Saltar al contenido principal
Lin-ia Logo
Volver al blog
Banderas de la Unión Europea con documentos de compliance
Compliance

AI Act europeo: checklist para saber si tu empresa está obligada a cumplir

Checklist práctica para saber si tu empresa está obligada a cumplir el AI Act europeo: categorías de riesgo, obligaciones, fechas clave y consecuencias del incumplimiento.

MJ
Manuel Jesús Gómez SánchezCTO de Lin-ia1 de abril de 202613 min de lectura

El Reglamento (UE) 2024/1689 —conocido como AI Act— es la primera norma horizontal del mundo que regula los sistemas de inteligencia artificial. Entró en vigor el 2 de agosto de 2024 y su aplicación se está desplegando por fases hasta 2027. Si tu empresa usa, integra, distribuye o desarrolla IA —incluso si solo conectas un LLM comercial a tu CRM— probablemente te afecte.

La pregunta no es si el AI Act te aplica, sino en qué grado y qué obligaciones concretas tienes. Esta guía es una checklist práctica para directivos, DPOs, responsables de compliance y CTOs.

Fases y fechas clave del AI Act

El Reglamento no se aplica de golpe, sino en bloques:

FechaQué entra en vigor
2 de agosto de 2024Entrada en vigor del Reglamento (UE) 2024/1689
2 de febrero de 2025Aplicación de las prácticas prohibidas (Capítulo II) y obligaciones de alfabetización en IA (art. 4)
2 de agosto de 2025Aplicación de las normas sobre modelos de IA de uso general (GPAI), gobernanza y régimen sancionador
2 de agosto de 2026Aplicación general del Reglamento, incluidas las obligaciones para sistemas de alto riesgo del Anexo III
2 de agosto de 2027Aplicación a sistemas de alto riesgo embebidos en productos regulados (Anexo I, Sección A)

A la fecha de publicación de este artículo (abril 2026), las prohibiciones llevan más de un año vigentes y a tu empresa le quedan meses, no años, para tener listas las obligaciones de alto riesgo si aplica.

Checklist: ¿el AI Act se aplica a tu empresa?

Responde sí o no a las siguientes ocho preguntas. Si respondes "sí" a al menos una, el AI Act te afecta y debes seguir leyendo.

  1. ¿Tu empresa desarrolla, comercializa o pone en servicio un sistema de IA en la UE? Incluye software propio con modelos de aprendizaje automático, lógica basada en conocimiento o sistemas estadísticos avanzados.
  2. ¿Utilizas IA en tu actividad profesional dentro de la UE? Chatbots, scoring de leads, análisis de currículums, asistentes jurídicos con LLM, etc.
  3. ¿Tu empresa está fuera de la UE pero el resultado del sistema se utiliza en la UE? El AI Act tiene alcance extraterritorial, igual que el RGPD.
  4. ¿Importas o distribuyes un sistema de IA de un proveedor extracomunitario? Serás "importador" o "distribuidor" según el art. 3 del AI Act, con obligaciones específicas.
  5. ¿Reetiquetas, modificas sustancialmente o integras un sistema de terceros bajo tu marca? Puedes pasar de "responsable del despliegue" a "proveedor", con un nivel de exigencia mucho mayor.
  6. ¿El sistema influye en decisiones que afectan a personas físicas? Selección de personal, scoring crediticio, acceso a servicios esenciales, ranking de empleados, biometría, decisiones educativas, etc.
  7. ¿Integras un modelo de IA de uso general (GPAI) de un tercero —GPT-4, Claude, Gemini, Llama, Mistral— en tu producto? Tienes obligaciones de transparencia y, si lo modificas, puedes asumir las del proveedor.
  8. ¿Tu uso es exclusivamente personal y no profesional? Si es así, el AI Act probablemente NO te aplica (art. 2). Para cualquier otro escenario empresarial, sí.

Conclusión rápida: prácticamente cualquier PYME o empresa mediana europea que use IA entra en el ámbito del Reglamento, aunque sea como responsable del despliegue ("deployer"). El nivel depende del riesgo del sistema concreto.

Categorías de riesgo y qué implica cada una

El AI Act clasifica los sistemas en cuatro categorías. Tus obligaciones dependen de aquí.

1. Riesgo inaceptable (prohibido)

Sistemas prohibidos en la UE desde el 2 de febrero de 2025. El art. 5 del AI Act enumera las prácticas vetadas, entre ellas:

  • Manipulación subliminal o que explote vulnerabilidades (edad, discapacidad, situación socioeconómica) para alterar el comportamiento.
  • Social scoring de personas físicas con efectos perjudiciales.
  • Identificación biométrica remota en tiempo real en espacios públicos con fines policiales (con excepciones muy tasadas).
  • Inferencia de emociones en el trabajo o centros educativos (salvo razones médicas o de seguridad).
  • Categorización biométrica para deducir raza, opiniones políticas, afiliación sindical, religión u orientación sexual.
  • Raspado masivo no dirigido de imágenes faciales de internet o CCTV para bases de reconocimiento facial.

Implicación: si tu empresa usa o vende algo de esto, hay que retirarlo.

2. Alto riesgo

La categoría con más carga regulatoria. El AI Act (art. 6) define dos vías:

  • Vía A: sistemas que actúan como componente de seguridad de productos regulados por el Anexo I (juguetes, ascensores, dispositivos médicos, vehículos, maquinaria, etc.).
  • Vía B: sistemas listados en el Anexo III:
    • Identificación y categorización biométrica.
    • Infraestructuras críticas (agua, gas, electricidad, tráfico).
    • Educación y formación (admisión, evaluación, detección de fraude).
    • Empleo y gestión de trabajadores (selección de candidatos, promoción, monitorización del rendimiento).
    • Acceso a servicios esenciales públicos y privados (scoring crediticio, prestaciones, priorización en emergencias, seguros de vida y salud).
    • Aplicación de la ley, migración, justicia y procesos democráticos.

Si haces scoring crediticio, selección automatizada de candidatos, detección de fraude en seguros, triaje médico o evaluación del rendimiento de empleados, casi seguro estás en alto riesgo.

3. Riesgo limitado

Obligaciones de transparencia, sin la carga del alto riesgo. El art. 50 regula los principales casos:

  • Chatbots: informar de que se interactúa con una IA.
  • Generación de contenido sintético (texto, audio, imagen, vídeo): marcar como generado o manipulado por IA en formato legible por máquina.
  • Deepfakes: etiquetar como artificial.
  • Reconocimiento de emociones o categorización biométrica (cuando estén permitidos): informar a las personas afectadas.

4. Riesgo mínimo o nulo

Filtros antispam, recomendadores básicos, IA en videojuegos, optimizadores de inventario, etc. No hay obligaciones específicas, aunque el art. 95 anima a códigos de conducta voluntarios.

Obligaciones por categoría

Resumen práctico según rol (proveedor o responsable del despliegue) y riesgo.

Proveedor de alto riesgo

Obligaciones principales (Capítulo III, Secciones 2 y 3):

  • Sistema de gestión de riesgos documentado y vivo durante todo el ciclo de vida.
  • Gobernanza de datos: conjuntos de entrenamiento, validación y prueba pertinentes, representativos y libres de errores y sesgos en la medida de lo posible.
  • Documentación técnica completa antes de la puesta en mercado.
  • Logs automáticos para trazar el funcionamiento.
  • Transparencia hacia usuarios profesionales (instrucciones de uso claras).
  • Supervisión humana efectiva por diseño.
  • Precisión, robustez y ciberseguridad adecuadas al uso previsto.
  • Sistema de gestión de la calidad, marcado CE, declaración de conformidad UE.
  • Inscripción en la base de datos europea de sistemas de alto riesgo.
  • Representante autorizado en la UE si estás establecido fuera.

Responsable del despliegue (deployer) de alto riesgo

Obligaciones principales (art. 26 y siguientes):

  • Usar el sistema conforme a las instrucciones del proveedor.
  • Asignar supervisión humana a personas con competencia, formación y autoridad.
  • Garantizar datos de entrada pertinentes y representativos.
  • Monitorizar el funcionamiento y comunicar incidentes graves al proveedor.
  • Conservar los logs durante un periodo apropiado (mínimo seis meses en muchos casos).
  • Realizar una evaluación de impacto en derechos fundamentales (FRIA) ex art. 27 cuando corresponda (sector público, servicios públicos esenciales y operadores privados de scoring crediticio y seguros de vida/salud —Anexo III, puntos 5.b y 5.c—).
  • Informar a los trabajadores afectados antes de desplegar un sistema de alto riesgo en el lugar de trabajo.
  • Cooperar con autoridades nacionales competentes.

Riesgo limitado

  • Informar al usuario de que interactúa con una IA.
  • Etiquetar contenido sintético en formato legible por máquina (art. 50).
  • En deepfakes, divulgar que el contenido es artificial salvo excepciones tasadas.

Modelos de IA de uso general (GPAI)

Aplicable desde el 2 de agosto de 2025. Si integras un GPAI ajeno, tienes obligaciones de transparencia y cooperación con el proveedor. Si proporcionas un GPAI propio, debes mantener documentación técnica, política de derechos de autor y un resumen del contenido de entrenamiento. Para GPAI con riesgo sistémico (umbrales del art. 51) las exigencias se endurecen: evaluaciones, mitigación de riesgos sistémicos, ciberseguridad reforzada y notificación de incidentes graves.

Cómo preparar la documentación interna

A partir de alto riesgo es obligatorio mantener un expediente de cumplimiento vivo. Componentes mínimos:

1. Inventario o registro interno

Una base de datos o módulo en tu CRM que liste cada sistema de IA en uso o desarrollo, con al menos:

  • Nombre, descripción funcional, proveedor y versión.
  • Categoría de riesgo y rol de tu empresa (proveedor, deployer, importador o distribuidor).
  • Finalidad prevista y ámbito de uso.
  • Datos personales que procesa (enlace al registro RGPD).
  • Responsables internos y fecha de la última revisión.

2. Evaluación de riesgos

Para cada sistema documenta:

  • Riesgos sobre derechos fundamentales, salud y seguridad.
  • Sesgos potenciales y medidas de mitigación.
  • Mecanismos de supervisión humana.
  • Indicadores de calidad: precisión, falsos positivos/negativos, robustez.
  • Plan de respuesta ante incidentes.

En sectores del Anexo III dentro de administración pública o servicios esenciales, esta evaluación debe incluir o complementar la FRIA del art. 27.

3. Documentación técnica

Aplicable si eres proveedor de alto riesgo. Debe contener lo previsto en el Anexo IV: arquitectura, datos de entrenamiento y evaluación, métricas, instrucciones de uso, controles de ciberseguridad, etc.

4. Monitorización post-comercialización

Cómo recoges, analizas y respondes al feedback real una vez en producción. Procedimiento para reportar incidentes graves a la autoridad competente sin demora indebida (en España, la AESIA) (art. 73).

5. Programa de alfabetización en IA (art. 4)

Aplicable desde febrero de 2025 a todas las empresas, no solo las de alto riesgo. Garantiza que quienes operan o se ven afectados por IA en tu organización tengan un nivel adecuado de alfabetización: formación interna, materiales y registro de asistencia.

6. Cláusulas contractuales con proveedores

Asegúrate de que tus contratos con proveedores de IA incluyan:

  • Categoría de riesgo del sistema.
  • Compromiso de cumplir el AI Act.
  • Información y cooperación ante incidentes.
  • Acceso a la documentación técnica que necesites para tus propias obligaciones.
  • Compromisos sobre datos, derechos de autor y reentrenamiento.

Cómo empezar el inventario de IA en una semana

Antes de entrar en los documentos formales, necesitas saber qué sistemas de IA tiene realmente tu empresa. Muchos equipos se sorprenden al hacer este ejercicio: la IA no está solo en los proyectos propios, sino dispersa en docenas de herramientas SaaS que ya usan a diario.

Día 1-2: listar todos los sistemas. Recorre cada departamento y anota cualquier herramienta que use IA, aunque sea de fondo: asistentes de redacción en el correo electrónico, transcripciones automáticas de reuniones, resúmenes de llamadas, chatbots de atención al cliente, plugins de IA en el CRM, herramientas de análisis predictivo, sistemas de detección de fraude y cualquier software de RRHH con funciones de cribado o evaluación. Los SaaS con IA embebida cuentan igual que el software desarrollado a medida.

Día 3: clasificar el riesgo y el rol de tu empresa. Para cada sistema identificado, determina dos cosas: la categoría de riesgo según el AI Act (prohibido, alto, limitado o mínimo) y el rol que desempeña tu empresa (proveedor, deployer, importador o distribuidor). Un mismo sistema puede implicar roles distintos según cómo lo uses o redistribuyas.

Día 4: construir la tabla maestra. Vuelca todo en una hoja de cálculo con al menos estas columnas: nombre del sistema, proveedor, categoría de riesgo, rol de tu empresa, dato personal que procesa (sí/no) y obligaciones principales derivadas. Con esta tabla tienes el punto de partida para cualquier auditoría interna o externa.

Día 5: priorizar. Ordena por riesgo descendente. Los sistemas de alto riesgo son los que requieren acción inmediata antes del 2 de agosto de 2026.

Tip práctico: empieza siempre por el equipo de RRHH. Las herramientas de cribado de CVs, scoring de candidatos o evaluación del rendimiento caen automáticamente en la categoría de alto riesgo (Anexo III, punto 4). Son las que más frecuentemente pasan desapercibidas en las empresas y las que mayor impacto tienen sobre derechos fundamentales de las personas.

Multas y consecuencias del incumplimiento

El régimen sancionador (art. 99) es el más severo aprobado hasta la fecha en materia digital, por encima del RGPD. Topes oficiales:

InfracciónMulta máxima
Uso de prácticas prohibidas (art. 5)Hasta 35.000.000 € o el 7 % del volumen de negocio anual mundial total del ejercicio anterior, lo que sea mayor
Incumplimiento de otras obligaciones (alto riesgo, transparencia, etc.)Hasta 15.000.000 € o el 3 % del volumen de negocio anual mundial, lo que sea mayor
Suministro de información incorrecta, incompleta o engañosa a las autoridadesHasta 7.500.000 € o el 1 % del volumen de negocio anual mundial, lo que sea mayor

Nota: para PYMEs y startups, el AI Act prevé que se aplique el menor de los dos importes (cantidad fija o porcentaje), no el mayor (art. 99.6).

Aun así, son cifras suficientes para hundir un negocio mal preparado.

Más allá de la multa, otras consecuencias:

  • Retirada del mercado o prohibición de uso.
  • Daño reputacional ante clientes, inversores y socios.
  • Acciones civiles de personas afectadas por decisiones automatizadas erróneas o discriminatorias.
  • Bloqueo de licitaciones públicas: el cumplimiento del AI Act ya empieza a exigirse en pliegos.
  • Riesgo de no poder operar con clientes regulados (banca, salud, sector público), que exigen cumplimiento documentado a su cadena de proveedores.

En España la autoridad competente es la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña, complementada por autoridades sectoriales (Banco de España, AEPD, etc.).

Próximos pasos: pasar del checklist a la acción

Orden de prioridades para los próximos 90 días:

  1. Inventario. Lista todos los sistemas de IA en uso o desarrollo, incluidos los integrados vía SaaS y los "shadow AI" que usan tus equipos sin control central.
  2. Clasificación. Asigna a cada uno una categoría de riesgo y tu rol respecto al AI Act.
  3. Quick wins. Empieza por lo aplicable hoy: prácticas prohibidas, alfabetización en IA, transparencia en chatbots y contenido sintético.
  4. Roadmap de alto riesgo. Plan de adecuación con vistas al 2 de agosto de 2026: documentación técnica, FRIA si aplica, contratos con proveedores y gestión de la calidad.
  5. Gobernanza interna. Define al responsable del AI Act (DPO, compliance, IT o comité mixto).

Aviso legal: este artículo es informativo y refleja el estado del Reglamento (UE) 2024/1689. No sustituye al asesoramiento jurídico personalizado.

¿Necesitas ayuda con la parte técnica del AI Act?

En Lin-ia ayudamos a empresas españolas a alinear sus sistemas de IA con el AI Act desde el lado técnico: inventario de sistemas, clasificación de riesgo, despliegues on-premise para mantener los datos dentro de la UE, supervisión humana en automatizaciones, logs de trazabilidad y documentación técnica de alto riesgo.

Si quieres revisar dónde tienes huecos, escríbenos a hola@lin-ia.es. También puedes seguir leyendo nuestra guía sobre IA on-premise sin enviar datos fuera de la UE o cómo validar un caso de uso de IA antes de invertir.

¿Tienes un proyecto en mente?

En Lin-ia ayudamos a empresas a implementar IA y automatización de procesos. Cuéntanos tu caso, te respondemos en menos de 24 horas.

Hablemos de tu proyecto