El Reglamento (UE) 2024/1689 de Inteligencia Artificial, conocido como AI Act, es la primera legislación integral del mundo sobre IA y se aplica directamente en España sin transposición nacional. No es una directiva que los estados adaptan; es un reglamento de aplicación directa y obligatoria. Si tu empresa utiliza, desarrolla, importa o distribuye sistemas de IA en el mercado europeo, ya tiene obligaciones activas. Lo que queda por activarse, según los plazos vigentes en junio de 2026, son las normas más exigentes para sistemas de alto riesgo. Pero ni eso significa esperar: el tiempo de preparación es ahora.
En esta guía explicamos, de forma concreta y sin tecnicismos innecesarios, qué obliga el AI Act a una empresa española en 2026, cuáles son los plazos reales tras la última reforma (el Digital Omnibus de mayo de 2026), qué sanciones arriesgas si no actúas y cómo estructurar el cumplimiento desde un departamento de compliance o desde la dirección general.
¿Qué es el AI Act y por qué te afecta aunque no seas empresa tecnológica?
El AI Act no regula solo a las empresas que desarrollan software de inteligencia artificial. Regula a cualquier organización que ponga en servicio o utilice un sistema de IA en la Unión Europea, con independencia de si ese sistema lo ha comprado a un proveedor externo o lo ha construido internamente. Un despacho de abogados que usa un sistema automatizado para revisar contratos, una empresa industrial que aplica visión artificial en su línea de producción, un departamento de RRHH que utiliza software de selección con algoritmos de puntuación de candidatos: todos ellos están en el ámbito de aplicación del reglamento.
El reglamento clasifica los sistemas de IA en cuatro categorías según el nivel de riesgo que presentan para los derechos fundamentales y la seguridad de las personas. Esta clasificación determina qué obligaciones concretas recaen sobre cada operador.
Las cuatro categorías de riesgo del AI Act
| Categoría | Descripción | Ejemplos | Régimen aplicable |
|---|---|---|---|
| Riesgo inaceptable (prohibido) | Sistemas que atentan contra derechos fundamentales o manipulan a las personas sin su conocimiento | Puntuación social por autoridades públicas; manipulación subliminal; biometría remota en tiempo real en espacios públicos (con excepciones); sistemas que explotan vulnerabilidades de grupos; nudifiers sin consentimiento (prohibición ampliada dic. 2026) | Prohibición absoluta desde el 2 de febrero de 2025 |
| Alto riesgo (Anexo III) | Sistemas con impacto significativo en derechos, seguridad o acceso a servicios esenciales | Software de selección de RRHH con puntuación automatizada; scoring crediticio; sistemas biométricos de categorización; herramientas de evaluación educativa; gestión de infraestructuras críticas; sistemas de decisión en migración y asilo | Obligaciones plenas desde el 2 de diciembre de 2027 (plazo pospuesto por Digital Omnibus) |
| Alto riesgo (Anexo I) | IA embebida en productos regulados por legislación sectorial (maquinaria, dispositivos médicos, vehículos, juguetes…) | Diagnóstico médico asistido por IA; sistemas de control de maquinaria industrial; IA en vehículos autónomos | Obligaciones plenas desde el 2 de agosto de 2028 |
| Riesgo limitado | Sistemas con riesgos de transparencia controlables mediante información al usuario | Chatbots; generadores de imágenes o texto; sistemas de recomendación | Obligaciones de transparencia (informar al usuario de que interactúa con IA) |
| Riesgo mínimo | Sistemas sin impacto significativo sobre personas | Filtros antispam; asistentes de búsqueda interna; herramientas de productividad básica | Sin obligaciones específicas del AI Act (buenas prácticas voluntarias) |
Plazos reales en junio de 2026: qué está ya en vigor y qué viene
Uno de los aspectos más confusos del AI Act es su calendario escalonado. A continuación detallamos los hitos ya vigentes y los próximos, incorporando los cambios introducidos por el Digital Omnibus (acuerdo provisional de 7 de mayo de 2026, que pospone los plazos para sistemas de alto riesgo del Anexo III y amplía algunas prohibiciones).
Febrero de 2025 — Prohibiciones absolutas en vigor
Desde el 2 de febrero de 2025 están prohibidas las prácticas de IA consideradas de riesgo inaceptable (artículo 5 del Reglamento): manipulación subliminal, puntuación social por entidades públicas, biometría remota en tiempo real en espacios públicos (salvo excepciones de seguridad nacional tasadas), sistemas que exploten vulnerabilidades de grupos especialmente protegidos, y sistemas de inferencia de emociones en el lugar de trabajo o centros educativos con fines distintos a la seguridad. Si tu empresa usaba alguno de estos sistemas, debió haberlo retirado o adaptado antes de esa fecha.
Agosto de 2025 — Alfabetización en IA y modelos GPAI
Desde el 2 de agosto de 2025 están en vigor dos bloques de obligaciones relevantes para prácticamente cualquier empresa:
- Artículo 4 — Alfabetización en IA: toda organización que utilice sistemas de IA debe garantizar que su personal dispone de un nivel suficiente de comprensión sobre cómo funciona la IA, cuáles son sus limitaciones y cómo interpretar sus resultados. No es un requisito de formación tasada —el Reglamento no fija un número de horas—, pero sí obliga a documentar que se ha implantado un plan de sensibilización. La AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) puede requerir evidencias en una inspección.
- Artículos 51-55 — Modelos de propósito general (GPAI): las empresas que desarrollen o adapten modelos de lenguaje de gran escala (tipo GPT, Claude, Llama) para su distribución en la UE tienen obligaciones de documentación, evaluación de riesgos sistémicos y registro. Afecta sobre todo a proveedores de tecnología, pero también a empresas que ajustan (fine-tuning) modelos para uso interno a gran escala.
Agosto de 2026 — Aplicación plena y plena capacidad sancionadora de la AESIA
El 2 de agosto de 2026 es la fecha en que el AI Act alcanza su plena aplicación para el grueso de las obligaciones generales. A partir de este momento, la AESIA tiene plena capacidad de inspección, requisa de documentación y sanción. Aunque los plazos para los sistemas de alto riesgo se han pospuesto por el Digital Omnibus, el resto del Reglamento —incluyendo las obligaciones de gobernanza, transparencia y alfabetización— es plenamente exigible y sancionable.
Diciembre de 2027 — Obligaciones plenas para sistemas de alto riesgo (Anexo III)
Tras el Digital Omnibus de mayo de 2026, los sistemas clasificados como alto riesgo según el Anexo III (biometría, RRHH, crédito, infraestructuras críticas, educación, migración, justicia) deben cumplir con el régimen completo del AI Act a partir del 2 de diciembre de 2027. Este aplazamiento de dieciséis meses respecto al plan original (agosto de 2026) fue negociado por la Comisión Europea para dar margen a empresas y administraciones. Sin embargo, la preparación debe comenzar ahora: los requisitos son sustanciales (véase la sección siguiente).
Agosto de 2028 — Sistemas de alto riesgo embebidos en productos (Anexo I)
Los sistemas de IA integrados en productos sujetos a legislación sectorial de seguridad (Directiva de Maquinaria, Reglamento de Dispositivos Médicos, etc.) tienen hasta el 2 de agosto de 2028 para cumplir.
Qué obligaciones concretas tiene tu empresa si usa sistemas de alto riesgo
Si tu empresa opera sistemas clasificados como alto riesgo (un módulo de puntuación de candidatos en RRHH, un sistema de scoring para aprobación de crédito interno, una plataforma de videovigilancia con reconocimiento facial…), las obligaciones del AI Act son las más exigentes del Reglamento. Aquí está el núcleo de lo que deberás tener documentado y operativo antes del 2 de diciembre de 2027:
1. Sistema de gestión de riesgos específico para IA
Debes establecer, documentar, aplicar y mantener un sistema de gestión de riesgos a lo largo de todo el ciclo de vida del sistema de IA. No es suficiente con una cláusula en el contrato con el proveedor: hay que identificar los riesgos razonablemente previsibles del sistema, estimarlos, evaluarlos y adoptar medidas de gestión proporcionales. Este proceso debe revisarse periódicamente y ante cualquier cambio material en el sistema.
2. Gobernanza y calidad de los datos de entrenamiento
Si desarrollas o adaptas el modelo, debes documentar las prácticas de gobernanza de datos: origen de los datos, procedimientos de depuración, sesgos identificados y medidas correctoras. Incluso como desplegador (empresa que compra y usa el sistema sin desarrollarlo), tienes obligación de supervisar que el sistema funciona conforme a su finalidad y de documentar incidentes.
3. Documentación técnica y registro de actividad
El AI Act exige documentación técnica detallada para cada sistema de alto riesgo: descripción del sistema, finalidad prevista, datos utilizados, métricas de rendimiento, limitaciones conocidas y medidas de supervisión humana. Además, los sistemas de alto riesgo deben generar registros automáticos (logs) que permitan rastrear su funcionamiento durante un periodo mínimo de seis meses desde el uso.
4. Transparencia e información a los usuarios
Las personas afectadas por un sistema de alto riesgo (candidatos evaluados, solicitantes de crédito, personas en zonas de videovigilancia) deben recibir información clara sobre la existencia del sistema, su finalidad y los derechos que les asisten. Esto se integra con los derechos del RGPD (artículos 13 y 14) cuando el sistema trata datos personales.
5. Supervisión humana
Los sistemas de alto riesgo deben diseñarse para que personas físicas puedan supervisar, interrumpir o anular su funcionamiento. En la práctica, esto significa que ninguna decisión de alto impacto —selección de un candidato, denegación de un crédito, limitación de acceso a un servicio esencial— puede ser adoptada de forma completamente automatizada sin posibilidad de revisión humana.
6. Evaluación de conformidad y registro
Antes de poner en servicio un sistema de alto riesgo, debe realizarse una evaluación de conformidad. Para la mayoría de los sistemas del Anexo III, esta evaluación puede realizarla el propio proveedor mediante autoevaluación, siempre que disponga de la documentación requerida. El sistema debe inscribirse en la base de datos europea de IA (gestionada por la Comisión Europea) antes de su puesta en servicio.
Obligaciones aplicables a todas las empresas (no solo alto riesgo)
Incluso si tu empresa no usa sistemas de alto riesgo, el AI Act impone obligaciones horizontales que ya están en vigor o entran en vigor en agosto de 2026:
- Alfabetización en IA (art. 4): activa desde agosto de 2025. Debes poder acreditar que tus empleados que usan IA tienen formación básica sobre sus capacidades, limitaciones y riesgos.
- Transparencia en sistemas conversacionales y generativos (art. 50): si usas un chatbot de atención al cliente, debes informar a los usuarios de que están interactuando con un sistema de IA, salvo que sea evidente por el contexto.
- Marcado de contenido generado por IA: el contenido de vídeo, imagen o audio generado o manipulado significativamente por IA (incluyendo deepfakes) debe marcarse de forma legible por máquina. Esto afecta a campañas de marketing con imágenes o vídeos sintéticos.
- Revisión del inventario de herramientas de IA: aunque no sea un requisito formal expreso del Reglamento, la AESIA recomienda —y es práctica de cumplimiento estándar— que toda empresa realice un inventario de los sistemas de IA que utiliza o comercializa, con una clasificación de riesgo inicial.
Sanciones: cuánto puedes perder por incumplir el AI Act
El régimen sancionador del AI Act es el más elevado de toda la regulación digital europea, superando incluso al RGPD en los supuestos más graves:
| Tipo de infracción | Sanción máxima |
|---|---|
| Uso de prácticas de IA prohibidas (art. 5) | 35 millones de euros o el 7% de la facturación mundial anual (el mayor de los dos) |
| Incumplimiento de obligaciones para proveedores o desplegadores de IA de alto riesgo | 15 millones de euros o el 3% de la facturación mundial anual |
| Suministro de información incorrecta o engañosa a autoridades supervisoras | 7,5 millones de euros o el 1% de la facturación mundial anual |
Para pymes y personas físicas, el Reglamento establece que las sanciones serán proporcionadas al tamaño y los recursos de la organización, pero no exime de responsabilidad. La AESIA, operativa desde marzo de 2025, ha publicado su plan de supervisión para el segundo semestre de 2026 centrado primero en los sectores de mayor impacto (RRHH, servicios financieros, administración pública) y en el cumplimiento de la obligación de alfabetización.
Cómo estructurar el cumplimiento del AI Act en tu empresa: ruta de cinco pasos
En nuestro servicio de consultoría AI Act trabajamos con un enfoque estructurado que permite a la empresa pasar de cero a un expediente de cumplimiento auditble en un plazo razonable. Estos son los cinco pasos esenciales:
Paso 1 — Inventario y clasificación de sistemas de IA
El punto de partida es saber qué sistemas de IA utiliza tu empresa: herramientas SaaS con componentes de IA, desarrollos internos, automatizaciones con modelos de lenguaje, sistemas de visión artificial, asistentes conversacionales… Para cada sistema, se determina su categoría de riesgo según los criterios del Reglamento. Este inventario es la base de cualquier programa de cumplimiento y permite priorizar esfuerzos.
Paso 2 — Análisis de brechas (gap analysis)
Con el inventario en mano, se analiza la brecha entre la situación actual y los requisitos del AI Act para cada sistema. Para los sistemas de bajo o mínimo riesgo, la brecha suele ser pequeña (actualizar textos legales, añadir información al usuario). Para los sistemas de alto riesgo, la brecha puede ser significativa: falta de documentación técnica, ausencia de registros, necesidad de rediseñar procesos de supervisión humana.
Paso 3 — Plan de acción y hoja de ruta
Sobre la base del gap analysis, se define un plan de acción con responsables, plazos y recursos. El plan debe diferenciar las acciones inmediatas (cumplir obligaciones ya activas como la alfabetización) de las acciones a medio plazo (preparar la documentación técnica para sistemas de alto riesgo antes del plazo de diciembre de 2027).
Paso 4 — Implementación: documentación, procesos y formación
Esta fase incluye la redacción de la documentación técnica requerida, la implantación de sistemas de registro y monitorización, la actualización de avisos de transparencia hacia los usuarios afectados (integración con las políticas de privacidad del RGPD), y los programas de formación en alfabetización en IA para el personal relevante.
Paso 5 — Revisión y mantenimiento continuo
El AI Act es un reglamento de ciclo de vida: las obligaciones no se cumplen una vez y se archivan. Hay que revisar el inventario ante cualquier adopción de un nuevo sistema de IA, actualizar la documentación ante cambios materiales en los sistemas existentes, y mantener los registros de actividad activos. Adicionalmente, el propio Reglamento y los estándares técnicos armonizados que irán publicándose pueden imponer ajustes periódicos.
AI Act y su relación con el RGPD, NIS2 e ISO 42001
El AI Act no opera en el vacío: interacciona con otras normas que tu empresa puede estar ya cumpliendo o que también te afectan. Comprender estas intersecciones evita trabajo duplicado y asegura una gobernanza digital coherente.
- RGPD: los sistemas de IA que tratan datos personales —es decir, prácticamente todos los que tienen impacto sobre personas— deben cumplir simultáneamente con el AI Act y con el RGPD. Las evaluaciones de impacto (EIPD/DPIA) del RGPD y las evaluaciones de riesgo del AI Act pueden y deben coordinarse para evitar duplicar esfuerzo. La base legal para el tratamiento automatizado de datos sigue siendo el RGPD; el AI Act añade el marco de gobernanza del sistema.
- NIS2: si tu empresa opera infraestructuras críticas o servicios esenciales y utiliza sistemas de IA en esos entornos, las obligaciones de ciberseguridad de la Directiva NIS2 (pendiente de transposición en España a junio de 2026) se solapan con los requisitos de seguridad y robustez del AI Act para sistemas de alto riesgo.
- ISO 42001: esta norma internacional de gestión de sistemas de inteligencia artificial puede actuar como marco de implementación para las obligaciones del AI Act. Contar con un sistema certificado bajo ISO 42001 facilita demostrar conformidad con el Reglamento, aunque la certificación ISO no equivale por sí sola al cumplimiento legal del AI Act.
Si tu empresa ya trabaja en el cumplimiento de NIS2, recomendamos coordinar ambas iniciativas. Puedes conocer más sobre nuestra consultoría NIS2 y DORA para empresas con exposición regulatoria en ciberseguridad.
Preguntas frecuentes
¿El AI Act me afecta si solo uso herramientas SaaS de terceros con IA, como ChatGPT o Copilot?
Sí, aunque con menos carga que si fueras el desarrollador del sistema. Como desplegador (empresa que usa un sistema de IA desarrollado por un tercero), tienes obligaciones específicas: asegurarte de que el sistema se usa para la finalidad prevista, supervisar su funcionamiento, informar a los usuarios cuando corresponda y, si el sistema es de alto riesgo, documentar su uso y mantener los registros requeridos. El proveedor (Microsoft, OpenAI, etc.) asume las obligaciones propias del proveedor, pero no te exime de las tuyas como desplegador.
¿Qué es exactamente la «alfabetización en IA» que exige el artículo 4 y cómo la acredito?
El artículo 4 del AI Act obliga a los proveedores y desplegadores de sistemas de IA a adoptar medidas para garantizar un nivel suficiente de alfabetización en IA en su personal. El Reglamento no fija un número de horas de formación ni un contenido tasado. En la práctica, la AESIA recomienda que las empresas elaboren un plan de formación proporcional al uso que hacen de la IA, documenten quién ha recibido qué formación y sean capaces de presentar esa documentación ante una inspección. El nivel exigido varía según el rol: no es lo mismo para un operario que usa un sistema con IA sin tomar decisiones sobre él que para un directivo que aprueba el despliegue de un sistema de alto riesgo.
¿Qué cambió con el Digital Omnibus de mayo de 2026 y sigue siendo vinculante?
El Digital Omnibus es un acuerdo provisional alcanzado el 7 de mayo de 2026 entre la Comisión Europea, el Parlamento Europeo y el Consejo de la UE. Sus cambios más relevantes para las empresas son: (1) aplazamiento de las obligaciones plenas para sistemas de alto riesgo del Anexo III del 2 de agosto de 2026 al 2 de diciembre de 2027; (2) ampliación de la prohibición de IA de riesgo inaceptable para incluir los nudifiers sin consentimiento, con efecto desde diciembre de 2026. A junio de 2026, el acuerdo estaba en proceso de adopción formal, pero el texto provisional es el que guía la planificación de cumplimiento. Las obligaciones ya en vigor (prohibiciones desde febrero de 2025, alfabetización y modelos GPAI desde agosto de 2025) no se han modificado.
¿Quién es la autoridad supervisora del AI Act en España y qué puede hacer?
La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña, es la autoridad nacional competente designada en España para la supervisión del AI Act. Está operativa desde marzo de 2025. A partir del 2 de agosto de 2026, tiene plena capacidad para realizar inspecciones, requerir documentación técnica, imponer medidas cautelares (incluyendo la retirada de un sistema del mercado) y proponer sanciones. Puede actuar por iniciativa propia o a instancia de denuncia. La AESIA publica guías y orientaciones en aesia.gob.es que, aunque no son vinculantes, sirven como referencia de buenas prácticas reconocidas por la autoridad supervisora.