AI Act: guía del Reglamento Europeo de Inteligencia Artificial para empresas en España (2026)

El AI Act es el Reglamento (UE) 2024/1689, la primera normativa integral del mundo que regula el desarrollo, la comercialización y el uso de sistemas de inteligencia artificial. Se aprobó el 13 de junio de 2024 y se aplica de forma directa en España, sin necesidad de transposición. Afecta a cualquier empresa que desarrolle, distribuya o simplemente utilice IA, no solo a las tecnológicas. La fecha decisiva es el 2 de agosto de 2026: ese día entran en vigor las obligaciones principales para sistemas de alto riesgo y los deberes de transparencia.

Esta guía explica qué es el AI Act, a quién afecta, cómo clasifica el riesgo, qué obligaciones impone, qué sanciones prevé y cómo preparar tu empresa antes de la fecha límite.

Si necesitas un abogado en nuevas tecnologías, solicita una consulta con nosotros.

Tabla de contenidos

Qué es el AI Act y a quién afecta

El AI Act es un reglamento europeo de aplicación directa que regula los sistemas de inteligencia artificial según el riesgo que suponen para la salud, la seguridad y los derechos fundamentales. A diferencia del RGPD, que protege los datos personales, el AI Act regula los propios sistemas de IA: su diseño, su comercialización y su uso. Entró en vigor el 1 de agosto de 2024 y despliega sus obligaciones por fases hasta 2027.

El reglamento se aplica con independencia de dónde esté establecida la empresa. Si un sistema de IA se comercializa o se usa dentro de la Unión Europea, queda sujeto a la norma. Esto incluye a proveedores de fuera de la UE cuyos sistemas se utilizan en territorio europeo.

Los tres roles que define el reglamento

El AI Act asigna obligaciones distintas según el papel de cada empresa en el ciclo de vida del sistema. Una misma organización puede ser varias cosas a la vez.

  • Proveedor: desarrolla un sistema de IA o lo comercializa bajo su marca. Soporta las obligaciones más exigentes, sobre todo en alto riesgo.
  • Implantador (o responsable del despliegue): utiliza un sistema de IA en su actividad profesional. La mayoría de pymes que usan ChatGPT, chatbots o herramientas de scoring entran aquí.
  • Importador y distribuidor: introduce o comercializa en la UE sistemas de IA desarrollados fuera de Europa.

Si tu empresa usa un chatbot de atención al cliente, un sistema de cribado de currículos o cualquier herramienta basada en IA, eres implantador y el AI Act te aplica. No hace falta desarrollar la tecnología para quedar sujeto a la norma.

La ley española que complementa el reglamento

En España conviven dos planos normativos. El principal es el AI Act europeo, directamente aplicable. El segundo es el Anteproyecto de Ley para el buen uso y la gobernanza de la inteligencia artificial, aprobado por el Consejo de Ministros y en tramitación por vía de urgencia. A mayo de 2026 sigue siendo anteproyecto: aún no se ha publicado como ley en el Boletín Oficial del Estado. El Consejo Económico y Social emitió el Dictamen 3/2026 avalando el texto.

Esta ley nacional regula lo que el reglamento europeo delega en cada Estado: el régimen sancionador, el reparto de competencias entre autoridades y la gobernanza interna. Introduce además un derecho digital nuevo, que permite a la autoridad competente retirar provisionalmente del mercado un sistema de IA que haya provocado un incidente grave. Para profundizar en este punto, consulta nuestro análisis sobre la ley española de gobernanza de la IA.

Los cuatro niveles de riesgo del AI Act

El AI Act clasifica los sistemas de IA en cuatro niveles de riesgo, con obligaciones crecientes según el impacto potencial sobre las personas y sus derechos. Cuanto mayor es el riesgo, más estrictas son las exigencias. Esta pirámide de riesgo es el eje sobre el que gira todo el reglamento.

Nivel de riesgoQué incluyeObligación principal
Inaceptable (prohibido)Scoring social, manipulación subliminal, categorización biométrica sensibleProhibición total
AltoSelección de personal, scoring crediticio, educación, infraestructuras críticasCumplimiento estricto y documentado
LimitadoChatbots, deepfakes, reconocimiento de emocionesTransparencia con el usuario
MínimoFiltros de spam, recomendadores, productividadBuenas prácticas voluntarias

Riesgo inaceptable: las prácticas prohibidas

Los sistemas de riesgo inaceptable están prohibidos en la Unión Europea desde el 2 de febrero de 2025. Son usos que el legislador considera incompatibles con los derechos fundamentales. Incluyen el scoring social por parte de autoridades, la manipulación subliminal que cause daño, la explotación de vulnerabilidades por edad o discapacidad, y la categorización biométrica basada en datos sensibles como la raza o la orientación política. La identificación biométrica remota en tiempo real en espacios públicos está prohibida salvo excepciones tasadas de seguridad. El detalle completo está en nuestra guía de prácticas de IA prohibidas.

Alto riesgo: el grueso de las obligaciones

Los sistemas de alto riesgo son los que pueden afectar de forma significativa a la seguridad o los derechos de las personas, y soportan las obligaciones más exigentes del reglamento desde el 2 de agosto de 2026. Entran aquí la IA para selección de personal, el scoring crediticio, los sistemas de evaluación educativa, la gestión de infraestructuras críticas y el acceso a servicios públicos esenciales.

Un proveedor de un sistema de alto riesgo debe implantar un sistema de gestión de riesgos documentado, garantizar la gobernanza de los datos de entrenamiento, elaborar documentación técnica completa, registrar la actividad del sistema, asegurar la supervisión humana efectiva y mantener niveles adecuados de precisión, robustez y ciberseguridad. Desarrollamos cada requisito en la guía de sistemas de IA de alto riesgo.

Riesgo limitado: la obligación de transparencia

Los sistemas de riesgo limitado deben informar al usuario de que está interactuando con una inteligencia artificial. Es la categoría donde cae la mayoría de usos empresariales de IA generativa. Un chatbot debe identificarse como IA. El contenido generado artificialmente, como los deepfakes, debe etiquetarse como tal. Los sistemas de reconocimiento de emociones deben avisar a las personas afectadas.

Riesgo mínimo: la gran mayoría de sistemas

Los sistemas de riesgo mínimo no tienen obligaciones específicas bajo el AI Act, aunque el reglamento recomienda códigos de conducta voluntarios. Aquí se encuentran los filtros de spam, los recomendadores de contenido y la mayoría de herramientas de productividad. Conviene matizar un punto que se malinterpreta a menudo: usar una herramienta de riesgo mínimo no exime de la obligación de alfabetización en IA, que sí aplica a todos los desplegadores desde febrero de 2025.

Qué obligaciones tiene tu empresa según su rol

Las obligaciones bajo el AI Act dependen de dos variables: el rol de la empresa (proveedor o implantador) y el nivel de riesgo del sistema. Un implantador de un sistema de alto riesgo no soporta las mismas cargas que su proveedor, pero tampoco queda exento.

Si tu empresa…Obligaciones clave
Usa chatbots o asistentes IA con clientesInformar de que es IA, documentar el uso interno, supervisar el contenido
Usa IA para seleccionar personalEvaluación de impacto en derechos, supervisión humana, auditoría de sesgos, información al candidato
Usa IA generativa internamentePolítica de uso, formación del equipo, control de datos confidenciales, verificación del output
Desarrolla o comercializa IA propiaTodas las obligaciones de proveedor según el nivel de riesgo del sistema

La obligación de alfabetización en IA merece una mención aparte: desde el 2 de febrero de 2025, proveedores y desplegadores deben garantizar que su personal tiene un nivel suficiente de conocimientos sobre los sistemas de IA que maneja. No basta con una comunicación interna; exige formación real.

Calendario de aplicación del AI Act

El AI Act no se aplica de golpe, sino de forma escalonada entre 2025 y 2027. El reglamento entró en vigor el 1 de agosto de 2024, pero sus obligaciones se activan por tramos. Conocer el calendario permite priorizar qué hay que cumplir y cuándo.

FechaQué entra en vigor
1 de agosto de 2024Entrada en vigor del Reglamento (UE) 2024/1689
2 de febrero de 2025Prohibición de prácticas de riesgo inaceptable y obligación de alfabetización en IA
2 de agosto de 2025Obligaciones para modelos de IA de propósito general (GPAI) y aplicación del régimen sancionador
2 de agosto de 2026Aplicación plena: alto riesgo, transparencia y gobernanza. Sandbox nacional obligatorio
2 de agosto de 2027Sistemas de alto riesgo integrados en productos ya regulados

El 2 de agosto de 2026 es la fecha crítica para la mayoría de empresas. Ese día dejan de ser teoría las obligaciones de transparencia de los chatbots y las exigencias de los sistemas de alto riesgo. Los modelos de propósito general, como los grandes modelos de lenguaje sobre los que se construye la IA generativa, ya están sujetos a obligaciones desde agosto de 2025; lo detallamos en la guía sobre modelos GPAI.

Sanciones por incumplir el AI Act

El AI Act prevé tres tramos de sanción según la gravedad de la infracción, y son aplicables desde el 2 de agosto de 2025. La cuantía se calcula como un importe fijo o como un porcentaje de la facturación global anual, aplicándose la cifra que resulte mayor para grandes empresas y la menor para pymes.

Tipo de infracciónSanción máxima
Usar un sistema de IA prohibido35 millones de euros o el 7% de la facturación global
Incumplir obligaciones de alto riesgo15 millones de euros o el 3% de la facturación global
Aportar información incorrecta a las autoridades7,5 millones de euros o el 1% de la facturación global

Para una pyme, incluso el tramo del 1% puede suponer una cifra relevante. La cuantía no es lo único en juego: una sanción por uso de IA prohibida conlleva además la retirada del sistema y el daño reputacional asociado. El procedimiento sancionador y los criterios de graduación se explican en nuestra guía de sanciones del AI Act.

AESIA: la autoridad española de supervisión

La AESIA es la Agencia Española de Supervisión de la Inteligencia Artificial, creada mediante el Real Decreto 729/2023, con sede en A Coruña. Es la autoridad nacional encargada de vigilar el cumplimiento del AI Act en España: supervisa el mercado, tramita las denuncias, investiga los incumplimientos e impone las sanciones. También actúa como interlocutora con la Oficina Europea de IA.

España fue uno de los primeros países de la Unión Europea en designar una autoridad nacional de supervisión, lo que sitúa al país entre los de mayor presión regulatoria efectiva en materia de IA. El Gobierno se adelantó incluso al requisito europeo de sandbox: en diciembre de 2024 lanzó una convocatoria para seleccionar hasta doce sistemas de IA de alto riesgo que participarían durante un año en un entorno controlado de pruebas.

La sede de la AESIA en A Coruña tiene una implicación práctica para las empresas que necesitan interlocución con la Agencia. Como despacho con sede en Santiago de Compostela, a 70 kilómetros, trabajamos con proximidad operativa real ante la autoridad supervisora.

AI Act y RGPD: cómo se relacionan

El AI Act no sustituye al RGPD: ambas normativas coexisten y se complementan. El RGPD regula el tratamiento de datos personales; el AI Act regula los sistemas de IA. Cuando un sistema de inteligencia artificial procesa datos personales, que es prácticamente siempre, la empresa debe cumplir las dos normas a la vez. Un mismo uso puede generar responsabilidad bajo ambas.

AspectoRGPDAI Act
ObjetoDatos personalesSistemas de IA
ÁmbitoCualquier tratamiento de datosSistemas de IA según su riesgo
Evaluación de impactoDPIA para tratamientos de alto riesgoEvaluación de impacto en derechos fundamentales
Figura de controlDelegado de Protección de Datos (DPO)Supervisión humana del sistema

La parte positiva es que una empresa con un buen cumplimiento del RGPD parte con ventaja: la gobernanza de datos, la documentación y los procesos de evaluación de impacto son reutilizables. La interacción completa entre ambas normas, incluida la coordinación entre la AESIA y la Agencia Española de Protección de Datos, la desarrollamos en el artículo sobre AI Act y RGPD.

IA generativa, derechos de autor y propiedad intelectual

El AI Act obliga a los proveedores de IA generativa a documentar y publicar un resumen suficientemente detallado de los datos utilizados para entrenar sus modelos. Esta obligación de transparencia conecta de forma directa con los derechos de autor: si un modelo se ha entrenado con obras protegidas, surgen preguntas sobre licencias, autoría y responsabilidad que el reglamento no resuelve por completo. Es uno de los puntos más complejos y menos tratados de la norma.

Para una empresa que usa IA generativa, el riesgo es doble. Por un lado, el contenido generado puede incorporar elementos protegidos por derechos de autor de terceros. Por otro, la titularidad de lo que produce la IA es jurídicamente incierta en muchos casos. Esto afecta especialmente a sectores creativos, marketing y producción de contenido.

En nuestra experiencia, la mayoría de empresas tecnológicas no sabe si sus sistemas de IA se clasifican como de alto riesgo, ni qué implicaciones de propiedad intelectual asume al usar IA generativa. Eso es lo primero que diagnosticamos. La intersección entre IA, copyright y propiedad intelectual la analizamos en profundidad en un artículo específico.

Cómo preparar tu empresa para el AI Act

La adaptación al AI Act sigue tres pasos: inventariar todos los sistemas de IA, clasificarlos por nivel de riesgo y cerrar las brechas de cumplimiento. No se puede cumplir con lo que no se ha identificado, y la mayoría de empresas subestima cuántos sistemas de IA utiliza realmente.

  1. Inventario. Lista todos los sistemas de IA en uso: herramientas internas, comerciales, experimentales y de terceros integradas en tus procesos.
  2. Clasificación por riesgo. Determina en qué nivel cae cada sistema y bajo qué marco normativo, cruzando AI Act, RGPD y normativa sectorial.
  3. Cierre de brechas. Implanta las medidas técnicas y organizativas que falten: transparencia, documentación, supervisión humana, formación y un sistema de evidencias para auditoría.

Un ejemplo ilustra por qué el diagnóstico inicial es decisivo. Una scaleup que utiliza un sistema de IA para cribar currículos suele asumir que es una simple herramienta de productividad. En realidad, el cribado automatizado de candidatos es un uso de alto riesgo: exige evaluación de impacto en derechos fundamentales, supervisión humana de las decisiones, auditoría periódica de sesgos e información al candidato. Detectarlo antes de agosto de 2026 evita una adaptación de urgencia y una posible sanción.

Si tu empresa usa inteligencia artificial y necesita saber qué obligaciones le aplican antes de la fecha límite, en Innovatech realizamos un diagnóstico de cumplimiento del AI Act. Consulta nuestro servicio de abogados especialistas en inteligencia artificial y reserva una primera valoración sin compromiso.

Preguntas frecuentes sobre el AI Act

¿El AI Act se aplica a mi empresa si solo uso ChatGPT?

Sí. Usar ChatGPT u otra herramienta de IA generativa convierte a tu empresa en implantador de un sistema de IA, sujeto al AI Act. La mayoría de estos usos son de riesgo limitado o mínimo, con obligaciones de transparencia y de alfabetización en IA. No es necesario desarrollar tecnología propia para quedar sujeto a la norma.

¿Necesito un abogado o basta con un consultor para el AI Act?

El AI Act es una norma jurídica con régimen sancionador, no una guía técnica. Un consultor puede ayudar a implantar medidas, pero la clasificación de riesgo, la evaluación de impacto en derechos fundamentales y la interpretación de las obligaciones legales requieren criterio jurídico. La interacción con el RGPD y con la propiedad intelectual hace recomendable contar con asesoramiento legal especializado en derecho tecnológico.

¿Qué pasa si no cumplo antes de agosto de 2026?

A partir del 2 de agosto de 2026, el incumplimiento de las obligaciones de alto riesgo y transparencia puede sancionarse con hasta 15 millones de euros o el 3% de la facturación global. El uso de sistemas prohibidos, ya sancionable desde agosto de 2025, alcanza los 35 millones o el 7%. Además de la multa, la autoridad puede ordenar la retirada del sistema.

¿El AI Act sustituye al RGPD?

No. El AI Act y el RGPD son normas independientes que se aplican de forma simultánea. El RGPD regula los datos personales; el AI Act regula los sistemas de IA. Si tu sistema de IA trata datos personales, debes cumplir ambas normativas a la vez y puedes recibir sanciones de las dos.

¿Quién supervisa el AI Act en España y desde dónde?

La autoridad de supervisión en España es la AESIA, la Agencia Española de Supervisión de la Inteligencia Artificial, con sede en A Coruña. Fue creada por el Real Decreto 729/2023 y se encarga de vigilar el mercado, investigar incumplimientos e imponer sanciones, además de coordinarse con la Oficina Europea de IA.

Socio Director at Innovatech legal |  + posts

Marta Suárez-Mansilla, Socia Directora de Innovatech y abogada especializada en derecho tecnológico. Formada en Copyright por Harvard Law School y en Blockchain por BerkeleyX, acumula más de 8 años de experiencia asesorando a empresas tecnológicas.