EU AI Act: guía para empresas europeas en 2026
Actualizado abril 2026 · AI Compliance · Autor Matteo Mirabelli
El Reglamento Europeo 2024/1689 (AI Act) está en aplicación escalonada desde 2025. En 2026, la mayoría de obligaciones críticas son ya exigibles, las autoridades supervisoras nacionales están operativas y las primeras inspecciones se están produciendo. Esta guía está pensada para empresas europeas (con foco en España, donde AESIA es la autoridad nacional dedicada) que necesitan situar de forma clara qué obligaciones aplican, en qué plazos y con qué nivel de exigencia. No es asesoramiento legal: es referencia operativa para el responsable interno que organiza el cumplimiento.
Aviso: este contenido es informativo y no constituye asesoramiento legal. Consulte con su asesor jurídico para casos específicos.
Qué es el AI Act y por qué importa
El AI Act es el primer marco regulatorio integral del mundo sobre inteligencia artificial. Se aprobó en 2024 (Reglamento UE 2024/1689) y entró en aplicación escalonadamente desde 2025. Es Reglamento, no Directiva: aplica directamente sin transposición nacional, aunque cada Estado miembro complementa con normas nacionales (como el Anteproyecto de Ley de IA español en tramitación).
Su lógica es la regulación por riesgo. No regula la IA en abstracto, sino los sistemas IA según el daño potencial que pueden causar. Cuatro categorías:
Riesgo inaceptable. Prohibidos: manipulación subliminal, explotación de vulnerabilidades, scoring social tipo gobierno, identificación biométrica remota en tiempo real en espacios públicos (con excepciones tasadas).
Alto riesgo (Anexo III). Sistemas en infraestructuras críticas, educación, empleo (filtrado automatizado de candidatos), servicios esenciales (crédito, seguros, ayudas públicas), justicia, control migratorio, biometría. Régimen estricto.
Riesgo limitado. Sistemas que interactúan con personas (chatbots, IA SDR), generadores de contenido sintético, sistemas de reconocimiento emocional. Régimen de transparencia.
Riesgo mínimo. Todo lo demás. Buenas prácticas voluntarias.
A quién aplica
El AI Act aplica a:
Proveedores (desarrolladores). Quien desarrolla o hace desarrollar el sistema y lo introduce en el mercado UE. Puede estar establecido fuera de UE.
Desplegadores. Quien utiliza el sistema en su empresa para una finalidad concreta. La mayoría de empresas que compran agentes IA caen aquí.
Importadores y distribuidores. Quien comercializa sistemas en UE.
Fabricantes de productos que incorporen sistemas IA (aplica a sectores como automoción, dispositivos médicos).
Una empresa española B2B típica que compra una plataforma IA Workforce es desplegador. El proveedor es desarrollador. Las obligaciones se distribuyen entre ambos.
Obligaciones por categoría
Riesgo inaceptable. Prohibición absoluta. Despliegue ilegal con sanciones máximas.
Alto riesgo (Anexo III). Las obligaciones más exigentes:
- Sistema de gestión de riesgos durante todo el ciclo de vida.
- Gobernanza de datos: sets de entrenamiento de calidad, documentación.
- Documentación técnica detallada (Anexo IV).
- Registro automatizado de eventos.
- Transparencia hacia desplegadores con instrucciones de uso.
- Supervisión humana efectiva.
- Robustez, exactitud y ciberseguridad.
- Sistema de gestión de calidad.
- Registro en base de datos UE (para sistemas Anexo III).
- Marcado CE.
- Declaración de conformidad.
- Para desplegadores: evaluación de impacto sobre derechos fundamentales en ciertos casos, supervisión humana efectiva, monitorización del funcionamiento.
Riesgo limitado. Obligaciones de transparencia:
- Informar a las personas que interactúan con un sistema IA (chatbots).
- Marcar técnicamente contenidos sintéticos generados (deepfakes, generadores de imagen, IA generativa de texto cuando aplica).
- Informar a empleados afectados por sistemas en lugar de trabajo cuando aplique.
Riesgo mínimo. Buenas prácticas voluntarias. Códigos de conducta sectoriales.
Plazos clave
El AI Act entró en vigor el 1 de agosto de 2024 con aplicación escalonada:
Febrero 2025. Prohibición de sistemas de riesgo inaceptable. Obligaciones de alfabetización en IA para empresas.
Agosto 2025. Reglas sobre modelos de IA de uso general (GPAI). Régimen sancionador parcial.
Agosto 2026. Obligaciones de alto riesgo Anexo III plenamente aplicables. Régimen sancionador completo.
Agosto 2027. Obligaciones para sistemas IA integrados en productos regulados (Anexo I).
En 2026, una empresa española con sistemas de alto riesgo en operación debe estar lista o en fase final de adaptación. Para sistemas de riesgo limitado (la mayoría en B2B estándar), las obligaciones son ya plenamente exigibles.
Sanciones
El AI Act establece régimen sancionador severo:
- Hasta 35 millones euros o 7% facturación mundial anual por sistemas prohibidos.
- Hasta 15 millones o 3% facturación por incumplimientos de alto riesgo.
- Hasta 7,5 millones o 1,5% facturación por información incorrecta a autoridades.
Para PYMEs y startups, los importes se ajustan en función del tamaño, pero siguen siendo significativos. En España, AESIA es la autoridad sancionadora.
AESIA y la singularidad española
España es el único Estado miembro de la UE con autoridad de IA dedicada: AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en A Coruña, operativa desde 2023. Otros Estados (Francia, Italia, Alemania) enrutan la supervisión AI Act a través de la autoridad de protección de datos (CNIL, Garante, BfDI).
Implicaciones operativas para empresas en España:
Canal específico de supervisión. AESIA tiene competencia directa sobre AI Act, separada de AEPD que se ocupa de RGPD.
Coordinación con AEPD. En sistemas que tratan datos personales (la mayoría), ambas autoridades pueden intervenir. La empresa debe estar preparada para responder a ambas.
Aplicación temprana. Al ser autoridad dedicada, AESIA ha podido iniciar trabajos preparatorios, guías y supervisión antes de las jurisdicciones donde la autoridad es delegada. Las empresas españolas no pueden contar con margen de aplicación lenta.
Cómo prepararse: hoja de ruta
Paso 1: inventario de sistemas IA. Lista todos los sistemas IA en operación o planificados. Por cada uno: qué hace, qué datos procesa, dónde se desarrolla.
Paso 2: clasificación de riesgo. Aplicar criterios AI Act a cada sistema. Distinguir desarrollador y desplegador.
Paso 3: análisis de obligaciones. Para cada sistema, listar obligaciones específicas según categoría y rol.
Paso 4: gap analysis. Comparar obligaciones con estado actual. Identificar brechas.
Paso 5: plan de remediación. Priorizar por riesgo (Anexo III primero) y por plazo regulatorio.
Paso 6: gobernanza interna. Política IA, responsable de IA, comité IA si tamaño lo justifica, formación de empleados (alfabetización IA es obligatoria).
Paso 7: documentación. Ficha técnica por sistema, registros, audit trail, declaraciones de conformidad cuando aplica.
Paso 8: revisión periódica. Auditoría anual mínimo.
AI Act + ISO 42001 en la práctica
ISO 42001:2023 es el primer estándar internacional certificable de sistemas de gestión de IA. Funciona como marco operativo que facilita el cumplimiento del AI Act. La relación es complementaria: AI Act es regulación obligatoria; ISO 42001 es estándar voluntario que estructura la implementación.
Una empresa que se certifica conforme a ISO 42001 no queda automáticamente conforme con AI Act, pero la mayoría de elementos del sistema de gestión ISO 42001 (política, roles, evaluaciones, registros, ciclos de revisión) son los que el AI Act exige documentar. La certificación facilita la auditoría AESIA.
AENOR certifica conforme a ISO 42001 en España, bajo acreditación ENAC. Otras entidades acreditadas (Bureau Veritas, KPMG, DNV, EQA, SGS, DEKRA, TÜV) también ofrecen certificación.
ENS (Esquema Nacional de Seguridad) aplica cuando la empresa vende a sector público. Las medidas ENS aplicables al sistema IA se trasladan al despliegue.
El Anteproyecto de Ley de IA española, en tramitación en 2026, completará el marco con sanciones administrativas específicas y armonización con AI Act. La práctica recomendable es operar como si ya estuviera en vigor.
Aviso: este contenido es informativo y no constituye asesoramiento legal. Consulte con su asesor jurídico para casos específicos.
Errores frecuentes
No identificar el rol. "Yo solo uso un proveedor, no me aplica." El desplegador tiene obligaciones propias.
Subestimar la categoría de riesgo. Filtrado de candidatos en RRHH es claramente Anexo III. No "riesgo limitado" porque sea cómodo.
Considerar el cumplimiento como proyecto, no como sistema. AI Act exige procesos vivos, no documentos archivados.
Ignorar la formación. La alfabetización en IA de empleados es obligatoria desde febrero 2025.
Asumir que el proveedor cubre todo. El desplegador hereda obligaciones propias.
Para profundizar consulte AI Act España: guía de cumplimiento, AI Act y PYME en España, checklist de cumplimiento IA 2026 España y AESIA: la Agencia Española de Supervisión de la IA.
FAQ
¿AI Act aplica a mi PYME? Sí, si despliega o desarrolla sistemas IA. El régimen se ajusta al tamaño pero la aplicabilidad es general.
¿Qué hago si compro IA a un proveedor estadounidense? Verifico que el sistema cumple AI Act para mercado UE. Como desplegador, hereda obligaciones propias.
¿Necesito ISO 42001? No es obligatorio. Es activo recomendable.
¿Cuándo me visita AESIA? Habitualmente tras reclamación o si hay sistema en alto riesgo registrado. La empresa debe estar preparada para responder.
¿Qué pasa si no cumplo? Sanciones administrativas significativas y reputación dañada.
¿Y para licitaciones públicas? Cumplimiento documentado AI Act es cada vez más exigido. Consulte cumplimiento AI Act en contratación pública.
Conclusión
El AI Act en 2026 es regulación viva con autoridad supervisora operativa (AESIA en España), plazos exigibles y sanciones definidas. Las empresas europeas que han integrado el cumplimiento como sistema (no como proyecto) operan con ventaja competitiva. Knowlee.ai como plataforma de IA Workforce europea, conforme AI Act + ISO 42001 by-design, transfiere la complejidad técnica al proveedor y facilita al desplegador la documentación requerida.