AI Act: lo que tu empresa debe cumplir en 2026
Guía del Reglamento Europeo de IA para empresas españolas. Plazos, obligaciones, riesgos y checklist.
El 2 de agosto de 2026 marca una fecha decisiva para cualquier empresa que utilice inteligencia artificial en Europa. Ese dia entra en plena aplicacion el Reglamento Europeo de Inteligencia Artificial, conocido como AI Act, y con el llegan obligaciones concretas que afectan directamente a pymes, startups y grandes corporaciones por igual. Si tu empresa opera en España y utiliza o desarrolla sistemas de IA, necesitas entender que se exige, cuando y que consecuencias tiene no cumplir.
Este articulo te ofrece una guia practica y completa del AI Act orientada a directivos y responsables de negocio. Sin jerga juridica innecesaria, pero con todo el rigor que necesitas para tomar decisiones informadas.
Que es el AI Act y por que afecta a tu empresa
El Reglamento (UE) 2024/1689, mas conocido como AI Act o Ley de IA europea, es la primera legislacion integral del mundo que regula la inteligencia artificial. Aprobado en 2024 y publicado en el Diario Oficial de la UE en julio de ese mismo año, establece un marco juridico basado en el nivel de riesgo que cada sistema de IA representa para la salud, la seguridad y los derechos fundamentales de las personas.
No se trata de una directiva que cada pais transpone a su manera: es un reglamento de aplicacion directa en todos los Estados miembros, incluida España. Esto significa que las obligaciones que establece son identicas para una empresa en Valencia, en Berlin o en Amsterdam.
El AI Act afecta a tres tipos de actores principales:
- Proveedores: quienes desarrollan o comercializan sistemas de IA.
- Implementadores (deployers): quienes utilizan sistemas de IA en su actividad profesional.
- Importadores y distribuidores: quienes introducen sistemas de IA de terceros paises en el mercado europeo.
Si tu empresa utiliza un chatbot para atencion al cliente, un sistema de scoring crediticio, herramientas de seleccion de personal con IA o cualquier otra solucion basada en inteligencia artificial, el AI Act te aplica. La clave esta en determinar en que categoria de riesgo cae tu sistema y que obligaciones concretas conlleva.
Para entender mejor como la IA se integra en los procesos de negocio y donde puede encajar en tu organizacion, puedes consultar nuestra guia sobre como implementar IA en tu empresa.
Timeline: plazos clave del AI Act que debes conocer
El reglamento no se aplica de golpe. Su entrada en vigor es escalonada, y cada fase activa un conjunto diferente de obligaciones. Este es el calendario completo:
| Fecha | Hito | Que entra en vigor |
|---|---|---|
| 1 de agosto de 2024 | Entrada en vigor del Reglamento | Comienza el plazo de adaptacion |
| 2 de febrero de 2025 | Primera fase de aplicacion | Prohibicion de practicas de IA de riesgo inaceptable (Art. 5). Obligaciones de alfabetizacion en IA (Art. 4) |
| 2 de agosto de 2025 | Segunda fase | Obligaciones para modelos de IA de proposito general (GPAI). Designacion de autoridades nacionales competentes. Estructura de gobernanza de la UE operativa |
| 2 de febrero de 2026 | Tercera fase | La Comision publica directrices sobre clasificacion de sistemas de alto riesgo (Art. 6). Guias practicas de implementacion |
| 2 de agosto de 2026 | Aplicacion plena | Obligaciones completas para sistemas de IA de alto riesgo (Anexo III). Evaluaciones de conformidad. Obligaciones de transparencia (Art. 50). Vigilancia post-comercializacion. Notificacion de incidentes. Marco de supervision de mercado completo |
| 2 de agosto de 2027 | Fase final | Obligaciones para sistemas de alto riesgo que son componentes de seguridad de productos ya regulados (Art. 6.1) |
La fecha critica para la mayoria de las empresas es el 2 de agosto de 2026. A partir de ese momento, los sistemas de IA de alto riesgo deben cumplir con todos los requisitos del reglamento, y las autoridades pueden comenzar a aplicar sanciones.
Clasificacion de riesgos: donde encaja tu sistema de IA
El corazon del AI Act es su sistema de clasificacion basado en riesgos. Cada nivel conlleva obligaciones diferentes, desde la prohibicion absoluta hasta la ausencia casi total de requisitos. Identificar donde se situa cada sistema de IA que usa tu empresa es el primer paso obligatorio.
Nivel 1: Riesgo inaceptable (prohibido)
Estos sistemas de IA estan completamente prohibidos en la UE desde febrero de 2025. No hay excepciones para empresas privadas en la mayoria de los casos.
| Practica prohibida | Ejemplo concreto |
|---|---|
| Manipulacion subliminal del comportamiento | Sistema que influye en decisiones de compra sin que el usuario sea consciente de la manipulacion |
| Explotacion de vulnerabilidades de grupos especificos | Juguete con asistente de voz que induce a niños a comportamientos peligrosos |
| Puntuacion social (social scoring) por parte de autoridades publicas | Sistema que clasifica ciudadanos y restringe derechos segun su comportamiento social acumulado |
| Identificacion biometrica remota en tiempo real en espacios publicos | Camaras con reconocimiento facial masivo en la calle (salvo excepciones muy limitadas para seguridad publica) |
| Inferencia de emociones en el trabajo o centros educativos | Software que analiza expresiones faciales de empleados para evaluar su estado emocional |
| Creacion de bases de datos de reconocimiento facial mediante scraping masivo | Recopilar imagenes de redes sociales para construir una base de datos biometrica |
Nivel 2: Riesgo alto (regulado estrictamente)
Es la categoria mas relevante para la mayoria de las empresas. Incluye sistemas de IA que pueden tener un impacto significativo en la salud, seguridad o derechos fundamentales.
| Area de aplicacion | Ejemplo concreto | Obligaciones principales |
|---|---|---|
| Seleccion y gestion de personal | IA que filtra curriculos o evalua el rendimiento de empleados | Gestion de riesgos, supervision humana, transparencia, documentacion tecnica |
| Evaluacion crediticia | Sistema de scoring para concesion de prestamos | Gobernanza de datos, evaluacion de conformidad, registro en base de datos de la UE |
| Infraestructuras criticas | IA que gestiona redes electricas o sistemas de agua | Robustez, ciberseguridad, planes de vigilancia post-comercializacion |
| Educacion y formacion | Sistema que determina el acceso a centros educativos o evalua alumnos | Transparencia, no discriminacion, supervision humana obligatoria |
| Acceso a servicios publicos esenciales | IA para triaje en urgencias hospitalarias o asignacion de prestaciones sociales | Evaluacion de impacto sobre derechos fundamentales, documentacion completa |
| Identificacion biometrica remota | Sistemas de verificacion de identidad a distancia | Evaluacion de conformidad por tercero independiente |
Los sistemas de alto riesgo deben cumplir con los requisitos completos de los articulos 8 a 15 del reglamento, que cubren gestion de riesgos, gobernanza de datos, documentacion tecnica, registro de actividades, transparencia, supervision humana, precision, robustez y ciberseguridad.
Nivel 3: Riesgo limitado (obligaciones de transparencia)
Estos sistemas no requieren evaluaciones de conformidad complejas, pero si deben cumplir con obligaciones de transparencia recogidas en el articulo 50.
| Sistema | Obligacion de transparencia |
|---|---|
| Chatbots y asistentes virtuales | Informar al usuario de que esta interactuando con una IA (salvo que sea evidente por el contexto) |
| Sistemas de generacion de contenido (texto, imagen, audio, video) | Etiquetar el contenido como generado por IA de forma legible por maquina |
| Deepfakes | Indicar de forma clara que el contenido ha sido generado o manipulado artificialmente |
| Sistemas de reconocimiento de emociones | Informar a las personas de que estan siendo sometidas a dicho sistema |
Si tu empresa utiliza agentes de IA para interactuar con clientes, este nivel te afecta directamente. La clave es la transparencia: el usuario siempre debe saber que habla con una maquina.
Nivel 4: Riesgo minimo (sin obligaciones especificas)
La gran mayoria de los sistemas de IA del mercado caen en esta categoria. Filtros de spam, sistemas de recomendacion de contenidos, herramientas de optimizacion logistica o asistentes de redaccion operan generalmente en este nivel.
No existen obligaciones legales especificas, aunque el reglamento anima a la adopcion voluntaria de codigos de conducta y buenas practicas.
Obligaciones concretas para sistemas de alto riesgo
Si tras el analisis anterior alguno de tus sistemas cae en la categoria de alto riesgo, estas son las obligaciones que tu empresa debe cumplir antes del 2 de agosto de 2026:
Sistema de gestion de riesgos (Art. 9)
Debes implementar un proceso continuo e iterativo de identificacion, analisis y mitigacion de riesgos que abarque todo el ciclo de vida del sistema de IA. No es un documento estatico: debe actualizarse con cada cambio relevante.
Gobernanza de datos (Art. 10)
Los datos de entrenamiento, validacion y prueba deben cumplir criterios de calidad, representatividad y ausencia de sesgos. Debes documentar las decisiones de diseño de datos y garantizar que los conjuntos de datos sean pertinentes y suficientemente representativos.
Documentacion tecnica (Art. 11)
Antes de comercializar o poner en servicio un sistema de alto riesgo, debes elaborar documentacion tecnica detallada que demuestre el cumplimiento de todos los requisitos. Esta documentacion debe mantenerse actualizada.
Registro de actividades (Art. 12)
El sistema debe incorporar funcionalidades de registro automatico (logs) que permitan la trazabilidad de su funcionamiento durante todo su ciclo de vida.
Transparencia e informacion (Art. 13)
Los sistemas de alto riesgo deben diseñarse de modo que su funcionamiento sea suficientemente transparente para que los implementadores puedan interpretar y utilizar correctamente sus resultados.
Supervision humana (Art. 14)
Debe existir siempre la posibilidad de intervencion humana efectiva. Las personas designadas para supervisar el sistema deben comprender sus capacidades y limitaciones, y deben poder anular, detener o revertir las decisiones del sistema.
Precision, robustez y ciberseguridad (Art. 15)
Los sistemas deben alcanzar niveles adecuados de precision, ser resistentes a errores y ataques, y contar con medidas de ciberseguridad apropiadas.
Si tu empresa esta comenzando a explorar la automatizacion de procesos con IA, es fundamental integrar estos requisitos desde la fase de diseño, no como un añadido posterior.
La AESIA: la autoridad española que supervisara el cumplimiento
España fue el primer Estado miembro de la UE en crear una autoridad nacional dedicada a la supervision de la inteligencia artificial. La Agencia Española de Supervision de Inteligencia Artificial (AESIA), con sede en A Coruña, es el organismo publico encargado de garantizar que tanto entidades publicas como privadas cumplan con el AI Act en territorio español.
Que hace la AESIA
- Supervisa el cumplimiento del Reglamento Europeo de IA en España.
- Investiga posibles infracciones y tiene potestad sancionadora.
- Publica guias y recursos para facilitar la adaptacion de las empresas.
- Gestiona el sandbox regulatorio español de IA, un entorno controlado donde las empresas pueden probar sus sistemas bajo supervision regulatoria.
- Coordina con las autoridades europeas y otros organismos nacionales.
Las 16 guias practicas de la AESIA
En diciembre de 2025, la AESIA publico un conjunto de 16 guias detalladas y listas de verificacion no vinculantes, organizadas en tres bloques, diseñadas para ayudar a las empresas a navegar sus obligaciones bajo el AI Act:
- Guias introductorias: ofrecen una vision general del reglamento con ejemplos practicos para que las empresas entiendan si les afecta y como.
- Guias tecnicas: cubren todos los requisitos especificos para sistemas de alto riesgo, incluyendo gestion de riesgos, calidad, gobernanza de datos, transparencia, supervision humana, precision, robustez y ciberseguridad.
- Manuales de autoevaluacion: incluyen plantillas y checklists para que las empresas puedan verificar internamente su nivel de cumplimiento.
Estas guias son el recurso mas completo disponible actualmente en España y estan accesibles de forma gratuita en la web de la AESIA. Para cualquier empresa que este implementando soluciones de inteligencia artificial en Valencia o en cualquier otra parte de España, son de lectura obligada.
Regimen sancionador: que pasa si no cumples
El AI Act establece un regimen de sanciones escalonado en tres niveles, proporcional a la gravedad de la infraccion. Las cifras son lo suficientemente elevadas como para que ninguna empresa pueda permitirse ignorar el reglamento.
Tres niveles de multas
| Tipo de infraccion | Multa maxima | Porcentaje facturacion global |
|---|---|---|
| Muy grave: uso de practicas prohibidas (Art. 5) | 35 millones de euros | 7% de la facturacion mundial anual |
| Grave: incumplimiento de obligaciones para sistemas de alto riesgo | 15 millones de euros | 3% de la facturacion mundial anual |
| Leve: suministro de informacion incorrecta a las autoridades | 7,5 millones de euros | 1% de la facturacion mundial anual |
En todos los casos, se aplica la cifra que resulte mayor entre el importe fijo y el porcentaje de facturacion.
Consideraciones para pymes y startups
El reglamento contempla un principio de proporcionalidad para pequeñas y medianas empresas. En la practica, esto significa que:
- Se aplicara el importe que sea inferior entre el porcentaje de facturacion y la cifra fija.
- Las autoridades deben tener en cuenta la capacidad economica real de la empresa al determinar la sancion concreta.
- Existen periodos de adaptacion y mecanismos de apoyo especificos para pymes.
No obstante, la proporcionalidad no implica inmunidad. Una pyme que utilice un sistema de IA prohibido o que incumpla gravemente las obligaciones de alto riesgo se enfrentara a sanciones que, proporcionalmente, pueden ser igual de devastadoras para su negocio.
Checklist practico de cumplimiento para empresas españolas
Este checklist resume las acciones que tu empresa deberia completar antes del 2 de agosto de 2026. Utiliza esta lista como punto de partida y adaptala a la realidad de tu organizacion.
Fase 1: Inventario y clasificacion (completar antes de junio 2026)
- Realizar un inventario completo de todos los sistemas de IA utilizados en la empresa, tanto desarrollados internamente como adquiridos a terceros.
- Clasificar cada sistema segun los cuatro niveles de riesgo del AI Act.
- Verificar que ningun sistema cae en la categoria de riesgo inaceptable. Si es asi, desactivarlo inmediatamente.
- Identificar que sistemas son de alto riesgo y requieren cumplimiento completo.
- Documentar los sistemas de riesgo limitado y sus obligaciones de transparencia.
Fase 2: Gobernanza y organizacion interna
- Designar un responsable interno de cumplimiento del AI Act.
- Implementar un programa de alfabetizacion en IA para el personal que interactua con sistemas de inteligencia artificial (obligatorio desde febrero de 2025, Art. 4).
- Establecer un sistema de gestion de calidad para los procesos relacionados con IA.
- Definir protocolos claros de supervision humana para cada sistema de alto riesgo.
- Crear canales internos de reporte de incidentes relacionados con IA.
Fase 3: Requisitos tecnicos (solo para sistemas de alto riesgo)
- Implementar el sistema de gestion de riesgos (Art. 9) para cada sistema de alto riesgo.
- Auditar y documentar la gobernanza de datos de entrenamiento, validacion y prueba.
- Elaborar la documentacion tecnica completa segun los requisitos del Anexo IV.
- Verificar que los sistemas cuentan con funcionalidades de registro automatico (logging).
- Garantizar que los sistemas cumplen los niveles requeridos de precision, robustez y ciberseguridad.
- Implementar mecanismos efectivos de supervision humana con capacidad de anulacion.
Fase 4: Transparencia y comunicacion
- Informar a los usuarios cuando interactuan con un sistema de IA (chatbots, asistentes virtuales).
- Etiquetar todo el contenido generado por IA de forma legible por maquina.
- Marcar claramente los deepfakes y contenidos sinteticos.
- Actualizar las politicas de privacidad y los terminos de servicio para reflejar el uso de IA.
- Preparar la informacion requerida para el registro en la base de datos de la UE (sistemas de alto riesgo).
Fase 5: Evaluacion y conformidad
- Realizar la evaluacion de conformidad pertinente (autoevaluacion o evaluacion por tercero independiente, segun el tipo de sistema).
- Para sistemas que impactan en derechos fundamentales, realizar la evaluacion de impacto correspondiente.
- Consultar y aplicar las 16 guias de la AESIA como referencia de buenas practicas.
- Establecer un plan de vigilancia post-comercializacion y notificacion de incidentes graves.
- Documentar todo el proceso de cumplimiento para poder demostrar la diligencia debida ante una inspeccion.
Preguntas frecuentes sobre el AI Act para empresas españolas
Mi empresa solo usa ChatGPT o herramientas de IA generativa de terceros. Me aplica el AI Act?
Si. Como implementador (deployer) de sistemas de IA, tienes obligaciones de transparencia. Si utilizas herramientas de IA generativa en procesos que puedan caer en la categoria de alto riesgo (por ejemplo, seleccion de personal, evaluacion crediticia), las obligaciones son aun mayores. Ademas, debes garantizar que tus empleados tienen la formacion adecuada para usar estas herramientas de forma responsable.
Soy una pyme de menos de 50 empleados. Estoy exenta?
No existe una exencion general por tamaño. Las obligaciones dependen del riesgo del sistema de IA, no del tamaño de la empresa. Sin embargo, el reglamento contempla medidas de proporcionalidad en las sanciones y periodos de adaptacion especificos para pymes.
Que pasa si mi proveedor de IA no cumple con el AI Act?
Aunque la responsabilidad principal recae sobre el proveedor del sistema, como implementador tienes la obligacion de verificar que el sistema que utilizas cumple con los requisitos aplicables. Si un proveedor de fuera de la UE no cumple, y tu pones en servicio su sistema en Europa, puedes ser considerado responsable.
Donde puedo registrar mis sistemas de alto riesgo?
La Comision Europea esta desarrollando la base de datos publica de la UE donde los proveedores e implementadores de sistemas de alto riesgo deberan registrar sus sistemas. Los detalles de acceso se publicaran antes de agosto de 2026.
Proximos pasos: de la teoria a la accion
El AI Act no es una amenaza, sino una oportunidad para diferenciarte. Las empresas que demuestren un uso responsable y transparente de la inteligencia artificial generaran mayor confianza entre sus clientes, socios y empleados. Cumplir con el reglamento no solo te protege de sanciones: te posiciona como una organizacion seria y comprometida con la innovacion responsable.
Las claves para abordar el cumplimiento con exito son tres:
-
Empieza ahora. No esperes a agosto para inventariar tus sistemas y clasificarlos. El tiempo de adaptacion es limitado y los recursos especializados escasean.
-
Integra el cumplimiento en el diseño. Si estas desarrollando o adquiriendo nuevos sistemas de IA, incorpora los requisitos del AI Act desde la fase de diseño. Es mucho mas costoso y complejo adaptarlos despues.
-
Busca asesoramiento especializado. La interseccion entre inteligencia artificial, derecho y negocio requiere un enfoque multidisciplinar. No intentes hacerlo todo internamente si no cuentas con la experiencia necesaria.
En AI Valencia ayudamos a empresas a implementar soluciones de inteligencia artificial que cumplen con el marco regulatorio europeo desde su concepcion. Si necesitas orientacion sobre como afecta el AI Act a tu negocio, como clasificar tus sistemas de IA o como diseñar una estrategia de cumplimiento adaptada a tu empresa, contacta con nuestro equipo. Te ayudaremos a convertir la regulacion en una ventaja competitiva.