AI Act Europa: qué implica para tu negocio

Por Ricardo Gutierrez · · 18 min lectura

En este artículo

  1. Qué es el AI Act y por qué existe
  2. Las 4 categorías de riesgo en detalle
  3. Sistemas de alto riesgo: obligaciones completas
  4. Modelos de propósito general (GPAI)
  5. Timeline de aplicación: todas las fechas
  6. Obligaciones por nivel de riesgo
  7. Impacto en empresas españolas
  8. AI Act vs RGPD: diferencias y complementariedad
  9. Sanciones y régimen sancionador
  10. Checklist de cumplimiento
  11. Cómo preparar tu empresa paso a paso
  12. Preguntas frecuentes
  13. Siguiente paso
Experiencia del equipo: Implementamos sistemas de IA conformes al AI Act en entornos regulados (ENS Alto, NIS2). El compliance no es un checklist puntual: es un proceso continuo de evaluación, documentación y supervisión humana que debe integrarse desde el diseño del sistema.
Guía principal: Este artículo forma parte de la Negocio con IA.

El AI Act (Reglamento (UE) 2024/1689) es la primera legislación integral del mundo que regula la inteligencia artificial. Aprobado en junio de 2024 y publicado en el Diario Oficial de la UE en julio de 2024, establece un marco normativo basado en el riesgo que afecta a cualquier empresa que desarrolle, despliegue o utilice sistemas de IA en la Unión Europea.

Su enfoque es proporcional al riesgo: cuanto más peligroso es el uso de la IA, más estrictas son las obligaciones. Un chatbot para atención al cliente tiene mínimas obligaciones. Un sistema de scoring crediticio o selección de personal, máximas.

Aplica a cualquier empresa que ofrezca o use sistemas de IA en la UE, independientemente de dónde esté la empresa. Si vendes a clientes europeos, te afecta.

Resumen rápido

Qué es el AI Act europeo, qué categorías de riesgo define, qué obligaciones impone, plazos de cumplimiento y cómo preparar tu empresa. Guía práctica 2026.

Qué es el AI Act y por qué existe

La Unión Europea fue la primera jurisdicción del mundo en aprobar una ley integral sobre inteligencia artificial. El proceso legislativo comenzó en abril de 2021 con la propuesta de la Comisión Europea y culminó con la publicación en el DOUE en julio de 2024.

Los objetivos del AI Act son tres: proteger los derechos fundamentales de los ciudadanos europeos, fomentar la innovación responsable en IA, y crear un mercado único de IA con reglas claras y uniformes para los 27 Estados miembros.

El reglamento se aplica a tres tipos de actores: proveedores (quienes desarrollan el sistema de IA), implementadores (quienes lo despliegan y utilizan en su negocio), e importadores/distribuidores (quienes comercializan sistemas de IA de terceros países). La mayoría de empresas españolas son implementadores: usan sistemas de IA de terceros (ChatGPT, Claude, Copilot) en sus procesos.

Las 4 categorías de riesgo en detalle

Riesgo inaceptable (PROHIBIDO): sistemas de IA que atentan contra derechos fundamentales. Están completamente prohibidos desde febrero 2025:

Alto riesgo (REGULADO): sistemas de IA que afectan derechos fundamentales o seguridad. Requieren cumplimiento completo:

Riesgo limitado (TRANSPARENCIA): sistemas que interactúan con personas y deben informar de su naturaleza:

Riesgo mínimo (LIBRE): la mayoría de usos de IA. Sin obligaciones específicas:

Traducción práctica

Si usas ChatGPT para redactar emails: riesgo mínimo, cero obligaciones adicionales. Si usas IA para filtrar CVs de candidatos: alto riesgo, obligaciones de transparencia, supervisión humana y evaluación de impacto. Si pones un chatbot en tu web: riesgo limitado, debes informar que es una IA.

Sistemas de alto riesgo: obligaciones completas

Si tu sistema de IA se clasifica como alto riesgo, debes cumplir siete bloques de obligaciones:

1. Sistema de gestión de riesgos (Art. 9): identificar, evaluar y mitigar riesgos de forma continua. No es un informe puntual: es un proceso vivo que incluye evaluación de riesgos residuales, medidas de mitigación y revisiones periódicas. Debe documentarse y actualizarse durante todo el ciclo de vida del sistema.

2. Gobernanza de datos (Art. 10): los datos de entrenamiento deben ser relevantes, representativos y sin sesgos discriminatorios. Documentación del dataset obligatoria: origen, preprocesamiento, sesgos identificados y medidas correctoras. Aplica tanto a datos de entrenamiento como de validación y testing.

3. Documentación técnica (Art. 11): descripción completa del sistema incluyendo propósito previsto, capacidades y limitaciones, métricas de rendimiento, datos de entrenamiento, arquitectura del modelo y resultados de las evaluaciones de conformidad.

4. Registro de actividad / logging (Art. 12): trazabilidad automática de las decisiones del sistema. Cuándo se ejecutó, con qué datos de entrada, qué decidió, y capacidad de reconstruir la lógica de cada decisión. Los logs deben conservarse un período adecuado al propósito del sistema.

5. Transparencia e información (Art. 13): los usuarios afectados deben saber que están interactuando con IA, entender cómo se toman las decisiones a nivel general, y tener acceso a información sobre las limitaciones del sistema. Las instrucciones de uso deben ser claras y accesibles.

6. Supervisión humana (Art. 14): un humano cualificado debe poder intervenir, anular o detener el sistema en cualquier momento. La IA propone, el humano dispone. Esto implica diseñar interfaces que permitan la intervención efectiva, no solo teórica.

7. Precisión, robustez y ciberseguridad (Art. 15): el sistema debe funcionar correctamente, ser resistente a ataques adversarios, mantener su rendimiento en el tiempo, y tener medidas de ciberseguridad proporcionales al riesgo.

Modelos de propósito general (GPAI)

Los modelos como GPT-4, Claude, Gemini o Llama se clasifican como GPAI (General Purpose AI). Tienen obligaciones específicas para sus proveedores (OpenAI, Anthropic, Google, Meta):

Todos los GPAI: documentación técnica detallada, política de uso aceptable, cumplimiento de derechos de autor (debate activo sobre la Directiva de Copyright), resumen de datos de entrenamiento, y cooperación con proveedores downstream.

GPAI de riesgo sistémico (modelos con gran impacto, >10^25 FLOP de entrenamiento): evaluaciones de riesgo sistémico, red teaming adversario, monitorización de incidentes graves, ciberseguridad robusta, y reporte de incidentes a la Oficina de IA de la Comisión Europea.

Cómo usuario de estos modelos (no proveedor), tus obligaciones dependen de qué haces con ellos, no del modelo en sí. Si usas Claude para filtrar CVs, la obligación de alto riesgo recae sobre ti como implementador.

Timeline de aplicación: todas las fechas

2 febrero 2025: prohibiciones de IA inaceptable (ya en vigor). Códigos de buenas prácticas para GPAI.

2 agosto 2025: obligaciones para proveedores de GPAI. Designación de autoridades nacionales competentes. Nombramiento del Comité Europeo de IA.

2 febrero 2026: obligación de alfabetización en IA (Art. 4). Todo el personal que trabaje con sistemas de IA debe tener formación adecuada.

2 agosto 2026: obligaciones completas de alto riesgo para sistemas nuevos. Es la fecha clave para la mayoría de empresas. Registro obligatorio en la base de datos de la UE.

2 agosto 2027: extensión para ciertos sistemas de alto riesgo regulados por legislación sectorial previa (dispositivos médicos, aviación, automoción). Estos tienen un año extra de adaptación.

Obligaciones por nivel de riesgo

Esta tabla resume las obligaciones según tu rol y el nivel de riesgo de tu sistema:

Riesgo mínimo: sin obligaciones legales específicas. Se recomienda seguir códigos de conducta voluntarios.

Riesgo limitado: obligación de transparencia. Informar al usuario de que interactúa con IA. Etiquetar contenido generado artificialmente. No requiere evaluación de conformidad ni registro.

Alto riesgo (implementador/deployer):

Alto riesgo (proveedor/developer):

Impacto en empresas españolas

España fue el primer país de la UE en crear una agencia dedicada: la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), operativa desde 2023. Es la autoridad nacional competente para supervisar el cumplimiento del AI Act en España.

Sectores más afectados en España:

Medidas de apoyo para PYMEs:

AI Act vs RGPD: diferencias y complementariedad

El AI Act y el RGPD son complementarios, no sustitutivos. Regulan aspectos diferentes:

RGPD (2018): regula el tratamiento de datos personales. Se aplica cuando tu sistema procesa información que identifica o puede identificar a una persona. Base legal, consentimiento, derechos ARCO, DPO, AEPD.

AI Act (2024-2027): regula los sistemas de inteligencia artificial independientemente de si usan datos personales. Se aplica por el tipo de decisión que toma la IA y su impacto en derechos fundamentales. Categoría de riesgo, evaluación de conformidad, supervisión humana, AESIA.

Cuándo se solapan: si tu sistema de IA procesa datos personales para tomar decisiones de alto riesgo (ej: scoring crediticio con datos de comportamiento), debes cumplir ambos simultáneamente. Esto significa: base legal RGPD + consentimiento donde aplique + evaluación de impacto RGPD (DPIA) + evaluación de impacto sobre derechos fundamentales (FRIA del AI Act) + todas las obligaciones de alto riesgo.

Diferencia clave en sanciones: el RGPD sanciona hasta 20M EUR o 4% facturación global. El AI Act llega hasta 35M EUR o 7% facturación. Son acumulables: un mismo incumplimiento puede generar sanción por ambas vías.

Sanciones y régimen sancionador

Las multas son proporcionales al tamaño de la empresa y la gravedad de la infracción:

Prácticas prohibidas (Art. 5): hasta 35 millones EUR o 7% de la facturación global anual (lo que sea mayor).

Incumplimiento de obligaciones de alto riesgo: hasta 15 millones EUR o 3% de la facturación global anual.

Información incorrecta o engañosa a autoridades: hasta 7,5 millones EUR o 1,5% de la facturación global anual.

Para PYMEs y startups, las multas se calculan proporcionalmente sobre la facturación real. Pero hay consecuencias adicionales que pueden ser más graves que la multa económica:

Checklist de cumplimiento

Usa esta checklist para evaluar tu situación actual:

Cómo preparar tu empresa paso a paso

Paso 1: Inventariar. Lista todos los sistemas de IA que usas o desarrollas. Incluye herramientas de terceros (ChatGPT, Copilot, etc.), automatizaciones con IA, y herramientas embebidas en software que ya usas (CRM con IA, herramientas de RRHH con scoring, etc.).

Paso 2: Clasificar. Para cada sistema, determina la categoría de riesgo según los Anexos I y III del Reglamento. La mayoría de herramientas de productividad serán riesgo mínimo. Ojo con RRHH, finanzas y atención al cliente con decisión automatizada.

Paso 3: Priorizar. Si tienes sistemas de alto riesgo, son tu prioridad inmediata. Documenta, implementa supervisión humana efectiva y prepara la evaluación de impacto sobre derechos fundamentales (FRIA).

Paso 4: Formar. El artículo 4 del AI Act exige "alfabetización en IA" para el personal que trabaje con estos sistemas. La formación es obligatoria desde febrero 2026. Documenta quién ha recibido formación y en qué fecha.

Paso 5: Documentar. Empieza a documentar procesos, decisiones y evaluaciones. Cuando llegue la inspección de la AESIA, la documentación es tu mejor defensa. Incluye: política de uso de IA, evaluaciones de riesgo, actas de supervisión humana, y registros de formación.

Paso 6: Auditar proveedores. Verifica que tus proveedores de IA (OpenAI, Anthropic, Google, Microsoft) cumplen sus obligaciones GPAI. Solicita documentación técnica, política de uso aceptable y evidencia de evaluaciones de seguridad.

Preguntas frecuentes

Si uso ChatGPT solo para escribir emails, me afecta el AI Act?

Apenas. Es riesgo mínimo. No tienes obligaciones específicas más allá de la alfabetización en IA de tu personal (Art. 4, desde febrero 2026). No necesitas evaluación de conformidad ni registro.

Mi empresa está fuera de la UE pero vendo a clientes europeos. Me aplica?

Sí. El AI Act tiene efecto extraterritorial: se aplica a cualquier proveedor o implementador cuyo sistema de IA se use en la UE, independientemente de dónde esté establecida la empresa.

Uso un software de RRHH con IA para filtrar CVs. Qué hago?

Es alto riesgo. Necesitas: (1) verificar que el proveedor del software cumple sus obligaciones, (2) realizar una evaluación de impacto, (3) designar supervisión humana que pueda anular las decisiones de la IA, (4) informar a candidatos de que se usa IA en el proceso, (5) conservar logs.

Qué pasa si no cumplo?

Depende de la infracción. Usar una IA prohibida: hasta 35M EUR o 7% facturación. No cumplir obligaciones de alto riesgo: hasta 15M EUR o 3% facturación. La AESIA puede también ordenar la retirada del sistema del mercado.

Siguiente paso

El AI Act no es un obstáculo: es un framework de calidad. Las empresas que cumplen generan más confianza, menos riesgo legal y mejor producto. Empieza por el inventario de sistemas y la clasificación de riesgos. Si tienes sistemas de alto riesgo, agosto 2026 es tu deadline.

En IAcademy enseñamos a usar IA de forma responsable y eficiente. Desde las limitaciones de la IA hasta las mejores prácticas de implementación, pasando por el contexto regulatorio europeo.

Usa IA de forma responsable y eficiente

Los 3 primeros módulos de IAcademy son gratis. Incluyen contexto regulatorio, prompting y automatización.

Empieza gratis

Curso completo: 108 módulos de IA aplicada

11 especializaciones por departamento. Dashboard con progreso. Quizzes y skills desbloqueables. Desde 399 EUR.

Ver precios Acceder al portal