Índice de contenidos
Hay una pregunta que se repite en casi cualquier conversación sobre el Reglamento Europeo de Inteligencia Artificial:
"¿esto nos afecta a nosotros?".
La respuesta corta, para la inmensa mayoría de las empresas que usan IA de cualquier forma dentro de la Unión Europea, es sí. La respuesta larga depende de qué tipo de IA se use.
El Reglamento (UE) 2024/1689, conocido como AI Act, es la primera normativa integral del mundo sobre inteligencia artificial. No distingue por tamaño ni por sector ya que afecta a autónomos, pymes y grandes empresas por igual, y su alcance es extraterritorial, igual que ocurrió en su momento con el RGPD.
El AI Act no es solo cosa de las grandes tecnológicas
Es fácil pensar que el AI Act solo afecta a grandes corporaciones, que va directo a esos "laboratorios" que entrenan modelos gigantes... Pero, en la práctica, la norma también alcanza a una empresa que, por ejemplo,:
- usa un sistema de selección de personal con filtros automáticos,
- a la que aplica scoring crediticio,
- a la que tiene un chatbot de atención al cliente o
- a la que usa IA para mantenimiento predictivo en una planta industrial.
Casi cualquier empresa que use un CRM, un ERP o una herramienta de RRHH con funciones de IA integradas ya está, sin a lo mejor saberlo, dentro del ámbito de aplicación del reglamento AI Act.
> ¿Cómo cumplir con el reglamento AI Act? ¡Descúbrelo!
Cómo se clasifican los sistemas de IA
El AI Act organiza los sistemas de IA en cuatro niveles de riesgo, y las obligaciones cambian mucho según en cuál caiga cada sistema:
| Nivel de riesgo | Qué implica | Ejemplos habituales |
|---|---|---|
| Inaceptable | Prohibido directamente | Puntuación social, manipulación subliminal, reconocimiento de emociones en el trabajo |
| Alto | Obligaciones estrictas y supervisión regulatoria | Selección de personal, scoring crediticio, gestión de infraestructuras críticas, evaluación educativa |
| Limitado | Obligaciones de transparencia | Chatbots, contenido generado por IA que debe etiquetarse |
| Mínimo | Sin obligaciones específicas | Filtros de spam, videojuegos con IA |
Esta clasificación no es un trámite. Te ayuda a determinar si a tu empresa solo le hace falta un aviso de transparencia o si necesita un sistema de gestión de riesgo documentado, supervisión humana verificable y evaluaciones de conformidad completas.
Las multas si no cumples con el reglamento AI Act
Las cifras que circulan sobre este reglamento son impactantes:
hasta 35 millones de euros o el 7% de la facturación global por prácticas prohibidas, y hasta 15 millones de euros o el 3% por incumplimientos relacionados con sistemas de alto riesgo.
Estas son las sanciones más severas que ha introducido nunca una norma digital europea, por encima incluso del RGPD.
Infracciones para las Pymes que no cumplen el relgamento AI Act
Pero, si eres una pyme, no subamos las pulsaciones. Las pymes tienen un régimen proporcional: la multa aplicada es la menor entre el importe fijo y el porcentaje de facturación, y debe ajustarse a la capacidad económica real de la empresa.
Eso no exime del cumplimiento sustantivo, pero sí cambia respecto a lo qué está realmente en juego para una empresa mediana frente a una multinacional.
En España, la autoridad encargada de supervisar y sancionar es la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en A Coruña. A comienzos de 2026 ya operaba con un equipo amplio de inspectores técnicos y juristas especializados, y había abierto varias decenas de investigaciones preliminares.
Fechas claves para el AI Act
Algunas obligaciones del AI Act llevan vigentes desde febrero de 2025, entre ellas la prohibición de prácticas de IA inaceptables y la exigencia de que el personal tenga un nivel suficiente de alfabetización en IA para entender los riesgos de las herramientas que usa. Las obligaciones para modelos de propósito general (los llamados GPAI, como los que dan servicio a asistentes conversacionales) llevan activas desde agosto de 2025.
La fecha que más debate genera es la de los sistemas de alto riesgo, marcada originalmente para el 2 de agosto de 2026. A mediados de 2026 hay un paquete legislativo en negociación (el llamado Digital Omnibus) que plantea retrasar esta obligación concreta hasta diciembre de 2027, con el objetivo declarado de simplificar trámites para las pymes. (Este punto todavía no está cerrado en el momento de escribir este artículo, así que conviene verificar el estado exacto del calendario antes de tomar decisiones basadas únicamente en una fecha).
Lo que no está en discusión es la obligación de formación en IA, ya exigible desde 2025, ni la prohibición de prácticas inaceptables.
Nuestro consejo:
Esperar a que se aclare el resto del calendario no es motivo para posponer lo que ya es obligatorio hoy.
Cómo me pareparo para el reglamento AI Act
Cumplir el AI Act no consiste en encargar un informe jurídico de doscientas páginas y archivarlo. Consiste en construir un sistema que se pueda demostrar ante una inspección con:
- un inventario de los sistemas de IA que usa la empresa,
- su clasificación de riesgo,
- un análisis de qué falta respecto a lo que exige la norma (y también respecto al RGPD y a la ISO 42001, que se solapan constantemente), y
- evidencias reales, como registros de uso, controles y documentación técnica.
La ISO/IEC 42001, publicada en 2023, ayuda precisamente en esto: no sustituye al AI Act, pero aporta el sistema de gestión que ordena cómo se cumple la norma día a día, con roles definidos, políticas y un ciclo de mejora continua. No es obligatoria, pero cada vez se pide más en pliegos públicos y en contratos con clientes corporativos que exigen evidencia de gobernanza antes de firmar.
En Bluak trabajamos este recorrido completo a través de AI Act Ready: desde definir qué alcance regulatorio tiene realmente tu empresa hasta dejar la documentación, los controles y las evidencias listas para cuando llegue una inspección o un cliente te pida garantías.
Te lanzamos una reflexión para que la evalúes desde hoy:
"¿mi empresa podría demostrar hoy mismo que cumple el reglamento AI Act, si me lo pidieran?".
