Qué es el AI Act y cómo afecta a tu empresa

Si tienes una empresa y usas alguna herramienta de inteligencia artificial (aunque sea un chatbot de atención al cliente, un software que analiza datos o una solución que filtra candidatos en RRHH) tienes que leer esto.

El Reglamento de Inteligencia Artificial europeo, también conocido como AI Act o RIA, ya es ley vigente. No es una normativa futura. No es algo que "habrá que cumplir algún día". Las primeras obligaciones llevan en vigor desde febrero de 2025, y el plazo más importante para la mayoría de empresas vence en agosto de 2026.

En Unnic AI llevamos meses ayudando a empresas a entender qué implica esta normativa para su operativa diaria. Y lo que vemos una y otra vez es lo mismo: confusión, desinformación y, sobre todo, falta de acción. Este artículo existe para cambiar eso.

Lo más importante antes de seguir leyendo:

• Las primeras prohibiciones del AI Act ya están en vigor desde febrero de 2025
• El plazo crítico para la mayoría de empresas es agosto de 2026
• Las multas pueden alcanzar los 35 millones de euros o el 7% de tu facturación global
• Afecta a cualquier empresa que use, desarrolle o distribuya IA en la UE (independientemente de su tamaño)

Qué es el Reglamento de Inteligencia Artificial europeo (AI Act)

El AI Act, oficialmente Reglamento (UE) 2024/1689, es el primer marco regulatorio integral del mundo para la inteligencia artificial. Fue aprobado por el Parlamento Europeo en junio de 2024, publicado en el Diario Oficial de la UE el 12 de julio de 2024 y entró en vigor el 1 de agosto de 2024.

Su objetivo es doble: impulsar el desarrollo de la IA en Europa y, al mismo tiempo, garantizar que esa IA sea segura, transparente y respetuosa con los derechos fundamentales de las personas.

¿A quién afecta? A cualquier empresa que desarrolle, importe, distribuya o utilice sistemas de IA dentro del mercado europeo. Esto incluye, como ocurrió con el RGPD, a empresas de fuera de la UE cuyos sistemas operen en territorio europeo. Dicho de forma más directa: si tu empresa usa IA de cualquier tipo en España, este reglamento te afecta.

Cuándo entra en vigor y qué plazos tienes

Una de las claves del AI Act es que su aplicación es escalonada. No entró todo en vigor de golpe. Hay fechas concretas que toda empresa debe conocer.

Fechas clave que toda empresa debe conocer

1 de agosto de 2024: Entrada en vigor oficial

El reglamento se convierte en ley. Comienza el período de transición.

2 de febrero de 2025: Primera oleada de obligaciones

Entran en vigor las prohibiciones de sistemas de IA de riesgo inaceptable y las obligaciones de alfabetización en IA. A partir de esta fecha, las empresas deben garantizar que su personal tiene competencias suficientes para operar y supervisar sistemas de IA.

2 de agosto de 2025: Segunda oleada

Entran en vigor las normas de gobernanza y las obligaciones para los modelos de IA de uso general (GPAI). Esto afecta especialmente a empresas que usan o integran modelos de lenguaje como ChatGPT u otros LLMs en sus procesos.

2 de agosto de 2026: El plazo más importante para la mayoría de empresas

Aplicación plena del AI Act para los sistemas de IA de alto riesgo. A partir de esta fecha, todos los sistemas de alto riesgo en uso deben cumplir íntegramente con el reglamento. Esta es la fecha crítica para la gran mayoría de pymes y empresas medianas.

2 de agosto de 2027: Fase final

Obligaciones para sistemas de IA de alto riesgo integrados en productos regulados como dispositivos médicos, maquinaria industrial o vehículos.

Nota importante: En mayo de 2026 se alcanzó un acuerdo político sobre el "AI omnibus", un paquete de simplificación que ajusta algunos plazos específicos. Sin embargo, las obligaciones principales para la mayoría de empresas se mantienen. Si tienes dudas sobre cómo te afecta, lo más recomendable es hacer una auditoría antes de agosto de 2026.

Cómo clasifica el AI Act los sistemas de IA

El reglamento no trata igual a todos los sistemas de IA. Funciona con una clasificación por niveles de riesgo: cuanto mayor el impacto potencial sobre personas, más obligaciones. Puedes consultar la clasificación completa en la web oficial de la Comisión Europea sobre la Ley de IA.

Riesgo inaceptable – Prohibidos

Son sistemas completamente prohibidos en la UE desde febrero de 2025. No pueden operar bajo ninguna circunstancia.

Ejemplos: sistemas de puntuación social (como los que usa el gobierno chino para clasificar ciudadanos), manipulación subliminal del comportamiento, reconocimiento biométrico masivo en espacios públicos, o sistemas que explotan las vulnerabilidades de colectivos como menores o personas con discapacidad.

Riesgo alto — Obligaciones estrictas

Son los sistemas que más obligaciones generan. No están prohibidos, pero deben cumplir con requisitos estrictos de seguridad, transparencia, supervisión humana y documentación técnica.

¿Qué sistemas entran aquí? Los más habituales en el entorno empresarial son:

• Herramientas de selección y evaluación de personal (cribado automático de CVs, tests automatizados)
• Sistemas de gestión o supervisión del rendimiento laboral con decisiones automatizadas
• Herramientas de puntuación crediticia o evaluación de solvencia
• Videovigilancia con reconocimiento de emociones o análisis de comportamiento
• Sistemas de acceso a servicios esenciales como seguros o prestaciones

Importante: si tu empresa usa alguno de estos sistemas, aunque lo hayas contratado a un proveedor externo, eres responsable como desplegador y debes cumplir con las obligaciones del reglamento.

Riesgo limitado y mínimo — Obligaciones de transparencia

La mayoría de aplicaciones comerciales de IA (chatbots, filtros de spam, algoritmos de recomendación, herramientas de análisis de datos) entran en esta categoría. Las obligaciones son menores, principalmente de transparencia: informar a los usuarios cuando están interactuando con una IA.

Qué obligaciones tiene tu empresa según el nivel de riesgo

Dependiendo de tu rol (desarrollador, importador, distribuidor o usuario de sistemas IA) y del nivel de riesgo de los sistemas que usas, las obligaciones varían. Estas son las más relevantes para una pyme española:

Si usas sistemas de alto riesgo:

• Implementar un sistema de gestión de riesgos continuo
• Garantizar la calidad y representatividad de los datos utilizados
• Mantener documentación técnica detallada
• Registrar automáticamente eventos y decisiones del sistema (logs)
• Informar claramente a los usuarios sobre las capacidades y limitaciones del sistema
• Garantizar siempre la supervisión humana sobre las decisiones automatizadas
• Registrar el sistema en la base de datos pública europea de sistemas de IA de alto riesgo antes de agosto de 2026

Si usas sistemas de riesgo limitado:

• Informar a los usuarios cuando interactúan con una IA
• Etiquetar correctamente los contenidos generados por IA (deepfakes o contenido sintético)

Para todos sin excepción:

• Garantizar la alfabetización en IA del equipo: desde febrero de 2025, las empresas deben asegurarse de que sus empleados tienen competencias suficientes para trabajar con sistemas de IA de forma responsable.

Sanciones por incumplimiento: de cuánto estamos hablando

Las multas máximas previstas según el artículo 99 del Reglamento (UE) 2024/1689 son:

• Usar sistemas de IA prohibidos: hasta 35 millones de euros o el 7% de la facturación global anual
• Incumplir las obligaciones para sistemas de alto riesgo: hasta 15 millones de euros o el 3% de la facturación
• Infracciones de obligaciones de transparencia: hasta 7,5 millones de euros o el 1% de la facturación

Para pymes, el reglamento prevé cierta proporcionalidad en el cálculo de las multas, pero no las exime del cumplimiento. Las obligaciones son las mismas independientemente del tamaño de la empresa.

Más allá de la sanción económica, el incumplimiento puede derivar en la prohibición de operar los sistemas de IA en el mercado europeo, lo que en muchos casos supone un impacto operativo mucho mayor que la propia multa.

Pasos concretos para preparar tu empresa ahora

Agosto de 2026 parece lejos. No lo está. Implementar un sistema de gestión de riesgos, documentar cada sistema de IA, formar al equipo y completar los registros necesarios puede llevar meses de trabajo. Las empresas que lo dejen para el último trimestre de 2026 van a llegar justas.

En Unnic AI, cuando hacemos el diagnóstico inicial con una empresa, el primer error que encontramos siempre es el mismo: no saben qué sistemas de IA están usando realmente. Herramientas contratadas a terceros, automatizaciones montadas internamente, soluciones SaaS con componentes de IA... todo cuenta.

Paso 1: Inventariar todos los sistemas de IA de tu empresa

Haz un mapa completo de todas las herramientas que usan IA, aunque las hayas contratado como software estándar. Si toman decisiones automatizadas sobre personas, probablemente son de alto riesgo.

Paso 2: Clasificar cada sistema por nivel de riesgo

Una vez tienes el inventario, evalúa cada sistema según los criterios del AI Act. Si tienes dudas, consulta con un especialista. Una clasificación incorrecta puede salirte muy cara.

Paso 3: Evaluar las brechas de cumplimiento

Compara lo que hace cada sistema de alto riesgo con lo que exige el reglamento. ¿Tienes documentación técnica? ¿Existe supervisión humana? ¿Están los datos correctamente gestionados?

Paso 4: Diseñar un plan de acción con plazos

Con las brechas identificadas, diseña un plan concreto para cerrarlas antes de agosto de 2026. Prioriza los sistemas de mayor riesgo.

Paso 5: Formar a tu equipo

La obligación de alfabetización en IA ya está en vigor desde febrero de 2025. Todo el personal que trabaje con sistemas de IA necesita formación específica sobre su uso responsable.

Paso 6: Documentar y registrar

Mantén un registro actualizado de todos los sistemas de alto riesgo y su estado de cumplimiento. Esta documentación será lo que presentes ante las autoridades si es necesario.

Conclusión

El Reglamento de IA europeo no es burocracia por burocracia. Es el marco que va a definir cómo las empresas pueden usar la inteligencia artificial en Europa durante los próximos años. Las empresas que se adapten ahora no solo evitan sanciones: construyen una ventaja competitiva real basada en la confianza de sus clientes y en la solidez de sus procesos.

La pregunta no es si tu empresa tiene que cumplir con el AI Act. La pregunta es si vas a hacerlo antes o después de agosto de 2026.

¿No sabes si tu empresa cumple con el Reglamento de IA?

En Unnic AI hacemos el diagnóstico inicial, identificamos qué sistemas de IA usas, qué nivel de riesgo tienes y qué pasos necesitas dar para estar en regla antes del plazo. Agenda tu consulta gratuita aquí.

¿Quieres saber más sobre cómo implementar IA en tu empresa de forma responsable? Descubre nuestro servicio de Consultoría de IA para empresas.