El Reglamento Europeo de Inteligencia Artificial ya está en vigor y sus obligaciones se aplican por fases. Si su empresa usa IA — aunque sea solo ChatGPT o Copilot — esto le afecta. Guía directa, sin jerga, escrita por una firma que trabaja el AI Act todos los días.
El Reglamento (UE) 2024/1689 es la primera ley integral del mundo sobre inteligencia artificial. Es de aplicación directa en España — no necesita transposición — y clasifica todos los sistemas de IA en cuatro niveles de riesgo, con obligaciones proporcionales a cada nivel:
| Nivel de riesgo | Ejemplos | Consecuencia |
|---|---|---|
| Inaceptable | Manipulación subliminal, social scoring, reconocimiento de emociones en el trabajo | Prohibido desde febrero 2025 |
| Alto riesgo | IA en selección de personal, scoring crediticio, educación, sanidad, infraestructuras críticas | Obligaciones estrictas: documentación, supervisión humana, registro |
| Riesgo limitado | Chatbots, deepfakes, contenido generado por IA | Obligaciones de transparencia |
| Riesgo mínimo | Filtros de spam, IA en videojuegos | Sin obligaciones específicas |
La fecha que importa: 2 de agosto de 2026. Desde ese día, usar IA de alto riesgo sin gestión de riesgos, documentación técnica y supervisión humana es una infracción sancionable. Los proyectos de adecuación tardan entre 3 y 6 meses — el margen se está agotando.
El error más común es pensar que el AI Act solo afecta a quien desarrolla IA. El Reglamento impone obligaciones a toda la cadena:
Como mínimo, si sus empleados usan ChatGPT, Copilot o Gemini en el trabajo, su empresa ya tiene la obligación de formación y alfabetización en IA y necesita una política de uso que controle qué datos salen de la organización.
| Infracción | Multa máxima |
|---|---|
| Prácticas de IA prohibidas | 35 M€ o el 7% de la facturación global anual |
| Incumplir obligaciones del Reglamento (alto riesgo, transparencia…) | 15 M€ o el 3% de la facturación global anual |
| Información incorrecta a las autoridades | 7,5 M€ o el 1% de la facturación global anual |
En España, la autoridad de vigilancia es la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en A Coruña, que opera coordinada con la AEPD cuando hay datos personales implicados — que es casi siempre.
¿Quiere esta checklist desarrollada y en PDF? Pídala por WhatsApp o solicítela al completar el diagnóstico gratuito.
Sí. El Reglamento aplica también a los implementadores. Como mínimo le afectan la obligación de alfabetización en IA del personal y, según el caso de uso, obligaciones de transparencia y supervisión. Y el RGPD aplica a todo dato personal que sus empleados introduzcan en estas herramientas.
Los sistemas de IA en empleo y RRHH están en el Anexo III: alto riesgo. Desde agosto de 2026 exigen gestión de riesgos, documentación técnica, supervisión humana y registro. Si usa una herramienta de terceros, usted sigue teniendo obligaciones como implementador.
Es la vía más práctica de ordenar el cumplimiento y demostrar diligencia: inventario de sistemas, gestión de riesgos, controles y mejora continua certificables. No sustituye al Reglamento, pero deja a la organización preparada para él — y es un diferenciador comercial frente a clientes corporativos.
Para una PYME que usa IA de terceros: 4–8 semanas (inventario, política, formación, transparencia). Para un proveedor con sistemas de alto riesgo: 3–6 meses, según la madurez de la documentación técnica.
Sesión confidencial con un consultor técnico-legal. Clasificación preliminar de sus sistemas de IA y siguiente paso claro.
Agendar sesión gratuita →