El Reglamento de IA de la UE para equipos que lanzan funciones de ML: una orientación para quien construye

Si estás lanzando una función de ML o IA en la UE y te preguntas si el Reglamento de IA de la UE se aplica a tu producto, la respuesta corta es: casi con seguridad te afecta, pero la mayoría de las funciones caen en los niveles más ligeros, y lo principal que debes hoy es transparencia — decir a las personas cuándo interactúan con IA y etiquetar el contenido generado por IA. Esta es una orientación para quien construye, escrita por ingenieros que lanzan estas funciones para clientes. Es información general, no asesoramiento jurídico. Para una clasificación efectiva de tu producto, recurre a asesoramiento legal cualificado.

Somos Amplified Creations, un estudio digital en Leiria y Lisboa. Construimos sistemas de recomendación, plataformas web y pipelines de captura, y casi todo lo que lanzamos hoy tiene un componente de ML o IA en alguna parte. Por eso, la pregunta "¿se aplica el Reglamento de IA a mi producto y qué riesgo tiene mi función?" es una que tenemos que responder para nuestra propia hoja de ruta. Así pensamos sobre ello, en lenguaje sencillo.

¿Se aplica el Reglamento de IA de la UE a mi producto?

El Reglamento de IA de la UE es la regulación horizontal de la Unión Europea para la inteligencia artificial. "Horizontal" significa que no es específico de un sector — se aplica transversalmente según lo que un sistema de IA hace y cuán arriesgado es ese uso, no según si estás en finanzas, en fitness o en mobiliario. Entró en vigor en 2024 y sus obligaciones se aplican a lo largo de un calendario de varios años, en lugar de aterrizar todas de golpe.

Te alcanza si introduces un sistema de IA en el mercado de la UE o lo pones en servicio en la UE, o si el resultado de tu sistema se utiliza en la UE — incluso cuando tu empresa está en otro lugar. La conclusión práctica: si tienes usuarios en la UE, asume que estás dentro del ámbito y que la única pregunta real es qué nivel. No importa que seas un equipo pequeño o que tu modelo sea un ranker de 200 líneas. El tamaño no exime; la clasificación de riesgo hace el trabajo.

Una definición útil de entrada. El Reglamento distingue roles. Un proveedor desarrolla un sistema de IA y lo introduce en el mercado bajo su propio nombre. Un responsable del despliegue utiliza un sistema de IA bajo su propia autoridad en un contexto profesional. Las obligaciones difieren. La mayoría de las veces, cuando construyes una función para tu propio producto, eres el proveedor; cuando integras el modelo de otro en un flujo de trabajo, puedes ser responsable del despliegue, o ambos. Esto importa porque las obligaciones más pesadas recaen sobre todo en los proveedores de sistemas de alto riesgo.

Los cuatro niveles de riesgo, en lenguaje sencillo

El Reglamento ordena los sistemas de IA en un pequeño número de niveles de riesgo. Meter tu función en el cubo correcto es todo el juego, porque las obligaciones escalan con el nivel.

Riesgo inaceptable — prohibido

Un conjunto reducido de prácticas está prohibido de forma absoluta. Piensa en puntuación social por autoridades públicas, ciertos tipos de sistemas manipuladores o explotadores que causan daño, recopilación no dirigida de imágenes faciales para construir bases de reconocimiento, y la mayoría de la identificación biométrica remota en tiempo real en espacios públicos. Si tu función está aquí, la respuesta no es "cumplir" — es "no lanzarla". Para la inmensa mayoría de los equipos de producto, nada de lo que estás construyendo vive en este nivel. Vale la pena leer la lista una vez para poder descartarlo con confianza.

Alto riesgo — obligaciones más pesadas

Este es el nivel que carga peso real de ingeniería y de documentación. Los sistemas de alto riesgo son, en términos generales, IA usada como componente de seguridad de un producto regulado, o IA usada en dominios sensibles específicos: cosas como reclutamiento y gestión de trabajadores, acceso a la educación, acceso a servicios y prestaciones privados y públicos esenciales, puntuación crediticia, ciertos usos en aplicación de la ley y migración, y algunos casos biométricos y de infraestructuras críticas.

Si tu función decide quién es contratado, quién recibe un préstamo o quién entra en una escuela, asume que estás dentro o cerca de este nivel y busca asesoramiento pronto. Alto riesgo no significa prohibido — significa obligaciones: un sistema de gestión de riesgos, gobernanza de datos, documentación técnica, registros, supervisión humana, exactitud y robustez, y un proceso de conformidad antes de llegar al mercado. Eso es un verdadero programa de trabajo, no una casilla que marcar. La reacción honesta de ingeniería es que quieres saber que estás aquí antes de construir, no después.

Riesgo limitado — deberes de transparencia

Aquí es donde vive mucha de la IA de producto normal. "Riesgo limitado" es abreviatura para sistemas que no son de alto riesgo pero interactúan con personas de formas que podrían inducirlas a error si no se revelaran. El deber aquí es la transparencia, y es concreto:

• Si los usuarios interactúan con un sistema de IA como un chatbot, deben ser informados de que están tratando con una máquina, salvo que sea obvio por el contexto.
• El contenido generado o manipulado por IA — imágenes, audio y vídeo sintéticos y texto generado publicado para informar al público — debe etiquetarse como generado artificialmente, de forma legible por máquina cuando sea viable.
• Los deep fakes y medios sintéticos similares conllevan expectativas de divulgación.

El objetivo de estos deberes no es papeleo; es que las personas no sean engañadas sobre si hay un humano o una máquina al otro lado. Si construyes un chatbot con LLM, este nivel es tu base incluso cuando nada más se aplica.

Riesgo mínimo — casi todo lo demás

La gran mayoría de la IA en producción — filtros de spam, widgets de recomendación, ordenación de búsqueda, previsión de inventario — se sitúa en el riesgo mínimo, donde el Reglamento no impone obligaciones específicas obligatorias más allá de las reglas que ya se aplican a tu software (RGPD, derecho del consumidor, etcétera). Se fomentan los códigos de conducta voluntarios, pero no cargas un programa de conformidad solo por la parte de IA.

Por qué un pequeño ranker explicable es más ligero que un chatbot LLM

Aquí está la parte que realmente cambia cómo construimos. Dos funciones pueden ser ambas "IA" y caer en niveles muy distintos, y es la decisión de diseño la que conduce la diferencia.

Mira nuestro trabajo en Jofit, una app de bienestar con un sistema de recomendación que sugiere sesiones. Es un ranker pequeño y explicable — no un modelo de lenguaje grande. Puntúa un conjunto acotado de opciones frente a características que elegimos y podemos inspeccionar, y podemos decir, para cualquier recomendación, por qué quedó ordenada como quedó. Como no se usa para decidir contratación, crédito, educación u otro dominio de alto riesgo, y como no es un agente conversacional que finge ser humano, se sitúa típicamente en terreno de riesgo mínimo o, como mucho, limitado. No necesitamos una etiqueta de deep fake en una sugerencia de entrenamiento.

Ahora contrasta con un chatbot LLM. En el momento en que una función habla con los usuarios en lenguaje natural como si fuera una persona, el deber de transparencia de riesgo limitado se aplica — debes revelar que es IA. Si ese chatbot además genera contenido publicado para el público, las expectativas de etiquetado se acumulan encima. Y los modelos de IA de propósito general que están debajo tienen sus propias obligaciones del lado del proveedor en cuanto a documentación y, para los modelos más capaces, deberes de riesgo sistémico. Nada de esto hace que los LLM sean imposibles de lanzar. Significa que un sistema conversacional opaco atrae más obligaciones, por diseño, que un ranker transparente haciendo un trabajo acotado.

Esto no es una conclusión jurídica sobre ningún producto específico — tu clasificación depende de tu uso real, de tu dominio y de hechos que no vemos desde aquí. Es el patrón que usamos para orientar la arquitectura pronto, y luego confirmamos con asesoramiento legal.

Qué hace efectivamente Amplified Creations al respecto

Nos inclinamos con fuerza hacia ML pequeño, explicable y documentable en lugar de LLM opacos siempre que el trabajo lo permite, y el Reglamento de IA es una de varias razones. Un ranker explicable como el de Jofit es auditable: podemos escribir las características, la lógica de puntuación y las fuentes de datos, y reconstruir cualquier decisión. Esa misma documentación que hace un modelo depurable también lo hace defendible si un regulador o cliente alguna vez pregunta cómo funciona.

En concreto, la higiene de documentación que mantenemos ayuda con independencia del nivel en que caiga una función. En nuestro trabajo de ML mantenemos una descripción sencilla de lo que el sistema hace y su propósito previsto, de dónde vienen los datos de entrenamiento y de entrada, cuáles son las limitaciones conocidas, qué supervisión humana existe en el bucle, y un registro de cambios de las versiones del modelo. Del lado web, nuestra stack — PHP 8.3, Cockpit CMS, páginas renderizadas en el servidor con JSON-LD completo y analítica sin cookies, centrada en la privacidad — está construida para no andar recopilando o infiriendo sigilosamente cosas que luego tendríamos que explicar. Cuando introducimos una función conversacional o generativa, añadimos la divulgación "estás hablando con IA" y el etiquetado de contenido como parte de la construcción, no como parche posterior. No afirmamos certificar la conformidad de nadie; somos ingenieros, y traemos asesoramiento legal cualificado para las cuestiones de clasificación y conformidad.

La versión corta

• Asume el ámbito. Si tienes usuarios en la UE, el Reglamento de IA probablemente se aplica; la pregunta real es qué nivel.
• Cuatro niveles: inaceptable (prohibido), alto riesgo (obligaciones pesadas), riesgo limitado (deberes de transparencia), riesgo mínimo (casi todo, pocos deberes específicos).
• La transparencia es la base común: dile a los usuarios cuándo hablan con IA y etiqueta el contenido generado por IA.
• El diseño conduce el nivel. Un pequeño ranker explicable suele quedar ligero; un chatbot LLM atrae transparencia y, a menudo, más.
• La higiene de documentación compensa de cualquier forma. Escribe propósito, datos, limitaciones, supervisión y versiones.
• Busca asesoramiento para la clasificación. Esto es orientación, no asesoramiento jurídico.

Preguntas frecuentes

¿Se aplica el Reglamento de IA de la UE a mi producto si mi empresa está fuera de la UE?

Muy probablemente sí. El Reglamento puede alcanzar a proveedores y responsables del despliegue fuera de la UE cuando un sistema de IA se introduce en el mercado de la UE o su resultado se utiliza en la UE. Tener la sede en otro lugar no te exime por sí solo. Confirma tu situación específica con asesoramiento legal cualificado.

¿Es un sistema de recomendación de alto riesgo bajo el Reglamento de IA?

Normalmente no, por sí solo. Un sistema de recomendación usado para contenido, productos o sesiones se sitúa típicamente en terreno de riesgo mínimo o limitado. Tiende hacia el alto riesgo solo cuando se usa para decidir cosas en dominios sensibles como empleo, crédito o acceso a servicios esenciales. Tu uso real determina el nivel, así que confirma la clasificación con un abogado.

¿Cuál es, en la práctica, la obligación de transparencia?

Sobre todo dos cosas: decir a los usuarios cuándo interactúan con un sistema de IA como un chatbot, salvo que sea obvio, y etiquetar el contenido generado o manipulado por IA como generado artificialmente. El objetivo es que las personas no sean engañadas sobre si fue un humano o una máquina quien produjo lo que están viendo.

¿Necesito un programa de conformidad para una función de riesgo mínimo?

No específicamente por el Reglamento de IA. Los sistemas de riesgo mínimo no cargan obligaciones específicas obligatorias del Reglamento de IA más allá de las leyes que ya se aplican a tu software, como protección de datos y reglas del consumidor. Los códigos voluntarios se fomentan, pero no se exigen.

¿Por qué Amplified Creations prefiere ML explicable a LLM?

Porque los modelos pequeños y explicables son auditables y documentables, lo que mantiene las obligaciones más ligeras y las decisiones defendibles. Podemos reconstruir por qué ocurrió una recomendación, lo que ayuda en la depuración, con clientes y en cualquier cuestión regulatoria — sin la carga más pesada de transparencia y documentación que un sistema conversacional opaco tiende a atraer.