Guía regulatoria · 2026

AI Act para Empresas en España: Guía Completa 2026

Qué obliga el Reglamento de IA (UE 2024/1689), cuándo entra en vigor cada requisito, cómo se clasifican los sistemas de IA y cuáles son las sanciones por incumplimiento.

€35M

multa máxima (riesgo inaceptable)

Ago 2026

plazo sistemas alto riesgo

4 niveles

de riesgo regulatorio

Base legal: Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024

Respuesta directa

El AI Act (Reglamento UE 2024/1689) entró en vigor el 1 de agosto de 2024 y se aplica de forma escalonada: prohibiciones absolutas desde febrero 2025, GPAI desde agosto 2025 y sistemas de alto riesgo (Anexo III) desde agosto 2026. Afecta a toda empresa que desarrolle o use IA en la UE. Los chatbots son de riesgo limitado (obligación de identificarse como IA). Los sistemas de IA en RRHH, crédito o infraestructuras son de alto riesgo con obligaciones estrictas. Multas: hasta €35 millones o 7% de facturación global.

Calendario de entrada en vigor

Agosto 2024

Entrada en vigor del AI Act

Febrero 2025

Prohibición sistemas riesgo inaceptable (scoring social, manipulación subliminal)

Agosto 2025

Obligaciones para modelos de IA de uso general (GPAI: GPT, Gemini, etc.)

Agosto 2026

Obligaciones para sistemas de alto riesgo (Anexo III: RRHH, crédito, salud)

Agosto 2027

Obligaciones para sistemas de alto riesgo integrados en productos regulados

Preguntas frecuentes

¿Qué es el AI Act y a qué empresas afecta en España?

El AI Act (Reglamento UE 2024/1689, de 13 de junio de 2024) es la primera regulación mundial integral sobre inteligencia artificial. Entró en vigor el 1 de agosto de 2024 y se aplica de forma progresiva hasta 2027. Afecta a cualquier empresa que: (a) desarrolle sistemas de IA en Europa, (b) utilice sistemas de IA en sus procesos (aunque el proveedor sea externo), o (c) comercialice sistemas de IA en la UE aunque esté establecida fuera. En España, aplica a autónomos, pymes y grandes empresas sin distinción de tamaño — aunque las obligaciones son proporcionales al nivel de riesgo del sistema de IA utilizado. El AI Act no regula la IA en abstracto sino los "sistemas de IA" tal como los define el art. 3: sistemas que generan resultados (predicciones, recomendaciones, decisiones) que afectan a entornos reales.

¿Cuál es el calendario de entrada en vigor del AI Act?

El AI Act tiene un calendario de aplicación escalonado: 2 de agosto de 2024: entrada en vigor del Reglamento. 2 de febrero de 2025: prohibición de sistemas de IA de riesgo inaceptable (art. 5) — scoring social por gobiernos, manipulación subliminal, explotación de vulnerabilidades de grupos específicos, reconocimiento facial en tiempo real en espacios públicos (con excepciones). 2 de agosto de 2025: aplicación de las obligaciones para proveedores de modelos de IA de uso general (GPAI, art. 51-56) y para el Comité de IA europeo. 2 de agosto de 2026: aplicación de las obligaciones para sistemas de IA de alto riesgo (Anexo III) — incluyendo sistemas de IA usados en empleo y gestión de RRHH, crédito, salud, infraestructuras críticas, educación, aplicación de la ley y administración de justicia. 2 de agosto de 2027: aplicación para sistemas de alto riesgo no incluidos en el Anexo III (art. 6.1, integrados en productos regulados como maquinaria, equipos médicos).

¿Cómo se clasifican los sistemas de IA según el nivel de riesgo?

El AI Act establece cuatro categorías: (1) Riesgo inaceptable (prohibidos): sistemas que atenten contra los valores europeos — scoring social estatal, manipulación conductual, explotación de vulnerabilidades, reconocimiento facial en tiempo real en espacios públicos (salvo excepciones policiales tasadas). (2) Alto riesgo (Anexo III): sistemas que afectan a derechos fundamentales en ámbitos críticos: empleo (selección, evaluación, RRHH), crédito bancario, formación educativa, infraestructuras críticas (energía, agua), servicios esenciales, administración de justicia, migración, aplicación de la ley. Obligaciones estrictas: registro en base de datos UE, auditorías, supervisión humana, documentación técnica, marcado CE. (3) Riesgo limitado (transparencia): chatbots, sistemas de IA que generan contenido sintético (deepfakes). Deben indicar que el usuario interactúa con IA. (4) Riesgo mínimo: libre uso, sin obligaciones específicas.

¿Qué obligaciones tiene una empresa que usa un chatbot con IA?

Un chatbot de IA tiene obligaciones de transparencia (riesgo limitado, art. 50 AI Act): (1) El chatbot debe identificarse como IA cuando el usuario lo pregunte — no puede pretender ser humano. (2) Cuando el sistema genere contenido sintético (texto, imágenes, audio, vídeo) debe indicarlo claramente (etiquetado de contenido generado por IA). (3) Los proveedores de sistemas GPAI (como GPT o Gemini) deben publicar resúmenes de sus datos de entrenamiento. Si el chatbot toma decisiones que afectan a derechos de las personas (decide si conceder un crédito, si seleccionar a un candidato en un proceso de selección, si denegar un servicio esencial), pasa a ser de alto riesgo (Anexo III) con obligaciones mucho más estrictas. Los chatbots de atención al cliente estándar (responder preguntas, gestionar incidencias) son de riesgo limitado si el humano retiene la decisión final.

¿Cuáles son las multas por incumplir el AI Act?

Las sanciones del AI Act (art. 99) son las más elevadas de la historia regulatoria europea: (1) Infracción de las prohibiciones absolutas (riesgo inaceptable): hasta €35 millones o el 7% de la facturación mundial anual (el mayor de los dos importes). (2) Incumplimiento de obligaciones de proveedores de sistemas de alto riesgo o modelos GPAI: hasta €15 millones o el 3% de la facturación mundial anual. (3) Suministro de información incorrecta a las autoridades: hasta €7,5 millones o el 1,5% de la facturación mundial anual. Para pymes y startups, los límites del porcentaje se calculan sobre la facturación anual de la empresa, con la salvedad de que el importe máximo aplicable es el que resulte menor. La autoridad supervisora en España aún está en definición (se espera que sea la AEPD o un organismo nuevo).

¿Qué diferencia hay entre el AI Act y el GDPR?

Son regulaciones complementarias pero distintas: El GDPR (Reglamento 2016/679) regula el tratamiento de datos personales — cómo se recogen, almacenan, procesan y protegen los datos de personas identificadas o identificables. El AI Act regula los sistemas de IA — su desarrollo, comercialización y uso, independientemente de si procesan datos personales o no. Un sistema de IA puede cumplir el GDPR (protege los datos personales que utiliza) pero incumplir el AI Act (su diseño o función vulnera los derechos fundamentales). Y viceversa. Muchos sistemas de IA de alto riesgo tienen implicaciones de GDPR (toman decisiones automatizadas sobre personas — art. 22 GDPR) y también del AI Act. Esto significa que las empresas deben cumplir ambas normas simultáneamente y de forma coherente.

¿Qué deben hacer las pymes para prepararse para el AI Act?

El AI Act tiene en cuenta el impacto en pymes (considerandos 156-160) y establece algunas medidas de alivio: formatos de documentación simplificados para pymes, acceso a entornos de prueba regulatorios (sandboxes) y orientación específica. Pero las obligaciones son las mismas: (1) Inventario de sistemas de IA: identificar todos los sistemas de IA en uso (herramientas de RRHH, software de crédito, chatbots, sistemas de recomendación). (2) Clasificación de riesgo: determinar para cada sistema si es prohibido, alto riesgo o riesgo limitado. (3) Plan de conformidad: para los sistemas de alto riesgo, establecer un plan para cumplir los requisitos de documentación, supervisión humana y registro. (4) Revisión de contratos con proveedores: asegurarse de que los proveedores de IA de alto riesgo entregan la documentación técnica requerida por el AI Act. Los plazos más urgentes son agosto de 2025 (GPAI) y agosto de 2026 (alto riesgo, Anexo III).

¿Los sistemas de IA de gestión documental y RAG para empresas están sujetos al AI Act?

Los sistemas RAG (Retrieval-Augmented Generation) y de gestión documental con IA como IgeraFincas, IgeraRegTech o sistemas similares son en general de riesgo limitado o mínimo bajo el AI Act, porque: (1) No toman decisiones autónomas que afecten a derechos fundamentales — las respuestas son informativas y el humano retiene la decisión. (2) No están listados en el Anexo III (alto riesgo). (3) Su función principal es recuperar y sintetizar información, no decidir sobre personas. Las obligaciones de transparencia (art. 50) sí aplican: el sistema debe identificarse como IA ante el usuario y no pretender ser humano. Si el sistema RAG se usa en el contexto de selección de personal, evaluación de crédito u otros ámbitos del Anexo III, entonces sí podría entrar en la categoría de alto riesgo según cómo se configure. IgeraRegTech incluye un módulo de evaluación de conformidad AI Act para que las empresas determinen el nivel de riesgo de sus sistemas.

¿El AI Act se aplica también a herramientas de IA usadas internamente?

Sí. El AI Act aplica tanto a los proveedores de sistemas de IA (que los desarrollan y comercializan) como a los desplegadores (deployers, art. 26) — las empresas que usan sistemas de IA de terceros en sus procesos. Un desplegador de sistema de IA de alto riesgo tiene obligaciones específicas: implementar medidas técnicas y organizativas para el uso correcto del sistema, asegurar que los datos de entrada son pertinentes, mantener los registros de funcionamiento generados automáticamente por el sistema, informar a sus empleados o usuarios afectados del uso de IA, y notificar a las autoridades si detecta un riesgo grave. Esto significa que si una empresa usa una herramienta de selección de personal con IA (aunque sea de un proveedor externo), la empresa es responsable del cumplimiento del AI Act como desplegadora.

¿Cómo puede IgeraRegTech ayudar a cumplir el AI Act?

IgeraRegTech es la solución de Igera Solutions para el cumplimiento de regulaciones como el AI Act, DORA, NIS2 y CSRD. Para el AI Act, IgeraRegTech incluye: un módulo de inventario y clasificación de sistemas de IA (el chatbot responde preguntas sobre los sistemas de IA de la empresa y los clasifica según el riesgo), plantillas de documentación técnica para sistemas de alto riesgo, un gestor de políticas de supervisión humana (quién revisa qué decisiones de IA), integración con el registro europeo de sistemas de IA de alto riesgo (cuando esté operativo), y alertas automáticas cuando se acercan los plazos de cumplimiento. Precio: desde €199/mes para pymes. La IA responde preguntas sobre el AI Act en menos de 3 segundos citando el artículo exacto del Reglamento.

Cómo preparar tu empresa para el AI Act

  1. 1

    Haz un inventario de sistemas de IA

    Lista todos los sistemas de IA que usas o desarrollas, incluyendo herramientas de terceros.

  2. 2

    Clasifica el nivel de riesgo de cada sistema

    Determina si cada sistema es prohibido, alto riesgo, riesgo limitado o mínimo según el Reglamento.

  3. 3

    Prepara el plan de conformidad

    Para sistemas de alto riesgo: documentación técnica, supervisión humana, registro en base de datos UE.

  4. 4

    Revisa los contratos con proveedores de IA

    Los contratos con proveedores deben incluir las cláusulas del AI Act para que te entreguen la documentación requerida.

Cumple el AI Act con IgeraRegTech

Inventario de sistemas de IA, clasificación de riesgo y plan de conformidad automatizados. Sin tarjeta de crédito.

Ver IgeraRegTech AI Act →