Los niveles de riesgo de la AI Act europea, explicados sin lenguaje jurídico
La AI Act de la UE no trata a toda la IA por igual, y esa es justo la parte que la mayoría de las explicaciones se saltan. No es un único reglamento que se aplica de forma uniforme a cada sistema de IA: es un mecanismo de clasificación. Todo sistema de IA usado en la UE o que la afecte se coloca en uno de cuatro niveles de riesgo, y ese nivel determina si te enfrentas a una prohibición directa, una montaña de trámites de cumplimiento, una simple obligación de divulgación, o nada en absoluto. Un artículo anterior de este blog explicaba en detalle las reglas de etiquetado y divulgación del artículo 50 —la obligación concreta de avisar que algo es IA—. Este trata sobre la estructura más amplia en la que se insertan esas reglas: el sistema de niveles en sí, y dónde es más probable que caigan las herramientas que los creadores usan en el día a día.
Los cuatro niveles, en términos sencillos
Riesgo inaceptable significa prohibición directa: no regulado, no gravado, no etiquetado, simplemente ilegal de construir o desplegar en la UE, sin importar quién seas ni el cuidado que pongas. Riesgo alto significa legal pero muy vigilado: evaluaciones de conformidad, documentación técnica, supervisión humana, registro en una base de datos de la UE, todo el paquete. Riesgo limitado significa legal con una condición de transparencia: tienes que divulgar lo que está pasando, pero no necesitas aprobación previa a la comercialización ni un departamento de cumplimiento. Riesgo mínimo significa que no hay obligaciones específicas de IA: sigues sujeto al derecho ordinario, como el RGPD y la protección al consumidor, pero la AI Act en sí no tiene nada que decirte. La mayor parte del uso cotidiano de IA generativa por creadores individuales se sitúa en los dos niveles inferiores. Los niveles que realmente deberían preocuparte son los dos superiores, y casi siempre por razones concretas e identificables, no por “la IA en general”.
Riesgo inaceptable: la lista corta de lo que simplemente está prohibido
El artículo 5 enumera ocho categorías de prácticas de IA que la UE considera incompatibles con los derechos fundamentales, sin más: ninguna versión de “pero lo divulgamos” hace legales estas prácticas. Incluyen: IA que manipula a las personas de forma subliminal o abusiva causando un daño real; IA que explota las vulnerabilidades de menores, personas con discapacidad o personas en circunstancias económicas difíciles; sistemas de puntuación social que clasifican a las personas por su comportamiento y luego las penalizan por ello; herramientas de vigilancia predictiva que señalan a alguien como probable futuro delincuente basándose únicamente en perfiles, sin pruebas de un acto real; el rastreo masivo y no dirigido de internet o de grabaciones de videovigilancia para crear bases de datos de reconocimiento facial; la inferencia de emociones de las personas en el trabajo o en centros educativos; la categorización de personas según rasgos biométricos sensibles como el origen o la orientación sexual; y la identificación biométrica remota en tiempo real de personas en espacios públicos por parte de las fuerzas del orden, con excepciones muy limitadas. Estas prohibiciones son exigibles desde el 2 de febrero de 2025, y no existe ninguna cláusula de excepción por antigüedad: da igual que tu sistema sea anterior a la ley.
Una incorporación más reciente, y directamente relevante para los creadores, llegó a través del paquete de simplificación “Digital Omnibus” de la UE, finalizado en junio-julio de 2026: los sistemas de IA diseñados específicamente para generar o alterar imágenes íntimas no consentidas de una persona real e identificable —las llamadas aplicaciones “nudifier” y otras herramientas de intercambio de rostro orientadas a producir contenido sexual de alguien sin su consentimiento— quedan ahora explícitamente prohibidos sin excepción, con la prohibición entrando en vigor el 2 de diciembre de 2026. Esto se sitúa en el mismo nivel que las prácticas anteriores, no en el nivel de etiquetado y divulgación: ninguna divulgación, ninguna marca de agua, ninguna verificación de edad, ningún proceso de consentimiento lo hace legal. Si el propósito completo de una herramienta es generar ese tipo de contenido no autorizado, no importa cómo se etiquete el resultado: construirla u operarla ya constituye la infracción. Las sanciones por incumplir el artículo 5 son las más severas de toda la ley: hasta 35 millones de euros o el 7 % de la facturación anual mundial, lo que sea mayor.
Riesgo alto: legal, pero con una carga de cumplimiento real
La condición de alto riesgo se aplica a sistemas de IA usados en ámbitos sensibles concretos, enumerados en el anexo III: empleo y gestión de trabajadores, educación y evaluación en formación profesional, acceso a servicios esenciales como la calificación crediticia, migración y control fronterizo, aplicación de la ley, administración de justicia, e identificación o categorización biométrica fuera de los usos ya prohibidos arriba. Como creador o estudio pequeño, es poco probable que construyas estos sistemas tú mismo, pero podrías estar usándolos sin darte cuenta. Una herramienta de IA que preselecciona candidatos analizando entrevistas en vídeo, una plataforma de adtech que lee imágenes de webcam para inferir la reacción emocional del público ante un contenido, o un sistema biométrico que clasifica personas según características protegidas para un proyecto de cliente caerían todos aquí. Estos sistemas requieren evaluaciones de conformidad antes de salir al mercado, documentación técnica, mecanismos de supervisión humana y registro en una base de datos a escala de la UE: una carga de cumplimiento pensada para empresas con equipos jurídicos y de ingeniería, no para el proyecto de fin de semana de un creador en solitario.
El calendario práctico cambió de forma notable en 2026. Las obligaciones para estos sistemas del anexo III debían aplicarse originalmente desde el 2 de agosto de 2026, junto con el resto de la ley, pero el acuerdo Digital Omnibus alcanzado por los negociadores de la UE el 7 de mayo de 2026, formalmente respaldado por el Parlamento y el Consejo hasta junio, retrasó esa fecha al 2 de diciembre de 2027. La IA de alto riesgo integrada en productos ya regulados —como componentes de seguridad de IA en dispositivos médicos o maquinaria— obtiene un plazo aún más largo, hasta el 2 de agosto de 2028. Si tu trabajo no toca estos ámbitos sensibles, este retraso es en gran medida ruido de fondo, pero es, con diferencia, el cambio práctico más importante de la AI Act en 2026, y muestra que la UE se está dando un margen real en lugar de imponer un precipicio abrupto.
Riesgo limitado: donde la transparencia es toda la obligación
Este es el nivel que más directamente afecta a los creadores de contenido habituales, y es donde vive el artículo 50. Si despliegas un chatbot, tienes que dejar claro que el usuario está hablando con una máquina. Si generas o manipulas contenido de imagen, audio o vídeo lo bastante realista como para pasar por auténtico —una demo de producto sintética, un vídeo narrado por IA con formato de noticiario, una grabación manipulada de un hecho real—, tienes que divulgar que es artificial o ha sido alterado, con claridad y justo en el momento en que alguien se topa con ello. Si despliegas un sistema de reconocimiento de emociones o de categorización biométrica fuera de los contextos prohibidos o de alto riesgo mencionados arriba, debes avisar a las personas de que está ocurriendo. Nada de esto exige aprobación previa, evaluación de conformidad ni inscripción en una base de datos: exige decir la verdad a las personas sobre lo que están viendo, justo en el momento en que lo ven. Estas obligaciones se volvieron exigibles en toda la UE el 2 de agosto de 2026, al mismo tiempo que la Comisión obtenía la potestad formal de investigar y sancionar.
Riesgo mínimo: donde vive realmente la mayor parte del uso creativo de la IA
Una ilustración de fondo generada por IA para un vídeo, una narración con voz clonada, una miniatura asistida por IA, un render de texto a imagen para un moodboard, una herramienta de escritura de IA que redacta el esquema de un guion: nada de esto activa una obligación específica de la AI Act. No está prohibido, no es de alto riesgo, y a menos que el resultado sea lo bastante realista como para confundirse con imágenes reales de un hecho o una persona reales, ni siquiera activa el deber de divulgación del artículo 50. Sigues sujeto a las reglas ordinarias —derecho de autor, protección de la imagen, condiciones de las plataformas, RGPD si tratas datos personales—, pero la propia AI Act guarda silencio en gran medida aquí. Esta es, en volumen, la categoría más grande con diferencia: la mayor parte del uso de IA generativa para entretenimiento, marketing y trabajo creativo es de riesgo mínimo, y la ley se diseñó deliberadamente para no frenar ese uso.
Un eje aparte: los propios modelos de IA
Vale la pena conocer un punto más, porque explica por qué una herramienta que usas puede mencionar “cumplimiento de la AI Act” en sus condiciones aunque tu propio uso sea de riesgo mínimo: los modelos de IA de propósito general —los grandes modelos base que impulsan la mayoría de las herramientas generativas de consumo— siguen una vía de cumplimiento separada, dirigida a las empresas que construyen los modelos, no a las personas que usan aplicaciones construidas sobre ellos. Esas obligaciones se aplican a los proveedores de modelos desde el 2 de agosto de 2025, y la potestad de la Comisión para aplicarlas realmente y sancionar se activó el 2 de agosto de 2026. Los modelos entrenados con más de aproximadamente 10^25 operaciones de coma flotante se presumen de “riesgo sistémico” y enfrentan obligaciones adicionales: evaluación de riesgos, seguimiento de incidentes, requisitos de ciberseguridad, notificación a la Oficina de IA de la UE en las dos semanas siguientes a alcanzar ese umbral. Es una carga para el puñado de empresas que construyen modelos de vanguardia, prácticamente invisible para quien usa un producto ya terminado.
En conjunto: ¿dónde cae realmente tu flujo de trabajo?
Para la inmensa mayoría de las personas que crean contenido con IA, el mapa honesto es este: el trabajo habitual de generación y edición es de riesgo mínimo y la ley no lo toca; el contenido lo bastante realista como para confundirse con algo real activa un deber de divulgación de riesgo limitado bajo el artículo 50, no una prohibición ni un proceso de cumplimiento; usar IA para contratación, evaluación de crédito, clasificación biométrica o decisiones similares en ámbitos sensibles te mete en terreno de alto riesgo con trámites reales, aunque la aplicación de ese nivel no muerda hasta diciembre de 2027; y lo único realmente prohibido de raíz es una lista corta y específica: prácticas manipuladoras y abusivas, ciertos usos biométricos y de puntuación social, y, como incorporación más reciente, las herramientas construidas específicamente para generar imágenes íntimas no consentidas de personas reales. El sistema no está diseñado para complicar el uso creativo ordinario de la IA. Está pensado para hacer ilegal un número reducido de daños concretos, hacer responsable a un conjunto algo más amplio de usos sensibles, y dejar todo lo demás transparente en lugar de restringido.
La situación regulatoria cambia con rapidez, y lo anterior refleja información disponible públicamente a mediados de julio de 2026 — verifica los requisitos vigentes antes de tomar decisiones que dependan de ellos. Este artículo es información general, no asesoría legal; para cualquier asunto con consecuencias reales, consulta a un abogado colegiado en tu jurisdicción.