AI Act en España: guía de cumplimiento para empresas 2026

Actualizado abril 2026 · AI Compliance · Autor Matteo Mirabelli

España es, en 2026, una de las jurisdicciones europeas con mayor presión regulatoria efectiva sobre sistemas IA. La razón es estructural: AESIA, la Agencia Española de Supervisión de la Inteligencia Artificial, opera desde 2023 con sede en A Coruña, en paralelo con la AEPD para protección de datos. Otros Estados miembros enrutan la supervisión AI Act a través de la autoridad de protección de datos. Esta guía describe, con foco específico en España, cómo cumplir con el Reglamento Europeo 2024/1689 (AI Act) en una empresa española, qué autoridades intervienen y qué hoja de ruta seguir.

Aviso: este contenido es informativo y no constituye asesoramiento legal. Consulte con su asesor jurídico para casos específicos.

Marco regulatorio español específico

El cumplimiento AI Act en España opera dentro de un marco regulatorio articulado en varias capas:

Reglamento Europeo 2024/1689 (AI Act). Reglamento UE de aplicación directa.

AESIA. Autoridad nacional supervisora del AI Act.

AEPD. Autoridad de protección de datos. Aplica RGPD y Ley Orgánica 3/2018.

Anteproyecto de Ley de IA española. En tramitación en 2026. Establecerá sanciones administrativas específicas y completará el régimen.

Estrategia Nacional de IA. Marco político-estratégico del Gobierno de España.

ENS (Esquema Nacional de Seguridad). Aplicable en relación con sector público.

RD 311/2022 sobre ENS y RD 203/2021 sobre actuación administrativa automatizada: marcos relevantes para sector público.

ENAC y AENOR. Acreditación y certificación, respectivamente.

AESIA: lo que un responsable empresarial debe saber

AESIA tiene sede en A Coruña y rango de organismo público estatal. Sus competencias incluyen:

Supervisión del cumplimiento del AI Act en territorio español.

Sanción administrativa por incumplimiento de las obligaciones del AI Act.

Coordinación con autoridades europeas (Oficina Europea de IA, autoridades nacionales de otros Estados miembros).

Coordinación con AEPD en sistemas que tratan datos personales.

Aprobación de códigos de conducta sectoriales y emisión de guías técnicas.

Sandbox regulatorio. España opera el sandbox regulatorio AI Act que permite a empresas probar sistemas IA bajo supervisión.

Lo que la empresa española debe esperar de AESIA: solicitudes de información sobre sistemas IA en uso (especialmente Anexo III), inspecciones, requerimientos de documentación, y eventualmente sanciones. Sin documentación previa, la respuesta tempestiva es imposible.

Coordinación AESIA-AEPD

La mayoría de sistemas IA tratan datos personales. Esto activa simultáneamente AI Act (competencia AESIA) y RGPD (competencia AEPD). La coordinación entre ambas autoridades está formalizada por convenio y operativa.

Implicaciones prácticas:

Una reclamación a AEPD por tratamiento puede activar revisión AESIA del sistema IA subyacente.

Un requerimiento AESIA por sistema puede derivar consultas a AEPD sobre componente datos.

La empresa debe estar preparada para responder a ambas con documentación coherente.

El delegado de protección de datos (DPD) sigue siendo figura RGPD; el responsable de IA es figura adicional o coincidente según organización.

Obligaciones por categoría en España

Las obligaciones AI Act son europeas pero su aplicación práctica en España tiene especificidades:

Riesgo inaceptable. Prohibición. Sanciones de AESIA hasta 35 millones euros o 7% facturación.

Alto riesgo (Anexo III). Obligaciones plenas: gestión de riesgos, gobernanza datos, documentación técnica, registro automatizado, transparencia, supervisión humana, robustez, sistema de gestión de calidad. Para sistemas en sector público español o que afecten a derechos fundamentales, la EFFD (evaluación de impacto sobre derechos fundamentales) es exigible. Marcado CE. Registro en base de datos UE.

Riesgo limitado. Transparencia: informar a personas que interactúan con IA, marcar contenidos sintéticos, informar a empleados afectados. La práctica AESIA enfatiza la accesibilidad real de la información, no solo formal.

Riesgo mínimo. Buenas prácticas. Códigos de conducta sectoriales aprobados por AESIA.

Específicos del mercado español

Sector público. ENS aplicable. Coordinación con DTIC (Dirección de Tecnologías de la Información y las Comunicaciones) y otros organismos. Los sistemas IA en relación con clientes públicos heredan exigencias adicionales. Consulte PLACSP y licitaciones públicas con IA.

Sector financiero. Banco de España y CNMV se suman como supervisores sectoriales. Sistemas de calificación crediticia caen claramente en Anexo III.

Sector salud. AEMPS supervisa dispositivos médicos con IA. Régimen específico se suma al AI Act.

Sector laboral y RRHH. Filtrado automatizado de candidatos cae en Anexo III. La Inspección de Trabajo y los comités de empresa pueden intervenir. Consulte directrices del Ministerio de Trabajo.

PYME. Aplicación proporcionada. Las obligaciones se ajustan al tamaño pero no desaparecen. Consulte AI Act y PYME en España.

Hoja de ruta de cumplimiento

Mes 1: gobernanza y diagnóstico. Designación de responsable de IA. Comité IA si la empresa lo justifica. Inventario de sistemas IA en uso o planificados. Clasificación inicial por riesgo.

Mes 2-3: gap analysis. Por cada sistema, listar obligaciones aplicables y comparar con estado actual. Priorizar Anexo III.

Mes 4-6: remediación. Documentación técnica. Política IA. Procedimientos de transparencia. DPA con proveedores. Análisis de impacto sobre datos. EFFD si aplica.

Mes 7-9: implementación operativa. Audit trail funcional. Formación de empleados (alfabetización IA es obligatoria desde febrero 2025). Procesos de revisión periódica.

Mes 10-12: auditoría y certificación. Auditoría interna AI Act. Decisión sobre certificación ISO 42001 (vía AENOR).

Anual. Revisión completa, actualización de documentación, revisión de inventario.

Costes de cumplimiento

Para PYME (10-50 empleados, 1-5 sistemas IA en operación): 5.000-15.000 euros año uno; 3.000-8.000 euros recurrentes.

Para mid-market (50-250 empleados, 5-15 sistemas): 25.000-80.000 euros año uno; 15.000-40.000 euros recurrentes.

Para enterprise: variable según complejidad. Habitualmente equipo interno dedicado parcial o completo.

Estos costes incluyen asesoría legal, documentación, formación, sistema de auditoría. No incluyen certificación ISO 42001 (coste adicional 8.000-30.000 euros según alcance) ni eventuales sanciones.

AI Act + ISO 42001 en la práctica

ISO 42001:2023 estructura el sistema de gestión que el AI Act exige documentar. Adoptar ISO 42001 (con o sin certificación) facilita la respuesta a AESIA en una eventual inspección.

Política IA. Documento de una a cinco páginas que define principios, alcance, responsabilidades.

Roles. Responsable de IA, comité IA, DPD coordinado.

Inventario de sistemas. Cada sistema con clasificación, datos procesados, finalidad.

Evaluaciones de impacto. Por sistema, especialmente Anexo III.

Audit trail. Registros automatizados que el proveedor genera y la empresa conserva.

Ciclos de revisión. Auditoría anual mínima. Revisión semestral en sistemas Anexo III.

Gestión de incidentes. Procedimiento para tratar fallos, sesgos detectados, reclamaciones.

Formación. Alfabetización IA de empleados según rol (obligación AI Act desde febrero 2025).

AENOR certifica conforme a ISO 42001 bajo acreditación ENAC. Otras entidades acreditadas: Bureau Veritas, KPMG, DNV, EQA, SGS, DEKRA, TÜV.

Aviso: este contenido es informativo y no constituye asesoramiento legal. Consulte con su asesor jurídico para casos específicos.

Errores frecuentes en empresas españolas

Confundir cumplimiento RGPD con cumplimiento AI Act. Son marcos distintos aunque coordinados.

No identificar el rol (desarrollador vs desplegador) y subestimar las obligaciones del desplegador.

Subclasificar el riesgo (asumir riesgo limitado cuando es Anexo III).

Olvidar la formación. Alfabetización IA es obligatoria desde febrero 2025.

No coordinar con sector regulatorio sectorial (Banco de España, CNMV, AEMPS según caso).

Confiar en proveedor sin auditar. El desplegador tiene obligaciones propias inalienables.

Para profundizar consulte AESIA: la Agencia Española de Supervisión de la IA, ISO 42001 España: implementación, checklist de cumplimiento IA 2026 España y AI Act y PYME en España.

FAQ

¿AESIA me va a inspeccionar? Probabilidad alta tras reclamación o si tiene sistema Anexo III registrado. Cualquier empresa con sistemas IA debe estar preparada.

¿Qué pasa si no tengo política IA? Incumplimiento de obligaciones de gestión. Sanción posible.

¿ISO 42001 me protege ante AESIA? Facilita la respuesta. No exime, pero estructura el sistema de gestión que AI Act exige.

¿Cuánto tiempo tengo para cumplir? Las obligaciones de riesgo limitado son ya plenamente exigibles. Anexo III aplica plenamente desde agosto 2026.

¿La PYME tiene régimen distinto? Aplicación proporcionada. Las obligaciones se ajustan, no desaparecen.

¿Y para licitaciones públicas? Cumplimiento documentado es cada vez más exigido. Consulte cumplimiento AI Act en contratación pública.

Conclusión

Cumplir AI Act en España en 2026 exige metodología, no buena voluntad. AESIA es autoridad operativa, AEPD coordina, los plazos son ya exigibles y las sanciones son significativas. Knowlee.ai como plataforma de IA Workforce europea, conforme AI Act + ISO 42001 by-design, ofrece a empresas españolas la documentación, audit trail y marco operativo que el cumplimiento exige, listo para PYMEs y mid-market con vocación LatAm.