12 cosas del AI Act que tu director técnico necesita saber
TL;DR
El AI Act ya está en vigor. La fecha que importa a tu empresa técnica es agosto de 2026. La buena noticia: la mayoría de PYMEs están en riesgo limitado o mínimo. Estas son las 12 cosas concretas que necesitas tener claras antes del verano.
AIFlock·3 de junio de 2026·8 min de lectura
El Reglamento de Inteligencia Artificial de la Unión Europea (Reglamento UE 2024/1689, conocido como AI Act) está en vigor desde el 1 de agosto de 2024. Las obligaciones se aplican escalonadamente. La fecha que importa a la mayoría de empresas técnicas hispanohablantes es el 2 de agosto de 2026: ese día empiezan a aplicar las obligaciones de transparencia y las del régimen de alto riesgo.
Hay dos posturas habituales y las dos cuestan dinero. La primera: ignorar el AI Act porque "es cosa de grandes corporaciones". La segunda: paralizar proyectos por miedo regulatorio. Ambas equivocadas. Lo correcto es entender qué nivel de riesgo aplica al uso concreto que hace tu empresa, documentar lo que toca y seguir construyendo.
Lo que sigue son las 12 cosas que un director técnico de una empresa de 10 a 500 empleados necesita tener claras antes del verano de 2026. Sin alarmismo. Con artículos citados.
1. El AI Act no regula la IA. Regula los productos que usan IA.
Conversación con Joaquín
Cuéntanos un proceso de tu empresa. Te decimos si encaja con agentes.
30 minutos. Análisis técnico, no presentación de producto. Si no encaja, te lo decimos.
La regulación no establece reglas sobre cómo construir un modelo. Establece reglas sobre cómo usarlo en un contexto concreto. Un mismo modelo (por ejemplo GPT-4) puede ser "riesgo limitado" cuando lo usas para resumir documentos internos y "alto riesgo" cuando lo usas para evaluar candidatos a un puesto.
Lo que clasifica no es la tecnología. Es la aplicación. Esto cambia la pregunta correcta: en lugar de "¿es legal usar ChatGPT?", la pregunta es "¿es legal el uso concreto que mi empresa hace de ChatGPT en este proceso?".
2. Hay 4 niveles de riesgo. La mayoría de PYMEs están en dos.
Los niveles son inaceptable, alto, limitado y mínimo. Los dos primeros tienen obligaciones serias; los dos siguientes obligaciones razonables o casi ninguna.
Cuatro ejemplos concretos. Inaceptable: scoring social ciudadano. Alto: software de selección automatizada de personal. Limitado: chatbot de atención al cliente con IA (obligación: avisar al usuario de que habla con IA). Mínimo: filtros de spam con IA (sin obligaciones específicas más allá del RGPD si toca datos personales).
La mayoría de usos típicos en PYMEs técnicas (asistentes internos, RAG sobre documentación propia, automatización de back office) caen en riesgo limitado o mínimo.
3. Riesgo inaceptable: cosas que NO puedes hacer en Europa, sin excepciones.
El artículo 5 del AI Act enumera las prácticas prohibidas: técnicas subliminales para manipular comportamiento, explotación de vulnerabilidades de grupos específicos, scoring social ciudadano, identificación biométrica remota en tiempo real en espacios públicos por autoridades (con excepciones tasadas), categorización biométrica que infiera datos sensibles, reconocimiento de emociones en el ámbito laboral y educativo, y scraping no dirigido de imágenes para construir bases de datos faciales.
Una PYME técnica española dedicada a ingeniería, contabilidad o servicios profesionales prácticamente no entra en ninguna de estas categorías. Si tienes duda con un uso muy específico, conviene confirmarlo expresamente con asesoría jurídica antes de continuar.
4. Alto riesgo: aplica si tu IA decide sobre personas en empleo, crédito, formación o servicios esenciales.
El anexo III del AI Act define las categorías de alto riesgo. Lo relevante para PYMEs técnicas: sistemas de IA usados en selección de personal (filtrado de currículos, evaluación de candidatos, asignación de tareas), evaluación de solvencia crediticia, evaluación de exámenes y resultados académicos, asignación de servicios públicos esenciales, y predicción de riesgo en seguros.
Si tu empresa hace alguna de estas cosas con IA, las obligaciones se vuelven serias: sistema de gestión de calidad documentado, documentación técnica, registro de logs, supervisión humana documentada, evaluación de impacto en derechos fundamentales y, según el caso, certificación externa.
5. Riesgo limitado: lo que cubre la mayoría de tu uso real de IA.
Si tu empresa tiene un asistente interno que resume documentos, un sistema RAG sobre normativa técnica, un agente que prepara borradores de propuestas comerciales o un chatbot que responde a clientes, estás casi con seguridad en riesgo limitado.
Las obligaciones aquí son razonables. Las dos clave: transparencia (los usuarios deben saber que están interactuando con un sistema de IA) y trazabilidad mínima (mantener registro de qué hace el sistema y dónde se ha usado). El artículo 50 del AI Act detalla las obligaciones de transparencia.
6. Las multas no son simbólicas. Pero las grandes solo aplican a usos prohibidos o alto riesgo.
Las multas máximas del AI Act se estructuran en tres tramos. Para usos prohibidos (art. 5): hasta 35 millones de euros o el 7% de la facturación anual mundial, lo que sea mayor. Para incumplimiento de obligaciones de alto riesgo: hasta 15 millones o 3%. Para incumplimiento de obligaciones de transparencia o información falsa a autoridades: hasta 7,5 millones o 1,5%.
En la práctica, una PYME en riesgo limitado que incumpla transparencia se expone al tramo más bajo. Las multas son administrativas y graduadas; los reguladores nacionales (en España, la AESIA, Agencia Española de Supervisión de la Inteligencia Artificial, con sede en La Coruña) suelen empezar por advertencias y planes correctores.
7. El calendario de aplicación es escalonado. Tu fecha clave es agosto de 2026.
Las fechas concretas: 1 ago 2024 entrada en vigor del Reglamento. 2 feb 2025 empiezan a aplicar las prohibiciones del artículo 5 y las obligaciones de alfabetización en IA del artículo 4. 2 ago 2025 empiezan a aplicar las obligaciones para modelos fundacionales (GPAI). 2 ago 2026 empiezan a aplicar el grueso de obligaciones de alto riesgo y de transparencia limitada. 2 ago 2027 aplican las obligaciones para sistemas de alto riesgo embebidos en productos regulados sectorialmente (Anexo I).
Si tu empresa usa IA en producción y estás en riesgo limitado o alto, agosto de 2026 es la fecha que organiza tu plan de compliance. No tienes margen para improvisar en julio.
8. Si tu empresa usa ChatGPT, Copilot o Claude, eres deployer. No provider.
Esta distinción es crítica y se confunde frecuentemente. Provider es quien construye o pone en el mercado el sistema de IA: OpenAI, Anthropic, Mistral, Microsoft, Google. Deployer es quien usa el sistema bajo su autoridad: tu empresa cuando integra ChatGPT en un proceso interno.
Las obligaciones son distintas según el rol. El deployer tiene obligaciones más ligeras que el provider en alto riesgo, pero no inexistentes: supervisión humana operativa, monitorización del funcionamiento, conservación de logs (si el sistema los genera), información a las personas afectadas, formación al personal que opera el sistema.
9. Como deployer de un sistema de alto riesgo, documentas siete cosas.
Si tu empresa entra en alto riesgo (anexo III), las obligaciones del deployer (art. 26) son siete: 1) usar el sistema según las instrucciones del provider; 2) asignar supervisión humana cualificada; 3) garantizar la representatividad de los datos de entrada si los controlas; 4) monitorizar el funcionamiento y comunicar incidentes al provider y a la autoridad; 5) conservar los logs durante al menos seis meses; 6) informar a los trabajadores y a sus representantes antes de poner el sistema en uso; 7) realizar y mantener actualizada la evaluación de impacto en derechos fundamentales si la entidad es organismo público o presta servicios públicos.
En riesgo limitado, las obligaciones del deployer se reducen drásticamente. Por eso clasificar bien el nivel desde el inicio cambia la magnitud del proyecto de compliance.
10. Los modelos fundacionales tienen reglas propias desde agosto de 2025.
El AI Act incorporó (tras la negociación final en 2024) un régimen específico para modelos de IA de propósito general (GPAI): los grandes modelos que no se diseñan para un caso concreto, como GPT-4, Claude, Gemini, Llama, Mistral Large. Estas obligaciones se aplican al provider del modelo, no al deployer que lo usa.
Las obligaciones GPAI base (art. 53): documentación técnica, instrucciones de uso, política de cumplimiento de derechos de autor (incluida la posibilidad de opt-out por parte de titulares), y resumen detallado del contenido de entrenamiento. Para GPAI con riesgo sistémico (modelos entrenados con más de 10^25 FLOPs), se añaden: evaluación de modelos, gestión de riesgos sistémicos, ciberseguridad, reporte de incidentes serios.
11. Compliance por diseño cuesta menos que compliance retrofit.
Cumplir el AI Act tiene un coste que escala con el momento en que lo abordas. Diseñar un sistema desde el inicio con infraestructura europea (servidores en la UE, modelos con régimen de transparencia GPAI), supervisión humana integrada y trazabilidad nativa cuesta lo mismo que diseñarlo sin pensar en compliance. Adaptar un sistema ya desplegado, con datos en jurisdicciones no UE y sin trazabilidad, multiplica el coste.
Para una empresa que empieza a meter IA en producción ahora, la decisión de stack es la palanca más barata de compliance. Servidores en Hetzner (Alemania, ISO 27001), modelos en Mistral (Francia), almacenamiento en Cloudflare R2 (UE) o AWS Europa. El régimen jurídico aplicable queda claro y las obligaciones de transferencias internacionales del RGPD desaparecen.
12. Empezar por una auditoría interna de 30 minutos te ahorra tres consultoras.
La forma sensata de empezar es una auditoría interna corta. Cuatro pasos: 1) Listar los usos de IA actualmente en producción o en pilotaje (ChatGPT en correo, Copilot en código, asistente RAG interno, modelos propios entrenados). 2) Clasificar cada uno según anexo III: ¿afecta a personas en empleo, crédito, formación, servicios esenciales? 3) Para los que estén en riesgo limitado, documentar transparencia, trazabilidad y supervisión. Para los que estén en alto riesgo, abordar las siete obligaciones del deployer (#9). 4) Establecer una política interna de aprobación previa para nuevos casos de uso.
Las consultoras tienden a sobredimensionar el proyecto. La mayoría de PYMEs técnicas necesitan documentar de 5 a 10 usos y mantener un registro vivo. No requieren ni auditoría externa ni certificación si no entran en alto riesgo.
Lo que NO dice el AI Act y suele exagerarse
Tres mitos frecuentes. Primero: el AI Act no prohíbe ChatGPT en empresas; solo prohíbe ciertos usos concretos del artículo 5, ninguno relacionado con asistencia profesional general. Segundo: el AI Act no obliga a registro previo de todos los usos de IA en una empresa; el registro público solo aplica a sistemas de alto riesgo del anexo III. Tercero: el AI Act no requiere auditoría externa para riesgo limitado; basta con documentación interna y aplicación de las obligaciones del art. 50.
Lo que sí pide la regulación es claridad sobre lo que haces, supervisión humana donde corresponde y trazabilidad cuando aplique. Para una empresa técnica con cultura de calidad esto es asumible sin parar la operación. La urgencia es real, no dramática.
