Fase 2: En vigor desde el 2 de agosto de 2025
Las obligaciones de la Fase 2 de la EU AI Act entraron en vigor el 2 de agosto de 2025 y crean requisitos de cumplimiento considerables para las PYME europeas que utilizan sistemas de IA. La mayoría de las PYME aún no son conscientes de estos requisitos.
Advertencia Crítica
Las organizaciones que utilizan ChatGPT, Copilot, Claude o Gemini enfrentan multas de 35 millones de euros o el 7% de la facturación anual global, según el importe que sea mayor.
Dos requisitos principales
1. Obligaciones de transparencia para proveedores de GPAI
- Documentación técnica sobre procesos de entrenamiento y limitaciones del modelo
- Divulgación de resúmenes de datos de entrenamiento para identificar sesgos potenciales
- Documentación de los Procedimientos de Cumplimiento de Copyright
- Publicación de información de contacto para consultas regulatorias
2. Obligaciones de notificación y riesgo
Las organizaciones que utilicen modelos de IA con riesgo sistémico deben notificar a las autoridades de la UE.
Tres escenarios prácticos
Escenario 1: Chatbots de Atención al Cliente
Requiere divulgación hacia los clientes, prácticas de documentación y estructuras de gobernanza con protocolos de supervisión humana.
Escenario 2: IA de Reclutamiento (Alto Riesgo)
Requiere evaluaciones de riesgo, revisión humana obligatoria de decisiones, transparencia del candidato y registros de auditoría detallados con justificaciones de decisiones.
Escenario 3: Business Analytics (menor riesgo)
Requiere documentación del sistema, comprensión de los datos de entrenamiento y verificación humana antes de la implementación.
Cronograma de Cumplimiento
- Hasta diciembre de 2025: Inventario de todos los sistemas de IA incl. usuarios, aplicaciones y clasificaciones de riesgo
- Hasta febrero de 2026: Establecer estructura de governance, nombrar responsable de IA, desarrollar directrices de uso
- Hasta marzo de 2026: Realizar formaciones del equipo, crear documentación
- De forma continua: Documentar todos los sistemas, identificar riesgos, registrar medidas de compliance
Estructura de sanciones
- Prácticas prohibidas: €35 millones o 7% de la facturación anual global
- Sistemas de Alto Riesgo Non-Compliance: €15 millones o 3% de la facturación anual
- Violaciones de transparencia: €7,5 millones o 1% de la facturación anual
Ejemplo: Una PYME con €10 millones de facturación arriesga €100.000 de multas mínimas por infracciones del 1%.
Conclusión
El reglamento fomenta la implementación transparente, segura y ética de la IA. Las PYME responsables que documenten adecuadamente sus prácticas tendrán desafíos mínimos de cumplimiento. El incumplimiento resulta de la falta de documentación de sistemas y de abordar riesgos inherentes como la discriminación o las violaciones de protección de datos.
