Cumplimiento del EU AI Act para empresas
La prueba, no la estimación.
El 2 de agosto de 2026 entran en aplicación las obligaciones de los sistemas de IA de alto riesgo. A partir de esa fecha, la AESIA puede requerirle documentación y proponer sanciones de hasta 35 millones de euros o el 7 % de su facturación mundial.
El Reglamento no le pide creer que cumple. Le pide demostrarlo. Deflank es la capa de gobernanza que convierte esa exigencia en evidencia auditable.
Lo que el AI Act le pide de verdad
Toda la norma converge en una palabra: evidencia.
- Artículo 43. Antes de comercializar, debe superar una evaluación de conformidad — por control interno o con organismo notificado.
- Artículo 11 y anexo IV. La documentación técnica es la prueba escrita de que el sistema cumple. Sin ella, no hay conformidad que acreditar.
- Artículos 9, 10, 12, 14 y 15. Gestión de riesgos continua, gobernanza de datos, trazabilidad, supervisión humana efectiva y solidez y ciberseguridad.
- Artículos 47 a 49. Declaración UE de conformidad, marcado CE y registro en la base de datos de la UE.
Y una exigencia que lo atraviesa todo: una modificación sustancial obliga a reevaluar. La conformidad no es un hito: es un estado que hay que mantener y volver a demostrar.
El hueco que dejan las alternativas
- La consultoría entrega un informe: cierto el día que se firma, envejecido al siguiente cambio del modelo.
- Los paneles de gobernanza registran lo que usted declara. Documentan la intención, no la realidad.
- Las evaluaciones y el red teaming entregan una estimación: «no conseguimos romperlo esta vez». Necesarios — pero no son una demostración.
Ante un inspector, la distancia entre «lo hemos probado mucho» y «es conforme, y aquí está la prueba» es la distancia entre un expediente sólido y uno frágil.
Qué obtiene
- Clasificación de sus sistemas: prohibido, alto riesgo, transparencia o mínimo. Con la evaluación documentada que el artículo 6 exige incluso cuando concluye que no es de alto riesgo.
- Expediente de conformidad completo: documentación técnica del anexo IV, gestión de riesgos, gobernanza de datos y registros de trazabilidad.
- Evidencia demostrable de supervisión humana, precisión, solidez y ciberseguridad — no un checklist marcado, sino una prueba reproducible que un tercero puede volver a verificar.
- Preparación ante la AESIA: el expediente ordenado y disponible a demanda, que es como se pide.
- Informe para el órgano de dirección.
Si usa modelos de terceros o agentes, esto también va con usted
Modelos de uso general (GPAI). Si integra un modelo de un tercero, necesita del proveedor la documentación del anexo XII para poder acreditar su propia conformidad. Y si realiza ajustes sustanciales, podría estar asumiendo obligaciones de proveedor del modelo sin saberlo.
Agentes de IA. El artículo 14 exige poder descartar, invalidar o revertir las salidas del sistema e interrumpirlo. En un agente que ya ha ejecutado una acción, eso es un requisito de diseño, no una opción de configuración. Los límites de un agente no pueden vivir en el prompt: deben ser externos al modelo y verificables.
Despliegue soberano
Deflank es autohospedable. Se despliega on-premise o en su nube privada, incluso en entornos aislados de la red. Sus modelos, sus datos y sus pruebas no salen de su perímetro — que en banca, sanidad, sector público o infraestructura crítica no es una preferencia, sino una condición.
Un solo marco para varias normas
Sus sistemas de IA rara vez están sujetos solo al AI Act:
- EU AI Act — alto riesgo, GPAI, transparencia.
- DORA — si es entidad financiera, sus modelos son servicios de TIC y su proveedor de IA, un proveedor tercero.
- NIS2 — ciberseguridad de entidades esenciales e importantes.
Abordarlas por separado multiplica el trabajo. Deflank las resuelve en un único marco de control.
Lo que está en juego (artículo 99)
| Infracción | Multa |
|---|---|
| Prácticas prohibidas | 35 M€ o el 7 % de la facturación mundial |
| Incumplir otras obligaciones (incluido alto riesgo) | 15 M€ o el 3 % |
| Información incorrecta a las autoridades | 7,5 M€ o el 1 % |
Frente a esa exposición, una suscripción de decenas de miles de euros es una póliza barata.
Empiece por saber dónde está
Diagnóstico del AI Act. Le decimos qué sistemas tiene, en qué categoría caen, qué le falta y qué puede demostrar hoy. Sin compromiso.
Preguntas frecuentes
¿Desde cuándo tengo que cumplir? Las prácticas prohibidas rigen desde febrero de 2025 y las obligaciones de los modelos de uso general desde agosto de 2025. El grueso de obligaciones de alto riesgo se aplica desde el 2 de agosto de 2026.
¿Y si concluyo que mi sistema no es de alto riesgo? El artículo 6 le obliga a documentar esa evaluación antes de comercializarlo, y a facilitarla a la autoridad si se la pide. La exención hay que probarla.
¿Deflank sustituye a mi asesor jurídico? No. El asesor interpreta la norma; Deflank demuestra el cumplimiento de forma continua y auditable. Son capas complementarias.
¿Puedo desplegarlo on-premise? Sí. Es autohospedable y funciona en entornos aislados de la red.
¿Sirve también para NIS2 y DORA? Sí. Es el mismo núcleo de verificación aplicado a distintas normas, en un único marco de control.
Enlaces internos: [EU AI Act: obligaciones y cumplimiento (guía)] · [AESIA: quién supervisa en España] · [GPAI] · [evaluación de conformidad] · [NIS2] · [DORA].
Fuente normativa: Reglamento (UE) 2024/1689, artículos 6, 9 a 15, 43, 47 a 49, 53 y 99, y anexos IV y XII.