← Volver al blog

Qué es el AI Act europeo y qué debe hacer tu empresa antes de agosto de 2026

El Reglamento de Inteligencia Artificial de la Unión Europea — conocido como AI Act — es la primera regulación integral sobre IA en el mundo. Entró en vigor el 1 de agosto de 2024 y su aplicación plena llega el 2 de agosto de 2026. A partir de esa fecha, cualquier empresa que opere en Europa con sistemas de IA no conformes se expone a sanciones millonarias.

Si tu empresa opera en España o en cualquier país de la UE, el AI Act te afecta. Y probablemente ya tienes obligaciones legales que no conoces.

¿Qué es exactamente el AI Act?

El AI Act es un reglamento europeo que clasifica los sistemas de inteligencia artificial según el nivel de riesgo que representan para las personas y la sociedad, e impone obligaciones proporcionales a ese riesgo.

No es una directiva —que los estados miembros pueden interpretar—, sino un reglamento de aplicación directa en todos los países de la UE. Eso significa que no necesita ser transpuesto a la legislación española: ya es ley en España.

Los cuatro niveles de riesgo

1. Riesgo inaceptable — Prohibido

Sistemas que manipulan el comportamiento humano de forma subliminal, explotan vulnerabilidades, realizan puntuación social masiva o usan reconocimiento biométrico en tiempo real en espacios públicos. Prohibidos desde febrero de 2025.

2. Alto riesgo — Obligaciones estrictas

Sistemas que afectan derechos fundamentales, seguridad o decisiones importantes. Incluyen: sistemas de selección de personal, evaluación crediticia, diagnóstico médico, gestión de infraestructuras críticas, sistemas educativos y de justicia. Requieren documentación técnica, registro, supervisión humana y evaluación de conformidad.

3. Riesgo limitado — Obligaciones de transparencia

Chatbots, sistemas de generación de contenido, deepfakes. Deben informar al usuario de que está interactuando con una IA.

4. Riesgo mínimo — Sin obligaciones específicas

Filtros de spam, sistemas de recomendación básicos. Sin obligaciones adicionales, aunque se recomienda adoptar códigos de buenas prácticas.

¿A qué empresas afecta?

El AI Act afecta a cualquier empresa que:

• Desarrolle sistemas de IA para uso propio o terceros
• Importe o distribuya sistemas de IA en la UE
• Use sistemas de IA de alto riesgo en sus operaciones
• Ofrezca servicios a usuarios en la UE mediante IA

No importa dónde esté la sede de la empresa: si opera en la UE o sus productos afectan a personas en la UE, el reglamento aplica.

Las sanciones

El organismo supervisor en España es la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en A Coruña. Ya está operativa y comenzará las inspecciones a partir de agosto de 2026.

Qué debe hacer tu empresa ahora

El primer paso es saber exactamente qué sistemas de IA usa tu empresa y en qué categoría de riesgo se encuadran. Muchas organizaciones descubren en este proceso que tienen más exposición de la que creían.

1. Inventario de sistemas de IA: Identifica todas las herramientas que usan IA en tu organización — incluyendo las que usas como servicio (SaaS).
2. Clasificación de riesgo: Determina en qué nivel de riesgo entra cada sistema según los anexos del AI Act.
3. Plan de cumplimiento: Define las acciones necesarias para cada sistema: documentación, registros, políticas, evaluaciones.
4. Asignación de responsabilidades: Nombra a los responsables internos del cumplimiento.
5. Implementación y seguimiento: Ejecuta el plan y mantén actualizada la documentación ante posibles cambios normativos.

El plazo no es largo. Quedan menos de 100 días para la aplicación plena. Las empresas que empiecen ahora tienen margen para hacerlo bien. Las que esperen se enfrentarán a un proceso de urgencia, con más coste y más riesgo.