EU AI Act: guía práctica de lo que tu empresa debe hacer antes de agosto 2026

El GDPR llegó en 2018 y las empresas tardaron años en tomárselo en serio. Las primeras multas se recuerdan como un aviso tardío. El EU AI Act no va a ser distinto — salvo en un detalle: las multas máximas casi duplican las del GDPR. Donde el GDPR llegaba al 4% de la facturación global anual, el AI Act llega al 7%. Y el reloj ya está corriendo.

Agosto de 2026 es la fecha en la que los sistemas de IA de alto riesgo pasan a ser plenamente sancionables en los 27 países de la Unión Europea. Quedan cuatro meses. Este artículo explica qué es el reglamento, qué te afecta, y qué tienes que hacer antes de que llegue esa fecha.

¿Qué es exactamente el EU AI Act?

El Reglamento (UE) 2024/1689, conocido como EU AI Act, es el primer reglamento mundial de inteligencia artificial con fuerza de ley. No es una directiva: es un reglamento, lo que en derecho europeo significa que se aplica directamente en los 27 estados miembros sin necesidad de transposición nacional. Desde el momento en que entra en vigor, es ley en España, Francia, Alemania y el resto de Europa, sin pasos intermedios.

Fue publicado en el Diario Oficial de la Unión Europea el 12 de junio de 2024 y entró en vigor el 1 de agosto de 2024. Su arquitectura es de aplicación escalonada: distintos bloques del reglamento se activan en distintas fechas entre 2025 y 2027.

El principio que lo organiza es el enfoque basado en riesgo: cuanto más puede dañar un sistema de IA a las personas, más estrictas son las obligaciones. No toda IA está igual de regulada. Un filtro de spam y un sistema de selección de personal no reciben el mismo trato.

Las 4 categorías de riesgo

El AI Act divide los sistemas de IA en cuatro niveles. Saber en cuál está cada herramienta que usa tu empresa es el primer paso obligatorio.

Riesgo inaceptable: prohibido desde febrero de 2025

Estas prácticas están completamente vetadas en la UE desde el 2 de febrero de 2025. Si tu empresa o algún proveedor que uses las emplea, estás incumpliendo el reglamento ahora mismo:

• Scoring social: sistemas que puntúan a personas según comportamiento en distintos contextos de su vida para determinar beneficios o perjuicios
• Manipulación subliminal: IA que usa técnicas por debajo del umbral de conciencia para alterar conductas
• Explotación de vulnerabilidades: sistemas que aprovechan la edad, discapacidad o situación socioeconómica para influir de forma lesiva
• Reconocimiento biométrico en tiempo real en espacios públicos — con excepciones muy restringidas para fuerzas de seguridad

Alto riesgo: el bloque que afecta a la mayoría de empresas

El Anexo III del reglamento lista los sectores donde los sistemas de IA son automáticamente de alto riesgo. Incluye:

• Infraestructura crítica: agua, gas, electricidad, transporte — IA que influye en la gestión de estas redes
• Educación y formación profesional: sistemas que determinan acceso, evalúan rendimiento o deciden trayectorias
• Empleo y RRHH: selección de candidatos, scoring de CVs, gestión de tareas, vigilancia del rendimiento
• Servicios esenciales: scoring crediticio, evaluación de solvencia, clasificación de riesgo en seguros
• Aplicación de la ley y migración: perfilado, evaluación de riesgo, decisiones sobre visados o asilo
• Administración de justicia: IA que asiste en resolución de litigios o interpretación de hechos

Riesgo limitado: la transparencia que muchos olvidan

Los chatbots que interactúan con personas deben declarar que son IA cuando hay posibilidad razonable de que el usuario crea que está hablando con un humano. Lo mismo aplica a los deepfakes: el contenido generado o manipulado por IA que representa a personas reales debe etiquetarse como tal. Obligación ya en vigor.

Riesgo mínimo: la mayoría de las IAs del día a día

Filtros de spam, motores de recomendación sin impacto en derechos, IA en videojuegos, asistentes de escritura sin consecuencias sobre decisiones: sin obligaciones específicas bajo el AI Act. Pueden seguir operando como hasta ahora.

¿Qué implica ser “alto riesgo”?

Si uno de tus sistemas cae en la categoría de alto riesgo, el reglamento impone nueve obligaciones concretas antes de desplegarlo — y durante toda su vida operativa:

1. Sistema de gestión de riesgos: proceso continuo y documentado de identificación, evaluación y mitigación de riesgos durante todo el ciclo de vida del sistema
2. Gobernanza de datos: los datos de entrenamiento, validación y prueba deben ser relevantes, representativos, libres de errores en la medida de lo posible, y no deben perpetuar discriminaciones
3. Documentación técnica previa al despliegue: toda la información técnica relevante debe estar disponible antes de poner el sistema en producción, no después
4. Registro de logs de actividad: el sistema debe registrar automáticamente su actividad para permitir la supervisión posterior, especialmente en decisiones de alto impacto
5. Transparencia e información al usuario: los operadores deben recibir instrucciones de uso claras; los ciudadanos afectados deben saber que están siendo evaluados por un sistema de IA
6. Supervisión humana efectiva (Human-in-the-loop): debe existir la posibilidad real de que un humano revise, corrija o anule las decisiones del sistema — no como casilla de verificación, sino como proceso operativo
7. Precisión, robustez y ciberseguridad: el sistema debe mantener niveles de precisión documentados y resistir intentos de manipulación
8. Registro en base de datos EU: los sistemas de alto riesgo en sectores regulados deben registrarse en la base de datos europea antes de operar en el mercado
9. Declaración de conformidad: equivalente al marcado CE para productos físicos — certificación formal de que el sistema cumple todos los requisitos aplicables

Cumplir estas nueve obligaciones no es un proyecto de una semana. Para la mayoría de empresas es un proceso de tres a seis meses si se empieza desde cero.

Los casos de uso que más empresas pasan por alto

El error más común no es usar IA prohibida. Es no saber que el sistema que se usa es de alto riesgo. Estos son los casos que más se subestiman:

CV screening y selección de personal con IA — Si usas una herramienta que filtra, puntúa o clasifica candidatos automáticamente antes de que un humano los vea, es alto riesgo bajo el Anexo III. LinkedIn Recruiter con filtros de IA, Workday con scoring de candidatos, cualquier ATS con cribado automático. El 35% de las empresas europeas ya usan IA en algún punto del proceso de selección.

Scoring crediticio — Cualquier modelo que asigne una puntuación de solvencia o probabilidad de impago entra en la categoría de servicios esenciales del Anexo III. Es alto riesgo independientemente de si lo desarrollaste tú o lo compras a un proveedor como SaaS.

Chatbots de seguros que deciden coberturas — Si el chatbot no solo informa sino que determina si una cobertura aplica o qué prima corresponde, es alto riesgo. La clave está en si el sistema influye en una decisión que afecta materialmente a una persona.

IA para evaluar estudiantes — Sistemas de detección de plagio que automatizan sanciones, plataformas de e-learning que ajustan trayectorias según evaluación automática, herramientas que generan notas sin revisión humana: alto riesgo en el bloque de educación.

Sistemas predictivos de mantenimiento en infraestructura crítica — Si la IA predice fallos en redes de agua, gas, electricidad o transporte y esa predicción influye en decisiones operativas, alto riesgo en el bloque de infraestructura.

La pregunta correcta no es “¿usamos IA de alto riesgo?” sino “¿qué decisiones que afectan a personas toma o influye la IA en nuestra empresa?”

Los modelos de uso general (GPAI): en vigor desde agosto de 2025

Los modelos de IA de uso general — lo que el sector llama modelos fundacionales — tienen su propio régimen bajo el AI Act. GPT-4, Claude, Gemini, Llama, Mistral: todos están sujetos a obligaciones específicas que llevan activas desde agosto de 2025.

Para todos los modelos GPAI, independientemente de su tamaño:

• Transparencia sobre datos de entrenamiento: qué datos se usaron, con qué licencias
• Política de copyright: resumen de las políticas aplicadas durante el entrenamiento
• Documentación técnica publicada: especificaciones del modelo accesibles

Para modelos con impacto sistémico — definido como aquellos entrenados con más de 10²⁵ FLOPs (actualmente GPT-4 y equivalentes) — se añaden:

• Evaluaciones de seguridad adversariales (red-teaming) antes y después del despliegue
• Reporte de incidentes graves a la AI Office europea
• Medidas de ciberseguridad reforzadas
• Inventario de consumo energético

Si tu empresa construye productos sobre APIs de estos modelos, el cumplimiento de GPAI corre a cuenta del proveedor del modelo — pero tú sigues siendo responsable de cómo usas ese modelo en sistemas que puedan ser de alto riesgo.

El calendario que importa para tu empresa

Las fechas del AI Act no son simbólicas. Cada una activa un régimen diferente con consecuencias legales reales.

El 2 de febrero de 2025 activó las prohibiciones absolutas. Si tu empresa usa scoring social o reconocimiento biométrico en tiempo real sin justificación legal, está infringiendo el reglamento desde hace más de un año.

El 2 de agosto de 2025 activó las obligaciones para modelos GPAI. Los proveedores de modelos fundacionales ya están bajo supervisión de la AI Office.

El 2 de agosto de 2026 es la fecha que más empresas ignoran — y la más importante. A partir de ese día, todos los sistemas de IA de alto riesgo listados en el Anexo III deben cumplir íntegramente los artículos 6 a 49 del reglamento. Las autoridades nacionales podrán iniciar investigaciones y sancionar.

Desde hoy hasta agosto de 2026 quedan cuatro meses. Para una empresa que empieza el proceso desde cero, es el tiempo justo si actúa ahora.

El 2 de agosto de 2027 incorpora los productos de alto riesgo regulados por otras directivas europeas — sector médico, aeronáutico, automoción. Ese bloque tiene un año más de margen.

Las multas — más duras que el GDPR

El GDPR ha generado más de 5.000 millones de euros en multas desde 2018. El AI Act duplica el baremo máximo:

Comparación directa: el GDPR tiene un máximo del 4% de la facturación global. El AI Act llega al 7% — x1,75 más severo en el peor caso.

Para las PYMEs, el reglamento establece que se aplicará el importe menor entre el porcentaje de facturación y las cifras absolutas. Pero incluso las cifras absolutas — 35 millones por práctica prohibida — son devastadoras para cualquier empresa mediana.

Hay otro matiz importante: las multas del AI Act pueden acumularse con las del GDPR cuando una infracción afecta también a datos personales. Un sistema de selección de personal que discrimina y viola la privacidad puede recibir sanción bajo ambos reglamentos.

Plan de acción en 5 pasos para agosto 2026

Cuatro meses son suficientes si el proceso empieza esta semana. Esta es la secuencia:

Paso 1 — Inventario de sistemas IA en uso

Mapea todas las herramientas que usan IA en tu empresa: desde el ATS de RRHH hasta el CRM con scoring predictivo, los dashboards de analytics, los chatbots de atención al cliente y cualquier SaaS que procese datos de personas con IA. No solo los sistemas que desarrollaste internamente — también los que compras como servicio. El AI Act aplica a quienes despliegan sistemas de IA, no solo a quienes los desarrollan.

Paso 2 — Clasificación de riesgo por sistema

Para cada sistema identificado, determina su categoría según el Anexo III. La pregunta clave: ¿este sistema influye en decisiones que afectan materialmente a personas — su empleo, crédito, acceso a servicios, formación, derechos? Si la respuesta es sí, es probable que sea alto riesgo. Si hay dudas, la interpretación conservadora es la correcta: tratar el sistema como alto riesgo.

Paso 3 — Gap analysis vs. requisitos del Art. 9-15

Para cada sistema de alto riesgo, evalúa el estado actual frente a las nueve obligaciones: ¿existe documentación técnica? ¿Hay logs de actividad? ¿Hay supervisión humana operativa o solo formal? ¿Los datos de entrenamiento están documentados y son revisables? El gap analysis determina el trabajo real que queda por hacer.

Paso 4 — Implementación: documentación, logs, supervisión humana

Esto es el grueso del trabajo. No se trata solo de rellenar formularios: hay que implementar procesos reales. El Human-in-the-loop no puede ser una casilla en un workflow — tiene que ser una revisión con capacidad real de anular la decisión de la IA. Los logs tienen que estar configurados. La documentación técnica tiene que mantenerse actualizada. En muchas organizaciones esto requiere cambios en los procesos operativos, no solo en los sistemas.

Paso 5 — Registro ante la autoridad competente

En España, la autoridad nacional designada para supervisar el AI Act es la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial). Los sistemas de alto riesgo en sectores regulados deben registrarse en la base de datos europea antes de operar. El proceso de registro requiere la documentación técnica completa — por eso los pasos anteriores son necesarios primero.

La diferencia entre las empresas que estarán conformes en agosto y las que no es una sola: las primeras empezaron el inventario en el primer trimestre de 2026. Las segundas lo siguen postergando.

¿Qué hace la AI Office?

El EU AI Act creó un nuevo organismo europeo: la AI Office, adscrita a la Comisión Europea. No es una agencia independiente como la ENISA, sino una unidad dentro de la Comisión con poderes de supervisión directa sobre los modelos GPAI.

Sus funciones principales:

• Supervisión de modelos de uso general — es la interlocutora única para OpenAI, Anthropic, Google, Meta en lo relativo al AI Act
• Coordinación con autoridades nacionales — cada estado miembro tiene su propia autoridad (AESIA en España), pero la AI Office coordina la coherencia interpretativa
• Publicación de directrices — define qué significa en la práctica cumplir cada artículo
• Investigación de incidentes graves reportados por proveedores de modelos sistémicos
• Código de conducta voluntario para modelos GPAI que no alcanzan el umbral sistémico

La AI Office publicó en febrero de 2025 sus primeras directrices interpretativas. Para las empresas que usan modelos de terceros, estas directrices aclaran hasta dónde llega la responsabilidad del proveedor y dónde empieza la del operador.

¿Qué puedo hacer yo?

• Si eres CISO o DPO: El AI Act se superpone con el GDPR en cualquier sistema de IA que procese datos personales. Añade el AI Act como capa al DPIA que ya realizas. Si tu organización tiene madurez en cumplimiento GDPR, la infraestructura de documentación y logs ya existe — solo hay que adaptarla.

• Si diriges una empresa: El riesgo legal desde agosto de 2026 recae sobre los operadores — las empresas que despliegan sistemas de IA, no solo quienes los desarrollan. Comprar un SaaS con IA no te exime. Exige a tus proveedores cláusulas contractuales que declaren si sus sistemas son de alto riesgo.

• Si trabajas en RRHH: Revisa tu stack: ATS, plataformas de screening de vídeo, evaluación de competencias, cualquier herramienta que genere un score de candidatos. Si existe un ranking automatizado antes de que un humano vea el perfil, tienes un sistema de alto riesgo que debe cumplir los nueve requisitos del Anexo III.

• Si eres desarrollador de sistemas con IA: Si construyes para sectores del Anexo III, el cumplimiento debe diseñarse desde el inicio — documentación técnica, logs y supervisión humana no son añadidos de última hora. Si usas modelos GPAI de terceros, revisa sus términos de servicio: todos han añadido cláusulas de AI Act en 2025.

El EU AI Act no es un obstáculo burocrático para la innovación. Es el primer intento serio de establecer reglas del juego globales para una tecnología que ya afecta a millones de decisiones cotidianas. Las empresas que lo traten como oportunidad de diferenciación — “cumplimos el AI Act” como señal de confianza — llevarán ventaja sobre las que lo traten como coste de cumplimiento.

Agosto de 2026 no es el final de algo. Es el inicio del escenario donde las empresas que no hicieron los deberes empiezan a recibir las primeras investigaciones. Quedan cuatro meses. El inventario puede empezar hoy.