El AI Act (Reglamento (UE) 2024/1689) es la primera ley integral del mundo que regula la inteligencia artificial. Clasifica los sistemas de IA por nivel de riesgo y obliga a las empresas que los desarrollan o utilizan a inventariarlos, gestionar sus riesgos, documentarlos y garantizar supervisión humana. Está en vigor desde el 1 de agosto de 2024, con aplicación escalonada: las obligaciones para los sistemas de alto riesgo llegan en agosto de 2026. Si tu organización ya usa IA en producción, la preparación empieza ahora.

Esta guía resume, sin jerga legal, qué exige el reglamento a una empresa española, qué plazos son críticos y por dónde conviene empezar.

Qué es el AI Act y a quién aplica

El AI Act es un reglamento europeo de aplicación directa: no necesita transposición a ley nacional para obligar. Aplica a cualquier organización que ponga en el mercado, ponga en servicio o utilice sistemas de IA en la UE, independientemente de dónde esté establecida. Es decir, alcanza tanto a quien desarrolla la IA (proveedor) como a quien la despliega en su operación (responsable del despliegue o deployer).

En la práctica, esto incluye a la mayoría de las empresas: un banco que usa modelos de scoring crediticio, una aseguradora que automatiza siniestros, un departamento de RR. HH. que filtra currículos con IA o una empresa industrial con mantenimiento predictivo entran todos dentro del perímetro.

Los cuatro niveles de riesgo

El reglamento es proporcional al riesgo. Cuanto mayor es el daño potencial de un sistema, más obligaciones impone:

  • Riesgo inaceptable (prohibido): prácticas vetadas como el social scoring gubernamental, la manipulación subliminal o el reconocimiento de emociones en el trabajo y en la educación.
  • Alto riesgo: sistemas que afectan a la seguridad o a derechos fundamentales —crédito, empleo, educación, seguros de vida y salud, infraestructuras críticas, biometría—. Es la categoría que más obligaciones acumula.
  • Riesgo limitado: sistemas con obligaciones de transparencia, como los chatbots o el contenido generado por IA, que deben identificarse como tales.
  • Riesgo mínimo: la mayoría de aplicaciones (filtros antispam, recomendadores) quedan sin obligaciones específicas.

Plazos clave que no puedes ignorar

La aplicación es progresiva. Estas son las fechas que marcan la agenda de cualquier dirección:

  • 2 de febrero de 2025 — Prohibición de las prácticas de riesgo inaceptable y obligación de alfabetización en IA del personal.
  • 2 de agosto de 2025 — Obligaciones para los modelos de IA de propósito general (GPAI), como los grandes modelos de lenguaje.
  • 2 de agosto de 2026 — Entran en vigor las obligaciones para la mayoría de los sistemas de alto riesgo. Es el hito que concentra el trabajo de cumplimiento.
  • 2 de agosto de 2027 — Plazo final para los sistemas de alto riesgo incorporados a productos ya regulados (Anexo I).

Qué obligaciones impone a los sistemas de alto riesgo

Si operas un sistema de alto riesgo, el reglamento exige, entre otras cosas:

  1. Sistema de gestión de riesgos continuo a lo largo de todo el ciclo de vida.
  2. Gobernanza de datos: conjuntos de entrenamiento y validación representativos y sin sesgos indebidos.
  3. Documentación técnica y registros (logs) que permitan la trazabilidad.
  4. Transparencia suficiente para que el responsable del despliegue entienda y use el sistema correctamente.
  5. Supervisión humana efectiva sobre las decisiones del sistema.
  6. Precisión, robustez y ciberseguridad acordes al uso previsto.

Para los responsables del despliegue (la mayoría de las empresas que usan IA de terceros) hay obligaciones específicas: usar el sistema conforme a las instrucciones, mantener la supervisión humana, vigilar su funcionamiento y conservar los registros.

Las sanciones: hasta 35 M€ o el 7 % de la facturación

El AI Act se toma en serio el incumplimiento. El artículo 99 fija multas de hasta 35 millones de euros o el 7 % de la facturación anual mundial (lo que sea mayor) por usar prácticas prohibidas; hasta 15 M€ o el 3 % por incumplir el resto de obligaciones; y hasta 7,5 M€ o el 1 % por facilitar información incorrecta. Para una empresa de tamaño medio, el porcentaje sobre facturación puede ser más doloroso que la cifra absoluta.

El contexto español: AESIA y la ley nacional

España fue el primer país de la UE en crear una autoridad dedicada: la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña, que supervisará la aplicación del reglamento en el territorio. Además, el Gobierno tramita un anteproyecto de ley para el buen uso y la gobernanza de la IA que complementa el marco europeo. A esto se suma, para el sector financiero, el reglamento DORA de resiliencia operativa digital, plenamente aplicable desde enero de 2025.

Cómo preparar tu empresa (sin paralizar el negocio)

La trampa habitual es tratar el AI Act como un proyecto legal aislado. No lo es: es un cambio operativo. El cumplimiento sostenible nace de un marco de gobernanza de IA que viva dentro de la organización, no de un informe que se archiva. Un punto de partida realista:

  1. Inventario. Mapea todos los sistemas de IA que ya están tomando decisiones en producción —incluidos los de terceros y el shadow AI—.
  2. Clasificación de riesgo. Determina cuáles caen en alto riesgo según el reglamento.
  3. Análisis de brechas. Compara cada sistema con las obligaciones aplicables.
  4. Modelo operativo. Asigna responsabilidades (roles, comité, un responsable de IA o CAIO), define políticas y controles, e intégralo en el día a día.

En Vivid Vision no entregamos un PowerPoint y nos vamos: operamos el modelo de gobierno desde dentro, con tu equipo, de forma agnóstica de proveedor y dejando el conocimiento instalado. Lo medimos en NPS, P&L y curva de adopción, no en entregables. — Rafael Tamames, fundador de Vivid Vision (Top Voice de LinkedIn en IA, fundador de Findasense).

Si quieres saber por dónde empezar con tus sistemas, nuestro punto de partida es un pre-diagnóstico de gobernanza de IA: mapeamos tus sistemas en producción, sus riesgos y las prioridades de cumplimiento frente al AI Act y DORA.

Preguntas frecuentes

¿Cuándo entra en vigor el AI Act?

El AI Act entró en vigor el 1 de agosto de 2024, pero su aplicación es escalonada. Las prácticas prohibidas se aplican desde febrero de 2025, las obligaciones de los modelos de propósito general desde agosto de 2025, y las de los sistemas de alto riesgo desde el 2 de agosto de 2026. Por eso la preparación debe empezar con margen.

¿A qué empresas aplica el Reglamento Europeo de IA?

Aplica a toda organización que desarrolle, comercialice o utilice sistemas de IA en la Unión Europea, esté establecida o no en ella. Alcanza tanto al proveedor que crea el sistema como al responsable que lo despliega en su operación, lo que en la práctica incluye a la mayoría de las empresas que usan IA en banca, seguros, salud, RR. HH. o industria.

¿Cuáles son las sanciones por incumplir el AI Act?

Las multas llegan hasta 35 millones de euros o el 7 % de la facturación anual mundial —lo que sea mayor— por usar prácticas de IA prohibidas. Para otras infracciones, hasta 15 M€ o el 3 %, y hasta 7,5 M€ o el 1 % por facilitar información incorrecta a las autoridades, según el artículo 99 del reglamento.

¿Qué es un sistema de IA de alto riesgo?

Es un sistema cuyo uso puede afectar a la seguridad o a los derechos fundamentales de las personas: scoring crediticio, selección de personal, seguros de vida y salud, educación, biometría o gestión de infraestructuras críticas. Estos sistemas concentran la mayor parte de las obligaciones del AI Act: gestión de riesgos, documentación, supervisión humana y trazabilidad.

¿Necesito un responsable de IA en mi empresa?

Si ya tienes sistemas de IA tomando decisiones en producción, necesitas asignar la responsabilidad ejecutiva sobre su gobernanza y riesgo, sea un Chief AI Officer (CAIO) dedicado o un rol equivalente. El AI Act exige supervisión humana y rendición de cuentas, lo que en la práctica requiere una figura clara que responda por el cumplimiento y la operación de la IA.

Lecturas relacionadas: ISO 42001, el estándar de gestión de IA — el marco que facilita demostrar el cumplimiento del AI Act —, cómo montar un marco de gobernanza de IA y qué es la AESIA, la autoridad que aplica el AI Act en España.

Fuentes: el texto oficial del Reglamento (UE) 2024/1689 (AI Act) en EUR-Lex y la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA). Esta guía es informativa y no constituye asesoramiento jurídico.