Guía práctica · Actualizada junio 2026

AI Act España 2026:
qué es, quién está obligado
y cuánto cuesta incumplirlo.

El Reglamento Europeo de Inteligencia Artificial ya está en vigor y sus obligaciones se aplican por fases. Si su empresa usa IA — aunque sea solo ChatGPT o Copilot — esto le afecta. Guía directa, sin jerga, escrita por una firma que trabaja el AI Act todos los días.

¿Qué es el AI Act?

El Reglamento (UE) 2024/1689 es la primera ley integral del mundo sobre inteligencia artificial. Es de aplicación directa en España — no necesita transposición — y clasifica todos los sistemas de IA en cuatro niveles de riesgo, con obligaciones proporcionales a cada nivel:

Nivel de riesgoEjemplosConsecuencia
InaceptableManipulación subliminal, social scoring, reconocimiento de emociones en el trabajoProhibido desde febrero 2025
Alto riesgoIA en selección de personal, scoring crediticio, educación, sanidad, infraestructuras críticasObligaciones estrictas: documentación, supervisión humana, registro
Riesgo limitadoChatbots, deepfakes, contenido generado por IAObligaciones de transparencia
Riesgo mínimoFiltros de spam, IA en videojuegosSin obligaciones específicas

Calendario: lo que ya está en vigor

La fecha que importa: 2 de agosto de 2026. Desde ese día, usar IA de alto riesgo sin gestión de riesgos, documentación técnica y supervisión humana es una infracción sancionable. Los proyectos de adecuación tardan entre 3 y 6 meses — el margen se está agotando.

¿Quién está obligado en España?

El error más común es pensar que el AI Act solo afecta a quien desarrolla IA. El Reglamento impone obligaciones a toda la cadena:

Como mínimo, si sus empleados usan ChatGPT, Copilot o Gemini en el trabajo, su empresa ya tiene la obligación de formación y alfabetización en IA y necesita una política de uso que controle qué datos salen de la organización.

Sanciones: las cifras

InfracciónMulta máxima
Prácticas de IA prohibidas35 M€ o el 7% de la facturación global anual
Incumplir obligaciones del Reglamento (alto riesgo, transparencia…)15 M€ o el 3% de la facturación global anual
Información incorrecta a las autoridades7,5 M€ o el 1% de la facturación global anual

En España, la autoridad de vigilancia es la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en A Coruña, que opera coordinada con la AEPD cuando hay datos personales implicados — que es casi siempre.

Checklist de cumplimiento para empezar hoy

10 verificaciones mínimas

Inventario de todos los sistemas y herramientas de IA en uso (incluido el shadow IT: cuentas personales de ChatGPT)
Clasificación de cada sistema según el nivel de riesgo del Reglamento
Política de uso de IA aprobada y comunicada al personal
Formación en IA del personal documentada (obligatoria desde febrero 2025)
Verificación de que ningún caso de uso cae en las prácticas prohibidas
Para alto riesgo: gestión de riesgos y documentación técnica
Para alto riesgo: supervisión humana efectiva y registrada
Transparencia: usuarios informados cuando interactúan con IA
Coherencia RGPD: bases jurídicas y DPIA para tratamientos con IA
Contratos con proveedores de IA revisados (responsabilidad, datos, salida)

¿Quiere esta checklist desarrollada y en PDF? Pídala por WhatsApp o solicítela al completar el diagnóstico gratuito.

Preguntas frecuentes

¿Mi empresa está obligada aunque solo use ChatGPT?

Sí. El Reglamento aplica también a los implementadores. Como mínimo le afectan la obligación de alfabetización en IA del personal y, según el caso de uso, obligaciones de transparencia y supervisión. Y el RGPD aplica a todo dato personal que sus empleados introduzcan en estas herramientas.

¿Qué pasa si uso IA para seleccionar personal?

Los sistemas de IA en empleo y RRHH están en el Anexo III: alto riesgo. Desde agosto de 2026 exigen gestión de riesgos, documentación técnica, supervisión humana y registro. Si usa una herramienta de terceros, usted sigue teniendo obligaciones como implementador.

¿ISO 42001 me sirve para cumplir el AI Act?

Es la vía más práctica de ordenar el cumplimiento y demostrar diligencia: inventario de sistemas, gestión de riesgos, controles y mejora continua certificables. No sustituye al Reglamento, pero deja a la organización preparada para él — y es un diferenciador comercial frente a clientes corporativos.

¿Cuánto tarda una adecuación al AI Act?

Para una PYME que usa IA de terceros: 4–8 semanas (inventario, política, formación, transparencia). Para un proveedor con sistemas de alto riesgo: 3–6 meses, según la madurez de la documentación técnica.

¿Le aplica el AI Act?
Salga de dudas en 30 minutos.

Sesión confidencial con un consultor técnico-legal. Clasificación preliminar de sus sistemas de IA y siguiente paso claro.

Agendar sesión gratuita →
Hablar con un consultor