El AI Act Servicios Cómo trabajamos Planes Equipo Insights

Qué es el AI Act y qué obliga
a las empresas españolas

El AI Act (Reglamento UE 2024/1689 relativo a la inteligencia artificial) es la primera ley integral sobre IA en el mundo. Aprobado por el Parlamento Europeo en marzo de 2024 y en vigor desde agosto de ese año, establece un marco legal vinculante para cualquier empresa que desarrolle, distribuya o use sistemas de inteligencia artificial en territorio de la Unión Europea, incluyendo España.

Si tu empresa opera en España y utiliza IA —aunque sea a través de software de terceros— el AI Act te aplica. No es una cuestión de tamaño ni de sector: es una cuestión de si usas sistemas de IA que el Reglamento considera de riesgo significativo. Y la mayoría de empresas medianas y grandes los usa sin saberlo.



Por qué el AI Act es urgente ahora mismo

Muchas organizaciones siguen tratando el AI Act como una amenaza futura. Es un error que puede salir muy caro.

El Reglamento entró en vigor de forma escalonada. Desde agosto de 2025, la AESIA (Agencia Española de Supervisión de Inteligencia Artificial) ya puede iniciar investigaciones y emitir sanciones. Las multas son reales, no teóricas:

Tipo de infracción Multa máxima
Sistemas de IA prohibidos (riesgo inaceptable) 35 M€ o 7% facturación global
Incumplimientos de obligaciones para sistemas de alto riesgo 15 M€ o 3% facturación global
Información incorrecta facilitada a las autoridades 7,5 M€ o 1,5% facturación global

El plazo más importante para las empresas que usan IA de alto riesgo vence en agosto de 2026. A partir de esa fecha, los sistemas deben estar completamente adecuados: documentación técnica, evaluaciones de impacto, supervisión humana, sistemas de monitorización. No hay prórroga automática.


Qué clasifica el AI Act como sistema de IA

El Reglamento define un sistema de IA como cualquier sistema basado en modelos de aprendizaje automático o lógica estadística que, dados unos inputs, genera outputs —predicciones, recomendaciones, decisiones, contenidos— que pueden influir en entornos reales o virtuales.

Esta definición es amplia a propósito. Incluye herramientas que muchas empresas ya tienen contratadas:

  • Software de selección de candidatos (ATS) que filtra currículums o puntúa perfiles
  • Modelos de scoring crediticio o de seguros
  • Chatbots de atención al cliente con capacidad de decisión
  • Sistemas de análisis del rendimiento de empleados
  • Herramientas de detección de fraude
  • Algoritmos de fijación de precios dinámicos

Si tu empresa usa alguna de estas herramientas —aunque las haya desarrollado un proveedor externo— puede estar dentro del ámbito de aplicación del AI Act. El origen del software no elimina tu responsabilidad como operador.


La clasificación de riesgo: el núcleo del AI Act

El Reglamento organiza todos los sistemas de IA en cuatro niveles de riesgo. Tu nivel de obligaciones depende de en qué categoría caiga cada sistema que uses.

Prohibido
Riesgo inaceptable
Usos completamente prohibidos: manipulación subliminal, puntuación social, identificación biométrica en tiempo real en espacios públicos, inferencia de emociones en entornos laborales. Sanción máxima aplicable.
Alto riesgo
Riesgo alto
Sistemas en RRHH, servicios financieros, sanidad, infraestructuras críticas, educación. Obligaciones extensas: documentación técnica, supervisión humana, registro de eventos, evaluación de impacto.
Limitado
Riesgo limitado
Chatbots generales, generadores de imágenes. Obligaciones centradas en transparencia: los usuarios deben saber que interactúan con una IA.
Mínimo
Riesgo mínimo
Filtros de spam, asistentes de autocompletar. Sin obligaciones específicas, aunque se recomiendan códigos de conducta voluntarios.

Los ocho ámbitos de alto riesgo que más afectan a empresas en España

El Reglamento define ocho ámbitos concretos donde un sistema de IA se considera automáticamente de alto riesgo. Para empresas medianas y grandes en España, los más frecuentes son:

  • Empleo y gestión de trabajadores: ATS, sistemas de evaluación del desempeño, IA que influye en ascensos o despidos. Este es el ámbito que más empresas tienen sin identificar.
  • Servicios públicos esenciales: scoring crediticio, suscripción de seguros de vida y salud, acceso a prestaciones. Afecta directamente a entidades financieras y aseguradoras.
  • Infraestructuras críticas: energía, agua, transporte. Cualquier IA que gestione o monitorice estos sistemas.
  • Educación y formación: sistemas de admisión y evaluación del rendimiento de estudiantes.

Qué obliga el AI Act a las empresas con sistemas de alto riesgo

Si uno o más de los sistemas que usas caen en la categoría de alto riesgo, el AI Act impone un conjunto de obligaciones concretas y verificables por la AESIA:

1. Sistema de gestión del riesgo

Un proceso continuo de identificación, análisis y mitigación de riesgos para cada sistema. No es un documento que se firma una vez: es un proceso vivo que debe actualizarse.

2. Gobernanza de datos

Los datos usados para entrenar o alimentar el sistema deben ser relevantes, representativos y estar libres de sesgos no justificados. Debes poder documentarlo.

3. Documentación técnica (Anexo IV)

Cada sistema de alto riesgo necesita un expediente técnico completo: descripción del sistema, propósito, arquitectura, datos, métricas de rendimiento y procedimientos de prueba. Este expediente debe estar disponible para las autoridades supervisoras.

4. Registro de eventos (logs)

El sistema debe registrar automáticamente sus operaciones. Si el sistema tomó o influyó en una decisión sobre una persona, debe haber trazabilidad de ello.

5. Transparencia hacia el operador

La entidad que usa el sistema debe recibir información suficiente para entender qué hace, cuáles son sus limitaciones y cómo interpretarlo correctamente.

6. Supervisión humana

Deben existir mecanismos que permitan a personas físicas supervisar, intervenir, corregir, suspender o desconectar el sistema. La IA no puede tomar decisiones de alto impacto sobre personas sin posibilidad de revisión humana significativa.

7. Exactitud, robustez y ciberseguridad

El sistema debe funcionar según los niveles de exactitud declarados, ser resiliente a errores y a intentos de manipulación, y estar protegido frente a amenazas de seguridad.

8. Registro en la base de datos de la UE

Antes de poner en servicio un sistema de alto riesgo, debes registrarlo en la base de datos europea de sistemas de IA gestionada por la Comisión Europea.


Las responsabilidades según tu rol en la cadena

El AI Act distingue cuatro roles con obligaciones distintas. Es importante identificar cuál es el tuyo —o si tienes más de uno:

Rol Quién es Obligaciones principales
Proveedor Quien desarrolla el sistema y lo pone en el mercado Mayor carga de obligaciones técnicas y de conformidad
Operador Quien usa el sistema en su organización Supervisión humana, información a empleados/usuarios, gestión del riesgo en su contexto
Importador Quien introduce en la UE un sistema desarrollado fuera Verificar que el proveedor cumple; registrarlo si es necesario
Distribuidor Quien comercializa sistemas de terceros sin modificarlos Obligaciones de verificación y documentación más ligeras

La mayoría de empresas medianas y grandes en España son operadoras: usan sistemas desarrollados por proveedores de software (Workday, SAP, Salesforce, etc.). Eso no las exime. El operador tiene obligaciones propias e independientes de las del proveedor.


Qué deberían hacer las empresas españolas ahora

El punto de partida es siempre el mismo: saber qué sistemas de IA usas y cómo los clasificaría el AI Act.

Muchas empresas se sorprenden cuando hacen el primer inventario. El ATS que contrataron hace tres años para agilizar la selección, el sistema de scoring que usan en el departamento financiero, el software de analítica de rendimiento que implantó RRHH — todos pueden estar en el radar regulatorio.

Una vez tienes el mapa, el proceso de adecuación es más estructurado de lo que parece:

  • Inventario de sistemas de IA en uso
  • Clasificación de riesgo de cada sistema
  • Análisis de brechas respecto a las obligaciones aplicables
  • Generación de documentación técnica (Anexo IV)
  • Implementación de controles de supervisión humana
  • Formación interna para los equipos que operan los sistemas
  • Registro en la base de datos europea

Es trabajo, pero es ejecutable con el método adecuado. Los programas bien ejecutados tardan entre cuatro y cinco meses.

El momento importa. Las empresas que inician su programa de adecuación antes de una inspección están en una posición muy diferente a las que lo hacen durante ella. La AESIA valora la diligencia proactiva a la hora de graduar cualquier sanción.

Álvaro Menéndez
Álvaro Menéndez
CEO · Trust AI

Álvaro lidera Trust AI, consultoría especializada en cumplimiento del EU AI Act para empresas medianas y grandes que operan en España. Acompaña a directivos en la identificación de su exposición regulatoria y en la ejecución de programas de adecuación antes del plazo de agosto de 2026.

← Volver a todos los artículos