958 050 207 
Muchas empresas españolas ya están utilizando inteligencia artificial sin darse cuenta de que parte de esas herramientas pueden quedar clasificadas como sistemas de IA de alto riesgo bajo el nuevo Reglamento Europeo de Inteligencia Artificial.
Y el problema no es menor. Desde agosto de 2026, el incumplimiento del AI Act puede implicar multas de hasta 35 millones de euros o el 7 % de la facturación mundial anual.
La cuestión ya no es si la regulación llegará. La cuestión es si tu empresa está preparada para cumplirla.
Respuesta rápida: si tu empresa utiliza IA para selección de personal, scoring financiero, atención automatizada, análisis predictivo o generación de contenidos, el AI Act probablemente ya le afecta.
Porque el Reglamento Europeo de IA no está pensado únicamente para grandes tecnológicas. También impacta en compañías que utilizan herramientas de inteligencia artificial en procesos cotidianos: chatbots, automatización documental, análisis de clientes, filtrado de currículums o sistemas de apoyo a la toma de decisiones.
En esta guía vas a entender qué es el AI Act, qué empresas deben cumplirlo, qué sistemas se consideran de alto riesgo y cómo prepararte antes de que el calendario regulatorio empiece a endurecerse definitivamente.
Y muchas empresas todavía ni siquiera saben que ya están incumpliendo parte del reglamento.
Clasificación de riesgos del AI Act: qué sistemas de IA están prohibidos
El Reglamento Europeo de Inteligencia Artificial clasifica los sistemas según su impacto potencial sobre las personas y los derechos fundamentales.
🔴 Riesgo inaceptable
Sistemas prohibidos directamente por el AI Act.
- Social scoring
- Manipulación subliminal
- Reconocimiento biométrico masivo
🟠 Sistemas de IA de alto riesgo
Sujetos a obligaciones estrictas y supervisión regulatoria.
- IA para selección de personal
- Scoring financiero
- Diagnóstico sanitario
- Infraestructuras críticas
🔵 Riesgo limitado
Obligaciones de transparencia.
- Chatbots
- IA generativa
- Contenido sintético
⚪ Riesgo mínimo
Sin obligaciones específicas.
- Filtros spam
- Videojuegos
- Recomendadores básicos
¿Qué es el AI Act o Reglamento Europeo de IA?
El Reglamento (UE) 2024/1689, conocido como AI Act o Reglamento Europeo de Inteligencia Artificial, es la primera normativa integral creada específicamente para regular el uso de sistemas de inteligencia artificial.
Fue aprobado por el Parlamento Europeo en junio de 2024 y entró oficialmente en vigor el 1 de agosto de 2024.
Su objetivo es garantizar que los sistemas de IA utilizados dentro de la Unión Europea sean seguros, transparentes y respetuosos con los derechos fundamentales.
Pero hay una idea clave que muchas empresas todavía no han interiorizado: el AI Act no afecta solo a quienes desarrollan inteligencia artificial. También afecta a cualquier organización que la utilice dentro de su actividad profesional.
Ejemplo: utilizar IA para filtrar currículums, conceder préstamos, evaluar clientes o automatizar decisiones puede implicar obligaciones regulatorias aunque la herramienta pertenezca a un proveedor externo.
Además, el reglamento es de aplicación directa en toda la Unión Europea. No necesita transposición nacional, por lo que las obligaciones son idénticas en España, Francia o Alemania.
En España, la autoridad supervisora designada es la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en A Coruña.
¿Cuándo entra en vigor el AI Act?
Una de las mayores confusiones alrededor del Reglamento Europeo de IA es pensar que todavía falta mucho para su aplicación.
La realidad es bastante distinta: varias obligaciones ya están plenamente vigentes.
| Fecha | Qué ocurre |
|---|---|
| 1 agosto 2024 | Entrada en vigor oficial del AI Act |
| 2 febrero 2025 | Prohibición de sistemas de riesgo inaceptable y obligación de alfabetización en IA |
| 2 agosto 2025 | Aplicación de normas para modelos GPAI y grandes modelos fundacionales |
| 2 agosto 2026 | Aplicación plena de obligaciones para sistemas de IA de alto riesgo |
| 2 agosto 2027 | Aplicación a sistemas integrados en productos regulados |
Importante: la Comisión Europea ya ha confirmado que no prevé retrasar el calendario del AI Act pese a la presión de grandes compañías tecnológicas.
Clasificación de sistemas de IA según el nivel de riesgo
El núcleo del AI Act gira alrededor de una idea muy concreta: no toda inteligencia artificial representa el mismo riesgo.
Por eso el reglamento divide los sistemas en cuatro grandes categorías.
| Sistema IA | Riesgo | Obligación | Ejemplo |
|---|---|---|---|
| Social scoring | Prohibido | Vetado por el AI Act | Puntuación social |
| Filtrado de CV | Alto riesgo | Supervisión humana | RRHH |
| Scoring financiero | Alto riesgo | Trazabilidad y auditoría | Concesión préstamos |
| Chatbots | Limitado | Informar al usuario | Atención cliente |
| IA generativa | Limitado | Transparencia | Textos e imágenes |
| Filtros spam | Mínimo | Buenas prácticas |
Sistemas de IA prohibidos
El artículo 5 del AI Act prohíbe determinados usos considerados incompatibles con los derechos fundamentales.
- Manipulación subliminal o conductual
- Social scoring de ciudadanos
- Reconocimiento biométrico masivo en tiempo real
- Categorización biométrica basada en atributos sensibles
- Explotación de vulnerabilidades de menores o colectivos vulnerables
Estos sistemas están prohibidos desde febrero de 2025.
Sistemas de IA de alto riesgo
Los sistemas de IA de alto riesgo son los que concentran la mayor parte de las obligaciones regulatorias.
El Anexo III del Reglamento incluye ámbitos especialmente sensibles como:
- Recursos humanos y selección de personal
- Banca y scoring crediticio
- Sanidad y diagnóstico asistido
- Educación
- Infraestructuras críticas
- Administración pública
Clave: no toda IA utilizada en estos sectores es automáticamente de alto riesgo. El sistema debe influir de forma significativa en decisiones que afecten a personas.
¿Qué empresas están obligadas a cumplir el AI Act?
El Reglamento Europeo de Inteligencia Artificial no afecta únicamente a las compañías tecnológicas. También alcanza a empresas que utilizan sistemas de IA dentro de su actividad profesional, incluso aunque las herramientas pertenezcan a terceros.
El AI Act puede aplicarse a:
- Empresas que desarrollan sistemas de inteligencia artificial
- Empresas que utilizan IA en procesos internos
- Proveedores tecnológicos
- Importadores y distribuidores de sistemas IA
- Compañías que integran IA en productos o servicios
Importante: una empresa puede tener obligaciones bajo el AI Act aunque no haya desarrollado la herramienta de inteligencia artificial por sí misma.
¿Cómo saber si el AI Act afecta a tu empresa?
Muchas compañías creen que esta regulación solo afecta a gigantes tecnológicos. Pero el alcance real es mucho más amplio.
| Si tu empresa utiliza IA para… | Nivel de riesgo | ¿Te afecta el AI Act? |
|---|---|---|
| Filtrar currículums | Alto riesgo | Sí |
| Chatbots de atención al cliente | Riesgo limitado | Sí |
| Scoring financiero automatizado | Alto riesgo | Sí |
| IA generativa para marketing | Riesgo limitado | Sí |
| Filtros spam o recomendadores básicos | Riesgo mínimo | Prácticamente no |
Obligaciones del AI Act para empresas
Las obligaciones concretas dependen tanto del tipo de sistema como del papel de la empresa dentro de la cadena.
No es lo mismo desarrollar una herramienta de IA que utilizar una solución creada por un tercero.
Aun así, en los sistemas de IA de alto riesgo las obligaciones son especialmente exigentes.
1. Sistema de gestión de riesgos
El AI Act obliga a implantar un sistema continuo de identificación, evaluación y mitigación de riesgos durante todo el ciclo de vida del sistema.
2. Gobernanza y calidad de datos
Los datos utilizados para entrenar y validar sistemas deben ser representativos, pertinentes y trazables.
3. Documentación técnica
Las empresas deberán mantener documentación detallada sobre funcionamiento, limitaciones y arquitectura del sistema.
4. Supervisión humana efectiva
Los sistemas de IA de alto riesgo deben incorporar mecanismos reales de intervención humana.
La supervisión no puede ser simbólica. Debe existir capacidad efectiva de control y revisión.
5. Transparencia
Los usuarios deben saber cuándo interactúan con IA o cuándo un contenido ha sido generado artificialmente.
6. Registro de logs y trazabilidad
El reglamento exige conservar registros automatizados para facilitar auditorías e investigaciones posteriores.
7. Registro en la base de datos europea
Determinados sistemas de alto riesgo deberán registrarse oficialmente antes de comercializarse.
8. Alfabetización en IA
Desde febrero de 2025, las empresas que utilicen inteligencia artificial deben garantizar que su personal dispone de conocimientos suficientes para utilizarla y supervisarla.
Importante: esta obligación no afecta solo a perfiles técnicos. También alcanza a departamentos de RRHH, compliance, dirección o atención al cliente si utilizan herramientas de IA.
Te recomendamos leer Las 7 fases del ciclo de vida de los datos: La gestión del ciclo de vida de la información o Data Lifecycle Management
¿Puede una empresa usar ChatGPT legalmente?
Sí, pero depende de cómo se utilice.
El AI Act no prohíbe herramientas como ChatGPT, Gemini o Claude. Sin embargo, las empresas deben evaluar si su uso afecta a procesos sensibles o decisiones relevantes sobre personas.
No implica el mismo nivel de riesgo utilizar IA generativa para redactar contenido interno que emplearla para analizar candidatos en procesos de selección o evaluar clientes.
Importante: incluso cuando el sistema no sea de alto riesgo, la empresa sigue teniendo obligaciones de transparencia, supervisión y protección de datos.
Además, muchos usos empresariales de IA generativa implican tratamiento de datos personales, lo que conecta directamente el AI Act con el RGPD.
Errores que están cometiendo las empresas con el AI Act
Uno de los mayores problemas alrededor del Reglamento Europeo de IA es que muchas empresas siguen pensando que todavía tienen margen para esperar.
Pero parte de las obligaciones ya están vigentes. Y los errores más habituales no suelen venir de grandes desarrollos tecnológicos, sino de usos cotidianos de inteligencia artificial mal supervisados.
Estos son algunos de los fallos más frecuentes que ya están preocupando a departamentos jurídicos, compliance y protección de datos.
| Error habitual | Por qué es un problema | Qué debería hacer la empresa |
|---|---|---|
| Pensar que el AI Act solo afecta a tecnológicas | Muchas empresas utilizan IA sin identificarlo formalmente | Realizar un inventario interno de herramientas y procesos automatizados |
| Usar IA en RRHH sin supervisión humana | Los sistemas de selección de personal pueden ser considerados de alto riesgo | Garantizar revisión humana efectiva y trazabilidad de decisiones |
| Asumir que toda la responsabilidad es del proveedor | El operador también tiene obligaciones propias bajo el AI Act | Revisar contratos y exigir garantías regulatorias |
| No formar al personal | La alfabetización en IA ya es obligatoria desde febrero de 2025 | Implantar formación documentada por perfiles y funciones |
| Utilizar IA generativa sin políticas internas | Puede generar fugas de información o problemas de confidencialidad | Crear protocolos internos de uso de IA generativa |
| No relacionar el AI Act con el RGPD | Muchos sistemas de IA también procesan datos personales | Coordinar compliance IA y protección de datos |
Clave: uno de los mayores riesgos para las empresas no es desarrollar inteligencia artificial propia. Es utilizar herramientas aparentemente “normales” sin evaluar correctamente su impacto regulatorio.
Multas y sanciones del AI Act
El régimen sancionador del Reglamento Europeo de IA es uno de los más severos aprobados hasta ahora por la Unión Europea.
| Infracción | Sanción máxima |
|---|---|
| Uso de sistemas prohibidos | 35 M€ o 7 % facturación mundial |
| Incumplimiento de obligaciones de alto riesgo | 15 M€ o 3 % facturación mundial |
| Información falsa a autoridades | 7,5 M€ o 1 % facturación mundial |
Importante: las sanciones máximas del AI Act son superiores incluso a algunas previstas por el RGPD. La Unión Europea quiere convertir esta regulación en uno de los marcos tecnológicos más estrictos del mundo.
Te recomendamos leer ¿Qué es la seguridad jurídica?
Sectores más afectados por el AI Act
Aunque el reglamento afecta a cualquier empresa que utilice IA, hay sectores especialmente expuestos.
Banca y seguros
Scoring crediticio, concesión de préstamos y evaluación automatizada de clientes.
Recursos humanos
Filtrado de currículums, evaluación de candidatos y gestión del rendimiento.
Sanidad
Diagnóstico asistido, triaje automatizado y apoyo clínico mediante IA.
Sector público
Prestaciones sociales, administración de justicia y acceso a servicios públicos.
Cómo preparar a tu empresa para cumplir el AI Act
La adaptación no empieza en 2026. De hecho, varias obligaciones ya están activas.
Las empresas que quieran reducir riesgos regulatorios deberían empezar cuanto antes.
- Identificar todos los sistemas de IA utilizados
- Clasificar cada sistema según su nivel de riesgo
- Realizar un análisis de brechas regulatorias
- Revisar contratos con proveedores tecnológicos
- Implantar políticas de supervisión humana
- Documentar procesos y decisiones
- Formar al personal
En España, además, las empresas pueden apoyarse en el sandbox regulatorio impulsado por la AESIA para probar sistemas bajo supervisión.
El papel del compliance y del abogado especializado
El AI Act no es únicamente una norma tecnológica. También es una norma de compliance.
Y eso convierte al departamento jurídico en una pieza central dentro de cualquier estrategia de adaptación.
La clasificación de riesgos, la revisión contractual, la supervisión regulatoria o la relación con autoridades como la AESIA requieren interpretación jurídica especializada.
Además, muchos sistemas de inteligencia artificial procesan datos personales, lo que implica una conexión directa con el RGPD, el compliance tecnológico y la normativa sectorial aplicable.
El AI Act cambia las reglas del juego. La inteligencia artificial ya no es solo una cuestión tecnológica. También es una cuestión legal, reputacional y estratégica.
Las empresas que entiendan esto antes que el resto no solo reducirán riesgos regulatorios. También tendrán ventaja competitiva en un entorno donde la transparencia y la confianza empiezan a convertirse en factores decisivos.
Entender el AI Act ya no es una cuestión reservada a perfiles tecnológicos. Cada vez más empresas necesitan profesionales capaces de interpretar riesgos regulatorios, supervisar sistemas de IA y adaptar procesos al nuevo marco europeo.
Preguntas frecuentes sobre el AI Act
Formación especializada en regulación e inteligencia artificial
La regulación de la IA ya está transformando áreas como compliance, protección de datos, derecho digital y gestión empresarial. Entender el AI Act y sus implicaciones prácticas empieza a convertirse en una competencia diferencial dentro del mercado jurídico y tecnológico.
Curso en Derecho e Inteligencia Artificial
Aprende a interpretar el impacto jurídico de la inteligencia artificial, el nuevo marco regulatorio europeo y los principales riesgos legales asociados al uso empresarial de IA.
Microcredencial Universitaria en Aspectos Legales de la IA
Especialízate en regulación tecnológica, tecnologías disruptivas y cumplimiento normativo aplicado a inteligencia artificial y transformación digital.
La inteligencia artificial ya no es solo tecnología. Cada vez más empresas necesitan perfiles capaces de entender sus riesgos legales, regulatorios y estratégicos.
Deja un comentario