¿Qué es el AI Act en pocas palabras?

El AI Act es el Reglamento (UE) 2024/1689, la primera ley integral del mundo que regula el desarrollo y uso de sistemas de inteligencia artificial. Clasifica los sistemas en cuatro niveles de riesgo (inaceptable, alto, limitado y mínimo) y asigna obligaciones proporcionales al riesgo. Entró en vigor el 1 de agosto de 2024 y se aplica de forma escalonada hasta agosto de 2027.

¿A quién obliga el AI Act?

A todos los actores de la cadena de valor de la IA: providers (quienes desarrollan o comercializan sistemas), deployers (quienes los usan profesionalmente), importadores y distribuidores. Aplica a cualquier empresa de la UE y también a empresas de fuera de la UE si sus sistemas se usan o sus resultados se aprovechan dentro del mercado europeo.

¿Cuándo entra en vigor el AI Act?

El Reglamento ya está en vigor desde el 1 de agosto de 2024, pero se aplica por fases: las prohibiciones del Artículo 5 y la alfabetización del Artículo 4 desde el 2 de febrero de 2025, las obligaciones para modelos de propósito general desde el 2 de agosto de 2025, el bloque principal de alto riesgo el 2 de agosto de 2026, y la aplicación completa el 2 de agosto de 2027.

¿Qué sistemas de IA están prohibidos por el AI Act?

El Artículo 5 prohíbe directamente seis tipos de prácticas: manipulación subliminal, explotación de vulnerabilidades, scoring social por parte de gobiernos, predicción individualizada de delitos basada solo en perfilado, scraping masivo de imágenes faciales para bases de datos biométricas y reconocimiento de emociones en el lugar de trabajo y en centros educativos.

¿Quién supervisa el cumplimiento del AI Act en España?

La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña, es la autoridad nacional designada. Tiene potestad inspectora desde febrero de 2025 y plenas competencias sancionadoras desde el 2 de agosto de 2026. España fue el primer país de la UE en crear una agencia específica para la supervisión de la IA.

← Volver al blog

10 de abril de 2026

Qué es el AI Act y por qué afecta a tu empresa

Qué es exactamente el AI Act (Reglamento UE 2024/1689), cómo funciona su clasificación por niveles de riesgo, a quién obliga y qué plazos tienes para cumplir.

Qué es el AI Act y por qué afecta a tu empresa

El AI Act —oficialmente, Reglamento (UE) 2024/1689— es la primera ley integral del mundo que regula el desarrollo y el uso de sistemas de inteligencia artificial. Si tu empresa desarrolla, vende o simplemente usa cualquier herramienta con IA dentro de la Unión Europea, te aplica.

Este artículo explica qué es exactamente, cómo está construido, a quién obliga, qué plazos hay y qué tienes que tener resuelto antes del 2 de agosto de 2026.

El AI Act en una frase

El AI Act es un Reglamento europeo aprobado en 2024 que establece un marco común para garantizar que los sistemas de IA que se ponen en el mercado o se usan en la UE sean seguros, transparentes, trazables, no discriminatorios y respetuosos con los derechos fundamentales.

Su mecanismo central es simple: a mayor riesgo del sistema, mayores obligaciones. No regula la tecnología por lo que es, sino por el uso que se le da y el daño potencial que puede causar.

Como es un Reglamento (no una Directiva), es directamente aplicable en todos los Estados miembros sin necesidad de transposición nacional. Lo que diga el texto europeo es lo que aplica en España desde la fecha de exigibilidad.

Por qué se aprobó

La Unión Europea identificó hacia 2018 que la IA estaba avanzando más rápido que cualquier marco legal existente y que aplicaciones concretas —reconocimiento facial masivo, scoring social, decisiones automatizadas sobre personas— podían vulnerar derechos fundamentales sin que existiera un mecanismo claro de protección.

La propuesta inicial es de abril de 2021. Tras tres años de negociación entre Parlamento, Consejo y Comisión, el texto definitivo se publicó en el DOUE en julio de 2024 y entró en vigor el 1 de agosto de 2024.

El objetivo declarado es doble: proteger a las personas frente a usos peligrosos de la IA y, al mismo tiempo, dar seguridad jurídica a las empresas europeas que quieren desarrollar IA dentro de la UE. La UE apuesta por un mercado interno de IA con reglas comunes en vez de 27 regulaciones nacionales fragmentadas.

Los cuatro niveles de riesgo

El AI Act clasifica todo sistema de IA en uno de cuatro niveles, y cada nivel tiene obligaciones distintas:

Nivel de riesgo	Ejemplos	Obligaciones
Inaceptable (Art. 5)	Manipulación subliminal, scoring social, reconocimiento de emociones en el trabajo, predicción individualizada de delitos	Prohibido — no se puede comercializar ni usar
Alto riesgo (Anexo III + Art. 6)	Selección de personal con IA, scoring crediticio, software médico diagnóstico, biometría remota	Bloque pleno: documentación técnica, evaluación de conformidad, marcado CE, supervisión humana, registro UE
Riesgo limitado (Art. 50)	Chatbots, IA generativa (ChatGPT, Claude, Gemini), deepfakes	Transparencia: avisar al usuario de que interactúa con IA o que el contenido es generado por IA
Riesgo mínimo	Filtros de spam, recomendadores básicos, asistentes de productividad	Sin obligaciones específicas, salvo la alfabetización del Art. 4

La clave es que no es la tecnología la que determina el nivel, sino la finalidad. Un mismo modelo (por ejemplo GPT-4) puede ser de riesgo limitado cuando lo usas para redactar emails y convertirse en alto riesgo si lo integras en un sistema que puntúa candidatos a un puesto de trabajo.

A quién obliga el Reglamento

El AI Act establece obligaciones distintas según el rol que cada empresa juega en la cadena de valor de la IA:

Provider (proveedor): quien desarrolla un sistema de IA o lo comercializa bajo su nombre o marca. Ejemplos: OpenAI, Anthropic, Veridas, una empresa española de software médico que entrena su propio modelo.
Deployer (responsable del despliegue): quien usa un sistema de IA en su actividad profesional bajo su responsabilidad. Es el rol de la inmensa mayoría de PYMEs españolas.
Importer (importador): quien introduce en el mercado UE un sistema de IA desarrollado fuera de la Unión.
Distributor (distribuidor): quien comercializa el sistema en la cadena de suministro sin alterarlo.

Una misma empresa puede tener varios roles a la vez. Y, lo que es más importante, un deployer puede convertirse en provider sin saberlo si modifica sustancialmente un sistema o lo integra en un caso de uso de alto riesgo (Art. 25). Lo tratamos en detalle en la guía sobre provider vs deployer del AI Act.

El Reglamento también aplica a empresas de fuera de la UE si los resultados del sistema se utilizan dentro del mercado europeo. Una startup estadounidense cuyo modelo es usado por una PYME española está sujeta al AI Act respecto a ese uso.

Calendario de aplicación

El Reglamento se aplica por fases para dar tiempo de adaptación. Estas son las fechas críticas:

Fecha	Qué entra en vigor
1 ago 2024	Entrada en vigor formal del Reglamento
2 feb 2025 ✅	Prohibiciones del Art. 5 + alfabetización del Art. 4
2 ago 2025 ✅	Obligaciones para modelos de IA de propósito general (GPAI) + gobernanza
2 ago 2026	Bloque principal: alto riesgo del Anexo III, obligaciones del deployer (Art. 26), transparencia (Art. 50), sandboxes nacionales
2 ago 2027	Aplicación completa: legacy systems y Art. 6(1)

Existe una propuesta de retraso a diciembre de 2027 (Digital Omnibus), pero hasta que se apruebe formalmente la fecha vigente sigue siendo 2 de agosto de 2026 para el bloque grande. Planificar con la fecha actual y no con la hipotética es la única estrategia razonable. Detalle completo en la guía del plazo del AI Act de agosto de 2026.

Qué obligaciones reales tienes ahora mismo

Aunque el bloque grande llega en agosto de 2026, hay dos obligaciones ya en vigor desde febrero de 2025 que la mayoría de PYMEs todavía no han cumplido:

1. Alfabetización en IA (Art. 4). Toda persona de tu organización que use, supervise o tome decisiones sobre sistemas de IA debe tener un nivel suficiente de competencia. En la práctica, una formación interna de 6-10 horas adaptada al rol es suficiente. FUNDAE cubre el 100% del coste para PYMEs.

2. Prohibiciones (Art. 5). Ciertos usos están directamente prohibidos: manipulación subliminal, explotación de vulnerabilidades, scoring social, reconocimiento de emociones en el lugar de trabajo o en aulas, scraping masivo de imágenes faciales. Pocas PYMEs usan estos sistemas, pero conviene comprobar si algún software de RRHH o productividad incluye análisis emocional.

A partir del 2 de agosto de 2026 se suman las obligaciones del deployer (Art. 26) si usas sistemas de alto riesgo y las de transparencia (Art. 50) si usas IA generativa o chatbots.

El régimen de sanciones

El Artículo 99 establece el régimen sancionador, que es el más severo de la regulación tecnológica europea:

Tipo de infracción	Multa máxima
Prácticas prohibidas del Art. 5	35 M€ o 7% facturación global
Incumplir obligaciones de provider o deployer	15 M€ o 3% facturación global
Información incorrecta a las autoridades	7,5 M€ o 1,5% facturación global

Para PYMEs se aplica un principio de proporcionalidad, pero "proporcional" no significa simbólico: un 3% de una facturación de 3 millones de euros son 90.000 euros. Y las sanciones del AI Act se pueden acumular con las del RGPD si el sistema trata datos personales. El detalle completo está en la guía sobre las sanciones del AI Act.

Quién supervisa todo esto en España

España fue el primer país de la UE en crear una agencia específica para la IA. La AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en A Coruña, fue creada por el Real Decreto 729/2023 y tiene cinco competencias principales: actuar como autoridad nacional del AI Act, inspeccionar, sancionar, publicar orientación normativa (16 guías ya publicadas del sandbox regulatorio) y cooperar con AEPD, Banco de España e Inspección de Trabajo.

A partir del 2 de agosto de 2026, AESIA puede abrir expedientes sancionadores de oficio o por denuncia individual de un candidato, empleado o cliente perjudicado. Para una PYME el riesgo realista no es la inspección sistémica, sino la denuncia de una persona afectada. Más detalle en la guía sobre qué es AESIA y cómo afecta a tu PYME.

Lo que el AI Act no es

Para evitar confusiones, conviene fijar tres ideas:

No es una ley sobre privacidad. El RGPD ya cubre la protección de datos. El AI Act se suma al RGPD cuando hay datos personales, pero su objeto es la seguridad y la trazabilidad del sistema de IA en su conjunto, no el tratamiento de datos.

No prohíbe la IA. Solo prohíbe seis prácticas concretas del Art. 5. El resto de usos están permitidos con obligaciones proporcionales al riesgo.

No exige tecnología específica. No te obliga a usar un modelo concreto, ni a tener un AI Officer, ni a contratar a un consultor externo. Te obliga a documentar, supervisar e informar. Cómo lo hagas internamente queda a tu criterio.

Qué pasos dar ahora si dirigás una empresa española

El plan operativo, comprimido en cinco pasos y aplicable a la mayoría de PYMEs:

Inventaria todas las herramientas de IA que usa tu equipo, incluidas las "no oficiales" (ChatGPT por su cuenta, Copilot, Midjourney).
Clasifica cada una según los cuatro niveles de riesgo del Reglamento.
Forma al equipo (Art. 4 — obligatorio ya). 6-10 horas adaptadas al rol.
Redacta una política interna de uso de IA (qué herramientas, qué datos, quién supervisa).
Pide documentación a tus proveedores (declaración UE de conformidad e instrucciones de uso del Art. 13) si tienes algún sistema de alto riesgo.

Una PYME estándar completa los cinco pasos en 4-6 semanas con dedicación moderada. El detalle operativo está en la guía práctica de obligaciones del AI Act para PYMEs.

Del "creo que me aplica" al "sé exactamente qué tengo que hacer"

La mayoría de empresas que leen sobre el AI Act salen con la sensación de "creo que sí me aplica, pero no sé qué tengo que hacer en mi caso concreto". Es normal: el Reglamento son 113 artículos y 13 anexos.

✦ Test gratuito

Comprueba qué te aplica del AI Act

CumpleConIA traduce el texto del Reglamento a tu situación: analiza qué herramientas de IA usa tu empresa, dónde caen en los cuatro niveles de riesgo y qué artículos te aplican exactamente.

Ver qué obligaciones del AI Act me aplican

Sin registro · Sin tarjeta · 100% gratis · Resultados en 2 minutos

Lo importante

El AI Act es un Reglamento europeo directamente aplicable, construido sobre cuatro niveles de riesgo y obligaciones proporcionales. Aplica a quien desarrolla IA y, sobre todo, a quien la usa profesionalmente, que es donde está la inmensa mayoría de empresas españolas.

El bloque principal de obligaciones llega el 2 de agosto de 2026, pero hay dos obligaciones ya en vigor desde febrero de 2025 que muchas empresas no han cumplido. La diferencia entre llegar preparado y llegar improvisando se reduce a empezar el inventario, la clasificación y la formación con tiempo, no en julio del año del plazo.

Para el desglose operativo —plan de cinco fases, casos por sector y errores típicos— está la guía pilar del blog sobre las obligaciones del AI Act para pequeñas y medianas empresas. Más fuente oficial en artificialintelligenceact.eu y el texto consolidado en EUR-Lex.

Esta información es orientativa y no constituye asesoramiento jurídico. Consulte con un profesional cualificado para una evaluación vinculante de su situación concreta.