El Reglamento (UE) 2024/1689 —el AI Act— es la primera norma horizontal del mundo que regula la inteligencia artificial. Entró en vigor el 2 de agosto de 2024 y se despliega por fases hasta 2027. Si tu empresa usa, integra, distribuye o desarrolla IA —incluso si solo conectas un LLM comercial a tu CRM— probablemente te afecte.
La pregunta no es si te aplica, sino en qué grado y qué obligaciones concretas tienes. Esta guía es una checklist práctica para directivos, DPOs, responsables de compliance y CTOs.
Fases y fechas clave del AI Act
El Reglamento se aplica en bloques:
| Fecha | Qué entra en vigor |
|---|---|
| 2 de agosto de 2024 | Entrada en vigor del Reglamento (UE) 2024/1689 |
| 2 de febrero de 2025 | Aplicación de las prácticas prohibidas (Capítulo II) y obligaciones de alfabetización en IA (art. 4) |
| 2 de agosto de 2025 | Aplicación de las normas sobre modelos de IA de uso general (GPAI), gobernanza y régimen sancionador |
| 2 de agosto de 2026 | Aplicación general del Reglamento, incluidas las obligaciones para sistemas de alto riesgo del Anexo III |
| 2 de agosto de 2027 | Aplicación a sistemas de alto riesgo embebidos en productos regulados (Anexo I, Sección A) |
A abril de 2026, las prohibiciones llevan más de un año vigentes y a tu empresa le quedan meses, no años, para tener listas las obligaciones de alto riesgo si aplica.
Checklist: ¿el AI Act se aplica a tu empresa?
Responde sí o no a las ocho preguntas. Si respondes "sí" a al menos una, el AI Act te afecta.
- ¿Tu empresa desarrolla, comercializa o pone en servicio un sistema de IA en la UE? Incluye software propio con modelos de aprendizaje automático, lógica basada en conocimiento o sistemas estadísticos avanzados.
- ¿Utilizas IA en tu actividad profesional dentro de la UE? Chatbots, scoring de leads, análisis de currículums, asistentes jurídicos con LLM, etc.
- ¿Tu empresa está fuera de la UE pero el resultado del sistema se utiliza en la UE? El AI Act tiene alcance extraterritorial, igual que el RGPD.
- ¿Importas o distribuyes un sistema de IA de un proveedor extracomunitario? Serás "importador" o "distribuidor" según el art. 3 del AI Act, con obligaciones específicas.
- ¿Reetiquetas, modificas sustancialmente o integras un sistema de terceros bajo tu marca? Puedes pasar de "responsable del despliegue" a "proveedor", con un nivel de exigencia mucho mayor.
- ¿El sistema influye en decisiones que afectan a personas físicas? Selección de personal, scoring crediticio, acceso a servicios esenciales, ranking de empleados, biometría, decisiones educativas, etc.
- ¿Integras un modelo de IA de uso general (GPAI) de un tercero —GPT-4, Claude, Gemini, Llama, Mistral— en tu producto? Tienes obligaciones de transparencia y, si lo modificas, puedes asumir las del proveedor.
- ¿Tu uso es exclusivamente personal y no profesional? Si es así, el AI Act probablemente NO te aplica (art. 2). Para cualquier otro escenario empresarial, sí.
Regla de oro: prácticamente cualquier PYME o empresa mediana europea que use IA entra en el ámbito del Reglamento, aunque sea como responsable del despliegue ("deployer"). El nivel depende del riesgo del sistema concreto.
Categorías de riesgo y qué implica cada una
El AI Act clasifica los sistemas en cuatro categorías. Tus obligaciones dependen de aquí.
1. Riesgo inaceptable (prohibido)
Sistemas prohibidos en la UE desde el 2 de febrero de 2025. El art. 5 del AI Act enumera las prácticas vetadas, entre ellas:
- Manipulación subliminal o que explote vulnerabilidades (edad, discapacidad, situación socioeconómica) para alterar el comportamiento.
- Social scoring de personas físicas con efectos perjudiciales.
- Identificación biométrica remota en tiempo real en espacios públicos con fines policiales (con excepciones muy tasadas).
- Inferencia de emociones en el trabajo o centros educativos (salvo razones médicas o de seguridad).
- Categorización biométrica para deducir raza, opiniones políticas, afiliación sindical, religión u orientación sexual.
- Raspado masivo no dirigido de imágenes faciales de internet o CCTV para bases de reconocimiento facial.
Implicación: si tu empresa usa o vende algo de esto, hay que retirarlo.
Las prácticas prohibidas llevan vigentes desde el 2 de febrero de 2025 y su incumplimiento puede acarrear multas de hasta 35 millones de euros o el 7 % del volumen de negocio mundial, lo que sea mayor. No es un riesgo teórico: es la sanción más severa del marco digital europeo, por encima del RGPD.
2. Alto riesgo
La categoría con más carga regulatoria. El AI Act (art. 6) define dos vías:
- Vía A: sistemas que actúan como componente de seguridad de productos regulados por el Anexo I (juguetes, ascensores, dispositivos médicos, vehículos, maquinaria, etc.).
- Vía B: sistemas listados en el Anexo III:
- Identificación y categorización biométrica.
- Infraestructuras críticas (agua, gas, electricidad, tráfico).
- Educación y formación (admisión, evaluación, detección de fraude).
- Empleo y gestión de trabajadores (selección de candidatos, promoción, monitorización del rendimiento).
- Acceso a servicios esenciales públicos y privados (scoring crediticio, prestaciones, priorización en emergencias, seguros de vida y salud).
- Aplicación de la ley, migración, justicia y procesos democráticos.
Si haces scoring crediticio, selección automatizada de candidatos, detección de fraude en seguros, triaje médico o evaluación del rendimiento de empleados, casi seguro estás en alto riesgo.
3. Riesgo limitado
Obligaciones de transparencia, sin la carga del alto riesgo. El art. 50 regula los principales casos:
- Chatbots: informar de que se interactúa con una IA.
- Generación de contenido sintético (texto, audio, imagen, vídeo): marcar como generado o manipulado por IA en formato legible por máquina.
- Deepfakes: etiquetar como artificial.
- Reconocimiento de emociones o categorización biométrica (cuando estén permitidos): informar a las personas afectadas.
4. Riesgo mínimo o nulo
Filtros antispam, recomendadores básicos, IA en videojuegos, optimizadores de inventario, etc. No hay obligaciones específicas, aunque el art. 95 anima a códigos de conducta voluntarios.
Obligaciones por categoría
Resumen según rol (proveedor o deployer) y riesgo.
Proveedor de alto riesgo
Obligaciones principales (Capítulo III, Secciones 2 y 3):
- Sistema de gestión de riesgos documentado y vivo durante todo el ciclo de vida.
- Gobernanza de datos: conjuntos de entrenamiento, validación y prueba representativos y libres de sesgos en la medida de lo posible.
- Documentación técnica completa antes de la puesta en mercado.
- Logs automáticos para trazar el funcionamiento.
- Transparencia hacia usuarios profesionales (instrucciones de uso claras).
- Supervisión humana efectiva por diseño.
- Precisión, robustez y ciberseguridad adecuadas al uso previsto.
- Sistema de gestión de la calidad, marcado CE, declaración de conformidad UE.
- Inscripción en la base de datos europea de sistemas de alto riesgo.
- Representante autorizado en la UE si estás establecido fuera.
Responsable del despliegue (deployer) de alto riesgo
Obligaciones principales (art. 26 y siguientes):
- Usar el sistema conforme a las instrucciones del proveedor.
- Asignar supervisión humana a personas con competencia, formación y autoridad.
- Garantizar datos de entrada pertinentes y representativos.
- Monitorizar el funcionamiento y comunicar incidentes graves al proveedor.
- Conservar los logs durante un periodo apropiado (mínimo seis meses en muchos casos).
- Realizar una evaluación de impacto en derechos fundamentales (FRIA) ex art. 27 cuando corresponda (sector público, servicios esenciales y operadores privados de scoring crediticio y seguros de vida/salud —Anexo III, 5.b y 5.c—).
- Informar a los trabajadores afectados antes de desplegar un sistema de alto riesgo en el lugar de trabajo.
- Cooperar con autoridades nacionales competentes.
Riesgo limitado
- Informar al usuario de que interactúa con una IA.
- Etiquetar contenido sintético en formato legible por máquina (art. 50).
- En deepfakes, divulgar que el contenido es artificial salvo excepciones tasadas.
Modelos de IA de uso general (GPAI)
Aplicable desde el 2 de agosto de 2025. Si integras un GPAI ajeno, tienes obligaciones de transparencia y cooperación con el proveedor. Si proporcionas un GPAI propio, debes mantener documentación técnica, política de derechos de autor y un resumen del contenido de entrenamiento. Para GPAI con riesgo sistémico (umbrales del art. 51) las exigencias se endurecen: evaluaciones, mitigación, ciberseguridad reforzada y notificación de incidentes graves.
Cómo preparar la documentación interna
A partir de alto riesgo es obligatorio mantener un expediente de cumplimiento vivo. Componentes:
1. Inventario o registro interno
Una base o módulo en tu CRM que liste cada sistema de IA en uso o desarrollo, con al menos:
- Nombre, descripción funcional, proveedor y versión.
- Categoría de riesgo y rol de tu empresa (proveedor, deployer, importador o distribuidor).
- Finalidad prevista y ámbito de uso.
- Datos personales que procesa (enlace al registro RGPD).
- Responsables internos y fecha de la última revisión.
2. Evaluación de riesgos
Para cada sistema documenta:
- Riesgos sobre derechos fundamentales, salud y seguridad.
- Sesgos potenciales y medidas de mitigación.
- Mecanismos de supervisión humana.
- Indicadores de calidad: precisión, falsos positivos/negativos, robustez.
- Plan de respuesta ante incidentes.
En sectores del Anexo III dentro de administración pública o servicios esenciales, esta evaluación debe incluir o complementar la FRIA del art. 27.
3. Documentación técnica
Aplicable si eres proveedor de alto riesgo. Debe contener lo previsto en el Anexo IV: arquitectura, datos de entrenamiento, métricas, instrucciones de uso y controles de ciberseguridad.
4. Monitorización post-comercialización
Cómo recoges, analizas y respondes al feedback en producción. Procedimiento para reportar incidentes graves a la autoridad competente sin demora (en España, la AESIA) (art. 73).
5. Programa de alfabetización en IA (art. 4)
Aplicable desde febrero de 2025 a todas las empresas, no solo las de alto riesgo. Garantiza que quienes operan o se ven afectados por IA tengan alfabetización adecuada: formación interna, materiales y registro de asistencia.
6. Cláusulas contractuales con proveedores
Tus contratos con proveedores de IA deben incluir:
- Categoría de riesgo del sistema.
- Compromiso de cumplir el AI Act.
- Cooperación ante incidentes.
- Acceso a la documentación técnica para tus propias obligaciones.
- Compromisos sobre datos, derechos de autor y reentrenamiento.
Cómo empezar el inventario de IA en una semana
Antes de los documentos formales, necesitas saber qué sistemas de IA tiene realmente tu empresa. Muchos equipos se sorprenden: la IA no está solo en los proyectos propios, sino dispersa en docenas de SaaS que ya usan a diario.
Día 1-2: listar todos los sistemas. Recorre cada departamento y anota cualquier herramienta que use IA, aunque sea de fondo: asistentes de redacción en el correo, transcripciones de reuniones, chatbots, plugins de IA en el CRM, análisis predictivo, detección de fraude y software de RRHH con cribado o evaluación. Los SaaS con IA embebida cuentan igual que el software a medida.
Día 3: clasificar el riesgo y el rol de tu empresa. Para cada sistema, determina la categoría de riesgo (prohibido, alto, limitado o mínimo) y el rol que desempeña tu empresa (proveedor, deployer, importador o distribuidor). Un mismo sistema puede implicar roles distintos según cómo lo uses.
Día 4: construir la tabla maestra. Vuelca todo en una hoja con estas columnas: nombre, proveedor, categoría de riesgo, rol, dato personal procesado (sí/no) y obligaciones derivadas. Es el punto de partida para cualquier auditoría.
Día 5: priorizar. Ordena por riesgo descendente. Los sistemas de alto riesgo requieren acción inmediata antes del 2 de agosto de 2026.
Empieza siempre el inventario por el equipo de RRHH. Las herramientas de cribado de CVs, scoring de candidatos o evaluación del rendimiento caen automáticamente en la categoría de alto riesgo (Anexo III, punto 4). Son las que más frecuentemente pasan desapercibidas en las empresas y las que mayor impacto tienen sobre derechos fundamentales.
Multas y consecuencias del incumplimiento
El régimen sancionador (art. 99) es el más severo en materia digital, por encima del RGPD. Topes oficiales:
| Infracción | Multa máxima |
|---|---|
| Uso de prácticas prohibidas (art. 5) | Hasta 35.000.000 € o el 7 % del volumen de negocio anual mundial total del ejercicio anterior, lo que sea mayor |
| Incumplimiento de otras obligaciones (alto riesgo, transparencia, etc.) | Hasta 15.000.000 € o el 3 % del volumen de negocio anual mundial, lo que sea mayor |
| Suministro de información incorrecta, incompleta o engañosa a las autoridades | Hasta 7.500.000 € o el 1 % del volumen de negocio anual mundial, lo que sea mayor |
Nota: para PYMEs y startups, el AI Act prevé que se aplique el menor de los dos importes (art. 99.6). Aun así, son cifras suficientes para hundir un negocio mal preparado.
Más allá de la multa, otras consecuencias:
- Retirada del mercado o prohibición de uso.
- Daño reputacional ante clientes, inversores y socios.
- Acciones civiles de personas afectadas por decisiones automatizadas erróneas o discriminatorias.
- Bloqueo de licitaciones públicas: el cumplimiento ya empieza a exigirse en pliegos.
- Imposibilidad de operar con clientes regulados (banca, salud, sector público), que exigen cumplimiento documentado a su cadena de proveedores.
En España la autoridad competente es la AESIA (Agencia Española de Supervisión de la IA), con sede en A Coruña, complementada por autoridades sectoriales (Banco de España, AEPD, etc.).
Próximos pasos: pasar del checklist a la acción
Orden de prioridades para los próximos 90 días:
- Inventario. Lista todos los sistemas de IA en uso o desarrollo, incluidos los integrados vía SaaS y los "shadow AI" que usan tus equipos sin control central.
- Clasificación. Asigna a cada uno una categoría de riesgo y tu rol respecto al AI Act.
- Quick wins. Empieza por lo aplicable hoy: prácticas prohibidas, alfabetización en IA, transparencia en chatbots y contenido sintético.
- Roadmap de alto riesgo. Plan de adecuación con vistas al 2 de agosto de 2026: documentación técnica, FRIA si aplica, contratos con proveedores y gestión de la calidad.
- Gobernanza interna. Define al responsable del AI Act (DPO, compliance, IT o comité mixto).
Si completas inventario, clasificación, quick wins, roadmap de alto riesgo y gobernanza antes del 2 de agosto de 2026, llegas a la fecha clave con margen. La diferencia entre las empresas que cumplen sin sobresaltos y las que improvisan a última hora es exactamente esta secuencia ordenada.
Aviso legal: este artículo es informativo y refleja el estado del Reglamento (UE) 2024/1689. No sustituye al asesoramiento jurídico personalizado.
¿Necesitas ayuda con la parte técnica del AI Act?
En Lin-ia ayudamos a empresas españolas a alinear sus sistemas de IA con el AI Act desde el lado técnico: inventario, clasificación de riesgo, despliegues on-premise dentro de la UE, supervisión humana, logs de trazabilidad y documentación técnica de alto riesgo.
Si quieres revisar dónde tienes huecos, escríbenos a hola@lin-ia.es. También puedes leer nuestra guía sobre IA on-premise sin enviar datos fuera de la UE o cómo validar un caso de uso de IA antes de invertir.
