|
Guía AI Act para empresas españolas · 2026IusSec
iussec.com · Where Law Meets IntelligenceNo constituye asesoramiento jurídico individualizado
Guía práctica · Edición 2026
IUSSEC
El AI Act, en claro.
|
| Rol | Qué significa |
|---|---|
| Proveedor | Desarrolla un sistema de IA (o lo encarga) y lo comercializa o lo pone en servicio con su nombre o marca. |
| Responsable del despliegue | Utiliza un sistema de IA bajo su autoridad en su actividad profesional. Aquí está la mayoría de empresas. |
| Importador / Distribuidor | Introduce o comercializa en la UE un sistema de IA de un tercero de fuera o dentro de la Unión. |
03 — El mapaLos cuatro niveles de riesgo
Toda la norma gira en torno a esta clasificación. El primer ejercicio de cumplimiento es situar cada sistema de IA que usa en su nivel.
| Nivel | Ejemplos | Qué implica |
|---|---|---|
| Inaceptable (prohibido) | Puntuación social, manipulación subliminal, reconocimiento de emociones en el trabajo o centros educativos, categorización biométrica sensible. | Uso prohibido en la UE desde febrero de 2025. |
| Alto riesgo | IA en selección de personal, scoring crediticio, dispositivos médicos, infraestructuras críticas, educación, acceso a servicios esenciales (Anexo III). | Permitido, pero con obligaciones estrictas y evaluación de conformidad. |
| Riesgo limitado | Chatbots, asistentes virtuales, generación de texto/imágenes, deepfakes y contenido sintético. | Obligaciones de transparencia: informar de que se interactúa con IA y etiquetar el contenido. |
| Riesgo mínimo | Filtros de spam, IA en videojuegos, recomendadores básicos, automatizaciones internas sin impacto en derechos. | Sin obligaciones específicas. Se recomienda un uso responsable. |
04 — Sus deberesObligaciones según el nivel
Aplican a (casi) todos — desde febrero de 2025
- Alfabetización en IA (Art. 4). Proveedores y responsables del despliegue deben garantizar un nivel suficiente de competencia en IA de su personal: formación adecuada al uso que hacen de los sistemas.
- No usar sistemas prohibidos. Revisar que ningún uso caiga en la categoría de prácticas prohibidas.
Riesgo limitado — transparencia (Art. 50)
- Informar a las personas cuando interactúan con un sistema de IA (p. ej. un chatbot).
- Etiquetar como artificial el contenido generado o manipulado por IA (imágenes, audio, vídeo, deepfakes).
Alto riesgo — el grueso de las obligaciones
- Sistema de gestión de riesgos a lo largo de todo el ciclo de vida.
- Gobernanza de datos: calidad y representatividad de los datos de entrenamiento.
- Documentación técnica y registro de eventos (logs) automáticos.
- Supervisión humana efectiva y transparencia hacia el responsable del despliegue.
- Precisión, robustez y ciberseguridad adecuadas y verificables.
- Sistema de gestión de la calidad, evaluación de conformidad y, cuando proceda, marcado CE y registro en la base de datos de la UE.
05 — El relojCalendario de aplicación
| Fecha | Qué entra en vigor |
|---|---|
| Ago 2024 | Entrada en vigor del Reglamento. |
| Feb 2025 | Prácticas prohibidas y obligación de alfabetización en IA. |
| Ago 2025 | Modelos de IA de propósito general (GPAI) y gobernanza / autoridades nacionales. |
| Ago 2026 | Obligaciones generales para sistemas de alto riesgo del Anexo III. |
| Ago 2027 | Alto riesgo asociado a productos regulados (Anexo I) y plazos finales de GPAI. |
06 — Alto riesgoCómo es una evaluación de conformidad
Si opera un sistema de alto riesgo, deberá demostrar su conformidad antes de ponerlo en el mercado o en servicio. A grandes rasgos:
Clasificar y delimitar
Confirmar que el sistema es de alto riesgo y definir su finalidad prevista.
Implantar los requisitos
Gestión de riesgos, datos, documentación, logs, supervisión humana, robustez y ciberseguridad.
Sistema de gestión de la calidad
Procesos documentados que aseguren el cumplimiento de forma sostenida.
Evaluación de la conformidad
Interna o por organismo notificado, según el caso, frente a las normas armonizadas aplicables.
Declaración, marcado y registro
Declaración UE de conformidad, marcado CE cuando proceda y registro en la base de datos de la UE.
Vigilancia post-comercialización
Seguimiento continuo, registro de incidentes y actualización ante cambios sustanciales.
07 — Para actuarChecklist de cumplimiento AI Act
Un punto de partida práctico. Marque lo que ya tiene resuelto; lo que quede en blanco es su hoja de ruta.
Inventario y clasificación
Personas y gobernanza
Transparencia y datos
Alto riesgo (si aplica)
08 — Evite estoCinco errores frecuentes
- «No fabricamos IA, no nos aplica». Usar IA de terceros ya genera obligaciones como responsable del despliegue.
- Confundir cumplir el RGPD con cumplir el AI Act. Se solapan, pero son marcos distintos y complementarios.
- No formar al equipo. La alfabetización en IA es una obligación activa, no una buena práctica opcional.
- Personalizar una IA sin medir el salto a «proveedor». Una modificación sustancial cambia su régimen de obligaciones.
- Tratar cumplimiento e implementación como proyectos separados. El coste y el riesgo se disparan cuando se hacen por separado.
¿Quiere saber exactamente qué le aplica a su empresa?
En una llamada estratégica gratuita de 30 minutos clasificamos sus sistemas de IA, identificamos sus obligaciones y le decimos por dónde empezar — sin tecnicismos y sin compromiso.
Aviso. Esta guía tiene carácter informativo y divulgativo y no constituye asesoramiento jurídico individualizado. Toma como referencia el Reglamento (UE) 2024/1689 y materiales públicos del piloto español de sandbox regulatorio de IA (AESIA). El marco está sujeto a actualización conforme se publiquen normas armonizadas y directrices y se apruebe el «Ómnibus digital». Verifique siempre la versión vigente de la norma para decisiones concretas. © 2026 IusSec · iussec.com · Where Law Meets Intelligence.