El Reglamento (UE) 2024/1689 sobre Inteligencia Artificial (RIA) está transformando el panorama regulatorio para las empresas europeas. Aunque su aplicación completa será progresiva hasta 2026, ya hay obligaciones vigentes que comenzaron a aplicarse en febrero de este año, y otras de gran impacto que entran en vigor el próximo 2 de agosto.

Las organizaciones que no actúen desde hoy se arriesgan a sanciones, pérdida de reputación y a quedarse atrás en un entorno cada vez más automatizado y regulado. Anticiparse, identificando  las obligaciones ya vigentes y las que entrarán en vigor en agosto, es clave para transformar el cumplimiento en una ventaja competitiva para directivos, equipos jurídicos, responsables de compliance y área de IT.

Obligaciones ya en vigor desde el 2 de febrero de 2025

Capítulo II – Prácticas prohibidas y alfabetización en IA (Artículo 4)

Exige que cualquier persona que interactúe con sistemas de IA reciba formación adecuada, proporcional a su rol y al impacto del sistema. La capacitación debe incluir aspectos técnicos, éticos y normativos, y está dirigida a todos los perfiles, no solo técnicos. Es una obligación legal inmediata y reforzada por el Reglamento como elemento esencial del cumplimiento normativo.

Lo que será obligatorio a partir del 2 de agosto de 2025

Capítulo V – Modelos de IA de uso general (GPAI)

Desde esa fecha, entran en vigor reglas específicas para los modelos fundacionales (grandes modelos de lenguaje, generativos…) con obligaciones de transparencia, evaluación de robustez, trazabilidad y mitigación del riesgo sistémico.

Además, la Comisión Europea ha desarrollado un Código de Buenas Prácticas (Code of Practice) de cumplimiento voluntario —publicado el 10 de julio de 2025— que ayuda a los proveedores a demostrar conformidad con los artículos 53 y 55 sobre transparencia, derechos de autor, seguridad y trazabilidad. La adhesión al código reduce cargas administrativas y refuerza la presunción de cumplimiento.

Capítulo VII – Gobernanza

Se activa la obligación de establecer una estructura formal de gobernanza interna: roles y políticas documentadas, protocolos de revisión, comités de supervisión y coordinación con autoridades nacionales. La gobernanza de la IA se convierte en un proceso corporativo transversal, no solo técnico. También se prevé la coordinación entre autoridades nacionales competentes, que deben estar designadas antes de la fecha de entrada en vigor.

Capítulo XII – Sanciones

Las infracciones a partir del 2 de agosto están sujetas a multas de hasta 35 millones de euros o el 7 % de la facturación global, además de medidas reputacionales y legales. Las sanciones deben estar implementadas por las autoridades nacionales designadas antes de esa fecha. Las conductas sancionables incluyen tanto el uso de prácticas prohibidas como la omisión de medidas exigidas para sistemas de alto riesgo, GPAI o gobernanza interna.

Capítulo III, sección 4 – Autoridades notificantes y organismos notificados

Las empresas que comercialicen o utilicen sistemas de IA de alto riesgo tendrán que notificarlos oficialmente y cumplir auditorías y certificaciones externas reguladas por organismos designados. Este aspecto tiene un impacto directo sobre el ciclo de vida de los productos y servicios que incorporen IA: desde el diseño hasta su puesta en el mercado, pasando por controles de conformidad continuos.

La entrada en vigor escalonada del Reglamento de Inteligencia Artificial no deja lugar a la improvisación. Las obligaciones ya vigentes y las que entrarán en vigor el 2 de agosto de 2025 configuran un marco exigente, que no solo afecta a proveedores de tecnología, sino también a cualquier organización que implemente o interactúe con sistemas de IA.

El cumplimiento no puede afrontarse como una reacción puntual, sino como una estrategia transversal que combine gobernanza, formación, análisis de riesgos, revisión de procesos y transparencia. Alinear los desarrollos tecnológicos con los principios éticos y jurídicos del Reglamento es hoy una condición para operar con legitimidad, anticiparse a posibles sanciones y generar confianza en un entorno cada vez más regulado y automatizado.

El camino hacia el cumplimiento efectivo pasa por integrar la inteligencia artificial dentro de la arquitectura de cumplimiento normativo de las organizaciones, reforzar las capacidades internas y activar mecanismos de supervisión y mejora continua. Las empresas que aborden desde hoy este reto normativo con visión estratégica estarán mejor preparadas para aprovechar el potencial de la IA de forma segura, legal y sostenible.

Desde Auren, trabajamos para que la regulación no sea una barrera, sino una palanca de confianza, eficiencia y ventaja competitiva. Acompañamos a las organizaciones en la integración de la IA dentro de sus marcos de control y buen gobierno, ayudándoles a anticiparse a los riesgos, cumplir con la normativa y avanzar con seguridad hacia un entorno cada vez más automatizado y exigente.

Ana María Ozunu – Directora GRC Auren Consultoría