El Reglamento Europeo de Inteligencia Artificial (AI Act) entró en vigor el 1 de agosto de 2024. No se aplica de golpe — se despliega en fases hasta 2027. A 20 de abril de 2026, ya hay dos hitos vinculantes vencidos y otro dentro de menos de cuatro meses.
Este artículo cuenta qué aplica ya, qué viene, qué sanciones hay encima de la mesa y qué checklist concreta debería tener cualquier empresa española que use IA generativa — desde una pyme con ChatGPT hasta una gran cuenta con modelos propios.
Los plazos del AI Act que importan en España
|
Fecha |
Qué aplica |
|---|---|
|
1 agosto 2024 |
Entrada en vigor formal. Sin obligaciones aún. |
|
2 febrero 2025 |
Prohibiciones absolutas activas. Determinados usos de IA simplemente no se pueden hacer. |
|
2 agosto 2025 |
General Purpose AI (GPAI) con obligaciones de transparencia, copyright y documentación técnica. Gobernanza nacional operativa. |
|
2 agosto 2026 |
Sistemas de alto riesgo: obligaciones plenas para la mayoría. |
|
2 agosto 2027 |
Resto de sistemas embebidos en productos regulados (dispositivos médicos, juguetes). |
España designó la Agencia Española de Supervisión de Inteligencia Artificial (AESIA) como autoridad competente. Está operativa con sede en A Coruña, con personal propio y presupuesto asignado. Ya está recibiendo notificaciones.
Qué prohibiciones están activas desde febrero 2025
Son ocho prácticas que ninguna empresa puede usar, sin excepciones salvo fuerzas de seguridad con autorización judicial:
Técnicas subliminales o manipulativas que causen daño.
Explotación de vulnerabilidades por edad, discapacidad o situación socioeconómica.
Clasificación social ("social scoring") de personas físicas.
Policía predictiva basada solo en perfilado.
Raspado masivo de imágenes faciales de internet para bases de datos biométricas.
Reconocimiento de emociones en el trabajo o centros educativos (salvo excepciones médicas/seguridad).
Categorización biométrica por raza, religión, orientación sexual, opinión política.
Identificación biométrica remota en tiempo real en espacios públicos (salvo excepciones muy acotadas).
La mayoría de empresas no hacen nada de esto, pero casos frecuentes que tropiezan:
Software de RRHH con "análisis de personalidad" del candidato por vídeo (tropieza con 6).
Plataformas de e-learning con detección de "engagement emocional" del alumno (tropieza con 6).
Sistemas de marketing hiper-personalizado que detectan estados emocionales para vender (tropieza con 1 si el daño es demostrable).
Si tu proveedor te vende una función así, apágala o exige base legal documentada ya.
GPAI: la obligación que impacta a cualquier usuario de IA generativa
Desde agosto 2025 aplican las obligaciones de General Purpose AI. Afectan principalmente a los proveedores de modelos (OpenAI, Anthropic, Mistral, Google, etc.), pero hay efectos de cadena:
Para proveedores GPAI:
Documentación técnica disponible a autoridades.
Política de cumplimiento de copyright (esto ha generado litigios masivos en 2025).
Resumen público de datos usados en entrenamiento.
Marcado de contenido generado por IA (watermarks cuando sea viable).
Para ti como empresa que usa GPAI (deployer):
Información a usuarios finales cuando interactúan con IA (chatbots, asistentes).
Marcado de contenido IA en lo que publiques generado por IA (deepfakes, imágenes, textos masivos).
Evaluación de impacto si usas IA en contextos de alto riesgo (contratación, crédito, educación).
Formación AI literacy obligatoria para tu personal desde febrero 2025 (Art. 4).
Esto último es el que más empresas están descuidando. Art. 4 del AI Act obliga a que tu personal tenga formación mínima en IA proporcional a su uso. No hay certificación oficial exigida, pero sí debes poder probar que formaste al equipo.
Sistemas de alto riesgo: el hito de agosto 2026
Quedan menos de cuatro meses (a 20 abril 2026) para que empiecen a aplicarse las obligaciones plenas a sistemas de alto riesgo. Son sistemas de IA usados en contextos sensibles, listados en el Anexo III:
Empleo: selección, evaluación, promoción, terminación.
Educación: admisiones, evaluación, puntuación.
Acceso a servicios privados: scoring crediticio, precio de seguros.
Acceso a servicios públicos: asistencia social, inmigración, asilo.
Administración de justicia y procesos democráticos.
Infraestructuras críticas: energía, agua, transporte.
Aplicaciones de ley.
Si tu empresa tiene un sistema en alguna de estas categorías, obligaciones:
Sistema de gestión de riesgos documentado y vivo.
Gobernanza de datos: calidad, representatividad, bias mitigation.
Documentación técnica completa y actualizada.
Logs automáticos de operación con trazabilidad.
Transparencia hacia el deployer y el usuario final.
Supervisión humana efectiva (no meramente formal).
Robustez, precisión y ciberseguridad demostrables.
Sistema de calidad tipo ISO 9001 aplicado a IA.
Declaración de conformidad UE y marcado CE.
Registro en base de datos UE para ciertos sistemas.
No es "papeleo burocrático": es arquitectura. Si arrancas en agosto de 2026 sin haberlo planeado, no llegas.
Sanciones: qué te puede caer
Tres tramos según la infracción:
|
Tipo |
Sanción máxima |
|---|---|
|
Uso prohibido (Art. 5) |
35 M€ o 7% facturación mundial (la mayor) |
|
Incumplimiento obligaciones alto riesgo / GPAI |
15 M€ o 3% facturación |
|
Suministro de información incorrecta a autoridades |
7,5 M€ o 1% facturación |
Para pymes y startups hay topes reducidos proporcionales, pero el principio de "la mayor de las dos" les sigue aplicando.
AESIA aún no ha abierto su primer procedimiento público sancionador (a abril 2026). Se espera la primera oleada en H2 2026 coincidiendo con hito de alto riesgo.
Checklist accionable para 2026
1. Inventario
Lista todos los sistemas de IA que usas, en producción o piloto. Incluir:
ChatGPT, Claude, Gemini, Copilot (GPAI deployer).
Cualquier SaaS que "usa IA" por dentro (revisar su DPA y declaración de uso de IA).
Herramientas propias con modelos ML.
Integraciones de tu producto con APIs de IA de terceros.
2. Clasifica por nivel de riesgo
Para cada sistema:
¿Tiene uso prohibido? → apagar ya.
¿Es de alto riesgo según Anexo III? → plan de compliance con deadline agosto 2026.
¿Usa GPAI y genera contenido público? → política de etiquetado IA.
¿Interactúa con usuarios finales? → disclosure obligatorio.
3. Formación AI literacy
Mínimo:
Todo el personal que usa IA: sesión de 1h sobre riesgos, uso responsable, qué no mandar.
Equipos técnicos: formación técnica específica según stack.
Dirección: briefing legal sobre obligaciones AI Act y RGPD.
Registro de asistencia y materiales — es lo que te pedirán si AESIA pregunta.
4. Documentación
Registro de sistemas IA (una hoja de cálculo vale si eres pequeño).
Evaluaciones de impacto (DPIA RGPD ampliada con sección IA Act).
Política de uso responsable de IA interna.
Plan de respuesta a incidentes IA (qué haces si el modelo alucina algo crítico).
5. Contratos con proveedores
Revisa contratos con OpenAI, Anthropic, Mistral, etc.:
¿Incluyen cláusulas AI Act GPAI? Deberían ya.
¿Declaran qué datos usaron en entrenamiento?
¿Ofrecen documentación técnica bajo NDA?
Si tu proveedor no tiene esto en su portal, renegociar al menos el DPA con adenda AI Act.
6. Transparencia al usuario
Dónde aplica:
Chatbots con IA: banner "Estás interactuando con IA".
Contenido generado por IA en tu web/redes: etiqueta.
Sistemas de decisión que afectan al usuario: derecho a explicación.
7. Gobernanza interna
Designa responsable de IA en tu empresa. Puede ser el DPO, el CTO, el CISO o un rol nuevo. El AI Act no exige un "AI Officer" formal, pero necesitas un interlocutor para AESIA cuando llame.
El punto de la soberanía tecnológica europea
El AI Act es, en el fondo, una apuesta europea por no repetir el error del RGPD: que la ley esté bien diseñada pero la infraestructura dependa de EEUU. Por eso el AI Act va acompañado de iniciativas industriales (AI Factories, Common European Data Spaces, GAIA-X).
Para una empresa española en 2026 hay un argumento pragmático además del legal: cuanto más europeo es tu stack de IA, menos riesgo de cumplimiento. No es eslogan — es que un proveedor europeo:
Ya está obligado por RGPD y AI Act bajo su jurisdicción.
Te da interlocutor que responde en semana, no en meses.
No depende de marcos de adequacy inestables como el DPF.
Esto no significa descartar OpenAI o Anthropic — significa tener opcionalidad para poder mover workloads sensibles a UE sin rearquitectar todo.
Plataformas como Levante Platform nacen precisamente para dar esa opcionalidad: un punto único desde el que elegir modelo europeo o anglo según caso de uso, con infraestructura en UE por defecto y compliance AI Act + RGPD integrado.
FAQ
¿AI Act afecta a mi pyme si solo uso ChatGPT Team?
Sí — aplica Art. 4 (AI literacy) para tu equipo y las obligaciones de transparencia si ChatGPT aparece cara al cliente. No aplican las obligaciones de alto riesgo salvo que lo uses en contextos del Anexo III.
¿Hay que registrarse en alguna base de datos?
Solo ciertos sistemas de alto riesgo deben registrarse en la base de datos UE. Para el resto, no hay registro proactivo — pero sí documentación interna que AESIA puede pedir.
¿Qué pasa si contrato un servicio SaaS que usa IA por dentro sin decírmelo?
Las obligaciones recaen principalmente en ti como deployer. Exigir al proveedor declaración de sistemas IA embebidos y su clasificación de riesgo. Añadir al DPA.
¿El AI Act se aplica a modelos open source?
Sí, pero con exenciones parciales para modelos GPAI no comerciales. Si los usas en producción comercial, aplican igual. Mistral, Llama, Qwen usados comercialmente: AI Act aplica.
¿Qué es "AI literacy" exactamente?
Art. 4 define capacidades mínimas para el personal que usa IA: entender qué puede y qué no puede un modelo, riesgos, casos de uso apropiados, cómo detectar alucinaciones, implicaciones legales. No hay examen oficial — basta con formación documentada proporcional al rol.
¿El AI Act es compatible con RGPD o se solapan?
Complementarios. RGPD protege datos personales; AI Act regula sistemas de IA. Un sistema de IA que procesa datos personales cumple ambos. Las DPIAs del RGPD deben ampliarse con evaluación de impacto AI Act (FRIA — Fundamental Rights Impact Assessment) para sistemas de alto riesgo.
¿Dónde consulto la ley original?
Reglamento (UE) 2024/1689 en EUR-Lex. AESIA publica guías interpretativas en su web. La Comisión Europea mantiene un "AI Act Explorer" navegable.
Recapitulando
El AI Act ya está aquí. Las prohibiciones llevan más de un año vigentes, las obligaciones GPAI más de seis meses, y los sistemas de alto riesgo entran dentro de cuatro meses. Quien esté esperando a que AESIA sancione para ponerse las pilas va a llegar tarde.
El trabajo que compensa hacer ya: inventario, clasificación, formación y documentación. En paralelo, revisar proveedores y empezar a ganar opcionalidad europea en tu stack de IA. Para el marco más amplio de compliance combinado RGPD + AI Act, la guía que enlaza todo esto es IA y RGPD en 2026. Y si quieres una plataforma que ya viene preparada para ambos, Levante Platform.