Cumplimiento y ética

AI Act

La AI Act es el reglamento europeo de inteligencia artificial aprobado en 2024 y de aplicación progresiva entre 2025 y 2027. Clasifica los sistemas de IA por nivel de riesgo (inaceptable, alto, limitado, mínimo) y establece obligaciones distintas para cada categoría. Afecta tanto a quien desarrolla IA como a quien la usa en sus procesos. Para una pyme, el impacto principal es saber en qué categoría caen sus usos.

Por Ana María González Actualizado: 30 de abril de 2026

Definición rápida

Respuesta directa

Explicación ampliada

La AI Act sigue un enfoque por niveles de riesgo. Nivel inaceptable: prohibidos directamente (puntuación social, manipulación subliminal, identificación biométrica masiva en espacios públicos con excepciones). Nivel alto: permitidos con obligaciones estrictas de calidad de datos, transparencia, supervisión humana, documentación técnica, y registro en una base de datos europea. Caen aquí sistemas usados en selección de personal, concesión de crédito o servicios esenciales, evaluación educativa, asistencia médica diagnóstica y gestión de infraestructura crítica. Nivel limitado: obligaciones de transparencia (avisar de que se interactúa con IA, marcar contenido generado). Caen aquí los chatbots de atención al cliente y los generadores de contenido. Nivel mínimo: sin obligaciones específicas (filtros antispam, recomendadores de productos). Para los modelos de fundación de uso general (GPT, Claude, Gemini) hay obligaciones específicas de transparencia y, para los más potentes, evaluaciones de riesgo sistémico. Las multas llegan hasta el 7% de la facturación mundial. La aplicación es progresiva: desde el 2 de febrero de 2025 las prohibiciones y la obligación de alfabetización en IA; desde el 2 de agosto de 2025 las normas para modelos GPAI (de propósito general); el 2 de agosto de 2026 entran en vigor la mayoría de las normas, incluidas las obligaciones para sistemas de alto riesgo del Anexo III, la base de datos pública del Artículo 49 y la transparencia del Artículo 50; los sistemas de alto riesgo embebidos en productos regulados (Anexo I) tienen plazo extendido hasta el 2 de agosto de 2027. La Comisión presentó en noviembre de 2025 el llamado Digital Omnibus, una propuesta para aplazar las obligaciones de alto riesgo del Anexo III hasta el 2 de diciembre de 2027 y las del Anexo I hasta el 2 de agosto de 2028. Sin embargo, el segundo trilogue político celebrado el 28 de abril de 2026 terminó sin acuerdo tras 12 horas de negociación, bloqueado por el desacuerdo sobre cómo encajar los sistemas de alto riesgo embebidos en productos ya regulados (maquinaria, dispositivos médicos, juguetes). La siguiente ronda está prevista para el 13 de mayo de 2026, primero bajo presidencia chipriota y, si no cierra antes del 30 de junio, bajo presidencia lituana. Hasta que el Digital Omnibus no se apruebe formalmente y se publique en el Diario Oficial de la UE, las fechas originales del Reglamento 2024/1689 siguen siendo legalmente vinculantes. La recomendación práctica para una pyme española es clara: planificar contra el 2 de agosto de 2026, no contra una fecha aplazada que aún no existe legalmente. En España, la AESIA (Agencia Española de Supervisión de IA) ha publicado 16 guías prácticas en castellano para ayudar al cumplimiento.

Por qué importa para tu empresa

Aplicación práctica

Aunque tu pyme no desarrolle IA, sí la usa, y eso te puede situar como "responsable del despliegue" según la AI Act, con obligaciones propias. Saber en qué nivel caen tus usos antes de seguir desplegando es la diferencia entre adoptar IA con tranquilidad y descubrir que has incumplido sin darte cuenta. A 30 de abril de 2026 quedan exactamente 94 días para el 2 de agosto, y el aplazamiento del Digital Omnibus no es seguro: el trilogue del 28 de abril falló y la fecha original sigue siendo la única vigente en la ley. La revisión es razonablemente sencilla y mejor hacerla preventiva. Las guías de la AESIA en castellano son el mejor punto de partida para una pyme española.

Ejemplo concreto

Caso real

Una pyme de RRHH externalizado usa una IA generativa para puntuar y ordenar candidatos en procesos de selección de sus clientes. La AI Act clasifica esto como sistema de alto riesgo. Esto significa, entre otras cosas: documentación de cómo funciona el sistema, supervisión humana significativa de los resultados (no solo "ratificar" lo que dice la IA), información a los candidatos, evaluación periódica de sesgos, y posiblemente registro en la base europea. La pyme no entrena el modelo (lo usa vía API de un proveedor), pero las obligaciones del usuario aplican igualmente. Saberlo a tiempo permite incorporar las prácticas; descubrirlo tras una denuncia, no.

Formación específica · Cursos Ciberaula Bonificable FUNDAE · Inicio inmediato

¿Necesitas formarte sobre el Reglamento Europeo de IA?

Tres opciones según el perfil del trabajador y el grado de responsabilidad sobre el cumplimiento. Todas bonificables al 100% por FUNDAE para empresas españolas.

30hhoras

Para entender el reglamento

Reglamento Europeo de Inteligencia Artificial UE 2024/1689

Mandos intermedios, RRHH, IT, responsables de área que necesitan saber qué obligaciones afectan a su empresa.

→

60hhoras

Para implementarlo

Especialista en Reglamento Europeo de IA UE 2024/1689

Responsables de cumplimiento, DPOs, compliance officers que deben adaptar procedimientos internos al AI Act.

→

50hhoras

Para asesorar sobre él

Reglamento Europeo de IA para Juristas

Abogados, asesores legales y consultores que necesitan dominar el marco jurídico para aconsejar a clientes empresariales.

→

Compromiso editorial: Esta es la sección donde el Observatorio recomienda formación propia. Aparece en bloque diferenciado al final de la ficha — nunca camuflada en el cuerpo del análisis. Nuestra metodología editorial compromete a esta separación clara entre análisis y oferta comercial.