Glosario

Sistema basado en máquinas que, para objetivos explícitos o implícitos, infiere, a partir de la información que recibe, cómo generar resultados como predicciones, contenidos, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales.

Persona física o jurídica, autoridad pública, agencia u otro organismo que desarrolla un sistema de IA o que encarga su desarrollo con vistas a comercializarlo o ponerlo en servicio con su propio nombre o marca.

Persona física o jurídica, autoridad pública, agencia u otro organismo que utiliza un sistema de IA bajo su autoridad, excepto cuando el sistema se usa en el curso de una actividad personal no profesional.

Persona física o jurídica en la cadena de suministro, distinta del proveedor o importador, que comercializa un sistema de IA sin alterar sus propiedades.

Persona física o jurídica establecida en la Unión que comercializa un sistema de IA que lleva el nombre o marca de una persona física o jurídica establecida fuera de la Unión.

Persona física o jurídica establecida en la Unión que ha recibido un mandato escrito de un proveedor de un sistema de IA para actuar en su nombre.

Sistemas de IA que contravienen los valores de la Unión por vulnerar derechos fundamentales. Están completamente prohibidos.

Sistemas de IA que presentan un riesgo significativo para la salud, seguridad o derechos fundamentales de las personas. Están sujetos a obligaciones estrictas de conformidad, documentación y supervisión.

Sistemas de IA con obligaciones específicas de transparencia, como chatbots o sistemas que generan contenido.

La mayoría de sistemas de IA que no presentan riesgos significativos. Sin requisitos legales específicos, pero se fomenta la autorregulación.

Sistemas de IA con riesgo inaceptable que están completamente prohibidos en la UE.

Técnicas subliminales más allá de la conciencia de una persona para distorsionar materialmente su comportamiento de manera que cause o pueda causar un daño significativo.

Sistemas de IA que explotan vulnerabilidades de grupos específicos (edad, discapacidad, situación social o económica) para distorsionar materialmente su comportamiento.

Evaluación o clasificación de personas físicas por autoridades públicas basada en su comportamiento social o características personales, que resulte en un trato perjudicial.

Sistemas de IA que evalúan el riesgo de que una persona física cometa una infracción penal basándose únicamente en su perfil o características.

Sistemas de IA que reconocen o infieren emociones de personas físicas en el lugar de trabajo o en instituciones educativas (con excepciones médicas o de seguridad).

Sistemas de IA que categorizan personas basándose en datos biométricos para inferir o deducir raza, opiniones políticas, afiliación sindical, creencias religiosas, vida sexual u orientación sexual.

Reconocimiento automatizado de características físicas, fisiológicas o conductuales humanas con el fin de establecer la identidad de una persona.

Sistemas de IA utilizados como componentes de seguridad en la gestión y operación de infraestructuras digitales críticas, tráfico rodado, suministro de agua, gas, calefacción y electricidad.

Sistemas de IA para determinar el acceso o asignación a instituciones educativas, evaluar resultados de aprendizaje, detectar comportamiento prohibido de estudiantes o evaluar el nivel apropiado de educación.

Sistemas de IA para publicar anuncios de empleo dirigidos, analizar y filtrar solicitudes, evaluar candidatos, tomar decisiones de contratación, promoción, terminación o asignación de tareas.

Sistemas de IA para evaluar la elegibilidad de personas para servicios esenciales públicos y privados (crédito, seguros, asistencia sanitaria, etc.).

Sistemas de IA utilizados por autoridades de aplicación de la ley para evaluación de riesgos, polígrafo, evaluación de fiabilidad de evidencias, predicción de delitos, perfiles, detección de deepfakes.

Sistemas de IA para evaluar solicitudes de asilo, visados, permisos de residencia, detectar documentos falsos, evaluar riesgos de seguridad o irregularidad.

Sistemas de IA para asistir a autoridades judiciales en investigación e interpretación de hechos y la ley, y en la aplicación de la ley a hechos concretos.

Modelo de IA entrenado con grandes cantidades de datos a gran escala, diseñado para la generalidad de resultados y capaz de realizar competentemente una amplia gama de tareas distintas.

Sistema de IA capaz de generar contenido nuevo como texto, imágenes, audio o vídeo en respuesta a prompts o instrucciones.

Modelo de IA entrenado en datos amplios que puede ser adaptado a una amplia gama de tareas posteriores.

Riesgo específico de los modelos GPAI más potentes que pueden tener un impacto negativo a gran escala en la salud, seguridad, derechos fundamentales, medio ambiente, democracia o Estado de derecho.

Capacidades que igualan o superan las capacidades registradas en los modelos GPAI más avanzados. Umbral: 10^25 FLOPS para entrenamiento.

Obligación de informar claramente a los usuarios cuando están interactuando con un sistema de IA o cuando el contenido ha sido generado por IA.

Obligación de informar a las personas físicas cuando interactúan con un sistema de IA, salvo que sea obvio por las circunstancias.

Contenido de imagen, audio o vídeo generado o manipulado por IA que se asemeja apreciablemente a personas, objetos, lugares o entidades o acontecimientos existentes, y que parecería falsamente auténtico o veraz a una persona.

Técnica para incrustar información en contenido generado por IA de manera que sea detectable pero no altere significativamente el contenido.

Proceso mediante el cual se demuestra que un sistema de IA de alto riesgo cumple con los requisitos establecidos en el Reglamento.

Marcado mediante el cual un proveedor indica que un sistema de IA de alto riesgo cumple con los requisitos del Reglamento y otras legislaciones de armonización de la Unión aplicables.

Conjunto de información detallada sobre el diseño, desarrollo y funcionamiento del sistema de IA que debe mantenerse actualizada.

Información proporcionada por el proveedor para informar al deployer sobre el uso previsto del sistema de IA y su funcionamiento.

Medidas que permiten a las personas supervisar el funcionamiento del sistema de IA de alto riesgo durante su uso, incluyendo la capacidad de intervenir o interrumpir el sistema.

Capacidad del sistema de IA para producir resultados correctos.

Capacidad del sistema de IA para funcionar de manera fiable y segura, incluso en condiciones de estrés o cuando se enfrenta a cambios en el entorno operativo.

Medidas técnicas y organizativas apropiadas para proteger el sistema de IA contra intentos no autorizados de alterar su uso, resultados o rendimiento.

Prácticas de gestión de datos aplicadas a la recopilación, el análisis, el almacenamiento y el uso de datos de entrenamiento, validación y prueba.

Características de los conjuntos de datos de entrenamiento, validación y prueba que garantizan que el sistema de IA funcione según su uso previsto.

Resultado sistemático que favorece o desfavorece injustamente a ciertos grupos o individuos.

Evaluación del impacto de las operaciones de tratamiento previstas en la protección de datos personales.

Órgano de la Comisión Europea responsable de la supervisión de la aplicación del Reglamento de IA.

Organismo de evaluación de la conformidad designado por un Estado miembro para llevar a cabo evaluaciones de conformidad de sistemas de IA de alto riesgo.

Actividades llevadas a cabo por autoridades públicas para verificar que los sistemas de IA cumplen con los requisitos del Reglamento.

Entorno controlado facilitado por autoridades competentes para el desarrollo, prueba y validación de sistemas de IA innovadores bajo supervisión regulatoria.

Multas económicas por incumplimiento del Reglamento. Escala: hasta €35M o 7% de facturación global anual (prácticas prohibidas), €15M o 3% (obligaciones de GPAI), €7.5M o 1.5% (otras obligaciones). Las más altas de cualquier regulación de IA en el mundo.

Incidente o mal funcionamiento de un sistema de IA que directa o indirectamente conduce a la muerte o daño grave a la salud de una persona, o a una perturbación grave y irreversible de la gestión de infraestructuras críticas.

Derecho de las personas afectadas por decisiones basadas en sistemas de IA de alto riesgo a obtener del deployer una explicación significativa y comprensible de la decisión, así como información sobre cómo presentar una queja.

Derecho de cualquier persona a presentar una queja ante una autoridad de supervisión del mercado si considera que un sistema de IA infringe el Reglamento.

Datos utilizados para entrenar un sistema de IA mediante el ajuste de sus parámetros aprendibles.

Conjunto de datos distinto del de entrenamiento, utilizado para proporcionar una evaluación del sistema de IA entrenado y para ajustar sus hiperparámetros no aprendibles y procedimientos de aprendizaje. Esencial para evitar sobreajuste (overfitting).

Datos utilizados para proporcionar una evaluación independiente del sistema de IA con el fin de confirmar el rendimiento esperado antes de su comercialización. Deben ser completamente independientes de los datos de entrenamiento y validación.

Datos proporcionados al sistema de IA o adquiridos directamente por él en base a los cuales el sistema produce un resultado.

Datos personales resultantes de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física, que permitan o confirmen su identificación única.

Sistema de IA que identifica o infiere las emociones o intenciones de personas físicas basándose en sus datos biométricos.

Asignación de personas físicas a categorías específicas basándose en sus datos biométricos, salvo que sea auxiliar de otro servicio comercial.

Identificación de personas físicas sin su participación activa, típicamente a distancia, mediante la comparación de datos biométricos con los contenidos en una base de datos de referencia.

Identificación biométrica remota que se produce después de un retraso significativo, con exclusión de la identificación en tiempo real.

Identificación biométrica remota donde la captura de datos biométricos, la comparación y la identificación se producen sin un retraso significativo.

Uso para el cual un sistema de IA está destinado por el proveedor, incluyendo el contexto específico y las condiciones de uso.

Uso del sistema de IA de una manera no conforme con su finalidad prevista, pero que puede resultar de un comportamiento humano razonablemente previsible o de la interacción con otros sistemas.

Parte de un producto o sistema que cumple una función de seguridad para ese producto o sistema, o cuyo fallo o mal funcionamiento pone en peligro la salud y seguridad de las personas. Los sistemas de IA usados como componentes de seguridad son considerados de alto riesgo.

Cambio en un sistema de IA tras su comercialización o puesta en servicio que afecta al cumplimiento del Reglamento o que resulta en una modificación de la finalidad prevista para la cual el sistema fue evaluado. Requiere nueva evaluación de conformidad y puede convertir al deployer en proveedor.

Suministro de un sistema de IA para su distribución o uso en el mercado de la Unión en el curso de una actividad comercial, ya sea a cambio de pago o gratuitamente.

Suministro de un sistema de IA para su primer uso directamente al deployer o para uso propio en la Unión para su finalidad prevista. Puede ocurrir simultáneamente con la puesta a disposición en el mercado o posteriormente.

Medida destinada a lograr la devolución de un sistema de IA que ya se ha puesto a disposición de los deployers.

Medida destinada a impedir que un sistema de IA en la cadena de suministro se ponga a disposición en el mercado.

Habilidades, conocimientos y comprensión que permiten a los proveedores, deployers y personas afectadas tomar decisiones informadas sobre sistemas de IA, así como obtener conocimientos básicos sobre la tecnología. Los Estados miembros deben promover medidas de alfabetización en IA.

Acuerdos voluntarios destinados a fomentar la aplicación de los requisitos del Reglamento a sistemas de IA no de alto riesgo.

Normas europeas adoptadas por organismos de normalización europeos que proporcionan presunción de conformidad con los requisitos del Reglamento.

Especificaciones técnicas adoptadas por la Comisión cuando no existen normas armonizadas o cuando son insuficientes.

Actividades realizadas por proveedores para recopilar y revisar experiencias con sistemas de IA que han comercializado.

Secuencia completa de actividades relacionadas con el diseño, desarrollo, entrenamiento, validación, comercialización, distribución, despliegue, mantenimiento y retirada de sistemas de IA. El Reglamento asigna responsabilidades específicas a cada actor en la cadena.

Desviación sistemática en los resultados de un sistema de IA que favorece o desfavorece injustamente a ciertos grupos o individuos. Puede originarse en datos de entrenamiento sesgados, diseño del algoritmo o contexto de aplicación. La Ley de IA exige medidas para detectar y mitigar sesgos en sistemas de alto riesgo.

Conjunto de prácticas de gestión aplicadas a la recopilación, análisis, almacenamiento y uso de datos de entrenamiento, validación y prueba. Obligatoria para sistemas de alto riesgo según Art. 10, debe garantizar calidad, representatividad y ausencia de sesgos discriminatorios.

Capacidad de los sistemas de IA de alto riesgo para registrar automáticamente eventos durante su operación. Obligatorio según Art. 12 para permitir trazabilidad, auditorías forenses y detección de incidentes. Deben conservarse durante un período apropiado.

Todas las fases de existencia de un sistema de IA: desde la concepción inicial, diseño, desarrollo, entrenamiento, validación, comercialización, uso, actualización, mantenimiento hasta su retirada del mercado. El Reglamento exige gestión de calidad en todo el ciclo.

Métricas críticas de precisión de un sistema de IA. Falso positivo: el sistema identifica incorrectamente una condición como presente. Falso negativo: el sistema no detecta una condición que sí está presente. Deben documentarse en la documentación técnica.

Capacidad de un sistema de IA para funcionar e intercambiar información con otros sistemas, productos o servicios de manera efectiva. Clave en ecosistemas industriales complejos y para evitar efectos de lock-in.

Método técnico para incrustar información imperceptible en contenido generado por IA (imágenes, audio, vídeo) que permite identificar su origen artificial. Obligatorio para proveedores de GPAI según Art. 50 para facilitar el cumplimiento de obligaciones de transparencia.

Manipulación deliberada de las entradas de un sistema de IA para engañarlo y producir resultados incorrectos o maliciosos. La Ley de IA exige que los sistemas de alto riesgo sean robustos contra estos ataques.

Corrupción intencionada del conjunto de datos de entrenamiento para degradar el rendimiento del sistema de IA o introducir vulnerabilidades específicas. Los proveedores deben implementar medidas de gobernanza de datos para prevenirlo.

La Ley de IA no se aplica a sistemas desarrollados y utilizados exclusivamente para fines de investigación científica y desarrollo de productos. Sin embargo, si el sistema se comercializa o se pone en servicio, debe cumplir todos los requisitos.

Los modelos de IA de código abierto tienen un régimen especial en la Ley. Los modelos GPAI de código abierto con parámetros, pesos y arquitectura públicos están exentos de ciertas obligaciones, salvo que presenten riesgo sistémico.

Entidad estatal de cada Estado miembro responsable de designar, evaluar y supervisar a los Organismos Notificados que realizan evaluaciones de conformidad de sistemas de IA de alto riesgo.

Principio de integrar los requisitos legales y éticos desde la primera línea de código y durante todo el ciclo de vida del sistema de IA, en lugar de añadirlos posteriormente. Análogo al "Privacy by Design" del GDPR.

Requisito de que los sistemas de IA de alto riesgo sean diseñados y desarrollados de manera que sean accesibles y usables por personas con discapacidad, cumpliendo con la Directiva (UE) 2019/882 sobre requisitos de accesibilidad.

Obligación de los proveedores de modelos GPAI de documentar y hacer pública información sobre el consumo energético del modelo y las medidas adoptadas para optimizar su eficiencia energética. Responde a la preocupación por la huella de carbono de la IA.

Obligación específica para los deployers de sistemas de IA de alto riesgo. Antes de poner en uso el sistema, deben realizar una evaluación de cómo afectará a los derechos fundamentales (privacidad, no discriminación, dignidad) y establecer medidas de mitigación. Diferente de la DPIA del GDPR, aunque complementaria.

Conjunto sistemático y documentado de políticas, procesos y procedimientos que el proveedor de un sistema de alto riesgo debe implementar. Debe cubrir: gestión de riesgos, gestión de datos, documentación técnica, vigilancia poscomercialización, gestión de cambios y auditorías internas. Inspirado en ISO 9001.

Sistema proactivo y continuo que el proveedor debe mantener para recopilar, documentar y analizar datos sobre el rendimiento de su sistema de IA una vez está en el mercado. Objetivo: detectar fallos, sesgos emergentes, riesgos no previstos o cambios en el contexto de uso.

Información concisa, completa, correcta y clara proporcionada por el proveedor al deployer. Debe incluir: identidad del proveedor, características del sistema, nivel de precisión esperado, limitaciones conocidas, medidas de supervisión humana necesarias, vida útil esperada y procedimientos de mantenimiento.

Los sistemas de alto riesgo deben diseñarse y desarrollarse de manera que su funcionamiento sea suficientemente transparente para que los deployers puedan interpretar los resultados del sistema y utilizarlo adecuadamente. No exige "caja blanca" total, pero sí comprensión operativa.

Requisito técnico esencial del Art. 15. Los sistemas de IA de alto riesgo deben: (1) alcanzar un nivel apropiado de precisión, (2) ser resilientes frente a errores y fallos, (3) ser seguros contra intentos de manipulación malintencionada (ataques adversarios, data poisoning), y (4) mantener el rendimiento durante todo su ciclo de vida.

Expediente exhaustivo que el proveedor debe elaborar antes del marcado CE. Contenido mínimo según Anexo IV: descripción general del sistema, especificaciones de diseño, información detallada sobre datos (entrenamiento, validación, prueba), métricas de rendimiento, gestión de riesgos, medidas de supervisión humana, y cambios sustanciales realizados.

Entorno controlado establecido por una autoridad competente nacional que permite el desarrollo, entrenamiento, validación y prueba de sistemas de IA innovadores bajo supervisión regulatoria directa antes de su comercialización. Ofrece "Safe Harbor" legal y fomenta la innovación responsable.

Sistema de IA destinado a identificar o inferir emociones o intenciones de personas físicas a partir de sus datos biométricos (expresiones faciales, voz, gestos). Su uso está PROHIBIDO en lugares de trabajo y en instituciones educativas, salvo excepciones muy limitadas por motivos médicos o de seguridad (ej. detectar fatiga en conductores).

Asignación de personas físicas a categorías específicas sobre la base de sus datos biométricos. PROHIBIDO cuando se usa para inferir o deducir: raza, opiniones políticas, afiliación sindical, creencias religiosas o filosóficas, vida sexual u orientación sexual. Permitido para usos auxiliares (ej. filtros de edad en e-commerce).

Identificación de personas físicas sin su participación activa, típicamente a distancia, mediante la comparación de datos biométricos con los contenidos en una base de datos de referencia. La identificación biométrica remota en tiempo real en espacios públicos está PROHIBIDA para aplicación de la ley, salvo excepciones tasadas (terrorismo, secuestro, delitos graves).

Suministro de un sistema de IA para su distribución o uso en el mercado de la Unión en el curso de una actividad comercial, ya sea a cambio de pago o gratuitamente. Momento crítico en el que se activan las obligaciones del proveedor.

Medida destinada a lograr la devolución de un sistema de IA que ya se ha puesto a disposición de los deployers. Obligatoria cuando se detecta una no conformidad grave o un riesgo significativo. Similar a los recalls de productos defectuosos.

Medida destinada a impedir que un sistema de IA en la cadena de suministro se ponga a disposición en el mercado. Preventiva, antes de que llegue a los deployers finales.

Acuerdos voluntarios destinados a fomentar la aplicación de los requisitos del Reglamento a sistemas de IA que no son de alto riesgo. La Comisión y los Estados miembros facilitarán la elaboración de códigos de conducta sectoriales. Especialmente relevantes para IA de riesgo mínimo.

Normas europeas adoptadas por organismos de normalización europeos (CEN, CENELEC, ETSI) sobre la base de una solicitud de la Comisión. El cumplimiento con normas armonizadas confiere presunción de conformidad con los requisitos del Reglamento. Facilitan el cumplimiento técnico.

Especificaciones técnicas adoptadas por la Comisión mediante actos de ejecución cuando no existen normas armonizadas, son insuficientes o hay un retraso injustificado en su adopción. Tienen carácter obligatorio si no hay normas armonizadas disponibles.

Actividades sistemáticas realizadas por proveedores para recopilar y revisar experiencias obtenidas del uso de sistemas de IA que han comercializado. Incluye análisis de quejas, fallos, incidentes y feedback de deployers. Obligatorio para sistemas de alto riesgo.