AI ActComplianceEmpresas

AI Act España 2026: guía ejecutiva de cumplimiento para empresas

El AI Act europeo (Reglamento UE 2024/1689) obliga por fases entre 2025 y 2027. Esta guía ejecutiva explica las cuatro categorías de riesgo, el calendario que aplica a empresas españolas, las multas reales (hasta 35 millones € o 7% de la facturación global) y un checklist de cumplimiento diferenciado por tamaño de empresa. Sin traducción del BOE: decisiones accionables.

12 min lectura Por Higini Moré
Aviso legal: Este artículo tiene fines exclusivamente informativos y divulgativos. No constituye asesoría legal ni sustituye la consulta con profesionales cualificados (abogados y DPO). La aplicación del Reglamento (UE) 2024/1689 a un caso concreto exige análisis particular. Para asesoría vinculante, consulte con un profesional colegiado.

¿Qué es el AI Act? Contexto 2026

El AI Act es el nombre común del Reglamento (UE) 2024/1689, aprobado por el Parlamento Europeo y el Consejo el 13 de junio 2024 y publicado en el DOUE el 12 de julio 2024. Primera regulación integral del mundo sobre IA con aplicación directa en los 27 estados miembros sin transposición nacional. España completa el marco institucional con AESIA (Agencia Española de Supervisión de IA, sede A Coruña) como autoridad nacional competente + desarrollos sectoriales coordinados con AEPD, Banco de España y autoridades sectoriales.

El reglamento adopta enfoque basado en riesgo: no regula toda la IA por igual, sino que clasifica sistemas según impacto potencial sobre derechos fundamentales, seguridad y salud. Segmentación cuádruple con densidad de obligaciones creciente (Art 5 prohibiciones absolutas → Anexo III alto riesgo → Art 50 transparencia limitado → mínimo). Un filtro de spam no se regula igual que un sistema que decide concesión de crédito o selección de personal. Benchmark sector: según estudio AESIA 2025, 68% PYMES españolas con IA en producción no tiene clasificación documentada a seis meses del deadline pleno de agosto 2026 — gap de cumplimiento material con exposición regulatoria creciente.

Alcance territorial. Afecta a empresas establecidas en la UE, pero también a empresas de fuera de la UE que comercializan sistemas de IA en el mercado europeo o cuyos outputs se usan en la UE. Una startup estadounidense que vende su SaaS de IA a clientes españoles debe cumplir AI Act igual que una empresa con sede en Madrid.

Autoridad en España — AESIA. La Agencia Española de Supervisión de Inteligencia Artificial, con sede en A Coruña, es la autoridad nacional competente. Coordina con el AI Office europeo y las autoridades sectoriales (AEPD en protección de datos, Banco de España en servicios financieros, entre otras).

Además del AI Act, las empresas españolas siguen sujetas a normativa concurrente: Ley Orgánica 3/2018 LOPDGDD, el RGPD (UE 2016/679) y la legislación sectorial aplicable (sanitaria, financiera, laboral). Un contexto complementario sobre el marco regulatorio global de IA generativa está en la guía completa de IA generativa para empresas 2026.

Las 4 categorías de riesgo del AI Act

El corazón del AI Act es la clasificación en cuatro niveles de riesgo con obligaciones diferenciadas. La clasificación correcta de tus sistemas IA es el primer trabajo de cumplimiento — sin esta pieza, todo lo demás (DPIA, FRIA, documentación técnica, registro UE) queda en el aire. Framework operativo Genai Sapiens Consulting en 3 pasos: (1) inventario sistemas IA en producción + shadow IT; (2) clasificación vía Semáforo AI Act o peer review legal; (3) plan de cierre documental por categoría con deadline 2 de agosto 2026. So what: priorizar siempre por nivel de riesgo identificado — cualquier sistema Cat III alto riesgo arrastra DPIA + FRIA + HITL significativa + registro UE y bloquea comercialización hasta estar cerrado.

1. Riesgo inaceptable (prohibido)

Sistemas que atentan contra derechos fundamentales y están expresamente prohibidos desde el 2 de febrero de 2025. El artículo 5 del reglamento enumera prácticas como:

  • Social scoring por autoridades públicas o con fines generales (al estilo de sistemas de puntuación social estatales).
  • Manipulación subliminal o aprovechamiento de vulnerabilidades (edad, discapacidad, situación socioeconómica).
  • Identificación biométrica remota en tiempo real en espacios públicos por parte de las fuerzas del orden, salvo excepciones tasadas (búsqueda de víctimas, amenazas terroristas inminentes) con autorización judicial.
  • Predicción de comportamiento criminal basada exclusivamente en perfilado.
  • Extracción masiva no dirigida de imágenes faciales de internet o CCTV para construir bases de datos de reconocimiento facial.
  • Inferencia de emociones en entornos laborales y educativos (salvo razones médicas o de seguridad).

Cualquier uso de estos sistemas conlleva las multas máximas.

2. Alto riesgo

Sistemas permitidos pero con obligaciones estrictas. El Anexo III del reglamento lista los ámbitos considerados alto riesgo:

  • Infraestructuras críticas (transporte, agua, energía, sanidad).
  • Educación y formación profesional (admisión, evaluación, detección de trampas).
  • Empleo y gestión de trabajadores (reclutamiento, selección, promoción, despido, monitorización).
  • Servicios esenciales públicos y privados (evaluación de crédito, scoring, seguros de vida/salud, asignación de prestaciones).
  • Aplicación de la ley (evaluación de riesgo, detección de fraude, polígrafos).
  • Migración, asilo y control de fronteras.
  • Administración de justicia y procesos democráticos (asistencia a jueces, verificación electoral).
  • Productos sanitarios con IA (diagnóstico, decisión clínica asistida) — intersección con MDR 2017/745. Contexto aplicado en la guía de IA en medicina para clínicas privadas.

Obligaciones: sistema de gestión del riesgo, gobernanza de datos, documentación técnica, registro de actividad (logs), transparencia e información al usuario, supervisión humana, precisión y ciberseguridad, evaluación de la conformidad antes de comercialización, registro en base de datos UE. Entran en vigor el 2 de agosto de 2026 (salvo los sistemas Anexo II, que tienen plazos específicos).

3. Riesgo limitado (transparencia)

Sistemas con obligaciones de transparencia pero sin evaluación previa. Afecta especialmente a:

  • Chatbots y asistentes conversacionales: el usuario debe saber que interactúa con una IA.
  • Deepfakes y contenido generado o manipulado por IA: etiquetado obligatorio.
  • Sistemas de reconocimiento de emociones o categorización biométrica en usos permitidos.
  • Sistemas de IA generativa (imagen, vídeo, audio, texto) en contextos donde el destinatario pueda confundirlo con contenido humano.

La mayoría de chatbots empresariales caen aquí: solo obligación de informar al usuario y, en contenido generado, etiquetar. Entran en vigor el 2 de agosto de 2026.

4. Riesgo mínimo

Todo lo demás: filtros de spam, IA en videojuegos, sistemas de recomendación no críticos, búsqueda semántica interna, asistentes de redacción, transcripción genérica. No hay obligaciones específicas del AI Act — sí las aplicables por RGPD u otras normativas. La Comisión Europea fomenta la adhesión voluntaria a códigos de conducta para esta categoría, pero no es obligatorio.

Matriz AI Act — categorías × ejemplos × obligaciones × fechas
CategoríaEjemplos empresarialesObligaciones claveEntrada en vigor
InaceptableSocial scoring, manipulación subliminal, reconocimiento emociones laboralProhibición total2 feb 2025
Alto riesgoSelección personal, scoring crédito, diagnóstico clínico IA, justicia asistidaGestión riesgo, DPIA/FRIA, logging, supervisión humana, registro UE2 ago 2026 (Anexo III)
LimitadoChatbots, deepfakes, IA generativa texto/imagen, reconocimiento emociones (permitido)Transparencia (informar usuario, etiquetar contenido)2 ago 2026
MínimoFiltros spam, IA en videojuegos, recomendación no crítica, transcripciónNinguna específica (voluntario)No aplica

Fuente: Reglamento (UE) 2024/1689 — artículos 5 y Anexos II-III

Fechas clave de entrada en vigor

El AI Act se aplica escalonadamente. Conocer el calendario es clave para priorizar el trabajo de cumplimiento:

  1. 1 de agosto de 2024 — Publicación en DOUE y entrada en vigor formal del reglamento (aplicación progresiva).
  2. 2 de febrero de 2025 — Prohibiciones (Cap. II) y obligaciones de alfabetización en IA (art. 4). Cualquier sistema categoría inaceptable debe estar retirado.
  3. 2 de agosto de 2025 — Obligaciones para modelos de IA de propósito general (GPAI, Cap. V): transparencia, resúmenes de datos de entrenamiento, cumplimiento de derechos de autor. Afecta a proveedores como OpenAI, Anthropic, Google o Mistral.
  4. 2 de agosto de 2026 — Obligaciones para sistemas de alto riesgo (Anexo III) y transparencia (Cap. IV). La gran mayoría de empresas necesita tener sus sistemas clasificados y documentados para esta fecha.
  5. 2 de agosto de 2027 — Full compliance: sistemas alto riesgo del Anexo II (productos regulados, ej. dispositivos médicos), obligaciones completas para GPAI preexistentes, cierre del marco.

Fuente oficial: artículo 113 del Reglamento (UE) 2024/1689. Briefing complementario en European Parliament.

¿Cómo afecta a tu empresa?

El nivel de obligación depende más del uso que del tamaño — pero el tamaño determina el esfuerzo operativo razonable.

PYME (menos de 50 empleados)

La mayoría de las PYMES usan IA de riesgo mínimo o limitado: chatbots web, asistentes de redacción, copilots, herramientas SaaS con IA integrada. Obligaciones mínimas realistas:

  • Transparencia en chatbots y contenido generado — avisos claros al usuario.
  • Política interna de uso de IA — qué herramientas se permiten, qué datos pueden entrar en prompts (nunca datos personales sensibles sin análisis previo).
  • Alfabetización en IA (art. 4): el personal que usa IA debe tener formación básica adecuada.
  • Contratos con proveedores: DPA firmado, residencia EU cuando sea posible, cláusula de cumplimiento AI Act.

Si la PYME desarrolla IA propia (no solo la usa), escalar proporcionalmente: clasificación de riesgo del producto, documentación mínima, logging. Un ejemplo de diseño compliance-aware desde el minuto cero está en la guía para crear un agente de IA paso a paso.

Empresa mediana (50-250 empleados)

Añadir a lo anterior:

  • Auditoría interna de todos los sistemas de IA en uso (shadow AI incluido).
  • Clasificación de riesgo de cada sistema según Anexos II-III.
  • Documentación técnica para sistemas alto riesgo.
  • DPO o figura equivalente si el tratamiento lo exige por RGPD.
  • Registro interno de sistemas con fines de trazabilidad.
  • Evaluación FRIA (Fundamental Rights Impact Assessment) para sistemas de alto riesgo del art. 27.

Es la franja de mayor complejidad: pueden tener sistemas de alto riesgo (p. ej. screening de CVs en RRHH) sin saberlo.

Enterprise (más de 250)

Lo anterior más:

  • Compliance programme formal con responsable designado (CAIO o equivalente).
  • Sistema de gestión del riesgo documentado (ISO/IEC 42001 como referencia internacional).
  • DPIA + FRIA obligatorios en alto riesgo.
  • Registro en la base de datos UE para sistemas alto riesgo antes de comercialización.
  • Evaluación de conformidad (interna o externa según el caso).
  • Monitorización post-mercado y reporte de incidentes graves a AESIA.
  • Formación específica por rol (legal, técnico, producto, negocio).

Checklist de cumplimiento 2026

Diez acciones accionables aplicables transversalmente. Orden recomendado:

  1. Inventario de sistemas de IA en uso o desarrollo, incluyendo los que usan los departamentos sin gobierno central (shadow AI).
  2. Clasificación de riesgo de cada sistema aplicando los Anexos II-III del reglamento.
  3. Confirmación de ausencia de categoría inaceptable — si algo entra ahí, plan de retirada inmediato.
  4. Revisión contractual con proveedores de IA cloud: DPA, residencia de datos, cláusulas AI Act.
  5. Política interna de uso de IA aprobada y comunicada al personal.
  6. Formación básica en IA (art. 4) para todo el personal que la use.
  7. Documentación técnica para sistemas alto riesgo.
  8. DPIA y FRIA donde apliquen.
  9. Logging auditable de decisiones relevantes tomadas con apoyo de IA.
  10. Canal de reporte de incidentes interno y procedimiento de escalado a AESIA.

Para verticales con exposición alta (legal, sanitario, financiero), cruzar este checklist con la comparativa de herramientas IA para despachos de abogados y con los casos de éxito que ya aplican este marco.

Multas y sanciones

El artículo 99 del AI Act establece un régimen sancionador escalonado. Las cuantías son las máximas — las autoridades aplicarán proporcionalidad según gravedad, duración, reincidencia y tamaño de la empresa.

Régimen sancionador AI Act — infracciones × cuantía × % facturación × artículo
Tipo de infracciónCuantía máxima% facturación mundial anualArt. referencia
Prácticas prohibidas (cat. inaceptable)35 M€7%Art. 99.3
Incumplimiento obligaciones alto riesgo, transparencia, gobernanza15 M€3%Art. 99.4
Información incorrecta/engañosa a autoridades7,5 M€1%Art. 99.5
Incumplimiento GPAI (proveedores modelos fundacionales)15 M€3%Art. 101

Fuente: Reglamento (UE) 2024/1689 — artículos 99-101

PYMES y startups. El reglamento prevé la aplicación de la cuantía menor (importe fijo o porcentaje) entre las dos opciones — matiz importante que protege a empresas pequeñas frente a multas desproporcionadas. Referencia: art. 99.6 del Reglamento (UE) 2024/1689.

¿Qué debes hacer ahora?

Cinco pasos operativos para empresas que aún no han iniciado el trabajo de cumplimiento:

1. Audit interno (2-4 semanas). Inventariar todos los sistemas de IA en uso y desarrollo. Herramientas SaaS con IA integrada cuentan. Entrevistar a responsables de área. Salida: registro con nombre del sistema, proveedor, uso, datos tratados, responsable interno.

2. Clasificar por riesgo (1-2 semanas). Aplicar Anexos II-III del reglamento. Marcar cualquier sistema dudoso para revisión legal cualificada.

3. Documentar (4-8 semanas según volumen). Para sistemas alto riesgo: ficha técnica, sistema de gestión de riesgo, DPIA/FRIA, medidas de supervisión humana. Para transparencia: avisos en chatbots y contenido generado.

4. Implementar (continuo). Política interna aprobada, formación, contratos revisados, logging activado, canal de incidentes operativo.

5. Revisar (anual). El AI Act evolucionará con guías de la Comisión y directrices AESIA. Auditoría anual mínima del registro interno y actualización. Consulta también la página oficial de la Comisión Europea para actualizaciones normativas.

Si tu empresa tiene sistemas que podrían caer en alto riesgo (scoring de clientes, selección de personal con IA, diagnóstico clínico asistido, gestión de crédito), el plazo útil para cumplir antes del 2 de agosto de 2026 es ajustado. Empezar en 2026 no es urgente — es necesario. Si necesitas apoyo técnico especializado, en Expertos Claude Code trabajamos con equipos que integran compliance AI Act desde el diseño.

Preguntas frecuentes sobre el AI Act en España

¿El AI Act afecta a mi PYME?
Sí, pero de forma proporcionada. Si solo usas herramientas SaaS con IA (ChatGPT, Claude, chatbots, copilots), tus obligaciones son principalmente de transparencia, alfabetización del personal (art. 4) y diligencia contractual con proveedores. No necesitas sistema de gestión del riesgo ni DPIA salvo que entres en alto riesgo (selección de personal con IA, scoring de clientes, etc.).
¿Qué hace exactamente AESIA y cuándo contacta con empresas?
AESIA es la autoridad española de supervisión de IA, con sede en A Coruña. Sus funciones son: vigilancia del mercado, evaluación de sistemas alto riesgo, sanción de incumplimientos, coordinación con el AI Office europeo, y emisión de guías interpretativas. Contacta con empresas por denuncia, inspección proactiva o reporte de incidente grave. Para la mayoría de empresas es una autoridad a la que se reporta, no con la que se interactúa diariamente.
¿Necesito un DPO si uso IA generativa en mi empresa?
Depende del RGPD, no del AI Act directamente. Si tratas datos personales a gran escala, datos sensibles o realizas monitorización sistemática, el DPO es obligatorio por RGPD aunque no uses IA. Si usas IA generativa con datos personales, la figura del DPO suele ser necesaria o muy recomendable. El AI Act exige un responsable del sistema de gestión del riesgo para alto riesgo — que puede coincidir o no con el DPO.
¿ChatGPT o Claude son sistemas de alto riesgo?
Los modelos en sí (GPT-5, Claude 4, Gemini, Mistral Large) son modelos de propósito general (GPAI) — categoría específica del AI Act con obligaciones para los proveedores (OpenAI, Anthropic, Google, Mistral), vigentes desde agosto de 2025. El uso que haces de ellos en tu empresa es lo que determina la categoría: usarlos para redactar emails es riesgo mínimo o limitado; usarlos para seleccionar candidatos es alto riesgo y te convierte en deployer de un sistema alto riesgo.
¿Qué multa real puedo esperar como PYME si incumplo?
El régimen sancionador establece como máximo 35 millones € o 7% de la facturación global para las infracciones más graves. El artículo 99.6 establece que a PYMES y startups se aplica la cuantía menor entre importe fijo y porcentaje — lo que reduce significativamente la exposición real. Además, las autoridades aplican proporcionalidad: primera infracción por incumplimiento menor sin daño grave suele resolverse con requerimientos y plazos de subsanación antes de sanción.
¿Se aplica el RGPD además del AI Act?
Sí. Son regulaciones complementarias que coexisten. El RGPD regula el tratamiento de datos personales (licitud, transparencia, minimización, seguridad). El AI Act regula los sistemas de IA en cuanto tales (riesgo, gobernanza, documentación). Un mismo sistema puede estar sujeto a ambos: un screening de CVs con IA trata datos personales (RGPD) y es un sistema de alto riesgo del Anexo III (AI Act). En España añadir LOPDGDD 3/2018 y normativa sectorial.

¿Necesitas una evaluación de tu exposición al AI Act?

En Genai Sapiens Consulting trabajamos con empresas españolas para inventariar sistemas de IA, clasificar su riesgo según el Reglamento UE 2024/1689 y diseñar el programa mínimo viable de cumplimiento para 2026. Con AaaS retainer opcional para gobierno IA continuo y actualización normativa. Un diagnóstico gratuito te da una visión realista del trabajo por delante y del coste asociado.

Agenda un diagnóstico gratuito →

¿Buscas contexto aplicado por vertical? Revisa nuestros casos de éxito.