Reglamento (UE) 2024/1689 sobre inteligencia artificial (AI Act): cómo OpenKBS garantiza el cumplimiento para las empresas

El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (AI Act) es el primer acto legislativo del mundo que regula los sistemas de inteligencia artificial. El Reglamento entró en vigor el 1 de agosto de 2024 y se aplica de forma gradual, con plena aplicación a partir del 2 de agosto de 2026.

Como reglamento de la UE, el AI Act se aplica directamente en todos los Estados miembros de la Unión Europea, incluida España, sin necesidad de transposición nacional.

La obligación de alfabetización en materia de IA en virtud del art. 4 del Reglamento está en vigor desde el 2 de febrero de 2025. Las organizaciones que utilizan sistemas de IA ya están obligadas a garantizar un nivel suficiente de alfabetización en materia de IA para su personal.

Auditoría de cumplimiento integrada en OpenKBS Studio

OpenKBS Studio incluye un AI Act Compliance Skill integrado que audita automáticamente el proyecto y genera un informe de cumplimiento estructurado. El skill analiza qué modelos de IA se utilizan, los clasifica por categoría de riesgo conforme al Anexo III, verifica la presencia de mecanismos de supervisión humana, medidas de trazabilidad y transparencia, y produce un informe documentado listo para ser presentado a las autoridades reguladoras o para auditoría interna. El proceso se inicia con una sola instrucción al agente de IA y no requiere ninguna configuración adicional.

Aplicación gradual

FechaQué entra en vigor
1 de agosto de 2024El Reglamento entra en vigor
2 de febrero de 2025Prácticas de IA prohibidas (art. 5) y obligación de alfabetización en IA (art. 4)
2 de agosto de 2025Normas para modelos de IA de uso general (GPAI)
2 de agosto de 2026Aplicación completa: sistemas de IA de alto riesgo, evaluación de conformidad, sanciones
2 de agosto de 2027Sistemas de alto riesgo del Anexo I (IA de alto riesgo integrada en productos: dispositivos médicos, maquinaria, juguetes)

Obligación de alfabetización en materia de IA (art. 4)

El art. 4 del Reglamento (UE) 2024/1689 obliga a los proveedores y responsables del despliegue de sistemas de IA a adoptar medidas que garanticen un nivel suficiente de alfabetización en materia de IA de su personal y de las personas que operen los sistemas de IA en su nombre.

A quién afecta

La obligación abarca:

  • empleados que utilizan herramientas de IA en su trabajo diario;
  • directivos que toman decisiones basándose en los resultados de la IA;
  • equipos de selección de proveedores y tecnologías;
  • contratistas y personal externalizado que opera sistemas de IA en nombre de la organización;
  • órganos de dirección con funciones de supervisión sobre los sistemas de IA.

Qué se exige

El Reglamento no prescribe un formato, duración o programa de formación específico. El estándar es la adecuación respecto al rol, teniendo en cuenta los conocimientos técnicos, la experiencia, la formación y el contexto de uso del sistema de IA.

Las formaciones genéricas que no abordan los sistemas de IA específicos utilizados en la organización se consideran insuficientes. La formación debe cubrir:

  • las capacidades y limitaciones de los sistemas de IA específicos;
  • los riesgos asociados a su uso;
  • la evaluación crítica de los resultados de la IA;
  • consideraciones éticas, incluyendo sesgos y equidad;
  • procedimientos para la notificación de incidentes.

Cómo demostrar el cumplimiento

Las organizaciones deben mantener:

  • una política de uso aceptable de la IA (AI Acceptable Use Policy);
  • una política de alfabetización en IA (estructura de la formación, responsabilidades, ciclo de actualización);
  • registros de las formaciones realizadas con fechas, participantes y contenidos;
  • resultados de evaluaciones que demuestren comprensión (no solo asistencia);
  • un registro de las actualizaciones del programa.

Sanciones

El AI Act no establece una multa directa a nivel de la UE por el incumplimiento de las obligaciones del art. 4. Los tres niveles sancionadores del art. 99 se aplican a otras infracciones: hasta 35 millones de EUR o el 7 % de la facturación anual mundial por prácticas prohibidas (art. 5), hasta 15 millones de EUR o el 3 % por obligaciones de los responsables del despliegue (art. 26), hasta 7,5 millones de EUR o el 1 % por información falsa. Los Estados miembros pueden establecer sus propias sanciones por infracciones del art. 4.

Prácticas de IA prohibidas (art. 5)

Desde el 2 de febrero de 2025 están prohibidas ocho categorías de prácticas de IA:

  1. Técnicas de IA manipuladoras que causen daño;
  2. Explotación de vulnerabilidades (edad, discapacidad, situación socioeconómica);
  3. Puntuación social (social scoring);
  4. Predicción del riesgo individual de comisión de delitos;
  5. Recopilación no selectiva de imágenes faciales de Internet o de videovigilancia;
  6. Reconocimiento de emociones en el lugar de trabajo y en la educación;
  7. Categorización biométrica basada en características protegidas;
  8. Identificación biométrica en tiempo real en espacios públicos (con excepciones limitadas para las fuerzas del orden).

El punto 6 es directamente aplicable a cualquier organización que utilice IA en la gestión de recursos humanos.

Sistemas de IA de alto riesgo (Anexo III)

El Anexo III del Reglamento define ocho áreas en las que los sistemas de IA se clasifican como de alto riesgo:

ÁreaEjemplos
BiometríaIdentificación biométrica remota, reconocimiento de emociones
Infraestructuras críticasGestión de redes energéticas, transporte, abastecimiento de agua
EducaciónAdmisión, calificación, asignación a grupos
Empleo y gestión de trabajadoresSelección de candidatos, cribado de CV, evaluación del rendimiento, decisiones de promoción o despido
Acceso a servicios esencialesScoring crediticio, seguros, asistencia social
Aplicación de la leyEvaluación de pruebas, policía predictiva
Migración y control fronterizoEvaluación de solicitudes de visado, vigilancia de fronteras
JusticiaAnálisis jurídico, herramientas predictivas para decisiones judiciales

Obligaciones de los responsables del despliegue de sistemas de alto riesgo (art. 26)

Las organizaciones que despliegan sistemas de IA de alto riesgo están obligadas a:

  • utilizar los sistemas de acuerdo con las instrucciones del proveedor;
  • garantizar la supervisión humana por personas competentes;
  • asegurar que los datos de entrada sean adecuados y representativos;
  • supervisar el funcionamiento del sistema y notificar los incidentes graves;
  • conservar los registros generados automáticamente durante al menos 6 meses;
  • informar a los representantes de los trabajadores y a los trabajadores afectados antes del despliegue;
  • en sistemas del ámbito del empleo — informar a los candidatos de que la IA participa en el proceso de selección.

Cómo OpenKBS aborda los requisitos del AI Act

Trazabilidad de las operaciones de IA (art. 12, art. 26)

OpenKBS opera toda la infraestructura de IA de sus clientes enterprise en la plataforma, incluyendo un proxy de IA unificado para el acceso a múltiples modelos de IA (OpenAI, Anthropic, Google).

Cada llamada a un modelo de IA pasa por el proxy, que registra:

  • qué modelo de IA se utilizó y qué versión;
  • la marca temporal de la solicitud;
  • el número de tokens de entrada y de salida;
  • el identificador del proyecto.

Estos datos se almacenan en la infraestructura del cliente y están disponibles para auditoría. Abordan los requisitos de trazabilidad de los resultados (art. 12) y de conservación de registros (art. 26, apartado 6).

Supervisión humana by design (art. 14, art. 26)

La arquitectura de OpenKBS está diseñada de modo que los resultados de la IA no se ejecuten automáticamente sin intervención humana. Para los clientes enterprise:

  • los sistemas de IA operan dentro de un entorno gestionado con acceso controlado;
  • para las decisiones críticas (RRHH, finanzas, operaciones) se aplica un flujo de trabajo de aprobación — la IA genera una recomendación, una persona autorizada la confirma o la rechaza;
  • cada nueva versión de la solución pasa por un proceso estructurado de revisión de seguridad antes de su introducción en el entorno de producción.

Transparencia y marcado de contenido IA (art. 50)

OpenKBS proporciona a los clientes enterprise herramientas para el marcado de contenido generado por IA:

  • metadatos de origen — cada respuesta de la IA puede contener información sobre el modelo, la versión y la fecha de generación;
  • componente de divulgación (AI Disclosure) — listo para integrar en las aplicaciones del cliente, informando a los usuarios finales de que están interactuando con una IA o de que el contenido ha sido generado por IA.

Alfabetización en materia de IA (art. 4)

OpenKBS proporciona a los clientes enterprise documentación y asesoramiento sobre:

  • las capacidades y limitaciones de los modelos de IA disponibles a través de la plataforma;
  • los riesgos en las diferentes categorías de uso;
  • las mejores prácticas para la evaluación crítica de los resultados de la IA;
  • los procedimientos para la notificación de incidentes.

Esta documentación puede servir como base para el programa interno de alfabetización en IA de la organización.

Informe de cumplimiento (art. 11, art. 26)

OpenKBS proporciona a los clientes enterprise un skill especializado para la generación automatizada de informes de cumplimiento del AI Act. El skill se instala en OpenKBS Studio con un clic desde la sección Skills y se activa mediante una instrucción al agente de IA (ej. "genera un informe de cumplimiento del AI Act"). El agente recopila datos de los registros del proxy de IA, analiza el código del proyecto y genera un informe estructurado que contiene:

Inventario de los sistemas de IA:

  • lista completa de los modelos de IA utilizados en el proyecto (ej. Claude Sonnet 4.6, GPT-4.1, Gemini 2.5 Flash);
  • versiones de los modelos y proveedores;
  • número de llamadas por modelo en un período seleccionado;
  • consumo total de tokens de entrada y de salida.

Clasificación del riesgo:

  • evaluación automática de la categoría de riesgo según el Anexo III (alto riesgo, limitado, mínimo);
  • identificación de las áreas que entran en el ámbito de los sistemas de alto riesgo (empleo, finanzas, educación);
  • recomendaciones de medidas adicionales en caso de IA de alto riesgo.

Estado de las medidas de cumplimiento:

  • presencia del AI Act Compliance Skill en el proyecto;
  • estado de los mecanismos de supervisión humana (flujo de trabajo de aprobación);
  • presencia y completitud de los registros de trazabilidad;
  • estado del componente AI Disclosure;
  • presencia de una AI Acceptable Use Policy y de una política de alfabetización en IA.

Artefacto generado: El informe se genera como documento estructurado (PDF/JSON), listo para ser presentado a las autoridades reguladoras, a los comités de auditoría internos o para ser archivado como artefacto de cumplimiento. La generación periódica (ej. trimestral) garantiza un historial documentado del uso de la IA en la organización.

Prácticas prohibidas y AI Act Compliance Skill

OpenKBS integra en los proyectos enterprise un skill de cumplimiento especializado — un conjunto de reglas que el agente de IA carga automáticamente. Estas reglas incluyen:

Operaciones prohibidas:

  • reconocimiento de emociones en el contexto del empleo o la educación;
  • puntuación social de personas físicas;
  • categorización biométrica basada en características protegidas;
  • técnicas manipuladoras que explotan vulnerabilidades.

Procedimientos obligatorios:

  • registro de cada decisión de la IA con datos de entrada, datos de salida, modelo y marca temporal;
  • para las decisiones en los ámbitos del empleo, las finanzas y la educación — interrupción y solicitud de confirmación por parte de una persona autorizada;
  • adición de metadatos sobre el origen IA al contenido generado;
  • generación de una evaluación de riesgos al introducir nuevas funcionalidades de IA.

Consolidación de la cadena de suministro de IA

Una organización que utiliza modelos de IA de múltiples proveedores (OpenAI, Anthropic, Google) debe gestionar el cumplimiento para cada uno por separado — diferentes condiciones de uso, diferentes políticas de datos, diferentes niveles de transparencia.

OpenKBS consolida el acceso a múltiples modelos de IA a través de un proxy unificado, operado en la infraestructura UE de la plataforma. El cliente interactúa con un único proveedor (OpenKBS), que gestiona la integración con los proveedores de IA.

Esto reduce:

  • el número de proveedores sujetos a evaluación separada;
  • la complejidad de gestionar diferentes políticas de datos;
  • la carga administrativa en la documentación de la cadena de suministro de IA.

Seguridad de la infraestructura

El AI Act no funciona de forma aislada — las organizaciones que entran en el ámbito de aplicación de la Directiva (UE) 2022/2555 (NIS2) deben garantizar el cumplimiento de ambos actos simultáneamente. OpenKBS aborda ambos marcos a través de:

  • Cuenta AWS dedicada para cada cliente enterprise — aislamiento completo y posibilidad de transferencia;
  • EU Data Residency — los datos se alojan en la región AWS eu-central-1 (Fráncfort, Alemania);
  • Arquitectura serverless — superficie de ataque reducida, actualizaciones de seguridad automáticas;
  • Cifrado — TLS 1.2+ en tránsito, AES-256 en reposo;
  • Registro de auditoría — trazabilidad de todas las acciones administrativas.

Una descripción detallada de la cobertura NIS2 está disponible en la publicación sobre la Directiva (UE) 2022/2555.

Resumen: cobertura de los requisitos principales

Requisito del AI ActCómo OpenKBS lo aborda
Alfabetización IA (art. 4)Documentación, asesoramiento y materiales para el programa de alfabetización IA
Prácticas prohibidas (art. 5)AI Act Compliance Skill con prohibiciones integradas
Trazabilidad (art. 12)Registros del proxy IA: modelo, versión, marca temporal, proyecto
Supervisión humana (art. 14, 26)Flujo de trabajo de aprobación para decisiones de alto riesgo
Transparencia (art. 50)Componente AI Disclosure y metadatos de origen
Registro de logs (art. 26, apartado 6)Almacenamiento automático de registros en la infraestructura del cliente
Documentación técnica (art. 11)Informe de cumplimiento automatizado por proyecto
Información a los trabajadores (art. 26, apartado 7)Asesoramiento sobre los procedimientos de notificación
Gestión de la cadena de suministroProxy IA consolidado — un proveedor en lugar de varios
NIS2 + AI Act conjuntamenteInfraestructura unificada que cubre ambos actos

Siguiente paso

Si su organización utiliza sistemas de IA y debe garantizar el cumplimiento del Reglamento (UE) 2024/1689, contacte con nosotros para una consulta sobre:

  • evaluación del uso actual de la IA respecto a los requisitos del Reglamento;
  • clasificación de los sistemas de IA por categorías de riesgo;
  • implementación del AI Act Compliance Skill en el entorno gestionado;
  • generación de un informe de cumplimiento para las autoridades reguladoras o auditorías internas;
  • programa de alfabetización en IA para el personal.

Los servicios descritos para el cumplimiento del AI Act — compliance skill, auditoría del uso de la IA, flujo de trabajo de supervisión humana e informe de cumplimiento — forman parte del plan Enterprise de OpenKBS.

La presente publicación tiene carácter puramente informativo y no constituye asesoramiento jurídico. Para cuestiones específicas sobre la aplicación del Reglamento (UE) 2024/1689, consulte a un asesor jurídico cualificado.

Book a Strategy Call
Reglamento IAAI Actalfabetización IAIA de alto riesgocumplimientoAWSenterpriseOpenKBS