Semáforo AI Act 2026 — evalúa la categoría de riesgo de tu IA en 5 minutos

¿Qué es el Semáforo AI Act?

Herramienta gratuita de Genai Sapiens Consulting que condensa en 5 preguntas la clasificación de un sistema IA bajo el Reglamento UE 2024/1689 (AI Act). Cada respuesta actualiza el semáforo hacia verde (mínimo), ámbar (limitado) o rojo (alto riesgo o prohibido) y mapea a una de las 4 categorías formales del Reglamento.

No es asesoramiento jurídico. Es un puente operativo entre el texto legal denso — con referencias cruzadas a Anexos — y la pregunta ejecutiva que CEOs, CTOs y responsables compliance se hacen realmente: ¿en qué categoría cae mi sistema y qué tengo que tener firmado antes del 2 de agosto 2026? El output formato pirámide invertida permite llevar la conversación al despacho legal con la decisión pre-estructurada — menos horas de billing, menos rework. Benchmark sector: según estudio AESIA 2025, 68% PYMES españolas con sistema IA en producción no tiene clasificación AI Act documentada a seis meses del deadline.

El marco regulatorio completo está en el BOE — publicación DOUE del AI Act y en la sede de AESIA, autoridad nacional competente en España. Para contexto profundo revisa nuestra guía de cumplimiento AI Act España 2026.

Las 5 preguntas críticas del Semáforo

Cada pregunta es binaria (sí/no) y diseñada para respuesta sin consulta al Reglamento. Regla conservadora: si dudas, respuesta NO hasta documentarlo formalmente con peer review legal. El sistema cromático 🔴 🟠 🟢 mapea cada respuesta a su efecto sobre la categoría final. Las 5 preguntas cubren los 4 ejes clasificatorios del AI Act: (1) uso finalista — derechos fundamentales + sector Anexo III (salud, justicia, empleo, crédito, educación, fronteras); (2) datos procesados — biometría + RGPD Art 9 categorías especiales; (3) gobernanza operativa — supervisión humana significativa Art 14; (4) documentación formal — DPIA + FRIA + reporte técnico Art 11-12; (5) rol contractual — proveedor vs deployer. So what: la prioridad siempre es la categoría de mayor riesgo identificada — cualquier "sí" en P1 o P2 escala a Cat III aunque el resto sean benignas.

5 preguntas del Semáforo AI Act — efecto sobre la categorización final

#	Pregunta	Efecto Semáforo
P1	¿Tu sistema toma decisiones autónomas que afectan derechos fundamentales (empleo, educación, crédito, justicia, asilo)?	🔴 SÍ → posible Cat II alto riesgo (Anexo III) · 🟢 NO → seguir
P2	¿Procesa datos biométricos, de salud u otras categorías especiales RGPD Art 9?	🔴 SÍ → posible Cat II / riesgo Art 5 · 🟢 NO → seguir
P3	¿Existe HITL (Human-in-the-Loop) inviolable en decisiones críticas del sistema?	🟢 SÍ → mitiga riesgo Cat II · 🟠 NO + Cat II = non-compliant
P4	¿Documentas DPIA (RGPD Art 35), FRIA (AI Act Art 27) y reporte técnico (Art 11)?	🟢 SÍ → gobernanza OK · 🟠 NO → pendiente Cat II/III
P5	¿Has clasificado formalmente tu sistema en una categoría AI Act?	🟢 SÍ → clasificación formal · 🟠 NO → pendiente evaluación

Fuente: Genai Sapiens Consulting — framework Semáforo AI Act 2026

Las cinco preguntas cubren los cuatro ejes que el AI Act utiliza para clasificar un sistema: (1) el uso finalista — derechos fundamentales y sector Anexo III, (2) la naturaleza de los datos procesados — biometría y categorías RGPD Art 9, (3) la gobernanza operativa — supervisión humana significativa Art 14, (4) la documentación formal — DPIA, FRIA, reporte técnico Art 11-12, y (5) la clasificación interna como obligación de proveedor o deployer.

Resultado: ¿qué categoría AI Act eres?

El Reglamento UE 2024/1689 define cuatro categorías con obligaciones de densidad creciente. Tu combinación de respuestas del Semáforo te sitúa en una de ellas. La tabla resume obligaciones principales y fechas de aplicación.

4 categorías AI Act + ejemplos + obligaciones principales

Categoría	Ejemplos típicos	Obligaciones principales + fecha aplicación
Cat I — PROHIBIDO	Manipulación subliminal, scoring social, predicción delictiva, scraping biométrico masivo, reconocimiento emociones en workplace/educación	Directamente prohibido. Multas hasta 35 M€ o 7 % facturación global. Aplica desde 02-feb-2025.
Cat II — ALTO RIESGO	Anexo III: empleo (RRHH), educación, crédito, justicia, infraestructura crítica, biometría, asilo, servicios esenciales	Gestión riesgos (Art 9), datos governance (Art 10), documentación técnica (Art 11), registro eventos (Art 12), transparencia (Art 13), HITL supervisión humana (Art 14), exactitud (Art 15), FRIA deployer (Art 27), registro EU BD (Art 49-71). Aplica 02-ago-2026.
Cat III — LIMITADO (transparencia)	Chatbots, generación de contenido sintético (deepfakes, imágenes, audio, vídeo), sistemas que interactúan con personas físicas	Transparencia Art 50: informar al usuario que habla con IA y etiquetar contenido sintético. Aplica 02-ago-2026.
Cat IV — MÍNIMO	Filtros de spam, IA en videojuegos, recomendaciones triviales, búsqueda interna no crítica	Código de conducta voluntario. AI literacy Art 4 aplica desde 02-feb-2025 a TODAS las categorías.

Fuente: Reglamento UE 2024/1689 AI Act — Arts 5, 9-15, 26-27, 49-71, 50. Guidelines CE feb 2025.

La obligación de AI literacy Art 4 aplica desde el 2 de febrero de 2025 a todas las categorías y a todos los actores — proveedor, deployer, distribuidor, importador. Es el requisito más frecuentemente omitido en inventarios de compliance IA porque no depende de la categoría; es un deber transversal del empleador y del responsable operativo del sistema.

Árbol de decisión visual — 5 preguntas a categoría

El siguiente diagrama representa el flujo de decisión que aplica el Semáforo: desde la pregunta 1 (P1) sobre derechos fundamentales hasta el resultado final en una de las cuatro categorías AI Act. La lógica prioriza siempre la categoría de mayor riesgo identificada — si cualquier pregunta escala a Cat III (alto riesgo), el resultado es Cat III aunque las demás respuestas parezcan benignas.

Árbol de decisión Semáforo AI Act: P1 decisiones autónomas derechos fundamentales → sí=Cat III alto riesgo; P2 datos biométricos/salud → sí=Cat III; P3 HITL inviolable → no=Cat II limitado; P4 DPIA/FRIA documentado → no=Cat II; P5 categoría clasificada → sí=Cat I mínimo compliance OK, no=Cat II pendiente — Árbol de decisión del Semáforo AI Act — 5 preguntas binarias → 4 categorías formales del Reglamento UE 2024/1689.

Este árbol es intencionadamente conservador: prioriza la categoría de mayor riesgo detectada en lugar de promediar respuestas. El objetivo es minimizar falsos negativos — clasificar como Cat IV un sistema que realmente es Cat II puede suponer hasta 35 M€ o 7 % de facturación en multas bajo el Art 99 del Reglamento.

Evaluación interactiva — informe personalizado

Responda 10 preguntas sobre su sistema IA y obtenga un informe PDF personalizado con clasificación por categoría AI Act, obligaciones concretas aplicables y timeline de cumplimiento 2025-2027. Las respuestas se procesan en su navegador — no se envían a ningún servidor, sin email gate, sin tracking.

Evaluación interactiva personalizada — 3 minutos

Responda 10 preguntas sobre su sistema IA y obtenga un informe PDF personalizado con su nivel de riesgo AI Act, obligaciones específicas y timeline de cumplimiento.

Clasificación por categoría (Cat I-IV) per Reglamento UE 2024/1689
Obligaciones concretas aplicables a su caso
Timeline 2025-2027 con fechas AI Act vinculantes
PDF descargable para compartir con su equipo legal

Sin email gate. Sin tracking. Respuestas se procesan en su navegador — no se envían a ningún servidor.

Descarga el framework completo en PDF (versión estática)

El PDF de 2 páginas recoge las 5 preguntas, la tabla de 4 categorías + obligaciones, un plan de próximos 90 días y las fuentes oficiales citables (EUR-Lex, BOE, AESIA, AEPD, EDPB, Commission guidelines). Es el documento para compartir con tu equipo legal interno o con tu despacho externo. Sin formularios ni gate de email — descarga directa.

Semáforo AI Act 2026 — Framework PDF descargable

2 páginas · 7 KB · PDF libre. Las 5 preguntas + tabla de categorías + plan 90 días + fuentes oficiales citables. Versión 1.0 — abril 2026. Sin email gate, sin tracking, descarga directa.

Descargar PDF Semáforo AI Act (2 páginas) ↓

Para contexto jurídico profundo revisa el post AI Act España 2026 o la versión consolidada del Reglamento en EUR-Lex.

Cómo te ayuda Genai Sapiens Consulting con el cumplimiento

El Semáforo te da la categoría. Implementar las obligaciones — DPIA, FRIA, runbook HITL, documentación técnica Art 11, registro EU BD, vigilancia post-mercado — es trabajo real que lleva entre 2 y 8 semanas según el tamaño y el número de sistemas IA en uso. Estos son los tres paquetes que entregamos en GSC:

Audit inicial AI Act (1-2 semanas, 2.500-4.500 €) — inventario de sistemas IA, clasificación formal por sistema, gap analysis frente a obligaciones aplicables, priorización 30/60/90 días.
Paquete DPIA + FRIA + HITL runbook (2-3 semanas, 4.500-7.500 €) — DPIA RGPD Art 35, FRIA AI Act Art 27, runbook HITL con responsables identificados, política de purga, matriz de accesos — todo entregado como activo propiedad del cliente.
Implementación compliance end-to-end (6-10 semanas, 12.000-28.000 €) — documentación técnica Art 11, registro eventos Art 12, instrucciones uso Art 13, medidas HITL Art 14, integración con stack existente, formación del equipo (AI literacy Art 4).

Para implementaciones sectoriales específicas revisa el vertical Drwide para clínicas privadas (Cat II medical), el post Drwide implementación 2026 o nuestro IaaS de desarrollo IA dedicado con compliance-first por diseño.

La AEPD publica guías específicas sobre IA y datos personales que complementan el AI Act — especialmente para sistemas que procesan datos RGPD Art 9 (salud, biometría). Las guidelines del EDPB sobre decisiones automatizadas son la referencia europea para HITL significativo Art 14.

Preguntas frecuentes sobre el Semáforo AI Act

¿Cuándo entra en vigor el AI Act en España?

El Reglamento UE 2024/1689 (AI Act) entró en vigor el 1 de agosto de 2024 con aplicación escalonada. Las prohibiciones (Cat I) aplican desde el 2 de febrero de 2025. Las obligaciones de governance y los modelos GPAI desde el 2 de agosto de 2025. Los sistemas de alto riesgo del Anexo III desde el 2 de agosto de 2026. Los sistemas de alto riesgo del Anexo I (productos regulados) desde el 2 de agosto de 2027. España designa a AESIA (Agencia Española de Supervisión de IA, La Coruña) como autoridad competente.

¿Qué categorías de riesgo define el Reglamento UE 2024/1689?

Cuatro categorías: Cat I Prohibido (manipulación subliminal, scoring social, predicción delictiva, scraping biométrico masivo, reconocimiento emociones workplace/educación) — directamente prohibido. Cat II Alto riesgo (Anexo III: empleo, educación, crédito, justicia, infraestructura crítica, biometría, asilo) — obligaciones Art 9-15. Cat III Riesgo limitado (chatbots, contenido sintético, sistemas que interactúan con personas) — transparencia Art 50. Cat IV Mínimo (filtros spam, videojuegos) — código de conducta voluntario.

¿Cómo saber si mi sistema de IA es de alto riesgo?

Dos vías: (1) Anexo I del Reglamento — sistemas IA incorporados a productos regulados por legislación sectorial (medical devices, maquinaria, automoción, aviación). (2) Anexo III — 8 áreas: biometría, infraestructura crítica, educación y formación profesional, empleo y gestión de trabajadores, acceso a servicios privados esenciales y públicos, law enforcement, migración y asilo, administración de justicia y procesos democráticos. Nuestro Semáforo evalúa las 5 preguntas core que te sitúan en la categoría correcta — para validación formal recomendamos peer review legal.

¿Qué obligaciones tiene un deployer vs un proveedor del sistema IA?

El proveedor (quien construye y pone en mercado el sistema) tiene las obligaciones del Art 16-29: sistema gestión riesgos, documentación técnica, supervisión humana por diseño, declaración CE, registro EU BD, vigilancia post-mercado. El deployer (quien usa el sistema en contexto profesional) tiene obligaciones Art 26-27: uso conforme instrucciones, supervisión humana operativa, FRIA (evaluación impacto en derechos fundamentales) si es sector público o alto impacto, cooperación con autoridades. Ambos comparten obligación AI literacy Art 4 ya vigente.

¿Qué multas puede imponer la AESIA bajo el AI Act?

Tres niveles: (1) prácticas prohibidas Art 5 — hasta 35 M€ o 7 % facturación anual mundial. (2) incumplimiento obligaciones sistemas alto riesgo Cat II — hasta 15 M€ o 3 %. (3) información incorrecta a autoridades — hasta 7,5 M€ o 1 %. Para PYMES y startups aplica el menor de los dos importes. AESIA es la autoridad nacional competente en España (sede La Coruña). Las obligaciones de supervisión y sanción aplican escalonadamente desde 02-feb-2025 (prohibiciones) hasta 02-ago-2027 (alto riesgo Anexo I).

¿Necesitas implementar compliance AI Act sin dolor?

Diagnóstico de 30 minutos gratuito con Higini Moré, fundador de Genai Sapiens Consulting — sin junior intermedio. Revisamos los sistemas IA en uso en tu empresa, clasificamos cada uno por categoría AI Act, identificamos gaps y te decimos si el paquete adecuado es un audit ligero, un DPIA+FRIA completo o una implementación end-to-end. Si no encaja, te lo decimos sin forzar la venta.

Agendar diagnóstico AI Act 30 min gratuito →

¿Prefieres contexto previo? Revisa el post AI Act España 2026 completo, el pricing transparente por tramo o escribe a Higini directamente.