El AI Act (Reglamento Europeo de Inteligencia Artificial) es la primera regulación integral sobre IA del mundo. Aprobado en 2024 y en aplicación progresiva desde entonces, su objetivo es garantizar que la IA usada en Europa sea segura, transparente y respetuosa con los derechos fundamentales.
La buena noticia para la mayoría de empresas españolas: si usas IA para automatizar procesos internos, chatbots de atención al cliente, análisis de datos o desarrollo de software, probablemente estás en la categoría de riesgo más baja y las obligaciones son mínimas. Pero hay que entenderlo bien.
El sistema de clasificación de riesgos del AI Act
El AI Act clasifica los sistemas de IA en cuatro niveles de riesgo. Cada nivel tiene obligaciones diferentes:
Riesgo inaceptable: prohibido
Estos usos de IA están completamente prohibidos en la UE desde febrero de 2025:
- Sistemas de puntuación social general (como el sistema de crédito social)
- Reconocimiento facial en tiempo real en espacios públicos (con excepciones muy limitadas)
- IA que manipula de forma subliminal a las personas
- IA que explota vulnerabilidades de grupos específicos (menores, personas mayores, personas con discapacidades)
- Inferencia de emociones en entornos laborales y educativos
- Biometría para deducir características sensibles (raza, orientación sexual, opiniones políticas)
¿Afecta a tu empresa? Salvo en casos muy específicos (sector salud, seguridad, recursos humanos avanzado), la respuesta es no.
Riesgo alto: obligaciones significativas
Los sistemas de IA de alto riesgo incluyen aplicaciones en infraestructura crítica, educación, empleo, servicios esenciales, aplicación de la ley, gestión de migraciones y administración de justicia.
Para empresas españolas, los casos más relevantes son:
- Sistemas de selección de personal con IA (clasificación automática de candidatos)
- Sistemas de scoring crediticio (para fintech o servicios financieros)
- IA en diagnóstico médico (para clínicas y sector salud)
- Sistemas biométricos de identificación
Si tu empresa usa IA en alguno de estos ámbitos, las obligaciones incluyen: documentación técnica completa, registro en base de datos de la UE, supervisión humana, gestión de riesgos, y garantías de transparencia hacia los usuarios.
Riesgo limitado: obligaciones de transparencia
Esta categoría incluye principalmente chatbots y sistemas que interactúan directamente con humanos. La obligación principal es la transparencia: el usuario debe saber que está hablando con una IA.
Si tienes un chatbot en tu web, necesitas:
- Informar claramente al usuario de que está interactuando con un sistema de IA
- No diseñar el chatbot para que parezca una persona real
- Permitir que el usuario acceda a un agente humano si lo solicita
Riesgo mínimo: sin obligaciones adicionales
La gran mayoría de aplicaciones de IA empresarial cae aquí: filtros de spam, sistemas de recomendación, IA generativa para marketing, automatización de procesos, análisis de datos internos, herramientas de productividad.
Para estos sistemas, el AI Act no impone obligaciones adicionales más allá de la normativa existente (RGPD, normativa sectorial).
Los plazos que debes conocer
| Fecha | Qué entra en vigor |
|---|---|
| Febrero 2025 | Prohibiciones de riesgo inaceptable. Obligaciones para modelos de IA de propósito general. |
| Agosto 2025 | Gobernanza y sanciones. Creación de las autoridades nacionales de supervisión. |
| Agosto 2026 | Obligaciones completas para sistemas de IA de alto riesgo en nuevos ámbitos. |
| Agosto 2027 | Obligaciones para sistemas de IA de alto riesgo en productos regulados existentes. |
La AESIA: el regulador español de IA
España creó la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) en 2024, con sede en A Coruña. Es la autoridad nacional responsable de supervisar el cumplimiento del AI Act en España.
Puntos clave sobre la AESIA:
- Tiene mandato explícito de apoyo a pymes en el cumplimiento del AI Act
- Publicará guías específicas por sector para facilitar el cumplimiento
- Gestiona el sandbox regulatorio para empresas que quieran probar innovaciones con IA bajo supervisión
- Las sanciones por incumplimiento oscilan entre 7,5 y 35 millones de euros (o entre el 1,5% y el 7% de la facturación global)
Lo que necesitas hacer ahora mismo
Paso 1: Inventario de sistemas de IA
Haz un listado de todos los sistemas de IA que usas o planeas usar. Incluye tanto los que desarrollas internamente como los servicios de terceros (ChatGPT, herramientas de HR con IA, sistemas de scoring, etc.).
Paso 2: Clasificación de riesgo
Para cada sistema, determina en qué categoría de riesgo entra según el AI Act. La documentación oficial de la AESIA tiene guías de clasificación por sector.
Paso 3: Verificar cumplimiento de transparencia en chatbots
Si tienes chatbots, asegúrate de que el usuario sabe que está hablando con una IA. Es la obligación más sencilla y la más fácil de incumplir por descuido.
Paso 4: Revisar el RGPD en contexto de IA
El AI Act no reemplaza al RGPD: se superpone. Si tu sistema de IA procesa datos personales (lo cual es habitual), necesitas asegurarte de que el tratamiento tiene base legal, que informas adecuadamente a los usuarios, y que los datos no se usan para entrenar modelos sin consentimiento.
Paso 5: Documentación básica
Aunque no estés en la categoría de alto riesgo, documentar cómo usas la IA en tu empresa (qué hace, con qué datos, quién la supervisa) es buena práctica y puede ser necesaria en caso de auditoría.
Mitos sobre el AI Act que frenan a las empresas españolas
"El AI Act prohíbe usar IA en mi empresa"
Falso. El AI Act prohíbe usos muy específicos (y razonablemente, como el reconocimiento facial indiscriminado). La mayoría de aplicaciones empresariales habituales son de riesgo mínimo o limitado.
"Solo aplica a las empresas que desarrollan IA"
Falso. El AI Act aplica también a las empresas que despliegan o usan sistemas de IA desarrollados por terceros, cuando actúan como "deployers" (operadores). Si contratas un sistema de IA para tu empresa, tienes obligaciones.
"El cumplimiento requiere un departamento legal especializado"
Para la gran mayoría de pymes, el cumplimiento del AI Act con sistemas de riesgo mínimo o limitado se puede gestionar con asesoramiento externo puntual y buenas prácticas de documentación, sin necesidad de recursos internos dedicados.
¿Quieres asegurarte de que los sistemas de IA que implementas en tu empresa cumplen con el AI Act?
Ver servicio de auditoría IAPreguntas frecuentes sobre el AI Act
¿Qué es el AI Act europeo?
El AI Act (Reglamento Europeo de Inteligencia Artificial) es la primera regulación integral sobre IA del mundo, aprobada por la UE en 2024. Clasifica los sistemas de IA según su nivel de riesgo y establece obligaciones proporcionales para empresas que desarrollen o usen IA en la Unión Europea.
¿Afecta el AI Act a las pymes españolas?
Sí, aplica a todas las empresas que operen en la UE. Sin embargo, las pymes tienen flexibilidades: no aplica a sistemas de riesgo mínimo (la mayoría de aplicaciones habituales), hay períodos de adaptación más largos, y la AESIA tiene mandato de apoyo específico a pymes.
¿Qué usos de IA están prohibidos con el AI Act?
Las prohibiciones absolutas incluyen: sistemas de puntuación social general, reconocimiento facial en tiempo real en espacios públicos, manipulación subliminal de personas y explotación de vulnerabilidades de grupos específicos. La gran mayoría de aplicaciones empresariales habituales no entran en estas categorías.