En este artículo
- Qué es el AI Act y por qué existe
- Las 4 categorías de riesgo en detalle
- Sistemas de alto riesgo: obligaciones completas
- Modelos de propósito general (GPAI)
- Timeline de aplicación: todas las fechas
- Obligaciones por nivel de riesgo
- Impacto en empresas españolas
- AI Act vs RGPD: diferencias y complementariedad
- Sanciones y régimen sancionador
- Checklist de cumplimiento
- Cómo preparar tu empresa paso a paso
- Preguntas frecuentes
- Siguiente paso
El AI Act (Reglamento (UE) 2024/1689) es la primera legislación integral del mundo que regula la inteligencia artificial. Aprobado en junio de 2024 y publicado en el Diario Oficial de la UE en julio de 2024, establece un marco normativo basado en el riesgo que afecta a cualquier empresa que desarrolle, despliegue o utilice sistemas de IA en la Unión Europea.
Su enfoque es proporcional al riesgo: cuanto más peligroso es el uso de la IA, más estrictas son las obligaciones. Un chatbot para atención al cliente tiene mínimas obligaciones. Un sistema de scoring crediticio o selección de personal, máximas.
Aplica a cualquier empresa que ofrezca o use sistemas de IA en la UE, independientemente de dónde esté la empresa. Si vendes a clientes europeos, te afecta.
Resumen rápido
Qué es el AI Act europeo, qué categorías de riesgo define, qué obligaciones impone, plazos de cumplimiento y cómo preparar tu empresa. Guía práctica 2026.
Qué es el AI Act y por qué existe
La Unión Europea fue la primera jurisdicción del mundo en aprobar una ley integral sobre inteligencia artificial. El proceso legislativo comenzó en abril de 2021 con la propuesta de la Comisión Europea y culminó con la publicación en el DOUE en julio de 2024.
Los objetivos del AI Act son tres: proteger los derechos fundamentales de los ciudadanos europeos, fomentar la innovación responsable en IA, y crear un mercado único de IA con reglas claras y uniformes para los 27 Estados miembros.
El reglamento se aplica a tres tipos de actores: proveedores (quienes desarrollan el sistema de IA), implementadores (quienes lo despliegan y utilizan en su negocio), e importadores/distribuidores (quienes comercializan sistemas de IA de terceros países). La mayoría de empresas españolas son implementadores: usan sistemas de IA de terceros (ChatGPT, Claude, Copilot) en sus procesos.
Las 4 categorías de riesgo en detalle
Riesgo inaceptable (PROHIBIDO): sistemas de IA que atentan contra derechos fundamentales. Están completamente prohibidos desde febrero 2025:
- Scoring social generalizado por parte de autoridades públicas
- Manipulación subliminal que cause daño físico o psicológico
- Explotación de vulnerabilidades de grupos específicos (edad, discapacidad, situación económica)
- Reconocimiento facial en tiempo real en espacios públicos (salvo excepciones tasadas de seguridad nacional)
- Inferencia de emociones en el lugar de trabajo y centros educativos (salvo motivos médicos o de seguridad)
- Categorización biométrica que infiera raza, opiniones políticas, orientación sexual o creencias religiosas
- Scraping masivo no dirigido de imágenes faciales de internet o CCTV para bases de datos de reconocimiento facial
Alto riesgo (REGULADO): sistemas de IA que afectan derechos fundamentales o seguridad. Requieren cumplimiento completo:
- Selección y evaluación de personal (IA en RRHH): filtrado de CVs, evaluación de candidatos, decisiones de despido
- Scoring crediticio y evaluación de solvencia financiera
- Decisiones judiciales y aplicación de la ley: evaluación de riesgo de reincidencia, análisis de pruebas
- Diagnóstico médico y triage clínico
- Infraestructuras críticas: energía, transporte, agua, telecomunicaciones
- Educación: evaluación de estudiantes, acceso a formación, detección de trampas en exámenes
- Control de fronteras y gestión de inmigración
- Seguros: evaluación de riesgo y fijación de primas
Riesgo limitado (TRANSPARENCIA): sistemas que interactúan con personas y deben informar de su naturaleza:
- Chatbots: deben informar que el usuario habla con una IA
- Deepfakes y contenido sintético: deben etiquetarse claramente como generados por IA
- Sistemas de generación de texto publicado como si fuera humano: deben indicar su origen artificial
- Sistemas de reconocimiento de emociones: deben informar a la persona afectada
Riesgo mínimo (LIBRE): la mayoría de usos de IA. Sin obligaciones específicas:
- Filtros de spam y recomendaciones de contenido
- Asistentes de escritura y herramientas de productividad
- Optimización de inventario y logística
- Videojuegos con IA
Traducción práctica
Si usas ChatGPT para redactar emails: riesgo mínimo, cero obligaciones adicionales. Si usas IA para filtrar CVs de candidatos: alto riesgo, obligaciones de transparencia, supervisión humana y evaluación de impacto. Si pones un chatbot en tu web: riesgo limitado, debes informar que es una IA.
Sistemas de alto riesgo: obligaciones completas
Si tu sistema de IA se clasifica como alto riesgo, debes cumplir siete bloques de obligaciones:
1. Sistema de gestión de riesgos (Art. 9): identificar, evaluar y mitigar riesgos de forma continua. No es un informe puntual: es un proceso vivo que incluye evaluación de riesgos residuales, medidas de mitigación y revisiones periódicas. Debe documentarse y actualizarse durante todo el ciclo de vida del sistema.
2. Gobernanza de datos (Art. 10): los datos de entrenamiento deben ser relevantes, representativos y sin sesgos discriminatorios. Documentación del dataset obligatoria: origen, preprocesamiento, sesgos identificados y medidas correctoras. Aplica tanto a datos de entrenamiento como de validación y testing.
3. Documentación técnica (Art. 11): descripción completa del sistema incluyendo propósito previsto, capacidades y limitaciones, métricas de rendimiento, datos de entrenamiento, arquitectura del modelo y resultados de las evaluaciones de conformidad.
4. Registro de actividad / logging (Art. 12): trazabilidad automática de las decisiones del sistema. Cuándo se ejecutó, con qué datos de entrada, qué decidió, y capacidad de reconstruir la lógica de cada decisión. Los logs deben conservarse un período adecuado al propósito del sistema.
5. Transparencia e información (Art. 13): los usuarios afectados deben saber que están interactuando con IA, entender cómo se toman las decisiones a nivel general, y tener acceso a información sobre las limitaciones del sistema. Las instrucciones de uso deben ser claras y accesibles.
6. Supervisión humana (Art. 14): un humano cualificado debe poder intervenir, anular o detener el sistema en cualquier momento. La IA propone, el humano dispone. Esto implica diseñar interfaces que permitan la intervención efectiva, no solo teórica.
7. Precisión, robustez y ciberseguridad (Art. 15): el sistema debe funcionar correctamente, ser resistente a ataques adversarios, mantener su rendimiento en el tiempo, y tener medidas de ciberseguridad proporcionales al riesgo.
Modelos de propósito general (GPAI)
Los modelos como GPT-4, Claude, Gemini o Llama se clasifican como GPAI (General Purpose AI). Tienen obligaciones específicas para sus proveedores (OpenAI, Anthropic, Google, Meta):
Todos los GPAI: documentación técnica detallada, política de uso aceptable, cumplimiento de derechos de autor (debate activo sobre la Directiva de Copyright), resumen de datos de entrenamiento, y cooperación con proveedores downstream.
GPAI de riesgo sistémico (modelos con gran impacto, >10^25 FLOP de entrenamiento): evaluaciones de riesgo sistémico, red teaming adversario, monitorización de incidentes graves, ciberseguridad robusta, y reporte de incidentes a la Oficina de IA de la Comisión Europea.
Cómo usuario de estos modelos (no proveedor), tus obligaciones dependen de qué haces con ellos, no del modelo en sí. Si usas Claude para filtrar CVs, la obligación de alto riesgo recae sobre ti como implementador.
Timeline de aplicación: todas las fechas
2 febrero 2025: prohibiciones de IA inaceptable (ya en vigor). Códigos de buenas prácticas para GPAI.
2 agosto 2025: obligaciones para proveedores de GPAI. Designación de autoridades nacionales competentes. Nombramiento del Comité Europeo de IA.
2 febrero 2026: obligación de alfabetización en IA (Art. 4). Todo el personal que trabaje con sistemas de IA debe tener formación adecuada.
2 agosto 2026: obligaciones completas de alto riesgo para sistemas nuevos. Es la fecha clave para la mayoría de empresas. Registro obligatorio en la base de datos de la UE.
2 agosto 2027: extensión para ciertos sistemas de alto riesgo regulados por legislación sectorial previa (dispositivos médicos, aviación, automoción). Estos tienen un año extra de adaptación.
Obligaciones por nivel de riesgo
Esta tabla resume las obligaciones según tu rol y el nivel de riesgo de tu sistema:
Riesgo mínimo: sin obligaciones legales específicas. Se recomienda seguir códigos de conducta voluntarios.
Riesgo limitado: obligación de transparencia. Informar al usuario de que interactúa con IA. Etiquetar contenido generado artificialmente. No requiere evaluación de conformidad ni registro.
Alto riesgo (implementador/deployer):
- Evaluación de impacto sobre derechos fundamentales (FRIA)
- Supervisión humana efectiva con personal cualificado
- Informar a trabajadores y representantes sindicales del uso de IA
- Conservar logs generados automáticamente
- Usar el sistema conforme a las instrucciones del proveedor
- Registrar el sistema en la base de datos de la UE (si eres organismo público)
Alto riesgo (proveedor/developer):
- Todas las obligaciones de los Arts. 9-15 (gestión de riesgos, datos, documentación, logging, transparencia, supervisión, robustez)
- Evaluación de conformidad (auto-evaluación o auditoría externa según el anexo)
- Marcado CE
- Registro en la base de datos de la UE
- Sistema de monitorización post-mercado
- Reporte de incidentes graves
Impacto en empresas españolas
España fue el primer país de la UE en crear una agencia dedicada: la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), operativa desde 2023. Es la autoridad nacional competente para supervisar el cumplimiento del AI Act en España.
Sectores más afectados en España:
- Banca y finanzas: scoring crediticio, detección de fraude con decisión automatizada, evaluación de riesgo de seguros. La mayoría son alto riesgo.
- RRHH y recruiting: cualquier herramienta de IA para filtrar candidatos, evaluar desempeño o tomar decisiones laborales.
- Sanidad: diagnóstico asistido, triage, priorización de pacientes. Afecta a hospitales públicos y privados.
- Administración pública: scoring para prestaciones sociales, detección de fraude fiscal, gestión de fronteras. Doble cumplimiento con ENS.
- Educación: evaluación automatizada, detección de plagio con IA, sistemas de admisión.
Medidas de apoyo para PYMEs:
- Sandboxes regulatorios: entornos controlados para probar sistemas de IA con supervisión de la AESIA antes de lanzarlos al mercado
- Tasas reducidas en evaluaciones de conformidad
- Guías simplificadas de cumplimiento publicadas por la AESIA
- Proporcionalidad en sanciones (se calcula sobre facturación real, no sobre máximos)
AI Act vs RGPD: diferencias y complementariedad
El AI Act y el RGPD son complementarios, no sustitutivos. Regulan aspectos diferentes:
RGPD (2018): regula el tratamiento de datos personales. Se aplica cuando tu sistema procesa información que identifica o puede identificar a una persona. Base legal, consentimiento, derechos ARCO, DPO, AEPD.
AI Act (2024-2027): regula los sistemas de inteligencia artificial independientemente de si usan datos personales. Se aplica por el tipo de decisión que toma la IA y su impacto en derechos fundamentales. Categoría de riesgo, evaluación de conformidad, supervisión humana, AESIA.
Cuándo se solapan: si tu sistema de IA procesa datos personales para tomar decisiones de alto riesgo (ej: scoring crediticio con datos de comportamiento), debes cumplir ambos simultáneamente. Esto significa: base legal RGPD + consentimiento donde aplique + evaluación de impacto RGPD (DPIA) + evaluación de impacto sobre derechos fundamentales (FRIA del AI Act) + todas las obligaciones de alto riesgo.
Diferencia clave en sanciones: el RGPD sanciona hasta 20M EUR o 4% facturación global. El AI Act llega hasta 35M EUR o 7% facturación. Son acumulables: un mismo incumplimiento puede generar sanción por ambas vías.
Sanciones y régimen sancionador
Las multas son proporcionales al tamaño de la empresa y la gravedad de la infracción:
Prácticas prohibidas (Art. 5): hasta 35 millones EUR o 7% de la facturación global anual (lo que sea mayor).
Incumplimiento de obligaciones de alto riesgo: hasta 15 millones EUR o 3% de la facturación global anual.
Información incorrecta o engañosa a autoridades: hasta 7,5 millones EUR o 1,5% de la facturación global anual.
Para PYMEs y startups, las multas se calculan proporcionalmente sobre la facturación real. Pero hay consecuencias adicionales que pueden ser más graves que la multa económica:
- Orden de retirada del sistema del mercado
- Prohibición temporal de uso del sistema
- Daño reputacional (las sanciones son públicas)
- Pérdida de acceso a licitaciones públicas
- Acciones judiciales de afectados por decisiones del sistema
Checklist de cumplimiento
Usa esta checklist para evaluar tu situación actual:
- Inventario completado: tienes una lista de todos los sistemas de IA que usas o desarrollas, incluyendo herramientas de terceros
- Clasificación de riesgo: cada sistema tiene asignada una categoría (mínimo, limitado, alto, inaceptable)
- Evaluación de impacto (FRIA): realizada para todos los sistemas de alto riesgo
- Supervisión humana: designada una persona responsable con formación para cada sistema de alto riesgo
- Documentación técnica: disponible y actualizada para sistemas de alto riesgo
- Logging activo: los sistemas de alto riesgo registran automáticamente sus decisiones
- Transparencia: los usuarios saben que interactúan con IA (riesgo limitado y alto)
- Gobernanza de datos: documentación de datasets, evaluación de sesgos realizada
- Formación Art. 4: personal con formación en IA documentada
- Proveedor GPAI: verificado que tu proveedor de modelos cumple sus obligaciones
- Registro UE: sistemas de alto riesgo registrados (si aplica, desde agosto 2026)
- Plan de incidentes: procedimiento documentado para reportar incidentes graves
Cómo preparar tu empresa paso a paso
Paso 1: Inventariar. Lista todos los sistemas de IA que usas o desarrollas. Incluye herramientas de terceros (ChatGPT, Copilot, etc.), automatizaciones con IA, y herramientas embebidas en software que ya usas (CRM con IA, herramientas de RRHH con scoring, etc.).
Paso 2: Clasificar. Para cada sistema, determina la categoría de riesgo según los Anexos I y III del Reglamento. La mayoría de herramientas de productividad serán riesgo mínimo. Ojo con RRHH, finanzas y atención al cliente con decisión automatizada.
Paso 3: Priorizar. Si tienes sistemas de alto riesgo, son tu prioridad inmediata. Documenta, implementa supervisión humana efectiva y prepara la evaluación de impacto sobre derechos fundamentales (FRIA).
Paso 4: Formar. El artículo 4 del AI Act exige "alfabetización en IA" para el personal que trabaje con estos sistemas. La formación es obligatoria desde febrero 2026. Documenta quién ha recibido formación y en qué fecha.
Paso 5: Documentar. Empieza a documentar procesos, decisiones y evaluaciones. Cuando llegue la inspección de la AESIA, la documentación es tu mejor defensa. Incluye: política de uso de IA, evaluaciones de riesgo, actas de supervisión humana, y registros de formación.
Paso 6: Auditar proveedores. Verifica que tus proveedores de IA (OpenAI, Anthropic, Google, Microsoft) cumplen sus obligaciones GPAI. Solicita documentación técnica, política de uso aceptable y evidencia de evaluaciones de seguridad.
Preguntas frecuentes
Si uso ChatGPT solo para escribir emails, me afecta el AI Act?
Apenas. Es riesgo mínimo. No tienes obligaciones específicas más allá de la alfabetización en IA de tu personal (Art. 4, desde febrero 2026). No necesitas evaluación de conformidad ni registro.
Mi empresa está fuera de la UE pero vendo a clientes europeos. Me aplica?
Sí. El AI Act tiene efecto extraterritorial: se aplica a cualquier proveedor o implementador cuyo sistema de IA se use en la UE, independientemente de dónde esté establecida la empresa.
Uso un software de RRHH con IA para filtrar CVs. Qué hago?
Es alto riesgo. Necesitas: (1) verificar que el proveedor del software cumple sus obligaciones, (2) realizar una evaluación de impacto, (3) designar supervisión humana que pueda anular las decisiones de la IA, (4) informar a candidatos de que se usa IA en el proceso, (5) conservar logs.
Qué pasa si no cumplo?
Depende de la infracción. Usar una IA prohibida: hasta 35M EUR o 7% facturación. No cumplir obligaciones de alto riesgo: hasta 15M EUR o 3% facturación. La AESIA puede también ordenar la retirada del sistema del mercado.
Siguiente paso
El AI Act no es un obstáculo: es un framework de calidad. Las empresas que cumplen generan más confianza, menos riesgo legal y mejor producto. Empieza por el inventario de sistemas y la clasificación de riesgos. Si tienes sistemas de alto riesgo, agosto 2026 es tu deadline.
En IAcademy enseñamos a usar IA de forma responsable y eficiente. Desde las limitaciones de la IA hasta las mejores prácticas de implementación, pasando por el contexto regulatorio europeo.
Usa IA de forma responsable y eficiente
Los 3 primeros módulos de IAcademy son gratis. Incluyen contexto regulatorio, prompting y automatización.
Empieza gratisCurso completo: 108 módulos de IA aplicada
11 especializaciones por departamento. Dashboard con progreso. Quizzes y skills desbloqueables. Desde 399 EUR.