Phone-alt Envelope Facebook Linkedin Youtube Instagram
Solicitar presupuesto

IA Act: Guía práctica para empresas españolas en 2026

Tabla de contenidos

El IA Act ya es una realidad para las empresas españolas. El Reglamento (UE) 2024/1689 sobre Inteligencia Artificial entró en vigor el 1 de agosto de 2024 y sus obligaciones se despliegan en fases hasta 2027. Si tu empresa usa, desarrolla o contrata sistemas de IA, este reglamento te afecta directamente. En este artículo te explicamos qué debes hacer, cuándo y cómo empezar.

Qué es el IA Act y a quién afecta

El Reglamento (UE) 2024/1689, conocido como IA Act, es la primera norma integral del mundo que regula el uso de la inteligencia artificial. La Unión Europea lo publicó en el Diario Oficial el 12 de julio de 2024. Su objetivo es garantizar que los sistemas de IA sean seguros, transparentes y respetuosos con los derechos fundamentales.

El reglamento afecta a cualquier organización que opere en la Unión Europea, independientemente de dónde tenga su sede. Por tanto, si tu empresa española utiliza un chatbot de atención al cliente, un software de selección de personal o cualquier herramienta de IA, tienes obligaciones concretas que cumplir.

Además, el IA Act se aplica tanto a grandes corporaciones como a pymes. El tamaño no exime del cumplimiento, aunque sí influye en la carga administrativa que corresponde a cada rol.

IA Act obligaciones para empresas españolas

Los cuatro niveles de riesgo: dónde encaja tu sistema de IA

El IA Act clasifica todos los sistemas de IA en cuatro categorías según el riesgo que generan. Esta clasificación determina las obligaciones que recaen sobre tu empresa.

Riesgo inaceptable: prohibido desde febrero de 2025

Algunos usos de la IA están directamente prohibidos. Por ejemplo, los sistemas de puntuación social de ciudadanos (como los que usan ciertos gobiernos para evaluar el comportamiento), la manipulación subliminal del comportamiento humano o el reconocimiento de emociones en el ámbito laboral y educativo sin base jurídica sólida. Estas prácticas quedaron prohibidas a partir del 2 de febrero de 2025.

Riesgo alto: obligaciones estrictas desde agosto de 2026

Los sistemas de alto riesgo son los que afectan a derechos fundamentales o a decisiones importantes sobre personas. Aquí encontramos, por ejemplo:

  • Software de selección y evaluación de candidatos en RRHH.
  • Sistemas de puntuación crediticia o evaluación de solvencia.
  • Herramientas de diagnóstico médico asistido por IA.
  • Sistemas de videovigilancia con reconocimiento biométrico.
  • Algoritmos de gestión de infraestructuras críticas.

Para estos sistemas, el reglamento exige documentación técnica detallada, evaluaciones de conformidad, registros de actividad y supervisión humana efectiva. Sin embargo, la fecha límite para cumplir estas obligaciones es el 2 de agosto de 2026.

Riesgo limitado y mínimo: transparencia y sentido común

Los sistemas de riesgo limitado, como los chatbots de atención al cliente, deben informar al usuario de que está interactuando con una IA. Por otro lado, los sistemas de riesgo mínimo, como los filtros de spam o los videojuegos con IA, no tienen obligaciones adicionales más allá de las buenas prácticas.

Tu rol en la cadena de valor: proveedor, desplegador o distribuidor

Las obligaciones del IA Act dependen del papel que ocupa tu empresa en la cadena de valor del sistema de IA.

  • Proveedor: desarrolla o pone en el mercado un sistema de IA. Tiene las obligaciones más exigentes: documentación técnica, registro en la base de datos de la UE para sistemas de alto riesgo y declaración de conformidad.
  • Desplegador: usa un sistema de IA de terceros en su propia actividad. Es el rol más habitual entre las pymes españolas. Debe garantizar que el sistema se usa conforme a las instrucciones del proveedor, mantener registros de uso y aplicar supervisión humana en sistemas de alto riesgo.
  • Importador: introduce en la UE sistemas de IA fabricados fuera. Responde de la conformidad del producto si el proveedor está fuera del mercado europeo.
  • Distribuidor: comercializa sistemas de IA sin modificarlos. Tiene obligaciones de verificación y trazabilidad.

La mayoría de las empresas pequeñas y medianas actúan como desplegadoras: usan herramientas de IA que han comprado o contratado a terceros. En ese caso, sus obligaciones son menores que las del proveedor, pero no son inexistentes.

Calendario de aplicación: qué plazos no puedes ignorar

El IA Act no entró en vigor de golpe. Su aplicación sigue un calendario escalonado que es fundamental conocer:

  • 1 de agosto de 2024: entrada en vigor del reglamento.
  • 2 de febrero de 2025: prohibición de prácticas de IA de riesgo inaceptable. Ya en vigor.
  • 2 de agosto de 2025: aplicación de las normas sobre gobernanza, IA de propósito general (GPAI) y modelos de IA fundacionales. Ya en vigor.
  • 2 de agosto de 2026: obligaciones completas para sistemas de alto riesgo (Anexo III).
  • 2 de agosto de 2027: obligaciones para sistemas de alto riesgo del Anexo I (sectores regulados como sanidad, transporte o energía).

En consecuencia, si tu empresa usa sistemas de IA de alto riesgo, tienes hasta agosto de 2026 para poner en orden tu documentación, procesos y gobernanza. No es mucho tiempo si empiezas desde cero.

IA Act y RGPD: qué se solapa y qué es nuevo

Si tu empresa ya cumple con el RGPD, tienes una ventaja. Sin embargo, el IA Act introduce obligaciones adicionales que el RGPD no cubre.

Lo que se solapa

Algunas obligaciones del IA Act coinciden con principios ya presentes en el RGPD. Por ejemplo, la minimización de datos, la transparencia ante los usuarios, la evaluación de impacto (similar a la EIPD del RGPD) y la supervisión humana de decisiones automatizadas que afecten a personas. Si ya tienes implementados estos controles, puedes aprovecharlos.

Lo que es nuevo con el IA Act

Por contra, el IA Act añade requisitos que el RGPD no contempla:

  • Documentación técnica específica del sistema de IA (arquitectura, datos de entrenamiento, métricas de rendimiento).
  • Registro obligatorio de sistemas de alto riesgo en la base de datos de la UE.
  • Requisitos de robustez, precisión y ciberseguridad propios del sistema de IA.
  • Obligaciones específicas para modelos de IA de propósito general (como GPT-4 o Gemini).

Además, el IA Act y el RGPD pueden aplicarse simultáneamente al mismo sistema. Por eso, lo más eficiente es integrar el cumplimiento del IA Act dentro de tu programa de privacidad existente. Si ya usas herramientas de IA en tu empresa, consulta nuestra guía sobre cómo usar ChatGPT y LLMs cumpliendo el RGPD para entender cómo se combinan ambas normativas en la práctica.

Pasos prácticos para empezar a cumplir el IA Act hoy

El cumplimiento del IA Act no requiere hacer todo a la vez. Sin embargo, sí requiere empezar cuanto antes. Aquí tienes un plan de acción en tres fases.

Fase 1: inventario de sistemas de IA en uso

El primer paso es saber qué sistemas de IA utiliza tu empresa. Muchas organizaciones no son conscientes de la cantidad de herramientas con componentes de IA que ya han integrado en sus procesos: CRMs con scoring predictivo, plataformas de recruiting con cribado automático, chatbots de atención al cliente, herramientas de análisis de sentimiento, etc.

Por tanto, elabora un inventario que recoja para cada sistema: nombre del proveedor, función que realiza, datos que procesa, si afecta a decisiones sobre personas y el nivel de riesgo estimado.

Fase 2: evaluación de riesgo y clasificación

Con el inventario en mano, clasifica cada sistema según los niveles del IA Act. Para los sistemas de alto riesgo, identifica qué obligaciones te corresponden como desplegador. Además, revisa los contratos con tus proveedores de IA para asegurarte de que te proporcionan la documentación técnica exigida.

Fase 3: gobernanza interna y formación

El IA Act exige que las personas que supervisan sistemas de alto riesgo tengan la formación adecuada. Por ello, designa un responsable interno de cumplimiento en materia de IA, establece procedimientos de supervisión humana y forma a tu equipo en los aspectos básicos del reglamento.

Sanciones: hasta 35 millones de euros por incumplir el IA Act

El IA Act establece un régimen sancionador proporcional al tipo de infracción:

  • Hasta 35 M€ o el 7% de la facturación global anual (la cifra mayor): por usar sistemas de IA prohibidos o incumplir las normas sobre datos de entrenamiento.
  • Hasta 15 M€ o el 3% de la facturación global: por incumplir cualquier otra obligación del reglamento, incluidas las aplicables a sistemas de alto riesgo.
  • Hasta 7,5 M€ o el 1,5% de la facturación global: por facilitar información incorrecta a las autoridades.

Para las pymes y startups, el reglamento prevé sanciones proporcionadas. Sin embargo, no confundas «proporcionada» con «inexistente». Las autoridades de supervisión nacionales, entre ellas la AEPD en España, tendrán capacidad sancionadora.

Además, el daño reputacional de un expediente sancionador puede ser más perjudicial para una pyme que la propia multa.

¿Por dónde empiezas? Enfoke te acompaña en el cumplimiento del IA Act

El IA Act es complejo, pero el camino para cumplirlo es claro: inventario, clasificación, gobernanza. El reto no es entender la norma, sino traducirla a la realidad operativa de tu empresa.

En Enfoke llevamos años ayudando a empresas españolas a cumplir el RGPD y la LOPDGDD. Ahora ampliamos ese acompañamiento al IA Act. Si quieres saber exactamente qué obligaciones te afectan y cómo priorizarlas, contacta con nuestro equipo de consultoría. Hacemos un diagnóstico inicial gratuito y te presentamos un plan de acción concreto.

No esperes a que el plazo de agosto de 2026 te pille sin preparación. El momento de actuar es ahora.

Imagen de Enfoke
Enfoke
Comparte:
Solicitar presupuesto

Te ofrecemos un presupuesto a medida

Servicio a presupuestar: