Saltar al contenido principal

Reglamento de IA de la UE (AI Act): guía completa para empresas 2026

Ilustración del Reglamento de IA de la UE (AI Act): estrellas de la UE conectadas como red neuronal, guía para empresas 2026 de Sphyrna Solutions.

Qué es el AI Act, a quién obliga y qué exige a partir de 2026: riesgos, plazos, alfabetización en IA y sanciones. Guía clara para empresas, sin jerga legal.

El Reglamento de IA de la UE (AI Act, Reglamento (UE) 2024/1689) es la primera ley integral del mundo que regula la inteligencia artificial. Está en vigor desde el 1 de agosto de 2024 y se aplica por fases: las obligaciones clave para la mayoría de empresas llegan el 2 de agosto de 2026. Clasifica los sistemas de IA por nivel de riesgo e impone obligaciones proporcionales, con multas de hasta 35 millones de euros o el 7% de la facturación mundial.

No aplica solo a quien desarrolla IA. Si tu empresa usa IA —un chatbot, un sistema de cribado de CVs, scoring de clientes— también tienes obligaciones. Esta guía explica, sin jerga, qué es el AI Act, a quién afecta, qué plazos corren ya y qué hacer.

  • Qué es el AI Act y por qué existe
  • A quién obliga (spoiler: también a quien solo usa IA)
  • Los 4 niveles de riesgo y qué exige cada uno
  • Calendario de aplicación 2024–2027
  • Sanciones reales por incumplir
  • Qué debe hacer tu empresa ahora

¿Qué es el AI Act?

El AI Act es el reglamento europeo que establece reglas armonizadas para el desarrollo, comercialización y uso de sistemas de inteligencia artificial en la UE. Su objetivo es que la IA usada en Europa sea segura, transparente y respetuosa con los derechos fundamentales, sin frenar la innovación.

Es un reglamento, no una directiva: se aplica directamente en los 27 Estados miembros, sin necesidad de transposición nacional. Y tiene alcance extraterritorial: afecta también a empresas de fuera de la UE cuyos sistemas de IA se usen o cuyos resultados se utilicen dentro de la Unión.

¿A quién obliga el AI Act?

El AI Act obliga a toda la cadena de valor de la IA, no solo a los desarrolladores. Distingue varios roles, y el más relevante para la mayoría de empresas es el de responsable del despliegue (deployer): quien usa un sistema de IA en su actividad profesional.

  • Proveedor (provider): desarrolla o comercializa el sistema de IA.
  • Responsable del despliegue (deployer): USA el sistema en su empresa. Aquí caen la mayoría de pymes.
  • Importador y distribuidor: introduce o distribuye sistemas de IA en el mercado de la UE.

Traducción práctica: si tu empresa integra un chatbot de atención al cliente, usa IA para filtrar candidatos o aplica scoring automático a clientes, eres deployer y tienes obligaciones —aunque no hayas programado nada.

Los 4 niveles de riesgo del AI Act

El AI Act clasifica los sistemas de IA en cuatro niveles de riesgo, y las obligaciones crecen con el riesgo. Identificar en qué nivel cae tu sistema es el primer paso del cumplimiento.

1. Riesgo inaceptable (prohibido). Prácticas vetadas desde el 2 de febrero de 2025: puntuación social (social scoring), manipulación subliminal, reconocimiento de emociones en el trabajo o en centros educativos, y ciertos usos de identificación biométrica en tiempo real.

2. Alto riesgo. Sistemas usados en áreas sensibles: empleo (cribado de CVs), educación, crédito, servicios esenciales, dispositivos médicos, infraestructuras críticas. Exigen gestión de riesgos, gobernanza de datos, documentación técnica, supervisión humana y registro. El Digital Omnibus (acuerdo de mayo de 2026) aplazó estas obligaciones del Anexo III al 2 de diciembre de 2027 (ver calendario más abajo).

3. Riesgo limitado. Aquí caen la mayoría de chatbots y la IA generativa de cara al usuario. Obligación principal: transparencia. El usuario debe saber que habla con una IA, y el contenido generado o manipulado por IA (deepfakes) debe etiquetarse.

4. Riesgo mínimo. Filtros de spam, IA en videojuegos, etc. Sin obligaciones específicas más allá de las buenas prácticas.

La pregunta correcta no es "¿uso IA?", sino "¿en qué nivel de riesgo cae cada sistema de IA que uso?". De esa respuesta dependen tus obligaciones.

Regla práctica de cumplimiento AI Act

Alfabetización en IA: la obligación que YA está vigente

Desde el 2 de febrero de 2025, el artículo 4 del AI Act obliga a las empresas a garantizar un nivel suficiente de "alfabetización en materia de IA" entre el personal que desarrolla o usa sistemas de IA. No es futuro: ya aplica.

En la práctica significa formar a tu equipo para que entienda qué hace la IA que utiliza, sus límites y sus riesgos. No exige certificaciones formales, pero sí que puedas demostrar que has tomado medidas razonables de formación. Es la obligación más olvidada y la más fácil de empezar a cumplir hoy.

Calendario de aplicación del AI Act (2024–2027)

El AI Act no entró en vigor de golpe: se aplica en fases escalonadas. Estas son las fechas que importan:

  • 1 agosto 2024 — Entrada en vigor del Reglamento (UE) 2024/1689.
  • 2 febrero 2025 — Prohibiciones (riesgo inaceptable) + alfabetización en IA (art. 4).
  • 2 agosto 2025 — Modelos de IA de propósito general (GPAI), gobernanza y régimen sancionador.
  • 2 agosto 2026 — Aplicación general + obligaciones de transparencia (art. 50, chatbots e IA generativa).
  • 2 diciembre 2027 — Alto riesgo del Anexo III (aplazado por el Digital Omnibus desde agosto de 2026).
  • 2 agosto 2028 — Alto riesgo del Anexo I, productos regulados (aplazado desde agosto de 2027).

Importante: en mayo de 2026 la UE acordó el Digital Omnibus, que aplaza las obligaciones de alto riesgo. Es un acuerdo político pendiente de publicación en el DOUE: hasta que se publique, las fechas originales siguen siendo la ley vigente. Las prohibiciones, la alfabetización en IA y la transparencia no se han aplazado.

En España, la autoridad de supervisión es la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en A Coruña.

Sanciones: multas por incumplir el AI Act

Las multas del AI Act son de las más altas de la regulación europea, por encima incluso del RGPD en su tramo máximo. Se calculan como importe fijo o porcentaje de la facturación mundial anual, lo que sea mayor:

  • Hasta 35 M€ o 7% de la facturación mundial — por usar prácticas de IA prohibidas.
  • Hasta 15 M€ o 3% — por incumplir obligaciones (p. ej. de alto riesgo o transparencia).
  • Hasta 7,5 M€ o 1% — por facilitar información incorrecta o incompleta a las autoridades.

Para pymes y startups, el Reglamento prevé que los importes se apliquen de forma proporcionada, pero la exposición existe. El coste de no clasificar tus sistemas es real.

AI Act vs RGPD: ¿en qué se diferencian?

El RGPD protege datos personales; el AI Act regula sistemas de IA. Son complementarios, no sustitutivos: un chatbot que trata datos de clientes debe cumplir ambos a la vez.

El RGPD te dice cómo tratar los datos que entran y salen del sistema. El AI Act te dice cómo debe diseñarse, documentarse y supervisarse el sistema en sí según su riesgo. Si ya tienes un programa de cumplimiento RGPD, es la mejor base sobre la que construir el del AI Act.

Qué debe hacer tu empresa ahora

El cumplimiento del AI Act empieza por un inventario: no puedes gestionar el riesgo de una IA que no sabes que usas. Pasos concretos para 2026:

  • 1. Inventaria todos los sistemas de IA que tu empresa usa o desarrolla (incluidos los de proveedores).
  • 2. Clasifica cada uno por nivel de riesgo (inaceptable / alto / limitado / mínimo).
  • 3. Empieza ya por la alfabetización en IA del personal (art. 4, ya obligatorio).
  • 4. Para sistemas de alto riesgo, prepara documentación, supervisión humana y gestión de riesgos.
  • 5. Para chatbots e IA generativa, asegura la transparencia (avisar de que es IA, etiquetar contenido).
  • 6. Revisa contratos con proveedores de IA: reparto de responsabilidades y garantías de cumplimiento.

Si tu empresa está evaluando implantar agentes de IA y quieres hacerlo con el cumplimiento incorporado desde el diseño, en Sphyrna diseñamos sistemas de IA teniendo en cuenta el nivel de riesgo y la transparencia desde el primer día.

Preguntas frecuentes sobre el AI Act

¿El AI Act afecta a las pymes?

Sí. El AI Act no exime a las pymes: aplica en función del nivel de riesgo del sistema, no del tamaño de la empresa. Eso sí, prevé medidas de apoyo (sandboxes regulatorios) y sanciones proporcionadas para pequeñas empresas.

¿Me afecta si solo uso ChatGPT o un chatbot?

Sí, aunque de forma ligera. Un chatbot de cara al usuario suele ser de riesgo limitado: tu obligación principal es la transparencia (avisar de que es una IA). Además, aplica la obligación de alfabetización en IA para tu equipo.

¿Cuándo entra en vigor el AI Act?

Está en vigor desde el 1 de agosto de 2024, con aplicación por fases. Las prohibiciones y la alfabetización aplican desde febrero de 2025; la aplicación general y el alto riesgo, desde el 2 de agosto de 2026.

¿Cuál es la multa máxima del AI Act?

Hasta 35 millones de euros o el 7% de la facturación mundial anual (lo que sea mayor), por el uso de prácticas de IA prohibidas.


Actualizado: julio de 2026. Este artículo es información divulgativa, no asesoramiento jurídico. Para decisiones concretas, consulta con un profesional. Fuente normativa: Reglamento (UE) 2024/1689 (EUR-Lex).

MC
Mandy Cortés

Desarrolladora Especialista en Agentes IA

¿Quieres automatizar un proceso en tu empresa?

Analizamos tu caso de forma gratuita y te decimos honestamente si un agente IA puede ayudarte.

Solicitar análisis gratuito

Sin compromiso. Conversación técnica de 30 minutos.