José Ángel López-García de la Serrana Palomares
Lo que exige el Reglamento de IA a tu empresa antes del 2 de agosto
El 2 de agosto de 2026, el Reglamento europeo de Inteligencia Artificial —conocido como AI Act— pasa a ser de obligado cumplimiento en toda la Unión Europea. Esta norma no prohíbe la inteligencia artificial: la regula. Y lo hace de una manera que afecta directamente a cualquier empresa que use algoritmos para tomar decisiones sobre sus empleados, clientes o candidatos.
La buena noticia es que no todas las empresas quedan igual de afectadas. La ley distingue cuatro niveles de riesgo y reserva las obligaciones más exigentes para quienes usan IA en ámbitos sensibles: selección de personal, concesión de crédito, diagnóstico médico o acceso a servicios públicos. A continuación te explicamos, con ejemplos concretos, qué te exige la ley en función del tipo de inteligencia artificial que uses.
¿Qué es el AI Act y por qué ya obliga en España?
El Reglamento (UE) 2024/1689 —popularmente conocido como AI Act— es la primera ley de inteligencia artificial de aplicación general y obligatoria del mundo. Fue aprobado por el Parlamento Europeo el 13 de junio de 2024, publicado en el Diario Oficial de la UE el 12 de julio y entró en vigor el 1 de agosto de ese mismo año, aunque con una implantación escalonada para dar tiempo a las empresas a adaptarse.
En España, el Gobierno aprobó el 26 de mayo de 2026 el proyecto de Ley Orgánica para la gobernanza de la IA, que adapta el Reglamento al ordenamiento jurídico español y distribuye las competencias de supervisión entre distintos organismos. El más relevante para las empresas es la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña y operativa desde febrero de 2025, que actúa como punto de contacto con la Comisión Europea y tiene plena capacidad sancionadora.
En términos prácticos, el AI Act no solo regula a quienes desarrollan IA: también afecta a las empresas que simplemente la usan en sus procesos internos, aunque hayan adquirido la herramienta a un tercero.
¿A quién afecta el Reglamento de IA?
El AI Act afecta a cualquier empresa que opere en la Unión Europea y que desarrolle, comercialice o use sistemas de inteligencia artificial en su actividad. La norma distingue dos figuras con obligaciones distintas:
• El proveedor: quien desarrolla o vende el sistema de IA bajo su nombre o marca. Si tu empresa crea o comercializa software de IA, eres proveedora.
• El implantador: quien usa el sistema en su actividad profesional, aunque no lo haya creado. Si contratas un software de RRHH con IA para filtrar currículos, eres implantadora.
Trampa del cambio de rol (art. 25): si personalizas un sistema de terceros, le añades tu marca o cambias su finalidad original, el Reglamento puede convertirte en proveedora aunque no hayas escrito una sola línea de código. Esta situación es especialmente frecuente en empresas que externalizan tecnología y después la adaptan a su imagen corporativa.
La pirámide del riesgo: ¿en qué categoría entra tu empresa?
El Reglamento organiza todos los sistemas de IA en una pirámide de cuatro niveles. Cuanto mayor es el riesgo potencial para las personas, más estrictas son las obligaciones:
| Nivel de riesgo | Ejemplos habituales | Qué exige la ley |
|---|---|---|
| Inaceptable — PROHIBIDO | Scoring social, reconocimiento de emociones en el trabajo, deepfakes sexuales sin consentimiento | Uso totalmente vetado. Multas de hasta 35 M€ o el 7% de la facturación global |
| Alto riesgo | Software de selección de personal, herramientas de scoring crediticio, IA médica de diagnóstico | Auditorías, registros de actividad, supervisión humana, información previa a los empleados |
| Riesgo limitado | Chatbots de atención al cliente, generadores de texto o imagen para marketing | Avisar al usuario de que interactúa con una IA y marcar técnicamente el contenido generado |
| Riesgo mínimo | Filtros de spam, correctores ortográficos, recomendadores de productos | Sin obligaciones adicionales. Libre uso en el mercado único |
La mayoría de las herramientas de uso cotidiano —correctores de texto, filtros de spam, recomendadores de productos— caen en riesgo mínimo y no generan ninguna obligación nueva. El foco de la ley recae sobre los sistemas que condicionan decisiones con consecuencias reales para las personas.
Obligaciones para empresas con IA de alto riesgo
Las obligaciones para empresas que usan inteligencia artificial en ámbitos de alto riesgo son las más exigentes de toda la norma. Si tu empresa usa IA para seleccionar candidatos, evaluar el rendimiento de trabajadores, conceder crédito o determinar el acceso a servicios esenciales, debes cumplir con lo siguiente:
• Informar a los trabajadores antes de implantar el sistema y notificarlo formalmente a sus representantes sindicales.
• Designar un responsable con formación técnica suficiente para supervisar que el algoritmo funciona correctamente y de conformidad con las instrucciones del proveedor.
• Conservar los registros de actividad (logs) durante un mínimo de seis meses, o más si la normativa sectorial o de protección de datos así lo exige.
• Verificar que los datos de entrada son representativos y no generan sesgos discriminatorios, en la medida en que la empresa tenga control sobre ellos.
• Parar el sistema y notificar al proveedor y a la AESIA si detectas que puede estar vulnerando derechos fundamentales.
Ejemplo práctico: Una empresa de distribución que usa un software de terceros para puntuar y ordenar automáticamente los currículos de sus candidatos queda sujeta a estas obligaciones como implantadora. No importa que no haya desarrollado la herramienta: la usa bajo su responsabilidad en un contexto laboral. Si además personaliza el sistema o añade su propia marca, puede pasar a ser proveedora y asumir aún más responsabilidades.
Para las empresas que actúan como proveedoras de sistemas de alto riesgo, las obligaciones se amplían: deben someter el sistema a una evaluación de conformidad antes de comercializarlo, obtener la declaración CE de conformidad, registrar el sistema en la base de datos oficial de la UE y establecer un plan de seguimiento postcomercialización para detectar problemas una vez el sistema está en uso.
Chatbots y contenido generado por IA: la obligación de ser transparente
Si tu empresa usa un chatbot de atención al cliente o herramientas para generar textos, imágenes o vídeos, probablemente estás en la categoría de riesgo limitado. Aquí la ley no exige auditorías ni certificaciones, pero sí impone una regla clara: tienes que ser transparente con el usuario.
Esto significa que el sistema debe avisar de que el usuario está interactuando con una inteligencia artificial, y que el contenido generado (imágenes, vídeos, audios) debe marcarse técnicamente mediante metadatos o marcas de agua para que pueda identificarse como sintético.
Prohibición en vigor desde diciembre de 2026: la generación de deepfakes sexuales sin el consentimiento expreso de la persona afectada quedará absolutamente vedada. Las sanciones para quienes los generen o distribuyan pueden alcanzar los 35 millones de euros.
Ejemplo práctico: Una agencia de comunicación que usa IA para generar imágenes de personas en campañas publicitarias deberá asegurarse de que esas imágenes llevan los metadatos que las identifican como contenido artificial. No cumplir con esta obligación es una infracción, aunque la herramienta la haya suministrado un tercero.
Sanciones del Reglamento de IA 2026: ¿cuánto puede costar el incumplimiento?
El régimen de sanciones del AI Act supera en cuantía al del RGPD y se estructura en tres tramos según la gravedad de la infracción:
• Uso de sistemas prohibidos: hasta 35.000.000 € o el 7% de la facturación global anual (la cifra que resulte mayor).
• Incumplimiento de obligaciones de alto riesgo o de transparencia: hasta 15.000.000 € o el 3% de la facturación.
• Información falsa o engañosa a las autoridades: hasta 7.500.000 € o el 1% de la facturación.
Régimen especial para pymes y startups: la multa será siempre la cifra que resulte inferior entre el porcentaje y el importe fijo, con el objetivo de no comprometer la viabilidad de las empresas más pequeñas.
Además de las sanciones administrativas, a partir del 9 de diciembre de 2026 la nueva Directiva (UE) 2024/2853 sobre responsabilidad por productos defectuosos convierte el software —incluidos los sistemas de IA— en un ‘producto’ a efectos legales. Esto significa que el fabricante responde de forma objetiva (sin necesidad de probar culpa) por los daños que cause un sistema defectuoso, incluso si el defecto aparece tras una actualización o como consecuencia del aprendizaje autónomo del algoritmo.
¿Qué debe hacer tu empresa antes del 2 de agosto de 2026?
Con el plazo a menos de dos meses, el plan de adaptación puede resumirse en cuatro pasos:
1. Inventario y clasificación: documenta todos los sistemas de software que toman o asisten en decisiones automatizadas en tu empresa e identifica cuáles son de alto riesgo.
2. Revisión de contratos: audita los contratos con proveedores de software para delimitar responsabilidades y evitar que una personalización técnica te convierta involuntariamente en proveedora.
3. Formación del equipo: el art. 4 del Reglamento impone una obligación de alfabetización en IA para todos los empleados que trabajen con estas herramientas. Esa formación debe quedar documentada.
4. Protocolo de supervisión: para los sistemas de alto riesgo, designa al responsable técnico, configura la conservación de registros y establece el canal de notificación de incidencias al proveedor y a la AESIA.
Preguntas frecuentes sobre el AI Act en España
¿El AI Act afecta también a las pymes?
Sí, aunque con un régimen sancionador más favorable. Cualquier empresa que use sistemas de IA en territorio de la UE queda sujeta al Reglamento, independientemente de su tamaño. Las pymes sí pueden acceder al sandbox regulatorio nacional (operado por la AESIA) para probar sus sistemas de alto riesgo en condiciones supervisadas antes de lanzarlos al mercado.
¿Qué pasa si ya estoy usando un sistema de IA de alto riesgo sin saberlo?
El desconocimiento no exime del cumplimiento. Si tu empresa usa software de selección de personal, scoring crediticio o control de rendimiento laboral con componentes de IA, lo más urgente es clasificarlo y aplicar las obligaciones del art. 26 antes del 2 de agosto de 2026. Un asesor especializado puede ayudarte a identificar el nivel de riesgo de cada herramienta.
¿Cuándo entran en vigor exactamente las distintas obligaciones del Reglamento de IA en España?
Las prohibiciones absolutas (art. 5) llevan vigentes desde febrero de 2025. Las normas para modelos de IA de propósito general (como ChatGPT o Gemini) y el régimen sancionador aplican desde agosto de 2025. La aplicación general del Reglamento, incluyendo todas las obligaciones para implantadores de sistemas de alto riesgo, entra en vigor el 2 de agosto de 2026.
¿Qué es la AESIA y qué puede hacer a mi empresa?
La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) es el organismo nacional de vigilancia del mercado de IA, con sede en A Coruña. Tiene potestad para inspeccionar empresas, requerir documentación técnica, ordenar la retirada de sistemas no conformes y tramitar expedientes sancionadores. Es el interlocutor principal con la Oficina de IA de la Comisión Europea.
¿Tengo que hacer algo si solo uso ChatGPT u otras herramientas generativas en mi empresa?
Depende del uso. Si lo utilizas para redactar textos internos o resumir información, estás en riesgo mínimo y no tienes obligaciones adicionales. Si generas contenido para publicar (imágenes, vídeos, textos informativos), debes cumplir con las obligaciones de transparencia del art. 50: marcar el contenido como generado por IA. Y si usas estas herramientas para tomar decisiones sobre personas (candidatos, clientes), el análisis de riesgo es más complejo.
En HispaColex, desde el Departamento Civil-Mercantil resolvemos cualquier duda sobre el impacto del AI Act en tu negocio: desde la clasificación de tus herramientas tecnológicas y la revisión de contratos con proveedores de software, hasta el diseño de un plan de cumplimiento adaptado a las necesidades de tu empresa. Si quieres anticiparte antes del 2 de agosto, consúltanos sin compromiso.
Si tiene dudas sobre como aplicar este artículo a su caso, puede realizarnos una consulta a través de nuestro formulario