Qué es el AI Act y por qué te afecta aunque no desarrolles IA
El Reglamento (UE) 2024/1689, conocido como AI Act o Ley de IA, es el primer marco horizontal del mundo que regula los sistemas de inteligencia artificial. Es un reglamento europeo, por lo que se aplica directamente en España sin necesidad de transposición.
Un error común es pensar que solo afecta a las empresas que desarrollan IA. El reglamento alcanza también a quien despliega o usa sistemas de IA en su actividad (los llamados "responsables del despliegue"). Si tu empresa usa IA para selección de personal, scoring de clientes, atención automatizada o análisis biométrico, tienes obligaciones.
El reglamento clasifica los sistemas por riesgo: riesgo inaceptable (prohibidos), alto riesgo (obligaciones estrictas), riesgo limitado (obligaciones de transparencia) y riesgo mínimo. La carga depende de la categoría en la que caiga cada sistema.
- Aplica a proveedores y a responsables del despliegue (usuarios profesionales).
- Es un reglamento de aplicación directa en toda la UE.
- La obligación depende del nivel de riesgo del sistema de IA.
El calendario por fases: las fechas que importan
El AI Act no entró en vigor de golpe: tiene un calendario escalonado. Desde febrero de 2025 son aplicables las prohibiciones de las prácticas de IA de riesgo inaceptable (por ejemplo, ciertos usos de categorización biométrica o de manipulación) y las obligaciones de alfabetización en IA del personal.
El 2 de agosto de 2026 es el hito que más empresas deben tener en el radar: en esa fecha pasan a ser aplicables buena parte de las obligaciones de gobernanza, el régimen de los modelos de IA de propósito general (GPAI) y las reglas que afectan a numerosos sistemas. Las obligaciones más exigentes para ciertos sistemas de alto riesgo se completan en fases posteriores.
Planificar con tiempo evita llegar tarde: identificar qué sistemas de IA usa la empresa, clasificarlos por riesgo y preparar la documentación es un trabajo que lleva semanas, no días.
- Feb-2025: prohibiciones de prácticas de riesgo inaceptable + alfabetización en IA.
- 2-ago-2026: gobernanza, modelos de propósito general (GPAI) y obligaciones generales.
- Fases posteriores: requisitos plenos para determinados sistemas de alto riesgo.
Qué tienes que preparar antes del 2 de agosto de 2026
El primer paso es el inventario: catalogar todos los sistemas de IA que la empresa utiliza o pone en el mercado, incluidos los integrados en herramientas de terceros (CRM, RR. HH., atención al cliente).
El segundo es la clasificación de riesgo de cada sistema. Para los de alto riesgo habrá que documentar evaluaciones, supervisión humana, calidad de datos y registros. Para los de riesgo limitado bastará, en general, con cumplir obligaciones de transparencia (informar de que el usuario interactúa con una IA, etiquetar contenido generado).
El tercero es la alfabetización en IA: el reglamento exige garantizar un nivel suficiente de competencia en IA del personal que opera o se ve afectado por estos sistemas. Y conviene definir gobernanza interna: responsable, políticas de uso y un procedimiento ante incidentes.
- Inventario de sistemas de IA (propios y de terceros).
- Clasificación por nivel de riesgo del AI Act.
- Transparencia: avisar de la interacción con IA y etiquetar contenido generado.
- Plan de alfabetización en IA para el personal.
- Gobernanza interna: responsable, política de uso y registro de incidencias.