Ir al contenido

AI Act: Guía Completa para Empresas en España — Obligaciones, Plazos y Sanciones del Reglamento Europeo de IA

El Reglamento de IA europeo (AI Act) ya es aplicable. Conozca si su empresa esta afectada, que obligaciones impone según el nivel de riesgo y cuales son las sanciones por incumplimiento.

Evaluar el nivel de riesgo de mis sistemas de IA

El problema

El Reglamento (UE) 2024/1689, conocido como AI Act, entro en vigor el 1 de agosto de 2024 y es de aplicación progresiva según el nivel de riesgo de los sistemas de IA. Las prácticas de IA prohibidas son de aplicación desde el 2 de febrero de 2025. Las obligaciones para sistemas de IA de alto riesgo son de aplicación desde el 2 de agosto de 2026. Los modelos de IA de propósito general (GPAI) tienen obligaciones desde agosto de 2025. El problema que enfrentan la mayoría de las empresas españolas es triple: no saben si sus sistemas de IA están dentro del ámbito de aplicación del reglamento, no saben como clasificar el nivel de riesgo de los sistemas que utilizan o despliegan, y no saben que obligaciones prácticas les corresponden. Un error en la clasificación de riesgo puede suponer desde pasar por alto obligaciones críticas hasta incurrir en sanciones de hasta 35 millones de euros o el 7% de la facturación global para las infracciones más graves. El AI Act no solo afecta a las empresas que desarrollan sistemas de IA. Afecta a todas las que despliegan sistemas de IA de terceros en sus procesos críticos —seleccion de personal, evaluación crediticia, gestión de servicios críticos de infraestructura— y a las que utilizan sistemas de IA para tomar o apoyar decisiones que afectan significativamente a personas físicas. El perimetro es más amplio de lo que la mayoría de empresas asume.

Nuestra solución

BMC ofrece un servicio de cumplimiento AI Act que parte de donde su empresa esta ahora. Comenzamos con un inventario de sistemas de IA y una clasificación de riesgo según los criterios del reglamento, continuamos con un gap analysis respecto a las obligaciones aplicables, y desarrollamos el marco de gobernanza de IA que la empresa necesita para operar con cumplimiento sostenido. Nuestro equipo interdisciplinar combina abogados especializados en regulación tecnológica y protección de datos con expertos en gobernanza de IA que comprenden tanto la dimensión técnica —como funcionan los sistemas de IA, como se documentan, como se auditan— como la dimensión jurídica —que obligaciones impone el reglamento, como se demuestra el cumplimiento, que registros deben mantenerse. Integramos el cumplimiento AI Act con el RGPD (los sistemas de IA que procesan datos personales generan obligaciones bajo ambas normativas), con las normas armonizadas que la Comisión Europea esta desarrollando, y con los marcos internacionales de gobernanza de IA como el NIST AI RMF.

Proceso

Como lo hacemos

1

Inventario y clasificación de sistemas de IA

Identificamos todos los sistemas de IA que la empresa desarrolla, despliega o utiliza en sus procesos, y los clasificamos según los cuatro niveles de riesgo del AI Act: inaceptable (prohibido), alto riesgo, riesgo limitado y riesgo mínimo. La clasificación determina que obligaciones aplican a cada sistema y con que urgencia deben implementarse.

2

Gap analysis de obligaciones

Para cada sistema de IA de alto riesgo identificado, evaluamos el cumplimiento de las obligaciones del reglamento: datos de entrenamiento y datos de entrada, documentación técnica, transparencia y explicabilidad, supervisión humana, exactitud y robustez, ciberseguridad del sistema, registro de eventos y capacidad de auditoría.

3

Hoja de ruta de cumplimiento

Desarrollamos una hoja de ruta priorizada para alcanzar el cumplimiento: documentación técnica de los sistemas, evaluación de conformidad, registro en la base de datos EU de sistemas de IA de alto riesgo, implementación de controles de supervisión humana, y adaptación de contratos con proveedores de IA.

4

Marco de gobernanza de IA

Establecemos el marco organizativo de gobernanza de IA: política de uso de IA, proceso de evaluación de nuevos sistemas antes de su despliegue, roles y responsabilidades (incluyendo, donde proceda, el rol de Responsable de IA), formación del personal y mecanismos de supervisión y revisión periódica del marco.

35M EUR
Multa máxima (o 7% facturación global) por prácticas prohibidas de IA
ago. 2026
Fecha de aplicación de obligaciones para sistemas de IA de alto riesgo
3 niveles
Categorías de riesgo que determinan las obligaciones de cada empresa

Descargue nuestra guía

Descargue nuestra herramienta de autoevaluacion AI Act: clasifique el nivel de riesgo de sus sistemas de IA en 15 minutos

El Reglamento (UE) 2024/1689 de Inteligencia Artificial, en vigor desde el 1 de agosto de 2024, es el primer marco jurídico integral sobre inteligencia artificial del mundo. A diferencia de enfoques sectoriales anteriores, el AI Act adopta una perspectiva horizontal basada en el riesgo: cuanto mayor es el riesgo potencial de un sistema de IA para los derechos fundamentales, la salud y la seguridad de las personas, mayores son las obligaciones que se imponen a quienes lo desarrollan o despliegan.

El reglamento es de aplicación directa en todos los estados miembros de la UE sin necesidad de transposicion nacional, lo que significa que sus obligaciones aplican igualmente en España con independencia de que la legislación nacional de desarrollo haya sido aprobada. La única excepcion relevante es el rol de la autoridad nacional de supervisión (la AESIA en España), que si requiere un marco legislativo nacional para plenos poderes de ejecución.

Cronologia de aplicación del AI Act: lo que ya es obligatorio

El AI Act no se aplica todo de golpe. Tiene una entrada en vigor escalonada que es importante entender:

1 agosto 2024 — Entrada en vigor: El reglamento es derecho vigente. Los actores deben comenzar a prepararse.

2 febrero 2025 — Prohibiciones: Las prácticas de IA inaceptables —manipulacion subliminal, social scoring, reconocimiento de emociones en trabajo y educación, identificación biometrica en tiempo real sin excepciones— están prohibidas desde esta fecha. Cualquier empresa que opere estos sistemas debe haberlos desactivado.

2 agosto 2025 — GPAI: Los modelos de IA de propósito general tienen obligaciones de documentación, transparencia y derechos de autor desde esta fecha.

2 agosto 2026 — Sistemas de alto riesgo (Anexo III): Los sistemas de IA de alto riesgo que se pongan en servicio a partir de esta fecha deben cumplir todas las obligaciones del Capítulo III del AI Act antes de su despliegue.

2 agosto 2027 — Sistemas de alto riesgo embebidos (Anexo I): Los sistemas de IA de alto riesgo que son componentes de productos ya regulados por otras directivas (maquinaria, dispositivos medicos, productos de aviacion) tienen un año adicional de adaptación.

Los cuatro niveles de riesgo y sus implicaciones prácticas

El AI Act clasifica los sistemas de IA en cuatro categorías de riesgo, cada una con un régimen de obligaciones diferente:

Riesgo inaceptable (prohibido): Sistemas prohibidos por comprometer inaceptablemente los derechos fundamentales. Ninguna empresa puede operarlos. Si algun proceso interno usa técnicas de este tipo, debe ser modificado antes de febrero 2025.

Alto riesgo: Sistemas con impacto significativo potencial en personas físicas en áreas críticas. Son los más regulados: documentación técnica obligatoria, evaluación de conformidad, registro europeo, supervisión humana preceptiva. El catálogo del Anexo III incluye situaciones que muchas empresas de sectores no tecnológicos pueden no haber identificado como “IA de alto riesgo” —como herramientas de seleccion de CVs o sistemas de scoring para crédito.

Riesgo limitado: Sistemas que interactuan con personas —chatbots, contenido generado por IA— con obligación de transparencia: el usuario debe saber que esta interactuando con IA, que el contenido es generado por IA, o que su imagen o voz ha sido manipulada con IA (deepfakes). Los modelos generativos como las herramientas de texto a imagen o los chatbots de atención al cliente entran en esta categoría.

Riesgo mínimo: La gran mayoría de aplicaciones de IA —filtros de spam, recomendaciones de contenido, herramientas de productividad con IA— caen en esta categoría. No tienen obligaciones específicas bajo el AI Act, aunque las empresas que las desarrollan pueden adherirse a códigos de conducta voluntarios.

Sistemas de IA de alto riesgo en sectores no tecnológicos

Una de las sorpresas para muchas empresas es descubrir que usan sistemas de IA de alto riesgo sin haberlos identificado como tales. Algunos ejemplos del Anexo III del AI Act:

Recursos Humanos: Cualquier sistema de IA utilizado en la seleccion de candidatos, en la evaluación del desempeño, en la gestión de ascensos o en la supervisión del comportamiento de empleados es de alto riesgo según el AI Act. Esto incluye desde herramientas de screening de CVs hasta sistemas de análisis de entrevistas en video o plataformas de análisis de productividad.

Banca y crédito: Los sistemas de scoring crediticio, la evaluación de solvencia, y los modelos de detección de fraude que determinan si una persona puede acceder a un prestamo o a que condiciones son de alto riesgo.

Seguros: Los sistemas de IA utilizados en la suscripcion de pólizas, en la evaluación de reclamaciones o en la fijacion de primas basadas en perfiles de riesgo generados por IA son de alto riesgo.

Servicios públicos y administración: Los sistemas de IA que determinan el acceso de personas a prestaciones públicas o que toman decisiones sobre asistencia social son de alto riesgo.

Nuestro equipo de cumplimiento AI Act realiza inventarios sistemáticos de sistemas de IA para identificar todos los casos de uso de alto riesgo en la empresa, incluyendo los que no son evidentes a primera vista.

Gobernanza de IA: más alla del cumplimiento puntual

El AI Act no puede abordarse como un proyecto de cumplimiento puntual. Requiere establecer una función de gobernanza de IA dentro de la organización que sea capaz de:

  • Evaluar nuevos sistemas de IA antes de su despliegue
  • Mantener actualizado el inventario de sistemas de IA y su clasificación de riesgo
  • Gestionar el ciclo de vida de los sistemas de IA de alto riesgo (incluyendo cambios significativos que activen una nueva evaluación de conformidad)
  • Formar al personal que usa o supervisa sistemas de IA
  • Gestionar incidentes y comunicaciones con la AESIA
  • Supervisar el cumplimiento de los proveedores de IA

BMC ayuda a las empresas a establecer esta función de gobernanza de IA de forma proporcional a su tamaño y complejidad. Para empresas medianas, esto puede ser una función asumida parcialmente por el DPO existente con apoyo externo. Para empresas grandes con multiples sistemas de IA, puede requerir un equipo dedicado de gobernanza.

La dimensión de protección de datos: AI Act y RGPD juntos

Los sistemas de IA de alto riesgo que procesan datos personales activan obligaciones bajo el AI Act y bajo el RGPD simultaneamente. El punto de interseccion más importante es la Evaluación de Impacto relativa a la Protección de Datos (EIPD) que exige el RGPD para tratamientos de datos personales de alto riesgo.

Según las orientaciones de la AEPD y el Comité Europeo de Protección de Datos, la EIPD de un sistema de IA de alto riesgo debe integrarse con la evaluación de conformidad AI Act. Esto significa que no se deben hacer dos evaluaciones separadas, sino un proceso integrado que aborde tanto los riesgos para los derechos y libertades de las personas (RGPD) como los riesgos de seguridad y funcionamiento del sistema de IA (AI Act).

Nuestros equipos de protección de datos y cumplimiento AI Act trabajan conjuntamente para desarrollar este proceso integrado de evaluación para los clientes que tienen sistemas de IA de alto riesgo que procesan datos personales.

FAQ

Preguntas frecuentes

El AI Act afecta a cuatro categorías de actores: (1) proveedores que desarrollan sistemas de IA y los comercializan en la UE; (2) responsables del despliegue que utilizan sistemas de IA de terceros en sus actividades profesionales; (3) importadores de sistemas de IA desarrollados fuera de la UE; y (4) distribuidores de sistemas de IA. La clave es que el AI Act no solo afecta a las empresas tecnológicas que desarrollan IA: afecta a cualquier empresa que despliegue sistemas de IA en sus procesos —incluyendo herramientas de seleccion de personal, sistemas de scoring crediticio, chatbots que interactuan con clientes, o herramientas de análisis predictivo— cuando esos sistemas tienen cierto nivel de autonomía y producen outputs que influyen en decisiones relevantes.
El Anexo III del AI Act lista los sistemas de IA que se consideran de alto riesgo por defecto: sistemas biometricos, sistemas de gestión de infraestructuras críticas, sistemas educativos que determinan acceso o resultados, sistemas de empleo (seleccion, evaluación, gestión), sistemas de servicios públicos y privados esenciales (scoring crediticio, evaluación de seguros), sistemas de aplicación de la ley, sistemas de administración de justicia y procesos democraticos. Las obligaciones para estos sistemas incluyen: implementar un sistema de gestión del riesgo, garantizar la calidad de los datos de entrenamiento, elaborar documentación técnica, garantizar la supervisión humana, lograr niveles de exactitud y robustez definidos, y registrar el sistema en la base de datos EU antes de ponerlo en servicio.
Desde el 2 de febrero de 2025 están prohibidos en la UE los siguientes sistemas de IA: técnicas subliminales o manipuladoras para influir en el comportamiento humano más alla de la consciencia de la persona; técnicas que exploten vulnerabilidades de grupos específicos (edad, discapacidad); sistemas de puntuacion social por autoridades públicas (social scoring); sistemas de identificación biometrica remota en tiempo real en espacios públicos (con excepciones para fuerzas del orden); sistemas de reconocimiento de emociones en entornos laborales y educativos; categorizacion biometrica para inferir características sensibles (raza, orientación sexual, religión, opiniones políticas); y sistemas de IA utilizados para la prediccion de criminalidad basada en el perfil de personas.
Los modelos de IA de propósito general (GPAI) son modelos de IA, como los grandes modelos de lenguaje (LLM), que pueden realizar una amplia gama de tareas distintas. Sus obligaciones son de aplicación desde agosto de 2025 e incluyen: elaborar y mantener documentación técnica actualizada, proporcionar información a los proveedores que integren el modelo en sus sistemas, cumplir la política de derechos de autor de la UE, y publicar un resumen sobre los datos de entrenamiento utilizados. Para los GPAI con riesgo sistemico (los modelos más potentes, actualmente definidos por superar 10^25 FLOP de computacion de entrenamiento), se anade: realizar evaluación adversarial, notificar incidentes graves a la Comisión Europea, garantizar la ciberseguridad del modelo y declarar el consumo energético.
El AI Act establece tres niveles de sanción: (1) hasta 35 millones de euros o el 7% del volumen de negocios anual global (la cifra mayor) por incumplimiento de las prohibiciones de prácticas de IA inaceptables; (2) hasta 15 millones o el 3% por incumplimiento de otras obligaciones del reglamento; (3) hasta 7,5 millones o el 1,5% por proporcionar información incorrecta, incompleta o engano a las autoridades. Para las PYMES y startups, el reglamento establece que las sanciones se calcularan considerando el impacto proporcional. Las autoridades nacionales de supervisión podrán acceder a los sistemas, los datos y la documentación de las empresas.
El AI Act y el RGPD son normativas complementarias que aplican de forma simultanea cuando el sistema de IA procesa datos personales. El RGPD sigue siendo la normativa de referencia para la protección de datos personales. El AI Act anade una capa de regulación sobre el sistema de IA como tal, independientemente de si procesa datos personales. En la práctica, muchos sistemas de IA de alto riesgo también son intensivos en datos personales (seleccion de personal, scoring crediticio), lo que activa obligaciones de ambas normativas: evaluación de impacto AI Act + EIPD RGPD, documentación técnica AI Act + registro de actividades de tratamiento RGPD, supervisión humana AI Act + derechos del interesado RGPD. Los Responsables de Protección de Datos (DPO) existentes deben ampliar su función para cubrir la dimensión AI Act.
La Oficina de IA de la Comisión Europea (AI Office) es la autoridad supervisora para los modelos GPAI y tiene un papel coordinador a nivel UE. En España, la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), creada en 2024, es la autoridad nacional de supervisión para el AI Act. La AESIA supervisara el cumplimiento por parte de los proveedores y responsables del despliegue establecidos en España, investigara incidentes y reclamaciones, y podrá imponer las sanciones del reglamento. La AESIA colabora con la AEPD en los casos donde el AI Act y el RGPD se solapan.
Si su empresa usa herramientas de IA de terceros en sus procesos, tiene la condición de responsable del despliegue bajo el AI Act. Sus obligaciones como responsable del despliegue son: (1) usar el sistema de IA conforme a las instrucciones del proveedor; (2) garantizar que el personal que lo usa tiene la formación adecuada; (3) mantener registros de actividad donde el sistema lo exija; y (4) implementar supervisión humana. Si la herramienta de IA se usa en un contexto de alto riesgo según el Anexo III —por ejemplo, si usa un sistema de IA para evaluar candidaturas de empleo o para decisiones de crédito— las obligaciones son más exigentes aunque no haya desarrollado el sistema usted mismo. Recomendamos auditar los casos de uso concretos de IA en su empresa y clasificar su nivel de riesgo.
Ver todos los servicios de esta área

De el primer paso

Solicite una consulta sin compromiso y descubra lo que podemos hacer por su empresa.

Consulta gratuita
Llamar Contacto