En resumen

  • La Ley de IA de la UE entra en vigor para las empresas noruegas el 2 de agosto de 2026, a solo siete semanas de distancia
  • La ley se implementa en Noruega a través del Acuerdo EEE y establece requisitos estrictos de documentación, gestión de riesgos y transparencia
  • Las multas por infracciones pueden ascender a 35 millones de euros o el 7 por ciento de la facturación global
  • La Autoridad Noruega de Protección de Datos (Datatilsynet) y Nkom han sido designadas como autoridades supervisoras noruegas, y se advierte a las pymes sobre una carga desproporcionadamente grande

El reloj corre para las empresas noruegas. En apenas dos meses —más precisamente el 2 de agosto de 2026— entrarán en vigor los primeros requisitos plenamente operativos del Reglamento de Inteligencia Artificial de la UE (Ley de IA de la UE), y las empresas noruegas no están exentas. A través del Acuerdo EEE, Noruega está obligada a implementar la normativa, y el tiempo de preparación se está agotando.

Lo que la ley realmente exige

La Ley de IA de la UE se basa en un modelo de riesgo en el que los sistemas de IA se dividen en cuatro categorías: riesgo inaceptable, alto, limitado y mínimo. Cuanto mayor sea el riesgo, más estrictos serán los requisitos. Para los sistemas de categoría de alto riesgo —utilizados, entre otros, en sanidad, finanzas y transporte— se exige una documentación técnica exhaustiva, evaluaciones de riesgos, control interno y trazabilidad.

Además, las empresas noruegas deben obtener una visión completa de todas las soluciones de IA que utilizan, los proveedores detrás de ellas y de qué datos dependen los sistemas. Ya no es suficiente comprar un servicio y utilizarlo sin más.

Siete semanas para que la Ley de IA entre en vigor: Las empresas noruegas se arriesgan a multas de 35 millones de euros - Bilde 1

Los costes preocupan especialmente a las pymes

Para los grandes grupos, la carga es considerable, pero manejable. Para las pequeñas y medianas empresas, puede ser aplastante. Según la investigación disponible, los costes anuales de cumplimiento para las pymes pueden oscilar entre 50.000 y 500.000 euros. Las empresas emergentes que desarrollan sistemas de IA de alto riesgo podrían tener que dedicar uno o dos empleados a tiempo completo exclusivamente al cumplimiento normativo.

Las evaluaciones legales iniciales para una startup con un sistema de alto riesgo pueden costar entre 15.000 y 50.000 euros por sí solas, y los costes totales del primer año pueden alcanzar los 250.000 euros. Para organizaciones más grandes, se habla de programas que superan fácilmente el millón de dólares anuales.

35 millones de €
Multa máxima por infracción
7 %
Cuota máxima de facturación global

Las autoridades supervisoras noruegas están en marcha

La Autoridad Noruega de Protección de Datos (Datatilsynet) y la Autoridad Nacional de Comunicaciones (Nkom) han sido designadas como los principales organismos de supervisión de Noruega bajo la nueva normativa. Nkom tiene el papel de autoridad coordinadora nacional para la Ley de IA, mientras que Datatilsynet se encarga de la interfaz con la normativa de protección de datos personales —una interfaz considerable, ya que muchos sistemas de IA procesan datos personales.

Norsk Akkreditering funcionará como organismo nacional de acreditación para los sistemas de IA que requieran auditoría externa. Dichas auditorías pueden costar entre 20.000 y 80.000 euros por sistema, según las estimaciones disponibles.

Muchas empresas noruegas no tienen una visión completa de los sistemas de IA que realmente utilizan, y ahí es exactamente donde comienza la ley.

KI-Norge y Digdir ofrecen orientación

Por parte de las autoridades, se han establecido estructuras de apoyo. KI-Norge, organizada bajo la Dirección de Digitalización (Digdir), funciona como un centro nacional para el desarrollo responsable de la IA y ofrece, entre otras cosas, un 'sandbox' de IA donde las empresas pueden probar y desarrollar sistemas en un entorno controlado sin arriesgarse a sanciones inmediatas.

Organizaciones sectoriales como Abelia y Tek Norge apoyan la introducción de la normativa y subrayan la importancia de que la legislación noruega se armonice con las normas de la UE, entre otras cosas para garantizar el acceso al mercado. Sin embargo, ambas organizaciones han sido claras en que las autoridades supervisoras deben priorizar la orientación sobre la sanción en una fase temprana.

La superposición con el GDPR complica el panorama

Un factor adicional que complica la situación para las empresas noruegas es que la Ley de IA no opera en el vacío. La Ley de Protección de Datos Personales, que implementa el GDPR en la legislación noruega, ya impone estrictas restricciones al tratamiento de datos personales. Cuando los sistemas de IA —como la mayoría— utilizan datos personales, surge una doble normativa que ambos conjuntos de autoridades supervisoras pueden hacer cumplir.

Para las empresas que utilizan infraestructura en la nube fuera del EEE, también entran en juego las normas de transferencia de datos, lo que puede implicar importantes costes de arquitectura y cumplimiento.

Con siete semanas restantes, ya no hay tiempo para "esperar y ver"; es hora de mapear, priorizar y actuar.

¿Qué deben hacer ahora las empresas noruegas?

Los expertos recomiendan que las empresas noruegas comiencen con un mapeo sistemático de todos los sistemas de IA en uso, incluidos los sistemas adquiridos de proveedores externos. Luego, los sistemas deben clasificarse por riesgo según el modelo de la Ley de IA, y las medidas deben priorizarse en función del perfil de riesgo.

Para aquellos que ya han comenzado, el tiempo restante se trata de completar la documentación y establecer rutinas de control interno. Para aquellos que no han empezado, el consejo es buscar asistencia legal y técnica externa de inmediato, y ponerse en contacto con Datatilsynet o Nkom para obtener orientación.