Con todo, aínda que o RIA ocupa unha posición central no panorama europeo, non é o único actor relevante na rexión. Fóra do ámbito da Unión, o Reino Unido continúa a desempeñar un papel destacado na configuración do debate normativo da IA, se ben cun enfoque diferenciado e sen competir directamente co modelo normativo europeo.
Cómpre lembrar, ademais, que o RIA, como ocorre con todos os regulamentos da UE, goza de efecto directo (non precisa transposición ao dereito nacional, como o caso das Directivas) e establece o estándar mínimo para harmonizar a regulación da IA en todos os Estados membros. Así, estes teñen potestade para desenvolver, complementar ou reforzar determinados aspectos do marco europeo, elaborando normativas máis garantes e mellor adaptadas ás particularidades institucionais, sociais e económicas de cada territorio. Neste contexto insírense tanto iniciativas estatais —como a lei nacional de intelixencia artificial en Italia ou os proxectos actualmente en tramitación en España— como experiencias de ámbito autonómico. Resulta especialmente salientable, neste último nivel, o caso da Comunidade Autónoma de Galicia, que se converteu na primeira en aprobar e aplicar unha lei específica sobre a utilización da IA no sector público.
Por iso, esta sección analiza aspectos pouco comentados do RIA, así como o enfoque normativo en Reino Unido, Italia, España e Galicia.
O RIA: Regulamento de Intelixencia Artificial
O Regulamento de Intelixencia Artificial, comunmente coñecido como AI Act, eríxese co obxectivo primordial de mellorar o funcionamento do mercado interior e promover a adopción dunha IA centrada no ser humano e fiable, tal e como consagra o seu artigo 1. Ademais de garantir un elevado nivel de protección da saúde, seguridade e os dereitos fundamentais consagrados pola carta de Dereitos Fundamentais da UE, incluídos a democracia, o estado de dereito e a protección do medio ambiente. Este fin tan ambicioso canalízase a través do artigo 114 do Tratado de Funcionamento da Unión Europea (TFUE), xa que a UE non ten unha competencia xeral para harmonizar os dereitos fundamentais nos Estados membros. Así pois, utiliza a base xurídica do mercado interior para encaixar a protección destes dereitos baixo un enfoque de seguridade do produto. É por isto que o RIA remítese á lexislación de seguridade de certos produtos no seu Anexo I.
Non obstante, máis alá deste deseño xeral do Regulamento, existen algúns aspectos estruturais clave que adoitan pasar desapercibidos no debate público, malia teren un impacto decisivo no alcance real da norma. En primeiro lugar, a súa aplicación extraterritorial ambiciosa, que proxecta os estándares europeos máis alá das súas fronteiras e manifesta o chamado efecto Bruxelas; en segundo lugar, unha arquitectura normativa baseada nunha pirámide de riscos, que condiciona as obrigas legais á perigosidade do sistema de IA; e, finalmente, un calendario de aplicación progresivo, actualmente sometido a debate político e técnico, no que cobran especial relevancia os posibles cambios nos Anexos do Regulamento.
Adentrémonos nestes tres aspectos.
Efectos fóra da UE do RIA: efecto Bruxelas?
Ao igual que sucedeu co Regulamento Xeral de Protección de Datos (RXPD), o RIA non limita a súa aplicación aos operadores establecidos na Unión Europea. Pola contra, estende as súas obrigas tamén a provedores e responsables do despregue situados en terceiros países cando os resultados de saída xerados polos seus sistemas de IA se utilicen na Unión, con independencia de que a actividade do operador estea ou non dirixida expresamente ao mercado europeo. Esta interpretación despréndese da lectura conxunta do Considerando 2 e do artigo 2.1.c do RIA, que desprazan o criterio clásico da intención comercial cara ao lugar onde se producen os efectos do sistema.
Este deseño normativo constitúe unha manifestación clara do denominado efecto Bruxelas, isto é, a capacidade da Unión para proxectar os seus estándares reguladores fóra das súas fronteiras. Ao fixar requisitos elevados para o acceso ao mercado europeo, a UE incentiva que empresas globais adopten estas normas como estándar de facto a nivel internacional, evitando a fragmentación normativa e consolidando un modelo regulador que outros Estados acaban por replicar.
A pirámide de riscos
O RIA adopta un enfoque baseado no risco, clasificando os sistemas de IA segundo a intensidade e o alcance da ameaza que poden representar para os dereitos e a seguridade das persoas. Esta clasificación determina as obrigas legais:
- Risco inaceptable (sistemas prohibidos): existen certas prácticas de IA que se consideran contrarias aos valores da Unión e que, polo tanto, están prohibidas. O artigo 5 do RIA veta, entre outros, os sistemas que utilizan técnicas subliminais ou manipuladoras para alterar o comportamento, o social scoring ou puntuación social por parte de autoridades públicas, a creación de bases de datos de recoñecemento facial mediante o raspado (scraping) indiscriminado de imaxes de internet, e o uso de sistemas de identificación biométrica remota en tempo real en espazos públicos con fins policiais, salvo excepcións moi estritas e baixo autorización xudicial para delitos graves como terrorismo ou secuestro.
- Alto risco: esta é a categoría central do Regulamento. Inclúe sistemas que poden ter un impacto significativo na vida das persoas, como os utilizados en infraestruturas críticas, educación, emprego, servizos públicos esenciais ou administración de xustiza (listados no Anexo III), así como os compoñentes de seguridade de produtos regulados (listados no Anexo I). Para estes sistemas, os Capítulo III, Sección 2 e Sección 3 do RIA esixen o cumprimento de estritas obrigas antes da súa entrada no mercado, tales como:
- Implantar un sistema de xestión de riscos durante todo o ciclo de vida.
- Garantir a calidade e gobernanza dos datos para evitar sesgos.
- Elaborar documentación técnica detallada e manter rexistros automáticos.
- Garantir a transparencia e proporcionar instrucións claras aos usuarios.
- Asegurar unha supervisión humana efectiva.
- Garantir niveis axeitados de precisión, solidez e ciberseguridad.
- Risco limitado (obrigas de transparencia): para certos sistemas, como os chatbots ou os deepfakes (tamén coñecidos como “ultrasuplantacións”, que son contidos xerados ou manipulados por IA), o RIA impón obrigas específicas de transparencia no seu artigo 50. Os usuarios deben ser informados de que están a interactuar cunha máquina ou de que o contido que ven é artificial.
- Risco mínimo: a gran maioría dos sistemas de IA actuais caen nesta categoría e poden desenvolverse e utilizarse libremente sen obrigas adicionais, aínda que se fomenta a adopción de códigos de conduta voluntarios.
Adicionalmente, regúlanse os modelos de IA de uso xeral (General Purpose AI), impoñendo obrigas máis estritas a aqueles que presentan riscos sistémicos debido á súa capacidade de alto impacto. Segundo o artigo 3.65 do RIA, riscos sistémicos son aqueles con repercusións considerables no mercado da Unión, debido ao seu alcance ou efectos negativos que poden producir na saúda pública, seguridade, seguridade pública, dereitos fundamentais ou a sociedade no seu conxunto.
Outros estados están a desenvolver á súa normativa sobre IA imitando esta arquitectura baseada no risco e manifestando así o efecto Bruxelas. Con todo, a pirámide dos riscos non está exenta de crítica por parte da academia. Así, Martin Ebers sostén que o RIA non aplica un verdadeiro enfoque de risco ao carecer de análise risco-beneficio e evidencia empírica, resultando nunha protección inadecuada dos dereitos fundamentais ao forzalo nunha lóxica de mercado arbitraria e politizada. Estas opinións son difíciles de rebater debido á aplicación gradual do RIA, por iso a seguinte sección aborda o calendario previsto da norma e o actual debate entorno á súa modificación.
Cando imos ver os efectos do RIA? : posibles cambios nos Anexos
A entrada en vigor destas normas deseñouse de forma escalonada para permitir a adaptación do mercado. O calendario orixinal prevía a aplicación das prohibicións aos seis meses da entrada en vigor (febreiro de 2025), as normas sobre IA de uso xeral aos doce meses (agosto de 2025) e a aplicación xeral do regulamento aos vinte e catro meses (agosto de 2026), deixando un prazo de trinta e seis meses para os sistemas de alto risco do Anexo I. Non obstante, este calendario atópase actualmente nun momento de incerteza e redefinición debido, entre outros factores, á falta de cumprimento por parte dos Estados membros e o intento de simplificación (actualmente na primeira lectura do procedemento lexislativo ordinario no Parlamento Europeo). Esta proposta da Digital Omnibus, debatida no Parlamento Europeo a principios de 2026, propón substituír este sistema por datas fixas para garantir a seguridade xurídica, suxerindo o 2 de decembro de 2027 para a aplicación das normas aos sistemas de alto risco do Anexo III e o 2 de agosto de 2028 para os do Anexo I.
Neste punto é crucial entender a distinción técnica entre o Anexo I Sección A e a Sección B, xa que define o sistema de gobernanza articulado polo RIA. Os produtos da Sección A seguen o chamado Novo Marco Lexislativo (“NLF” polas súas siglas en inglés), que abarca sectores como xoguetes, ascensores, maquinaria ou dispositivos médicos. Para estes, o RIA intégrase nos procedementos de avaliación da conformidade existentes, permitindo o uso de normas harmonizadas elaboradas pola industria, o que outorga flexibilidade e axilidade. Pola contra, a Sección B refírese ao “vello enfoque” ou lexislación moi centralizada, como a de aviación civil ou vehículos de motor. Nestes casos, a aplicación do RIA é máis indirecta: segundo o artigo 2.2, só se lles aplican disposicións moi concretas, e os requisitos técnicos deben integrarse modificando cada lei sectorial específica mediante actos delegados ou de execución da Comisión, o que implica un control moito máis ríxido e centralizado.
Esta distinción técnica é un dous puntos máis relevantes da proposta da AI Act Omnibus, segundo a Dr. Laura Caroli, antiga co-negociadora do RIA e experta independente. Caroli advirte, que baixo a aparencia de simplificación da Digital Omnibus estase a abrir unha “caixa de Pandora” que podería desvirtuar o modelo normativo europeo. A súa análise alerta sobre as fortes presións industriais, apoiadas por grupos políticos como o EPP e Renew, para mover sectores enteiros —especificamente o de dispositivos médicos e maquinaria— do Anexo IA (modelo flexible baseado en estándares) cara ao modelo do Anexo IB. Isto eliminaría a posibilidade de usar estándares harmonizados, cargando á Comisión coa tarefa de micro-regular tecnicamente cada sector e rompendo a lóxica horizontal do RIA. O que algúns medios críticos sinalan é que esta suposta “simplificación” é, no fondo, froito de presións das grandes tecnolóxicas e dos EEUU para rebaixar a ambición normativa europea e fuxir de auditorías de terceiros robustas, poñendo en risco a seguridade e os dereitos fundamentais.
Neste escenario, febreiro de 2026 emerxe como un punto especialmente relevante do debate, pois os Estados membros comezaron a discutir, segundo Luca Bertuzzi, a posible incorporación de novas prácticas prohibidas a través do paquete omnibus, en particular o uso de sistemas de IA para xerar deepfakes sexuais non consentidos e material de abuso sexual infantil (CSAM). O impulso político crecente arredor destas prohibicións evidencia que, lonxe de pecharse, o contido material do RIA segue aberto a revisións substanciais.
Conclusión
En definitiva, máis alá do seu carácter pioneiro, o RIA revela a súa verdadeira relevancia nos elementos menos debatidos: a súa proxección extraterritorial, a lóxica selectiva da pirámide de riscos e, sobre todo, a incerteza aberta pola proposta de simplificación (que vai afectar tanto aos anexos como ao contido da norma). Estes factores, aínda en evolución, serán decisivos para determinar se o modelo europeo consolida a súa ambición reguladora ou se, pola contra, se ve diluído por presións políticas e económicas. Todo está, aínda, por ver.
Accede ao conxunto da serie desde a ficha da autora
