AI Act y contratación pública en España: cómo afecta a los vendedores en 2026

Actualizado abril 2026 · Public Procurement · Autor Matteo Mirabelli

La contratación pública en España es, para muchas empresas B2B, una vía estratégica de crecimiento que en 2026 cambia significativamente por la aplicación del Reglamento Europeo 2024/1689 (AI Act). Los pliegos PLACSP empiezan a incorporar exigencias específicas sobre sistemas IA: documentación técnica, certificaciones, transparencia, supervisión humana. Esta guía está pensada para vendedores B2B (PYMEs y mid-market) que licitan o quieren licitar al sector público español y necesitan entender cómo el AI Act modifica el panorama.

Aviso: este contenido es informativo y no constituye asesoramiento legal. Consulte con su asesor jurídico para casos específicos.

Marco regulatorio: tres capas que se solapan

Una empresa que vende a sector público español con sistemas IA opera dentro de tres capas regulatorias simultáneas:

Capa 1: Contratación pública. Ley 9/2017 de Contratos del Sector Público (LCSP), Directivas UE 2014/24, 2014/25, 2014/23, RD 1098/2001 (RGCAP). Define cómo se publican licitaciones, criterios de adjudicación, derechos del licitador.

Capa 2: Sistemas IA. Reglamento Europeo 2024/1689 (AI Act), supervisado por AESIA en España. Define obligaciones por categoría de riesgo.

Capa 3: Sector público específico. ENS (Esquema Nacional de Seguridad), RD 311/2022. RD 203/2021 sobre actuación administrativa automatizada. RGPD aplicado a sector público (Ley Orgánica 3/2018).

Las tres capas interactúan. Un pliego PLACSP puede incorporar exigencias derivadas de cualquiera de ellas, y el licitador debe responder a todas.

Qué cambia con el AI Act en pliegos públicos

Cuatro cambios observables en pliegos publicados en PLACSP durante 2025-2026:

Documentación técnica del sistema. Se solicita ficha técnica del sistema IA propuesto: arquitectura, datos de entrenamiento, métricas de rendimiento, limitaciones conocidas.

Clasificación de riesgo AI Act. El licitador declara la categoría (alto riesgo, riesgo limitado) y aporta documentación coherente.

Mecanismos de supervisión humana. Especialmente en sistemas que afectan a derechos de ciudadanos, pliegos exigen describir cómo se garantiza supervisión humana efectiva.

Certificaciones. ISO 42001, ISO 27001, ENS, otras certificaciones se valoran positivamente o se exigen como requisito.

Adicionalmente, en sistemas de alto riesgo Anexo III (por ejemplo, IA en gestión de servicios sociales, justicia, control fronterizo), las exigencias son más estrictas: marcado CE, declaración de conformidad UE, evaluación de impacto sobre derechos fundamentales.

PLACSP y SARA: lo que conviene saber

PLACSP (Plataforma de Contratación del Sector Público) es el portal central donde se publican licitaciones públicas. Acceso a través de contratacion.gob.es.

SARA (Sujetos a Regulación Armonizada) son los contratos por encima de los umbrales harmonizados de la UE: actualmente 143.000 euros para servicios y suministros para Administración General del Estado, 221.000 para entidades locales, 5,4 millones para obras (umbrales 2024-2025; revisión bienal). Los contratos SARA tienen reglas más estrictas de publicación, plazos y procedimiento.

Para sistemas IA, los contratos SARA son frecuentes en proyectos de transformación digital, sistemas para gestión pública, plataformas de servicios al ciudadano. La preparación documental es más exigente.

Consulte PLACSP y licitaciones públicas con IA y SARA y contratación pública con IA.

Documentación nuclear que un licitador debe tener preparada

Ficha técnica del sistema IA. 5-15 páginas con arquitectura, modelos utilizados, datos, métricas, limitaciones, mecanismos de supervisión.

Política IA de la empresa. Documento firmado por dirección.

Certificaciones. ISO 42001 (si aplica), ISO 27001, ENS, otras.

Documentación AI Act específica. Clasificación de riesgo, declaraciones, evaluaciones.

DPA y subencargados. Especialmente si se procesan datos personales del sector público.

Evidencias de supervisión humana. Procedimientos, formación, registros.

Audit trail funcional. Capacidad de exportar registros del sistema.

Plan de continuidad y reversibilidad. Cómo se garantiza continuidad y posibilidad de retirada del sistema.

Cómo afecta al contenido de la oferta

Las ofertas técnicas en pliegos con sistemas IA en 2026 deben articular tres dimensiones:

Dimensión funcional. Lo que el sistema hace para el organismo público.

Dimensión técnica. Cómo lo hace, con qué arquitectura, qué datos, qué modelos.

Dimensión de cumplimiento. Cómo cumple AI Act, RGPD, ENS, requisitos específicos del pliego.

Un licitador que ignora la tercera dimensión queda fuera del 30-50% de pliegos públicos relevantes en 2026, según verticales.

ENS: el componente de seguridad

ENS (Esquema Nacional de Seguridad, RD 311/2022) define medidas de seguridad para sistemas que tratan información del sector público. Tres niveles: BÁSICO, MEDIO, ALTO según sensibilidad.

Para sistemas IA en sector público:

Nivel BÁSICO. Sistemas de bajo impacto. Medidas de seguridad esenciales. Alcanzable para PYME con esfuerzo razonable.

Nivel MEDIO. Sistemas de impacto significativo. Medidas más exigentes. Inversión en arquitectura, controles de acceso, monitorización.

Nivel ALTO. Sistemas críticos. Medidas estrictas. Requiere infraestructura específica.

El nivel se determina por el organismo contratante en función de los datos y servicios afectados. La empresa licitadora debe poder operar al nivel exigido. Certificación ENS por entidad acreditada (ENAC) facilita la prueba.

Coordinación AESIA-CCN-AEPD

Tres organismos relevantes:

AESIA. Autoridad supervisora del AI Act.

CCN (Centro Criptológico Nacional). Coordina aplicación del ENS.

AEPD. Protección de datos.

En sistemas IA en sector público, los tres pueden intervenir. Coordinación entre ellos está formalizada. La empresa proveedora debe estar preparada para responder a cualquiera.

Estrategia para PYME que quiere licitar

Paso 1: identificar nicho. No todas las licitaciones son accesibles a PYME. Identificar áreas donde el tamaño no es barrera (servicios profesionales, proyectos modulares).

Paso 2: preparar documentación nuclear. ISO 42001 (o espíritu), ISO 27001 si es viable, ENS BÁSICO, política IA, ficha técnica del sistema.

Paso 3: alianzas. UTE (Unión Temporal de Empresas) con otras PYMEs o con consultora más grande. Reduce riesgo y aporta capacidad.

Paso 4: seguimiento PLACSP. Alertas automatizadas sobre licitaciones en categorías relevantes. Plataformas comerciales o herramientas propias.

Paso 5: respuestas estructuradas. Plantillas de oferta que incorporen las tres dimensiones (funcional, técnica, cumplimiento).

AI Act + ISO 42001 en la práctica

Para una empresa que vende sistemas IA a sector público español, la articulación AI Act + ISO 42001 + ENS es la pila completa de cumplimiento.

AI Act define obligaciones por categoría de riesgo. Para sistemas en sector público, especial atención a sistemas Anexo III (alto riesgo) cuando afectan a servicios esenciales o derechos.

ISO 42001 estructura el sistema de gestión. AENOR (acreditada por ENAC) certifica. Otras entidades acreditadas también: Bureau Veritas, KPMG, DNV, EQA, SGS, DEKRA, TÜV.

ENS define seguridad. CCN coordina, ENAC acredita entidades certificadoras.

RGPD aplica con especificidades de sector público. AEPD supervisa.

AESIA es el supervisor del AI Act y coordina con AEPD y CCN. La empresa que opera con esta pila completa puede responder a requerimientos coherentemente.

Aviso: este contenido es informativo y no constituye asesoramiento legal. Consulte con su asesor jurídico para casos específicos.

Errores frecuentes

Presentar oferta sin documentación de cumplimiento. En pliegos 2026, eliminatorio.

Subestimar el nivel ENS exigido. Verificar antes de presentar.

No clasificar correctamente el sistema según AI Act. Inconsistencias entre oferta y documentación se penalizan.

Saltar el análisis del pliego antes de presentar. Cada pliego es distinto.

No considerar UTE en pliegos grandes. PYMEs se autoexcluyen.

Para profundizar consulte PLACSP y licitaciones públicas con IA, SARA y contratación pública con IA, preparar pliegos de licitación con IA y AI Act España: guía de cumplimiento.

FAQ

¿AI Act aplica a contratación pública? Sí. Sistemas IA en sector público entran plenamente en AI Act.

¿ISO 42001 es obligatoria para licitar? No siempre. Cada vez más exigida o valorada.

¿Qué nivel ENS necesito? Depende del pliego. Verificar antes de presentar.

¿PYME tiene posibilidad real? Sí, en nichos y con UTE.

¿Cuánto tiempo de preparación necesito? 6-12 meses para tener documentación nuclear lista. Pliegos individuales tras tenerla: 4-8 semanas de preparación de oferta.

¿Y para LatAm? Marco distinto país por país. Documentación europea es activo de credibilidad.

Conclusión

El AI Act transforma la contratación pública española en 2026 con exigencias documentales y técnicas específicas. Las empresas que han preparado la pila completa de cumplimiento (AI Act + ISO 42001 + ENS + RGPD) tienen acceso a un mercado que se cierra a competidores no preparados. Knowlee.ai como plataforma de IA Workforce europea, conforme AI Act + ISO 42001 by-design, ofrece a empresas españolas la base documental para licitar en sector público con respaldo regulatorio sólido.