Reglamento Europeo de IA (EU AI Act): Guía Práctica para Empresas en España [2026]
Guía práctica del EU AI Act para empresas españolas: categorías de riesgo, plazos 2025-2026, sanciones y checklist de cumplimiento.
Reglamento Europeo de IA (EU AI Act): Guía Práctica para Empresas en España [2026]
TL;DR:
- El EU AI Act (Reglamento (UE) 2024/1689) es la primera regulación integral de inteligencia artificial del mundo y afecta a cualquier empresa que opere en la UE.
- Clasifica los sistemas de IA en cuatro niveles de riesgo: inaceptable (prohibido), alto (regulación estricta), limitado (obligaciones de transparencia) y mínimo (sin obligaciones específicas).
- Las prohibiciones de prácticas de riesgo inaceptable entraron en vigor el 2 de febrero de 2025. Las obligaciones para sistemas de alto riesgo son aplicables desde el 2 de agosto de 2026.
- Las sanciones llegan hasta 35 millones de euros o el 7% de la facturación global anual, lo que sea mayor.
- AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) es el organismo encargado de vigilar el cumplimiento en España.
- La mayoría de empresas españolas usan herramientas de IA que caen en la categoría de riesgo limitado o mínimo, pero necesitan verificarlo activamente.
- Las empresas que usan IA en recursos humanos, crédito, seguros o servicios públicos probablemente caen en la categoría de alto riesgo y deben actuar YA.
- Este artículo incluye un checklist práctico para evaluar tu situación y los pasos que debes dar antes de agosto de 2026.
Por qué el EU AI Act te afecta aunque no "hagas IA"
Si tu empresa usa ChatGPT, Claude, Gemini, un chatbot de atención al cliente, un sistema de scoring crediticio o cualquier herramienta que procese datos con algoritmos de aprendizaje automático, el EU AI Act te afecta directamente. No necesitas ser una empresa de tecnología ni desarrollar tus propios modelos. Basta con que uses sistemas de IA en tu actividad comercial dentro de la Unión Europea.
Este es el error más frecuente que encuentro al hablar con PYMEs españolas: creen que la regulación de IA es solo para Google, Meta y OpenAI. No lo es. El Reglamento distingue entre "proveedores" (quienes desarrollan la IA) y "deployers" (quienes la usan), y ambos tienen obligaciones.
El Reglamento Europeo de Inteligencia Artificial, conocido oficialmente como Reglamento (UE) 2024/1689 y coloquialmente como EU AI Act, fue aprobado el 13 de junio de 2024 y publicado en el Diario Oficial de la Unión Europea el 12 de julio de 2024. Es la primera regulación integral de IA del mundo, y otros países -- incluidos Estados Unidos, Japón y Brasil -- están observando su implementación para diseñar sus propias regulaciones.
A fecha de 31 de marzo de 2026, ya han entrado en vigor las prohibiciones de prácticas de riesgo inaceptable (desde el 2 de febrero de 2025) y las obligaciones de alfabetización en IA (desde el 2 de febrero de 2025). Las obligaciones más pesadas -- las de sistemas de alto riesgo -- serán plenamente aplicables el 2 de agosto de 2026, es decir, en menos de cinco meses cuando lees esto.
Si no tienes claro cómo afecta la IA a tu negocio en general, empieza por la guía de cómo empezar con IA en tu empresa y luego vuelve aquí para el marco regulatorio.
Estructura del EU AI Act: las cuatro categorías de riesgo
El Reglamento clasifica los sistemas de IA en cuatro niveles de riesgo, cada uno con obligaciones proporcionalmente más estrictas. Este enfoque basado en riesgo es el pilar central de la norma y determina qué tienes que hacer (o dejar de hacer) con cada herramienta de IA que uses.
Resumen visual de las categorías
| Categoría | Nivel de regulación | Ejemplo | Obligación principal |
|---|---|---|---|
| Riesgo inaceptable | Prohibido | Social scoring, manipulación subliminal | Prohibición total |
| Alto riesgo | Regulación estricta | Scoring crediticio, selección de personal, diagnóstico médico | Registro, evaluación de conformidad, documentación técnica |
| Riesgo limitado | Transparencia | Chatbots, deepfakes, generación de contenido | Informar al usuario de que interactúa con IA |
| Riesgo mínimo | Sin obligaciones específicas | Filtros de spam, recomendaciones de productos | Código de conducta voluntario |
Categoría 1: Riesgo inaceptable (prohibido)
Estos usos están completamente prohibidos desde el 2 de febrero de 2025. Si tu empresa hace algo de esto, debes cesar inmediatamente.
Prácticas prohibidas:
- Social scoring: Sistemas que puntúan a personas por su comportamiento social general (como el sistema de crédito social chino).
- Manipulación subliminal: IA diseñada para manipular decisiones de forma inconsciente.
- Explotación de vulnerabilidades: Dirigir IA manipulativa a grupos vulnerables (niños, personas con discapacidad, ancianos).
- Reconocimiento facial masivo en tiempo real: Bases de datos de reconocimiento facial recopiladas mediante scraping no dirigido (con excepciones para fuerzas de seguridad con autorización judicial).
- Reconocimiento de emociones en trabajo y educación: Sistemas que infieren el estado emocional de empleados o estudiantes para tomar decisiones.
- Categorización biométrica por raza, orientación sexual o creencias: Clasificar personas por características sensibles a partir de datos biométricos.
- Policía predictiva individual: Usar IA para predecir si una persona específica cometerá un delito basándose en perfilado.
Para ti en la práctica: si usas alguna herramienta de análisis de sentimiento o reconocimiento facial en el entorno laboral, revísala urgentemente. Un sistema que analiza las expresiones faciales de tus empleados durante videollamadas para "medir su compromiso" es, con alta probabilidad, ilegal desde febrero de 2025.
Categoría 2: Alto riesgo (regulación estricta)
Los sistemas de alto riesgo son los que más obligaciones generan y donde la mayoría de las empresas que usan IA de forma seria se van a encontrar. Esta categoría es aplicable plenamente desde el 2 de agosto de 2026.
El EU AI Act define dos vías por las que un sistema es clasificado como alto riesgo:
Vía 1 -- Componente de seguridad de un producto regulado:
Si la IA forma parte de un producto que ya está regulado por la legislación europea de seguridad (maquinaria, dispositivos médicos, juguetes, ascensores, vehículos, etc.), se considera alto riesgo automáticamente.
Vía 2 -- Áreas específicas listadas en el Anexo III del Reglamento:
| Área | Ejemplos de sistemas de alto riesgo |
|---|---|
| Biometría | Identificación biométrica remota |
| Infraestructuras críticas | IA en gestión de redes eléctricas, agua, tráfico |
| Educación | Sistemas de evaluación automática, acceso a formación |
| Empleo y RRHH | Filtrado de CVs, scoring de candidatos, evaluación de rendimiento |
| Servicios esenciales | Scoring crediticio, seguros, asistencia social |
| Aplicación de la ley | Polígrafos, evaluación de riesgo de reincidencia |
| Migración y control de fronteras | Evaluación de solicitudes de asilo |
| Administración de justicia | Asistencia en sentencias judiciales |
"Si usas IA para filtrar CVs o puntuar solicitudes de crédito, estás en alto riesgo. No importa si el software lo compraste a un tercero: como deployer, también tienes obligaciones." -- Javier Santos Criado, consultor de IA en Javadex
Para ti esto es crítico: si tu empresa usa algún software de RRHH con funcionalidades de IA (filtrado automático de candidatos, evaluación de rendimiento basada en datos, análisis de productividad), es muy probable que ese sistema caiga en la categoría de alto riesgo. Lo mismo aplica si trabajas en banca, seguros o cualquier sector que tome decisiones automatizadas que afecten a los derechos de las personas.
Categoría 3: Riesgo limitado (transparencia)
Los sistemas de riesgo limitado tienen una obligación principal: transparencia. Debes informar a las personas de que están interactuando con un sistema de IA.
Esto incluye:
- Chatbots: Si un cliente habla con un chatbot en tu web, debe saber que es IA (no una persona).
- Deepfakes y contenido generado por IA: Si generas imágenes, vídeos o audio con IA, debes etiquetarlos como tal.
- Sistemas de generación de texto: Si publicas contenido generado por IA, debes indicarlo cuando pueda confundirse con contenido humano en asuntos de interés público.
Para la mayoría de PYMEs españolas que usan ChatGPT, Claude o Gemini como herramienta de productividad interna, esto no requiere grandes cambios. Pero si tienes un chatbot de atención al cliente en tu web, necesitas asegurarte de que el usuario sabe que habla con IA.
Si estás considerando implementar un chatbot o herramienta de IA en tu negocio, la guía de automatización con IA para PYMEs te da opciones compatibles con estas obligaciones.
Categoría 4: Riesgo mínimo (sin obligaciones)
La inmensa mayoría de las aplicaciones de IA caen en esta categoría y no tienen obligaciones legales específicas. El Reglamento solo recomienda códigos de conducta voluntarios.
Ejemplos:
- Filtros de spam en email
- Recomendaciones de productos en e-commerce
- Correctores ortográficos
- Asistentes de navegación (GPS)
- Juegos con IA
- Herramientas internas de productividad (usar Claude para redactar emails, analizar documentos, etc.)
Calendario de implementación: qué ha entrado en vigor y qué falta
El EU AI Act no entró en vigor de golpe: tiene un calendario escalonado que va desde febrero de 2025 hasta agosto de 2027. Saber en qué punto estamos te permite priorizar acciones.
| Fecha | Qué entra en vigor | Estado (marzo 2026) |
|---|---|---|
| 1 de agosto de 2024 | Publicación en el DOUE. Entrada en vigor general | Vigente |
| 2 de febrero de 2025 | Prohibiciones de riesgo inaceptable + obligación de alfabetización en IA | Vigente |
| 2 de agosto de 2025 | Obligaciones para modelos de IA de propósito general (GPAI) | Vigente |
| 2 de agosto de 2026 | Obligaciones completas para sistemas de alto riesgo | Pendiente (5 meses) |
| 2 de agosto de 2027 | Obligaciones para sistemas de alto riesgo que son componentes de productos ya regulados (Anexo I) | Pendiente |
Lo que ya está en vigor (y quizás no estás cumpliendo)
Desde el 2 de febrero de 2025, hay dos cosas que ya son obligatorias:
1. Prohibiciones de prácticas de riesgo inaceptable: Si usas alguna de las prácticas listadas arriba, debes haberla cesado antes del 2 de febrero de 2025.
2. Obligación de alfabetización en IA (Artículo 4): Este artículo obliga a "proveedores y deployers de sistemas de IA" a "tomar medidas para garantizar, en la mayor medida posible, que su personal y otras personas que se ocupen del funcionamiento y el uso de sistemas de IA en su nombre posean un nivel suficiente de alfabetización en materia de IA".
Esta obligación de alfabetización es más relevante de lo que parece. Si tu empresa usa herramientas de IA y no has formado a tus empleados sobre qué es la IA, sus limitaciones y sus riesgos, técnicamente no estás cumpliendo desde febrero de 2025. No es una obligación con sanciones inmediatas graves, pero sí establece un estándar que las autoridades pueden usar como referencia.
Lo que viene en agosto de 2026
El 2 de agosto de 2026 es la fecha crítica para empresas. Desde ese momento:
- Los sistemas de IA de alto riesgo deben cumplir todos los requisitos del Reglamento.
- Los deployers (quienes usan estos sistemas) deben poder demostrar que han evaluado el impacto del sistema.
- Las autoridades nacionales (AESIA en España) pueden inspeccionar y sancionar.
Si tu empresa usa IA en alguna de las áreas de alto riesgo (RRHH, crédito, seguros, educación), tienes menos de cinco meses para prepararte cuando lees esto (31 de marzo de 2026).
AESIA: la autoridad española que vigilará el cumplimiento
AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) es el organismo público español encargado de supervisar el cumplimiento del EU AI Act en España. Fue creada por Real Decreto 729/2023 y tiene su sede en A Coruña.
Funciones de AESIA
| Función | Descripción |
|---|---|
| Supervisión | Vigilar el cumplimiento del EU AI Act en España |
| Inspección | Realizar inspecciones y auditorías a empresas |
| Sanciones | Imponer multas por incumplimiento |
| Orientación | Publicar guías y recomendaciones para empresas |
| Sandbox regulatorio | Gestionar el sandbox de IA para pruebas controladas |
| Coordinación | Coordinarse con la Oficina Europea de IA |
Estado actual de AESIA (marzo 2026)
AESIA está operativa pero todavía en fase de crecimiento. A fecha de marzo de 2026:
- Tiene su sede principal en A Coruña y oficinas de enlace en Madrid.
- Ha publicado guías preliminares sobre clasificación de riesgo de sistemas de IA.
- Gestiona el sandbox regulatorio español (uno de los primeros en la UE).
- Está contratando personal especializado (juristas, ingenieros, auditores de IA).
"España fue el primer país de la UE en crear una agencia nacional de supervisión de IA. AESIA es operativa desde 2024, pero su capacidad sancionadora plena arrancará con la aplicación de las normas de alto riesgo en agosto de 2026." -- Carme Artigas, ex-Secretaria de Estado de Digitalización e IA (El País, 2024)
Para ti como empresa, esto significa que todavía estás a tiempo de prepararte. AESIA está en modo de orientación más que de sanción, pero eso cambiará a partir de agosto de 2026.
Las sanciones: cuánto puede costar no cumplir
Las sanciones del EU AI Act son las más altas de cualquier regulación digital europea, superando incluso al GDPR. Están diseñadas para ser disuasorias incluso para las empresas más grandes del mundo.
| Tipo de infracción | Multa máxima | Ejemplo |
|---|---|---|
| Prácticas prohibidas (riesgo inaceptable) | 35 millones EUR o 7% facturación global | Usar social scoring, manipulación subliminal |
| Incumplimiento de obligaciones de alto riesgo | 15 millones EUR o 3% facturación global | No hacer evaluación de conformidad, falta de documentación |
| Suministro de información incorrecta | 7,5 millones EUR o 1% facturación global | Dar datos falsos a autoridades |
Para PYMEs, las multas se reducen proporcionalmente al tamaño de la empresa, pero siguen siendo significativas. Una PYME con 5 millones de euros de facturación podría enfrentarse a multas de hasta 350.000 euros (7%) por prácticas prohibidas o 150.000 euros (3%) por incumplimiento de obligaciones de alto riesgo.
Comparación con el GDPR
| Aspecto | GDPR | EU AI Act |
|---|---|---|
| Multa máxima | 20 M EUR o 4% facturación | 35 M EUR o 7% facturación |
| Año de entrada en vigor | 2018 | 2024 (escalonado hasta 2027) |
| Enfoque | Protección de datos personales | Regulación de sistemas de IA |
| Autoridad en España | AEPD | AESIA |
| Historial de sanciones | Miles de multas impuestas | Todavía sin precedentes |
La experiencia del GDPR es instructiva: en los primeros años, las autoridades se centraron en orientación y casos flagrantes. Las multas grandes llegaron después. Es razonable esperar que AESIA siga un patrón similar, pero eso no significa que puedas ignorar la regulación.
Obligaciones para empresas que usan IA de alto riesgo (deployers)
Si tu empresa usa (no desarrolla) sistemas de IA clasificados como alto riesgo, el Reglamento te impone obligaciones específicas como "deployer". Muchas empresas asumen que solo el proveedor del software tiene responsabilidad, pero no es así.
Obligaciones del deployer de alto riesgo
| Obligación | Qué implica | Plazo |
|---|---|---|
| Uso conforme a instrucciones | Usar el sistema según las instrucciones del proveedor | Agosto 2026 |
| Supervisión humana | Garantizar que hay personas supervisando las decisiones de la IA | Agosto 2026 |
| Datos de entrada relevantes | Asegurar que los datos que alimentan el sistema son adecuados | Agosto 2026 |
| Monitorización | Vigilar el funcionamiento del sistema e informar de incidentes | Agosto 2026 |
| Registro de actividad | Conservar logs durante al menos 6 meses | Agosto 2026 |
| Evaluación de impacto | Realizar una evaluación de impacto en derechos fundamentales | Agosto 2026 |
| Transparencia | Informar a los afectados de que se usa IA en decisiones sobre ellos | Agosto 2026 |
| Información a representantes de trabajadores | Si el sistema afecta a empleados, informar a representantes sindicales | Agosto 2026 |
Evaluación de impacto en derechos fundamentales
Esta es la obligación más importante para deployers de alto riesgo. Debes realizar y documentar una evaluación que incluya:
- Descripción del uso: Para qué usas el sistema de IA y en qué procesos se integra.
- Período de uso previsto: Durante cuánto tiempo planeas usarlo.
- Categorías de personas afectadas: A quién afectan las decisiones del sistema.
- Riesgos para derechos fundamentales: Qué derechos podrían verse afectados (igualdad, no discriminación, privacidad, etc.).
- Medidas de mitigación: Qué haces para reducir esos riesgos.
- Plan de supervisión humana: Quién revisa las decisiones de la IA y cómo.
Obligaciones para modelos de IA de propósito general (GPAI)
Los modelos de propósito general -- como GPT-4, Claude, Gemini o Llama -- tienen sus propias obligaciones bajo el EU AI Act, pero estas recaen principalmente en los proveedores del modelo, no en los usuarios. Sin embargo, te interesa saber qué exige la norma porque afecta a la calidad y transparencia de las herramientas que usas.
Obligaciones para proveedores de GPAI (desde agosto 2025)
| Obligación | Aplicable a |
|---|---|
| Documentación técnica del modelo | Todos los proveedores GPAI |
| Política de cumplimiento de derechos de autor | Todos los proveedores GPAI |
| Publicar resumen del contenido de entrenamiento | Todos los proveedores GPAI |
| Evaluación del modelo según estándares | GPAI con riesgo sistémico |
| Evaluación adversarial (red-teaming) | GPAI con riesgo sistémico |
| Reportar incidentes graves a la Oficina de IA | GPAI con riesgo sistémico |
| Ciberseguridad adecuada | GPAI con riesgo sistémico |
Un GPAI tiene "riesgo sistémico" si supera cierto umbral de capacidad computacional (10^25 FLOPS en el entrenamiento) o si la Comisión Europea lo designa explícitamente. A día de hoy, GPT-4, GPT-5, Claude Opus 4.x, Gemini Ultra y similares probablemente superan o están cerca de ese umbral.
Para ti como usuario, lo importante es que Anthropic (Claude), OpenAI (ChatGPT) y Google (Gemini) tienen obligaciones de documentación y transparencia que te benefician. Si un proveedor no cumple, eso puede afectar a tu propia responsabilidad como deployer.
Si quieres entender mejor los productos de Anthropic y cómo abordan estas obligaciones, consulta la guía completa de Anthropic y Claude.
Herramientas de IA comunes en empresas españolas: en qué categoría caen
La pregunta práctica que te estarás haciendo es: "¿Las herramientas que yo uso están reguladas?" Vamos a clasificar las más comunes.
| Herramienta / Uso | Categoría de riesgo | Obligaciones |
|---|---|---|
| ChatGPT / Claude / Gemini (uso interno) | Mínimo | Ninguna obligación específica |
| Chatbot de atención al cliente en web | Limitado | Informar al usuario de que es IA |
| Filtrado automático de CVs (LinkedIn Recruiter, etc.) | Alto riesgo | Evaluación de conformidad, supervisión humana, evaluación de impacto |
| Scoring crediticio automatizado | Alto riesgo | Todas las obligaciones de alto riesgo |
| Análisis de sentimiento de empleados | Inaceptable | Prohibido |
| Reconocimiento facial en oficina | Depende del uso | De limitado a inaceptable |
| Generación de imágenes con IA | Limitado | Etiquetar como generado por IA |
| Sistema de recomendación de productos | Mínimo | Ninguna |
| IA para diagnóstico médico | Alto riesgo | Evaluación como dispositivo médico + AI Act |
| Conducción autónoma | Alto riesgo | Regulación sectorial + AI Act |
| Traducción automática | Mínimo | Ninguna |
| Detección de fraude financiero | Alto riesgo | Si afecta a derechos de personas físicas |
Caso especial: IA generativa en marketing
Si usas IA para generar contenido de marketing (textos, imágenes, vídeos), caes en la categoría de riesgo limitado. Tu obligación es transparencia: no debes presentar contenido generado por IA como si fuera creado por humanos cuando pueda confundirse en asuntos de interés público. En la práctica, para marketing comercial esto no es problemático, pero sí debes ser cuidadoso con contenido que pueda parecer informativo o periodístico.
Checklist práctico de cumplimiento para empresas españolas
Este es el checklist que te recomiendo seguir si eres responsable de tecnología, legal o dirección en una empresa española que usa herramientas de IA. Está ordenado por urgencia.
Fase 1: Inventario (hacer AHORA)
- [ ] Listar todas las herramientas de IA que usa tu empresa (incluyendo funcionalidades de IA en software existente como CRM, ERP, RRHH).
- [ ] Clasificar cada herramienta según las cuatro categorías de riesgo.
- [ ] Identificar si alguna práctica es de riesgo inaceptable y cesarla inmediatamente (ya es obligatorio desde febrero 2025).
- [ ] Documentar qué datos alimentan cada sistema de IA.
Fase 2: Formación (completar antes de junio 2026)
- [ ] Formar a los empleados que usan herramientas de IA sobre sus capacidades, limitaciones y riesgos (Artículo 4, ya obligatorio).
- [ ] Formar al equipo legal sobre las obligaciones específicas del EU AI Act.
- [ ] Designar un responsable de cumplimiento de IA en la organización.
Fase 3: Cumplimiento de alto riesgo (completar antes de agosto 2026)
- [ ] Evaluar si algún sistema es de alto riesgo según los criterios del Anexo III.
- [ ] Contactar a los proveedores de sistemas de alto riesgo para obtener documentación de conformidad.
- [ ] Realizar la evaluación de impacto en derechos fundamentales.
- [ ] Implementar supervisión humana en decisiones automatizadas de alto riesgo.
- [ ] Configurar registros de actividad (logs) y conservarlos al menos 6 meses.
- [ ] Informar a representantes de trabajadores si la IA afecta a empleados.
Fase 4: Transparencia (implementar progresivamente)
- [ ] Etiquetar chatbots como IA en interacciones con clientes.
- [ ] Etiquetar contenido generado por IA cuando sea publicado externamente.
- [ ] Informar a los afectados cuando se use IA en decisiones que les conciernan.
Fase 5: Monitorización continua
- [ ] Monitorizar el funcionamiento de los sistemas de IA de alto riesgo.
- [ ] Reportar incidentes graves a AESIA.
- [ ] Actualizar la evaluación de impacto cuando cambien los sistemas o sus usos.
- [ ] Seguir las guías de AESIA a medida que se publiquen.
Cómo afecta el EU AI Act a sectores específicos en España
Cada sector tiene matices diferentes bajo el EU AI Act. Vamos a ver los más relevantes para empresas españolas.
Banca y servicios financieros
Este es probablemente el sector más afectado. Los sistemas de scoring crediticio, detección de fraude y evaluación de riesgo de seguros caen, casi sin excepción, en la categoría de alto riesgo.
| Sistema | Categoría | Acción requerida |
|---|---|---|
| Scoring crediticio automatizado | Alto riesgo | Evaluación de conformidad completa |
| Detección de fraude (tarjetas, transferencias) | Alto riesgo | Supervisión humana, logs |
| Evaluación de riesgo de seguros | Alto riesgo | Evaluación de impacto |
| Chatbot de atención al cliente | Limitado | Transparencia |
| Recomendación de productos financieros | Mínimo/Limitado | Depende del contexto |
Las entidades financieras españolas (bancos, aseguradoras, fintech) deben realizar la evaluación de impacto en derechos fundamentales antes de agosto de 2026. Si tu empresa está en este sector, el momento de empezar es ahora. Para herramientas específicas de IA en contabilidad y finanzas, consulta nuestra guía de IA para contabilidad y finanzas.
Recursos humanos
El filtrado automático de CVs y la evaluación de rendimiento con IA son alto riesgo. Esto afecta a cualquier empresa que use:
- LinkedIn Recruiter con funcionalidades de IA
- ATS (Applicant Tracking Systems) con scoring automático
- Herramientas de evaluación de rendimiento basadas en datos
- Análisis de productividad automatizado
La obligación de supervisión humana es especialmente relevante aquí: nunca debes rechazar a un candidato exclusivamente por la decisión de un algoritmo sin que un humano revise el resultado.
Sector legal
Los despachos de abogados que usan IA para revisión de contratos, análisis de jurisprudencia o predicción de sentencias deben prestar atención. Aunque muchas de estas herramientas caen en riesgo limitado o mínimo, la IA usada en la administración de justicia (por ejemplo, asistencia en la determinación de sentencias) es explícitamente alto riesgo.
Para despachos que están empezando con IA, la guía de IA para abogados y despachos jurídicos cubre las herramientas disponibles y sus implicaciones.
Sanidad
Los sistemas de IA para diagnóstico médico son alto riesgo y, además, están sujetos a la regulación de dispositivos médicos (MDR). Esto significa doble regulación: el EU AI Act y el Reglamento de Dispositivos Médicos (UE) 2017/745. Los hospitales y clínicas que usen IA diagnóstica deben coordinar el cumplimiento de ambas normas.
Educación
Los sistemas de evaluación automática y los que determinan el acceso a formación son alto riesgo. Esto afecta a universidades, centros de formación y plataformas de e-learning que usen IA para puntuar exámenes o decidir la admisión de estudiantes.
Comercio minorista y e-commerce
Para la mayoría del retail, la situación es más relajada. Los sistemas de recomendación de productos, los chatbots de atención al cliente y las herramientas de marketing con IA caen en riesgo mínimo o limitado. La principal obligación es transparencia en chatbots y contenido generado.
El sandbox regulatorio español
España fue pionera en crear un sandbox regulatorio para IA, gestionado por AESIA, que permite a las empresas probar sistemas de IA en un entorno controlado antes de lanzarlos al mercado. Si tu empresa está desarrollando o implementando IA de alto riesgo, participar en el sandbox puede ahorrarte problemas.
Qué ofrece el sandbox
| Beneficio | Descripción |
|---|---|
| Asesoramiento regulatorio | AESIA te ayuda a clasificar tu sistema e identificar obligaciones |
| Pruebas controladas | Probar tu IA con datos reales en un entorno supervisado |
| Reducción de incertidumbre | Saber antes de lanzar si cumples o no |
| Certificación informal | Aunque no es una certificación formal, participar demuestra buena fe |
Cómo participar
A fecha de marzo de 2026, el sandbox acepta solicitudes de empresas españolas que quieran probar sistemas de IA antes de su despliegue comercial. El proceso es:
- Solicitud a AESIA describiendo el sistema de IA.
- Evaluación por parte de AESIA.
- Periodo de prueba supervisado (típicamente 6-12 meses).
- Informe final con recomendaciones.
Si te interesa solicitar ayudas públicas para implementar IA, el artículo sobre Kit Digital 2026 y ayudas para IA te explica las opciones disponibles.
ROI del cumplimiento: cuánto cuesta cumplir vs cuánto cuesta no cumplir
Cumplir con el EU AI Act tiene un coste, pero no cumplir puede ser mucho más caro. Vamos a calcularlo.
Coste estimado de cumplimiento para una PYME española
| Concepto | Coste estimado | Frecuencia |
|---|---|---|
| Auditoría inicial de sistemas de IA | 3.000 - 10.000 EUR | Una vez |
| Formación de empleados (Artículo 4) | 1.000 - 5.000 EUR | Anual |
| Evaluación de impacto (si alto riesgo) | 5.000 - 20.000 EUR | Por sistema |
| Consultoría legal especializada | 3.000 - 15.000 EUR | Según necesidad |
| Implementación de supervisión humana | 2.000 - 8.000 EUR | Una vez |
| Total estimado (PYME con 1-2 sistemas de alto riesgo) | 14.000 - 58.000 EUR | Primer año |
Coste de no cumplir
| Escenario | Coste potencial |
|---|---|
| Multa por incumplimiento de alto riesgo (3% facturación) | 150.000 EUR (empresa de 5M facturación) |
| Multa por práctica prohibida (7% facturación) | 350.000 EUR (empresa de 5M facturación) |
| Daño reputacional | Incalculable |
| Paralización de sistemas | Pérdida de productividad |
| Litigios de empleados o clientes afectados | Variable, potencialmente alto |
ROI del cumplimiento
| Concepto | Sin cumplir | Cumpliendo |
|---|---|---|
| Inversión en cumplimiento | 0 EUR | 30.000 EUR (media) |
| Riesgo de multa (probabilidad 10% en 3 años) | 150.000 EUR x 10% = 15.000 EUR/año | ~0 EUR |
| Confianza de clientes | Riesgo de pérdida | Ventaja competitiva |
| Acceso a licitaciones públicas | Puede ser descalificante | Requisito cumplido |
| Coste neto a 3 años | 45.000 EUR (riesgo) | 30.000 EUR (inversión) |
El cumplimiento es más barato que la alternativa, especialmente si consideras que las administraciones públicas españolas van a empezar a exigir cumplimiento del EU AI Act como requisito en licitaciones y contratación pública. Si quieres calcular el coste completo de implementar IA en tu empresa incluyendo el cumplimiento normativo, la guía de costes de implementación de IA te da un marco de referencia.
Modelos de IA de propósito general y la "cuestión del copyright"
Uno de los temas más polémicos del EU AI Act es la obligación de los proveedores de GPAI de publicar un resumen del contenido utilizado para entrenar sus modelos. Esto tiene implicaciones directas para OpenAI, Anthropic, Google y el resto de proveedores.
Lo que exige el Reglamento
El Artículo 53 obliga a los proveedores de GPAI a:
- Elaborar y mantener actualizada documentación técnica del modelo.
- Elaborar y mantener actualizada una política de cumplimiento del derecho de la Unión en materia de derechos de autor.
- Publicar un resumen suficientemente detallado del contenido utilizado para el entrenamiento.
La posición de los proveedores principales
| Proveedor | Modelo | Posición sobre transparencia de datos |
|---|---|---|
| OpenAI | GPT-4/5 | Ha publicado información limitada; argumenta secreto comercial |
| Anthropic | Claude | Más transparente; ha publicado detalles de Constitutional AI |
| Gemini | Información limitada; datos propios de Google + web | |
| Meta | Llama | Open-source parcial; detalles de entrenamiento limitados |
| Mistral | Mistral/Mixtral | Posición similar a Meta |
Para ti como empresa, esto importa porque si usas un modelo cuyo proveedor no cumple con las obligaciones de GPAI, tu propia posición regulatoria puede verse afectada. Es un factor más a considerar al elegir proveedor.
El EU AI Act vs otras regulaciones internacionales
El EU AI Act no existe en un vacío: se enmarca en un contexto global donde diferentes jurisdicciones están abordando la regulación de la IA de formas muy distintas.
| Aspecto | EU AI Act | EE.UU. (Executive Order) | China (regulación fragmentada) | Reino Unido (pro-innovación) |
|---|---|---|---|---|
| Enfoque | Regulación integral basada en riesgo | Directrices voluntarias + sectoriales | Regulaciones específicas (deepfakes, recomendaciones) | Principios generales, reguladores sectoriales |
| Multas | Hasta 35M EUR / 7% | No definidas federalmente | Hasta cierre de empresa | No definidas centralmente |
| Autoridad central | Oficina Europea de IA + autoridades nacionales | Sin agencia federal dedicada | CAC (Cyberspace Administration) | Sin regulador central de IA |
| Alcance | Extraterritorial (afecta a empresas no-UE) | Solo empresas americanas | Solo empresas en China | Solo empresas en UK |
| Estado | Vigente (escalonado) | Executive Order (revocable) | Vigente (fragmentado) | Framework publicado, sin ley |
El "efecto Bruselas" es real: muchas empresas globales están adaptando sus sistemas de IA al estándar más estricto (el europeo) porque es más eficiente cumplir con una regulación que mantener versiones diferentes para cada mercado. Si tu empresa opera en múltiples países de la UE, el EU AI Act te simplifica la vida porque es una regulación armonizada para los 27 estados miembros.
Cómo se relaciona el EU AI Act con el GDPR
El EU AI Act no sustituye al GDPR: se complementa con él. Si tu sistema de IA procesa datos personales (y la mayoría lo hace), debes cumplir ambas regulaciones simultáneamente.
| Aspecto | GDPR | EU AI Act | Interacción |
|---|---|---|---|
| Objeto | Datos personales | Sistemas de IA | Un sistema de IA que procesa datos personales debe cumplir ambos |
| Base legal | Consentimiento, interés legítimo, etc. | Clasificación de riesgo | La base legal de GDPR es necesaria para alimentar el sistema de IA |
| Derechos del individuo | Acceso, rectificación, supresión, oposición | Transparencia, supervisión humana, explicabilidad | El derecho a explicación del GDPR (Art. 22) se refuerza con el AI Act |
| DPO | Obligatorio en ciertos casos | No requerido específicamente | El DPO puede coordinar cumplimiento de ambas normas |
| DPIA (Evaluación de impacto) | Obligatoria para tratamientos de alto riesgo | Evaluación de impacto en derechos fundamentales | Pueden combinarse en un solo documento |
| Autoridad | AEPD (España) | AESIA (España) | Deben coordinarse; posibles conflictos de competencia |
Consejo práctico
Si tu empresa ya tiene un Delegado de Protección de Datos (DPO) y ha hecho evaluaciones de impacto bajo el GDPR, tienes una base sólida. La evaluación de impacto del EU AI Act puede integrarse en los procesos existentes de GDPR. No empieces de cero: adapta lo que ya tienes.
Errores Comunes
Error 1: "Esto solo afecta a las grandes tech, no a mi PYME"
Problema: Muchas PYMEs españolas asumen que el EU AI Act es solo para Google, Meta y OpenAI, y que ellas no tienen obligaciones.
Solución: El Reglamento afecta tanto a proveedores como a "deployers" (usuarios) de sistemas de IA. Si tu PYME usa un sistema de filtrado de CVs, un chatbot de atención al cliente o un sistema de scoring crediticio, tienes obligaciones. Haz el inventario de herramientas de IA que usa tu empresa y clasifícalas según las categorías de riesgo.
Error 2: "Usamos ChatGPT/Claude internamente, así que estamos en alto riesgo"
Problema: Algunas empresas se asustan innecesariamente al pensar que usar LLMs las coloca en la categoría de alto riesgo.
Solución: Usar ChatGPT, Claude o Gemini como herramienta de productividad interna (redacción, análisis, investigación) cae en la categoría de riesgo mínimo y no tiene obligaciones específicas. Solo sube de categoría si usas la IA para tomar decisiones que afectan a los derechos de las personas (contratación, crédito, etc.) o si la pones de cara al público (chatbot, generación de contenido publicado).
Error 3: "Tenemos hasta 2027, hay tiempo de sobra"
Problema: Posponer cualquier acción porque "la fecha límite está lejos".
Solución: Las prohibiciones de riesgo inaceptable ya están en vigor desde febrero de 2025. La obligación de alfabetización en IA también. Y las obligaciones de alto riesgo son aplicables el 2 de agosto de 2026, que está a menos de cinco meses. Si tienes sistemas de alto riesgo, necesitas empezar ya: la evaluación de impacto, la documentación técnica y la implementación de supervisión humana llevan tiempo. No subestimes el esfuerzo.
Error 4: "El proveedor del software es el responsable, no nosotros"
Problema: Creer que toda la responsabilidad recae en el proveedor del sistema de IA (OpenAI, el fabricante del ATS, etc.).
Solución: El EU AI Act distingue entre proveedores y deployers, y ambos tienen obligaciones. Como deployer, eres responsable de usar el sistema conforme a instrucciones, implementar supervisión humana, conservar logs, hacer la evaluación de impacto y ser transparente con los afectados. No puedes delegar estas obligaciones en el proveedor.
Error 5: "Con cumplir el GDPR ya es suficiente"
Problema: Asumir que el cumplimiento del GDPR cubre automáticamente las obligaciones del EU AI Act.
Solución: Son regulaciones complementarias, no sustitutivas. El GDPR regula los datos; el EU AI Act regula los sistemas. Puedes aprovechar los procesos de GDPR (DPO, evaluaciones de impacto, registros de actividad) como base, pero necesitas adaptarlos a los requisitos específicos del AI Act.
Preguntas Frecuentes
¿Cuándo entra en vigor completamente el EU AI Act?
El EU AI Act tiene un calendario escalonado. Las prohibiciones de prácticas de riesgo inaceptable y la obligación de alfabetización en IA entraron en vigor el 2 de febrero de 2025. Las obligaciones para modelos de propósito general (GPAI) son aplicables desde agosto de 2025. Las obligaciones completas para sistemas de alto riesgo serán aplicables el 2 de agosto de 2026. Las obligaciones para sistemas de alto riesgo que son componentes de productos ya regulados tienen plazo hasta agosto de 2027.
¿Mi empresa necesita un "responsable de IA" como tiene un DPO?
El EU AI Act no exige explícitamente una figura equivalente al DPO, pero sí exige que alguien se ocupe del cumplimiento. En la práctica, muchas empresas están creando el rol de "AI Compliance Officer" o ampliando las funciones del DPO para cubrir también la regulación de IA. Para PYMEs, puede ser suficiente con que el responsable legal o de tecnología asuma estas funciones con formación adecuada.
¿Cómo sé si un sistema de IA que uso es de alto riesgo?
Revisa el Anexo III del Reglamento y compara con tu uso específico. Las áreas clave son: biometría, infraestructuras críticas, educación, empleo/RRHH, servicios esenciales (crédito, seguros), aplicación de la ley, migración y administración de justicia. Si tu sistema toma decisiones o asiste en decisiones que afectan significativamente a los derechos de las personas en estas áreas, es probablemente alto riesgo. Ante la duda, consulta con un especialista o con AESIA.
¿Qué pasa si mi proveedor de IA no cumple con el EU AI Act?
Puedes tener responsabilidad como deployer incluso si el proveedor no cumple. El Reglamento te obliga a verificar que usas el sistema conforme a instrucciones y que tienes la documentación necesaria. Si el proveedor no te facilita la documentación de conformidad (lo cual es su obligación), deberías exigírsela por escrito y, en último caso, considerar cambiar de proveedor. Guardar evidencia de tus solicitudes es importante para demostrar buena fe.
¿Hay ayudas públicas para cubrir los costes de cumplimiento?
Sí, parcialmente. El programa Kit Digital y las subvenciones de digitalización de las CCAA pueden cubrir parte de los costes de consultoría y formación en IA, incluyendo el cumplimiento normativo. AESIA también está previendo programas de apoyo específicos para PYMEs. Consulta la guía de Kit Digital 2026 para ver las opciones actuales.
¿El EU AI Act afecta a empresas fuera de la UE?
Sí, tiene alcance extraterritorial. El Reglamento se aplica a proveedores de IA que pongan sus sistemas en el mercado de la UE o los pongan en servicio en la UE, independientemente de dónde estén establecidos. También se aplica a deployers de IA ubicados dentro de la UE. Si eres una empresa española que usa IA de un proveedor americano, tanto tú (como deployer) como el proveedor americano (como proveedor) tenéis obligaciones bajo el EU AI Act.
¿Cómo afecta a la IA open-source?
Los modelos open-source tienen un tratamiento especial. Los proveedores de modelos de IA de propósito general publicados bajo licencias open-source están exentos de algunas obligaciones (como la documentación técnica detallada), siempre que el modelo no sea de riesgo sistémico. Sin embargo, si tú como empresa usas un modelo open-source para crear un sistema de alto riesgo, tus obligaciones como deployer siguen siendo las mismas. La licencia open-source no te exime de cumplir.
¿Qué papel tiene la Oficina Europea de IA?
La Oficina Europea de IA (EU AI Office), creada en febrero de 2024 dentro de la Comisión Europea, coordina la implementación del EU AI Act a nivel de la UE. Es responsable de supervisar los modelos de propósito general (GPAI) de riesgo sistémico, coordinarse con las autoridades nacionales (como AESIA), elaborar guías y estándares, y gestionar el foro consultivo y el panel científico. No es una autoridad sancionadora directa para empresas, pero sí supervisa a los proveedores de los modelos GPAI más grandes.
Conclusión: Mi Recomendación Personal
Si has leído hasta aquí, ya tienes una comprensión sólida de lo que el EU AI Act exige y cómo afecta a tu empresa. Te dejo mi recomendación directa.
No entres en pánico, pero tampoco lo ignores. Para la mayoría de las PYMEs españolas, la situación es manejable: probablemente usas IA en categoría de riesgo mínimo o limitado, y tus obligaciones se limitan a transparencia y formación básica. Pero si usas IA en RRHH, crédito, seguros o cualquier proceso que afecte a derechos de personas, necesitas actuar antes de agosto de 2026.
Mi recomendación en tres pasos:
- Esta semana: Haz un inventario de todas las herramientas de IA que usa tu empresa. No olvides las funcionalidades de IA embebidas en software que ya usas (tu CRM, tu ATS, tu herramienta de email marketing).
- Este mes: Clasifica cada herramienta según las categorías de riesgo. Si alguna cae en alto riesgo, contacta al proveedor para obtener documentación de conformidad y empieza a planificar la evaluación de impacto.
- Antes de julio de 2026: Completa el checklist de cumplimiento. Si no tienes recursos internos, busca consultoría especializada. Es una inversión que se paga sola cuando consideras las alternativas.
El EU AI Act no es una amenaza: es una oportunidad para las empresas que hagan las cosas bien. En un mercado donde la confianza del consumidor en la IA es cada vez más importante, poder demostrar cumplimiento normativo es una ventaja competitiva real.
Para más análisis sobre cómo integrar IA en tu empresa de forma práctica y cumpliendo la normativa, visita Javadex, donde publicamos guías actualizadas orientadas a profesionales y empresas españolas.
Fuentes
- Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (EU AI Act). Disponible en: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32024R1689. Publicado el 12 de julio de 2024.
- AESIA (Agencia Española de Supervisión de la Inteligencia Artificial). Disponible en: https://www.aesia.gob.es/. Consultado el 30 de marzo de 2026.
- Comisión Europea. "AI Act - Shaping Europe's digital future". Disponible en: https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai. Consultado el 30 de marzo de 2026.
- BOE. Real Decreto 729/2023, de 22 de agosto, por el que se aprueba el Estatuto de la Agencia Española de Supervisión de Inteligencia Artificial. Disponible en: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2023-19154. Consultado el 30 de marzo de 2026.
- Future of Life Institute. "EU AI Act Compliance Checker". Disponible en: https://artificialintelligenceact.eu/. Consultado el 30 de marzo de 2026.
Posts Relacionados
- Cómo empezar con IA en tu empresa: guía para principiantes
- Cuánto cuesta implementar IA en tu empresa: precios y ROI
- Kit Digital 2026: cómo solicitar la ayuda paso a paso
- Automatizar tu negocio con IA sin programar: guía para PYMEs
- Anthropic y Claude: historia, productos y guía completa
- IA para abogados y despachos jurídicos: herramientas
- IA para contabilidad y finanzas: herramientas y automatización
- ChatGPT Plus vs Claude Pro vs Gemini Advanced
En Resumen
- El EU AI Act (Reglamento (UE) 2024/1689) es la primera regulación integral de IA del mundo, aprobado en junio de 2024, y afecta a cualquier empresa que use o desarrolle sistemas de IA dentro de la Unión Europea, independientemente de su tamaño.
- Las cuatro categorías de riesgo (inaceptable, alto, limitado, mínimo) determinan tus obligaciones: las prohibiciones de riesgo inaceptable ya están en vigor desde el 2 de febrero de 2025, y las de alto riesgo serán aplicables el 2 de agosto de 2026.
- Las sanciones son las más altas de cualquier regulación digital europea: hasta 35 millones de euros o el 7% de la facturación global por prácticas prohibidas, y hasta 15 millones o el 3% por incumplimiento de obligaciones de alto riesgo.
- AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en A Coruña, es el organismo encargado de supervisar el cumplimiento en España y ya está operativa desde 2024.
- Para la mayoría de PYMEs españolas que usan ChatGPT, Claude o Gemini como herramientas de productividad, las obligaciones se limitan a transparencia y formación básica (riesgo mínimo o limitado), pero empresas que usan IA en RRHH, crédito o seguros tienen obligaciones mucho más estrictas.
- El coste de cumplimiento para una PYME con sistemas de alto riesgo se estima entre 14.000 y 58.000 euros el primer año, muy inferior al riesgo de multas que puede llegar al 3-7% de la facturación anual.
- El cumplimiento del EU AI Act es compatible con el GDPR y puede integrarse en los procesos existentes de protección de datos, y además se convierte en una ventaja competitiva en licitaciones públicas y confianza del cliente.
¿Listo para poner tu proyecto en producción?
Si estás siguiendo este tutorial, necesitas un servidor donde desplegarlo. Yo uso Hostinger para mis proyectos porque el panel es intuitivo, los VPS van con SSD NVMe, y a 4,99€/mes no hay nada comparable en relación calidad-precio.
* Enlace de afiliado. Si contratas a través de este enlace, nos ayudas a mantener este contenido gratuito.
Posts Relacionados
Consultoría IA en San Sebastián (Donostia): Agentes, Automatización y Modelos Privados para Empresas [2026]
Guía completa de servicios de inteligencia artificial en San Sebastián: agentes IA, automatización, modelos privados y consultoría para empresas vascas en 2026.
Kit Digital 2026 para IA: Cómo Solicitar Hasta 12.000€ para tu PYME Paso a Paso
Tutorial paso a paso para solicitar el Kit Digital 2026 con soluciones de IA. Requisitos, cuantías por segmento (hasta 12.000€), agentes digitalizadores y errores que rechazan tu solicitud.
Formación en Claude Code para Empresas en España: Proveedores, Precios y Qué Esperar [2026]
Guía de formación en Claude Code para empresas españolas: proveedores, precios (desde 4.000€), programas in-company, duración y resultados esperados.
Javier Santos Criado
Consultor de IA y Automatización | Fundador de Javadex
Experto en implementación de soluciones de Inteligencia Artificial para empresas. Especializado en automatización con n8n, integración de LLMs, y desarrollo de agentes IA.
Lleva tu proyecto a producción
Hosting web desde 2,99€/mes o VPS con SSD NVMe desde 4,99€/mes. Panel intuitivo, IP dedicada y soporte 24/7 en español.
¿Quieres más contenido de IA?
Explora nuestras comparativas y guías