El pasado 24 de noviembre, la Comisión Europea puso en marcha la «AI Act Whistleblower Tool», una herramienta de denuncia de irregularidades específicamente para el Reglamento de Inteligencia Artificial (Reglamento UE 2024/1689, también conocido por “AI Act” y en España por su acrónimo RIA).
La Comisión Europea acaba de poner en marcha a finales del pasado mes de noviembre de 2025 una herramienta de denuncia de irregularidades (“AI Act Whistleblower Tool”) en el marco del Reglamento (UE) 2024/1689 de Inteligencia Artificial, destinada a ofrecer un canal seguro y confidencial para comunicar presuntas infracciones de dicho Reglamento directamente a la Oficina de IA de la UE, centro experto en inteligencia artificial de la Comisión Europea. Esta herramienta responde al mandato del artículo 87 del Reglamento, que aplica la Directiva (UE) 2019/1937 sobre protección de denunciantes a las infracciones del Reglamento de IA, estableciendo un mecanismo especializado para la vigilancia y cumplimiento de esta legislación pionera a nivel mundial.
La herramienta permite a los denunciantes aportar información en cualquiera de las lenguas oficiales de la Unión Europea y utilizar distintos formatos, garantizando un alto nivel de confidencialidad mediante mecanismos certificados de cifrado. Los denunciantes pueden realizar un seguimiento anónimo del estado de su denuncia y comunicarse con la Oficina de IA sin perder anónimo. Aunque la herramienta está especialmente diseñada para profesionales del sector, empleados, extrabajadores, accionistas y órganos administrativos de empresas que desarrollan modelos de IA, puede ser utilizada por cualquier persona para reportar presuntas infracciones.
El Reglamento de IA entró en vigor el 1 de agosto de 2024, tras su aprobación parlamentaria en marzo de 2024, y se basa en un enfoque de clasificación de sistemas de IA según el nivel de riesgo para derechos fundamentales, salud y seguridad, prohibiendo o restringiendo sistemas de riesgo inaceptables y regulando sistemas de alto riesgo con obligaciones estrictas para garantizar un desarrollo y uso responsables. La herramienta contribuye a detectar tempranamente posibles incumplimientos que afectan esos ámbitos sensibles, fortaleciendo la gobernanza de la IA en Europa.
Respecto a la protección de los denunciantes, existe un régimen transitorio: la protección jurídica contra represalias conforme a la Directiva (UE) 2019/1937 se aplicará a las denuncias sobre infracciones del Reglamento de IA a partir del 2 de agosto de 2026, mientras que hasta entonces dicha protección será limitada para denuncias específicas de la AI Act. Sin embargo, ya están protegidas las denuncias relacionadas con ámbitos conexos como la seguridad de productos, protección del consumidor, privacidad y seguridad de datos. Los denunciantes españoles podrán acogerse, en principio y según los casos, a las medidas de protección previstas en la Ley 2/2023, que transpone la Directiva y establece canales internos y externos obligatorios, prohibición de represalias y asistencia jurídica; la herramienta europea funciona como un canal externo especializado para infracciones del Reglamento de IA, complementando los canales internos obligatorios en España.
Desde una perspectiva crítica, esta herramienta representa un avance significativo al proporcionar un canal directo con la autoridad europea especializada, mantener la confidencialidad con mecanismos certificados y permitir seguimiento anónimo. No obstante, persisten desafíos: no se detallan públicamente los estándares técnicos concretos de seguridad (por ejemplo, normas ISO) que avalan el cifrado y la protección de datos, existe cierta indefinición sobre el alcance material exacto de las infracciones denunciables, y se requiere clarificar mejor la coordinación con las autoridades nacionales de vigilancia del mercado.
Para profesionales del Derecho TIC -como son la mayoría de nuestros lectores- recomendarles que conviene asesorarse cuidadosamente sobre el régimen transitorio de protección, evaluar la interacción con los canales internos obligatorios y la vigilancia del mercado, y por último, aunque no menos importante, documentar y proteger adecuadamente a los denunciantes para facilitar la protección contra represalias.
La herramienta está accesible para denuncias en: https://ai-act-whistleblower.integrityline.app/
Fuentes consultadas:
- Comunicado oficial de la Comisión Europea emitido el pasado 24 de noviembre de 2025
- Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) n. o 300/2008, (UE) n. o 167/2013, (UE) n. o 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial)
- Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión
- Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción
- Documentación oficial de la Oficina de IA de la UE
José Ramón Moratalla y Luis Mascareñas, coordinadores de la Redacción del apartado Derecho TIC del portal ElDerecho.com