Glosario EU AI Act — Términos del Reglamento (UE) 2024/1689
Referencia técnica y educativa con más de 145 términos del EU AI Act: GPAI, deployer, proveedor, alto riesgo, AI Literacy, transparencia, supervisión humana y más.
- Sistema de IA
- Sistema basado en máquinas que, para objetivos explícitos o implícitos, infiere, a partir de la información que recibe, cómo generar resultados como predicciones, contenidos, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales.
- Proveedor
- Persona física o jurídica, autoridad pública, agencia u otro organismo que desarrolla un sistema de IA o que encarga su desarrollo con vistas a comercializarlo o ponerlo en servicio con su propio nombre o marca.
- Deployer (responsable del despliegue)
- Persona física o jurídica, autoridad pública, agencia u otro organismo que utiliza un sistema de IA bajo su autoridad, excepto cuando el sistema se usa en el curso de una actividad personal no profesional. Es el actor que despliega la IA en un contexto operativo real.
- Distribuidor
- Persona física o jurídica en la cadena de suministro, distinta del proveedor o importador, que comercializa un sistema de IA sin alterar sus propiedades.
- Importador
- Persona física o jurídica establecida en la Unión que comercializa un sistema de IA que lleva el nombre o marca de una persona física o jurídica establecida fuera de la Unión.
- Representante autorizado
- Persona física o jurídica establecida en la Unión que ha recibido un mandato escrito de un proveedor de un sistema de IA para actuar en su nombre respecto a las obligaciones del Reglamento.
- Riesgo inaceptable
- Sistemas de IA que contravienen los valores de la Unión por vulnerar derechos fundamentales. Están completamente prohibidos por el Art. 5 del Reglamento.
- Alto riesgo
- Sistemas de IA que presentan un riesgo significativo para la salud, seguridad o derechos fundamentales de las personas. Están sujetos a obligaciones estrictas de conformidad, documentación técnica, supervisión humana y registro.
- Riesgo limitado
- Sistemas de IA con obligaciones específicas de transparencia, como chatbots, sistemas que generan contenido sintético o deepfakes. Deben informar al usuario de que interactúa con IA.
- Riesgo mínimo
- La mayoría de sistemas de IA que no presentan riesgos significativos. Sin requisitos legales específicos bajo el Reglamento, aunque se fomenta la autorregulación mediante códigos de conducta voluntarios.
- Prácticas prohibidas
- Sistemas de IA con riesgo inaceptable que están completamente prohibidos en la UE. Incluyen manipulación subliminal, explotación de vulnerabilidades, social scoring, policía predictiva individual, reconocimiento de emociones en el trabajo y categorización biométrica sensible.
- Manipulación subliminal
- Técnicas subliminales más allá de la conciencia de una persona para distorsionar materialmente su comportamiento de manera que cause o pueda causar un daño significativo.
- Explotación de vulnerabilidades
- Sistemas de IA que explotan vulnerabilidades de grupos específicos (edad, discapacidad, situación social o económica) para distorsionar materialmente su comportamiento de un modo perjudicial.
- Social scoring (puntuación social)
- Evaluación o clasificación de personas físicas por autoridades públicas basada en su comportamiento social o características personales conocidas, inferidas o predichas, que resulte en un trato perjudicial o desfavorable.
- Policía predictiva individual
- Sistemas de IA que evalúan el riesgo de que una persona física cometa una infracción penal basándose únicamente en su perfil o características personales, sin indicios objetivos.
- Reconocimiento de emociones en el trabajo
- Sistemas de IA que reconocen o infieren emociones de personas físicas en el lugar de trabajo o en instituciones educativas, salvo excepciones por razones médicas o de seguridad debidamente justificadas.
- Categorización biométrica sensible
- Sistemas de IA que categorizan personas basándose en datos biométricos para inferir o deducir raza, opiniones políticas, afiliación sindical, creencias religiosas, vida sexual u orientación sexual.
- Identificación biométrica
- Reconocimiento automatizado de características físicas, fisiológicas o conductuales humanas con el fin de establecer la identidad de una persona. Clasificado como alto riesgo en el Anexo III.
- Infraestructura crítica
- Sistemas de IA utilizados como componentes de seguridad en la gestión y operación de infraestructuras digitales críticas, tráfico rodado, suministro de agua, gas, calefacción y electricidad.
- Educación y formación profesional
- Sistemas de IA para determinar el acceso o asignación a instituciones educativas, evaluar resultados de aprendizaje, detectar comportamiento prohibido de estudiantes o evaluar el nivel apropiado de educación.
- Empleo y recursos humanos
- Sistemas de IA para publicar anuncios de empleo dirigidos, analizar y filtrar solicitudes, evaluar candidatos, tomar decisiones de contratación, promoción, terminación o asignación de tareas basadas en perfiles.
- Servicios esenciales
- Sistemas de IA para evaluar la elegibilidad de personas para servicios esenciales públicos y privados, incluyendo credit scoring, seguros, asistencia sanitaria y prestaciones sociales.
- Aplicación de la ley
- Sistemas de IA utilizados por autoridades de aplicación de la ley para evaluación de riesgos, polígrafos, evaluación de fiabilidad de evidencias, predicción de delitos, perfilado y detección de deepfakes.
- Migración y asilo
- Sistemas de IA para evaluar solicitudes de asilo, visados, permisos de residencia, detectar documentos falsos, evaluar riesgos de seguridad o determinar situación de irregularidad migratoria.
- Administración de justicia y democracia
- Sistemas de IA para asistir a autoridades judiciales en investigación e interpretación de hechos y la ley, y en la aplicación de la ley a hechos concretos. También incluye sistemas que influyen en resultados electorales o de referéndum.
- GPAI (IA de propósito general)
- Modelo de IA entrenado con grandes cantidades de datos a gran escala, diseñado para la generalidad de resultados y capaz de realizar competentemente una amplia gama de tareas distintas, independientemente de la forma en que se comercialice.
- IA generativa
- Sistema de IA capaz de generar contenido nuevo como texto, imágenes, audio o vídeo en respuesta a prompts o instrucciones. Los proveedores de GPAI con capacidad generativa tienen obligaciones de transparencia adicionales bajo el Art. 50.
- Modelo fundacional
- Modelo de IA entrenado en datos amplios y diversos que puede ser adaptado (fine-tuned) a una amplia gama de tareas posteriores. Concepto precursor del término GPAI en la legislación europea.
- Riesgo sistémico
- Riesgo específico de los modelos GPAI más potentes que pueden tener un impacto negativo a gran escala en la salud, seguridad, derechos fundamentales, medio ambiente, democracia o Estado de derecho. Se presume en modelos que superan 10²⁵ FLOPS de entrenamiento.
- Capacidades de alto impacto
- Capacidades que igualan o superan las capacidades registradas en los modelos GPAI más avanzados. El umbral de referencia es 10²⁵ FLOPS para el cómputo total de entrenamiento.
- Transparencia
- Obligación de informar claramente a los usuarios cuando están interactuando con un sistema de IA o cuando el contenido ha sido generado por IA. Principio transversal del Reglamento que aplica a todos los niveles de riesgo.
- Divulgación de IA
- Obligación de informar a las personas físicas, a más tardar en el momento de la primera interacción, de que están interactuando con un sistema de IA, salvo que sea obvio por las circunstancias y el contexto de uso.
- Deepfake
- Contenido de imagen, audio o vídeo generado o manipulado por IA que se asemeja apreciablemente a personas, objetos, lugares o entidades o acontecimientos existentes, y que parecería falsamente auténtico o veraz a una persona. Debe etiquetarse obligatoriamente.
- Marcado de agua (watermarking)
- Técnica para incrustar información imperceptible en contenido generado por IA de manera que sea detectable por máquinas pero no altere significativamente el contenido percibido por humanos.
- Evaluación de conformidad
- Proceso mediante el cual se demuestra que un sistema de IA de alto riesgo cumple con los requisitos establecidos en el Reglamento. Puede ser autoevaluación interna o evaluación por un organismo notificado, según el tipo de sistema.
- Marcado CE
- Marcado mediante el cual un proveedor indica que un sistema de IA de alto riesgo cumple con los requisitos del Reglamento y otras legislaciones de armonización de la Unión aplicables. Solo se aplica a sistemas de alto riesgo.
- Documentación técnica
- Conjunto de información detallada sobre el diseño, desarrollo y funcionamiento del sistema de IA que debe elaborarse antes de su comercialización y mantenerse actualizada. Su estructura se define en el Anexo IV.
- Instrucciones de uso
- Información proporcionada por el proveedor para informar al deployer sobre el uso previsto del sistema de IA, sus capacidades, limitaciones y funcionamiento correcto.
- Supervisión humana
- Medidas que permiten a las personas supervisar eficazmente el funcionamiento del sistema de IA de alto riesgo durante su uso, incluyendo la capacidad de intervenir, corregir o interrumpir el sistema cuando sea necesario.
- Precisión
- Capacidad del sistema de IA para producir resultados correctos y fiables. Los sistemas de alto riesgo deben alcanzar niveles apropiados de precisión declarados en su documentación técnica e instrucciones de uso.
- Robustez
- Capacidad del sistema de IA para funcionar de manera fiable y segura incluso en condiciones adversas, ante errores, fallos, inconsistencias o intentos de manipulación por terceros.
- Ciberseguridad
- Medidas técnicas y organizativas apropiadas para proteger el sistema de IA contra intentos no autorizados de alterar su uso, resultados o rendimiento, incluyendo ataques adversarios, envenenamiento de datos y exfiltración de modelos.
- Gobernanza de datos
- Prácticas de gestión de datos aplicadas a la recopilación, el análisis, el almacenamiento y el uso de datos de entrenamiento, validación y prueba. Los sistemas de alto riesgo deben implementar gobernanza de datos conforme al Art. 10.
- Calidad de datos
- Características de los conjuntos de datos de entrenamiento, validación y prueba que garantizan que el sistema de IA funcione según su uso previsto. Incluye representatividad, ausencia de errores, completitud y adecuación estadística.
- Sesgo
- Resultado sistemático que favorece o desfavorece injustamente a ciertos grupos o individuos. Puede originarse en datos de entrenamiento, diseño del algoritmo o contexto de aplicación.
- DPIA (evaluación de impacto de protección de datos)
- Evaluación previa del impacto de las operaciones de tratamiento previstas en la protección de datos personales. Obligatoria bajo el RGPD cuando el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas.
- Oficina Europea de IA
- Órgano de la Comisión Europea responsable de la supervisión de la aplicación del Reglamento de IA, con competencias especiales sobre modelos GPAI con riesgo sistémico.
- Organismo notificado
- Organismo de evaluación de la conformidad designado y notificado por un Estado miembro para llevar a cabo evaluaciones de conformidad de terceros sobre sistemas de IA de alto riesgo.
- Vigilancia del mercado
- Actividades llevadas a cabo por autoridades públicas nacionales para verificar que los sistemas de IA comercializados en su territorio cumplen con los requisitos del Reglamento.
- Sandbox regulatorio
- Entorno controlado facilitado por autoridades competentes para el desarrollo, prueba y validación de sistemas de IA innovadores bajo supervisión regulatoria directa, durante un tiempo limitado.
- Multas administrativas
- Sanciones pecuniarias impuestas por incumplimiento del Reglamento. Hasta 35 millones de euros o el 7 % de la facturación global anual (lo que sea mayor) para prácticas prohibidas; hasta 15 millones o 3 % para otras infracciones; hasta 7,5 millones de euros o el 1 % por información incorrecta a autoridades.
- Incidente grave
- Incidente o mal funcionamiento de un sistema de IA que directa o indirectamente conduce a la muerte o daño grave a la salud de una persona, o a una perturbación grave e irreversible de infraestructuras críticas.
- Derecho a explicación
- Derecho de las personas afectadas por decisiones basadas en sistemas de IA de alto riesgo a obtener una explicación clara y significativa del papel del sistema en la toma de decisiones y los principales elementos de la decisión adoptada.
- Derecho a presentar quejas
- Derecho de cualquier persona física o jurídica a presentar una queja ante una autoridad de supervisión del mercado si considera que un sistema de IA infringe el Reglamento.
- Datos de entrenamiento
- Datos utilizados para entrenar un sistema de IA mediante el ajuste de sus parámetros aprendibles. La calidad, representatividad y ausencia de sesgos en estos datos es determinante para el rendimiento y equidad del sistema.
- Datos de validación
- Datos utilizados para proporcionar una evaluación del sistema de IA entrenado y para ajustar sus hiperparámetros no aprendibles y procedimientos de aprendizaje. Deben ser distintos de los datos de entrenamiento.
- Datos de prueba
- Datos utilizados para proporcionar una evaluación independiente del sistema de IA con el fin de confirmar el rendimiento esperado antes de su comercialización. Deben ser completamente independientes de los datos de entrenamiento y validación.
- Datos de entrada
- Datos proporcionados al sistema de IA o adquiridos directamente por él, en base a los cuales el sistema produce un resultado (output).
- Datos biométricos
- Datos personales resultantes de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física, que permitan o confirmen su identificación única.
- Reconocimiento de emociones
- Sistema de IA que identifica o infiere las emociones o intenciones de personas físicas basándose en sus datos biométricos (expresiones faciales, voz, postura corporal).
- Categorización biométrica
- Asignación de personas físicas a categorías específicas basándose en sus datos biométricos, salvo que sea auxiliar de otro servicio comercial objetivamente necesario.
- Identificación biométrica remota
- Identificación de personas físicas sin su participación activa, típicamente a distancia, mediante la comparación de datos biométricos con los contenidos en una base de datos de referencia.
- Identificación biométrica remota posterior
- Identificación biométrica remota que se produce después de un retraso significativo, con exclusión de la identificación en tiempo real. Permitida con autorización judicial.
- Identificación biométrica remota en tiempo real
- Identificación biométrica remota donde la captura de datos biométricos, la comparación y la identificación se producen sin un retraso significativo. Prohibida salvo excepciones tasadas en el Art. 5.
- Finalidad prevista
- Uso para el cual un sistema de IA está destinado por el proveedor, incluyendo el contexto específico y las condiciones de uso, tal como se especifica en las instrucciones de uso y la documentación técnica.
- Uso indebido razonablemente previsible
- Uso del sistema de IA de una manera no conforme con su finalidad prevista, pero que puede resultar de un comportamiento humano razonablemente previsible o de la interacción con otros sistemas.
- Componente de seguridad
- Componente de un producto o sistema que cumple una función de seguridad para ese producto o sistema, o cuyo fallo o mal funcionamiento pone en peligro la salud y seguridad de las personas o los bienes.
- Modificación sustancial
- Cambio en un sistema de IA tras su comercialización que afecta al cumplimiento del Reglamento o que resulta en una modificación de la finalidad prevista para la que se evaluó la conformidad.
- Puesta a disposición en el mercado
- Suministro de un sistema de IA para su distribución o uso en el mercado de la Unión en el curso de una actividad comercial, ya sea a cambio de pago o gratuitamente.
- Puesta en servicio
- Suministro de un sistema de IA para su primer uso directamente al deployer o para uso propio en la Unión para su finalidad prevista.
- Retirada del mercado (recall)
- Medida destinada a lograr la devolución de un sistema de IA que ya se ha puesto a disposición de los deployers.
- Retirada (withdrawal)
- Medida destinada a impedir que un sistema de IA en la cadena de suministro se ponga a disposición en el mercado.
- Alfabetización en IA (AI Literacy)
- Habilidades, conocimientos y comprensión que permiten a los proveedores, deployers y personas afectadas, teniendo en cuenta sus derechos y obligaciones respectivos, tomar decisiones informadas sobre sistemas de IA. El Art. 4 obliga a TODAS las organizaciones a garantizar un nivel suficiente de alfabetización en IA de su personal.
- Códigos de conducta
- Acuerdos voluntarios destinados a fomentar la aplicación de los requisitos del Reglamento, incluidos los relativos a la sostenibilidad medioambiental, a sistemas de IA no clasificados como de alto riesgo.
- Normas armonizadas
- Normas europeas adoptadas por organismos europeos de normalización (CEN, CENELEC, ETSI) a solicitud de la Comisión, cuyo cumplimiento otorga presunción de conformidad con los requisitos del Reglamento.
- Especificaciones comunes
- Especificaciones técnicas adoptadas por la Comisión mediante actos de ejecución cuando no existen normas armonizadas o cuando son insuficientes para cubrir los requisitos del Reglamento.
- Vigilancia poscomercialización
- Actividades realizadas por proveedores para recopilar y revisar de forma proactiva experiencias con sistemas de IA que han comercializado, con el fin de identificar posibles riesgos o no conformidades.
- Cadena de valor de la IA
- Secuencia completa de actividades relacionadas con el diseño, desarrollo, entrenamiento, validación, comercialización, distribución, despliegue, mantenimiento y retirada de sistemas de IA. El Reglamento asigna responsabilidades específicas a cada actor en la cadena.
- Sesgo algorítmico
- Desviación sistemática en los resultados de un sistema de IA que favorece o desfavorece injustamente a ciertos grupos o individuos. Puede originarse en datos de entrenamiento sesgados, diseño del algoritmo o contexto de aplicación. La Ley de IA exige medidas para detectar y mitigar sesgos en sistemas de alto riesgo.
- Gobernanza de datos de entrenamiento
- Conjunto de prácticas de gestión aplicadas a la recopilación, análisis, almacenamiento y uso de datos de entrenamiento, validación y prueba. Obligatoria para sistemas de alto riesgo según Art. 10, debe garantizar calidad, representatividad y ausencia de sesgos discriminatorios.
- Datos de validación
- Conjunto de datos distinto del de entrenamiento, utilizado para proporcionar una evaluación del sistema de IA entrenado y para ajustar sus hiperparámetros no aprendibles y procedimientos de aprendizaje. Esencial para evitar sobreajuste (overfitting).
- Datos de prueba
- Datos utilizados para proporcionar una evaluación independiente del sistema de IA con el fin de confirmar el rendimiento esperado antes de su comercialización. Deben ser completamente independientes de los datos de entrenamiento y validación.
- Logs (registros automáticos)
- Capacidad de los sistemas de IA de alto riesgo para registrar automáticamente eventos durante su operación. Obligatorio según Art. 12 para permitir trazabilidad, auditorías forenses y detección de incidentes. Deben conservarse durante un período apropiado.
- Ciclo de vida de la IA
- Todas las fases de existencia de un sistema de IA: desde la concepción inicial, diseño, desarrollo, entrenamiento, validación, comercialización, uso, actualización, mantenimiento hasta su retirada del mercado. El Reglamento exige gestión de calidad en todo el ciclo.
- Componente de seguridad
- Parte de un producto o sistema que desempeña una función de seguridad, o cuyo fallo o mal funcionamiento pone en peligro la salud y la seguridad de las personas. Los sistemas de IA utilizados como componentes de seguridad se consideran de alto riesgo.
- Falsos positivos y falsos negativos
- Métricas críticas de precisión de un sistema de IA. Falso positivo: el sistema identifica incorrectamente una condición como presente. Falso negativo: el sistema no detecta una condición que sí está presente. Deben documentarse en la documentación técnica.
- Interoperabilidad
- Capacidad de un sistema de IA para funcionar y compartir información con otros sistemas, productos o servicios de forma efectiva. Clave para evitar la dependencia de un solo proveedor (vendor lock-in) en ecosistemas industriales complejos.
- Marca de agua digital (watermarking)
- Método técnico para incrustar información imperceptible en contenido generado por IA (imágenes, audio, vídeo) con el fin de identificar su origen artificial. Los proveedores de GPAI deben implementarlo bajo el Art. 50 para cumplir obligaciones de transparencia.
- Ataque adversario
- Manipulación deliberada de los inputs de un sistema de IA para engañar al sistema y producir resultados incorrectos o malintencionados. El Reglamento exige que los sistemas de alto riesgo sean robustos frente a este tipo de ataques.
- Envenenamiento de datos (data poisoning)
- Corrupción intencional de los conjuntos de datos de entrenamiento para degradar el rendimiento de la IA o introducir vulnerabilidades específicas. Los proveedores deben implementar medidas de gobernanza de datos para prevenirlo.
- Exención de I+D
- El Reglamento de IA no se aplica a sistemas desarrollados y utilizados exclusivamente para investigación científica y desarrollo de productos. Sin embargo, si el sistema se comercializa o se pone en servicio, debe cumplir todos los requisitos aplicables.
- Software de código abierto (open source IA)
- Los modelos de IA de código abierto tienen un régimen especial bajo el Reglamento. Los modelos GPAI con parámetros, pesos y arquitectura públicos están exentos de ciertas obligaciones de transparencia, salvo que presenten riesgo sistémico.
- Autoridad notificante
- Autoridad nacional responsable de establecer y llevar a cabo los procedimientos necesarios para la evaluación, designación y notificación de organismos de evaluación de la conformidad.
- Sanciones administrativas
- Régimen sancionador del Reglamento de IA. Tres niveles: hasta 35M€ o 7 % por prácticas prohibidas (Art. 5); hasta 15M€ o 3 % por otras infracciones de sistemas de alto riesgo; hasta 7,5M€ o 1 % por información incorrecta a las autoridades. Las PYME tienen límites reducidos.
- Conformidad por diseño
- Principio según el cual los requisitos del Reglamento deben integrarse desde las fases iniciales de diseño y desarrollo del sistema de IA, no añadirse como capas posteriores. Análogo al concepto de "privacidad por diseño" del RGPD.
- Derecho a explicación
- Derecho de las personas afectadas por decisiones tomadas por un deployer basándose en los resultados de un sistema de IA de alto riesgo a obtener explicaciones claras y significativas sobre el papel del sistema de IA en el procedimiento de toma de decisiones.
- Accesibilidad
- Requisito de que los sistemas de IA de alto riesgo sean accesibles para personas con discapacidad, conforme a la Directiva (UE) 2019/882 sobre requisitos de accesibilidad. Se aplica a las interfaces y a las instrucciones de uso.
- Sostenibilidad medioambiental
- Los proveedores de GPAI con riesgo sistémico deben documentar el consumo energético conocido o estimado de su modelo. Los códigos de conducta voluntarios deben incluir medidas de sostenibilidad medioambiental.
- FRIA (evaluación de impacto sobre derechos fundamentales)
- Evaluación que deben realizar los deployers de sistemas de IA de alto riesgo que sean organismos de Derecho público u operadores privados que presten servicios públicos, antes de poner en servicio un sistema de IA de alto riesgo. Incluye identificar riesgos para derechos fundamentales y medidas de mitigación.
- Sistema de gestión de la calidad (SGC)
- Sistema documentado de políticas, procedimientos y procesos que garantiza el cumplimiento continuo del Reglamento durante todo el ciclo de vida del sistema de IA. Obligatorio para proveedores de sistemas de alto riesgo. Incluye estrategia de cumplimiento, técnicas de diseño, examen y validación, gestión de datos y gestión de riesgos.
- Plan de vigilancia poscomercialización
- Documento formal que establece cómo el proveedor recopilará y analizará datos relevantes tras la comercialización del sistema de IA. Obligatorio para sistemas de alto riesgo. Debe incluir métricas de rendimiento, feedback de deployers y protocolo de respuesta ante incidentes.
- Instrucciones de uso
- Información concisa, completa, correcta y clara que el proveedor debe facilitar al deployer. Incluye identidad del proveedor, características del sistema, niveles de precisión y robustez, requisitos de recursos humanos, medidas de supervisión humana, vida útil esperada y especificaciones de mantenimiento.
- Transparencia y explicabilidad
- Los sistemas de IA de alto riesgo deben diseñarse para ser suficientemente transparentes y permitir que los deployers interpreten y utilicen correctamente sus resultados. Incluye la capacidad de comprender qué datos influyen en las decisiones del sistema.
- Robustez, precisión y ciberseguridad
- Triada de requisitos técnicos obligatorios para sistemas de IA de alto riesgo (Art. 15). Los sistemas deben alcanzar niveles apropiados de precisión, ser resilientes ante errores y ataques, y protegerse contra vulnerabilidades de ciberseguridad.
- Documentación técnica (Anexo IV)
- Estructura formal que debe seguir la documentación técnica de sistemas de IA de alto riesgo. Incluye: descripción general del sistema, elementos de diseño, proceso de desarrollo, información sobre monitorización, métricas de rendimiento y descripción detallada de medidas de supervisión humana.
- Espacio controlado de pruebas (sandbox regulatorio)
- Marco establecido por autoridades competentes que ofrece a proveedores y potenciales proveedores de sistemas de IA la posibilidad de desarrollar, entrenar, validar y probar sistemas de IA bajo supervisión regulatoria directa, antes de su comercialización.
- Reconocimiento de emociones (detallado)
- Sistema de IA para identificar o inferir emociones o intenciones de personas basándose en datos biométricos. Prohibido en el trabajo y la educación (Art. 5). Cuando se usa en otros contextos y es de alto riesgo, el deployer debe informar al afectado y obtener consentimiento si se procesan datos biométricos.
- Categorización biométrica (detallado)
- Uso de datos biométricos para clasificar personas en categorías como sexo, edad, color de cabello, color de ojos, tatuajes, origen étnico o estado de salud. Se distingue entre categorización sensible (prohibida, Art. 5) y no sensible (regulada como alto riesgo).
- Identificación biométrica remota (detallado)
- Siempre clasificada como alto riesgo. En tiempo real: prohibida salvo tres excepciones tasadas (búsqueda de víctimas, amenazas terroristas, delitos graves con autorización judicial). Posterior: permitida con autorización judicial. Requiere FRIA previa obligatoria.
- Modificación sustancial
- Cambio en el sistema de IA que no estaba previsto por el proveedor original y que afecta al cumplimiento del Reglamento. El deployer que realiza una modificación sustancial puede pasar a ser considerado nuevo proveedor del sistema.
- Puesta a disposición en el mercado
- Todo suministro de un sistema de IA para su distribución o utilización en el mercado de la Unión en el curso de una actividad comercial, con independencia de que sea a cambio de un pago o de manera gratuita.
- Puesta en servicio
- Suministro de un sistema de IA para su primer uso directamente al deployer o para uso propio en la Unión para su finalidad prevista. Marca el momento en que las obligaciones del deployer se activan.
- Retirada del mercado (recall)
- Toda medida destinada a lograr la devolución al proveedor de un sistema de IA que ya ha sido puesto a disposición de los deployers. Última instancia ante no conformidades graves.
- Retirada (withdrawal)
- Toda medida destinada a impedir que un sistema de IA que se encuentra en la cadena de suministro sea puesto a disposición en el mercado. Se aplica antes de que llegue al deployer final.
- Alfabetización en IA (AI Literacy)
- Habilidades, conocimientos y comprensión que permiten a proveedores, deployers y personas afectadas tomar decisiones informadas sobre sistemas de IA. El Art. 4 establece una OBLIGACIÓN para todas las organizaciones de garantizar un nivel suficiente de alfabetización en IA de su personal y otras personas que trabajen con IA en su nombre.
- Códigos de conducta
- Acuerdos voluntarios elaborados por actores individuales, organizaciones representativas o ambos, destinados a fomentar la aplicación de los requisitos del Reglamento. Especialmente relevantes para sistemas de riesgo mínimo. Pueden incluir compromisos de sostenibilidad medioambiental.
- Normas armonizadas
- Normas europeas adoptadas por CEN, CENELEC o ETSI a solicitud de la Comisión Europea. Su cumplimiento otorga presunción de conformidad con los requisitos del Reglamento. Si no existen o son insuficientes, la Comisión puede adoptar especificaciones comunes.
- Especificaciones comunes
- Requisitos técnicos adoptados por la Comisión mediante actos de ejecución que proporcionan medios de cumplimiento cuando no existen normas armonizadas o son insuficientes.
- Sistema de vigilancia poscomercialización
- Actividades sistemáticas realizadas por proveedores para recopilar y revisar experiencias obtenidas del uso de sistemas de IA que han comercializado. Incluye análisis de quejas, fallos, incidentes y feedback de deployers. Obligatorio para sistemas de alto riesgo.
- LLM (modelo de lenguaje grande)
- Tipo de modelo de IA entrenado con grandes volúmenes de texto para comprender y generar lenguaje natural. Son la base de los asistentes conversacionales y herramientas de IA generativa de texto. En el contexto del EU AI Act, los LLM son modelos GPAI.
- Aprendizaje automático (machine learning)
- Enfoque de IA basado en algoritmos que mejoran automáticamente su rendimiento a través de la exposición a datos, sin ser programados explícitamente para cada tarea. Incluye aprendizaje supervisado, no supervisado y por refuerzo. Es una de las técnicas enumeradas en la definición de sistema de IA del Reglamento.
- Aprendizaje profundo (deep learning)
- Subcampo del aprendizaje automático basado en redes neuronales artificiales con múltiples capas de procesamiento. Es la técnica subyacente a los modelos GPAI más potentes, incluidos los LLM y los modelos de generación de imágenes.
- Red neuronal artificial
- Modelo computacional inspirado en la estructura del cerebro humano, compuesto por nodos (neuronas) interconectados organizados en capas. Es la arquitectura base del aprendizaje profundo y de la mayoría de sistemas de IA modernos.
- Ajuste fino (fine-tuning)
- Proceso de adaptar un modelo de IA preentrenado a una tarea específica mediante entrenamiento adicional con un conjunto de datos más pequeño y especializado. En el contexto del EU AI Act, el proveedor que realiza un ajuste fino significativo puede asumir obligaciones de proveedor del modelo resultante.
- RAG (generación aumentada por recuperación)
- Técnica que combina un modelo de lenguaje con un sistema de búsqueda sobre una base de conocimiento externa. Permite a la IA consultar documentos verificados antes de generar respuestas, reduciendo alucinaciones y mejorando la precisión en dominios específicos.
- Alucinación (IA)
- Fenómeno en el que un sistema de IA generativa produce información que parece plausible pero es incorrecta, inventada o no tiene base en los datos de entrenamiento ni en la realidad. Es un riesgo clave que el Art. 50 aborda mediante obligaciones de transparencia.
- Prompt injection (inyección de prompts)
- Técnica de ataque contra sistemas de IA conversacional que consiste en insertar instrucciones maliciosas dentro del input del usuario para manipular el comportamiento del modelo, extraer información del sistema o eludir sus restricciones de seguridad.
- Shadow AI (IA no autorizada)
- Uso de herramientas de IA por parte de empleados de una organización sin autorización, conocimiento ni supervisión de la dirección. Supone un riesgo regulatorio bajo el EU AI Act porque la organización sigue siendo responsable como deployer aunque desconozca el uso. El Art. 4 de alfabetización en IA busca mitigar este fenómeno.
- Obligaciones del deployer (Art. 26)
- Los deployers de sistemas de alto riesgo deben: usar el sistema conforme a las instrucciones, asignar supervisión humana a personas competentes, garantizar que los datos de entrada sean representativos, monitorizar el funcionamiento, informar al proveedor de riesgos, cumplir la FRIA y conservar los logs automáticos.
- RAT (registro de actividades de tratamiento)
- Documento obligatorio bajo el RGPD Art. 30 que describe todas las actividades de tratamiento de datos personales realizadas por una organización. Debe incluir finalidades, categorías de datos, destinatarios, transferencias internacionales, plazos de conservación y medidas de seguridad.
- DPO (delegado de protección de datos)
- Profesional designado por una organización para supervisar la estrategia y el cumplimiento de la normativa de protección de datos. Obligatorio cuando se realizan tratamientos a gran escala de datos personales o datos sensibles. Actúa como punto de contacto con las autoridades de control.
- Privacidad por diseño (privacy by design)
- Principio del RGPD que exige que la protección de datos se integre desde las fases más tempranas del diseño de sistemas y procesos, no como una adición posterior. Incluye minimización de datos, pseudonimización y medidas técnicas apropiadas.
- Principio de minimización de datos
- Principio del RGPD según el cual los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Especialmente relevante cuando se envían datos a APIs de IA de terceros.
- Decisiones automatizadas (Art. 22 RGPD)
- El interesado tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o le afecte significativamente de modo similar. Se conecta directamente con las obligaciones de supervisión humana del EU AI Act.
- Sistema de gestión de riesgos
- Proceso iterativo continuo planificado y ejecutado durante todo el ciclo de vida de un sistema de IA de alto riesgo. Incluye identificación, análisis, evaluación y mitigación de riesgos. Debe documentarse formalmente y revisarse periódicamente conforme al Art. 9.
- Trazabilidad
- Capacidad de rastrear y reconstruir las acciones y decisiones de un sistema de IA a lo largo de todo su ciclo de vida. Incluye registro de datos de entrenamiento, logs de operación, versiones del modelo y decisiones de diseño. Fundamental para auditorías y rendición de cuentas.
- Explicabilidad
- Grado en que las decisiones o resultados de un sistema de IA pueden ser comprendidos por seres humanos. Va más allá de la transparencia: no solo informa de que hay IA, sino que permite entender por qué y cómo se llegó a un resultado específico.
- Sesgo de automatización
- Tendencia de las personas a confiar excesivamente en los resultados de sistemas automatizados o de IA, incluso cuando estos son incorrectos o cuando la propia experiencia y criterio del usuario debería prevalecer. El Art. 14(4)(b) exige medidas específicas para mitigar este sesgo.
- Autoridad nacional competente
- Autoridad designada por cada Estado miembro de la UE para supervisar la aplicación y el cumplimiento del Reglamento de IA en su territorio. En España, la autoridad de control será la AEPD para aspectos de protección de datos y un organismo específico para el EU AI Act.
- Base de datos de la UE para sistemas de IA de alto riesgo
- Base de datos pública gestionada por la Comisión Europea donde deben registrarse los sistemas de IA de alto riesgo antes de su comercialización. Contiene información sobre el proveedor, el sistema, su clasificación de riesgo y la evaluación de conformidad realizada.
- Responsabilidad proactiva (accountability)
- Principio según el cual las organizaciones deben poder demostrar activamente que cumplen con las normas aplicables, no solo cumplirlas de forma pasiva. Aplica tanto bajo el RGPD como bajo el EU AI Act, y requiere documentación, registros y procedimientos formalizados.
- Transfer learning (aprendizaje por transferencia)
- Técnica de aprendizaje automático donde un modelo preentrenado en una tarea amplia se reutiliza como punto de partida para una tarea diferente pero relacionada. Es la base del fine-tuning y de la adaptación de modelos fundacionales a casos de uso específicos.
- Tokenización
- Proceso de dividir texto en unidades más pequeñas llamadas tokens (palabras, subpalabras o caracteres) que un modelo de IA puede procesar. Determina cómo el modelo interpreta y genera lenguaje, y afecta directamente a los costes de computación y los límites de contexto del sistema.
- Pruebas en condiciones reales
- Pruebas temporales de un sistema de IA en condiciones reales fuera de un laboratorio o entorno simulado. El Reglamento establece condiciones específicas para estas pruebas, incluyendo consentimiento informado de los participantes, supervisión humana y un plan de pruebas aprobado por la autoridad competente.
- Transferencias internacionales de datos
- Envío de datos personales a países fuera del Espacio Económico Europeo. Cuando se usan APIs de IA de proveedores como OpenAI o Anthropic con servidores en EE.UU., los datos se transfieren internacionalmente. Se requiere base legal adecuada (DPF, SCCs) y documentación en la política de privacidad.
Glosario EU AI Act
Definiciones oficiales y explicaciones claras de los conceptos del EU AI Act. Referencia técnica y legal para empresas y profesionales.
Sistema de IA
Definiciones BásicasSistema basado en máquinas que, para objetivos explícitos o implícitos, infiere, a partir de la información que recibe, cómo generar resultados como predicciones, contenidos, recomendaciones o decisiones que pueden…
Ej: ChatGPT, sistemas de reconocimiento facial, algoritmos de recomendación
Proveedor
ActoresPersona física o jurídica, autoridad pública, agencia u otro organismo que desarrolla un sistema de IA o que encarga su desarrollo con vistas a comercializarlo o ponerlo en servicio con su propio nombre o marca.
Ej: OpenAI (proveedor de GPT), Google (proveedor de Gemini), Anthropic (proveedor de Claude)
Deployer (responsable del despliegue)
ActoresPersona física o jurídica, autoridad pública, agencia u otro organismo que utiliza un sistema de IA bajo su autoridad, excepto cuando el sistema se usa en el curso de una actividad personal no profesional. Es el actor…
Ej: Empresa que usa ChatGPT para atención al cliente, hospital que usa IA para diagnóstico
Distribuidor
ActoresPersona física o jurídica en la cadena de suministro, distinta del proveedor o importador, que comercializa un sistema de IA sin alterar sus propiedades.
Importador
ActoresPersona física o jurídica establecida en la Unión que comercializa un sistema de IA que lleva el nombre o marca de una persona física o jurídica establecida fuera de la Unión.
Riesgo inaceptable
Clasificación de RiesgoSistemas de IA que contravienen los valores de la Unión por vulnerar derechos fundamentales. Están completamente prohibidos por el Art. 5 del Reglamento.
Ej: Social scoring por gobiernos, manipulación subliminal, explotación de vulnerabilidades de grupos específicos
Alto riesgo
Clasificación de RiesgoSistemas de IA que presentan un riesgo significativo para la salud, seguridad o derechos fundamentales de las personas. Están sujetos a obligaciones estrictas de conformidad, documentación técnica, supervisión humana y…
Ej: Identificación biométrica remota, sistemas de IA en RRHH, diagnóstico médico con IA
Riesgo limitado
Clasificación de RiesgoSistemas de IA con obligaciones específicas de transparencia, como chatbots, sistemas que generan contenido sintético o deepfakes. Deben informar al usuario de que interactúa con IA.
Ej: Chatbots, sistemas de recomendación, generadores de contenido con IA
Riesgo mínimo
Clasificación de RiesgoLa mayoría de sistemas de IA que no presentan riesgos significativos. Sin requisitos legales específicos bajo el Reglamento, aunque se fomenta la autorregulación mediante códigos de conducta voluntarios.
Ej: Filtros de spam, videojuegos con IA, recomendaciones de productos en ecommerce
Prácticas prohibidas
Prácticas ProhibidasSistemas de IA con riesgo inaceptable que están completamente prohibidos en la UE. Incluyen manipulación subliminal, explotación de vulnerabilidades, social scoring, policía predictiva individual, reconocimiento de…
Manipulación subliminal
Prácticas ProhibidasTécnicas subliminales más allá de la conciencia de una persona para distorsionar materialmente su comportamiento de manera que cause o pueda causar un daño significativo.
Ej: Mensajes subliminales en publicidad con IA, manipulación psicológica automatizada
Explotación de vulnerabilidades
Prácticas ProhibidasSistemas de IA que explotan vulnerabilidades de grupos específicos (edad, discapacidad, situación social o económica) para distorsionar materialmente su comportamiento de un modo perjudicial.
Ej: IA que explota vulnerabilidades cognitivas de niños o personas mayores
Policía predictiva individual
Prácticas ProhibidasSistemas de IA que evalúan el riesgo de que una persona física cometa una infracción penal basándose únicamente en su perfil o características personales, sin indicios objetivos.
Reconocimiento de emociones en el trabajo
Prácticas ProhibidasSistemas de IA que reconocen o infieren emociones de personas físicas en el lugar de trabajo o en instituciones educativas, salvo excepciones por razones médicas o de seguridad debidamente justificadas.
Ej: Software que analiza emociones de empleados en videollamadas
Categorización biométrica sensible
Prácticas ProhibidasSistemas de IA que categorizan personas basándose en datos biométricos para inferir o deducir raza, opiniones políticas, afiliación sindical, creencias religiosas, vida sexual u orientación sexual.
Identificación biométrica
Alto Riesgo - BiometríaReconocimiento automatizado de características físicas, fisiológicas o conductuales humanas con el fin de establecer la identidad de una persona. Clasificado como alto riesgo en el Anexo III.
Ej: Reconocimiento facial en espacios públicos, huellas dactilares, escaneo de iris
Infraestructura crítica
Alto Riesgo - InfraestructuraSistemas de IA utilizados como componentes de seguridad en la gestión y operación de infraestructuras digitales críticas, tráfico rodado, suministro de agua, gas, calefacción y electricidad.
Educación y formación profesional
Alto Riesgo - EducaciónSistemas de IA para determinar el acceso o asignación a instituciones educativas, evaluar resultados de aprendizaje, detectar comportamiento prohibido de estudiantes o evaluar el nivel apropiado de educación.
Ej: Sistemas de admisión universitaria con IA, evaluación automatizada de exámenes
Empleo y recursos humanos
Alto Riesgo - EmpleoSistemas de IA para publicar anuncios de empleo dirigidos, analizar y filtrar solicitudes, evaluar candidatos, tomar decisiones de contratación, promoción, terminación o asignación de tareas basadas en perfiles.
Ej: ATS con IA, screening automatizado de CVs, evaluación de entrevistas con IA
Servicios esenciales
Alto Riesgo - ServiciosSistemas de IA para evaluar la elegibilidad de personas para servicios esenciales públicos y privados, incluyendo credit scoring, seguros, asistencia sanitaria y prestaciones sociales.
Ej: Credit scoring con IA, evaluación automatizada de riesgo de seguros, priorización de pacientes
Aplicación de la ley
Alto Riesgo - SeguridadSistemas de IA utilizados por autoridades de aplicación de la ley para evaluación de riesgos, polígrafos, evaluación de fiabilidad de evidencias, predicción de delitos, perfilado y detección de deepfakes.
Migración y asilo
Alto Riesgo - MigraciónSistemas de IA para evaluar solicitudes de asilo, visados, permisos de residencia, detectar documentos falsos, evaluar riesgos de seguridad o determinar situación de irregularidad migratoria.
Administración de justicia y democracia
Alto Riesgo - JusticiaSistemas de IA para asistir a autoridades judiciales en investigación e interpretación de hechos y la ley, y en la aplicación de la ley a hechos concretos. También incluye sistemas que influyen en resultados electorales…
GPAI (IA de propósito general)
GPAIModelo de IA entrenado con grandes cantidades de datos a gran escala, diseñado para la generalidad de resultados y capaz de realizar competentemente una amplia gama de tareas distintas, independientemente de la forma en…
Ej: GPT-4o, Claude, Gemini, LLaMA, Mistral
IA generativa
GPAISistema de IA capaz de generar contenido nuevo como texto, imágenes, audio o vídeo en respuesta a prompts o instrucciones. Los proveedores de GPAI con capacidad generativa tienen obligaciones de transparencia…
Ej: ChatGPT, DALL-E, Midjourney, Stable Diffusion, Claude
Modelo fundacional
GPAIModelo de IA entrenado en datos amplios y diversos que puede ser adaptado (fine-tuned) a una amplia gama de tareas posteriores. Concepto precursor del término GPAI en la legislación europea.
Ej: GPT-4o, BERT, T5, LLaMA
Riesgo sistémico
GPAIRiesgo específico de los modelos GPAI más potentes que pueden tener un impacto negativo a gran escala en la salud, seguridad, derechos fundamentales, medio ambiente, democracia o Estado de derecho. Se presume en modelos…
Capacidades de alto impacto
GPAICapacidades que igualan o superan las capacidades registradas en los modelos GPAI más avanzados. El umbral de referencia es 10²⁵ FLOPS para el cómputo total de entrenamiento.
Transparencia
TransparenciaObligación de informar claramente a los usuarios cuando están interactuando con un sistema de IA o cuando el contenido ha sido generado por IA. Principio transversal del Reglamento que aplica a todos los niveles de…
Divulgación de IA
TransparenciaObligación de informar a las personas físicas, a más tardar en el momento de la primera interacción, de que están interactuando con un sistema de IA, salvo que sea obvio por las circunstancias y el contexto de uso.
Deepfake
TransparenciaContenido de imagen, audio o vídeo generado o manipulado por IA que se asemeja apreciablemente a personas, objetos, lugares o entidades o acontecimientos existentes, y que parecería falsamente auténtico o veraz a una…
Marcado de agua (watermarking)
TransparenciaTécnica para incrustar información imperceptible en contenido generado por IA de manera que sea detectable por máquinas pero no altere significativamente el contenido percibido por humanos.
Evaluación de conformidad
ConformidadProceso mediante el cual se demuestra que un sistema de IA de alto riesgo cumple con los requisitos establecidos en el Reglamento. Puede ser autoevaluación interna o evaluación por un organismo notificado, según el tipo…
Marcado CE
ConformidadMarcado mediante el cual un proveedor indica que un sistema de IA de alto riesgo cumple con los requisitos del Reglamento y otras legislaciones de armonización de la Unión aplicables. Solo se aplica a sistemas de alto…
Documentación técnica
ConformidadConjunto de información detallada sobre el diseño, desarrollo y funcionamiento del sistema de IA que debe elaborarse antes de su comercialización y mantenerse actualizada. Su estructura se define en el Anexo IV.
Instrucciones de uso
ConformidadInformación proporcionada por el proveedor para informar al deployer sobre el uso previsto del sistema de IA, sus capacidades, limitaciones y funcionamiento correcto.
Supervisión humana
ConformidadMedidas que permiten a las personas supervisar eficazmente el funcionamiento del sistema de IA de alto riesgo durante su uso, incluyendo la capacidad de intervenir, corregir o interrumpir el sistema cuando sea necesario.
Precisión
ConformidadCapacidad del sistema de IA para producir resultados correctos y fiables. Los sistemas de alto riesgo deben alcanzar niveles apropiados de precisión declarados en su documentación técnica e instrucciones de uso.
Robustez
ConformidadCapacidad del sistema de IA para funcionar de manera fiable y segura incluso en condiciones adversas, ante errores, fallos, inconsistencias o intentos de manipulación por terceros.
Ciberseguridad
ConformidadMedidas técnicas y organizativas apropiadas para proteger el sistema de IA contra intentos no autorizados de alterar su uso, resultados o rendimiento, incluyendo ataques adversarios, envenenamiento de datos y…
Gobernanza de datos
Protección de DatosPrácticas de gestión de datos aplicadas a la recopilación, el análisis, el almacenamiento y el uso de datos de entrenamiento, validación y prueba. Los sistemas de alto riesgo deben implementar gobernanza de datos…
Calidad de datos
Protección de DatosCaracterísticas de los conjuntos de datos de entrenamiento, validación y prueba que garantizan que el sistema de IA funcione según su uso previsto. Incluye representatividad, ausencia de errores, completitud y…
Sesgo
Protección de DatosResultado sistemático que favorece o desfavorece injustamente a ciertos grupos o individuos. Puede originarse en datos de entrenamiento, diseño del algoritmo o contexto de aplicación.
DPIA (evaluación de impacto de protección de datos)
Protección de DatosEvaluación previa del impacto de las operaciones de tratamiento previstas en la protección de datos personales. Obligatoria bajo el RGPD cuando el tratamiento entrañe un alto riesgo para los derechos y libertades de las…
Oficina Europea de IA
GobernanzaÓrgano de la Comisión Europea responsable de la supervisión de la aplicación del Reglamento de IA, con competencias especiales sobre modelos GPAI con riesgo sistémico.
Organismo notificado
GobernanzaOrganismo de evaluación de la conformidad designado y notificado por un Estado miembro para llevar a cabo evaluaciones de conformidad de terceros sobre sistemas de IA de alto riesgo.
Vigilancia del mercado
GobernanzaActividades llevadas a cabo por autoridades públicas nacionales para verificar que los sistemas de IA comercializados en su territorio cumplen con los requisitos del Reglamento.
Sandbox regulatorio
GobernanzaEntorno controlado facilitado por autoridades competentes para el desarrollo, prueba y validación de sistemas de IA innovadores bajo supervisión regulatoria directa, durante un tiempo limitado.
Multas administrativas
SancionesSanciones pecuniarias impuestas por incumplimiento del Reglamento. Hasta 35 millones de euros o el 7 % de la facturación global anual (lo que sea mayor) para prácticas prohibidas; hasta 15 millones o 3 % para otras…
Incidente grave
SancionesIncidente o mal funcionamiento de un sistema de IA que directa o indirectamente conduce a la muerte o daño grave a la salud de una persona, o a una perturbación grave e irreversible de infraestructuras críticas.
Derecho a explicación
DerechosDerecho de las personas afectadas por decisiones basadas en sistemas de IA de alto riesgo a obtener una explicación clara y significativa del papel del sistema en la toma de decisiones y los principales elementos de la…
Derecho a presentar quejas
DerechosDerecho de cualquier persona física o jurídica a presentar una queja ante una autoridad de supervisión del mercado si considera que un sistema de IA infringe el Reglamento.
Datos de entrenamiento
Conceptos TécnicosDatos utilizados para entrenar un sistema de IA mediante el ajuste de sus parámetros aprendibles. La calidad, representatividad y ausencia de sesgos en estos datos es determinante para el rendimiento y equidad del…
Datos de validación
Conceptos TécnicosDatos utilizados para proporcionar una evaluación del sistema de IA entrenado y para ajustar sus hiperparámetros no aprendibles y procedimientos de aprendizaje. Deben ser distintos de los datos de entrenamiento.
Datos de prueba
Conceptos TécnicosDatos utilizados para proporcionar una evaluación independiente del sistema de IA con el fin de confirmar el rendimiento esperado antes de su comercialización. Deben ser completamente independientes de los datos de…
Datos de entrada
Conceptos TécnicosDatos proporcionados al sistema de IA o adquiridos directamente por él, en base a los cuales el sistema produce un resultado (output).
Datos biométricos
Conceptos TécnicosDatos personales resultantes de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física, que permitan o confirmen su identificación única.
Reconocimiento de emociones
Conceptos TécnicosSistema de IA que identifica o infiere las emociones o intenciones de personas físicas basándose en sus datos biométricos (expresiones faciales, voz, postura corporal).
Categorización biométrica
Conceptos TécnicosAsignación de personas físicas a categorías específicas basándose en sus datos biométricos, salvo que sea auxiliar de otro servicio comercial objetivamente necesario.
Identificación biométrica remota
Conceptos TécnicosIdentificación de personas físicas sin su participación activa, típicamente a distancia, mediante la comparación de datos biométricos con los contenidos en una base de datos de referencia.
Ej: Reconocimiento facial en tiempo real en espacios públicos
Identificación biométrica remota posterior
Conceptos TécnicosIdentificación biométrica remota que se produce después de un retraso significativo, con exclusión de la identificación en tiempo real. Permitida con autorización judicial.
Identificación biométrica remota en tiempo real
Conceptos TécnicosIdentificación biométrica remota donde la captura de datos biométricos, la comparación y la identificación se producen sin un retraso significativo. Prohibida salvo excepciones tasadas en el Art. 5.
Finalidad prevista
Conceptos LegalesUso para el cual un sistema de IA está destinado por el proveedor, incluyendo el contexto específico y las condiciones de uso, tal como se especifica en las instrucciones de uso y la documentación técnica.
Uso indebido razonablemente previsible
Conceptos LegalesUso del sistema de IA de una manera no conforme con su finalidad prevista, pero que puede resultar de un comportamiento humano razonablemente previsible o de la interacción con otros sistemas.
Componente de seguridad
Conceptos LegalesComponente de un producto o sistema que cumple una función de seguridad para ese producto o sistema, o cuyo fallo o mal funcionamiento pone en peligro la salud y seguridad de las personas o los bienes.
Modificación sustancial
Conceptos LegalesCambio en un sistema de IA tras su comercialización que afecta al cumplimiento del Reglamento o que resulta en una modificación de la finalidad prevista para la que se evaluó la conformidad.
Puesta a disposición en el mercado
Conceptos LegalesSuministro de un sistema de IA para su distribución o uso en el mercado de la Unión en el curso de una actividad comercial, ya sea a cambio de pago o gratuitamente.
Puesta en servicio
Conceptos LegalesSuministro de un sistema de IA para su primer uso directamente al deployer o para uso propio en la Unión para su finalidad prevista.
Retirada del mercado (recall)
Conceptos LegalesMedida destinada a lograr la devolución de un sistema de IA que ya se ha puesto a disposición de los deployers.
Retirada (withdrawal)
Conceptos LegalesMedida destinada a impedir que un sistema de IA en la cadena de suministro se ponga a disposición en el mercado.
Alfabetización en IA (AI Literacy)
EducaciónHabilidades, conocimientos y comprensión que permiten a los proveedores, deployers y personas afectadas, teniendo en cuenta sus derechos y obligaciones respectivos, tomar decisiones informadas sobre sistemas de IA. El…
Códigos de conducta
AutorregulaciónAcuerdos voluntarios destinados a fomentar la aplicación de los requisitos del Reglamento, incluidos los relativos a la sostenibilidad medioambiental, a sistemas de IA no clasificados como de alto riesgo.
Normas armonizadas
NormalizaciónNormas europeas adoptadas por organismos europeos de normalización (CEN, CENELEC, ETSI) a solicitud de la Comisión, cuyo cumplimiento otorga presunción de conformidad con los requisitos del Reglamento.
Especificaciones comunes
NormalizaciónEspecificaciones técnicas adoptadas por la Comisión mediante actos de ejecución cuando no existen normas armonizadas o cuando son insuficientes para cubrir los requisitos del Reglamento.
Vigilancia poscomercialización
SupervisiónActividades realizadas por proveedores para recopilar y revisar de forma proactiva experiencias con sistemas de IA que han comercializado, con el fin de identificar posibles riesgos o no conformidades.
Cadena de valor de la IA
Conceptos EconómicosSecuencia completa de actividades relacionadas con el diseño, desarrollo, entrenamiento, validación, comercialización, distribución, despliegue, mantenimiento y retirada de sistemas de IA. El Reglamento asigna…
Sesgo algorítmico
Conceptos TécnicosDesviación sistemática en los resultados de un sistema de IA que favorece o desfavorece injustamente a ciertos grupos o individuos. Puede originarse en datos de entrenamiento sesgados, diseño del algoritmo o contexto de…
Ej: Sistema de RRHH que discrimina por género, algoritmo de crédito que penaliza ciertos códigos postales
Gobernanza de datos de entrenamiento
Conceptos TécnicosConjunto de prácticas de gestión aplicadas a la recopilación, análisis, almacenamiento y uso de datos de entrenamiento, validación y prueba. Obligatoria para sistemas de alto riesgo según Art. 10, debe garantizar…
Datos de validación
Conceptos TécnicosConjunto de datos distinto del de entrenamiento, utilizado para proporcionar una evaluación del sistema de IA entrenado y para ajustar sus hiperparámetros no aprendibles y procedimientos de aprendizaje. Esencial para…
Datos de prueba
Conceptos TécnicosDatos utilizados para proporcionar una evaluación independiente del sistema de IA con el fin de confirmar el rendimiento esperado antes de su comercialización. Deben ser completamente independientes de los datos de…
Logs (registros automáticos)
Conceptos TécnicosCapacidad de los sistemas de IA de alto riesgo para registrar automáticamente eventos durante su operación. Obligatorio según Art. 12 para permitir trazabilidad, auditorías forenses y detección de incidentes. Deben…
Ciclo de vida de la IA
Conceptos TécnicosTodas las fases de existencia de un sistema de IA: desde la concepción inicial, diseño, desarrollo, entrenamiento, validación, comercialización, uso, actualización, mantenimiento hasta su retirada del mercado. El…
Componente de seguridad
Conceptos TécnicosParte de un producto o sistema que desempeña una función de seguridad, o cuyo fallo o mal funcionamiento pone en peligro la salud y la seguridad de las personas. Los sistemas de IA utilizados como componentes de…
Ej: IA en sistemas de frenado ABS, IA en control de tráfico aéreo
Falsos positivos y falsos negativos
Conceptos TécnicosMétricas críticas de precisión de un sistema de IA. Falso positivo: el sistema identifica incorrectamente una condición como presente. Falso negativo: el sistema no detecta una condición que sí está presente. Deben…
Ej: Sistema biométrico que identifica incorrectamente a una persona (falso positivo)
Interoperabilidad
Conceptos TécnicosCapacidad de un sistema de IA para funcionar y compartir información con otros sistemas, productos o servicios de forma efectiva. Clave para evitar la dependencia de un solo proveedor (vendor lock-in) en ecosistemas…
Marca de agua digital (watermarking)
Conceptos TécnicosMétodo técnico para incrustar información imperceptible en contenido generado por IA (imágenes, audio, vídeo) con el fin de identificar su origen artificial. Los proveedores de GPAI deben implementarlo bajo el Art. 50…
Ataque adversario
CiberseguridadManipulación deliberada de los inputs de un sistema de IA para engañar al sistema y producir resultados incorrectos o malintencionados. El Reglamento exige que los sistemas de alto riesgo sean robustos frente a este…
Ej: Añadir ruido imperceptible a una imagen para que el sistema la clasifique incorrectamente
Envenenamiento de datos (data poisoning)
CiberseguridadCorrupción intencional de los conjuntos de datos de entrenamiento para degradar el rendimiento de la IA o introducir vulnerabilidades específicas. Los proveedores deben implementar medidas de gobernanza de datos para…
Exención de I+D
Conceptos LegalesEl Reglamento de IA no se aplica a sistemas desarrollados y utilizados exclusivamente para investigación científica y desarrollo de productos. Sin embargo, si el sistema se comercializa o se pone en servicio, debe…
Software de código abierto (open source IA)
Conceptos LegalesLos modelos de IA de código abierto tienen un régimen especial bajo el Reglamento. Los modelos GPAI con parámetros, pesos y arquitectura públicos están exentos de ciertas obligaciones de transparencia, salvo que…
Ej: LLaMA, Mistral (si cumplen los criterios de apertura del Art. 51)
Sanciones administrativas
SancionesRégimen sancionador del Reglamento de IA. Tres niveles: hasta 35M€ o 7 % por prácticas prohibidas (Art. 5); hasta 15M€ o 3 % por otras infracciones de sistemas de alto riesgo; hasta 7,5M€ o 1 % por información…
Conformidad por diseño
ConformidadPrincipio según el cual los requisitos del Reglamento deben integrarse desde las fases iniciales de diseño y desarrollo del sistema de IA, no añadirse como capas posteriores. Análogo al concepto de "privacidad por…
Derecho a explicación
DerechosDerecho de las personas afectadas por decisiones tomadas por un deployer basándose en los resultados de un sistema de IA de alto riesgo a obtener explicaciones claras y significativas sobre el papel del sistema de IA en…
Accesibilidad
DerechosRequisito de que los sistemas de IA de alto riesgo sean accesibles para personas con discapacidad, conforme a la Directiva (UE) 2019/882 sobre requisitos de accesibilidad. Se aplica a las interfaces y a las…
Sostenibilidad medioambiental
Conceptos TécnicosLos proveedores de GPAI con riesgo sistémico deben documentar el consumo energético conocido o estimado de su modelo. Los códigos de conducta voluntarios deben incluir medidas de sostenibilidad medioambiental.
FRIA (evaluación de impacto sobre derechos fundamentales)
EvaluaciónEvaluación que deben realizar los deployers de sistemas de IA de alto riesgo que sean organismos de Derecho público u operadores privados que presten servicios públicos, antes de poner en servicio un sistema de IA de…
Sistema de gestión de la calidad (SGC)
ConformidadSistema documentado de políticas, procedimientos y procesos que garantiza el cumplimiento continuo del Reglamento durante todo el ciclo de vida del sistema de IA. Obligatorio para proveedores de sistemas de alto riesgo.…
Plan de vigilancia poscomercialización
SupervisiónDocumento formal que establece cómo el proveedor recopilará y analizará datos relevantes tras la comercialización del sistema de IA. Obligatorio para sistemas de alto riesgo. Debe incluir métricas de rendimiento,…
Instrucciones de uso
DocumentaciónInformación concisa, completa, correcta y clara que el proveedor debe facilitar al deployer. Incluye identidad del proveedor, características del sistema, niveles de precisión y robustez, requisitos de recursos humanos,…
Transparencia y explicabilidad
TransparenciaLos sistemas de IA de alto riesgo deben diseñarse para ser suficientemente transparentes y permitir que los deployers interpreten y utilicen correctamente sus resultados. Incluye la capacidad de comprender qué datos…
Robustez, precisión y ciberseguridad
ConformidadTriada de requisitos técnicos obligatorios para sistemas de IA de alto riesgo (Art. 15). Los sistemas deben alcanzar niveles apropiados de precisión, ser resilientes ante errores y ataques, y protegerse contra…
Documentación técnica (Anexo IV)
DocumentaciónEstructura formal que debe seguir la documentación técnica de sistemas de IA de alto riesgo. Incluye: descripción general del sistema, elementos de diseño, proceso de desarrollo, información sobre monitorización,…
Espacio controlado de pruebas (sandbox regulatorio)
GobernanzaMarco establecido por autoridades competentes que ofrece a proveedores y potenciales proveedores de sistemas de IA la posibilidad de desarrollar, entrenar, validar y probar sistemas de IA bajo supervisión regulatoria…
Reconocimiento de emociones (detallado)
Conceptos TécnicosSistema de IA para identificar o inferir emociones o intenciones de personas basándose en datos biométricos. Prohibido en el trabajo y la educación (Art. 5). Cuando se usa en otros contextos y es de alto riesgo, el…
Categorización biométrica (detallado)
Conceptos TécnicosUso de datos biométricos para clasificar personas en categorías como sexo, edad, color de cabello, color de ojos, tatuajes, origen étnico o estado de salud. Se distingue entre categorización sensible (prohibida, Art. 5)…
Identificación biométrica remota (detallado)
Conceptos TécnicosSiempre clasificada como alto riesgo. En tiempo real: prohibida salvo tres excepciones tasadas (búsqueda de víctimas, amenazas terroristas, delitos graves con autorización judicial). Posterior: permitida con…
Modificación sustancial
Conceptos LegalesCambio en el sistema de IA que no estaba previsto por el proveedor original y que afecta al cumplimiento del Reglamento. El deployer que realiza una modificación sustancial puede pasar a ser considerado nuevo proveedor…
Puesta a disposición en el mercado
Conceptos LegalesTodo suministro de un sistema de IA para su distribución o utilización en el mercado de la Unión en el curso de una actividad comercial, con independencia de que sea a cambio de un pago o de manera gratuita.
Puesta en servicio
Conceptos LegalesSuministro de un sistema de IA para su primer uso directamente al deployer o para uso propio en la Unión para su finalidad prevista. Marca el momento en que las obligaciones del deployer se activan.
Retirada del mercado (recall)
Conceptos LegalesToda medida destinada a lograr la devolución al proveedor de un sistema de IA que ya ha sido puesto a disposición de los deployers. Última instancia ante no conformidades graves.
Retirada (withdrawal)
Conceptos LegalesToda medida destinada a impedir que un sistema de IA que se encuentra en la cadena de suministro sea puesto a disposición en el mercado. Se aplica antes de que llegue al deployer final.
Alfabetización en IA (AI Literacy)
EducaciónHabilidades, conocimientos y comprensión que permiten a proveedores, deployers y personas afectadas tomar decisiones informadas sobre sistemas de IA. El Art. 4 establece una OBLIGACIÓN para todas las organizaciones de…
Códigos de conducta
AutorregulaciónAcuerdos voluntarios elaborados por actores individuales, organizaciones representativas o ambos, destinados a fomentar la aplicación de los requisitos del Reglamento. Especialmente relevantes para sistemas de riesgo…
Normas armonizadas
NormalizaciónNormas europeas adoptadas por CEN, CENELEC o ETSI a solicitud de la Comisión Europea. Su cumplimiento otorga presunción de conformidad con los requisitos del Reglamento. Si no existen o son insuficientes, la Comisión…
Especificaciones comunes
NormalizaciónRequisitos técnicos adoptados por la Comisión mediante actos de ejecución que proporcionan medios de cumplimiento cuando no existen normas armonizadas o son insuficientes.
Sistema de vigilancia poscomercialización
SupervisiónActividades sistemáticas realizadas por proveedores para recopilar y revisar experiencias obtenidas del uso de sistemas de IA que han comercializado. Incluye análisis de quejas, fallos, incidentes y feedback de…
LLM (modelo de lenguaje grande)
Conceptos TécnicosTipo de modelo de IA entrenado con grandes volúmenes de texto para comprender y generar lenguaje natural. Son la base de los asistentes conversacionales y herramientas de IA generativa de texto. En el contexto del EU AI…
Ej: GPT-4o, Claude, Gemini, LLaMA, Mistral
Aprendizaje automático (machine learning)
Conceptos TécnicosEnfoque de IA basado en algoritmos que mejoran automáticamente su rendimiento a través de la exposición a datos, sin ser programados explícitamente para cada tarea. Incluye aprendizaje supervisado, no supervisado y por…
Aprendizaje profundo (deep learning)
Conceptos TécnicosSubcampo del aprendizaje automático basado en redes neuronales artificiales con múltiples capas de procesamiento. Es la técnica subyacente a los modelos GPAI más potentes, incluidos los LLM y los modelos de generación…
Red neuronal artificial
Conceptos TécnicosModelo computacional inspirado en la estructura del cerebro humano, compuesto por nodos (neuronas) interconectados organizados en capas. Es la arquitectura base del aprendizaje profundo y de la mayoría de sistemas de IA…
Ajuste fino (fine-tuning)
Conceptos TécnicosProceso de adaptar un modelo de IA preentrenado a una tarea específica mediante entrenamiento adicional con un conjunto de datos más pequeño y especializado. En el contexto del EU AI Act, el proveedor que realiza un…
RAG (generación aumentada por recuperación)
Conceptos TécnicosTécnica que combina un modelo de lenguaje con un sistema de búsqueda sobre una base de conocimiento externa. Permite a la IA consultar documentos verificados antes de generar respuestas, reduciendo alucinaciones y…
Ej: Chatbot legal que consulta legislación antes de responder, asistente médico que busca en guías clínicas
Alucinación (IA)
Conceptos TécnicosFenómeno en el que un sistema de IA generativa produce información que parece plausible pero es incorrecta, inventada o no tiene base en los datos de entrenamiento ni en la realidad. Es un riesgo clave que el Art. 50…
Prompt injection (inyección de prompts)
CiberseguridadTécnica de ataque contra sistemas de IA conversacional que consiste en insertar instrucciones maliciosas dentro del input del usuario para manipular el comportamiento del modelo, extraer información del sistema o eludir…
Ej: Instruir al chatbot para que ignore sus instrucciones originales, extraer el system prompt
Shadow AI (IA no autorizada)
GobernanzaUso de herramientas de IA por parte de empleados de una organización sin autorización, conocimiento ni supervisión de la dirección. Supone un riesgo regulatorio bajo el EU AI Act porque la organización sigue siendo…
Ej: Empleados usando ChatGPT o Copilot para tareas laborales sin política corporativa de IA
Obligaciones del deployer (Art. 26)
ActoresLos deployers de sistemas de alto riesgo deben: usar el sistema conforme a las instrucciones, asignar supervisión humana a personas competentes, garantizar que los datos de entrada sean representativos, monitorizar el…
RAT (registro de actividades de tratamiento)
Protección de DatosDocumento obligatorio bajo el RGPD Art. 30 que describe todas las actividades de tratamiento de datos personales realizadas por una organización. Debe incluir finalidades, categorías de datos, destinatarios,…
DPO (delegado de protección de datos)
Protección de DatosProfesional designado por una organización para supervisar la estrategia y el cumplimiento de la normativa de protección de datos. Obligatorio cuando se realizan tratamientos a gran escala de datos personales o datos…
Privacidad por diseño (privacy by design)
Protección de DatosPrincipio del RGPD que exige que la protección de datos se integre desde las fases más tempranas del diseño de sistemas y procesos, no como una adición posterior. Incluye minimización de datos, pseudonimización y…
Principio de minimización de datos
Protección de DatosPrincipio del RGPD según el cual los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Especialmente relevante cuando se envían datos a…
Decisiones automatizadas (Art. 22 RGPD)
Protección de DatosEl interesado tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o le afecte significativamente de modo…
Sistema de gestión de riesgos
ConformidadProceso iterativo continuo planificado y ejecutado durante todo el ciclo de vida de un sistema de IA de alto riesgo. Incluye identificación, análisis, evaluación y mitigación de riesgos. Debe documentarse formalmente y…
Trazabilidad
ConformidadCapacidad de rastrear y reconstruir las acciones y decisiones de un sistema de IA a lo largo de todo su ciclo de vida. Incluye registro de datos de entrenamiento, logs de operación, versiones del modelo y decisiones de…
Explicabilidad
TransparenciaGrado en que las decisiones o resultados de un sistema de IA pueden ser comprendidos por seres humanos. Va más allá de la transparencia: no solo informa de que hay IA, sino que permite entender por qué y cómo se llegó a…
Sesgo de automatización
Conceptos TécnicosTendencia de las personas a confiar excesivamente en los resultados de sistemas automatizados o de IA, incluso cuando estos son incorrectos o cuando la propia experiencia y criterio del usuario debería prevalecer. El…
Base de datos de la UE para sistemas de IA de alto riesgo
GobernanzaBase de datos pública gestionada por la Comisión Europea donde deben registrarse los sistemas de IA de alto riesgo antes de su comercialización. Contiene información sobre el proveedor, el sistema, su clasificación de…
Responsabilidad proactiva (accountability)
GobernanzaPrincipio según el cual las organizaciones deben poder demostrar activamente que cumplen con las normas aplicables, no solo cumplirlas de forma pasiva. Aplica tanto bajo el RGPD como bajo el EU AI Act, y requiere…
Transfer learning (aprendizaje por transferencia)
Conceptos TécnicosTécnica de aprendizaje automático donde un modelo preentrenado en una tarea amplia se reutiliza como punto de partida para una tarea diferente pero relacionada. Es la base del fine-tuning y de la adaptación de modelos…
Tokenización
Conceptos TécnicosProceso de dividir texto en unidades más pequeñas llamadas tokens (palabras, subpalabras o caracteres) que un modelo de IA puede procesar. Determina cómo el modelo interpreta y genera lenguaje, y afecta directamente a…
Pruebas en condiciones reales
GobernanzaPruebas temporales de un sistema de IA en condiciones reales fuera de un laboratorio o entorno simulado. El Reglamento establece condiciones específicas para estas pruebas, incluyendo consentimiento informado de los…
Transferencias internacionales de datos
Protección de DatosEnvío de datos personales a países fuera del Espacio Económico Europeo. Cuando se usan APIs de IA de proveedores como OpenAI o Anthropic con servidores en EE.UU., los datos se transfieren internacionalmente. Se requiere…
Ej: Datos enviados a APIs de Anthropic Claude o OpenAI GPT procesados en servidores en EE.UU.
¿Necesitas ayuda con la adaptación al EU AI Act?
Evalúa tu sistema de IA o conecta con profesionales del marketplace


Social scoring (puntuación social)
Prácticas ProhibidasEvaluación o clasificación de personas físicas por autoridades públicas basada en su comportamiento social o características personales conocidas, inferidas o predichas, que resulte en un trato perjudicial o…
Ej: Sistemas de crédito social gubernamentales