EU AI Act: obligaciones y cumplimiento para empresas (guía 2026)
El Reglamento (UE) 2024/1689, conocido como EU AI Act, es la primera ley integral del mundo sobre inteligencia artificial. No regula la tecnología en abstracto, sino el riesgo que cada sistema de IA supone para la salud, la seguridad y los derechos fundamentales de las personas. Para cualquier empresa que desarrolle, comercialice o utilice IA en la Unión Europea, deja de ser un debate futuro: es un marco de obligaciones con plazos concretos y sanciones que alcanzan los 35 millones de euros o el 7 % de la facturación mundial.
Esta guía es el punto de partida. Explica, con base en el articulado, qué es el Reglamento, a quién se aplica, cómo clasifica los sistemas, qué obligaciones impone y en qué plazos. Cada apartado enlaza con un análisis en profundidad, para que pueda ir del panorama general al detalle que necesite.
Qué es el EU AI Act
El AI Act se publicó en el Diario Oficial de la Unión Europea el 12 de julio de 2024 y entró en vigor el 1 de agosto de 2024, con una aplicación escalonada que culmina, para la mayoría de obligaciones, el 2 de agosto de 2026. Su enfoque es el de la legislación de seguridad de producto europea: establece requisitos que un sistema debe cumplir antes de llegar al mercado y a lo largo de todo su ciclo de vida.
La lógica es un enfoque basado en el riesgo. En lugar de tratar toda la IA por igual, el Reglamento gradúa las obligaciones según el daño potencial: prohíbe unos pocos usos inaceptables, somete a un régimen exigente a los sistemas de «alto riesgo», impone obligaciones de transparencia a otros y deja libre la inmensa mayoría de aplicaciones de riesgo mínimo. Entender en qué categoría cae su sistema es, por tanto, la primera decisión de cumplimiento.
Su alcance, además, trasciende a Europa. Como ocurrió con el RGPD, muchas organizaciones internacionales adoptan el estándar europeo como referencia global para no fragmentar sus productos por mercados —el llamado «efecto Bruselas»—, de modo que el AI Act se está convirtiendo en una vara de medir más allá de la UE. Para una empresa europea, cumplirlo no es solo evitar sanciones: es un argumento de confianza ante clientes y socios.
A quién se aplica
El ámbito del AI Act es amplio y, en parte, extraterritorial. Alcanza tanto a los proveedores (quienes desarrollan un sistema de IA y lo comercializan o lo ponen en servicio bajo su nombre) como a los responsables del despliegue o deployers (quienes utilizan un sistema de IA bajo su autoridad en un contexto profesional). También afecta a importadores y distribuidores. Y se aplica a operadores establecidos fuera de la UE cuando los resultados de su sistema se utilizan dentro de la Unión.
Esta distinción entre proveedor y responsable del despliegue es decisiva, porque las obligaciones difieren: no es lo mismo construir un sistema de alto riesgo que utilizarlo. Muchas empresas descubren que son deployers de sistemas de terceros y que también tienen deberes propios. (Análisis: «A quién se aplica el AI Act: ámbito y sujetos obligados».)
Los cuatro niveles de riesgo
El Reglamento organiza toda la IA en cuatro categorías:
- Riesgo inaceptable: prácticas prohibidas (artículo 5). Están vetadas en la UE.
- Alto riesgo: sistemas del artículo 6 y del Anexo III. Sujetos al régimen más exigente.
- Riesgo de transparencia (limitado): sistemas que interactúan con personas o generan contenido, sujetos a obligaciones de información (artículo 50).
- Riesgo mínimo: el resto. Sin obligaciones específicas más allá de las buenas prácticas.
Clasificar correctamente su sistema condiciona todo lo demás. (Análisis: «Los 4 niveles de riesgo del AI Act explicados».)
Prácticas de IA prohibidas
El artículo 5 enumera los usos vetados por considerarse una amenaza inaceptable para los derechos fundamentales. Entre ellos figuran la manipulación subliminal o engañosa, la explotación de vulnerabilidades de colectivos por edad o discapacidad, la puntuación social, cierta IA policial predictiva individual, el rastreo masivo no dirigido de imágenes faciales, el reconocimiento de emociones en el trabajo y la educación, la categorización biométrica por atributos sensibles y la identificación biométrica remota en tiempo real en espacios públicos, salvo excepciones tasadas.
Estas prohibiciones son de aplicación temprana: rigen desde el 2 de febrero de 2025. Cualquier empresa debe verificar que ninguno de sus usos cae en esta lista. (Análisis: «Las 8 prácticas de IA prohibidas por el AI Act».)
Sistemas de alto riesgo: cuándo y cuáles
Un sistema es de alto riesgo en dos supuestos (artículo 6). Primero, cuando es un producto —o el componente de seguridad de un producto— ya cubierto por la legislación de armonización de la Unión del Anexo I y sujeto a evaluación de conformidad por terceros. Segundo, cuando pertenece a alguno de los ámbitos del Anexo III: biometría, infraestructuras críticas, educación, empleo y gestión de trabajadores, acceso a servicios esenciales (incluida la evaluación de solvencia y los seguros de vida y salud), aplicación de la ley, migración y asilo, y administración de justicia y procesos democráticos.
Existe una excepción importante: un sistema del Anexo III no será de alto riesgo si no plantea un riesgo significativo para la salud, la seguridad o los derechos —por ejemplo, si realiza una tarea procedimental limitada—, salvo que efectúe perfilado de personas, en cuyo caso siempre es de alto riesgo. El proveedor que considere que su sistema no es de alto riesgo debe documentar esa evaluación. (Análisis: «Cómo saber si tu IA es de alto riesgo» y las guías por sector del Anexo III.)
A modo de ejemplo, el Anexo III considera de alto riesgo la IA utilizada para cribar candidaturas y evaluar a candidatos en procesos de selección; para evaluar la solvencia de una persona o fijar su puntuación crediticia; para la tarificación y valoración de riesgos en seguros de vida y salud; para determinar el acceso a centros educativos o evaluar resultados de aprendizaje; para valorar la elegibilidad a ayudas y servicios públicos; o para asistir a las autoridades en migración, asilo y justicia. Si su empresa opera en alguno de estos ámbitos, la probabilidad de manejar un sistema de alto riesgo es elevada, y conviene analizarlo caso por caso.
Los requisitos de los sistemas de alto riesgo
Los sistemas de alto riesgo deben cumplir un conjunto de requisitos (Sección 2 del Capítulo III) que constituyen el núcleo del cumplimiento:
- Sistema de gestión de riesgos continuo, a lo largo de todo el ciclo de vida (artículo 9).
- Gobernanza y calidad de los datos de entrenamiento, validación y prueba (artículo 10).
- Documentación técnica que demuestre la conformidad, con el contenido del Anexo IV (artículo 11).
- Registros automáticos de eventos que garanticen la trazabilidad (artículo 12).
- Transparencia e instrucciones de uso para el responsable del despliegue (artículo 13).
- Supervisión humana efectiva, con capacidad real de intervención (artículo 14).
- Precisión, robustez y ciberseguridad adecuadas y sostenidas (artículo 15).
Cada uno de estos requisitos es una obligación exigible y auditable, y cada uno tiene su propio análisis en esta serie. Sobre ellos se articula, además, un sistema de gestión de la calidad (artículo 17). (Análisis: un artículo por cada requisito.)
Estos requisitos no son compartimentos estancos: se refuerzan entre sí. La gestión de riesgos determina qué medidas de supervisión humana y de robustez son necesarias; la gobernanza de datos condiciona la precisión del sistema; y todo ello debe quedar reflejado en la documentación técnica, que es la prueba escrita de la conformidad. En la práctica, el cumplimiento del alto riesgo se traduce en una carga de evidencia: no basta con hacer bien las cosas, hay que poder demostrarlo de forma ordenada y a demanda de la autoridad.
Roles y responsabilidades en la cadena de valor
El Reglamento reparte deberes a lo largo de la cadena. El proveedor de un sistema de alto riesgo asume el grueso de las obligaciones (artículo 16): garantizar el cumplimiento de los requisitos, elaborar la documentación, someter el sistema a evaluación de conformidad y registrarlo. El responsable del despliegue tiene deberes propios (artículo 26): usar el sistema conforme a las instrucciones, garantizar la supervisión humana y vigilar su funcionamiento; en ciertos casos debe realizar una evaluación de impacto en los derechos fundamentales (artículo 27). Importadores y distribuidores (artículos 23-24) verifican que el sistema cumple antes de ponerlo en el mercado, y los proveedores de fuera de la UE deben designar un representante autorizado (artículo 22).
Conocer su papel exacto —a menudo se es proveedor de unos sistemas y deployer de otros— es imprescindible para saber qué le corresponde. (Análisis: «Obligaciones del proveedor», «Obligaciones del deployer» y roles de la cadena.)
Evaluación de conformidad, marcado CE y registro
Antes de comercializar un sistema de alto riesgo, el proveedor debe demostrar su conformidad mediante el procedimiento del artículo 43. Según el sistema, la evaluación se realiza por control interno (Anexo VI) o con intervención de un organismo notificado (Anexo VII). Aplicar las normas armonizadas (artículo 40) otorga presunción de conformidad (artículo 42) y simplifica el proceso. Superada la evaluación, el proveedor emite la declaración UE de conformidad (artículo 47), coloca el marcado CE (artículo 48) y registra el sistema en la base de datos de la UE (artículo 49). Una modificación sustancial obliga a repetir la evaluación. (Análisis: «Evaluación de conformidad de un sistema de IA» y piezas relacionadas.)
Obligaciones de transparencia
Al margen del alto riesgo, el artículo 50 impone obligaciones de transparencia a ciertos sistemas: informar a las personas cuando interactúan con una IA (por ejemplo, un chatbot), y etiquetar el contenido generado o manipulado artificialmente, incluidos los deepfakes. Es una capa que afecta a muchas más empresas que las que operan sistemas de alto riesgo. (Análisis: «Obligaciones de transparencia para IA de riesgo limitado».)
Modelos de IA de propósito general (GPAI)
El Reglamento dedica un capítulo específico a los modelos de propósito general (artículos 51 a 56): los grandes modelos que sirven de base a múltiples aplicaciones. Sus proveedores tienen obligaciones de documentación y transparencia (artículo 53), reforzadas cuando el modelo presenta riesgo sistémico (artículo 55). Un Código de Buenas Prácticas (artículo 56) ayuda a demostrar el cumplimiento. Estas obligaciones son de aplicación desde el 2 de agosto de 2025. (Análisis: «Modelos de IA de propósito general (GPAI): obligaciones».)
Gobernanza y supervisión
El AI Act crea una arquitectura de supervisión a dos niveles. En la Unión, la Oficina Europea de IA (AI Office) supervisa, en particular, los modelos de propósito general, apoyada por un Comité y un panel científico. En cada Estado miembro, autoridades nacionales ejercen la vigilancia del mercado. En España, ese papel corresponde a la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con potestad para inspeccionar, requerir documentación y tramitar expedientes sancionadores. (Análisis: «AESIA y autoridades nacionales: quién supervisa en España».)
Sanciones
El régimen sancionador (artículo 99) es severo y proporcional a la gravedad. Las infracciones por prácticas prohibidas pueden alcanzar los 35 millones de euros o el 7 % de la facturación mundial anual; el incumplimiento de otras obligaciones, incluidas las de los sistemas de alto riesgo, hasta 15 millones o el 3 %; y facilitar información incorrecta a las autoridades, hasta 7,5 millones o el 1 %. Para pymes y startups se aplica el importe menor de entre la cifra fija y el porcentaje. Conviene recordar, además, que un mismo sistema puede infringir simultáneamente el AI Act y el RGPD. (Análisis: «Sanciones del AI Act: multas y cómo se calculan».)
Relación con el RGPD y otras normas
El AI Act no sustituye a la normativa existente: se superpone a ella. Un sistema de IA que trate datos personales queda sujeto también al RGPD, de modo que un mismo hecho puede activar sanciones bajo ambos marcos y ser supervisado por autoridades distintas. Los requisitos de ciberseguridad del artículo 15 se leen en coherencia con marcos como NIS2 para infraestructuras y servicios esenciales. Y en sectores regulados —banca, seguros, sanidad, automoción— las obligaciones del AI Act se integran con la normativa sectorial y su propia evaluación de conformidad, no la reemplazan. Cartografiar estos solapamientos desde el principio evita duplicar esfuerzos y, sobre todo, evita descubrir tarde una obligación cruzada. Para una empresa con una función de cumplimiento ya madura, la vía práctica es apoyar el AI Act sobre los controles que ya tenga, en lugar de construir un silo nuevo y aislado.
Calendario de aplicación
La aplicación es escalonada (artículo 113): las prohibiciones y la alfabetización en IA rigen desde febrero de 2025; las obligaciones de los modelos de propósito general y buena parte de la gobernanza, desde agosto de 2025; el grueso de las obligaciones de alto riesgo, desde el 2 de agosto de 2026; y ciertos sistemas de alto riesgo asociados a productos regulados, desde agosto de 2027. (Análisis: «Calendario de aplicación del AI Act 2025-2027».)
Errores comunes al abordar el AI Act
Al preparar el cumplimiento se repiten algunos tropiezos que conviene anticipar. El primero es asumir que no le aplica por ser solo usuario de IA de terceros: los responsables del despliegue también tienen obligaciones propias. El segundo es clasificar mal el sistema —dar por «riesgo mínimo» un uso que el Anexo III sitúa en alto riesgo— y descubrirlo cerca del plazo. El tercero es dejar la documentación técnica para el final, cuando es precisamente la evidencia que sostiene la evaluación de conformidad y que una autoridad puede exigir. El cuarto es tratar la conformidad como un hito único, olvidando que una modificación sustancial obliga a reevaluar y que el sistema de gestión de riesgos es continuo. Y el quinto, más de fondo, es confiar en estimaciones —«lo hemos probado mucho»— en lugar de en evidencia demostrable cuando llega la inspección.
Cómo prepararse: una hoja de ruta
Con independencia de su tamaño, el camino es reconocible. Primero, inventaríe los sistemas de IA que desarrolla o utiliza y asigne responsabilidades internas para el cumplimiento. Segundo, clasifique cada uno por nivel de riesgo. Tercero, para los de alto riesgo, cierre la brecha frente a los requisitos (gestión de riesgos, datos, documentación, supervisión humana, robustez). Cuarto, prepare la evaluación de conformidad y la documentación que la sustenta. Quinto, mantenga el cumplimiento: la conformidad se demuestra de forma continua, no solo el día del lanzamiento, e integrando la vigilancia poscomercialización. Los lead magnets de esta serie —checklist de conformidad, plantilla de documentación técnica y calendario de plazos— le ayudan a ejecutar cada paso.
El reto de fondo: demostrar el cumplimiento, no estimarlo
Hay una dificultad que atraviesa todo lo anterior. El AI Act exige demostrar la conformidad; sin embargo, las técnicas habituales para comprobar un sistema de IA —baterías de pruebas, evaluaciones adversarias, revisiones por muestreo— entregan por su naturaleza una estimación: reducen la incertidumbre, pero no la eliminan. Frente a una autoridad de vigilancia del mercado, la distancia entre «lo hemos probado mucho» y «es conforme, y aquí está la prueba» es la distancia entre un expediente sólido y uno frágil.
Deflank existe para cerrar esa brecha. A través de una metodología de verificación propia, convierte los requisitos aplicables en una prueba demostrable, reproducible y auditable de cumplimiento, en lugar de una estimación probabilística. Es una capa de gobernanza autohospedable y de despliegue soberano, pensada para entornos regulados que necesitan acreditar —no suponer— su conformidad. Nuestra promesa es deliberadamente sobria: la prueba, no la estimación. (El detalle de la metodología lo compartimos con clientes y evaluadores bajo el marco adecuado.)
Qué implica según el tamaño de su empresa
- Pyme: empiece por lo esencial —¿le aplica y en qué nivel?— y aproveche las medidas de apoyo previstas (acceso prioritario a sandboxes, tasas reducidas) y la proporcionalidad de las sanciones. La claridad y los plazos son sus aliados.
- Mediana empresa: el reto es sistematizar: montar la función de cumplimiento, los procesos y la documentación que soporten sus sistemas, con atención especial a su sector (RRHH, crédito, seguros).
- Gran empresa: con múltiples sistemas y jurisdicciones, el cumplimiento se integra en el gobierno del riesgo corporativo: evaluación de conformidad recurrente, obligaciones de GPAI si desarrolla modelos y exigencias de auditabilidad y soberanía de datos.
¿Necesita situar su empresa frente al AI Act? Descargue el checklist de conformidad o solicite un diagnóstico preliminar sin compromiso.
Enlaces internos: este pilar enlaza a los 50 análisis del cluster (niveles de riesgo, prácticas prohibidas, sectores de alto riesgo, requisitos técnicos, roles, conformidad, GPAI, sanciones y plazos).
Contenido informativo; no constituye asesoramiento jurídico. Fuente: Reglamento (UE) 2024/1689 y sus anexos.
Preguntas frecuentes
¿Qué es el EU AI Act?
Es el Reglamento (UE) 2024/1689, la primera ley integral de la UE sobre inteligencia artificial. Regula la IA según su nivel de riesgo e impone obligaciones a proveedores y responsables del despliegue.
¿A quién se aplica?
A proveedores, responsables del despliegue, importadores y distribuidores de sistemas de IA en la UE, incluidos operadores de fuera de la Unión cuando los resultados del sistema se usan dentro de ella.
¿Cuándo entra en vigor?
Entró en vigor el 1 de agosto de 2024, con aplicación escalonada: prohibiciones desde febrero de 2025, GPAI desde agosto de 2025 y el grueso de obligaciones de alto riesgo desde el 2 de agosto de 2026.
¿Qué es un sistema de IA de alto riesgo?
Un sistema que es producto o componente de seguridad regulado (Anexo I) o que pertenece a los ámbitos del Anexo III (biometría, empleo, crédito, servicios esenciales, justicia, etc.), salvo las excepciones del artículo 6.
¿Cuáles son las multas?
Hasta 35 M€ o el 7 % de la facturación mundial por prácticas prohibidas; hasta 15 M€ o el 3 % por incumplir otras obligaciones; hasta 7,5 M€ o el 1 % por información incorrecta a las autoridades.
¿Qué debo hacer primero?
Inventariar sus sistemas de IA y clasificarlos por nivel de riesgo. A partir de ahí se determinan las obligaciones concretas de cada uno.
Todos los análisis de este silo
- AESIA: qué es y cómo puede inspeccionar a su empresa
Qué es la AESIA, qué competencias tiene, desde cuándo puede sancionar y qué le exigirá a su empresa bajo el EU AI Act.
- Evaluación de conformidad de un sistema de IA: guía práctica
Qué es la evaluación de conformidad del EU AI Act, las dos rutas (control interno y organismo notificado) y cómo demostrarla. Guía para empresas.
- GPAI: obligaciones de los modelos de IA de uso general
Qué es un modelo GPAI, qué exige el AI Act a sus proveedores, cuándo hay riesgo sistémico y qué obligaciones tiene usted si integra un modelo de terceros.
- IA de alto riesgo en biometría: qué exige el AI Act
Cuándo un sistema biométrico es de alto riesgo según el AI Act (Anexo III.1), en qué se diferencia de los usos prohibidos y qué obligaciones aplican.