Habla con un experto en contratación pública

Reglamento de IA de la UE (AI Act): qué implica para contratos y pliegos TIC

Por:Icela MartinNews
AI Act: qué implica para contratos y pliegos TIC
Regístrate gratis

El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, conocido como AI Act o Reglamento Europeo de Inteligencia Artificial, establece un marco común para el desarrollo, comercialización y uso de sistemas de IA en la Unión Europea. Su impacto sobre la contratación pública es directo: cualquier expediente que adquiera, despliegue o integre un sistema de inteligencia artificial debe ajustarse a los requisitos del Reglamento, lo que obliga a revisar los pliegos TIC y las cláusulas técnicas que los componen.

Para los órganos de contratación, el AI Act introduce obligaciones nuevas en la fase de preparación del expediente. Para los licitadores que ofrecen soluciones de IA o sistemas TIC con componentes de IA, supone un conjunto adicional de requisitos técnicos, documentales y de gobernanza que conviene anticipar.

Esta guía describe el alcance del Reglamento, su calendario de aplicación, las categorías de sistemas relevantes para los contratos públicos y las cláusulas que conviene incorporar a los pliegos TIC para garantizar el cumplimiento.

Marco normativo del AI Act y su efecto sobre la contratación pública

El AI Act es un reglamento europeo de aplicación directa en todos los Estados miembros, sin necesidad de transposición. Esto significa que sus obligaciones son exigibles en España desde las fechas previstas en su calendario, sin esperar a normativa nacional de desarrollo.

Naturaleza y ámbito de aplicación

El Reglamento (UE) 2024/1689 regula la puesta en el mercado, la puesta en servicio y la utilización de sistemas de IA en la UE. Se aplica a proveedores, responsables del despliegue, importadores y distribuidores, con independencia de que estén establecidos en la UE o en un tercer país, siempre que sus sistemas se utilicen en territorio europeo.

En el ámbito de la contratación pública, los órganos de contratación que adquieran un sistema de IA actúan como responsables del despliegue y asumen las obligaciones que el Reglamento atribuye a esta figura. Esto afecta especialmente a los expedientes de digitalización, automatización administrativa, herramientas de análisis de datos y sistemas de apoyo a la decisión.

Calendario de aplicación escalonada

El Reglamento entró en vigor el 1 de agosto de 2024 y prevé una aplicación gradual de sus disposiciones:

A partir del 2 de febrero de 2025 son exigibles las prohibiciones del artículo 5 y las obligaciones de alfabetización en IA del artículo 4.

Las obligaciones relativas a modelos de IA de uso general, gobernanza, autoridades nacionales competentes y sanciones se aplican a partir del 2 de agosto de 2025.

La mayoría de las disposiciones, incluidas las exigencias sobre sistemas de alto riesgo, son exigibles a partir del 2 de agosto de 2026, con un plazo adicional para determinados sistemas del Anexo I.

Este calendario condiciona los pliegos TIC: un contrato cuyos efectos abarquen 2026 o posterior debe contemplar el cumplimiento de las obligaciones que entren en vigor durante la ejecución del contrato.

Autoridad nacional competente en España

En España, la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) es el organismo designado para la supervisión de la aplicación del Reglamento en sus ámbitos materiales. La página oficial de AESIA recoge sus competencias, comunicaciones y guías técnicas, que conviene consultar al diseñar pliegos que incorporen IA.

Clasificación de sistemas de IA y su impacto en pliegos TIC

El AI Act adopta un enfoque basado en el riesgo: las obligaciones aplicables a un sistema de IA dependen de la categoría en la que se sitúe. Esta clasificación es clave al redactar prescripciones técnicas y criterios de adjudicación.

Sistemas de riesgo inaceptable

El artículo 5 del Reglamento prohíbe determinados usos de la IA por considerarlos incompatibles con los derechos fundamentales: puntuación social por autoridades públicas, manipulación subliminal, explotación de vulnerabilidades, reconocimiento de emociones en lugares de trabajo y centros educativos, salvo excepciones tasadas, y ciertos usos de identificación biométrica remota en tiempo real.

Los pliegos TIC no pueden solicitar el despliegue de sistemas que incurran en estas prácticas, ni siquiera con autorización expresa del órgano de contratación. La consecuencia es directa: cualquier especificación que aboque a un sistema prohibido genera nulidad del pliego en ese punto.

Sistemas de alto riesgo

Los sistemas de IA de alto riesgo son los que figuran en el Anexo III del Reglamento o que se integran como componente de seguridad de productos cubiertos por la legislación armonizada del Anexo I. El Anexo III incluye ámbitos especialmente relevantes para la contratación pública, como:

  • Acceso a servicios públicos y prestaciones esenciales, incluyendo evaluación de elegibilidad y priorización.
  • Empleo público y gestión de trabajadores.
  • Educación y formación profesional.
  • Aplicación de la ley, gestión de la migración y administración de justicia.
  • Infraestructuras críticas digitales, transporte y suministro.

Estos sistemas no están prohibidos, pero están sujetos a obligaciones exigentes de gestión de riesgos, calidad de los datos, documentación técnica, registros automáticos, supervisión humana, transparencia frente al usuario y evaluación de la conformidad. La preparación de un pliego TIC que incorpore un sistema de este tipo exige trasladar esos requisitos a prescripciones técnicas verificables.

Sistemas de riesgo limitado y mínimo

Los sistemas de riesgo limitado, conforme al artículo 50 del Reglamento, están sujetos a obligaciones específicas de transparencia: los usuarios deben saber que interactúan con una IA o que el contenido ha sido generado por IA. Esto afecta a chatbots, asistentes virtuales y herramientas generativas que se integren en sistemas adquiridos por la Administración.

Los sistemas de riesgo mínimo no están sujetos a obligaciones específicas, pero sí pueden adherirse voluntariamente a códigos de conducta. La técnica de redacción de prescripciones técnicas para integrar estos requisitos puede consultarse en la guía sobre redacción del pliego de prescripciones técnicas.

Cláusulas que conviene incorporar a los pliegos TIC

Los pliegos TIC que incluyan IA deben traducir los requisitos del Reglamento a cláusulas técnicas y administrativas con valor jurídico. A continuación se sintetizan los bloques más relevantes en función de la categoría del sistema.

Identificación del sistema y categoría de riesgo

Es recomendable exigir al licitador una declaración expresa de la categoría de riesgo del sistema ofertado conforme al Reglamento, así como la justificación documental que sustente esa clasificación. Esta declaración fija el régimen aplicable a la prestación y los requisitos verificables por la mesa de contratación.

Documentación técnica y evaluación de la conformidad

Para sistemas de alto riesgo, los pliegos deben requerir la documentación técnica exigida por el artículo 11 y el Anexo IV del Reglamento, así como el marcado CE y la declaración UE de conformidad, cuando sean aplicables conforme al calendario de aplicación. La inclusión expresa de estos requisitos en las prescripciones técnicas es la mejor garantía de exigibilidad contractual.

Gestión de riesgos y supervisión humana

Las cláusulas deben requerir un sistema de gestión de riesgos continuo, la posibilidad de supervisión humana efectiva y la conservación de registros automáticos del sistema, conforme a los artículos 9, 12 y 14 del Reglamento. Estos requisitos se articulan con las exigencias de seguridad ya aplicables a los sistemas de información del sector público, descritas en la guía sobre ciberseguridad en pliegos TIC, ENS y certificaciones.

Calidad de los datos y gobierno del modelo

El artículo 10 del Reglamento exige que los datos de entrenamiento, validación y prueba sean pertinentes, representativos, libres de errores y completos. Los pliegos pueden requerir documentación sobre el origen de los datos, las medidas para mitigar sesgos y los procesos de validación, así como el cumplimiento del Reglamento General de Protección de Datos. La conexión con el régimen general de protección de datos y de seguridad de los sistemas se desarrolla en la guía sobre seguridad de la IA en el sector público, ENS y RGPD.

Compra pública de innovación y AI Act

Los procedimientos de compra pública de innovación son un cauce especialmente adecuado para adquirir sistemas de IA innovadores, ya que permiten un diálogo estructurado con el mercado y la cofinanciación de fases de desarrollo. Su régimen y supuestos de uso se explican en la guía sobre compra pública innovadora. El uso de estos procedimientos no exime del cumplimiento del AI Act, pero facilita estructurar pliegos con requisitos progresivos coherentes con el calendario de aplicación.

Condiciones especiales de ejecución vinculadas al AI Act

El artículo 202 LCSP permite incluir condiciones especiales de ejecución que exijan al adjudicatario mantener el cumplimiento del Reglamento a lo largo de la vida del contrato, notificar incidentes graves, actualizar la documentación técnica cuando cambien las condiciones del sistema y permitir auditorías de cumplimiento. El incumplimiento de estas condiciones puede dar lugar a penalidades contractuales.

Identificar licitaciones afectadas por el AI Act

En procesos reales de licitación, identificar a tiempo los expedientes TIC con componente de IA es esencial para preparar ofertas conformes con el Reglamento. Los códigos CPV del grupo 72000000 (servicios TI) y referencias específicas a inteligencia artificial, aprendizaje automático o procesamiento del lenguaje natural permiten acotar el universo de oportunidades relevantes.

Tendios permite configurar alertas por código CPV, palabra clave, órgano de contratación y umbral de presupuesto, lo que facilita aislar los expedientes TIC con componente de IA dentro de un sector concreto y anticipar el calendario de publicación de las administraciones más activas en este ámbito.

Preguntas frecuentes sobre el AI Act y la contratación pública

¿El AI Act se aplica a todos los contratos TIC?

No. Solo a aquellos contratos cuyo objeto incluya el suministro, desarrollo o uso de sistemas de inteligencia artificial conforme a la definición del artículo 3 del Reglamento. Si el contrato no incluye IA, no aplica el AI Act, aunque pueda aplicar otra normativa TIC pertinente.

¿Quién es responsable del cumplimiento del AI Act en un contrato público?

Las obligaciones se distribuyen entre proveedor y responsable del despliegue. El órgano de contratación que adquiera y utilice el sistema asume la condición de responsable del despliegue y debe cumplir las obligaciones correspondientes, sin perjuicio de las que recaigan sobre el proveedor por la puesta en el mercado del sistema.

¿Qué ocurre si el sistema ofertado no cumple los requisitos del Reglamento?

La falta de cumplimiento puede determinar la exclusión de la oferta cuando los requisitos figuren como prescripciones técnicas obligatorias en el pliego. Si el incumplimiento se detecta durante la ejecución, puede activar las penalidades previstas y, en función del PCAP, la resolución contractual.

¿Es exigible el marcado CE para todos los sistemas de IA?

El marcado CE es exigible para sistemas de IA de alto riesgo conforme al artículo 48 del Reglamento, dentro del calendario de aplicación previsto. Para sistemas de riesgo limitado y mínimo no resulta aplicable este requisito, sin perjuicio de otras obligaciones de transparencia o conformidad que puedan corresponder.

¿La autoridad competente en España es AESIA?

La Agencia Española de Supervisión de la Inteligencia Artificial es el organismo nacional designado para la supervisión del Reglamento en su ámbito material. Otras autoridades sectoriales pueden mantener competencias específicas, como la Agencia Española de Protección de Datos en materia de tratamiento de datos personales por sistemas de IA.

Conclusiones sobre el AI Act en contratación pública

El Reglamento (UE) 2024/1689 introduce un marco común para la inteligencia artificial en la UE que tiene efectos directos sobre la contratación pública. Los órganos de contratación que adquieran sistemas de IA actúan como responsables del despliegue y deben trasladar al pliego los requisitos del Reglamento, especialmente cuando el sistema entra en la categoría de alto riesgo.

La clasificación del sistema según su nivel de riesgo determina las obligaciones aplicables y, por tanto, las cláusulas que conviene incluir en las prescripciones técnicas, en los criterios de solvencia, en los criterios de adjudicación y en las condiciones especiales de ejecución. La precisión en la redacción es la mejor garantía de exigibilidad contractual frente al adjudicatario.

El calendario de aplicación escalonada del AI Act exige una mirada prospectiva al diseñar pliegos TIC con efectos a partir de 2026: las obligaciones que entran en vigor durante la ejecución del contrato deben preverse desde el inicio. La consulta de la versión vigente del Reglamento y de las guías técnicas de AESIA y de las autoridades europeas competentes es la mejor base para construir expedientes alineados con la normativa.

Icela Martin

Icela Martin

Legal Copywriter • Contratación Publica

Artículos relacionados