El Reglamento Europeo de Inteligencia Artificial: guía completa para empresas españolas ante agosto de 2026

El Reglamento Europeo de Inteligencia Artificial: guía completa para empresas españolas ante agosto de 2026

En octubre de 2018, Reuters reveló que Amazon había descubierto años antes que su herramienta de selección de personal basada en inteligencia artificial odiaba a las mujeres. No es una metáfora. El sistema, diseñado para automatizar el cribado de currículos y encontrar a los mejores candidatos, había sido entrenado con los datos de contrataciones de la última década —una década en la que la inmensa mayoría de las contrataciones en el sector tecnológico habían sido hombres—. El algoritmo aprendió la lección equivocada: que ser hombre era un predictor positivo de éxito profesional. Empezó a penalizar cualquier currículo que mencionara universidades femeninas o que incluyera la palabra «women's» en actividades extracurriculares. Una candidata que hubiera sido capitana del equipo de ajedrez femenino de su universidad recibía automáticamente una puntuación inferior a un candidato masculino con un perfil idéntico. Amazon desmanteló el proyecto en secreto. Nunca lo desplegó a escala. Pero el incidente se filtró a Reuters y se convirtió en el caso más citado de sesgo algorítmico de la historia.

Seis años después, en mayo de 2025, un juez federal estadounidense admitió a trámite una demanda colectiva contra Workday —la plataforma de recursos humanos utilizada por miles de empresas en todo el mundo— por presunta discriminación algorítmica. El demandante, Derek Mobley, alegaba que las herramientas de cribado automatizado de Workday rechazaban sistemáticamente a candidatos mayores de 40 años, a personas con discapacidad y a minorías raciales. Las notificaciones de rechazo llegaban de forma instantánea, a menudo fuera de horario laboral, sin intervención humana de ningún tipo. El algoritmo decidía, el algoritmo descartaba, y la persona al otro lado de la pantalla nunca supo que su currículum había sido juzgado por una máquina.

Estos casos no son anécdotas aisladas. Son el síntoma de un problema sistémico: la inteligencia artificial toma decisiones que afectan a derechos fundamentales de las personas —empleo, crédito, salud, libertad, educación— sin que exista un marco legal específico que garantice que esas decisiones sean justas, transparentes y supervisadas por seres humanos. Hasta ahora. El 1 de agosto de 2024 entró en vigor el Reglamento (UE) 2024/1689, conocido como AI Act o Reglamento Europeo de Inteligencia Artificial, la primera legislación integral sobre inteligencia artificial en el mundo. Y el 2 de agosto de 2026 —dentro de menos de cinco meses— se aplicará en su totalidad, incluyendo las obligaciones para los sistemas de IA de alto riesgo que afectan directamente a empresas de todos los tamaños en España.

Este artículo es una guía completa. No un resumen ejecutivo de tres párrafos, sino un mapa detallado de lo que el AI Act significa para las empresas españolas: qué está prohibido, qué está regulado, quién debe cumplir, cómo cumplir, cuánto cuesta no hacerlo, y qué pasos concretos dar antes de que el reloj llegue a agosto. Si su empresa utiliza inteligencia artificial —y en 2026, es casi imposible que no lo haga—, este artículo le concierne.

Qué es el AI Act y por qué Europa se adelantó al mundo

La génesis de una regulación sin precedentes

La historia del AI Act comienza en abril de 2018, cuando la Comisión Europea publicó su primera Estrategia Europea sobre Inteligencia Artificial. En aquel momento, la IA era un tema de conversación en círculos tecnológicos y académicos, pero distaba mucho de ser la fuerza ubicua que es hoy. ChatGPT no existía. DALL-E no existía. Los deepfakes eran una curiosidad de laboratorio. Pero los reguladores europeos, curtidos por la experiencia del RGPD —que había sido tachado de excesivamente restrictivo cuando se aprobó en 2016 y que en 2018 ya se reconocía como un modelo regulatorio global—, vieron con claridad que la inteligencia artificial plantearía retos legales que el marco normativo existente no podía resolver.

En abril de 2021, la Comisión Europea presentó la propuesta formal del Reglamento. Fue la primera vez que un bloque político importante intentó crear un marco legal integral para la inteligencia artificial —no regulaciones sectoriales dispersas, sino un reglamento horizontal aplicable a todos los sectores y todos los tipos de IA—. Estados Unidos, China, Japón, India —ninguno tenía nada comparable—. Europa, una vez más, decidía regular primero y esperar después a que el resto del mundo siguiera sus pasos. Es lo que los académicos llaman el efecto Bruselas (Brussels Effect): la capacidad de la Unión Europea para establecer estándares regulatorios globales a través del tamaño de su mercado interno.

El proceso legislativo fue largo y complejo. La propuesta de la Comisión fue debatida y enmendada por el Parlamento Europeo y el Consejo de la UE durante más de dos años. La irrupción de ChatGPT en noviembre de 2022 aceleró las negociaciones y obligó a los legisladores a añadir disposiciones específicas sobre modelos de IA de propósito general (los denominados General-Purpose AI models o GPAI) que no estaban previstas en la propuesta original. El acuerdo político se alcanzó en diciembre de 2023. El texto final fue aprobado por el Parlamento Europeo el 13 de marzo de 2024 y por el Consejo el 21 de mayo de 2024. El Reglamento fue publicado en el Diario Oficial de la Unión Europea el 12 de julio de 2024 y entró en vigor el 1 de agosto de 2024.

Un reglamento, no una directiva: la diferencia que importa

Un detalle técnico-jurídico que tiene consecuencias prácticas enormes: el AI Act es un reglamento, no una directiva. En derecho europeo, una directiva establece objetivos que cada Estado miembro debe transponer a su legislación nacional, lo que permite variaciones significativas entre países. Un reglamento, en cambio, es directamente aplicable en todos los Estados miembros sin necesidad de transposición. Se aplica tal cual. Esto significa que las obligaciones del AI Act son idénticas para una empresa en Barcelona, en Berlín o en Bratislava. No hay margen para interpretaciones nacionales divergentes sobre las obligaciones centrales del texto.

Esto no impide que cada Estado miembro tenga que adoptar medidas complementarias —designar autoridades de supervisión, establecer el régimen sancionador concreto, crear canales de comunicación con las empresas—. Pero el núcleo del Reglamento es uniforme en toda la Unión. Para las empresas españolas que operan en varios países europeos, esto es una ventaja considerable: un solo marco de cumplimiento, no veintisiete.

El alcance: ¿qué es un «sistema de inteligencia artificial» según el Reglamento?

Una cuestión previa que toda empresa debe resolver antes de analizar sus obligaciones: ¿mi software es un «sistema de IA» a efectos del Reglamento? La definición del AI Act (Artículo 3.1) es deliberadamente amplia: un sistema de IA es un «sistema basado en una máquina que está diseñado para funcionar con distintos niveles de autonomía y que puede mostrar adaptabilidad después del despliegue y que, para objetivos explícitos o implícitos, infiere, a partir de la entrada que recibe, cómo generar resultados tales como predicciones, contenido, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales».

Dos elementos de esta definición merecen atención especial. Primero, la referencia a la autonomía: el sistema debe operar con algún grado de autonomía, es decir, tomar decisiones o generar resultados sin instrucciones humanas directas en cada paso. Un formulario de Excel con fórmulas no es un sistema de IA. Un modelo de machine learning que predice la probabilidad de impago de un cliente sí lo es. Segundo, la referencia a la capacidad de inferencia: el sistema debe inferir resultados a partir de los datos de entrada, lo que implica un procesamiento que va más allá de la simple aplicación de reglas predefinidas. Un sistema experto basado en reglas «si/entonces» rígidas probablemente no califica. Un sistema que aprende patrones de los datos y genera predicciones sobre datos nuevos probablemente sí.

La definición excluye explícitamente los sistemas de software «simples» basados en reglas definidas exclusivamente por personas que no muestran ningún comportamiento adaptativo ni inferencia. También excluye los sistemas utilizados exclusivamente con fines de investigación y desarrollo antes de su puesta en servicio. Pero la frontera es difusa, y en caso de duda, el principio de precaución aconseja asumir que el sistema califica como IA y evaluar sus obligaciones.

La pirámide del riesgo: cómo clasifica el AI Act los sistemas de inteligencia artificial

El corazón del AI Act es un sistema de clasificación basado en el riesgo. No todos los sistemas de IA se regulan igual. La lógica es intuitiva: cuanto mayor sea el riesgo que un sistema de IA plantea para los derechos fundamentales de las personas, más estrictas son las obligaciones que debe cumplir. Es una lógica que los profesionales sanitarios reconocerán inmediatamente —es el mismo principio del triaje en urgencias: no se dedican los mismos recursos al paciente con un esguince de tobillo que al que llega con un infarto de miocardio—.

El AI Act establece cuatro niveles de riesgo, organizados en una pirámide donde la cima representa las prácticas absolutamente prohibidas y la base comprende los sistemas que apenas requieren regulación.

Nivel 1: Riesgo inaceptable — Prácticas prohibidas (Artículo 5)

En la cima de la pirámide están los usos de la IA que la Unión Europea considera incompatibles con los valores fundamentales europeos. Estos sistemas están prohibidos sin excepciones (salvo las específicamente previstas en el texto). Desde el 2 de febrero de 2025, cualquier empresa que despliegue uno de estos sistemas en territorio europeo está cometiendo una infracción.

Las ocho prácticas prohibidas, recogidas en el Artículo 5 del Reglamento, son las siguientes:

1. Manipulación subliminal y engaño (Art. 5.1.a): Sistemas de IA que utilicen técnicas subliminales —es decir, que operen por debajo del umbral de la percepción consciente— o técnicas deliberadamente manipuladoras o engañosas, con el objetivo o efecto de distorsionar materialmente el comportamiento de una persona de modo que se deteriore su capacidad de tomar decisiones informadas, causándole un perjuicio significativo. Piense en algoritmos de redes sociales diseñados para explotar vulnerabilidades psicológicas inconscientes con el fin de modificar comportamientos de voto, consumo o adhesión ideológica.
2. Explotación de vulnerabilidades (Art. 5.1.b): Sistemas que exploten la vulnerabilidad de personas por razón de su edad, discapacidad o situación socioeconómica para distorsionar su comportamiento de forma que les cause perjuicio significativo. Un ejemplo claro: una aplicación de juego online que utilice IA para identificar a jugadores menores de edad con tendencia a la ludopatía y ajuste la dificultad y las recompensas para maximizar su gasto.
3. Puntuación social (social scoring) (Art. 5.1.c): Sistemas que evalúen o clasifiquen a personas físicas durante un período de tiempo en función de su comportamiento social o de características personales conocidas, inferidas o predichas, cuando la puntuación social resultante conduzca a un trato perjudicial o desfavorable en contextos distintos de aquellos en que se generaron los datos. Es el modelo del Sistema de Crédito Social chino, donde la puntuación de un ciudadano en un ámbito de la vida afecta su acceso a servicios en otro ámbito completamente diferente.
4. Predicción de criminalidad basada en perfilado (Art. 5.1.d): Sistemas que realicen evaluaciones de riesgo de personas para predecir la probabilidad de que cometan un delito basándose únicamente en el perfilado o en la evaluación de sus rasgos de personalidad. La policía predictiva basada en perfiles individuales —no en datos estadísticos geográficos— queda expresamente fuera del mercado europeo.
5. Scraping facial no dirigido (Art. 5.1.e): Sistemas que creen o amplíen bases de datos de reconocimiento facial mediante la recopilación no selectiva de imágenes faciales de internet o de grabaciones de videovigilancia. Esto es exactamente lo que hacía Clearview AI —la empresa estadounidense multada con 20 millones de euros por la autoridad italiana de protección de datos por recopilar miles de millones de imágenes faciales de redes sociales sin consentimiento—.
6. Inferencia de emociones en el trabajo y la educación (Art. 5.1.f): Sistemas que infieran las emociones de personas en contextos laborales y educativos, salvo que su uso tenga fines médicos o de seguridad. Una empresa no puede utilizar IA para analizar las expresiones faciales de sus empleados durante reuniones y generar «puntuaciones de compromiso emocional». Tampoco un centro educativo puede usar cámaras con IA para detectar si los alumnos están «aburridos» o «atentos».
7. Categorización biométrica por características sensibles (Art. 5.1.g): Sistemas que categoricen a personas en función de sus datos biométricos para deducir o inferir su raza, opiniones políticas, afiliación sindical, creencias religiosas, vida sexual u orientación sexual. Clasificar a las personas por su apariencia física para inferir su ideología o su orientación sexual es incompatible con los valores europeos, punto.
8. Identificación biométrica remota en tiempo real en espacios públicos (Art. 5.1.h): El uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de aplicación de la ley. Existen excepciones muy limitadas: búsqueda de víctimas de secuestro, prevención de amenazas terroristas inminentes e identificación de sospechosos de delitos graves. Pero estas excepciones requieren autorización judicial previa y están sujetas a estrictas salvaguardas.

Estas prohibiciones ya están en vigor. Llevan más de un año aplicándose. Y el régimen sancionador para su infracción es el más severo del Reglamento: hasta 35 millones de euros o el 7% de la facturación anual global, lo que resulte superior. Para poner esta cifra en contexto: si una empresa con una facturación de 500 millones de euros despliega un sistema de puntuación social, se expone a una multa de hasta 35 millones de euros. Si su facturación es de 1.000 millones, la multa podría alcanzar los 70 millones.

Nivel 2: Alto riesgo — El corazón regulatorio del AI Act

Si las prácticas prohibidas son los «delitos» de la inteligencia artificial, los sistemas de alto riesgo son las «actividades reguladas» —permitidas, pero sujetas a un régimen estricto de obligaciones, inspecciones y documentación—. Es aquí donde el AI Act tiene mayor impacto para la mayoría de las empresas, y es la parte del Reglamento cuyas obligaciones se aplican íntegramente a partir del 2 de agosto de 2026.

El Anexo III del Reglamento enumera ocho áreas en las que los sistemas de IA se consideran de alto riesgo:

Área	Ejemplos de sistemas de alto riesgo	Sectores afectados en España
1. Biometría	Identificación biométrica remota «post» (no en tiempo real), sistemas de categorización biométrica, reconocimiento de emociones	Seguridad privada, control de accesos, aeropuertos
2. Infraestructuras críticas	Componentes de seguridad en gestión de tráfico, suministro de agua, gas, calefacción, electricidad e infraestructura digital crítica	Utilities, telecomunicaciones, transporte
3. Educación y formación	Sistemas de admisión, evaluación automatizada de exámenes, determinación del nivel formativo, detección de comportamientos prohibidos en exámenes	Universidades, centros de formación, edtech
4. Empleo y gestión de trabajadores	Cribado de CVs, publicación de ofertas dirigidas, evaluación de candidatos, decisiones sobre promociones, terminación de contratos, asignación de tareas, monitorización del rendimiento	Todas las empresas con procesos de RRHH automatizados
5. Servicios esenciales	Evaluación de solvencia crediticia (credit scoring), evaluación de riesgos de seguros (salud y vida), clasificación de solicitudes de prestaciones sociales, servicios de emergencia	Banca, seguros, administración pública, servicios sociales
6. Aplicación de la ley	Polígrafos y herramientas similares, evaluación de fiabilidad de pruebas, perfilado de personas en investigaciones, análisis de delitos	Fuerzas y Cuerpos de Seguridad, Fiscalía
7. Migración, asilo y control de fronteras	Evaluación de riesgo de personas que entran en la UE, verificación de documentos, examen de solicitudes de asilo	Policía Nacional, Guardia Civil, CIEs
8. Administración de justicia y procesos democráticos	Sistemas de apoyo a la investigación e interpretación de hechos y de la ley, resolución alternativa de disputas, influencia en procesos electorales	Poder judicial, administraciones públicas, partidos políticos

Además del Anexo III, el Artículo 6 establece que también son de alto riesgo los sistemas de IA que son componentes de seguridad de productos regulados por la legislación de armonización de la UE enumerados en el Anexo I —esto incluye productos sanitarios, maquinaria, juguetes, ascensores, equipos de protección individual y otros productos sujetos a marcado CE—. Si su empresa fabrica un dispositivo médico con un componente de IA que influye en decisiones diagnósticas, ese componente es un sistema de IA de alto riesgo.

La distinción es crucial: un chatbot que responde preguntas generales sobre un producto es de riesgo limitado o mínimo. Un sistema de IA que analiza radiografías y sugiere diagnósticos a un médico es de alto riesgo. Un algoritmo que decide automáticamente si conceder o denegar un préstamo es de alto riesgo. Un sistema que filtra currículos en un proceso de selección es de alto riesgo. La clasificación depende del uso, no de la tecnología subyacente: el mismo modelo de lenguaje puede ser de riesgo mínimo en una aplicación y de alto riesgo en otra.

Nivel 3: Riesgo limitado — Obligaciones de transparencia

El tercer nivel comprende sistemas de IA que no son de alto riesgo pero que plantean un riesgo de engaño o manipulación si los usuarios no saben que están interactuando con una máquina. La obligación principal aquí es la transparencia: informar al usuario de que está tratando con un sistema de IA.

El Artículo 50 establece obligaciones de transparencia para varios tipos de sistemas:

• Chatbots y asistentes conversacionales: Deben informar al usuario de que está interactuando con un sistema de IA, a menos que sea evidente por las circunstancias.
• Contenido generado por IA: Los proveedores de sistemas que generen imágenes, audio o vídeo sintético (incluidos los deepfakes) deben marcar la salida de forma legible por máquina —mediante metadatos, marcas de agua digitales u otros mecanismos técnicos—.
• Sistemas de reconocimiento de emociones y categorización biométrica (cuando no sean de alto riesgo): Deben informar a las personas expuestas al sistema.
• Contenido deepfake: Los desplegadores que publiquen contenido de imagen, audio o vídeo que constituya un deepfake deben revelar que el contenido ha sido generado o manipulado artificialmente.

Estas obligaciones tienen una relevancia directa para cualquier empresa española que utilice chatbots de atención al cliente, genere contenido con herramientas de IA o despliegue asistentes virtuales en su web o sus aplicaciones.

Nivel 4: Riesgo mínimo — La libertad de innovar

La base de la pirámide comprende la inmensa mayoría de los sistemas de IA: filtros de spam, sistemas de recomendación de contenidos, videojuegos con IA, correctores ortográficos, optimizadores de rutas logísticas, sistemas de mantenimiento predictivo industrial y un largo etcétera. Estos sistemas no están sujetos a ninguna obligación específica del AI Act, más allá de la obligación general de alfabetización en IA (Artículo 4), que exige que todas las empresas que utilicen IA —de cualquier nivel de riesgo— garanticen que su personal tiene un nivel suficiente de formación y comprensión sobre los sistemas que maneja.

La decisión de dejar sin regular los sistemas de riesgo mínimo es deliberada. El AI Act busca regular los riesgos, no la tecnología en sí. Si un sistema de IA no plantea riesgos significativos para los derechos fundamentales, no hay razón para imponer cargas regulatorias que frenen la innovación. Es el equilibrio que Europa intenta mantener —con mayor o menor éxito, según a quién pregunte— entre protección y progreso.

El calendario que no espera: qué está en vigor y qué viene en agosto de 2026

El AI Act no se aplica de golpe. Sus obligaciones se despliegan en fases, siguiendo un calendario escalonado diseñado para dar a las empresas tiempo de adaptación. Pero el reloj está corriendo, y algunas empresas descubrirán que el tiempo que parecía generoso se ha evaporado más rápido de lo previsto.

Fecha	Hito	Qué se aplica
1 agosto 2024	Entrada en vigor	El Reglamento entra en vigor. Comienzan a contar los plazos de aplicación escalonada.
2 febrero 2025	Prohibiciones + Alfabetización en IA	Se aplican las prohibiciones del Artículo 5 (prácticas de riesgo inaceptable). Entra en vigor la obligación de alfabetización en IA del Artículo 4.
2 agosto 2025	GPAI + Gobernanza + Sanciones	Se aplican las obligaciones para modelos de IA de propósito general (Capítulo V). Se establecen las estructuras de gobernanza (Oficina Europea de IA, Comité Europeo de IA). Entra en vigor el régimen sancionador.
2 febrero 2026	Directrices de alto riesgo	La Comisión publica directrices sobre la implementación práctica de la clasificación de alto riesgo, incluyendo una lista de ejemplos concretos de sistemas que son y no son de alto riesgo.
2 agosto 2026	Aplicación general	Se aplica la mayoría del Reglamento, incluyendo todas las obligaciones para sistemas de alto riesgo del Anexo III, obligaciones de transparencia, evaluaciones de conformidad, Evaluaciones de Impacto en Derechos Fundamentales (FRIA), supervisión humana, documentación técnica, gestión de riesgos, sistemas de gestión de calidad, marcado CE y registro en la base de datos de la UE. La Comisión puede imponer multas a proveedores de modelos GPAI.
2 agosto 2027	Alto riesgo Anexo I	Se aplican las obligaciones para sistemas de IA de alto riesgo integrados en productos regulados por la legislación de armonización de la UE (Anexo I): dispositivos médicos, maquinaria, juguetes, etc.

La fecha más crítica para la mayoría de las empresas españolas es el 2 de agosto de 2026. Es cuando las obligaciones sustantivas del Reglamento se aplican en toda su extensión para los sistemas de IA de alto riesgo más comunes: los de selección de personal, evaluación crediticia, admisión educativa, gestión de infraestructuras críticas y administración de justicia, entre otros. Y quedan menos de cinco meses.

Hay que hacer una aclaración importante sobre una propuesta legislativa en curso. El paquete Digital Omnibus, propuesto por la Comisión Europea, contempla la posibilidad de extender los plazos de aplicación para sistemas de alto riesgo. En marzo de 2026, las comisiones del Parlamento Europeo ya han votado a favor (101 votos contra 9) de establecer fechas fijas de prórroga: 2 de diciembre de 2027 para los sistemas de alto riesgo del Anexo III y 2 de agosto de 2028 para los del Anexo I (productos regulados por legislación de armonización de la UE). El paquete se encuentra actualmente en fase de trílogo entre Comisión, Parlamento y Consejo, lo que hace probable —aunque no segura— su aprobación final. Las empresas prudentes no deberían apostar su estrategia de cumplimiento a una prórroga que aún no se ha materializado: es mejor estar preparados para agosto de 2026 y descubrir que se tiene más tiempo, que asumir que habrá prórroga y descubrir que no.

¿Quién debe cumplir? Proveedores, desplegadores y la cadena de responsabilidad

Roles definidos por el Reglamento

El AI Act no habla de «empresas» en abstracto. Define roles específicos con obligaciones diferenciadas. Identificar correctamente el rol de su organización es el primer paso —y posiblemente el más importante— de cualquier estrategia de cumplimiento.

Proveedor (provider): La persona física o jurídica que desarrolla un sistema de IA o un modelo de IA de propósito general, o que lo hace desarrollar por encargo, y lo introduce en el mercado o lo pone en servicio bajo su propio nombre o marca. El proveedor soporta la mayor carga de obligaciones: diseño del sistema, documentación técnica, evaluación de conformidad, marcado CE, sistema de gestión de calidad, monitorización poscomercialización.

Desplegador (deployer): La persona física o jurídica que utiliza un sistema de IA bajo su autoridad en el contexto de una actividad profesional. El desplegador no desarrolla el sistema, pero es responsable de usarlo correctamente: seguir las instrucciones del proveedor, asignar supervisión humana competente, monitorizar el funcionamiento, garantizar la calidad de los datos de entrada, informar al proveedor de incidentes, y —en ciertos casos— realizar una Evaluación de Impacto en Derechos Fundamentales.

Importador y distribuidor: Roles relevantes para empresas que traen al mercado europeo sistemas de IA fabricados fuera de la UE. El importador debe verificar que el proveedor extranjero ha realizado la evaluación de conformidad y que el sistema cuenta con marcado CE y documentación adecuada.

Un matiz esencial: una empresa puede ser proveedor y desplegador simultáneamente. Si su departamento de IT desarrolla internamente un sistema de IA para el cribado de currículos y luego Recursos Humanos lo utiliza en procesos de selección, su empresa es proveedor (desarrolló el sistema) y desplegador (lo usa profesionalmente). Carga con las obligaciones de ambos roles.

El efecto extraterritorial: ¿me afecta si estoy fuera de la UE?

Sí. El AI Act tiene alcance extraterritorial, siguiendo el modelo del RGPD. Se aplica a proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA en la UE, independientemente de si están establecidos dentro o fuera de la Unión. También se aplica a desplegadores de sistemas de IA que estén establecidos o ubicados en la UE, y a proveedores y desplegadores establecidos fuera de la UE cuyo output sea utilizado en la Unión. Si una empresa tecnológica estadounidense vende un sistema de cribado de CVs a una empresa española, tanto la empresa estadounidense (como proveedor) como la española (como desplegadora) tienen obligaciones bajo el AI Act.

La cuestión PYME: ¿hay excepciones para las pequeñas empresas?

Aquí hay buenas y malas noticias. La mala noticia: el AI Act no exime a las PYMEs del cumplimiento si desarrollan o utilizan sistemas de IA de alto riesgo. Una startup de veinte personas que desarrolle un sistema de credit scoring tiene las mismas obligaciones sustantivas que un banco con diez mil empleados. La buena noticia: el Reglamento incluye múltiples medidas de apoyo para PYMEs y startups:

• Acceso prioritario a los sandboxes regulatorios de forma gratuita (Artículo 57).
• Documentación técnica simplificada: La Comisión desarrollará formularios especiales simplificados para micro y pequeñas empresas, aceptados por las autoridades nacionales para las evaluaciones de conformidad.
• Ciertos elementos del sistema de gestión de calidad pueden cumplirse de forma simplificada por las microempresas.
• Tasas de evaluación de conformidad proporcionadas al tamaño de la empresa.
• Sanciones reducidas: Para PYMEs y startups, el tope de las multas se calcula sobre la cifra que sea menor (no mayor) entre el porcentaje de facturación y la cantidad fija. Es decir, si el tope para una gran empresa es 35 millones de euros o el 7% de la facturación (lo que sea mayor), para una PYME será 35 millones o el 7% (lo que sea menor).
• Exención para software libre y de código abierto: Los componentes de IA libres y de código abierto están exentos de las obligaciones del Reglamento, siempre que no se pongan en servicio como componente de un sistema de alto riesgo.

Estas medidas reducen el coste de cumplimiento, pero no eliminan la obligación de cumplir. La simplificación afecta al «cómo», no al «si».

Obligaciones en detalle: lo que exige el AI Act a proveedores y desplegadores

Para proveedores de sistemas de alto riesgo: las siete columnas del cumplimiento

El proveedor de un sistema de IA de alto riesgo debe construir su cumplimiento sobre siete pilares que el Reglamento detalla con un nivel de especificidad considerable:

1. Sistema de gestión de riesgos (Artículo 9). No se trata de un análisis de riesgos puntual, sino de un proceso continuo que se ejecuta a lo largo de todo el ciclo de vida del sistema de IA. Debe incluir la identificación y análisis de los riesgos conocidos y razonablemente previsibles, la estimación y evaluación de esos riesgos, la adopción de medidas de mitigación adecuadas, y pruebas para garantizar que las medidas de mitigación funcionan. El proceso debe actualizarse cuando haya cambios sustanciales en el sistema. La analogía es la de un sistema de gestión de calidad ISO —un ciclo PDCA (planificar, hacer, verificar, actuar) aplicado específicamente a los riesgos de la IA—.

2. Datos y gobernanza de datos (Artículo 10). Los conjuntos de datos utilizados para entrenar, validar y probar el sistema deben cumplir criterios de calidad específicos: deben ser pertinentes, suficientemente representativos, estar libres de errores en la medida de lo posible, y ser completos en vista de la finalidad prevista del sistema. El proveedor debe documentar las prácticas de recopilación de datos, los procesos de preparación (limpieza, etiquetado, enriquecimiento), las hipótesis subyacentes sobre qué representan los datos, y una evaluación previa de los sesgos posibles. Un detalle relevante: el Artículo 10.5 permite excepcionalmente el tratamiento de categorías especiales de datos personales (origen racial, opiniones políticas, orientación sexual, etc.) cuando sea estrictamente necesario para la detección y corrección de sesgos en sistemas de alto riesgo —una excepción específica a la prohibición general del Artículo 9 del RGPD—.

3. Documentación técnica (Artículo 11 y Anexo IV). La documentación técnica es la pieza central de la demostración de conformidad. Debe prepararse antes de la introducción en el mercado y mantenerse actualizada durante toda la vida útil del sistema. Incluye una descripción general del sistema, su finalidad prevista, versiones de hardware y software, el proceso de desarrollo, las especificaciones de diseño, la arquitectura del sistema, los requisitos de datos, los procedimientos de prueba y validación con sus resultados, las medidas de gestión de riesgos, y el plan de monitorización poscomercialización. Es un expediente exhaustivo que debe permitir a las autoridades evaluar la conformidad del sistema sin necesidad de examinar su código fuente.

4. Registro automático de actividad (Artículo 12). Los sistemas de alto riesgo deben diseñarse para registrar automáticamente eventos relevantes durante su funcionamiento (logging). Estos registros deben permitir la trazabilidad del funcionamiento del sistema: identificar situaciones de riesgo, facilitar la monitorización poscomercialización y permitir la investigación de incidentes. Es el equivalente a la caja negra de un avión: si algo sale mal, debe haber un registro que permita entender qué ocurrió, cuándo y por qué.

5. Transparencia e información a los desplegadores (Artículo 13). El sistema debe ir acompañado de instrucciones de uso claras y comprensibles que permitan al desplegador entender las capacidades y limitaciones del sistema, su rendimiento esperado en distintas condiciones, los riesgos conocidos, las medidas de supervisión humana necesarias, y las especificaciones de los datos de entrada. Si usted compra un sistema de IA de alto riesgo, tiene derecho a recibir toda esta información del proveedor.

6. Supervisión humana (Artículo 14). Los sistemas de alto riesgo deben diseñarse para permitir una supervisión humana efectiva durante su uso. Esto significa que debe haber personas con la competencia, formación y autoridad necesarias para supervisar el sistema, entender sus capacidades y limitaciones, ser capaces de interpretar correctamente sus resultados, y poder decidir no usar el sistema, ignorar, anular o revertir su output, o detener su funcionamiento mediante un mecanismo de «parada de emergencia». La supervisión humana no es un trámite burocrático: es un requisito de diseño. El sistema debe construirse desde el principio para hacer posible esa supervisión.

7. Precisión, robustez y ciberseguridad (Artículo 15). Los sistemas de alto riesgo deben alcanzar niveles adecuados de precisión, robustez y ciberseguridad. Deben ser resilientes frente a errores, fallos, inconsistencias y manipulaciones por parte de terceros. Deben protegerse contra ataques adversarios (adversarial attacks) —técnicas que manipulan los datos de entrada para provocar que el sistema de IA produzca resultados erróneos—. Deben funcionar de forma consistente a lo largo del tiempo y en distintas condiciones operativas.

Para desplegadores de sistemas de alto riesgo: las obligaciones del usuario profesional

Las obligaciones del desplegador (Artículo 26) son menos extensas que las del proveedor, pero no menos importantes. Si su empresa utiliza un sistema de IA de alto riesgo —aunque no lo haya desarrollado—, está obligada a:

• Utilizar el sistema conforme a las instrucciones de uso proporcionadas por el proveedor. Esto parece obvio, pero tiene implicaciones profundas: si el proveedor indica que el sistema está diseñado para un uso específico y usted lo utiliza para otro, puede estar creando un sistema de alto riesgo «de facto» con todas las obligaciones del proveedor.
• Asignar la supervisión humana a personas con la competencia, formación y autoridad necesarias.
• Garantizar la relevancia de los datos de entrada en la medida en que ejerza control sobre ellos.
• Monitorizar el funcionamiento del sistema y, si identifica riesgos, informar al proveedor y a la autoridad competente.
• Conservar los registros generados automáticamente por el sistema durante al menos seis meses (salvo que otra normativa exija un plazo diferente).
• Informar a los trabajadores y sus representantes de que están sujetos al uso de un sistema de IA de alto riesgo, antes de su puesta en funcionamiento.
• Realizar una Evaluación de Impacto en Derechos Fundamentales (FRIA, Fundamental Rights Impact Assessment) antes del primer uso del sistema, si el desplegador es un organismo público, un prestador de servicios públicos, o utiliza sistemas de evaluación crediticia o de seguros de los indicados en el Anexo III.

La Evaluación de Impacto en Derechos Fundamentales (FRIA): el DPIA del AI Act

El Artículo 27 introduce un instrumento nuevo: la Evaluación de Impacto en Derechos Fundamentales (Fundamental Rights Impact Assessment, FRIA). Si el RGPD exige una Evaluación de Impacto en Protección de Datos (DPIA) cuando un tratamiento entraña un alto riesgo para los derechos de los interesados, el AI Act exige una FRIA cuando el uso de un sistema de IA de alto riesgo pueda afectar a derechos fundamentales.

La FRIA debe incluir una descripción de los procesos del desplegador en los que se utiliza el sistema de IA, el período y la frecuencia de uso prevista, las categorías de personas y grupos afectados, los riesgos específicos de daño para las personas o grupos identificados, una descripción de las medidas de supervisión humana implementadas, y las medidas que se adoptarán si los riesgos se materializan. Una vez completada, el desplegador debe notificar sus resultados a la autoridad de vigilancia del mercado.

Un aspecto práctico relevante: si el desplegador ya ha realizado un DPIA conforme al Artículo 35 del RGPD, la FRIA debe complementar dicha evaluación, no duplicarla. Los elementos ya cubiertos por el DPIA no necesitan repetirse. Es una muestra del esfuerzo del legislador por evitar redundancias entre el AI Act y el RGPD.

El derecho a explicación: Artículo 86

Una disposición que merece atención especial por su impacto práctico es el Artículo 86 del AI Act, que establece el derecho de las personas afectadas por decisiones tomadas con asistencia de sistemas de IA de alto riesgo a obtener una explicación clara y significativa del papel que el sistema ha desempeñado en el proceso de toma de decisiones y de los principales elementos de la decisión adoptada. Este derecho se aplica cuando la decisión produce efectos jurídicos o afecta significativamente a la persona —denegación de un crédito, rechazo de una candidatura laboral, inadmisión en un programa educativo—.

Para las empresas, esto implica que sus sistemas de IA de alto riesgo deben ser capaces de generar explicaciones comprensibles, no solo registros técnicos internos. Los modelos de «caja negra» que no pueden justificar sus decisiones tendrán dificultades para cumplir con esta obligación. Es una razón más para integrar la explicabilidad (explainability) en el diseño del sistema desde el principio, no como un añadido posterior.

Evaluación de conformidad y marcado CE

Antes de poner en servicio un sistema de IA de alto riesgo, el proveedor debe someterse a una evaluación de conformidad (Artículo 43). Para la mayoría de los sistemas de alto riesgo del Anexo III, esta evaluación se realiza mediante control interno —es decir, la propia empresa verifica que su sistema cumple los requisitos del Reglamento, sin necesidad de un organismo externo—. Sin embargo, para los sistemas de identificación biométrica remota, la evaluación de conformidad requiere la intervención de un organismo notificado —un tercero independiente acreditado por la autoridad nacional—.

Una vez superada la evaluación de conformidad, el proveedor debe colocar el marcado CE en el sistema (o en su embalaje o documentación si no es posible ponerlo en el propio sistema), registrar el sistema en la base de datos de la UE, y emitir una declaración UE de conformidad. El marcado CE es la señal visible de que el sistema cumple los requisitos del AI Act, del mismo modo que lo es para un juguete, un electrodoméstico o un equipo de protección individual.

La arquitectura de supervisión: quién vigila a la IA en Europa y en España

La gobernanza europea: Oficina de IA, Comité y autoridades nacionales

El AI Act no crea una única «superagencia» europea de IA. En su lugar, establece una arquitectura de gobernanza multinivel que distribuye las responsabilidades entre instituciones europeas y autoridades nacionales, siguiendo el modelo del RGPD (que combina el Comité Europeo de Protección de Datos con las autoridades nacionales de cada Estado miembro).

La Oficina Europea de IA (AI Office), creada dentro de la Comisión Europea, tiene competencias de supervisión directa sobre los modelos de IA de propósito general (GPAI) y coordina la implementación del Reglamento a nivel europeo. Es la que publicó el Código de Prácticas para GPAI y la que investigará y sancionará a los proveedores de modelos GPAI que incumplan sus obligaciones.

El Comité Europeo de Inteligencia Artificial (AI Board) reúne a representantes de las autoridades nacionales de supervisión de los 27 Estados miembros. Su función es garantizar la coherencia en la aplicación del Reglamento en toda la UE: emitir recomendaciones, facilitar la cooperación entre autoridades nacionales y asesorar a la Comisión sobre directrices y normas armonizadas.

Las autoridades nacionales competentes de cada Estado miembro son las que supervisan en la práctica el cumplimiento de la mayoría de las obligaciones del AI Act en su territorio. Cada Estado debe designar al menos una autoridad notificadora (que supervisa a los organismos de evaluación de conformidad) y una autoridad de vigilancia del mercado (que monitoriza el cumplimiento y puede imponer sanciones). En España, ese papel recae en AESIA.

España, pionera en supervisión de IA

España fue el primer Estado miembro de la UE en crear una autoridad nacional de supervisión de inteligencia artificial, adelantándose a la propia obligación del AI Act de que cada Estado designe una autoridad competente. Mediante el Real Decreto 729/2023, de 22 de agosto, se aprobó el Estatuto de la Agencia Española de Supervisión de Inteligencia Artificial (AESIA), con sede institucional en A Coruña.

AESIA tiene encomendadas funciones de supervisión, asesoramiento, sensibilización y formación tanto a empresas públicas como privadas para la correcta implementación de la normativa sobre uso de la inteligencia artificial. Será la autoridad de vigilancia del mercado para los sistemas de IA en España, la interlocutora con la Oficina Europea de IA y la encargada de tramitar las denuncias, investigar los incumplimientos e imponer las sanciones que correspondan.

La creación temprana de AESIA se enmarca en la Estrategia Nacional de Inteligencia Artificial (ENIA), publicada en diciembre de 2020 como parte del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España. La ENIA destinó una inversión pública inicial de aproximadamente 600 millones de euros (2021-2023) y definió seis ejes estratégicos: investigación e innovación, talento, datos e infraestructura, IA en cadenas de valor, adopción en el sector público y un marco ético-normativo.

El sandbox regulatorio: un laboratorio para aprender a cumplir

Una de las herramientas más interesantes del AI Act es la obligación de que cada Estado miembro establezca al menos un sandbox regulatorio de IA (Artículo 57): un entorno controlado donde las empresas pueden probar sus sistemas de IA bajo supervisión directa de la autoridad reguladora, sin exponerse a sanciones por posibles incumplimientos detectados durante la fase de prueba.

La analogía más precisa es la de un simulador de vuelo. Antes de pilotar un avión comercial con pasajeros reales, un piloto pasa cientos de horas en un simulador donde puede cometer errores, enfrentarse a emergencias y aprender los procedimientos correctos sin riesgo para nadie. El sandbox regulatorio funciona de forma similar: las empresas pueden probar la operatividad de los requisitos del AI Act sobre sus sistemas reales, identificar problemas de cumplimiento, y aprender a implementar las obligaciones bajo la guía directa de los reguladores.

España lanzó su sandbox de IA en abril de 2025, con una primera convocatoria que recibió 44 solicitudes y seleccionó 12 proyectos de alto riesgo en seis sectores: servicios esenciales, biometría, empleo, infraestructura crítica, maquinaria y productos sanitarios. Los proyectos seleccionados operaron bajo supervisión directa de AESIA en un entorno de «laboratorio regulatorio en tiempo real», donde las ambigüedades normativas se identificaban y se documentaban para generar guías de buenas prácticas.

El resultado más tangible del sandbox fue la publicación, en diciembre de 2025, de 16 guías prácticas para el cumplimiento del AI Act, organizadas en tres bloques:

• Guías introductorias (Guías 1 y 2): Visión general del Reglamento y conceptos clave.
• Guías técnicas (Guías 3 a 15): Obligaciones específicas para sistemas de alto riesgo, desde gestión de riesgos hasta ciberseguridad, pasando por calidad de datos, documentación técnica, trazabilidad, transparencia, supervisión humana, precisión y robustez.
• Manual de checklists de autoevaluación (Guía 16): Listas de comprobación para cada obligación.

Estas guías están disponibles en la web de AESIA (aesia.digital.gob.es) y constituyen el recurso más práctico y específico disponible para empresas españolas que necesiten orientación sobre cómo cumplir el AI Act. Si su empresa trabaja con sistemas de IA de alto riesgo y aún no ha consultado estas guías, debería hacerlo antes de seguir leyendo.

Una segunda convocatoria del sandbox está prevista para 2026, lo que significa que las empresas que no participaron en la primera ronda tendrán una nueva oportunidad de probar sus sistemas bajo supervisión regulatoria. Las PYMEs y startups tienen acceso prioritario y gratuito.

AI Act y RGPD: dos regulaciones, un mismo objetivo

Solapamientos, tensiones y complementariedades

Para cualquier empresa española familiarizada con el RGPD, el AI Act resultará conceptualmente familiar —pero no idéntico—. Ambos reglamentos comparten un objetivo subyacente (proteger los derechos fundamentales de las personas frente a los riesgos de la tecnología), pero lo abordan desde perspectivas diferentes. El RGPD regula el tratamiento de datos personales, independientemente de la tecnología utilizada. El AI Act regula la tecnología de inteligencia artificial, independientemente de si trata datos personales o no.

El solapamiento se produce cuando un sistema de IA trata datos personales —que es la mayoría de los casos en los que el sistema interactúa con personas físicas—. En ese escenario, la empresa debe cumplir ambos reglamentos simultáneamente. Y las intersecciones son múltiples:

Evaluaciones de impacto. El RGPD exige un DPIA (Evaluación de Impacto en Protección de Datos) cuando un tratamiento entrañe un alto riesgo para los derechos de los interesados. El AI Act exige una FRIA (Evaluación de Impacto en Derechos Fundamentales) cuando se despliegue un sistema de IA de alto riesgo en determinadas circunstancias. Cuando ambas obligaciones concurran, la FRIA debe complementar al DPIA, evitando duplicidades. En la práctica, muchas empresas optarán por crear un documento unificado que cubra ambas evaluaciones.

Bases legítimas para el tratamiento de datos. Entrenar un sistema de IA con datos personales requiere una base legal bajo el RGPD (consentimiento, interés legítimo, ejecución de contrato, etc.). La multa de 15 millones de euros impuesta a OpenAI por la autoridad italiana de protección de datos (el Garante) en diciembre de 2024 ilustra este punto con claridad: el Garante concluyó que OpenAI había utilizado datos personales para entrenar ChatGPT sin una base legal adecuada, violando los principios de transparencia y las obligaciones de información a los usuarios. La intersección entre el entrenamiento de modelos de IA y la protección de datos personales será uno de los campos de batalla regulatorios más intensos de los próximos años.

Categorías especiales de datos y detección de sesgos. Una de las tensiones más fascinantes entre ambos reglamentos: el RGPD prohíbe, como regla general, el tratamiento de categorías especiales de datos (origen étnico, opiniones políticas, orientación sexual, etc.). Pero el AI Act, en su Artículo 10.5, permite excepcionalmente el tratamiento de estas categorías cuando sea estrictamente necesario para la detección y corrección de sesgos en sistemas de alto riesgo. Es decir: para verificar que un algoritmo de selección de personal no discrimina por raza u orientación sexual, puede ser necesario tratar datos sobre raza y orientación sexual —algo que el RGPD normalmente prohíbe—. Esta excepción del AI Act crea una base legal que no existía previamente.

Derechos de los interesados. El RGPD otorga a los interesados el derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o les afecten significativamente (Artículo 22 RGPD). El AI Act refuerza este principio a través de las obligaciones de supervisión humana y transparencia. Pero aquí surge una cuestión práctica: si un sistema de IA de alto riesgo toma una decisión automatizada sobre una persona (denegarle un crédito, rechazar su candidatura laboral), ¿qué derechos tiene esa persona? Bajo el RGPD, tiene derecho a obtener intervención humana, expresar su punto de vista y recurrir la decisión. Bajo el AI Act, el desplegador debe garantizar que haya supervisión humana efectiva. Ambos marcos se refuerzan mutuamente, pero la coordinación práctica entre los derechos del RGPD y las obligaciones del AI Act requerirá desarrollo jurisprudencial.

Autoridades de supervisión. En España, el RGPD lo supervisa la Agencia Española de Protección de Datos (AEPD). El AI Act lo supervisará AESIA. Dos autoridades distintas con competencias parcialmente solapadas. El propio AI Act (Artículo 74) establece que las autoridades de protección de datos serán las autoridades de vigilancia del mercado para los sistemas de IA de alto riesgo en el ámbito de la aplicación de la ley. Esto significa que la AEPD tendrá un rol en la supervisión de ciertos sistemas de IA, además de AESIA. La coordinación entre ambas autoridades será un aspecto clave de la implementación en España.

Impacto sectorial: cómo afecta el AI Act a los sectores clave de la economía española

Recursos humanos y selección de personal

Si hay un sector que debe prestar atención inmediata al AI Act, es el de recursos humanos. Los sistemas de IA utilizados en procesos de contratación, selección, evaluación y gestión de trabajadores están clasificados como alto riesgo en el Anexo III, punto 4. Esto incluye:

• Sistemas de cribado automatizado de CVs (como los de Workday, SAP SuccessFactors, Oracle HCM).
• Sistemas de publicación de ofertas de empleo dirigidas a perfiles específicos.
• Sistemas de evaluación de candidatos mediante entrevistas automatizadas o análisis de vídeo.
• Sistemas de asignación de tareas basados en rendimiento algorítmico.
• Sistemas de monitorización del rendimiento laboral.
• Sistemas que influyan en decisiones sobre promociones o terminación de contratos.

El caso de la maquilladora británica que perdió su empleo después de que una herramienta de IA puntuara negativamente su lenguaje corporal durante una entrevista —a pesar de haber obtenido una evaluación positiva en competencias técnicas— es un ejemplo perfecto de lo que el AI Act busca prevenir. El estudio de la Universidad de Melbourne que reveló que las herramientas de IA de selección de personal tenían dificultades para evaluar correctamente a candidatos con discapacidades del habla o acentos no nativos ilustra otro riesgo: la discriminación inadvertida que se oculta detrás de la aparente objetividad de un algoritmo.

Otro caso revelador: en 2023, la EEOC (la comisión estadounidense de igualdad en el empleo) interpuso su primera acción de aplicación conocida por sesgo algorítmico contra iTutorGroup. La empresa utilizaba un software que rechazaba automáticamente a las mujeres solicitantes mayores de 55 años y a los hombres mayores de 60, sin revisión humana alguna. La empresa accedió a pagar 365.000 dólares en un acuerdo extrajudicial. En Europa, bajo el AI Act, este tipo de sistema habría incurrido en múltiples infracciones: falta de supervisión humana, discriminación algorítmica no mitigada, y posiblemente uso de un sistema de alto riesgo sin las obligaciones preceptivas.

Para las empresas españolas, las implicaciones prácticas son inmediatas. Si utiliza un software de cribado de CVs o de evaluación de candidatos con componentes de IA, desde agosto de 2026 deberá verificar que el proveedor ha realizado la evaluación de conformidad, asignar supervisión humana cualificada que pueda anular las decisiones del sistema, informar a los candidatos de que un sistema de IA participa en su evaluación, informar a los representantes de los trabajadores antes de desplegar el sistema, monitorizar el funcionamiento del sistema y reportar incidentes, y garantizar que los datos de entrada son relevantes y representativos.

El Artículo 26.7 es especialmente relevante en el contexto laboral español: los desplegadores de sistemas de IA de alto riesgo en el ámbito del empleo deben informar a los representantes de los trabajadores y a los propios trabajadores afectados de que serán objeto de un sistema de IA de alto riesgo. Esta obligación se añade a las ya existentes en el Estatuto de los Trabajadores sobre información a los representantes legales de los trabajadores en materia de algoritmos laborales (Artículo 64.4.d del ET, introducido por la «Ley Rider»). La convergencia de ambas normativas refuerza la obligación de transparencia algorítmica en el entorno laboral español.

Banca y servicios financieros

Los sistemas de evaluación de solvencia crediticia (credit scoring) y los sistemas de evaluación de riesgos en seguros de vida y salud están clasificados como alto riesgo en el Anexo III, punto 5. Esto afecta directamente a la banca española, que lleva años utilizando modelos algorítmicos para decisiones de concesión de crédito.

El precedente más ilustrativo de los riesgos viene de Estados Unidos: un estudio de 2019 publicado en Science reveló que un algoritmo de asignación de recursos sanitarios utilizado por hospitales estadounidenses —que afectaba a millones de pacientes— discriminaba sistemáticamente a pacientes afroamericanos porque utilizaba el gasto sanitario como proxy de la necesidad médica. Los pacientes negros, con menores recursos económicos y menor acceso histórico al sistema sanitario, generaban menos gasto —no porque estuvieran más sanos, sino porque tenían menos acceso—. El algoritmo interpretó menor gasto como menor necesidad, perpetuando la desigualdad que debería haber corregido.

Para el sector financiero español, el AI Act introduce una capa regulatoria adicional a la ya extensa normativa sectorial (MiFID II, PSD2, normativa del Banco de España, Reglamento DORA de resiliencia digital). Los bancos y aseguradoras que utilicen sistemas de IA para decisiones que afecten significativamente a los clientes —concesión de créditos, determinación de primas de seguros, evaluación de reclamaciones— deberán cumplir las obligaciones de alto riesgo del AI Act además de su normativa sectorial.

La cuestión es particularmente delicada en el credit scoring. Los modelos de evaluación de solvencia han evolucionado desde los scorecards estadísticos tradicionales —basados en regresiones logísticas con variables bien definidas como historial de pagos, nivel de endeudamiento, antigüedad laboral— hacia modelos de machine learning que incorporan cientos o miles de variables, incluyendo datos de comportamiento digital, patrones de consumo e incluso datos de geolocalización. Estos modelos son más precisos en promedio, pero también más opacos. Un cliente al que se le deniega un préstamo tiene derecho a una explicación —tanto bajo el RGPD (Artículo 22) como bajo el AI Act (Artículos 13 y 14)—. Explicar por qué un modelo de deep learning con 500 variables ha asignado una puntuación de riesgo de 0,73 a un solicitante es un reto técnico considerable. Las técnicas de explicabilidad (explainable AI o XAI) como SHAP o LIME ayudan, pero no siempre producen explicaciones que un consumidor medio pueda entender.

Para las aseguradoras, el Anexo III, punto 5(b) clasifica como alto riesgo los sistemas de IA utilizados para la evaluación de riesgos y la fijación de precios en relación con seguros de vida y salud. Un modelo de IA que determine la prima de un seguro de salud en función de datos del solicitante deberá cumplir con todas las obligaciones de los sistemas de alto riesgo, incluyendo la detección y mitigación de sesgos que pudieran derivar en primas discriminatorias por razón de origen étnico, género o discapacidad.

Sanidad

Los sistemas de IA en sanidad merecen una mención especial porque están regulados por dos vías simultáneas. Por un lado, como dispositivos médicos bajo el Reglamento de Productos Sanitarios (MDR, Reglamento 2017/745), cuyos componentes de IA serán de alto riesgo bajo el Anexo I del AI Act a partir de agosto de 2027. Por otro lado, los sistemas de IA utilizados en la asignación de recursos sanitarios, la priorización de pacientes, los servicios de emergencia y el triaje pueden clasificarse como alto riesgo bajo el Anexo III.

España tiene un sistema sanitario público con una presencia creciente de la IA: desde sistemas de apoyo al diagnóstico radiológico hasta algoritmos de triaje en urgencias, pasando por sistemas predictivos de demanda asistencial y herramientas de apoyo a la prescripción farmacéutica. Todos estos sistemas deberán cumplir con el AI Act en los plazos correspondientes.

Un dato que subraya la urgencia: en dermatología, varios estudios han demostrado que los algoritmos de detección de cáncer de piel muestran una precisión significativamente inferior en tonos de piel más oscuros, un sesgo que podría tener consecuencias mortales si no se detecta y corrige. Las obligaciones de calidad de datos y detección de sesgos del AI Act están diseñadas precisamente para prevenir este tipo de situaciones.

Educación

Los sistemas de IA utilizados para determinar el acceso a instituciones educativas, evaluar a estudiantes, evaluar el nivel formativo apropiado o detectar comportamientos prohibidos en exámenes son de alto riesgo bajo el Anexo III, punto 3. Esto afecta a universidades que utilicen algoritmos en procesos de admisión, a plataformas de e-learning con sistemas de evaluación automatizada, a herramientas de proctoring (supervisión de exámenes online mediante IA) y a sistemas adaptativos que ajusten el contenido educativo al rendimiento del estudiante.

Para el sector edtech español —un sector en crecimiento con empresas como Smartick, Odilo o Genially—, el AI Act representa tanto un reto de cumplimiento como una oportunidad de diferenciación. Las empresas que demuestren cumplimiento temprano podrán posicionarse como proveedores de confianza en un mercado donde la preocupación por el uso ético de la IA en educación es cada vez mayor.

Administración pública

Las administraciones públicas españolas se ven afectadas por el AI Act en una doble dimensión. Como desplegadoras de sistemas de IA, están sujetas a todas las obligaciones de los desplegadores, incluyendo la obligación de realizar una Evaluación de Impacto en Derechos Fundamentales (FRIA) antes del primer uso de cualquier sistema de alto riesgo. Como prestadoras de servicios públicos, los sistemas de IA que utilicen para la gestión de prestaciones sociales, servicios de emergencia o administración de justicia están clasificados como alto riesgo.

El proceso de digitalización de la Administración española —acelerado por la pandemia y por los fondos Next Generation EU— ha introducido componentes de IA en múltiples procesos administrativos: desde la detección de fraude fiscal hasta la gestión automatizada de prestaciones de la Seguridad Social, pasando por los sistemas de triaje en los servicios de emergencia 112 y los algoritmos de asignación de recursos en los servicios sociales municipales. Cada uno de estos sistemas deberá evaluarse para determinar si cae dentro del ámbito del AI Act y, en caso afirmativo, cumplir con las obligaciones correspondientes.

El régimen sancionador: tres niveles de multas y un mensaje claro

El AI Act establece un régimen sancionador escalonado en tres niveles, siguiendo la estructura del RGPD pero con importes máximos aún más elevados para las infracciones más graves:

Nivel	Infracción	Multa máxima (empresas)	Multa máxima (PYMEs/startups)
Nivel 1	Prácticas prohibidas (Artículo 5)	35.000.000 € o 7% de la facturación anual global, lo que sea mayor	35.000.000 € o 7%, lo que sea menor
Nivel 2	Incumplimiento de obligaciones de alto riesgo, GPAI y otras obligaciones del Reglamento	15.000.000 € o 3% de la facturación anual global, lo que sea mayor	15.000.000 € o 3%, lo que sea menor
Nivel 3	Suministro de información incorrecta, incompleta o engañosa a las autoridades	7.500.000 € o 1% de la facturación anual global, lo que sea mayor	7.500.000 € o 1%, lo que sea menor

Más allá de las multas, las autoridades pueden imponer otras medidas correctivas: advertencias, obligación de retirar el sistema del mercado, prohibición de su uso, y —crucialmente— la publicación de la decisión sancionadora, con el consiguiente daño reputacional.

El precedente Clearview AI y las primeras multas relacionadas con IA

Aunque el AI Act es nuevo, Europa ya tiene experiencia en sancionar usos abusivos de la IA a través del RGPD. El caso más emblemático es el de Clearview AI, la empresa estadounidense que construyó una base de datos de reconocimiento facial con más de 20.000 millones de imágenes recopiladas de internet sin consentimiento. La autoridad italiana de protección de datos le impuso una multa de 20 millones de euros y ordenó la eliminación de todos los datos biométricos de personas en territorio italiano. Grecia y Francia impusieron sanciones adicionales. Lo que Clearview hacía —recopilar imágenes faciales de internet para crear bases de datos de reconocimiento facial— es exactamente lo que el Artículo 5.1.e del AI Act prohíbe ahora de forma expresa.

La multa de 15 millones de euros a OpenAI por parte del Garante italiano, impuesta en diciembre de 2024, es otro precedente significativo. Aunque se fundamentó en el RGPD (tratamiento de datos personales sin base legal adecuada, falta de transparencia, ausencia de verificación de edad), el caso ilustra la disposición de los reguladores europeos a actuar contra las grandes empresas de IA y la convergencia entre las infracciones de protección de datos y las futuras infracciones del AI Act.

El mensaje de los reguladores europeos es inequívoco: las sanciones serán reales, las investigaciones serán rigurosas y la nacionalidad del infractor no constituye un escudo. Clearview AI es estadounidense. OpenAI es estadounidense. Y ambas han sido multadas por autoridades europeas.

IA de propósito general: las obligaciones para modelos como GPT, Claude o Gemini

Un capítulo añadido a última hora

Los modelos de IA de propósito general (General-Purpose AI models, GPAI) no estaban previstos en la propuesta original de la Comisión Europea de 2021. Fueron añadidos durante las negociaciones legislativas, impulsados por la irrupción de ChatGPT en noviembre de 2022. El Capítulo V del AI Act, que regula los modelos GPAI, es una de las partes más debatidas y técnicamente complejas del Reglamento.

Un modelo GPAI es un modelo de IA entrenado con una gran cantidad de datos, diseñado para la generalidad de las tareas y capaz de ser integrado en una variedad de sistemas y aplicaciones. GPT-4 de OpenAI, Claude de Anthropic, Gemini de Google y Llama de Meta son los ejemplos más conocidos. Estos modelos no son en sí mismos sistemas de IA de alto riesgo —son componentes que pueden integrarse en sistemas de cualquier nivel de riesgo—.

Obligaciones de los proveedores de modelos GPAI

Desde el 2 de agosto de 2025, los proveedores de modelos GPAI deben cumplir obligaciones de transparencia (documentación técnica, instrucciones de integración para desarrolladores downstream), derechos de autor (política de cumplimiento de la legislación de propiedad intelectual, publicación de un resumen suficientemente detallado de los datos de entrenamiento utilizados) y, para los modelos que presenten riesgo sistémico (actualmente definido como modelos entrenados con más de 10²⁵ FLOPs), obligaciones adicionales de seguridad (evaluaciones de riesgos del modelo, pruebas adversarias, notificación de incidentes graves a la Oficina Europea de IA).

El Código de Prácticas para GPAI (Code of Practice), publicado por la Oficina Europea de IA el 10 de julio de 2025, ofrece orientación práctica para cumplir estas obligaciones. Es un instrumento voluntario, pero adherirse a él otorga una presunción de conformidad: las empresas que sigan el Código se consideran en cumplimiento de las obligaciones legales para GPAI, lo que reduce la carga administrativa en auditorías e inspecciones. Decenas de empresas —incluyendo Amazon, Google, Microsoft, OpenAI y Anthropic— se adhirieron como signatarias tempranas.

¿Qué significa esto para las empresas españolas?

La mayoría de las empresas españolas no son proveedoras de modelos GPAI —son integradoras o desplegadoras de sistemas construidos sobre esos modelos—. Si su empresa utiliza la API de GPT-4 para construir un chatbot de atención al cliente, usted no es proveedor del modelo GPAI (eso es OpenAI), pero sí es proveedor del sistema de IA resultante (el chatbot). Y si ese chatbot toma decisiones que lo clasifican como alto riesgo —por ejemplo, si evalúa reclamaciones de seguros—, usted tiene todas las obligaciones de un proveedor de sistema de alto riesgo.

La cadena de responsabilidad es clara: el proveedor del modelo GPAI (OpenAI, Google, Anthropic) debe proporcionarle la documentación técnica y las instrucciones de integración necesarias para que usted pueda construir su sistema de forma conforme con el AI Act. Si el proveedor del modelo no le facilita esa información, usted tiene un problema de cumplimiento que debe resolver —preferiblemente antes de agosto de 2026—.

Un escenario concreto para ilustrar la cadena de responsabilidad. Imagine que una empresa española de seguros contrata a un proveedor tecnológico local para desarrollar un sistema de evaluación de siniestros basado en el modelo GPT-4 de OpenAI, accedido a través de su API. En este escenario, OpenAI es proveedor del modelo GPAI (obligaciones del Capítulo V: documentación técnica, resumen de datos de entrenamiento, Código de Prácticas). El proveedor tecnológico local es proveedor del sistema de IA (obligaciones del proveedor de alto riesgo: evaluación de conformidad, documentación técnica del sistema, gestión de riesgos, marcado CE). La aseguradora es desplegadora del sistema (obligaciones del desplegador: supervisión humana, monitorización, información a los usuarios, FRIA). Cada eslabón de la cadena tiene responsabilidades distintas e intransferibles. El contrato entre la aseguradora y el proveedor tecnológico debe reflejar esta distribución de responsabilidades de forma explícita.

Riesgo sistémico: los modelos más potentes bajo escrutinio adicional

El AI Act define una subcategoría de modelos GPAI: aquellos que presentan riesgo sistémico. Actualmente, el umbral se establece en modelos entrenados con una capacidad de cálculo acumulada superior a 10²⁵ FLOPs (floating point operations), una cifra que corresponde aproximadamente a los modelos más avanzados como GPT-4, Gemini Ultra o Claude 3 Opus. Estos modelos tienen obligaciones adicionales: evaluaciones de riesgos del modelo, pruebas adversarias (red teaming), notificación de incidentes graves a la Oficina Europea de IA, y garantías de ciberseguridad adecuadas.

Una obligación que afecta a todos los proveedores de modelos GPAI —no solo a los de riesgo sistémico— es la de reportar el consumo energético del modelo. El Anexo XI, en el marco de los requisitos de documentación técnica del Artículo 53, exige documentar la energía consumida durante el entrenamiento del modelo, un paso hacia la transparencia en el impacto ambiental de la inteligencia artificial. Los Considerandos del Reglamento también mencionan la necesidad de que el desarrollo de la IA sea sostenible desde el punto de vista medioambiental. Es una señal clara de que la UE considera la huella de carbono de la IA como un factor regulatorio relevante.

Para la mayoría de las empresas españolas, las obligaciones de riesgo sistémico no se aplicarán directamente —pocas empresas españolas entrenan modelos de esta escala—. Pero es importante entender que los modelos que utilizan como base (vía API o integración) están sujetos a estas obligaciones, y que la Oficina Europea de IA tendrá poderes de supervisión directa sobre sus proveedores a partir de agosto de 2026.

Guía práctica de cumplimiento: diez pasos antes de agosto de 2026

La teoría es importante. Pero lo que la mayoría de las empresas necesitan en este momento es un plan de acción concreto. Lo que sigue es una hoja de ruta en diez pasos diseñada para una empresa española de tamaño medio que utilice o desarrolle sistemas de IA. Si su empresa es grande, estos pasos se multiplican en complejidad. Si es una startup, se simplifican en alcance pero no en esencia.

Paso 1: Realizar un inventario de sistemas de IA

El punto de partida es saber exactamente qué sistemas de IA utiliza su empresa. Y aquí viene la primera sorpresa para muchas organizaciones: probablemente utilicen más IA de la que creen. El cribado de CVs en el software de RRHH, el chatbot de la web, el sistema de detección de fraude del departamento financiero, la herramienta de análisis predictivo del departamento comercial, el sistema de mantenimiento predictivo en planta, los filtros antispam del correo electrónico —todo esto puede contener componentes de IA—.

El inventario debe incluir: nombre y descripción del sistema, proveedor (interno o externo), función que realiza, datos que procesa, personas a las que afecta, y estado actual de documentación. No es necesario un ejercicio de meses —un inventario inicial razonable puede completarse en dos o tres semanas si se coordina adecuadamente entre departamentos—.

Paso 2: Clasificar cada sistema según la pirámide de riesgo

Con el inventario en mano, clasifique cada sistema según los niveles de riesgo del AI Act. Para cada sistema, pregúntese: ¿está incluido en la lista de prácticas prohibidas del Artículo 5? ¿Está incluido en las áreas de alto riesgo del Anexo III? ¿Es un componente de seguridad de un producto regulado del Anexo I? ¿Interactúa directamente con personas de forma que deba cumplir obligaciones de transparencia?

La Comisión Europea publicó en febrero de 2026 directrices con ejemplos concretos de sistemas que son y que no son de alto riesgo. AESIA ha publicado guías específicas para el contexto español. Utilice ambas fuentes. Y en caso de duda, clasifique al alza: es mejor cumplir obligaciones que no necesitaba que incumplir obligaciones que sí necesitaba.

Paso 3: Identificar su rol (proveedor, desplegador o ambos)

Para cada sistema de IA de alto riesgo en su inventario, determine el rol de su empresa. ¿Lo desarrolló internamente? Es proveedor. ¿Lo compró a un tercero y lo utiliza profesionalmente? Es desplegador. ¿Lo compró, lo modificó sustancialmente y lo utiliza? Puede ser proveedor del sistema modificado. ¿Lo integra en un producto que comercializa bajo su propia marca? Es proveedor del producto resultante.

Esta clasificación de roles determina el alcance de sus obligaciones. Un desplegador tiene menos obligaciones que un proveedor, pero no cero. Un error frecuente es asumir que «como no desarrollamos el sistema, no tenemos que hacer nada». Eso es incorrecto.

Paso 4: Verificar la alfabetización en IA de su organización

Desde el 2 de febrero de 2025, el Artículo 4 exige que todas las empresas que utilicen o provean sistemas de IA garanticen un nivel suficiente de alfabetización en IA (AI literacy) de su personal. El Reglamento define la alfabetización en IA como las «competencias, conocimientos y comprensión que permiten a proveedores, desplegadores y personas afectadas, teniendo en cuenta sus respectivos derechos y obligaciones en el contexto del presente Reglamento, llevar a cabo un despliegue informado de los sistemas de IA, así como tomar conciencia de las oportunidades y riesgos de la IA y del posible daño que puede causar».

En la práctica, esto significa que las personas de su organización que interactúan con sistemas de IA deben entender, como mínimo, qué es la IA, cómo funciona a nivel general, qué sistemas de IA se utilizan en su organización, cuáles son sus oportunidades y riesgos, y cuáles son sus obligaciones bajo el AI Act. La formación debe ser proporcionada al rol de cada persona: no se requiere la misma profundidad para un usuario final que para un responsable de supervisión humana de un sistema de alto riesgo.

Paso 5: Obtener la documentación técnica de sus proveedores

Si su empresa es desplegadora de sistemas de IA de alto riesgo adquiridos a terceros, necesita la documentación que el proveedor está obligado a facilitarle: instrucciones de uso, capacidades y limitaciones del sistema, niveles de rendimiento esperados, riesgos conocidos, medidas de supervisión humana necesarias, y especificaciones de datos de entrada. Si su proveedor no puede o no quiere facilitarle esta documentación, tiene un problema serio. Considere si debe cambiar de proveedor o exigir contractualmente la entrega de esta información.

Paso 6: Implementar la supervisión humana

Para cada sistema de IA de alto riesgo, identifique a las personas que ejercerán la supervisión humana. Estas personas deben tener la competencia técnica para entender el funcionamiento del sistema, la formación necesaria para interpretar sus resultados correctamente, la autoridad para anular o revertir las decisiones del sistema, y el apoyo organizativo para ejercer su función de supervisión sin presiones indebidas.

La supervisión humana no es una casilla que marcar en un formulario. Si el supervisor humano no entiende cómo funciona el sistema, no puede interpretar sus resultados, no tiene autoridad para anular sus decisiones, o no tiene tiempo material para revisar cada decisión crítica, la supervisión es ilusoria y no cumple con el Reglamento.

Paso 7: Preparar la documentación de conformidad

Si su empresa es proveedora de un sistema de IA de alto riesgo, debe preparar la documentación técnica exigida por el Artículo 11 y el Anexo IV, establecer un sistema de gestión de calidad conforme al Artículo 17, implementar un sistema de gestión de riesgos conforme al Artículo 9, y prepararse para la evaluación de conformidad (control interno o evaluación por organismo notificado, según el tipo de sistema).

Para las PYMEs, recuerde que la Comisión debe desarrollar formularios simplificados. Pero no espere a que se publiquen: empiece a documentar ahora con las guías de AESIA como referencia.

Paso 8: Realizar la Evaluación de Impacto en Derechos Fundamentales (FRIA)

Si su empresa es un organismo público, presta servicios públicos, o utiliza sistemas de evaluación crediticia o de seguros clasificados como alto riesgo, debe realizar una FRIA antes del primer uso del sistema. Puede (y debería) integrarla con el DPIA del RGPD si ya tiene uno. La FRIA debe notificarse a la autoridad de vigilancia del mercado (AESIA).

Paso 9: Establecer procesos de monitorización continua

El cumplimiento del AI Act no es un evento puntual —es un proceso continuo—. Debe establecer procedimientos para monitorizar el funcionamiento de sus sistemas de IA de alto riesgo a lo largo del tiempo, detectar degradaciones en el rendimiento, identificar nuevos riesgos que no estaban presentes en la evaluación inicial, reportar incidentes al proveedor y a las autoridades, y actualizar la documentación cuando haya cambios sustanciales en el sistema o en su contexto de uso.

Paso 10: Documentar y comunicar

Documente todo. Cada decisión, cada evaluación, cada medida adoptada. El AI Act, como el RGPD, funciona sobre el principio de responsabilidad proactiva (accountability): no basta con cumplir; hay que poder demostrar que se cumple. Si AESIA llama a su puerta, necesitará poder mostrar el inventario de sistemas, la clasificación de riesgo, la documentación técnica, las evaluaciones de conformidad, las FRIAs, los registros de supervisión humana, y los procedimientos de monitorización.

Comunique internamente. Informe a su comité de dirección, a los responsables de los departamentos afectados, a los representantes de los trabajadores. El AI Act no es solo un asunto del departamento legal o de IT: es una cuestión transversal que afecta a RRHH, a operaciones, a atención al cliente, a marketing y a la dirección general.

Preguntas frecuentes: las dudas que más escuchamos de las empresas españolas

Después de meses asesorando a empresas sobre el AI Act, hay preguntas que se repiten con una frecuencia notable. Merece la pena abordarlas directamente.

«Usamos ChatGPT para redactar correos y documentos. ¿Tenemos que cumplir con el AI Act?»

Depende del uso. Si sus empleados utilizan ChatGPT como herramienta de asistencia para redactar textos, generar borradores o buscar información —sin que el sistema tome decisiones autónomas que afecten a derechos de terceros—, probablemente estemos ante un uso de riesgo mínimo o limitado. Las obligaciones serían la alfabetización en IA de su personal (Artículo 4, ya en vigor) y, si el sistema interactúa directamente con personas externas (por ejemplo, un chatbot en su web), la obligación de transparencia de informar que están interactuando con una IA (Artículo 50). Pero si utiliza ChatGPT (o un sistema basado en él) para evaluar candidatos, analizar reclamaciones o tomar decisiones que afecten a personas, entra en el territorio del alto riesgo.

«Somos una PYME de 30 empleados. ¿Realmente nos afecta esto?»

Sí, si utiliza o provee sistemas de IA que caigan en las categorías de alto riesgo. El tamaño de la empresa no determina si el AI Act se aplica: lo que importa es qué tipo de IA utiliza y para qué. Una PYME que utilice un sistema de cribado de CVs tiene las mismas obligaciones fundamentales que una multinacional. Las diferencias están en las facilidades de cumplimiento: documentación simplificada, acceso prioritario al sandbox, sanciones con tope inferior. Pero la obligación de cumplir es idéntica.

«Nuestro proveedor tecnológico dice que su sistema ya cumple con el AI Act. ¿Podemos confiar en eso?»

La declaración de su proveedor es un buen punto de partida, pero no le exime de sus propias obligaciones como desplegador. Solicite la documentación técnica, las instrucciones de uso, la declaración de conformidad y —si existe— el certificado del organismo notificado. Verifique que el sistema tiene marcado CE (cuando sea exigible). Y recuerde que usted sigue siendo responsable de la supervisión humana, la monitorización del sistema, la calidad de los datos de entrada y la información a los afectados. La responsabilidad del proveedor y la del desplegador son complementarias, no sustitutivas.

«¿Qué pasa con la IA que usamos internamente para análisis de datos pero que no afecta a personas externas?»

El AI Act se aplica con independencia de si el sistema afecta a personas internas (empleados) o externas (clientes, ciudadanos). Un sistema de IA que monitoriza el rendimiento laboral de sus empleados es de alto riesgo aunque solo afecte a su plantilla. Un sistema que evalúa internamente la productividad de los departamentos sin tomar decisiones automatizadas sobre personas individuales probablemente es de riesgo mínimo. La clave no es «interno vs. externo», sino si el sistema toma o influye en decisiones que afectan a derechos de personas físicas identificadas o identificables.

El futuro inmediato: retos y oportunidades para las empresas españolas

Los retos que no hay que subestimar

El primer reto es la falta de estándares técnicos armonizados. El AI Act se remite frecuentemente a normas armonizadas para especificar los requisitos técnicos que deben cumplir los sistemas de alto riesgo. A marzo de 2026, la mayoría de estas normas aún están siendo desarrolladas por los organismos europeos de normalización (CEN, CENELEC). Esto crea una situación incómoda: las obligaciones son claras, pero los criterios técnicos concretos para demostrar su cumplimiento están todavía en desarrollo. Las guías de AESIA ayudan a llenar este vacío, pero no tienen la fuerza jurídica de una norma armonizada.

El segundo reto es la escasez de profesionales con competencias simultáneas en IA, derecho y cumplimiento normativo. El AI Act requiere una comprensión que combina ingeniería de software, ciencia de datos, derecho tecnológico, protección de datos y gestión de riesgos. Encontrar profesionales que dominen todas estas disciplinas —o equipos que las cubran colectivamente— es un desafío considerable, especialmente para las PYMEs.

El tercer reto es la coordinación entre reguladores. La coexistencia de AESIA y la AEPD, con competencias parcialmente solapadas, requerirá mecanismos de coordinación eficientes para evitar interpretaciones contradictorias y cargas administrativas duplicadas para las empresas.

La lección del RGPD: lo que nos enseñó la primera gran regulación tecnológica europea

Quienes vivieron la entrada en vigor del RGPD en mayo de 2018 reconocerán el patrón actual. En los meses previos al 25 de mayo de 2018, muchas empresas adoptaron una de tres posturas: pánico tardío (empezar a prepararse semanas antes de la fecha límite), negación (asumir que el RGPD no se aplicaría realmente a su empresa) o aprovechamiento (utilizar el cumplimiento como ventaja competitiva). Ocho años después, sabemos cuál fue la postura correcta.

Las empresas que se prepararon con antelación para el RGPD no solo evitaron sanciones: crearon procesos de gobernanza de datos que mejoraron su eficiencia operativa, construyeron relaciones de confianza con clientes cada vez más preocupados por la privacidad, y se posicionaron favorablemente en mercados internacionales que adoptaron estándares similares. Las que ignoraron el RGPD o lo dejaron para última hora sufrieron costes de cumplimiento más altos (la prisa siempre sale cara), riesgos reputacionales y, en algunos casos, sanciones económicas significativas.

El AI Act sigue un patrón similar. La curva de aprendizaje regulatorio que las empresas recorrieron con el RGPD les da una ventaja: ya saben cómo funciona un proceso de adaptación normativa a escala europea. Muchos de los conceptos del AI Act —evaluaciones de impacto, principio de responsabilidad proactiva, documentación de procesos, notificación de incidentes— son análogos a los del RGPD. Las empresas que ya tienen una cultura de cumplimiento en protección de datos tendrán más fácil incorporar las obligaciones del AI Act a sus procesos existentes.

La oportunidad que no hay que desaprovechar

Pero el AI Act no es solo un coste de cumplimiento. Es también una oportunidad competitiva. Europa está estableciendo el estándar global para la IA responsable, y las empresas que lo cumplan primero tendrán una ventaja en mercados internacionales que inevitablemente seguirán el modelo europeo —el efecto Bruselas, una vez más—.

Las empresas españolas que demuestren cumplimiento temprano del AI Act podrán posicionarse como proveedores de confianza en el mercado europeo, diferenciarse de competidores que ofrezcan soluciones de IA opacas o no conformes, acceder a contratos públicos que exijan cumplimiento del AI Act, y construir relaciones de confianza con clientes cada vez más sensibles al uso ético de la IA.

El sandbox regulatorio de AESIA es una oportunidad concreta y gratuita de probar el cumplimiento bajo supervisión regulatoria, especialmente para PYMEs y startups. La segunda convocatoria en 2026 es una ventana que no conviene dejar pasar.

El Considerando 1 del Reglamento (UE) 2024/1689 establece el principio rector: los sistemas de inteligencia artificial deben ser seguros, respetar los derechos fundamentales y estar alineados con los valores de la Unión. Solo bajo esas condiciones podrá la sociedad confiar en la IA y aprovechar plenamente su potencial.

Conclusión: el reloj corre, pero el camino está trazado

El 2 de agosto de 2026 no es una fecha arbitraria. Es el momento en que la Unión Europea pasa de la teoría a la práctica en la regulación de la inteligencia artificial. Para las empresas españolas, es la fecha en que los sistemas de IA de alto riesgo —los que afectan al empleo, al crédito, a la salud, a la educación, a la seguridad y a la justicia— deben demostrar que cumplen con los estándares más exigentes del mundo.

El camino no es sencillo, pero está trazado. Las obligaciones están definidas en el Reglamento. Las guías prácticas están publicadas por AESIA. Los ejemplos de clasificación están proporcionados por la Comisión Europea. El sandbox regulatorio está operativo. Las herramientas existen. Lo que falta es la decisión de empezar —si es que no se ha empezado ya—.

Los casos que abrieron este artículo —el algoritmo de Amazon que discriminaba a las mujeres, la demanda contra Workday por sesgo algorítmico, los estudios que revelan la discriminación racial en algoritmos sanitarios— no son anomalías. Son el resultado predecible de desplegar sistemas de IA que toman decisiones sobre personas sin un marco de supervisión, transparencia y rendición de cuentas. El AI Act no pretende detener la IA. Pretende que la IA funcione para las personas, no contra ellas.

El RGPD demostró que las empresas que se adaptan pronto a la regulación tecnológica no solo evitan sanciones: construyen procesos más sólidos, relaciones de mayor confianza con sus clientes y una ventaja competitiva difícil de replicar. El AI Act ofrece exactamente la misma oportunidad. La pregunta no es si su empresa deberá cumplir —si utiliza IA de alto riesgo, deberá hacerlo—. La pregunta es si llegará preparada o con prisas. Porque en regulación tecnológica, como en medicina, la prevención siempre es más barata que la cura.