Compliance de IA en España: calendario del AI Act

El Reglamento Europeo de Inteligencia Artificial (AI Act) entró en vigor el 1 de agosto de 2024. Desde entonces, sus obligaciones se van aplicando de forma escalonada. Si tu empresa usa o desarrolla sistemas de IA, necesitas saber qué te afecta y cuándo.

La buena noticia es que no se trata de cumplir todo de golpe. La mala es que las primeras obligaciones ya están en vigor y las sanciones no son simbólicas.

Qué regula el AI Act y a quién afecta

El AI Act regula la comercialización, puesta en servicio y uso de sistemas de inteligencia artificial en la Unión Europea. Aplica tanto a proveedores (quienes desarrollan o ponen en el mercado un sistema de IA) como a deployers (quienes usan un sistema de IA en un contexto profesional).

Si tu empresa usa ChatGPT con datos de clientes, un modelo de scoring crediticio, un sistema de videovigilancia con reconocimiento facial o un chatbot que interactúa con usuarios finales, el AI Act te afecta. No importa si el sistema lo has desarrollado tú o si usas uno de un proveedor.

El reglamento aplica a cualquier empresa que opere en la UE o cuyos sistemas produzcan efectos dentro de la UE, con independencia de dónde esté la sede.

Los cuatro niveles de riesgo

El AI Act clasifica los sistemas de IA en cuatro niveles de riesgo, con obligaciones crecientes. La clasificación depende del uso que se le da al sistema, no de la tecnología subyacente.

Riesgo inaceptable (prohibido)

Sistemas que se consideran una amenaza directa a derechos fundamentales. Están prohibidos desde febrero de 2025. Incluyen: manipulación subliminal del comportamiento, explotación de vulnerabilidades de grupos específicos (edad, discapacidad), scoring social por parte de gobiernos y reconocimiento facial en tiempo real en espacios públicos (con excepciones muy limitadas para seguridad).

Riesgo alto

Sistemas que afectan a áreas sensibles: selección de personal, evaluación crediticia, acceso a educación, administración de justicia, control de migración, infraestructuras críticas. Estos sistemas deben cumplir requisitos estrictos: evaluación de conformidad, gestión de riesgos, gobernanza de datos de entrenamiento, documentación técnica, supervisión humana y trazabilidad.

Ejemplos concretos que podrían afectar a una empresa española: un modelo de scoring para conceder créditos, un sistema de filtrado de CVs, un modelo de priorización de reclamaciones en seguros o un sistema de mantenimiento predictivo en infraestructura crítica.

Riesgo limitado (obligaciones de transparencia)

Sistemas que interactúan con personas y que deben informar de que hay IA detrás. Chatbots, generadores de contenido sintético (deepfakes) y sistemas de detección de emociones deben etiquetar claramente que el usuario está interactuando con IA o que el contenido ha sido generado artificialmente.

Riesgo mínimo

La mayoría de sistemas de IA caen aquí: filtros de spam, recomendadores de productos, sistemas de búsqueda interna. No tienen obligaciones específicas bajo el AI Act, aunque se recomienda seguir códigos de conducta voluntarios.

Calendario de aplicación: qué hay que cumplir y cuándo

El AI Act se aplica de forma progresiva. Estas son las fechas clave que toda empresa en España debería tener en su radar.

Febrero 2025: prohibiciones en vigor

Desde el 2 de febrero de 2025, los sistemas de riesgo inaceptable están prohibidos. Si tu empresa usa algún sistema que encaje en esa categoría (manipulación, scoring social, reconocimiento biométrico no autorizado), debe haber dejado de usarlo. Las sanciones por violar prohibiciones son las más altas del reglamento: hasta 35 millones de euros o el 7 % de la facturación global.

Agosto 2025: modelos de propósito general (GPAI)

Desde agosto de 2025, los proveedores de modelos de propósito general (como GPT, Claude, Gemini, Llama) deben cumplir obligaciones de transparencia: documentación técnica, política de cumplimiento de derechos de autor y publicación de un resumen de los datos de entrenamiento. Si el modelo se clasifica como de riesgo sistémico (más de 10^25 FLOPs de entrenamiento), se añaden evaluaciones de seguridad y obligaciones de reporte de incidentes.

Esto afecta directamente a los proveedores de modelos, pero indirectamente a ti: si usas estos modelos, debes verificar que tu proveedor cumple y documentar cómo los integras.

Agosto 2026: sistemas de alto riesgo

La fecha más relevante para la mayoría de empresas. Desde agosto de 2026, todos los sistemas de IA clasificados como alto riesgo deben cumplir los requisitos completos: sistema de gestión de riesgos, gobernanza de los datos de entrenamiento, documentación técnica detallada, registro de actividad (logs), transparencia hacia el usuario, supervisión humana y ciberseguridad.

Si tu empresa despliega un sistema de alto riesgo, como deployer tienes obligaciones específicas: usar el sistema conforme a las instrucciones del proveedor, garantizar la supervisión humana, monitorizar el funcionamiento y reportar incidentes graves.

Agosto 2027: sistemas en productos regulados

Los sistemas de IA integrados en productos que ya están regulados por normativa sectorial europea (dispositivos médicos, maquinaria, juguetes, aviación) tienen plazo hasta agosto de 2027 para cumplir. En esos casos, la evaluación de conformidad del AI Act se integra con la del producto regulado.

Intersección entre AI Act y RGPD

El AI Act y el RGPD no se excluyen: se superponen. Si tu sistema de IA procesa datos personales, tienes que cumplir ambas normativas simultáneamente. Hay áreas donde se refuerzan mutuamente y otras donde la coordinación requiere atención.

• Base legal del tratamiento: el RGPD exige una base legal para procesar datos personales. Si entrenas un modelo con datos de clientes, necesitas consentimiento, interés legítimo u otra base válida. El AI Act no cambia eso, pero añade requisitos sobre la calidad y gobernanza de esos datos.
• Evaluación de impacto (DPIA): el RGPD ya exige evaluaciones de impacto para tratamientos de alto riesgo. El AI Act añade su propia evaluación de riesgos. En la práctica, muchas empresas están integrando ambas en un mismo proceso.
• Transparencia: el RGPD exige informar al interesado sobre decisiones automatizadas. El AI Act amplía la obligación de transparencia a todos los sistemas de riesgo limitado o alto, incluyendo los que no tratan datos personales.
• Derechos del interesado: el RGPD garantiza el derecho a obtener una explicación de decisiones automatizadas (artículo 22). El AI Act refuerza esto al exigir supervisión humana y documentación sobre cómo funciona el sistema.

La AEPD ha publicado herramientas y guías para ayudar a las empresas españolas a coordinar el cumplimiento de ambas normativas. Si ya tienes un marco de RGPD sólido, tienes una ventaja: gran parte de la infraestructura de gobernanza se puede reutilizar.

Cómo preparar tu organización

Prepararse para el AI Act no es solo un tema legal. Requiere coordinación entre legal, tecnología y negocio. Estos son los pasos que recomendamos.

1. 1Inventario de sistemas de IA. Haz una lista de todos los sistemas de IA que tu empresa usa o desarrolla. Incluye herramientas de terceros, modelos internos, chatbots, sistemas de scoring y cualquier automatización que use machine learning o IA generativa.
2. 2Clasificación de riesgo. Para cada sistema, determina en qué nivel de riesgo encaja según el AI Act. Si no estás seguro, consulta el Anexo III del reglamento o busca asesoramiento.
3. 3Gap analysis. Compara lo que el AI Act exige para cada nivel de riesgo con lo que tu empresa tiene hoy. Identifica los gaps en documentación, gobernanza de datos, supervisión humana y transparencia.
4. 4Plan de acción priorizado. No intentes arreglar todo a la vez. Prioriza los sistemas de alto riesgo (plazo agosto 2026), después los de riesgo limitado (transparencia) y por último los GPAI si eres proveedor.
5. 5Gobernanza de datos como base. La mayoría de los requisitos del AI Act sobre datos de entrenamiento (calidad, representatividad, sesgo, trazabilidad) se resuelven con un buen marco de gobernanza del dato. Si no lo tienes, este es el momento de montarlo.
6. 6Formación y cultura. El equipo que despliega y opera sistemas de IA necesita entender sus obligaciones. No basta con un documento: hace falta formación práctica y responsabilidades claras.

La gobernanza de datos como cimiento del compliance

Si hay un mensaje que repetimos con frecuencia es este: el compliance de IA sin gobernanza de datos es papel mojado. El AI Act exige que los datos de entrenamiento sean relevantes, representativos, lo más libres de errores posible y sujetos a prácticas de gobernanza adecuadas. Si no sabes de dónde vienen tus datos, quién es responsable de ellos ni qué calidad tienen, difícilmente vas a poder demostrar cumplimiento. Lo abordamos en profundidad en nuestra página de gobierno del dato y calidad.

Las empresas que ya tienen un marco de gobernanza (catálogo de datos, roles de data ownership, reglas de calidad, linaje documentado) están en una posición mucho mejor para cumplir con el AI Act que las que parten de cero.

Sanciones y régimen de supervisión

El régimen sancionador del AI Act es gradual, pero contundente:

• Violación de prohibiciones (riesgo inaceptable): hasta 35 millones de euros o el 7 % de la facturación global anual.
• Incumplimiento de obligaciones de alto riesgo o GPAI: hasta 15 millones de euros o el 3 % de la facturación.
• Suministro de información incorrecta a autoridades: hasta 7,5 millones de euros o el 1 % de la facturación.

Cada Estado miembro debe designar una autoridad nacional de supervisión. En España, la AEPD ya ha tomado un papel activo publicando herramientas de adecuación y guías. Es previsible que sea la autoridad de referencia, posiblemente en coordinación con otros organismos sectoriales.

Qué pueden hacer las pymes ahora mismo

Para una pyme, el AI Act puede parecer abrumador. Pero la realidad es que la mayoría de pymes usan sistemas de IA de riesgo mínimo o limitado, donde las obligaciones son manejables. Lo importante es saberlo con certeza, y para eso hace falta el inventario y la clasificación. Si quieres ver las obligaciones concretas para pymes, lo detallamos en AI Act para pymes: obligaciones concretas.

Tres acciones inmediatas:

1. 1Lista todos los sistemas de IA que usas, aunque sean de terceros.
2. 2Clasifica cada uno por nivel de riesgo (la mayoría serán mínimo o limitado).
3. 3Para los que sean de alto riesgo, empieza a documentar: qué hacen, qué datos usan, quién los supervisa y cómo se toman las decisiones.

Si necesitas ayuda para evaluar tu situación, puedes ver cómo abordamos la gobernanza y el compliance en nuestra página de gobierno del dato y calidad o contactarnos para una conversación inicial sin compromiso.

Para mas informacion, puedes consultar la informe The State of AI de McKinsey.

Preguntas frecuentes

¿Qué pasa si mi proveedor de IA no cumple con el AI Act?

Como deployer, tienes la obligación de usar sistemas que cumplan. Si tu proveedor no puede demostrar conformidad para un sistema de alto riesgo, deberías exigirle la documentación correspondiente o buscar una alternativa. La responsabilidad no desaparece por delegar en un tercero.

¿El AI Act aplica a la IA que uso internamente y que no vendo?

Sí. El AI Act aplica al uso de sistemas de IA, no solo a su comercialización. Si usas un modelo de scoring para decisiones internas de RRHH o un sistema de IA para evaluar riesgo crediticio, las obligaciones aplican aunque no vendas el sistema a nadie.