tiempo adicional concedido por Europa debe aprovecharse para prepararse correctamente.
La inteligencia artificial ya forma parte del día a día de las empresas
Hoy es habitual encontrar organizaciones que utilizan herramientas como ChatGPT, Copilot, Gemini o Claude para:
- redactar documentos;
- atender consultas de clientes;
- elaborar informes;
- generar código;
- automatizar procesos internos.
Sin embargo, muchas de estas empresas todavía no disponen de:
- una política interna de uso de IA;
- criterios sobre qué información puede compartirse;
- revisión de los contratos con proveedores;
- documentación adaptada al RGPD y al AI Act.
Esta situación genera riesgos legales que pueden evitarse mediante una adecuada gobernanza de la inteligencia artificial.
¿Cómo pueden prepararse las empresas?
La mejor estrategia consiste en comenzar cuanto antes un proceso de adaptación progresiva.
Entre las principales actuaciones destacan:
- identificar todas las herramientas de IA utilizadas dentro de la organización;
- analizar los tratamientos de datos personales asociados;
- revisar los contratos con los proveedores tecnológicos;
- actualizar la documentación de protección de datos;
- elaborar políticas internas de uso responsable;
- formar a los empleados;
- implantar mecanismos de supervisión y control.
De este modo, cuando entren en vigor las nuevas obligaciones, la organización ya contará con una base sólida de cumplimiento.
La Unión Europea continúa apostando por una inteligencia artificial segura, ética y respetuosa con los derechos fundamentales.
Las modificaciones recientemente aprobadas buscan ofrecer mayor seguridad jurídica a las empresas mediante el aplazamiento de determinados plazos, pero al mismo tiempo refuerzan la protección de las personas prohibiendo expresamente herramientas especialmente peligrosas, como los generadores de desnudos falsos mediante IA.
La inteligencia artificial seguirá transformando la forma de trabajar de las organizaciones, pero esa transformación debe realizarse con garantías jurídicas, técnicas y organizativas.
¿Tu empresa utiliza herramientas de inteligencia artificial?
En PymeLegal ayudamos a empresas y organizaciones a implantar la IA de forma segura y conforme al RGPD y al Reglamento Europeo de Inteligencia Artificial (AI Act).
Analizamos los riesgos, revisamos la documentación necesaria, elaboramos políticas internas de uso de IA y acompañamos a las empresas en su proceso de adaptación normativa para que puedan aprovechar todo el potencial de la inteligencia artificial con seguridad y confianza.