En este modulo
- Que es el EU AI Act y por que te afecta
- Plazos: que entra en vigor y cuando
- Clasificacion de riesgo: donde esta tu empresa
- Obligaciones concretas segun tu rol
- AI Literacy: la obligacion que ya esta en vigor
- Sanciones: cuanto puede costar no cumplir
- 7 pasos concretos para cumplir
- EU AI Act para PYMEs: que aplica y que no
- Ejercicio practico
- Puntos clave
Que es el EU AI Act y por que te afecta
El Reglamento Europeo de Inteligencia Artificial (EU AI Act) es la primera ley integral de IA del mundo. Entro en vigor el 1 de agosto de 2024 y se aplica por fases. No es una recomendacion. Es una ley con sanciones de hasta 35 millones de euros.
Te afecta si tu empresa:
- Usa herramientas de IA (si, ChatGPT, Claude, Copilot cuentan)
- Desarrolla sistemas de IA
- Despliega IA en procesos que afectan a personas (RRHH, credito, salud, educacion)
- Opera en la UE o sus productos/servicios se usan en la UE
Esto significa que el 95% de las empresas europeas estan afectadas de alguna forma. La pregunta no es "me afecta?" sino "cuanto me afecta y que tengo que hacer?"
Esto no es RGPD 2.0
El EU AI Act es diferente al RGPD. El RGPD protege datos personales. El EU AI Act regula como usas la IA independientemente de si hay datos personales implicados. Puedes cumplir con RGPD y violar el EU AI Act. Son complementarios, no intercambiables.
Plazos: que entra en vigor y cuando
El EU AI Act no aplica todo de golpe. Tiene un calendario por fases:
Ya en vigor (desde febrero 2025)
- Practicas de IA prohibidas: sistemas de puntuacion social, manipulacion subliminal, explotacion de vulnerabilidades, identificacion biometrica remota en tiempo real por fuerzas de seguridad (con excepciones).
- Obligacion de AI Literacy: todas las empresas que usan o despliegan IA deben asegurar que su personal tiene formacion suficiente para usarla de forma competente y segura.
Agosto 2025
- Obligaciones para modelos de IA de proposito general (GPAI): documentacion tecnica, politica de cumplimiento de copyright, transparencia de datos de entrenamiento.
- Esto afecta a OpenAI, Anthropic, Google, Meta, no a la mayoria de empresas.
Agosto 2026 (la fecha critica)
- Obligaciones para sistemas de IA de alto riesgo: registro, evaluacion de impacto, supervision humana, documentacion, transparencia.
- Afecta a: RRHH (seleccion con IA), credito (scoring automatizado), salud, educacion, infraestructura critica, justicia.
- Esta es la fecha que la mayoria de empresas necesita cumplir.
Agosto 2027
- Aplicacion completa de todas las disposiciones.
- Sistemas de IA existentes (legacy) deben cumplir.
Clasificacion de riesgo: donde esta tu empresa
El EU AI Act clasifica los sistemas de IA en 4 niveles de riesgo. Tus obligaciones dependen del nivel:
Riesgo inaceptable (PROHIBIDO)
Sistemas que no pueden usarse bajo ninguna circunstancia en la UE:
- Puntuacion social (tipo sistema chino)
- Manipulacion subliminal danina
- Explotacion de personas vulnerables
- Reconocimiento facial masivo en tiempo real por fuerzas de seguridad (excepto emergencias)
- Inferencia de emociones en el trabajo o educacion (excepto seguridad)
- Scraping masivo de imagenes faciales para reconocimiento
Alto riesgo (REGULADO, fecha limite agosto 2026)
Sistemas que pueden afectar significativamente a derechos fundamentales:
- RRHH: screening de CVs con IA, ranking de candidatos, evaluacion automatizada de rendimiento
- Credito: credit scoring, evaluacion automatizada de riesgo financiero
- Educacion: evaluacion automatizada de estudiantes, acceso a formacion
- Salud: dispositivos medicos con IA, diagnostico asistido
- Justicia: evaluacion de riesgo de reincidencia, analisis de pruebas
- Infraestructura critica: trafico, agua, energia gestionados con IA
- Migracion: evaluacion de solicitudes de asilo con IA
Pregunta clave
Usas IA para tomar o influir en decisiones sobre personas (contratar, despedir, evaluar, conceder credito, admitir, diagnosticar)? Si la respuesta es si, probablemente es alto riesgo.
Riesgo limitado (TRANSPARENCIA)
Sistemas que interactuan con personas o generan contenido:
- Chatbots: debes informar al usuario de que habla con una IA
- Contenido generado por IA: debes etiquetar imagenes, video, audio como generados por IA
- Sistemas de deteccion de emociones: informar al usuario
Obligacion principal: transparencia. Revelar que hay IA implicada.
Riesgo minimo (SIN OBLIGACIONES ESPECIFICAS)
La mayoria de aplicaciones de IA: filtros de spam, recomendaciones de contenido, asistentes de escritura, buscadores inteligentes.
Sin obligaciones regulatorias especificas, pero se recomienda seguir codigos de conducta voluntarios.
Obligaciones concretas segun tu rol
Si eres USUARIO de IA (la mayoria de empresas)
Usas ChatGPT, Claude, Copilot, herramientas con IA integrada. Tus obligaciones:
- AI Literacy (YA en vigor): forma a tu personal en uso responsable de IA
- Transparencia: revela cuando un chatbot o contenido es generado por IA
- Si usas IA de alto riesgo: supervisa el sistema, mantiene registros, asegura intervencion humana
- Solapamiento RGPD: cumple con proteccion de datos cuando uses IA con datos personales
Si DESPLIEGAS IA de alto riesgo
Usas un sistema de IA para tomar decisiones sobre personas (RRHH, credito, salud). Obligaciones adicionales:
- Registrar el sistema en la base de datos de la UE
- Evaluacion de impacto en derechos fundamentales
- Supervision humana efectiva (no un "human-in-the-loop" de pantomima)
- Mantener registros operativos durante un minimo de 6 meses
- Informar a las personas afectadas de que se usa IA en la decision
- Sistema documentado de gestion de riesgos
Si DESARROLLAS IA
Creas modelos o aplicaciones con IA. Obligaciones adicionales:
- Documentacion tecnica del sistema
- Testing de conformidad antes de poner en el mercado
- Sistema de gestion de calidad
- Marcado CE para sistemas de alto riesgo
- Reportar incidentes graves a las autoridades
AI Literacy: la obligacion que ya esta en vigor
Desde febrero de 2025, el Articulo 4 del EU AI Act exige a todas las empresas que usan IA asegurar un nivel suficiente de "AI Literacy" en su organizacion.
Que significa en la practica
Tus empleados deben:
- Entender que es la IA y como funciona a nivel basico
- Conocer sus limitaciones (alucinaciones, sesgos, privacidad)
- Saber usar herramientas de IA de forma competente y segura
- Entender las implicaciones eticas y regulatorias basicas
Lo que NO significa:
- No todo el mundo necesita ser programador
- No necesitas una certificacion formal (aunque ayuda)
- No hay un examen oficial que aprobar
Como cumplir
- Formacion basica para todos: los modulos B01 a B12 de este programa cubren exactamente lo que el EU AI Act exige como AI Literacy basica.
- Formacion especifica por departamento: RRHH, Legal, Finanzas tienen riesgos diferentes. Las especializaciones de IAcademy cubren esto.
- Documentalo: registra que formacion se dio, a quien y cuando. Este registro es evidencia de cumplimiento.
- Matenlo actualizado: la IA evoluciona rapido. La formacion no puede ser algo puntual. Planifica actualizaciones periodicas.
IAcademy como evidencia de cumplimiento
El Certificado de Fundamentos de IAcademy documenta que tus empleados han completado formacion en IA que cubre los requisitos de AI Literacy del Articulo 4. Incluye contenido, evaluacion (quiz), fecha y nombre. Es evidencia concreta ante una inspeccion.
Sanciones: cuanto puede costar no cumplir
El EU AI Act tiene 3 niveles de sancion:
Nivel 1: Practicas prohibidas
Hasta 35 millones EUR o el 7% de la facturacion global anual (lo que sea mayor). Aplica si usas sistemas prohibidos: puntuacion social, manipulacion subliminal, biometria masiva no autorizada.
Nivel 2: Obligaciones de alto riesgo
Hasta 15 millones EUR o el 3% de la facturacion global anual. Aplica si no cumples con registro, supervision humana, evaluacion de impacto, transparencia para sistemas de alto riesgo.
Nivel 3: Informacion incorrecta
Hasta 7,5 millones EUR o el 1% de la facturacion global anual. Aplica si proporcionas informacion falsa o incompleta a las autoridades reguladoras.
Para PYMEs y startups
Las sanciones se aplican de forma proporcional. Las PYMEs y startups reciben sanciones menores que las grandes empresas. Pero "menor" sigue siendo significativo. El objetivo no es arruinar PYMEs, sino asegurar el cumplimiento.
7 pasos concretos para cumplir
No necesitas un consultor de 50.000 EUR para empezar. Estos 7 pasos te ponen en el camino correcto:
Paso 1: Inventario de IA (esta semana)
Lista todos los sistemas de IA que usa tu empresa. Incluye:
- Nombre de la herramienta (ChatGPT, Claude, Copilot, HubSpot AI, etc.)
- Quien la usa (departamento, personas)
- Para que se usa (escritura, analisis, toma de decisiones)
- Datos que procesa (publicos, internos, personales, sensibles)
Paso 2: Clasificar riesgos (esta semana)
Para cada sistema del inventario, clasifica: inaceptable, alto riesgo, limitado o minimo. Usa la guia de la seccion anterior.
Paso 3: AI Literacy (este mes)
Forma a tu equipo. Empieza con el Programa Base de IAcademy (12 modulos). Documenta quien completo la formacion y cuando.
Paso 4: Politica interna de IA (este mes)
Un documento de 2-3 paginas que responda:
- Que herramientas de IA estan aprobadas
- Que datos se pueden y no se pueden compartir con IA
- Quien es responsable de supervisar el uso de IA
- Como reportar problemas o incidentes
- Revision periodica (cada 6 meses minimo)
Paso 5: Transparencia (este mes)
Si usas chatbots, informa a los usuarios. Si generas contenido con IA, etiquetalo. Si tomas decisiones automatizadas, informa a las personas afectadas.
Paso 6: Evaluacion de impacto para alto riesgo (si aplica, antes de agosto 2026)
Solo si tienes sistemas de alto riesgo: documenta el impacto, implementa supervision humana, registra en la base de datos de la UE.
Paso 7: Revision periodica (cada 6 meses)
La IA evoluciona. Tus herramientas cambian. La regulacion se actualiza. Planifica una revision semestral de tu inventario, politica y formacion.
EU AI Act para PYMEs: que aplica y que no
Si eres una PYME (<250 empleados), el EU AI Act tiene consideraciones especificas para ti:
Lo que SI aplica
- AI Literacy: obligatorio, igual que para grandes empresas
- Practicas prohibidas: aplican igual
- Transparencia: si usas chatbots o generas contenido con IA, debes revelarlo
- Alto riesgo: si usas IA para RRHH, credito o salud, las obligaciones aplican igual
Lo que es diferente
- Sanciones proporcionales: importes menores que para grandes empresas
- Sandboxes regulatorios: la UE y los estados miembros deben proporcionar entornos de prueba para PYMEs
- Apoyo: documentacion simplificada, canales de consulta, formacion subvencionada (como el Programa Base de IAcademy)
- Exenciones parciales: para modelos de IA de proposito general (GPAI), las PYMEs tienen menos obligaciones de documentacion
Realidad practica
La mayoria de PYMEs usa IA como herramienta (ChatGPT, Copilot, Gemini), no como sistema de alto riesgo. Para estas PYMEs, las obligaciones son:
- Formar al personal (AI Literacy)
- Tener una politica interna basica
- Revelar cuando se usa IA en interacciones con clientes
- No usar IA para decisiones automatizadas sobre personas sin supervision humana
Eso es todo. No necesitas registro, ni evaluacion de impacto, ni contratar un DPO de IA. A menos que uses IA de alto riesgo.
Ejercicio practico
- Inventario: lista todas las herramientas de IA que usa tu empresa (incluye las que los empleados usan por su cuenta).
- Clasificacion: para cada herramienta, clasifica el nivel de riesgo (inaceptable, alto, limitado, minimo).
- AI Literacy: evalua el nivel actual de conocimiento de IA de tu equipo. Quien necesita formacion?
- Politica: redacta una politica interna de IA de 1-2 paginas (usa IA para ayudarte).
- Plan: crea una linea temporal con los pasos que tu empresa necesita dar antes de agosto 2026.
Bonus: usa este prompt con IA para generar tu inventario inicial:
Soy [tu cargo] en una empresa de [sector] con [N] empleados.
Usamos estas herramientas: [lista].
Segun el EU AI Act, clasifica cada herramienta por nivel de riesgo
y dime que obligaciones tenemos para cada una.
Formato: tabla [Herramienta | Riesgo | Obligaciones | Fecha limite]
Puntos clave
Puntos clave de B10
- El EU AI Act es ley, no una recomendacion. Sanciones de hasta 35M EUR o el 7% de facturacion global.
- AI Literacy es obligatorio desde febrero 2025. Forma a tu equipo ahora.
- Agosto 2026: fecha limite para sistemas de alto riesgo (RRHH, credito, salud, educacion).
- La mayoria de PYMEs solo necesitan: formacion, politica interna, transparencia. Sin registro ni evaluacion de impacto.
- Empieza por el inventario de IA y la clasificacion de riesgos. Hazlo esta semana.
- EU AI Act y RGPD son complementarios. Cumplir con uno no te exime del otro.
- La formacion (como este programa) es evidencia documentable de cumplimiento.
Guia de estudio — Conceptos clave de B10
Que es el EU AI Act y por que te afecta
- Usa herramientas de IA (si, ChatGPT, Claude, Copilot cuentan)
- Desarrolla sistemas con IA
- Despliega IA en procesos que afectan a personas (RRHH, credito, salud, educacion)
- Opera en la UE o sus productos/servicios se usan en la UE
- Esto no es el RGPD 2.0: El AI Act es diferente del RGPD. El RGPD protege datos personales. El AI Act regula como usas la IA independientemente de si hay datos personales. Puedes cumplir RGPD y violar el AI Act. Son complementarios, no sustitutivos.
Plazos: que entra en vigor y cuando
- Practicas prohibidas de IA:sistemas de scoring social, manipulacion subliminal, explotacion de vulnerabilidades, identificacion biometrica remota en tiempo real por policias (con excepciones).
- Obligacion de AI Literacy:todas las empresas que usan o despliegan IA deben garantizar que su personal tiene formacion suficiente para usarla de forma competente y segura.
- Obligaciones para modelos de IA de proposito general (GPAI): documentacion tecnica, politica de cumplimiento de copyright, transparencia de datos de entrenamiento.
- Esto afecta a OpenAI, Anthropic, Google, Meta, no a la mayoria de empresas.
- Obligaciones para sistemas de alto riesgo:registro, evaluacion de impacto, supervision humana, documentacion, transparencia.
- Afecta a:RRHH (seleccion de personal con IA), credito (scoring automatico), salud, educacion, infraestructura critica, justicia.
Clasificacion de riesgos: donde esta tu empresa
- Scoring social (como el sistema chino)
- Manipulacion subliminal danina
- Explotacion de personas vulnerables
- Reconocimiento facial masivo en tiempo real por policia (excepto emergencias)
- Inferir emociones en el trabajo o la educacion (excepto seguridad)
- Scraping masivo de imagenes faciales para reconocimiento
Obligaciones concretas segun tu rol
- AI Literacy (YA en vigor):formar a tu personal en uso responsable de IA
- Transparencia:informar cuando un chatbot o contenido es generado por IA
- Si usas IA de alto riesgo:supervisar el sistema, mantener logs, asegurar intervencion humana
- RGPD superpuesto:cumplir proteccion de datos al usar IA con datos personales
- Registrar el sistema en la base de datos de la UE
- Evaluacion de impacto sobre derechos fundamentales
AI Literacy: la obligacion que ya esta en vigor
- Entender que es la IA y como funciona a nivel basico
- Conocer las limitaciones (alucinaciones, sesgos, privacidad)
- Saber usar las herramientas de IA de forma competente y segura
- Entender las implicaciones eticas y regulatorias basicas
- No necesitas que todos sean programadores
- No necesitas una certificacion formal (aunque ayuda)
Sanciones: cuanto puede costar no cumplir
- Hasta 35 millones EUR o 7% de la facturacion global (el mayor). Esto aplica si usas sistemas prohibidos: scoring social, manipulacion subliminal, biometria masiva no autorizada.
- Hasta 15 millones EUR o 3% de la facturacion global. Aplica si no cumples con registro, supervision humana, evaluacion de impacto, transparencia para sistemas de alto riesgo.
- Hasta 7.5 millones EUR o 1% de la facturacion global. Aplica si das informacion falsa o incompleta a las autoridades reguladoras.
Siguiente: B11 - Medir el ROI de la IA
Ya sabes que IA usar, como usarla y que dice la ley. Ahora la pregunta del director: cuanto dinero estamos ahorrando? Vamos a medirlo.
Ir al modulo B11