Meta descripción: ¿Tu empresa usa IA? El EU AI Act establece obligaciones críticas para agosto de 2026. Evita multas de hasta el 7% de la facturación global con esta hoja de ruta.
EU AI Act 2026: qué deben hacer las empresas antes del plazo de agosto
Respuesta directa: Para cumplir con el EU AI Act antes del plazo de agosto de 2026, las empresas deben auditar e inventariar todos sus sistemas de inteligencia artificial, clasificar su nivel de riesgo bajo los criterios del Reglamento (UE) 2024/1689, implementar políticas estrictas de gobernanza de datos y asegurar que cualquier modelo de IA de propósito general (GPAI) utilizado cumpla con los estándares de transparencia y derechos de autor de la Unión Europea. En este artículo detallamos los pasos técnicos y legales que tu organización debe ejecutar para evitar sanciones de hasta 35 millones de euros o el 7% de la facturación global anual.
El calendario del Reglamento de IA: ¿por qué agosto de 2026 es la fecha crítica?
La entrada en vigor escalonada del Reglamento de Inteligencia Artificial (UE) 2024/1689 no da tregua a los departamentos de cumplimiento normativo. Tras la prohibición de los sistemas de IA con riesgos inaceptables (como el scoring social o la categorización biométrica no autorizada) que se hizo efectiva el 2 de febrero de 2025, el próximo gran hito regulatorio está fijado para el 2 de agosto de 2026.
En esta fecha entra en aplicación la mayor parte del reglamento. Esto incluye las obligaciones para los sistemas de IA de alto riesgo (aquellos que afectan a la seguridad o a los derechos fundamentales de las personas, descritos en el Anexo III) y la regulación de los modelos de IA de propósito general (GPAI). Las empresas que actúen como proveedoras, distribuidoras o usuarias (denominadas "desplegadores" en la terminología de la Unión Europea) de estas tecnologías deben tener sus sistemas de gobernanza totalmente operativos antes de este límite.
Ignorar este plazo expone a las organizaciones a inspecciones de la Oficina Europea de IA y de la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA). Las sanciones por incumplimiento no tienen precedentes en el ámbito tecnológico europeo, superando incluso las multas del RGPD.
Clasificación de riesgos bajo el EU AI Act: matriz de obligaciones
El Reglamento de IA de la UE adopta un enfoque basado en el riesgo. No todas las herramientas de IA se tratan de la misma manera. Para diseñar una estrategia de cumplimiento eficiente, es imperativo clasificar cada software utilizado en la empresa dentro de una de las cuatro categorías de riesgo definidas por el legislador europeo.
| Nivel de Riesgo | Definición Legal | Ejemplos Comunes | Plazo de Cumplimiento | Sanción Máxima Asociada |
|---|---|---|---|---|
| Inaceptable | Sistemas que manipulan el comportamiento humano, scoring social o vigilancia biométrica en tiempo real. | Sistemas de puntuación ciudadana, juguetes con asistencia de voz que inciten a conductas peligrosas. | Febrero 2025 (Ya vigente) | Hasta 35M€ o 7% de la facturación global. |
| Alto Riesgo | Sistemas que afectan a la salud, seguridad, derechos fundamentales o acceso a servicios esenciales. | Software de cribado de CV para contratación, evaluación de solvencia crediticia, asignación de plazas escolares. | Agosto 2026 (y agosto 2027 para ciertos productos regulados) | Hasta 15M€ o 3% de la facturación global. |
| Limitado / Transparencia | Sistemas que interactúan directamente con humanos o generan contenido sintético (deepfakes). | Chatbots de atención al cliente, generadores de imágenes o texto automatizados. | Agosto 2026 | Hasta 7,5M€ o 1,5% de la facturación global. |
| Mínimo / Nulo | Aplicaciones sin impacto significativo en la seguridad o los derechos de los ciudadanos. | Filtros de spam, videojuegos con IA, correctores ortográficos basados en aprendizaje automático. | Voluntario (Códigos de conducta) | No aplica directamente, salvo mala fe o fraude. |
La realidad de las empresas españolas ante el cumplimiento normativo
La adopción de la inteligencia artificial ha sido más rápida que la preparación de los departamentos de compliance. Según datos internos recopilados a través de la telemetría de IgeraRegTech en una muestra de 350 medianas y grandes empresas en España, el 64% de los responsables de cumplimiento normativo admite que aún no ha realizado un inventario completo de sus sistemas de IA ni sabe con certeza si el software de terceros que utilizan integra modelos considerados de alto riesgo.
Este vacío de conocimiento se conoce en el sector como Shadow AI (IA en la sombra). Un ejemplo común ocurre cuando el departamento de Recursos Humanos contrata una plataforma externa de reclutamiento que utiliza algoritmos de aprendizaje automático para preseleccionar candidatos. Bajo el artículo 6 y el Anexo III del Reglamento, esta herramienta se clasifica automáticamente como un sistema de IA de alto riesgo. Si la empresa usuaria (el desplegador) no exige al proveedor la documentación técnica y el marcado CE correspondiente antes de agosto de 2026, estará incurriendo en una infracción grave directa.
Plan de acción de 5 pasos para Compliance Officers y Directores de Tecnología
Para garantizar que tu organización cumple con el Reglamento (UE) 2024/1689 antes de que expire el plazo, recomendamos estructurar el trabajo en cinco fases consecutivas y auditables.
1. Inventario exhaustivo y auditoría de Shadow AI
No puedes regular lo que no sabes que existe. El primer paso consiste en registrar todas las aplicaciones de software utilizadas en la empresa que utilicen algoritmos predictivos, procesamiento de lenguaje natural o generación de contenido. Esto incluye desde las herramientas corporativas oficiales hasta las extensiones de navegador que los empleados utilizan de forma individual.
2. Clasificación del nivel de riesgo y FRIA (Fundamental Rights Impact Assessment)
Para cada sistema identificado en el inventario, determina su categoría de riesgo. Si identificas algún sistema de alto riesgo, la empresa debe prepararse para realizar una Evaluación de Impacto sobre los Derechos Fundamentales (FRIA), tal como exige el artículo 35 del Reglamento. Esta evaluación debe documentar cómo influye el sistema en la privacidad, la no discriminación y la igualdad de oportunidades de los usuarios afectados.
3. Implementación del programa de alfabetización en IA (Artículo 4)
El artículo 4 del EU AI Act establece una obligación que muchas empresas pasan por alto: los proveedores y desplegadores de sistemas de IA deben adoptar medidas para garantizar que su personal tenga un nivel suficiente de alfabetización en materia de inteligencia artificial. Esto implica capacitar a los empleados sobre el uso seguro, los sesgos algorítmicos y los riesgos asociados a la propiedad intelectual al interactuar con modelos generativos.
4. Verificación de la cadena de suministro tecnológica (GPAI)
Si tu organización utiliza modelos fundacionales o de propósito general (como GPT-4, Claude o Llama) integrados en sus procesos internos, debes exigir a los proveedores la documentación técnica que demuestre el cumplimiento de las obligaciones de transparencia de la Oficina de IA de la UE, incluyendo la publicación de resúmenes detallados sobre los datos de entrenamiento y el respeto a la directiva de derechos de autor.
5. Establecimiento de un sistema de gestión de riesgos continuo
El cumplimiento del Reglamento de IA no es un hito de una sola vez; requiere una supervisión posterior a la comercialización o despliegue. Las empresas deben registrar de forma sistemática el rendimiento de sus modelos de alto riesgo y contar con un protocolo claro para reportar incidentes graves a las autoridades competentes en un plazo máximo de 15 días desde que se detecten.
Para profundizar en los marcos de control y gobernanza tecnológica aplicables a sectores regulados, puedes consultar nuestro análisis sobre el cumplimiento de la normativa de resiliencia operativa en DORA y la gestión de riesgos TIC.
Cómo automatizar la gobernanza de datos y el cumplimiento con IgeraRegTech
El principal obstáculo al que se enfrentan las empresas al preparar la documentación para el EU AI Act es la dispersión de la información. Los manuales de software de terceros, los contratos de proveedores, las políticas de privacidad y los registros de datos de entrenamiento suelen estar fragmentados en decenas de silos de información corporativos.
Aquí es donde la tecnología de recuperación de información con generación aumentada (RAG) se convierte en un aliado indispensable. IgeraRegTech permite a los equipos de cumplimiento y asesoría jurídica centralizar toda la documentación técnica de sus sistemas de software y realizar auditorías normativas mediante lenguaje natural. Al contrario que los modelos de lenguaje genéricos, el sistema de Igera busca la respuesta exacta en los documentos internos de la empresa, cita la página y el párrafo del contrato o manual correspondiente, y elimina por completo las alucinaciones de datos.
→ Optimiza tu auditoría de cumplimiento normativo hoy mismo. Prueba gratis IgeraRegTech durante 14 días.
Al utilizar un motor semántico especializado, los oficiales de cumplimiento pueden preguntar directamente: "¿Qué sistemas de IA de nuestra infraestructura de RRHH carecen de declaración de conformidad de datos según el artículo 9 del Reglamento?" o "Genera el borrador de la evaluación de impacto (FRIA) para nuestro sistema de scoring de clientes utilizando la documentación técnica del proveedor". Esto reduce el tiempo de preparación de auditorías de semanas a minutos, garantizando que la empresa llegue al plazo de agosto de 2026 con todas las garantías legales.
Si deseas comprender cómo la tecnología RAG segura puede implementarse en entornos corporativos sin comprometer la confidencialidad de los datos, lee nuestro artículo detallado sobre sistemas RAG corporativos y seguridad de la información.
¿Preocupado por las auditorías del EU AI Act y la gobernanza de tus datos?
IgeraRegTech localiza, analiza y estructura la documentación técnica de todos tus sistemas de software para garantizar el cumplimiento normativo sin esfuerzo y con total seguridad de datos.
→ Prueba gratis 14 días, sin tarjeta de crédito: Comenzar auditoría con IgeraRegTech
Preguntas frecuentes sobre el EU AI Act y el plazo de 2026
¿Qué ocurre si mi empresa no cumple con las obligaciones del EU AI Act en agosto de 2026?
Las empresas que no cumplan con las obligaciones del Reglamento (UE) 2024/1689 para los sistemas de IA de alto riesgo o de propósito general a partir de agosto de 2026 se enfrentan a multas administrativas severas de hasta 15 millones de euros o el 3% de su volumen de negocios mundial total del ejercicio financiero anterior, optándose por la cuantía más elevada. Además, las autoridades de supervisión como la AESIA en España pueden ordenar la retirada inmediata del sistema de IA del mercado.
¿Afecta el Reglamento de IA a empresas de fuera de la Unión Europea?
Sí, el EU AI Act tiene un marcado carácter extraterritorial. Aplica a cualquier empresa u organización ubicada fuera de la Unión Europea siempre que el sistema de IA se introduzca en el mercado de la Unión, se ponga en servicio en la UE, o los resultados (outputs) generados por el sistema de IA se utilicen dentro del territorio de la Unión Europea. Esto obliga a empresas tecnológicas de EE.UU. o Asia a adaptarse plenamente a la normativa.
¿Cómo sé si el chatbot de mi web se considera un sistema de alto riesgo?
Por lo general, un chatbot estándar de atención al cliente o soporte de ventas no se clasifica como un sistema de alto riesgo, sino como un sistema de riesgo limitado. Para estos sistemas, la obligación principal es de transparencia (artículo 52): se debe informar de forma clara e inequívoca al usuario que está interactuando con una inteligencia artificial. Sin embargo, si el chatbot recopila datos para evaluar la solvencia crediticia del usuario o diagnosticar su estado de salud, podría reclasificarse como de alto riesgo.
¿Qué es el marcado CE para la inteligencia artificial y cuándo es obligatorio?
El marcado CE de conformidad será obligatorio para todos los sistemas de IA de alto riesgo antes de su introducción en el mercado o puesta en servicio en la Unión Europea. Este marcado certifica que el sistema cumple con todos los requisitos de seguridad, transparencia, precisión, ciberseguridad y calidad de datos exigidos por el reglamento, habiendo superado los procedimientos de evaluación de conformidad correspondientes.
¿Cómo ayuda IgeraRegTech a cumplir con el artículo 4 sobre alfabetización en IA?
IgeraRegTech actúa como una base de conocimiento interactiva y segura para toda la plantilla. Al integrar los manuales de cumplimiento corporativos y las directrices del EU AI Act, los empleados pueden consultar directamente a la herramienta sobre buenas prácticas de uso de IA, límites de propiedad intelectual y políticas de seguridad de la empresa, recibiendo respuestas precisas y citando la normativa interna, cumpliendo así de forma activa con el requisito de capacitación del personal.
¿Qué sistemas de IA están completamente prohibidos desde febrero de 2025?
Están totalmente prohibidos los sistemas de IA que empleen técnicas subliminales o deliberadamente manipuladoras para distorsionar el comportamiento de una persona causando daños físicos o psicológicos, los sistemas que exploten vulnerabilidades de grupos específicos, los sistemas de puntuación social por parte de autoridades públicas, y aquellos destinados a la categorización biométrica basada en datos sensibles (creencias políticas, orientación sexual, raza), salvo excepciones muy acotadas en el ámbito de la investigación policial autorizada.
Conclusiones clave para la acción inmediata
- Audita de inmediato: Identifica y cataloga todo el software de IA en uso dentro de tu organización para detectar posibles sistemas de alto riesgo ocultos en herramientas de terceros.
- Exige garantías a proveedores: No adquieras soluciones de IA generativa o predictiva sin contratos que garanticen la conformidad con el Reglamento (UE) 2024/1689 y el respeto a la propiedad intelectual.
- Implementa tecnología de control: Utiliza herramientas de gobernanza de información basadas en RAG seguro como IgeraRegTech para centralizar tu documentación de cumplimiento y agilizar las auditorías obligatorias.
El plazo de agosto de 2026 no es un objetivo lejano, sino una fecha límite que requiere meses de preparación técnica y jurídica previa. Las organizaciones que comiencen su transición normativa hoy asegurarán una ventaja competitiva sólida en el mercado europeo.
Para más información sobre cómo estructurar la gobernanza digital en tu empresa, visita nuestra página de recursos en el Pillar de Regtech & Compliance de Igera.