IA y la normativa europea de IA: Lo que los profesionales deben saber

El 13 de junio de 2024, la Unión Europea aprobó el Reglamento Europeo de Inteligencia Artificial, conocido internacionalmente como el AI Act. Se trata de la primera legislación integral sobre inteligencia artificial en el mundo, y establece un marco jurídico que afecta directamente a cualquier empresa u organización que desarrolle, distribuya o utilice sistemas de IA dentro del mercado europeo. Si trabajas en España, esto te afecta. No importa si eres programador, responsable de recursos humanos, director financiero o gestor de una PYME: la normativa europea de IA va a cambiar cómo diseñas procesos, eliges herramientas y tomas decisiones en tu día a día profesional.

Este artículo te explica, en lenguaje claro y con enfoque práctico, qué dice exactamente el Reglamento, cuándo entra en vigor cada parte, qué obligaciones tienes según tu rol, y cómo preparar tu organización para cumplir con la ley sin paralizar la innovación. Si buscas una visión más amplia de cómo la IA para empresas está transformando el tejido productivo europeo, te recomendamos complementar esta lectura con nuestra guía específica.

Qué es el AI Act: el Reglamento Europeo de Inteligencia Artificial en lenguaje llano

El AI Act (Reglamento (UE) 2024/1689) es una norma de aplicación directa en todos los Estados miembros de la UE. No necesita transposición nacional, lo que significa que sus disposiciones son obligatorias tal cual están redactadas. Su objetivo declarado es garantizar que los sistemas de IA que se comercialicen y utilicen en Europa sean seguros, transparentes y respetuosos con los derechos fundamentales, al tiempo que se fomenta la innovación y la competitividad.

A diferencia del RGPD, que se centra en la protección de datos personales, el AI Act regula los sistemas de IA en sí mismos: su diseño, su comercialización, su despliegue y su uso. La norma no prohíbe la IA ni la demoniza. Lo que hace es clasificar los sistemas según el nivel de riesgo que representan y establecer obligaciones proporcionales a ese riesgo.

Un punto fundamental que muchos profesionales pasan por alto: el AI Act no solo afecta a quien desarrolla IA, sino también a quien la usa. Si tu empresa utiliza un chatbot de atención al cliente, un sistema de scoring crediticio basado en IA o una herramienta de selección de personal con algoritmos, estás dentro del ámbito de aplicación. Esto convierte al Reglamento en una norma verdaderamente transversal que toca prácticamente todos los sectores.

Ámbito de aplicación territorial

El AI Act tiene un alcance extraterritorial similar al del RGPD. Se aplica a:

  • Proveedores de sistemas de IA que comercialicen o pongan en servicio sistemas de IA en la UE, independientemente de dónde estén establecidos (esto incluye a empresas estadounidenses, chinas o de cualquier otro país que operen en el mercado europeo).
  • Desplegadores (deployers) de sistemas de IA establecidos en la UE o cuyo uso de la IA genere efectos dentro de la UE.
  • Importadores y distribuidores de sistemas de IA en el mercado europeo.
  • Fabricantes que integren sistemas de IA en productos que lleven marcado CE.

En la práctica, esto significa que si tu empresa española compra una herramienta de IA a una startup de Silicon Valley, tanto el proveedor estadounidense como tu empresa tienen obligaciones bajo el AI Act.

Calendario de aplicación: cuándo entra en vigor cada parte

El AI Act no entra en vigor de golpe. Sigue un calendario escalonado que da tiempo a las organizaciones para adaptarse, pero que ya ha comenzado. Conocer estas fechas es esencial para planificar tu estrategia de cumplimiento:

  • 1 de agosto de 2024: Entrada en vigor del Reglamento (publicación en el Diario Oficial de la UE).
  • 2 de febrero de 2025: Aplicación de las prohibiciones de IA de riesgo inaceptable. Desde esta fecha, los sistemas de IA prohibidos explícitamente por el Reglamento deben dejar de utilizarse. También entran en vigor las disposiciones sobre alfabetización en IA (artículo 4).
  • 2 de agosto de 2025: Aplicación de las obligaciones para modelos de IA de propósito general (GPAI), incluidos los modelos fundacionales como GPT-4, Gemini, Claude o Llama. También se constituyen las autoridades de supervisión nacionales.
  • 2 de agosto de 2026: Aplicación de la mayoría de las obligaciones, incluidas todas las relativas a sistemas de IA de alto riesgo que no sean productos regulados previamente.
  • 2 de agosto de 2027: Aplicación completa para sistemas de IA de alto riesgo integrados en productos ya regulados por legislación sectorial europea (dispositivos médicos, maquinaria, juguetes, etc.).

Como puedes ver, las prohibiciones ya están en vigor. No estamos hablando de un futuro lejano. Si tu empresa utiliza algún sistema de IA que entre en la categoría de riesgo inaceptable, ya debería haberse retirado. Y si usas modelos de propósito general, las obligaciones de transparencia se aplican desde agosto de 2025.

Las cuatro categorías de riesgo: el corazón del AI Act

El enfoque basado en riesgos es la columna vertebral del Reglamento. Cada sistema de IA se clasifica en una de cuatro categorías, y las obligaciones varían radicalmente según la categoría. Entender en cuál encaja tu sistema es el primer paso para cualquier estrategia de cumplimiento.

1. Riesgo inaceptable: sistemas de IA prohibidos

Estos sistemas están completamente prohibidos en la UE desde febrero de 2025. No hay excepciones para empresas, ni periodo de gracia adicional. La lista incluye:

  • Manipulación subliminal o engañosa: Sistemas de IA que utilicen técnicas subliminales, manipuladoras o engañosas para distorsionar el comportamiento de las personas, causándoles perjuicio significativo. Ejemplo: un sistema de marketing que explote vulnerabilidades psicológicas del usuario sin su conocimiento.
  • Explotación de vulnerabilidades: Sistemas que aprovechen la edad, discapacidad o situación socioeconómica de grupos específicos para distorsionar su comportamiento. Ejemplo: una aplicación de crédito diseñada para presionar a personas mayores con deterioro cognitivo.
  • Puntuación social (social scoring): Sistemas de clasificación social por parte de autoridades públicas que asignen puntuaciones a personas basándose en su comportamiento social o características personales, cuando esa puntuación provoque un trato perjudicial injustificado.
  • Identificación biométrica remota en tiempo real en espacios públicos con fines policiales, salvo excepciones muy limitadas (búsqueda de víctimas de secuestro, prevención de amenazas terroristas inminentes, localización de sospechosos de delitos graves).
  • Inferencia de emociones en el lugar de trabajo o en centros educativos, salvo por razones médicas o de seguridad.
  • Categorización biométrica para deducir raza, opiniones políticas, afiliación sindical, creencias religiosas u orientación sexual.
  • Creación de bases de datos faciales mediante el scraping no selectivo de imágenes de internet o CCTV (lo que hacía Clearview AI, por ejemplo).
  • Policía predictiva individual: Sistemas que evalúen el riesgo de que una persona cometa un delito basándose exclusivamente en su perfil o rasgos de personalidad.

Para un profesional español, la implicación práctica es clara: revisa todas las herramientas de IA que utilizas y verifica que ninguna entre en esta categoría. Presta especial atención a herramientas de RRHH que infieran estados emocionales de candidatos durante entrevistas por vídeo, o a sistemas de vigilancia que usen reconocimiento facial en tiempo real.

2. Alto riesgo: sistemas con obligaciones estrictas

Esta es la categoría más relevante para la mayoría de las empresas. Los sistemas de IA de alto riesgo no están prohibidos, pero deben cumplir una serie extensa de requisitos antes de poder ser comercializados o utilizados. La clasificación de alto riesgo abarca dos grandes grupos:

Grupo 1: Sistemas de IA integrados en productos ya regulados por la legislación europea de armonización (marcado CE). Esto incluye IA en dispositivos médicos, maquinaria industrial, juguetes, equipos de protección individual, vehículos, ascensores, etc.

Grupo 2: Sistemas de IA en áreas específicas listadas en el Anexo III del Reglamento:

  • Biometría: Identificación biométrica remota (no en tiempo real), categorización biométrica, reconocimiento de emociones (donde esté permitido).
  • Infraestructuras críticas: Gestión del tráfico, suministro de agua, gas, calefacción, electricidad, internet.
  • Educación y formación profesional: Sistemas que determinen el acceso a instituciones educativas, evalúen resultados de aprendizaje o detecten comportamientos prohibidos durante exámenes.
  • Empleo y gestión de trabajadores: Selección de personal, publicación de ofertas de empleo, análisis de candidaturas, decisiones sobre promociones, despidos, asignación de tareas o evaluación del rendimiento.
  • Acceso a servicios esenciales: Evaluación de elegibilidad para prestaciones públicas, scoring crediticio, evaluación de riesgos en seguros de vida y salud, clasificación de llamadas de emergencia.
  • Aplicación de la ley: Evaluación de riesgo de víctimas, polígrafos, evaluación de fiabilidad de pruebas, perfilado de sospechosos.
  • Migración y control fronterizo: Evaluación de riesgos de seguridad, verificación de documentos de viaje, examen de solicitudes de asilo o visado.
  • Administración de justicia: Sistemas que ayuden a jueces a investigar hechos, interpretar la ley o aplicarla a casos concretos.

Si tu empresa usa IA para cualquiera de estas funciones, tu sistema probablemente sea de alto riesgo. Las empresas españolas deben prestar especial atención al ámbito de empleo y selección de personal: muchas PYMES ya usan plataformas de reclutamiento con filtros algorítmicos sin ser conscientes de que están operando un sistema de IA de alto riesgo.

Obligaciones concretas para sistemas de alto riesgo

Los proveedores de sistemas de IA de alto riesgo deben cumplir con:

  • Sistema de gestión de riesgos: Un proceso iterativo y continuo de identificación, evaluación y mitigación de riesgos durante todo el ciclo de vida del sistema.
  • Gobernanza de datos: Garantizar que los conjuntos de datos de entrenamiento, validación y prueba sean relevantes, representativos, libres de errores y completos.
  • Documentación técnica: Preparar documentación detallada que permita evaluar el cumplimiento del sistema antes de su comercialización.
  • Registros de actividad (logs): Diseñar el sistema para que genere automáticamente registros que permitan la trazabilidad de su funcionamiento.
  • Transparencia: Proporcionar instrucciones de uso claras que permitan al desplegador interpretar los resultados del sistema y usarlo correctamente.
  • Supervisión humana: Diseñar el sistema para que pueda ser supervisado eficazmente por personas durante su funcionamiento.
  • Precisión, robustez y ciberseguridad: Alcanzar niveles adecuados de exactitud, resiliencia frente a errores y protección contra ataques.
  • Evaluación de conformidad: Completar el procedimiento de evaluación antes de la comercialización.
  • Registro en la base de datos de la UE: Registrar el sistema en la base de datos pública europea de sistemas de IA de alto riesgo.

Los desplegadores (es decir, las empresas que usan el sistema sin haberlo desarrollado) también tienen obligaciones: deben usarlo conforme a las instrucciones del proveedor, garantizar la supervisión humana, informar a los trabajadores afectados, realizar evaluaciones de impacto en derechos fundamentales (para entidades públicas y ciertas entidades privadas) y conservar los logs generados por el sistema.

3. Riesgo limitado: obligaciones de transparencia

Los sistemas de riesgo limitado son aquellos que interactúan directamente con personas o generan contenido que podría confundirse con contenido humano. Las obligaciones aquí se centran en la transparencia:

  • Chatbots y asistentes virtuales: Deben informar al usuario de que están interactuando con un sistema de IA, a menos que sea evidente por el contexto.
  • Sistemas de reconocimiento de emociones o categorización biométrica: Deben informar a las personas expuestas al sistema.
  • Deepfakes y contenido generado por IA: El contenido de imagen, audio o vídeo generado o manipulado por IA (deepfakes) debe etiquetarse como tal de manera legible por máquina.
  • Texto generado por IA: Si el texto se publica con el propósito de informar al público sobre asuntos de interés público, debe etiquetarse como generado por IA, salvo que haya sido revisado por un humano que asuma la responsabilidad editorial.

Esto tiene implicaciones directas para cualquier empresa española que use chatbots de atención al cliente, genere contenido con herramientas de IA para redes sociales o emplee avatares digitales en su comunicación.

4. Riesgo mínimo: sin obligaciones adicionales

La gran mayoría de los sistemas de IA entran en esta categoría: filtros de spam, sistemas de recomendación de productos, correctores ortográficos con IA, herramientas de optimización de procesos industriales, etc. El AI Act no impone obligaciones específicas para estos sistemas, aunque se anima a los proveedores a adherirse voluntariamente a códigos de conducta.

Sin embargo, atención: que un sistema sea de riesgo mínimo bajo el AI Act no significa que no tenga obligaciones bajo otras normativas. El RGPD, la legislación laboral, la normativa de consumo y las leyes sectoriales siguen aplicándose íntegramente.

Qué significa esto para TU trabajo: implicaciones por rol

Vamos a lo concreto. Según tu puesto de trabajo, el AI Act te afecta de manera diferente. Aquí tienes un desglose práctico:

Si eres director general o CEO de una PYME

Tu responsabilidad principal es asegurar que tu organización tiene un inventario de todos los sistemas de IA que utiliza, clasificados por nivel de riesgo. Necesitas designar a una persona o equipo responsable del cumplimiento del AI Act y asegurarte de que hay presupuesto para las adaptaciones necesarias. El artículo 4 del AI Act también te obliga a garantizar que el personal que trabaja con IA tenga una alfabetización suficiente en IA, proporcional a sus funciones. Esto no es optativo: es una obligación legal que ya está en vigor.

Si trabajas en recursos humanos

Los sistemas de IA para selección de personal, evaluación del rendimiento y gestión de trabajadores son de alto riesgo. Si usas plataformas como herramientas de screening de CVs, entrevistas por vídeo con análisis algorítmico o sistemas de monitorización del rendimiento, necesitas verificar que el proveedor cumple con las obligaciones del AI Act. Además, debes informar a los comités de empresa y a los trabajadores afectados de que se están utilizando sistemas de IA en decisiones que les afectan.

Si eres responsable de marketing

La mayor parte de las herramientas de IA para marketing (generación de contenido, análisis de audiencias, optimización de campañas) son de riesgo limitado o mínimo. Tu principal obligación es la transparencia: etiquetar correctamente el contenido generado por IA cuando sea necesario y asegurar que tus campañas no utilicen técnicas de manipulación subliminal prohibidas. También debes coordinar con tu DPO para garantizar el cumplimiento simultáneo del RGPD.

Si eres desarrollador o CTO

Necesitas entender en profundidad los requisitos técnicos del AI Act: documentación técnica, trazabilidad, robustez, gestión de sesgos en datos de entrenamiento. Si tu empresa desarrolla IA, los requisitos son extensos. Si la consume, debes evaluar que los proveedores cumplan y mantener los logs del sistema.

Si trabajas en el sector financiero

El scoring crediticio y la evaluación de riesgos en seguros son explícitamente de alto riesgo. Entidades como BBVA, CaixaBank o Santander llevan años invirtiendo en IA para estos procesos, y ahora deben adaptar sus sistemas al AI Act, además de cumplir con la normativa financiera existente (MiFID II, directivas de crédito al consumo, etc.). Si trabajas en una fintech o en el departamento de riesgos de una entidad financiera, el AI Act añade una capa regulatoria significativa a tu trabajo diario.

Si eres autónomo o consultor

El AI Act también te afecta si utilizas IA en tus servicios profesionales. Un consultor de RRHH que use IA para filtrar candidatos, un asesor fiscal que use IA para análisis de riesgos o un diseñador que genere imágenes con IA para clientes tienen todos obligaciones bajo el Reglamento. La buena noticia es que las PYMES y las microempresas tienen ciertas simplificaciones en materia de documentación.

El papel de España: AEPD, ENIA y la Agencia Española de Supervisión de IA

España no es un actor pasivo en la regulación de la IA. De hecho, fue uno de los primeros países europeos en posicionarse activamente en esta materia. Estos son los actores y estrategias clave que todo profesional español debe conocer:

La Estrategia Nacional de Inteligencia Artificial (ENIA)

Aprobada en 2020 y actualizada posteriormente, la ENIA se enmarca dentro del plan España Digital 2026 y establece las líneas maestras de la política española en materia de IA. Sus ejes principales son: impulsar la investigación en IA, fomentar la integración de la IA en las cadenas de valor del tejido empresarial español (con especial atención a las PYMES), desarrollar competencias digitales y crear un marco ético y normativo. La ENIA previó inversiones de más de 600 millones de euros en el periodo 2021-2023, canalizados a través de diversas convocatorias y programas públicos.

SEDIA y la Agencia Española de Supervisión de IA (AESIA)

La Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA), dependiente del Ministerio para la Transformación Digital, ha sido el órgano coordinador de la política de IA en España. Bajo su impulso se creó la Agencia Española de Supervisión de Inteligencia Artificial (AESIA), con sede en A Coruña. España fue, de hecho, el primer país de la UE en crear una agencia supervisora específica para la IA, anticipándose a la obligación del AI Act de designar autoridades nacionales competentes.

La AESIA tiene como funciones principales:

  • Supervisar el cumplimiento del AI Act en España.
  • Gestionar el sandbox regulatorio de IA (un entorno de pruebas donde las empresas pueden testar sistemas de IA innovadores bajo supervisión regulatoria).
  • Asesorar a empresas y administraciones públicas en materia de cumplimiento.
  • Colaborar con la Comisión Europea y con las autoridades supervisoras de otros Estados miembros.
  • Imponer sanciones en caso de incumplimiento.

La AEPD y la intersección con el RGPD

La Agencia Española de Protección de Datos (AEPD) sigue siendo la autoridad competente en materia de protección de datos. Dado que muchos sistemas de IA procesan datos personales, la AEPD y la AESIA deberán coordinarse estrechamente. La AEPD ya ha publicado directrices sobre el uso de IA en relación con el RGPD, y ha sido particularmente activa en áreas como el reconocimiento facial, el tratamiento de datos biométricos y las transferencias internacionales de datos a proveedores de IA ubicados fuera del EEE.

Para las empresas españolas, esto significa que el cumplimiento de la IA requiere una visión integrada: no basta con cumplir el AI Act si no cumples también el RGPD, y viceversa. Más adelante veremos cómo interactúan ambas normativas.

El sandbox regulatorio español

España fue uno de los primeros países en activar un sandbox regulatorio de IA, un entorno controlado donde empresas e instituciones pueden probar sistemas de IA innovadores con la supervisión directa de la AESIA. Esto es especialmente útil para PYMES que quieran desarrollar soluciones de IA pero no tengan los recursos para afrontar una evaluación de conformidad completa desde el inicio. Participar en el sandbox permite testar el sistema, recibir orientación regulatoria y prepararse para el cumplimiento pleno antes de la comercialización.

Obligaciones para empresas que USAN IA (no solo las que la desarrollan)

Uno de los errores más comunes es pensar que el AI Act solo afecta a las empresas tecnológicas que desarrollan sistemas de IA. Esto es absolutamente falso. El Reglamento distingue claramente entre proveedores (quienes diseñan y desarrollan) y desplegadores (quienes usan), y ambos tienen obligaciones.

Si tu empresa compra una herramienta de IA a un tercero y la utiliza en sus procesos, eres un desplegador. Estas son tus obligaciones principales:

Obligaciones generales para todos los desplegadores

  • Alfabetización en IA (artículo 4): Garantizar que el personal que opera o interactúa con sistemas de IA tenga un nivel suficiente de conocimiento sobre IA, proporcional a su contexto de uso. Esto puede requerir formación específica. Nuestros cursos de IA están diseñados precisamente para cubrir esta necesidad de manera práctica y adaptada al contexto empresarial español.
  • Uso conforme a instrucciones: Utilizar el sistema de IA según las instrucciones proporcionadas por el proveedor.
  • Supervisión humana: Asegurar que personas con la competencia, formación y autoridad necesarias supervisen el funcionamiento del sistema.
  • Monitorización: Vigilar el funcionamiento del sistema y reportar al proveedor cualquier incidente o riesgo detectado.

Obligaciones adicionales para desplegadores de sistemas de alto riesgo

  • Evaluación de impacto en derechos fundamentales: Las entidades de derecho público y las empresas privadas que presten servicios públicos deben realizar una evaluación de impacto antes de desplegar un sistema de IA de alto riesgo.
  • Información a trabajadores: Informar a los representantes de los trabajadores y a los propios trabajadores afectados de que se utilizará un sistema de IA de alto riesgo en decisiones que les afecten.
  • Registro en la base de datos de la UE: Los desplegadores de sistemas de alto riesgo que sean entidades públicas (o actúen en su nombre) deben registrar el uso en la base de datos europea.
  • Conservación de logs: Mantener los registros generados automáticamente por el sistema durante un periodo mínimo de seis meses.
  • Evaluación de impacto bajo el RGPD: Cuando el sistema de IA de alto riesgo trate datos personales, realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) conforme al artículo 35 del RGPD.

Cómo interactúa el AI Act con el RGPD

Esta es una de las cuestiones que más confusión genera en la práctica. El AI Act y el RGPD son normas complementarias, no alternativas. Ambas se aplican simultáneamente cuando un sistema de IA trata datos personales, que es la mayoría de los casos.

Puntos de solapamiento

  • Base jurídica para el tratamiento de datos: Antes de alimentar un sistema de IA con datos personales (ya sea para entrenamiento o para uso), necesitas una base jurídica válida bajo el RGPD. El AI Act no crea nuevas bases jurídicas ni exime de esta obligación.
  • Evaluación de impacto: El AI Act exige evaluación de impacto en derechos fundamentales para ciertos sistemas de alto riesgo. El RGPD exige EIPD para tratamientos de alto riesgo. En la práctica, puedes integrar ambas evaluaciones en un mismo proceso, pero debes cubrir los requisitos de ambas normas.
  • Transparencia: Ambas normas exigen transparencia, pero desde ángulos distintos. El RGPD se centra en informar sobre el tratamiento de datos personales; el AI Act se centra en informar sobre la naturaleza artificial del sistema. Debes cumplir ambos conjuntos de requisitos.
  • Decisiones automatizadas: El artículo 22 del RGPD otorga a los interesados el derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos. El AI Act refuerza este derecho al exigir supervisión humana en los sistemas de alto riesgo.
  • Transferencias internacionales: Si tu sistema de IA envía datos a servidores fuera del EEE (como ocurre con muchas herramientas de IA estadounidenses), las reglas de transferencia internacional del RGPD siguen aplicándose íntegramente.

Un caso práctico: herramienta de selección de personal

Imagina que tu empresa usa una plataforma de IA para filtrar CVs y preseleccionar candidatos. Bajo el AI Act, este es un sistema de alto riesgo (categoría de empleo). Bajo el RGPD, estás tratando datos personales de los candidatos para tomar decisiones que les afectan significativamente. Necesitas:

  • Base jurídica RGPD (probablemente interés legítimo o medidas precontractuales).
  • EIPD bajo el RGPD y evaluación de impacto en derechos fundamentales bajo el AI Act.
  • Verificar que el proveedor cumple con los requisitos técnicos del AI Act (documentación, logs, robustez, no discriminación).
  • Informar a los candidatos de que se usa IA (transparencia AI Act + derecho de información RGPD).
  • Garantizar supervisión humana efectiva: un humano debe revisar las decisiones del algoritmo antes de descartarse a un candidato.
  • Informar al comité de empresa si lo hay.
  • Conservar los logs durante al menos seis meses.

Régimen sancionador: multas y consecuencias del incumplimiento

El AI Act establece un régimen sancionador similar al del RGPD en cuanto a su severidad. Las multas máximas son:

  • 35 millones de euros o el 7% de la facturación anual mundial (el que sea mayor) por el uso de sistemas de IA prohibidos (riesgo inaceptable).
  • 15 millones de euros o el 3% de la facturación anual mundial por el incumplimiento de la mayoría de las demás obligaciones del Reglamento.
  • 7,5 millones de euros o el 1% de la facturación anual mundial por proporcionar información incorrecta o engañosa a las autoridades.

Para las PYMES y startups, el Reglamento prevé sanciones proporcionadas: se aplicará la cifra que resulte menor entre el importe fijo y el porcentaje de facturación. Esto significa que una PYME con 2 millones de euros de facturación anual se enfrentaría a una multa máxima de 140.000 euros (7% de 2 millones) por usar un sistema prohibido, en lugar de los 35 millones teóricos.

Pero las multas no son el único riesgo. El incumplimiento puede conllevar:

  • Retirada del sistema de IA del mercado.
  • Daño reputacional significativo, especialmente en un mercado cada vez más sensibilizado con el uso ético de la IA.
  • Responsabilidad civil frente a personas perjudicadas por el sistema de IA (la propuesta de Directiva de Responsabilidad por IA complementa el AI Act en este aspecto).
  • Pérdida de contratos públicos: Las administraciones públicas españolas están incorporando cláusulas de cumplimiento del AI Act en sus pliegos de contratación.

Lista de verificación práctica para empresas españolas

Aquí tienes un checklist operativo que puedes usar como punto de partida para preparar tu organización:

Fase 1: Diagnóstico (deberías haberlo completado ya)

  • Inventario de IA: Identificar TODOS los sistemas de IA que tu organización utiliza, desarrolla o distribuye. Incluye herramientas SaaS, APIs, módulos de IA integrados en software empresarial (ERP, CRM) y herramientas de productividad.
  • Clasificación de riesgo: Para cada sistema identificado, determinar su categoría de riesgo según el AI Act.
  • Verificación de prohibiciones: Comprobar que ningún sistema entra en la categoría de riesgo inaceptable. Si alguno lo hace, retirarlo inmediatamente.
  • Mapeo de proveedores: Identificar quién es el proveedor de cada sistema y evaluar si está preparado para cumplir con el AI Act.

Fase 2: Planificación (2025)

  • Designar un responsable de cumplimiento del AI Act (puede ser la misma persona que el DPO, el compliance officer, o un nuevo rol).
  • Plan de formación en IA: Diseñar un programa de alfabetización en IA para todo el personal relevante, cumpliendo con el artículo 4.
  • Actualizar las EIPD: Si ya realizas Evaluaciones de Impacto bajo el RGPD, ampliarlas para cubrir también los requisitos del AI Act.
  • Revisar contratos con proveedores: Asegurarte de que tus contratos con proveedores de IA incluyen cláusulas de cumplimiento del AI Act y del RGPD.
  • Establecer un proceso de supervisión humana: Para cada sistema de IA de alto riesgo, definir quién lo supervisa, cómo, con qué frecuencia y con qué autoridad para intervenir.

Fase 3: Implementación (2025-2026)

  • Documentar: Mantener toda la documentación técnica y de cumplimiento que exige el Reglamento.
  • Informar a los trabajadores: Comunicar formalmente al comité de empresa y a los trabajadores afectados sobre el uso de sistemas de IA en decisiones laborales.
  • Configurar la conservación de logs: Implementar sistemas de almacenamiento seguro para los registros de actividad de los sistemas de IA de alto riesgo.
  • Establecer un canal de notificación de incidentes: Crear un procedimiento para reportar incidentes graves con sistemas de IA a la AESIA.
  • Auditar periódicamente: Establecer un calendario de revisiones periódicas del cumplimiento.

Fase 4: Mejora continua (2026 en adelante)

  • Monitorizar la evolución normativa: El AI Act se complementará con normas técnicas armonizadas, actos delegados y directrices de la Comisión Europea. Mantente al día.
  • Participar en códigos de conducta: Considera adherirte a códigos de conducta sectoriales que faciliten la demostración del cumplimiento.
  • Formar continuamente: La alfabetización en IA no es un evento puntual, sino un proceso continuo.

Modelos de IA de propósito general (GPAI): qué cambia para las empresas que usan ChatGPT, Gemini o Claude

El AI Act introduce una categoría específica para los modelos de IA de propósito general (General-Purpose AI o GPAI), que incluye los grandes modelos de lenguaje como GPT-4, Gemini, Claude, Llama y similares. Las obligaciones recaen principalmente sobre los proveedores de estos modelos (OpenAI, Google, Anthropic, Meta), pero las empresas que los utilizan deben entender el marco:

  • Todos los modelos GPAI deben cumplir con obligaciones de transparencia: documentación técnica, información sobre los datos de entrenamiento, cumplimiento de la legislación de derechos de autor y publicación de un resumen detallado del contenido de entrenamiento.
  • Modelos GPAI con riesgo sistémico: Los modelos que superen ciertos umbrales de capacidad computacional (actualmente fijado en 10^25 FLOP de entrenamiento) tienen obligaciones adicionales: evaluación de modelos, pruebas adversariales, seguimiento de incidentes graves y niveles adecuados de ciberseguridad.

Para ti como usuario empresarial, la implicación práctica es que los proveedores de los grandes modelos serán responsables de cumplir con sus obligaciones GPAI, pero tú sigues siendo responsable de cómo usas esos modelos. Si construyes una aplicación de alto riesgo sobre GPT-4 o Claude, las obligaciones de alto riesgo recaen sobre ti como proveedor de esa aplicación, no sobre OpenAI o Anthropic.

Medidas de apoyo para PYMES y startups

El AI Act incluye disposiciones específicas para reducir la carga sobre pequeñas y medianas empresas:

  • Sandboxes regulatorios: Las PYMES tienen acceso prioritario a los entornos de pruebas regulatorios. En España, la AESIA gestiona este programa.
  • Sanciones proporcionadas: Como se ha mencionado, las multas se calculan como el menor importe entre la cifra fija y el porcentaje de facturación.
  • Documentación simplificada: La Comisión Europea desarrollará formularios simplificados de documentación técnica para PYMES.
  • Guías de cumplimiento: La Oficina Europea de IA y las autoridades nacionales publicarán guías específicas para PYMES.
  • Exención de tasas: Las PYMES pueden estar exentas o tener reducidas las tasas de los procedimientos de evaluación de conformidad.

Además, en España, programas como el Kit Digital y las ayudas de la SEDIA han incluido líneas específicas para la adopción responsable de IA por parte de PYMES, que pueden cubrir parcialmente los costes de adaptación al AI Act.

Cómo preparar tu organización: recomendaciones prácticas

Más allá del checklist formal, hay una serie de acciones estratégicas que pueden marcar la diferencia entre un cumplimiento reactivo y costoso y una adaptación proactiva que genere ventaja competitiva:

1. Convierte el cumplimiento en ventaja comercial

Las empresas que demuestren cumplir con el AI Act tendrán una ventaja en la contratación pública y en las relaciones B2B. Muchas grandes empresas españolas (Telefónica, Repsol, Iberdrola) ya están exigiendo garantías de cumplimiento del AI Act a sus proveedores. Si eres una PYME que trabaja con grandes corporaciones, adelantarte en cumplimiento puede asegurarte contratos.

2. Integra el cumplimiento del AI Act en tus procesos existentes

Si ya tienes un sistema de gestión del RGPD, amplíalo para cubrir el AI Act. Si ya realizas EIPD, amplía la plantilla para incluir los requisitos del AI Act. Si ya tienes un registro de actividades de tratamiento bajo el RGPD, amplíalo con un inventario de sistemas de IA. No crees silos regulatorios: integra.

3. Invierte en formación

La obligación de alfabetización en IA del artículo 4 ya está en vigor. No esperes a que la AESIA empiece a inspeccionar. Forma a tu equipo ahora. Nuestro curso de IA gratuito es un buen punto de partida para que todo tu equipo adquiera los fundamentos necesarios, sin coste y adaptado al contexto regulatorio europeo.

4. No esperes a que todo esté claro para actuar

Es cierto que faltan muchos detalles: las normas técnicas armonizadas aún se están desarrollando, la AESIA aún está consolidando su estructura y los actos delegados de la Comisión están en proceso. Pero las líneas generales del Reglamento son claras. El inventario de IA, la clasificación de riesgo, la formación del personal y la revisión de contratos son acciones que puedes y debes emprender ya, sin esperar a tener todas las respuestas.

5. Colabora con tu sector

Las asociaciones sectoriales españolas están trabajando en códigos de conducta y guías de cumplimiento específicas. Participar en estos grupos de trabajo te dará acceso a mejores prácticas y te ayudará a influir en la interpretación de la norma para tu sector.

El AI Act y el futuro de la IA en España

El Reglamento Europeo de Inteligencia Artificial no es un obstáculo para la innovación. Es un marco de referencia que, bien aplicado, puede generar confianza en los sistemas de IA y acelerar su adopción responsable. España, con la AESIA ya operativa, una estrategia nacional de IA ambiciosa y un tejido empresarial cada vez más digitalizado, está bien posicionada para liderar la implementación del AI Act en Europa.

Para los profesionales españoles, el mensaje es claro: la IA regulada no es menos IA, es mejor IA. Conocer la normativa, prepararse para cumplirla y convertirla en ventaja competitiva es una de las mejores inversiones que puedes hacer en tu carrera profesional. Si quieres profundizar en cómo la IA para empresas está redefiniendo los modelos de negocio en el contexto regulatorio europeo, te invitamos a explorar nuestra guía completa.

Y si buscas dar el primer paso en tu formación sobre IA con un enfoque práctico y adaptado al marco europeo, accede a nuestro curso de IA gratuito. Te dará las bases necesarias para entender no solo la tecnología, sino también el ecosistema regulatorio que la rodea, desde el AI Act hasta el RGPD, pasando por las estrategias nacionales que están definiendo el futuro de la IA en España y en Europa.