Guía de Cumplimiento del AI Act para Empresas Españolas 2026

Multas de hasta EUR 35 millones. Plazo: 2 de agosto de 2026. España ya tiene autoridad supervisora.

El Reglamento (UE) 2024/1689 — el AI Act — es el primer marco jurídico integral del mundo para la inteligencia artificial. Entró en vigor el 1 de agosto de 2024. Las disposiciones sobre prácticas prohibidas son exigibles desde el 2 de febrero de 2025. Las obligaciones de cumplimiento para los sistemas de IA de alto riesgo aplican desde el 2 de agosto de 2026. Las empresas que no estén preparadas se exponen a multas de hasta EUR 35 millones o el 7% de su facturación anual mundial, la cifra que sea mayor.

España ocupa una posición singular en este panorama. El país fue el primer Estado miembro de la UE en crear una autoridad supervisora dedicada a la IA: AESIA (Agencia Española de Supervisión de Inteligencia Artificial), establecida mediante Real Decreto 729/2023 y con sede en A Coruña. Esta ventaja institucional implica que las empresas españolas se enfrentan a un entorno de aplicación más maduro que sus homólogas en la mayoría de las demás jurisdicciones europeas.

Esta guía está dirigida a empresas medianas que utilizan IA en selección de personal, decisiones de crédito, sistemas biométricos y automatización de atención al cliente — precisamente los sectores más expuestos a la clasificación de alto riesgo según el reglamento. El análisis que sigue cubre el marco jurídico, el sistema de clasificación de riesgos, cada plazo de cumplimiento hasta 2027, las obligaciones para los sistemas de alto riesgo, las implicaciones del GPAI y una hoja de ruta concreta de 6-12 meses.

¿Qué es el AI Act?

El Reglamento (UE) 2024/1689 sobre Inteligencia Artificial — comúnmente denominado AI Act — fue publicado en el Diario Oficial de la Unión Europea el 12 de julio de 2024 y entró en vigor el 1 de agosto de 2024. No es una directiva que requiera transposición nacional: es un reglamento de aplicación directa, vinculante en su totalidad en todos los Estados miembros sin necesidad de actos legislativos adicionales.

El reglamento se aplica a:

• Proveedores: organizaciones que desarrollan o han desarrollado un sistema de IA con la intención de comercializarlo o ponerlo en servicio bajo su propio nombre.
• Responsables del despliegue: organizaciones que utilizan un sistema de IA bajo su propia autoridad, excepto para uso personal no profesional.
• Importadores y distribuidores: organizaciones que introducen en el mercado de la UE sistemas de IA procedentes de fuera de la UE, o que los ponen a disposición en el mercado de la UE.

El reglamento tiene un alcance extraterritorial significativo. Los proveedores establecidos fuera de la UE están sujetos a él si la producción de su sistema está destinada a ser utilizada en la UE. Una empresa estadounidense de SaaS que vende una herramienta de RRHH con IA a una empresa española está dentro del ámbito del reglamento: la empresa española como responsable del despliegue y la empresa estadounidense como proveedor sujeto a la normativa europea.

Para la mayoría de las empresas medianas españolas que desarrollan herramientas de IA para uso interno, la consecuencia práctica es que son simultáneamente proveedoras y responsables del despliegue — la postura que conlleva el mayor peso de obligaciones de cumplimiento.

Los 4 niveles de riesgo

El reglamento establece un sistema de clasificación de cuatro niveles que determina las obligaciones aplicables a cualquier sistema de IA.

Nivel	Ejemplos	Obligaciones	A quién aplica	Aplicable desde
Riesgo inaceptable (prohibido)	Puntuación social por autoridades públicas; manipulación subliminal; vigilancia biométrica en tiempo real en espacios públicos (con excepciones estrictas); IA que explota vulnerabilidades de grupos específicos	Prohibición absoluta — el sistema no puede comercializarse ni ponerse en servicio	Proveedores y responsables del despliegue	2 de febrero de 2025
Alto riesgo	Herramientas de cribado de CVs; calificación crediticia; acceso a prestaciones públicas; identificación biométrica; seguridad de infraestructuras críticas; IA en dispositivos médicos; IA policial	Sistema de gestión de riesgos, gobernanza de datos, documentación técnica, registros, transparencia, supervisión humana, evaluación de conformidad, marcado CE, vigilancia poscomercialización	Principalmente proveedores; los responsables del despliegue tienen obligaciones sustanciales según el Art. 26	2 de agosto de 2026 (Anexo III); 2 de agosto de 2027 (Anexo I)
Riesgo limitado (transparencia)	Chatbots de atención al cliente; contenido generado por deepfake; sistemas de reconocimiento de emociones en decisiones comerciales	Obligación de informar a los usuarios de que interactúan con IA; etiquetar el contenido sintético como generado por IA	Proveedores y responsables del despliegue	2 de agosto de 2026
Riesgo mínimo	Filtros de spam; motores de recomendación de productos; optimización de rutas logísticas	Sin obligaciones regulatorias específicas; se fomentan códigos de conducta voluntarios	—	—

Fechas clave para las empresas españolas

El cumplimiento del AI Act está estructurado en fases durante tres años. Estos son los hitos legalmente vinculantes:

1 de agosto de 2024 — Entrada en vigor. El reglamento es legislación aplicable en toda la UE.

2 de febrero de 2025 — Prohibición de prácticas prohibidas. Los sistemas de IA clasificados como de riesgo inaceptable son ilegales desde esta fecha. Cualquier empresa que opere sistemas de puntuación social, herramientas de manipulación subliminal, reconocimiento facial masivo en tiempo real en espacios públicos, o IA que explote vulnerabilidades cognitivas de grupos específicos debe haber cesado su operación.

2 de agosto de 2025 — Obligaciones para modelos GPAI. Los proveedores de modelos de IA de uso general (modelos de base como GPT, Llama, Claude, Mistral y sistemas equivalentes) deben producir documentación técnica (Anexo XI), adoptar una política de cumplimiento de derechos de autor conforme a la Directiva 2019/790 y publicar un resumen de los datos de entrenamiento.

2 de agosto de 2026 — Obligaciones principales. Clasificación de riesgos para todos los sistemas de IA en alcance. Obligaciones completas para los sistemas de alto riesgo incluidos en el Anexo III (empleo, crédito, biométrica, infraestructuras críticas, servicios esenciales, aplicación de la ley, inmigración, justicia, procesos democráticos). Obligaciones de transparencia para sistemas de riesgo limitado. Obligaciones del responsable del despliegue conforme al Art. 26 exigibles.

2 de agosto de 2027 — Sistemas de alto riesgo del Anexo I. Plazo ampliado para los sistemas de IA que son componentes de seguridad de productos regulados por la legislación europea de seguridad de productos (Anexo I): dispositivos médicos, diagnóstico in vitro, aviación civil, vehículos de motor, equipos marinos, ferroviarios, maquinaria agrícola, juguetes, recipientes a presión, aparatos de gas y ascensores.

¿Soy proveedor, responsable del despliegue, importador o distribuidor?

Las obligaciones de cumplimiento que aplican a una organización dependen fundamentalmente de su papel en la cadena de valor de la IA. Identificar incorrectamente este papel es el error más frecuente en los análisis de brechas del AI Act.

Proveedor (Art. 3(3)): Organización que desarrolla o ha desarrollado un sistema de IA y lo comercializa o pone en servicio bajo su propio nombre. Las obligaciones incluyen el conjunto completo del Capítulo III: sistema de gestión de riesgos, gobernanza de datos, documentación técnica, registros, transparencia, supervisión humana, requisitos de exactitud, sistema de gestión de calidad, evaluación de conformidad y registro.

Responsable del despliegue (Art. 3(4)): Organización que utiliza un sistema de IA bajo su propia autoridad. Los responsables del despliegue de sistemas de alto riesgo tienen obligaciones según el Art. 26: implementar medidas técnicas y organizativas conforme a las instrucciones del proveedor; garantizar la supervisión humana; notificar incidentes graves; realizar evaluaciones de impacto en derechos fundamentales (para determinados usos en el sector público); no utilizar el sistema para fines distintos del uso previsto.

Importador (Art. 3(6)): Organización establecida en la UE que introduce en el mercado de la UE un sistema de IA procedente de un tercer país. Los importadores deben verificar que el proveedor ha realizado la evaluación de conformidad y que el marcado CE está apuesto antes de introducir el sistema en el mercado.

Distribuidor (Art. 3(7)): Organización en la cadena de suministro que pone a disposición en el mercado de la UE un sistema de IA. Los distribuidores deben verificar que el importador o proveedor ha cumplido las obligaciones aplicables antes de distribuir.

La mayoría de las empresas españolas que utilizan sistemas de IA que no han desarrollado internamente son responsables del despliegue. La mayoría de las empresas que desarrollan sistemas de IA para uso interno o para clientes son proveedoras. Muchas son ambas cosas simultáneamente. Una empresa que desarrolla una herramienta de cribado de candidatos con IA utilizada por su propio departamento de RRHH es a la vez proveedora (la ha desarrollado) y responsable del despliegue (la utiliza). Se aplican ambos conjuntos de obligaciones.

Sistemas de IA de alto riesgo — la carga de cumplimiento principal

El Anexo III del reglamento enumera las categorías de sistemas de IA clasificados como de alto riesgo. No son casos extremos teóricos: describen sistemas que las empresas medianas españolas despliegan habitualmente.

Identificación y categorización biométrica — Sistemas que identifican o categorizan a las personas a partir de datos biométricos. Un comercio minorista español que despliega reconocimiento facial para identificar clientes o analizar emociones en tiendas físicas opera un sistema de alto riesgo.

Infraestructuras críticas — Sistemas de IA utilizados en la gestión de la seguridad de infraestructuras digitales, viarias, ferroviarias, hidráulicas, de gas, de calefacción o eléctricas. Una empresa energética que utiliza IA para predecir averías en transformadores está en el ámbito de alto riesgo.

Educación y formación profesional — Sistemas que determinan el acceso a instituciones educativas, evalúan a los estudiantes, monitorizan el comportamiento en exámenes o apoyan el aprendizaje. Una empresa de edtech que usa IA para calificar trabajos o seleccionar candidatos a universidades opera un sistema de alto riesgo.

Gestión del empleo y de recursos humanos — Sistemas de IA utilizados para la selección de personal, cribado de CVs, análisis de entrevistas, asignación de tareas, seguimiento del rendimiento o decisiones de despido. Esta es una de las categorías comercialmente más relevantes: prácticamente todos los productos SaaS de RRHH basados en IA entran en ella. Una empresa española del sector de la construcción que utiliza IA para puntuar CVs y ordenar candidatos a puestos de jefe de obra opera un sistema de alto riesgo.

Acceso a servicios privados y públicos esenciales — Evaluación de solvencia crediticia, cálculo de primas de seguro, gestión de reclamaciones, determinación de elegibilidad para prestaciones públicas. Una fintech prestamista que utiliza IA para la calificación crediticia, o una aseguradora que usa IA para fijar primas, opera IA de alto riesgo según el Anexo III.

Aplicación de la ley — IA utilizada por las fuerzas del orden para la evaluación individual del riesgo, polígrafos, predicción de actividad delictiva, elaboración de perfiles y análisis de pruebas. Estos sistemas tienen los requisitos más estrictos y son principalmente de ámbito gubernamental.

Inmigración, asilo y control de fronteras — Sistemas que evalúan el riesgo de inmigración irregular, verifican la autenticidad de documentos de viaje o evalúan solicitudes de visado y asilo. Relevante para operadores del sector público y algunas consultoras de inmigración privadas.

Administración de justicia — IA utilizada por órganos jurisdiccionales o de resolución alternativa de disputas para investigar hechos y derecho, o para aplicar la ley. Relevante para empresas de legaltech cuyos productos son desplegados por autoridades judiciales.

Procesos democráticos — IA utilizada para influir en elecciones u opinión pública mediante publicidad política dirigida o manipulación. Relevante para organizaciones de campaña política y plataformas de publicidad política.

Obligaciones para sistemas de IA de alto riesgo — qué hay que hacer concretamente

Si alguna de las categorías anteriores aplica a su organización, las siguientes obligaciones del Capítulo III del reglamento deben cumplirse antes de desplegar o continuar operando el sistema desde el 2 de agosto de 2026.

• Sistema de gestión de riesgos (Art. 9): Un proceso continuo e iterativo — no un documento puntual — para identificar los riesgos conocidos y razonablemente previsibles asociados al sistema de IA. Documentar los riesgos identificados, seleccionar y aplicar medidas de mitigación, y verificar los niveles de riesgo residual. El proceso debe actualizarse a lo largo de todo el ciclo de vida del sistema.

• Gobernanza de datos (Art. 10): Los conjuntos de datos de entrenamiento, validación y prueba deben estar sujetos a prácticas documentadas de gobernanza: decisiones de diseño de datos, métodos de recopilación, evaluación de relevancia y representatividad, identificación de lagunas o deficiencias conocidas, examen de sesgos que pudieran afectar a derechos fundamentales. Los datos de categorías especiales (origen racial o étnico, opiniones políticas, datos biométricos) requieren justificación específica para su inclusión.

• Documentación técnica (Art. 11 + Anexo IV): Documentación exhaustiva producida antes de que el sistema se comercialice. Incluye: descripción general del sistema; diseño del sistema; monitoreo, funcionamiento y control del sistema; información sobre la metodología de entrenamiento, los datos y el rendimiento; descripción detallada del proceso de gestión de riesgos; y todos los cambios realizados a lo largo del ciclo de vida del sistema. La documentación debe conservarse durante la vida operativa del sistema más diez años.

• Registro automático de eventos (Art. 12): Los sistemas de IA de alto riesgo deben generar automáticamente registros de los eventos relevantes para identificar riesgos durante el funcionamiento normal, incluyendo los datos de entrada que generaron el resultado, la salida del sistema y la fecha, hora y duración de cada uso. Los registros deben conservarse durante un mínimo de seis meses.

• Transparencia hacia los usuarios (Art. 13): Los responsables del despliegue deben recibir instrucciones de uso que sean claras, completas y exactas. Deben incluir: la identidad del proveedor; las capacidades y limitaciones del sistema; los niveles de exactitud y métricas de rendimiento; los riesgos previsibles; las medidas técnicas de supervisión humana; la vida útil esperada y el mantenimiento.

• Supervisión humana (Art. 14): El sistema debe diseñarse y construirse de manera que permita la supervisión humana. Esto incluye: capacidad del personal de supervisión para comprender las capacidades y limitaciones del sistema; posibilidad de anular, detener o interrumpir el sistema; capacidad para identificar anomalías, disfunciones y rendimientos inesperados. El reglamento no exige que un ser humano apruebe cada decisión, pero el mecanismo de intervención debe existir y estar documentado.

• Exactitud, robustez y ciberseguridad (Art. 15): Niveles de exactitud apropiados para el uso previsto, documentados y comunicados a los responsables del despliegue. Robustez frente a errores, fallos e incoherencias durante el funcionamiento normal y el uso indebido previsible. Medidas de ciberseguridad proporcionales al riesgo, incluida la resiliencia frente a intentos de terceros de alterar el comportamiento del sistema.

• Sistema de gestión de calidad (Art. 17): Un sistema de gestión de calidad documentado que cubra: políticas, procesos e instrucciones para garantizar el cumplimiento; procedimientos para la documentación técnica y el mantenimiento de registros; verificación y validación del diseño; vigilancia poscomercialización.

• Evaluación de conformidad (Art. 43): Para la mayoría de los sistemas de alto riesgo del Anexo III, los proveedores pueden realizar una autoevaluación frente a los requisitos reglamentarios. Para los sistemas de identificación biométrica, la evaluación de conformidad debe ser realizada por un organismo notificado tercero. La evaluación debe documentarse y actualizarse cuando el sistema sufra modificaciones sustanciales.

• Declaración UE de conformidad y marcado CE: Tras superar la evaluación de conformidad, el proveedor debe redactar una declaración UE de conformidad según el Art. 47 y aponer el marcado CE. La declaración debe conservarse durante diez años.

• Vigilancia poscomercialización (Art. 72): Los proveedores deben disponer de un plan de vigilancia poscomercialización. Tras el despliegue, recopilar y revisar datos sobre el rendimiento del sistema, incidentes y usos indebidos. Notificar los incidentes graves y los cuasi-accidentes a las autoridades nacionales a través de la base de datos de la UE.

GPAI e IA de uso general — qué cambió en agosto de 2025

Desde el 2 de agosto de 2025, los proveedores de modelos GPAI están sujetos a un conjunto de obligaciones específicas en virtud del Capítulo V del reglamento.

Un modelo GPAI es un modelo entrenado con grandes cantidades de datos, que muestra capacidades generales y puede utilizarse para una amplia variedad de tareas. La clasificación abarca modelos de base como GPT-4, Claude, Gemini, Llama, Mistral y sistemas comparables.

Todos los proveedores de GPAI deben:

• Mantener documentación técnica según el Anexo XI que cubra la metodología de entrenamiento, la arquitectura, las capacidades y las limitaciones del modelo
• Adoptar y documentar una política de cumplimiento de derechos de autor en consonancia con la Directiva 2019/790 sobre derechos de autor
• Publicar un resumen suficientemente detallado del contenido de entrenamiento para permitir a los titulares de derechos ejercer sus derechos

Los modelos GPAI que presentan riesgo sistémico — definidos como modelos entrenados con más de 10^25 operaciones de punto flotante (FLOPs) de cómputo, o modelos designados por la Comisión — se enfrentan a obligaciones adicionales: pruebas adversariales (red teaming), notificación de incidentes graves, medidas de ciberseguridad e información sobre eficiencia energética.

Qué implica esto para las empresas españolas que despliegan GPAI sin desarrollarlo:

La mayoría de las empresas medianas españolas son usuarias de GPAI, no proveedoras. Si se utilizan la API de OpenAI, la API Claude de Anthropic o Google Gemini en los productos, las obligaciones del proveedor GPAI recaen sobre esas compañías, no sobre la empresa usuaria. Sin embargo:

• Si se ajusta o entrena un modelo GPAI con datos propios, se asumen obligaciones de proveedor para el modelo modificado resultante.
• Si se despliega un modelo GPAI en un contexto de alto riesgo (selección de personal, calificación crediticia, etc.), la empresa sigue siendo responsable de todas las obligaciones del sistema de alto riesgo para el sistema completo conforme al Art. 25 — el sistema descendente está sujeto al proceso completo de evaluación de conformidad.
• El cumplimiento por parte del proveedor GPAI no sustituye ni reduce las propias obligaciones de cumplimiento como responsable del despliegue.

En 2025 se inició un Código de Conducta voluntario para los proveedores de GPAI por iniciativa de la Comisión. La adhesión no es legalmente obligatoria, pero las autoridades nacionales lo consideran como una señal de cumplimiento.

AESIA — la autoridad supervisora española

AESIA (Agencia Española de Supervisión de Inteligencia Artificial) fue creada mediante Real Decreto 729/2023, lo que convirtió a España en el primer Estado miembro de la UE en establecer una autoridad supervisora nacional de IA — antes incluso de que el propio AI Act entrase en vigor. La agencia tiene su sede en A Coruña, Galicia, y opera bajo la tutela del Ministerio para la Transformación Digital y de la Función Pública.

Las funciones de AESIA incluyen:

• Vigilancia del mercado: investigar denuncias, realizar inspecciones de oficio, exigir acceso a la documentación y a los sistemas de IA, y auditar el cumplimiento del reglamento.
• Sanción: imponer sanciones administrativas hasta el máximo regulatorio por prácticas prohibidas, infracciones de alto riesgo y desinformación a las autoridades.
• Entornos regulados de prueba (sandboxes): operar el entorno nacional de prueba regulatoria de IA establecido en el Art. 57, permitiendo a las empresas desarrollar y probar sistemas de IA en condiciones supervisadas antes de su comercialización.
• Coordinación europea: participar en el Consejo Europeo de Inteligencia Artificial (Art. 65), coordinar la aplicación con otras autoridades nacionales y contribuir al desarrollo de normas armonizadas.

El alcance sectorial de AESIA se complementa con los reguladores existentes: el Banco de España y la CNMV mantienen su competencia sobre la IA en servicios financieros; la AEMPS (Agencia Española de Medicamentos y Productos Sanitarios) para la IA médica; la AEAT para los sistemas de IA relacionados con la tributación.

Interacción con el RGPD, la DSA, la DMA y la NIS2

El AI Act se superpone a los marcos europeos existentes sin sustituirlos. La siguiente tabla resume las principales intersecciones relevantes para las empresas medianas españolas:

Marco	Ámbito principal	Interacción con el AI Act
RGPD (Reglamento 2016/679)	Tratamiento de datos personales	Los sistemas de IA que traten datos personales deben cumplir tanto el RGPD (base jurídica, minimización de datos, EIPD para tratamientos de alto riesgo) como el AI Act (gobernanza de datos, registros, documentación). La toma de decisiones automatizada según el Art. 22 del RGPD se solapa con las obligaciones del AI Act de transparencia y supervisión humana.
DSA (Reglamento 2022/2065)	Intermediarios y plataformas en línea	Los sistemas de recomendación de las plataformas en línea de muy gran tamaño (VLOP) están sujetos tanto a la DSA (transparencia algorítmica, evaluaciones de riesgo) como al AI Act (si se clasifican como de alto riesgo).
DMA (Reglamento 2022/1925)	Guardianes de acceso digitales designados	Los guardianes de acceso que utilizan IA en autoprivilegio, clasificación o interoperabilidad deben alinear las obligaciones de la DMA y el AI Act. Afecta a pocas empresas españolas directamente, pero es relevante para plataformas de alcance europeo.
NIS2 (Directiva 2022/2555)	Ciberseguridad de entidades esenciales e importantes	Los sistemas de IA utilizados en infraestructuras críticas (energía, transporte, salud, finanzas) deben cumplir los requisitos de ciberseguridad de la NIS2. Las obligaciones de ciberseguridad del Art. 15 del AI Act para los sistemas de alto riesgo son paralelas. Ambos marcos deben cumplirse.
Legislación sectorial (MiCA, DORA, RDM)	Servicios financieros, dispositivos médicos	El AI Act forma una capa adicional junto a la legislación sectorial específica. Un sistema de calificación crediticia con IA debe cumplir simultáneamente el AI Act, el RGPD y las directivas aplicables sobre crédito y consumidores.

Hoja de ruta práctica de cumplimiento para una empresa mediana española (6-12 meses)

La siguiente hoja de ruta asume una empresa con dos a cinco sistemas de IA en alcance, sin infraestructura de cumplimiento de IA preexistente, y con el objetivo de estar operativamente preparada antes del 2 de agosto de 2026.

Meses 1-2: Inventario de IA y clasificación de riesgos

Identificar todos los sistemas de IA de la organización, incluidos los productos SaaS de terceros y las integraciones de API. Documentar para cada uno: finalidad, datos de entrada, salidas, quién los utiliza y cómo las salidas afectan a las personas. Clasificar cada sistema según los cuatro niveles de riesgo. Priorizar los sistemas que intervienen en decisiones de empleo, financieras o de acceso a servicios. Coste estimado: EUR 5.000–15.000 con apoyo jurídico y técnico externo.

Meses 2-3: Análisis jurídico y de brechas

Para cada sistema de alto riesgo identificado, evaluar la brecha entre el estado actual y los requisitos reglamentarios en todas las obligaciones (Arts. 9–15, 17, 43, 47, 72). Producir un informe de brechas con una lista de actuaciones correctoras priorizadas. Determinar si la organización actúa como proveedora, responsable del despliegue, o ambas, para cada sistema. Coste estimado: EUR 8.000–20.000.

Meses 3-7: Implementación de controles

Implementar los controles identificados en el análisis de brechas. Los más intensivos en recursos son:

• Redactar y operacionalizar el proceso de gestión de riesgos (Art. 9): designar un responsable, definir la frecuencia de revisión, construir el registro de riesgos.
• Producir la documentación técnica (Anexo IV): involucrar al equipo de desarrollo para documentar el sistema de forma exhaustiva.
• Implementar el registro y la conservación (Art. 12): validar que la infraestructura técnica genera y almacena los registros requeridos.
• Redactar las instrucciones de uso (Art. 13): producir documentación dirigida al responsable del despliegue.
• Construir o formalizar los mecanismos de supervisión humana (Art. 14): definir los procedimientos de escalado y anulación.

Coste estimado: EUR 12.000–35.000 según el número de sistemas y la deuda técnica acumulada.

Meses 5-8: Designación de un responsable y estructura de gobernanza

Designar un responsable del cumplimiento del AI Act. En una pyme, no tiene por qué ser un puesto dedicado a tiempo completo — el CTO o un responsable sénior de cumplimiento puede asumirlo — pero la responsabilidad debe ser explícita, documentada y dotada de recursos. Establecer un comité de gobernanza de IA ligero con representación de las áreas legal, tecnológica y operativa.

Meses 6-9: Formación del personal

Formar al personal relevante sobre los requisitos del AI Act. Los destinatarios prioritarios son: los equipos de desarrollo que construyen sistemas de IA; los equipos de RRHH, crédito y atención al cliente que despliegan IA de alto riesgo; el área legal y de cumplimiento. La formación debe cubrir: cómo clasificar los sistemas de IA, qué documentación se exige, cómo notificar incidentes y qué significa la supervisión humana en la práctica.

Meses 8-10: Evaluación de conformidad y documentación

Realizar la evaluación de conformidad para cada sistema de alto riesgo. Para los sistemas del Anexo III, esto es típicamente una autoevaluación del proveedor. Preparar la declaración UE de conformidad y aponer el marcado CE. Finalizar toda la documentación técnica y garantizar que se almacena con controles de acceso adecuados y plazos de conservación correctos.

Meses 10-12: Preparación para auditorías y vigilancia poscomercialización

Realizar una auditoría interna simulada frente a los requisitos reglamentarios. Establecer el mecanismo de vigilancia poscomercialización: definir indicadores, establecer la frecuencia de revisión, asignar la responsabilidad de la notificación de incidentes. Registrar los sistemas de IA de alto riesgo en la base de datos de la UE cuando proceda.

Presupuesto anual recurrente: EUR 10.000–25.000 para actualizaciones de documentación, monitoreo, notificación de incidentes y seguimiento normativo.

Concepciones erróneas frecuentes

“Nuestra IA es de riesgo mínimo — no tenemos obligaciones de cumplimiento.” Los sistemas de riesgo mínimo no tienen obligaciones específicas en virtud del AI Act. Sin embargo, la clasificación no es evidente por sí sola. Muchas organizaciones clasifican erróneamente sus sistemas. Un chatbot que determina el resultado de una reclamación o afecta al acceso a servicios no es de riesgo mínimo. Realice el ejercicio de clasificación con rigor antes de asumir un estatus de bajo riesgo.

“ChatGPT Enterprise o Copilot cubre nuestro cumplimiento.” Los contratos empresariales de OpenAI y Microsoft cubren sus obligaciones de tratamiento de datos personales conforme al RGPD como encargados del tratamiento. No transfieren las obligaciones del proveedor del AI Act relativas a los sistemas derivados desarrollados internamente. Si se utiliza GPT-4 para impulsar una herramienta interna de cribado de CVs, la empresa es el proveedor de esa herramienta de cribado y se le aplican todas las obligaciones de alto riesgo.

“Cumplir el RGPD es suficiente para cumplir el AI Act.” El RGPD y el AI Act son complementarios pero distintos. El RGPD aborda la protección de datos. El AI Act aborda el desarrollo, la comercialización y el uso de los sistemas de IA. Los sistemas de gestión de riesgos, las evaluaciones de conformidad, el marcado CE y la vigilancia poscomercialización no tienen equivalente en el RGPD. El cumplimiento de uno no implica el del otro.

“Somos una pyme — las multas no nos afectarán significativamente.” Los máximos sancionadores son la cifra mayor entre un importe absoluto o un porcentaje de la facturación global. Para una pyme con EUR 5M de facturación, una multa del 3% equivale a EUR 150.000 — una responsabilidad significativa. Más importante aún, el riesgo regulatorio para las operaciones empresariales y el daño reputacional derivado del incumplimiento suelen ser más relevantes que la propia sanción.

“No estamos en un sector regulado, así que nuestro riesgo es menor.” La clasificación de riesgos del AI Act se basa en el caso de uso, no en el sector. Una empresa de logística no regulada que utiliza IA para asignar entregas a conductores podría estar operando un sistema que afecta a las condiciones laborales — un caso de uso de alto riesgo según el Anexo III — aunque la logística no sea un sector regulado.

“Esperaremos a que se acerque el plazo.” La documentación técnica de sistemas complejos no puede producirse retroactivamente de forma creíble. Los sistemas de gestión de riesgos deben demostrar un proceso continuo, no una instantánea puntual. Construir la infraestructura de gobernanza lleva meses, no semanas. Las empresas que comiencen en el cuarto trimestre de 2025 se enfrentarán a una carrera muy ajustada hasta el 2 de agosto de 2026.

“Solo las empresas que construyen IA están afectadas.” Los responsables del despliegue de sistemas de IA de alto riesgo tienen obligaciones sustanciales conforme al Art. 26. Las empresas que adquieren o licencian sistemas de IA para su uso en empleo, crédito o servicios esenciales no pueden cumplir sus obligaciones señalando al proveedor. Las obligaciones del responsable del despliegue incluyen evaluaciones de impacto en derechos fundamentales, garantizar la supervisión humana, notificar incidentes graves y restringir el uso al propósito previsto del sistema.

“Nuestra IA es solo una herramienta interna, por lo que no está ‘comercializada’.” El Art. 3(4) define ‘responsable del despliegue’ para cubrir cualquier uso de un sistema de IA bajo la propia autoridad de quien lo usa, excepto para actividades personales no profesionales. El uso interno no excluye la aplicación del reglamento al responsable del despliegue. Significa que la organización no necesita satisfacer los requisitos de ‘comercialización’, pero todas las obligaciones del responsable del despliegue conforme al Art. 26 siguen aplicando.

Fuentes

1. EUR-Lex — Reglamento (UE) 2024/1689 — AI Act: texto completo
2. BOE — Real Decreto 729/2023 — Creación de AESIA
3. AESIA — Agencia Española de Supervisión de Inteligencia Artificial
4. Comisión Europea — Oficina Europea de IA: enfoque europeo sobre inteligencia artificial
5. EUR-Lex — Reglamento (UE) 2016/679 — RGPD
6. Comisión Europea — Consejo Europeo de IA: orientaciones y normas técnicas
7. ENISA — Desafíos de ciberseguridad de la Inteligencia Artificial
8. Banco de España — Supervisión de IA en el sector financiero

Cómo puede ayudar abemon

Navegar por el AI Act requiere una combinación de interpretación jurídica, implementación técnica y diseño de procesos. La práctica de consultoría de abemon ofrece compromisos estructurados de gobernanza de IA que incluyen inventarios de sistemas de IA, clasificación de riesgos, análisis de brechas y programas de documentación. Nuestro equipo de IA y aprendizaje automático gestiona la vertiente técnica: implementar arquitecturas de registro, pipelines de documentación y controles de supervisión humana en sistemas productivos.

Para las empresas que aún no han comenzado su programa de cumplimiento del AI Act, una evaluación de preparación estructurada es el primer paso práctico. Contáctenos para analizar la exposición de su organización y definir una hoja de ruta priorizada.

Para el contexto más amplio del entorno regulatorio de la IA en España, consulte nuestro informe cuantitativo 2025 sobre el estado de la IA en España y nuestro análisis sobre agentes de IA en producción: lecciones aprendidas. Para consideraciones prácticas de gobernanza, véase también nuestro análisis sobre la era de los agentes IA: estado del arte 2025.