EU AI Act
General

EU AI Act: lo que tu empresa debe tener listo antes de agosto de 2026

El reloj está corriendo. El EU AI Act establece agosto de 2026 como fecha límite para que los sistemas de IA de alto riesgo cumplan con sus obligaciones. En España, la AESIA —la primera autoridad de supervisión de IA de la UE— ya ha abierto 23 investigaciones. El 68% de las empresas españolas todavía no está preparado. ¿Está la tuya?

Qué es el EU AI Act y por qué importa ahora mismo

El Reglamento Europeo de Inteligencia Artificial, conocido como EU AI Act, es la primera ley integral del mundo que regula el desarrollo, comercialización y uso de sistemas de inteligencia artificial. Su objetivo es garantizar que la IA sea segura, transparente, trazable y respetuosa con los derechos fundamentales.

Lo que muchas empresas no han asimilado todavía es que no regula solo a quienes desarrollan IA: también regula a quienes la despliegan y la usan. Si tu empresa utiliza un sistema de IA para selección de personal, concesión de créditos, evaluación de riesgos o atención en servicios esenciales, el AI Act ya te aplica.

 

🔴 Plazo crítico

Agosto de 2026: las obligaciones completas para sistemas de IA de alto riesgo entran en vigor. Las sanciones van desde 15 millones de euros o el 3% de la facturación global hasta 35 millones de euros o el 7% por incumplimiento de las prohibiciones más graves. La AESIA española ya está operativa y ha abierto investigaciones.

 

El sistema de clasificación por niveles de riesgo

El EU AI Act clasifica los sistemas de IA en cuatro niveles. Entender en cuál está tu sistema es el primer paso obligatorio:

  • Riesgo inaceptable (prohibido desde febrero de 2025): sistemas de puntuación social masiva, manipulación subliminal, identificación biométrica en tiempo real en espacios públicos. Prohibición absoluta.
  • Riesgo alto (obligaciones completas desde agosto de 2026): IA en selección de personal, scoring crediticio, diagnóstico médico, sistemas educativos, infraestructuras críticas, justicia y bienestar social. Requiere los 10 requisitos obligatorios.
  • Riesgo limitado (obligaciones de transparencia): chatbots, sistemas que generan contenido sintético. Deben informar al usuario de que está interactuando con una IA.
  • Riesgo mínimo (sin obligaciones específicas): filtros de spam, videojuegos con IA, sistemas de recomendación de contenido sin impacto en derechos fundamentales.

Los 10 requisitos para sistemas de alto riesgo

Si tu sistema de IA está clasificado como de alto riesgo, debes cumplir estos diez requisitos antes de agosto de 2026:

  • Sistema de gestión de riesgos: identificación, análisis y mitigación continuos de los riesgos del sistema.
  • Gobernanza de datos: los datos de entrenamiento, validación y prueba deben cumplir criterios de calidad, pertinencia y ausencia de sesgos.
  • Documentación técnica completa: toda la arquitectura, los datos y el proceso de desarrollo documentados y auditables.
  • Registro automático de actividades (logs): el sistema debe registrar su actividad de forma que permita la trazabilidad posterior.
  • Transparencia e información al usuario: instrucciones claras sobre capacidades, limitaciones y uso previsto.
  • Supervisión humana: mecanismos efectivos para que personas puedan supervisar, intervenir y corregir el sistema.
  • Precisión, robustez y ciberseguridad: niveles mínimos de rendimiento y resistencia ante manipulaciones.
  • Marcado CE y registro en la base de datos de la UE: obligatorio antes del despliegue.
  • Sistema de gestión de calidad: procesos formales de control durante todo el ciclo de vida.
  • Acciones correctivas post-mercado: plan para gestionar incidentes, fallos y actualizaciones.

 

💡 Para operadores (deployers)

Si no desarrollas IA pero la usas —por ejemplo, un software de selección de personal con IA, un CRM con scoring automático o un chatbot en servicios esenciales— también tienes obligaciones propias: asignar supervisores humanos, monitorizar el rendimiento, notificar incidentes y realizar una Evaluación de Impacto en Derechos Fundamentales (FRIA).

 

La AESIA: el regulador ya está en marcha en España

España fue el primer país de la UE en designar su autoridad supervisora de IA: la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña. Ha publicado 16 guías de cumplimiento y ya ha abierto 23 investigaciones a empresas españolas.

Esto no es una advertencia teórica. El enforcement está activo. Las empresas que no hayan documentado proactivamente su cumplimiento antes de septiembre de 2026 serán objetivos prioritarios en las primeras oleadas de auditorías.

Plan de acción en 90 días: por dónde empezar

  • Semana 1-2 — Inventario de sistemas de IA: haz una lista de todos los sistemas de IA que tu empresa usa o desarrolla, con su función, los datos que procesan y las decisiones que toman.
  • Semana 3-4 — Clasificación de riesgo: para cada sistema, determina su nivel de riesgo según los criterios del AI Act. Si hay duda, consulta con un especialista: clasificar mal es también un riesgo.
  • Mes 2 — Gap analysis: compara lo que tienes con lo que exige el AI Act para tu nivel de riesgo. Identifica qué documentación falta, qué procesos hay que crear y qué cambios técnicos son necesarios.
  • Mes 3 — Implementación y documentación: pon en marcha los controles necesarios, documenta todo el proceso y designa un responsable de cumplimiento de IA con formación en AI Act y RGPD.

 

⚠️ Acumulación con el RGPD

El EU AI Act se acumula con el RGPD. Una brecha de datos en un sistema de IA de alto riesgo puede activar sanciones simultáneas de ambas normativas. El mismo incidente, doble multa. Los DPO existentes deben ampliar su función para cubrir la dimensión AI Act.

 

El AI Act como oportunidad competitiva

Más allá de la obligación, el cumplimiento del AI Act puede convertirse en una ventaja comercial. Las empresas certificadas en IA responsable tienen acceso preferente a licitaciones públicas, contratos con grandes corporaciones y financiación europea. En sectores como sanidad, finanzas o infraestructuras, el cumplimiento ya es un requisito de entrada al mercado.

En SomosCloud acompañamos a las organizaciones en todo el proceso de adaptación al EU AI Act: desde el inventario inicial y la clasificación de riesgos hasta la implementación de los controles técnicos y la documentación exigida. Nuestro enfoque combina el conocimiento normativo con la capacidad técnica para implementar los cambios reales en los sistemas.

 

✅ Conclusión

Agosto de 2026 no es una fecha lejana. Son menos de cuatro meses. Las empresas que actúen ahora de forma proactiva evitarán sanciones, ganarán ventaja comercial y construirán una postura de gobernanza de IA que las distinguirá en el mercado. Las que esperen, pagarán el coste regulatorio y el reputacional. En SomosCloud te ayudamos a estar en el primer grupo.

 
Iñaki Casajús · SomosCloud · Consultoría Tecnológica · somoscloud.com

Anterior
Agentes de IA autónomos: el empleado digital que trabaja 24/7 sin cansarse
Volver a la lista
Siguiente Hiperautomatización: cuando la IA, el Low-Code y el RPA trabajan juntos