AI Act: Cumpla el Reglamento Europeo de IA antes de las Sanciones

El Reglamento de Inteligencia Artificial de la Unión Europea (AI Act, Reglamento UE 2024/1689), publicado en el Diario Oficial de la UE en julio de 2024, es el primer marco regulatorio integral sobre IA del mundo y establece obligaciones diferenciadas según la categoría de riesgo del sistema: prácticas inaceptables prohibidas desde agosto de 2025, sistemas de alto riesgo (Anexo III: selección de personal, scoring crediticio, aplicación de la ley, educación, infraestructuras críticas, justicia) con obligaciones de documentación técnica, evaluación de conformidad, registro en la base de datos de la UE y marcado CE desde agosto de 2026, y sistemas de riesgo limitado con obligaciones de transparencia. Las multas por incumplimiento pueden alcanzar 35 millones de euros o el 7% de la facturación global del grupo para las prohibiciones más graves, y 15 millones o el 3% para las infracciones aplicables a sistemas de alto riesgo.

Nuestro equipo de cumplimiento normativo tecnológico combina conocimiento jurídico del Reglamento de IA con experiencia práctica en sistemas de información, gobernanza de datos y regulación digital europea.

Que empresas están en riesgo de sanción por el AI Act

Muchas empresas españolas han integrado sistemas de IA en sus procesos sin saber que, bajo el AI Act europeo, pueden estar operando sistemas de alto riesgo sin ninguna de las obligaciones cubiertas. El cumplimiento del AI Act clasifica como alto riesgo los sistemas de IA en selección de personal, scoring crediticio, atención al cliente con efectos legales, videovigilancia y otros casos de uso frecuentes en empresas medianas. Las prohibiciones absolutas — manipulación subliminal, puntuacion social, identificación biométrica en tiempo real — son exigibles desde agosto de 2025. Las multas pueden alcanzar los 35 millones de euros o el 7% de la facturación global. El riesgo real no es futuro: es presente.

• Empresas que usan IA para cribar candidatos sin saber que eso es Anexo III
• Plataformas de marketing con segmentacion automatizada sin evaluar el nivel de riesgo
• Sistemas de scoring de crédito o seguros que requieren evaluación de conformidad
• Contratos con proveedores de IA sin asignación correcta de responsabilidades del Reglamento

Como implementamos el plan de adecuación al AI Act

Nuestro equipo de especialistas realiza el inventario completo de sistemas de IA de la organización — los desarrollados internamente, los comprados a terceros y los embebidos en herramientas SaaS — y los clasifica en la taxonomia del AI Act. A partir de esa clasificación, diseñamos el plan de cumplimiento priorizado por riesgo y por plazo normativo. No empezamos por la documentación: empezamos por saber exactamente que sistemas existen y que obligaciones generan. Este enfoque pragmático reduce el tiempo del proyecto y evita el esfuerzo desperdiciado en sistemas que no requieren compliance sustancial.

Para los sistemas de alto riesgo, diseñamos e implementamos el sistema de gestión de riesgos del artículo 9, preparamos la documentación técnica del Anexo IV, establecemos los mecanismos de supervisión humana y gestionamos el registro en la base de datos de la UE. Coordinamos con el equipo técnico que desarrollo o integro el sistema y con el área de protección de datos para alinear el cumplimiento del AI Act con las obligaciones del RGPD.

Marco regulatorio del AI Act en España

El AI Act (Reglamento UE 2024/1689) es de aplicación directa en toda la UE. Sus prohibiciones absolutas son exigibles desde agosto de 2025. Las obligaciones para sistemas de alto riesgo del Anexo III entran en vigor el 2 de agosto de 2026. Las sanciones van desde 7,5 millones (información incorrecta) hasta 35 millones o el 7% de la facturación global (prácticas prohibidas). La autoridad competente en España será la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), actualmente en constitución. El AI Office europeo coordina la supervisión de modelos GPAI de riesgo sistemico.

El AI Act se superpone con el RGPD cuando los sistemas tratan datos personales — la gran mayoría — y con DORA para sistemas de IA en entidades financieras. Las evaluaciones de impacto del AI Act y las EIPD del RGPD deben coordinarse para evitar duplicaciones y garantizar coherencia.

Resultados que puedes esperar

• Inventario completo de sistemas de IA con clasificación formal por nivel de riesgo
• Identificación de sistemas que requieren acción prioritaria antes de agosto de 2026
• Documentación técnica del Anexo IV preparada para sistemas de alto riesgo
• Plan de cumplimiento priorizado con calendario de implementación realista
• Revisión de contratos con proveedores de IA para asignación correcta de responsabilidades
• Marco de gobernanza interna que facilita el cumplimiento continuo ante actualizaciones normativas

La gobernanza de IA interna es el complemento necesario del cumplimiento normativo externo. Las empresas que gestionan bien sus sistemas de IA no solo evitan sanciones: construyen activos de confianza con clientes, socios y reguladores que generan ventaja competitiva real en un mercado donde la opacidad algoritmica es cada vez menos aceptada. El mapa de riesgos de cumplimiento permite integrar el AI Act en la visión regulatoria consolidada de la empresa.

Los sistemas de alto riesgo del Anexo III: qué empresas en España están en esta categoría

El Anexo III del AI Act establece ocho categorías de sistemas de IA de alto riesgo que generan las obligaciones más exigentes del Reglamento. Para las empresas que operan en España, las más frecuentes en la práctica son:

Selección y gestión del personal: cualquier sistema de IA utilizado para criba inicial de candidaturas, evaluación del desempeño, asignación de turnos con decisión automatizada, o determinación de retribuciones variables mediante algoritmo. En España, donde el uso de herramientas de selección de personal con IA es ya habitual en empresas medianas y grandes, esta categoría afecta a una fracción muy significativa del mercado.

Servicios de crédito e instalaciones financieras: los sistemas de scoring crediticio automatizados que determinan la elegibilidad para préstamos, tarjetas de crédito o seguros. Las fintech, los bancos y las aseguradoras que operen en España tienen obligaciones de evaluación de conformidad, documentación técnica y registro que deben implementar antes de agosto de 2026.

Determinación del acceso a servicios esenciales: sistemas que determinan el acceso o la denegación a prestaciones sociales, servicios públicos, o en el sector privado, servicios cuya negación tiene efectos similares a la exclusión de un servicio esencial. El umbral es menos obvio que en las otras categorías, y requiere un análisis caso a caso del impacto real sobre la población afectada.

Sistemas educativos de evaluación: plataformas que utilizan IA para evaluar el rendimiento de alumnos, determinar el acceso a programas o instituciones educativas, o detectar comportamientos irregulares (por ejemplo, sistemas anti-plagio con IA que generan consecuencias disciplinarias).

Para cada uno de estos sistemas, el plan de cumplimiento debe incluir: sistema de gestión de riesgos documentado (artículo 9 AI Act), documentación técnica del Anexo IV, registro de incidentes, mecanismos de supervisión humana efectiva, marcado CE y declaración de conformidad. El plazo para tener estos elementos en orden es el 2 de agosto de 2026.

Los contratos con proveedores de IA: asignación de responsabilidades bajo el AI Act

Uno de los aspectos más ignorados del cumplimiento del AI Act es la cadena de responsabilidades entre proveedores y responsables del despliegue. El Reglamento establece una distinción fundamental: el proveedor (quien desarrolla y pone en el mercado el sistema de IA) tiene las obligaciones más exigentes (documentación técnica, evaluación de conformidad, registro en la base de datos de la UE), pero el responsable del despliegue (quien integra el sistema en sus procesos) también tiene obligaciones propias que no puede externalizar al proveedor.

En la práctica empresarial, muchas empresas españolas utilizan sistemas de IA de terceros —herramientas SaaS con funcionalidades de IA, sistemas de automatización de procesos— sin revisar cómo se asignan las responsabilidades del AI Act en los contratos. Si una empresa utiliza un sistema de IA de alto riesgo comprado a un proveedor, el responsable del despliegue debe garantizar que el proveedor le proporciona la documentación técnica requerida, que puede ejercer su derecho de supervisión humana sobre las decisiones del sistema, y que tiene acceso al registro de funcionamiento del sistema para las actuaciones de inspección.

Los contratos con proveedores de IA que no contemplan estas obligaciones exponen al responsable del despliegue a incumplimientos del AI Act que no puede subsanar unilateralmente. Nuestro equipo revisa y adapta los contratos de tecnología e IA para garantizar que la asignación de responsabilidades del AI Act es correcta y que el cliente tiene acceso a la documentación y los mecanismos de supervisión que el Reglamento requiere. La coordinación con las obligaciones de protección de datos en los mismos contratos es esencial para una cobertura completa.

La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA): el regulador nacional del AI Act

La AESIA es la autoridad nacional competente en España para la supervisión y el cumplimiento del AI Act. Está en proceso de constitución como organismo público y está adscrita al Ministerio de Asuntos Económicos y Transformación Digital. Su actividad inspectora y sancionadora comenzará a ser efectiva a medida que se consolide su estructura, pero su implantación y las primeras actuaciones orientativas están previstas para 2025-2026.

La AESIA coordinará su actuación con el AI Office europeo, que es la instancia supervisora de los modelos de IA de propósito general (GPAI) de riesgo sistémico y el coordinador de las actuaciones transfronterizas. Para las empresas españolas que desarrollan o comercializan sistemas de IA de alto riesgo, la AESIA será el interlocutor principal en los procedimientos de notificación, en las consultas sobre evaluación de conformidad y en los eventuales procedimientos sancionadores.

La preparación proactiva para relacionarse con la AESIA —acreditando un programa de cumplimiento sólido y documentado antes de la primera actuación inspectora— es la estrategia que nuestro equipo recomienda para las empresas con mayor exposición al AI Act. Las empresas que esperan al requerimiento para construir la documentación están en una posición de desventaja que es difícil de remediar bajo presión. La relación temprana con el regulador, a través de consultas orientativas cuando el marco normativo presenta dudas, es parte de la estrategia de cumplimiento que integramos en los programas que diseñamos.