AI Act: Cumpla el Reglamento Europeo de IA antes de las Sanciones

El Reglamento de Inteligencia Artificial de la Unión Europea (AI Act, Reglamento UE 2024/1689), publicado en el Diario Oficial de la UE en julio de 2024, es el primer marco regulatorio integral sobre IA del mundo y establece obligaciones diferenciadas según la categoría de riesgo del sistema: prácticas inaceptables prohibidas desde agosto de 2025, sistemas de alto riesgo (Anexo III: selección de personal, scoring crediticio, aplicación de la ley, educación, infraestructuras críticas, justicia) con obligaciones de documentación técnica, evaluación de conformidad, registro en la base de datos de la UE y marcado CE desde agosto de 2026, y sistemas de riesgo limitado con obligaciones de transparencia. Las multas por incumplimiento pueden alcanzar 35 millones de euros o el 7% de la facturación global del grupo para las prohibiciones más graves, y 15 millones o el 3% para las infracciones aplicables a sistemas de alto riesgo.

Nuestro equipo de cumplimiento normativo tecnológico combina conocimiento jurídico del Reglamento de IA con experiencia práctica en sistemas de información, gobernanza de datos y regulación digital europea.

Que empresas están en riesgo de sanción por el AI Act

Muchas empresas españolas han integrado sistemas de IA en sus procesos sin saber que, bajo el AI Act europeo, pueden estar operando sistemas de alto riesgo sin ninguna de las obligaciones cubiertas. El cumplimiento del AI Act clasifica como alto riesgo los sistemas de IA en selección de personal, scoring crediticio, atención al cliente con efectos legales, videovigilancia y otros casos de uso frecuentes en empresas medianas. Las prohibiciones absolutas — manipulación subliminal, puntuacion social, identificación biométrica en tiempo real — son exigibles desde agosto de 2025. Las multas pueden alcanzar los 35 millones de euros o el 7% de la facturación global. El riesgo real no es futuro: es presente.

• Empresas que usan IA para cribar candidatos sin saber que eso es Anexo III
• Plataformas de marketing con segmentacion automatizada sin evaluar el nivel de riesgo
• Sistemas de scoring de crédito o seguros que requieren evaluación de conformidad
• Contratos con proveedores de IA sin asignación correcta de responsabilidades del Reglamento

Como implementamos el plan de adecuación al AI Act

Nuestro equipo de especialistas realiza el inventario completo de sistemas de IA de la organización — los desarrollados internamente, los comprados a terceros y los embebidos en herramientas SaaS — y los clasifica en la taxonomia del AI Act. A partir de esa clasificación, diseñamos el plan de cumplimiento priorizado por riesgo y por plazo normativo. No empezamos por la documentación: empezamos por saber exactamente que sistemas existen y que obligaciones generan. Este enfoque pragmático reduce el tiempo del proyecto y evita el esfuerzo desperdiciado en sistemas que no requieren compliance sustancial.

Para los sistemas de alto riesgo, diseñamos e implementamos el sistema de gestión de riesgos del artículo 9, preparamos la documentación técnica del Anexo IV, establecemos los mecanismos de supervisión humana y gestionamos el registro en la base de datos de la UE. Coordinamos con el equipo técnico que desarrollo o integro el sistema y con el área de protección de datos para alinear el cumplimiento del AI Act con las obligaciones del RGPD.

Marco regulatorio del AI Act en España

El AI Act (Reglamento UE 2024/1689) es de aplicación directa en toda la UE. Sus prohibiciones absolutas son exigibles desde agosto de 2025. Las obligaciones para sistemas de alto riesgo del Anexo III entran en vigor el 2 de agosto de 2026. Las sanciones van desde 7,5 millones (información incorrecta) hasta 35 millones o el 7% de la facturación global (prácticas prohibidas). La autoridad competente en España será la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), actualmente en constitución. El AI Office europeo coordina la supervisión de modelos GPAI de riesgo sistemico.

El AI Act se superpone con el RGPD cuando los sistemas tratan datos personales — la gran mayoría — y con DORA para sistemas de IA en entidades financieras. Las evaluaciones de impacto del AI Act y las EIPD del RGPD deben coordinarse para evitar duplicaciones y garantizar coherencia.

Resultados que puedes esperar

• Inventario completo de sistemas de IA con clasificación formal por nivel de riesgo
• Identificación de sistemas que requieren acción prioritaria antes de agosto de 2026
• Documentación técnica del Anexo IV preparada para sistemas de alto riesgo
• Plan de cumplimiento priorizado con calendario de implementación realista
• Revisión de contratos con proveedores de IA para asignación correcta de responsabilidades
• Marco de gobernanza interna que facilita el cumplimiento continuo ante actualizaciones normativas

La gobernanza de IA interna es el complemento necesario del cumplimiento normativo externo. Las empresas que gestionan bien sus sistemas de IA no solo evitan sanciones: construyen activos de confianza con clientes, socios y reguladores que generan ventaja competitiva real en un mercado donde la opacidad algoritmica es cada vez menos aceptada. El mapa de riesgos de cumplimiento permite integrar el AI Act en la visión regulatoria consolidada de la empresa.