Te ayudamos a adecuar tu empresa al Reglamento (UE) 2024/1689: inventario y clasificación de tus sistemas de IA por nivel de riesgo, obligaciones de transparencia, gobernanza y supervisión humana. El reglamento ya obliga por fases, la AESIA ya inspecciona en España y las sanciones llegan a 35 M€ o el 7% de la facturación. Te decimos qué cumplir y cuándo, con el calendario actualizado tras el Digital Omnibus.
Consulta gratuita
Te respondemos en menos de 24 h
Seis bloques para pasar del "usamos IA sin control" a un uso supervisado y documentado, defendible ante la AESIA y alineado con el enfoque basado en riesgo del Reglamento.
Identificamos todos los sistemas de IA que tu organización usa o desarrolla —incluida la IA que tus empleados utilizan por su cuenta y los agentes autónomos— con su finalidad y los datos que tratan. Sin inventario no hay forma de demostrar cumplimiento.
Clasificamos cada sistema en los cuatro niveles del AI Act —inaceptable (prohibido), alto riesgo, riesgo limitado o mínimo— porque de esa categoría dependen las obligaciones que te aplican y los plazos que debes cumplir.
Diseñamos la política de uso de IA, los roles, la supervisión humana efectiva y la gestión de riesgos. El reglamento no exige un "delegado de IA", pero sí personas con conocimiento suficiente para supervisar.
Las obligaciones de transparencia del Artículo 50 (informar de que se interactúa con IA y marcar el contenido generado o manipulado, incluidos los deepfakes) siguen vigentes desde el 2 de agosto de 2026. Te ayudamos a implementarlas.
La IA y el RGPD van de la mano: la AESIA y la AEPD reparten competencias. Coordinamos el uso de IA con las bases de legitimación, la información a los afectados, la biometría y el papel del Delegado de Protección de Datos.
Si usas IA en selección de personal, scoring crediticio, biometría o educación, probablemente sea de alto riesgo. Preparamos la documentación técnica, el registro, la supervisión y la conformidad antes de las nuevas fechas.
El AI Act no regula solo a quien fabrica IA: afecta a cualquier empresa de la UE que desarrolle, comercialice o simplemente use sistemas de IA en su actividad, aunque la herramienta sea de un tercero. La AESIA ya inspecciona en España.
"Si usas IA en tu actividad eres 'responsable del despliegue' y tienes obligaciones, aunque la herramienta la haya hecho otro. Y la empresa responde incluso del uso de IA que hagan sus empleados por su cuenta."
"Los proveedores soportan las obligaciones más exigentes, sobre todo para sistemas de alto riesgo: gestión de riesgos, datos, documentación técnica, registro, supervisión humana y conformidad."
"Selección de personal, scoring crediticio, biometría, educación o acceso a servicios esenciales son usos de alto riesgo (Anexo III) con obligaciones reforzadas, aunque sus fechas se han aplazado con el Digital Omnibus."
"Si usas ChatGPT, Gemini u otra IA generativa, las obligaciones principales recaen en el proveedor del modelo. La tuya es de transparencia: informar cuando el contenido es generado por IA y, si lo usas en un contexto de alto riesgo, cumplir como deployer."
El régimen sancionador del AI Act supera en cuantía al del RGPD. Y la AESIA puede actuar de oficio, sin necesidad de denuncia previa. El mayor riesgo de muchas empresas es no saber siquiera qué IA están usando.
Usar IA prohibida (manipulación subliminal, social scoring, ciertas biometrías o deepfakes sexuales) se sanciona con hasta 35.000.000 € o el 7% de la facturación global anual, la cifra que resulte mayor.
Incumplir las obligaciones de los sistemas de alto riesgo o las de transparencia puede costar hasta 15.000.000 € o el 3% de la facturación. La información falsa a la autoridad, hasta 7,5 M€ o el 1%.
No inventariar ni clasificar: si no puedes acreditar qué sistemas de IA usas, con qué fin y bajo qué controles, no podrás demostrar cumplimiento. La carga de la prueba, como en el RGPD, recae sobre tu organización.
No etiquetar contenido de IA: desde agosto de 2026 hay que informar de la interacción con IA y marcar el contenido sintético. No hacerlo es infracción, especialmente sensible en medios, marketing y plataformas.
Responsabilidad por tus empleados: la empresa responde del uso de IA que hagan sus trabajadores, aunque no estuviera autorizado. El "no lo sabía" no exime del cumplimiento.
La Agencia Española de Supervisión de la IA está operativa desde febrero de 2025, con cuerpo de inspección propio y potestad sancionadora sobre prácticas prohibidas. Puede apercibir y actuar de oficio.
Hacemos el inventario, clasificamos tus sistemas por nivel de riesgo y te decimos exactamente qué cumplir y para cuándo, con el calendario actualizado tras el Digital Omnibus. Empezar ahora es barato; hacerlo bajo una inspección, caro.
El AI Act es el Reglamento (UE) 2024/1689, la primera legislación integral de IA del mundo. Aplica a cualquier empresa que desarrolle, comercialice o use sistemas de IA en la Unión Europea, aunque la herramienta sea de un tercero. Clasifica los sistemas en cuatro niveles de riesgo con obligaciones proporcionales.
Sí, por fases. Las prohibiciones y la alfabetización en IA aplican desde febrero de 2025; las reglas de los modelos de propósito general y el régimen sancionador, desde agosto de 2025; y las obligaciones de transparencia del Artículo 50, desde el 2 de agosto de 2026.
El Digital Omnibus (acuerdo de mayo de 2026) ha aplazado las obligaciones de alto riesgo: las del Anexo III, a diciembre de 2027, y las del Anexo I, a agosto de 2028. Estos nuevos plazos surten efecto una vez se publique formalmente.
Tres tramos: usar IA prohibida, hasta 35.000.000 € o el 7% de la facturación global; incumplir obligaciones de alto riesgo o de transparencia, hasta 15.000.000 € o el 3%; e información falsa a la autoridad, hasta 7,5 M€ o el 1%. Para pymes y startups se aplica la cifra menor, pero no hay exención total.
ChatGPT es un modelo de propósito general (GPAI): las obligaciones principales recaen en su proveedor. La tuya es de transparencia: si generas contenido que se presenta como humano, debes informar. Y si lo usas en un contexto de alto riesgo (evaluar empleados, decisiones de crédito), te aplican como responsable del despliegue esas obligaciones reforzadas.
Sistemas cuyo uso puede afectar a derechos o a la seguridad: selección de personal, evaluación de empleados, scoring crediticio, biometría, educación, acceso a servicios esenciales o IA integrada en productos regulados. Conllevan gestión de riesgos, documentación técnica, registro, supervisión humana y conformidad.
Sigues siendo responsable del despliegue y tienes obligaciones propias: usarla conforme a sus instrucciones, garantizar supervisión humana, informar a los afectados cuando proceda y vigilar su funcionamiento. El desconocimiento no exime: si tu software de RRHH o de crédito lleva IA de alto riesgo, lo urgente es clasificarlo.
El AI Act no exige una figura equivalente al Delegado de Protección de Datos. Sí exige que haya personas con conocimiento suficiente para supervisar los sistemas (alfabetización en IA) y, en alto riesgo, una supervisión humana efectiva. En la práctica, conviene asignar responsabilidades claras dentro del compliance.
La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña, es la autoridad de vigilancia del mercado de IA en España y el punto de contacto con la Oficina de IA de la UE. Puede inspeccionar, requerir documentación, ordenar la retirada de sistemas no conformes y tramitar expedientes sancionadores, incluso de oficio.
Solo en parte, y es un matiz importante. Aplaza las obligaciones de alto riesgo (Anexo III a diciembre de 2027; Anexo I a agosto de 2028), pero no las prohibiciones, ni las reglas de los modelos de propósito general, ni la transparencia del Artículo 50, que sigue en el 2 de agosto de 2026. Y añade nuevas prohibiciones de deepfakes sexuales con efecto en diciembre de 2026.
Sí. La organización es responsable del uso de IA en su actividad, incluida la que sus empleados usan por su cuenta (la llamada "shadow AI") y los agentes que despliegan internamente. Por eso el inventario debe abarcar también esa IA que hoy está fuera del radar.
Se solapan. Muchos sistemas de IA tratan datos personales, así que hay que coordinar el AI Act con el RGPD y con el Delegado de Protección de Datos. En España, la AESIA y la AEPD reparten competencias: la AEPD conserva su papel en datos y biometría.
Sí. Desde agosto de 2026 hay que informar de la interacción con IA y marcar el contenido sintético (texto, imagen, audio y vídeo), con obligaciones específicas de marcado legible por máquina para los proveedores a partir de diciembre de 2026. Afecta de lleno a medios, marketing, agencias y plataformas.
Sí, con matices. Hay documentación simplificada, sanciones proporcionadas y acceso al sandbox regulatorio de la AESIA para probar sistemas de alto riesgo en un entorno supervisado. El Omnibus extiende algunas de esas facilidades a las "small mid-caps". Pero ninguna empresa queda totalmente exenta.
En camino. El Gobierno aprobó en mayo de 2026 el proyecto de Ley Orgánica para la gobernanza de la IA, que adapta el reglamento al ordenamiento español y fija autoridades y sanciones nacionales. Aún se tramita, pero las obligaciones materiales ya son exigibles vía reglamento europeo: no hay que esperar a la ley para empezar.
El AI Act es una normativa basada en el riesgo: a más riesgo del uso, más obligaciones. Clasificar bien cada sistema es el paso que determina todo lo demás. Esta es la foto, con el calendario ya ajustado por el Digital Omnibus.
Las obligaciones, los plazos y las sanciones dependen del nivel de riesgo de cada sistema. Un mismo software puede ser de alto riesgo o de riesgo limitado según para qué lo uses.
Primero inventario, después clasificación y análisis de brechas, y por último gobernanza y la documentación que cada sistema necesite según su categoría.
| Nivel de riesgo | Ejemplos | Obligaciones | Desde cuándo |
|---|---|---|---|
| Inaceptable (prohibido) | Manipulación subliminal, social scoring, ciertas biometrías, deepfakes sexuales | Prohibición total | Feb 2025 (deepfakes sexuales: dic 2026) |
| Alto riesgo | Selección de personal, scoring crediticio, biometría, educación, IA en productos regulados | Gestión de riesgos, documentación, registro, supervisión humana, conformidad | Anexo III: dic 2027 · Anexo I: ago 2028 |
| Riesgo limitado | Chatbots, asistentes, IA generativa, deepfakes no sexuales | Transparencia: informar al usuario y marcar el contenido | Ago 2026 (marcado: dic 2026) |
| Riesgo mínimo | Filtros antispam, recomendadores, videojuegos, la mayoría de usos | Sin obligaciones específicas; buenas prácticas voluntarias | — |
Calendario ajustado por el Digital Omnibus (acuerdo de mayo de 2026, pendiente de publicación formal): los nuevos plazos de alto riesgo solo surten efecto tras su publicación en el Diario Oficial de la UE. Esta página es informativa y no constituye asesoramiento jurídico; cada sistema debe analizarse de forma individual.
El aplazamiento del alto riesgo da aire, pero no es una excusa para no hacer nada: lo difícil no es la plantilla de documentación, sino encontrar y clasificar toda la IA de la organización. Eso se puede empezar ya.
Sistemas propios, integrados, comprados y los que usan tus empleados por su cuenta. Todo lo demás depende del inventario.
De la categoría de riesgo de cada sistema dependen las obligaciones y los plazos. Un mismo modelo cambia de categoría según el uso.
Políticas, supervisión humana y documentación. Si no puedes demostrar el control, a efectos de la AESIA es como no tenerlo.
¿Quieres integrarlo en tu programa de cumplimiento? Míralo junto al corporate compliance y el compliance officer externo.
Adecuarse al AI Act no es firmar un documento: es un proceso de inventario, clasificación y gobernanza que debe poder demostrarse ante la AESIA. Este es el recorrido, desde descubrir qué IA usas hasta sostener la evidencia en el tiempo.
1) InventarioMapeamos todos los sistemas de IA: propios, integrados, comprados y la "shadow AI" que usan los empleados, con su finalidad y los datos que tratan.
2) ClasificaciónAsignamos a cada sistema su nivel —prohibido, alto, limitado o mínimo— y el rol de la empresa: proveedor o responsable del despliegue.
3) BrechasComparamos cada sistema con lo que el reglamento exige según su categoría y priorizamos: qué hay que retirar, corregir o documentar, y para cuándo.
4) Gobernanza + evidenciaImplantamos la política de uso de IA, la supervisión humana, la transparencia del Artículo 50 y la documentación que cada sistema necesita. Y dejamos la evidencia lista para acreditar el cumplimiento ante la AESIA.
Decisión rápidaRetíralo o rediséñalo ya: las prohibiciones del Artículo 5 están vigentes desde 2025.
Documentación, registro y supervisión; preparación ante diciembre de 2027 / agosto de 2028.
Transparencia y marcado del contenido sintético desde agosto / diciembre de 2026.
Conocer todos los sistemas de IA usados o desarrollados, incluida la shadow AI.
Registro de sistemas con finalidad, datos, rol y proveedor.
Asignar nivel de riesgo y rol (proveedor o responsable del despliegue).
Matriz de clasificación y justificación por sistema.
Informar de la interacción con IA y marcar el contenido generado o manipulado.
Avisos en la interfaz y marcado legible por máquina del contenido sintético.
Gestión de riesgos, datos, supervisión humana, registro y conformidad.
Documentación técnica, registro en la base de datos y evaluación de conformidad.
Coordinar el uso de IA con el RGPD y los derechos de los afectados.
Bases de legitimación, información a interesados y coordinación con el DPO.
Detéctalos antes de que lo haga la AESIA.
Si estás adecuando tu empresa al Reglamento de IA, estos términos aparecen en la clasificación, en la documentación y en la relación con la AESIA.
Software que, con cierta autonomía, genera resultados (predicciones, recomendaciones, decisiones, contenidos) que influyen en su entorno. Es la unidad que se inventaría y clasifica.
Usos vetados: manipulación subliminal, social scoring, ciertas biometrías y deepfakes sexuales. No pueden ofrecerse ni utilizarse. Vigentes desde febrero de 2025.
Usos que afectan a derechos o seguridad (RRHH, crédito, biometría, educación). Obligaciones reforzadas, con fechas aplazadas por el Digital Omnibus.
Modelos como los de ChatGPT o Gemini, válidos para múltiples tareas. Las obligaciones principales recaen en su proveedor; el usuario asume transparencia y, si procede, alto riesgo.
Informar de que se interactúa con IA y marcar el contenido generado o manipulado (incluidos deepfakes). No se aplazaron: vigentes desde el 2 de agosto de 2026.
El proveedor desarrolla o comercializa el sistema; el responsable del despliegue (deployer) lo usa en su actividad. Cada rol tiene obligaciones distintas y la mayoría de empresas son deployers.
Autoridad de vigilancia del mercado de IA en España, con sede en A Coruña y punto de contacto con la Oficina de IA de la UE. Inspecciona y sanciona, incluso de oficio.
Espacio supervisado por la AESIA donde probar sistemas de IA innovadores —incluidos los de alto riesgo— antes de lanzarlos, especialmente útil para pymes y startups.
Marca legible por máquina que identifica el contenido generado o manipulado por IA, para distinguir lo real de lo sintético. Obligación de los proveedores desde diciembre de 2026.
Descarga la guía con lo esencial para cumplir: a quién obliga, los cuatro niveles de riesgo, el calendario actualizado tras el Digital Omnibus, las obligaciones de transparencia, la AESIA y el régimen sancionador.
El AI Act es el Reglamento (UE) 2024/1689, primera legislación integral de inteligencia artificial del mundo, en vigor desde agosto de 2024 y con aplicación escalonada. Adopta un enfoque basado en el riesgo: clasifica los sistemas en cuatro niveles y exige obligaciones proporcionales. En España, la autoridad de vigilancia es la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en A Coruña, que reparte competencias con la AEPD y los supervisores sectoriales. El régimen sancionador alcanza los 35 millones de euros o el 7% de la facturación.
El Digital Omnibus (acuerdo político de mayo de 2026, respaldado por el Parlamento en junio y pendiente de adopción formal) aplaza las obligaciones de alto riesgo: las del Anexo III, a diciembre de 2027, y las del Anexo I, a agosto de 2028. En cambio, las prohibiciones del Artículo 5, las reglas de los modelos de propósito general y la transparencia del Artículo 50 (vigente desde el 2 de agosto de 2026) no se aplazan, y se añaden nuevas prohibiciones de deepfakes sexuales con efecto en diciembre de 2026. Los nuevos plazos solo surten efecto tras su publicación en el Diario Oficial de la UE.
El Gobierno aprobó en mayo de 2026 el proyecto de Ley Orgánica para el buen uso y la gobernanza de la IA, que adapta el reglamento al ordenamiento español y fija las autoridades y el régimen sancionador nacional. Aún se tramita, pero las obligaciones materiales ya son exigibles vía reglamento europeo: la AESIA puede apercibir e inspeccionar desde ya, así que no conviene esperar a su aprobación para empezar a cumplir.
Puedes consultar la normativa y la autoridad competente en sus fuentes oficiales: el Reglamento (UE) 2024/1689 (EUR-Lex) y la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA). Esta página es informativa y no constituye asesoramiento jurídico; cada sistema de IA debe analizarse de forma individual.