AI Act en España: qué deben hacer las empresas en 2026

El AI Act (Reglamento UE 2024/1689) es la primera regulación integral de inteligencia artificial del mundo. Su objetivo es garantizar que los sistemas de IA usados en Europa sean seguros, transparentes y respeten los derechos fundamentales.

A diferencia de lo que mucha comunicación sobre el tema sugiere, el AI Act no regula solo a las empresas que desarrollan IA. Regula también a las empresas que usan sistemas de IA, que son la gran mayoría de empresas medianas españolas — aunque no sean conscientes de ello.

Si su empresa usa ChatGPT, Copilot, un sistema de selección de personal automatizado, un chatbot de atención al cliente, herramientas de scoring de crédito o cualquier software con funcionalidades de IA, el AI Act le afecta en alguna medida.

El AI Act no entró en vigor de golpe. Tiene un calendario de aplicación progresiva que es importante entender.

Agosto de 2024 — Entrada en vigor. El reglamento es oficialmente ley europea desde el 1 de agosto de 2024.

Febrero de 2025 — Prohibiciones de riesgo inaceptable. Desde el 2 de febrero de 2025, están prohibidos en toda la UE los sistemas de IA clasificados como riesgo inaceptable. Cualquier empresa que use estos sistemas debe haberlos retirado.

Agosto de 2025 — Obligaciones para modelos de IA de propósito general. Las obligaciones para los proveedores de modelos de lenguaje grandes (GPT, Gemini, Claude) y las normas de gobernanza están en vigor desde agosto de 2025.

Agosto de 2026 — Obligaciones para sistemas de alto riesgo. Las obligaciones más exigentes — para sistemas de IA que toman decisiones que afectan a personas en ámbitos críticos — entran en vigor en agosto de 2026. Esta es la fecha más relevante para la mayoría de empresas medianas.

Agosto de 2027 — Aplicación completa. El reglamento se aplica en su totalidad, incluyendo algunos sistemas de IA integrados en productos regulados.

Son los sistemas que el legislador europeo considera incompatibles con los derechos fundamentales. Están completamente prohibidos: sistemas de puntuación social generalizada por parte de gobiernos o empresas; sistemas de identificación biométrica en tiempo real en espacios públicos (con excepciones muy limitadas para fuerzas de seguridad); sistemas que manipulan el comportamiento humano de forma subliminal; sistemas que explotan vulnerabilidades de grupos específicos (niños, personas mayores, personas con discapacidad); sistemas de inferencia de emociones en entornos laborales y educativos (con algunas excepciones).

Qué debe hacer: verificar que ningún sistema que usa su empresa cae en esta categoría. Si lo hace, debe retirarlo inmediatamente.

Son los sistemas que pueden tener un impacto significativo en la vida de las personas. Este es el nivel que más afecta a empresas medianas que usan IA en procesos de negocio.

Se consideran de alto riesgo los sistemas de IA usados en recursos humanos (selección de personal, evaluación de candidatos, gestión del rendimiento, decisiones sobre promociones o despidos — si su empresa usa software de ATS con scoring automático de CVs, está en esta categoría); servicios financieros (scoring crediticio, evaluación de solvencia, detección de fraude con impacto en decisiones sobre clientes); educación y formación (sistemas que determinan el acceso a la educación o evalúan a estudiantes); infraestructuras críticas (gestión de redes eléctricas, agua, transporte); seguridad (identificación biométrica, análisis de imágenes); y administración de justicia (apoyo a decisiones judiciales).

Obligaciones para sistemas de alto riesgo: documentación técnica detallada del sistema; registros de actividad (logs) que permitan trazabilidad; transparencia e información a los usuarios afectados; supervisión humana obligatoria — las decisiones no pueden ser completamente automatizadas; evaluación de conformidad antes del despliegue; y registro en la base de datos europea de sistemas de alto riesgo.

Riesgo limitado — obligaciones de transparencia. Son sistemas con riesgos específicos de manipulación o engaño. Los chatbots e IA conversacional deben identificarse como tal — no pueden hacerse pasar por humanos sin que el usuario lo sepa. Los sistemas que generan contenido sintético (deepfakes, textos generados por IA) deben indicarlo. Los sistemas de reconocimiento de emociones deben informar a los usuarios afectados.

Qué debe hacer: si tiene un chatbot de atención al cliente, asegúrese de que se identifica claramente como IA. Si genera contenido con IA para publicar externamente, considere si necesita indicarlo.

Riesgo mínimo — sin obligaciones específicas. La mayoría de aplicaciones de IA caen en esta categoría: filtros de spam, recomendaciones de contenido, herramientas de productividad con IA, videojuegos con IA. No tienen obligaciones específicas bajo el AI Act, aunque se recomienda seguir buenas prácticas.

España ha designado a la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña, como la autoridad nacional competente para supervisar el cumplimiento del AI Act.

La AESIA tiene capacidad para investigar, sancionar y exigir el cumplimiento de las obligaciones del reglamento a empresas que operen en España. Las sanciones previstas son significativas: hasta 35 millones de euros o el 7% de la facturación global para infracciones relacionadas con sistemas de riesgo inaceptable; hasta 15 millones de euros o el 3% de la facturación global para incumplimientos de obligaciones aplicables a sistemas de alto riesgo; hasta 7,5 millones de euros o el 1,5% de la facturación global para información incorrecta a las autoridades.

Para una empresa mediana con 50 millones de euros de facturación, el 3% son 1,5 millones de euros. No es un riesgo teórico.

Si su empresa todavía no ha abordado el AI Act, este es el orden de prioridades.

Paso 1 — Inventario de sistemas de IA (inmediato). Identifique todos los sistemas de IA que usa su empresa, incluyendo los que vienen integrados en software de terceros. Muchas empresas no son conscientes de cuántos sistemas de IA usan porque vienen embebidos en herramientas habituales — ERP, CRM, plataformas de RRHH, herramientas de marketing. Preguntas para hacer a cada proveedor de software: ¿tiene funcionalidades de IA?, ¿qué decisiones automatiza o asiste?, ¿procesa datos de empleados o clientes?

Paso 2 — Clasificación por nivel de riesgo. Para cada sistema identificado, determine en qué nivel de riesgo cae según la clasificación del AI Act. Si tiene dudas, consulte con un especialista — la clasificación incorrecta puede generar responsabilidades que no anticipó.

Paso 3 — Verificación de sistemas prohibidos. Confirme que ningún sistema en uso cae en la categoría de riesgo inaceptable. Si existe alguno, debe retirarse inmediatamente — esta obligación ya está en vigor.

Paso 4 — Plan de cumplimiento para sistemas de alto riesgo. Si tiene sistemas de alto riesgo (especialmente en RRHH o servicios financieros), inicie el proceso de cumplimiento antes de agosto de 2026. Los requisitos de documentación, trazabilidad y supervisión humana requieren tiempo para implementarse correctamente.

Paso 5 — Gobernanza interna de IA. Designe un responsable interno del cumplimiento del AI Act. No tiene que ser un experto técnico, pero sí alguien con autoridad para tomar decisiones sobre el uso de IA en la organización. Establezca una política interna de uso de IA que defina qué herramientas están aprobadas y bajo qué condiciones.

Paso 6 — Revisión de contratos con proveedores. Los contratos con proveedores de software que incluyen funcionalidades de IA deben revisarse para verificar que incluyen cláusulas de cumplimiento normativo. Si un proveedor no puede garantizar que sus sistemas cumplen con el AI Act, es un riesgo para su empresa.

Asumir que "nosotros no usamos IA". La mayoría de empresas medianas usa más IA de lo que creen. El scoring automático en el ATS de RRHH, las recomendaciones automáticas del CRM, la detección de fraude del sistema de pagos — todo eso es IA bajo la definición del reglamento.

Esperar a que la regulación "se concrete más". El AI Act es derecho europeo directamente aplicable. No necesita transposición nacional adicional. Las fechas son las que son.

Delegar el cumplimiento exclusivamente al departamento IT. El AI Act no es solo un problema técnico. Afecta a RRHH, legal, cumplimiento normativo y dirección general. Es una decisión de negocio que requiere un enfoque multidisciplinar.

Confundir el AI Act con el RGPD. Aunque tienen puntos de conexión, son reglamentos distintos con obligaciones distintas. El RGPD regula el tratamiento de datos personales. El AI Act regula los sistemas de IA. Un mismo proyecto puede estar afectado por ambos.

¿Afecta el AI Act a mi empresa si no desarrollo IA sino que solo la uso? Sí. El AI Act regula tanto a los proveedores (quienes desarrollan y comercializan sistemas de IA) como a los usuarios (quienes despliegan sistemas de IA en su organización). Las obligaciones son distintas según el rol, pero ambos están regulados.

¿Qué pasa con las herramientas de IA que ya tenía antes de que entrara en vigor el AI Act? Los sistemas existentes tienen plazos de adaptación. Los sistemas de alto riesgo que ya estaban en uso antes de agosto de 2026 tienen hasta agosto de 2027 para cumplir con las nuevas obligaciones en algunos casos. Pero los sistemas de riesgo inaceptable deben retirarse inmediatamente.

¿Es suficiente con que el proveedor del software certifique que cumple con el AI Act? La certificación del proveedor es necesaria pero no suficiente. La empresa usuaria también tiene responsabilidades propias, especialmente en cuanto a la supervisión humana de las decisiones y la información a los afectados.

¿Hay ayudas o subvenciones para adaptar los sistemas al AI Act? Existen líneas de financiación europeas y nacionales para la transformación digital que pueden aplicarse parcialmente a proyectos de adaptación al AI Act. El Kit Digital y algunos programas del CDTI pueden ser relevantes dependiendo del tipo de proyecto.

¿Cuándo debería empezar a prepararme si tengo sistemas de alto riesgo? Ahora. Los proyectos de documentación, implementación de supervisión humana y evaluación de conformidad requieren entre 6 y 18 meses dependiendo de la complejidad. Esperar a 2026 para empezar es demasiado tarde.