EU AI Act: Guia de Cumplimiento para Empresas Espanolas [Agosto 2026]
Si necesitas ayuda clasificando tus sistemas de IA, preparando la documentacion o implementando el plan de cumplimiento, contacta conmigo en javier@javadex.es. Te ayudo a estar listo antes del 2 de agosto.
TL;DR - Lo Que Necesitas Saber
- Quedan menos de 4 meses. El 2 de agosto de 2026 entra en pleno vigor el EU AI Act para sistemas de IA de alto riesgo. Si tu empresa desarrolla, despliega o utiliza IA en la UE, te afecta directamente.
- Las multas son brutales: hasta 35 millones de euros o el 7% de tu facturacion global, lo que sea mayor. Para una PYME, una sancion de 7,5 millones por informacion enganosa puede ser directamente el cierre.
- Espana ya esta vigilando. La AESIA (Agencia Espanola de Supervision de la IA, con sede en A Coruna) tiene abiertas 23 investigaciones preliminares. La AEPD ha abierto 147 investigaciones relacionadas con IA, un 340% mas que en 2024.
- El 68% de las empresas espanolas todavia no ha realizado una Evaluacion de Impacto relativa a la Proteccion de Datos (EIPD) para sus sistemas de IA. Si estas en ese grupo, necesitas actuar ya.
- Solo el 43% de las organizaciones a nivel global tiene una politica de gobernanza de IA. Y mas de la mitad no tiene siquiera un inventario de sus sistemas de IA.
- El EU AI Act es acumulativo con el RGPD. Puedes recibir multas de ambos reglamentos por el mismo incidente. Una brecha de datos con IA de alto riesgo puede activar sanciones de las dos normativas simultaneamente.
- Este articulo incluye un checklist de cumplimiento completo, tablas de clasificacion de riesgo, un calendario de implementacion en 90 dias y las obligaciones exactas para proveedores y operadores de IA.
- El Digital Omnibus podria retrasar algunos plazos a diciembre de 2027, pero esta en fase de tramitacion y no deberias contar con ello. Prepara tu empresa como si el 2 de agosto fuera inamovible, porque probablemente lo sera.
En Resumen
- El EU AI Act (Reglamento UE 2024/1689) es la primera ley integral de regulacion de IA del mundo y afecta a cualquier empresa que desarrolle, importe, distribuya o utilice sistemas de IA dentro de la Union Europea, independientemente de donde tenga su sede.
- La clasificacion por niveles de riesgo es el nucleo de la ley: riesgo inaceptable (prohibido desde febrero de 2025), alto riesgo (obligaciones completas desde agosto de 2026), riesgo limitado (obligaciones de transparencia) y riesgo minimo (sin obligaciones).
- Los sistemas de alto riesgo requieren 10 requisitos obligatorios que incluyen gestion de riesgos, gobernanza de datos, documentacion tecnica, registro de actividades, supervision humana, precision, marcado CE, registro en la base de datos de la UE, sistema de gestion de calidad y acciones correctivas.
- Los operadores (deployers) que usan IA de alto riesgo tienen obligaciones propias: cumplir las instrucciones del proveedor, asignar supervisores humanos, monitorizar el rendimiento, notificar incidentes, realizar EIPD y una Evaluacion de Impacto en Derechos Fundamentales (FRIA).
- La AESIA es la primera autoridad de supervision de IA de la UE, con sede en A Coruna, y ya ha publicado 16 guias de cumplimiento y abierto 23 investigaciones.
- Las multas se acumulan con las del RGPD: la AEPD ya ha impuesto multas de 890.000 EUR a banca, 540.000 EUR a seguros y 320.000 EUR a RRHH por uso indebido de IA con datos personales.
- La preparacion es posible en 90 dias si sigues un plan estructurado: inventario de sistemas (mes 1), clasificacion y documentacion (mes 2), implementacion de controles y formacion (mes 3).
El 2 de agosto de 2026 no es una fecha mas en el calendario regulatorio europeo. Es el dia en que el EU AI Act empieza a aplicarse con todas sus consecuencias para los sistemas de inteligencia artificial de alto riesgo. Y si tu empresa usa IA para seleccion de personal, evaluacion crediticia, educacion, infraestructura critica o cualquier otro ambito clasificado como alto riesgo, ese dia llegas a tiempo o llegas con una sancion esperandote.
Lo que me preocupa despues de haber trabajado con decenas de empresas espanolas en su preparacion para el cumplimiento es que la gran mayoria no tiene claro ni en que categoria caen sus sistemas de IA, ni que obligaciones concretas tienen, ni cuanto tiempo les queda realmente para estar en regla.
Este articulo es la guia que necesitas. Sin rodeos, sin jerga legal innecesaria y con todo lo que tu empresa necesita hacer antes de agosto. Vamos a ello.
"Las organizaciones que no clasifiquen y documenten adecuadamente sus sistemas de IA antes de agosto de 2026 se enfrentaran a un riesgo regulatorio significativo. La ventana de preparacion se esta cerrando." -- Anu Bradford, profesora de Derecho en Columbia University y autora de The Brussels Effect.
Cronologia del EU AI Act: Fechas Clave
El EU AI Act no entra en vigor de golpe. Su aplicacion es escalonada y algunas obligaciones ya estan en vigor desde 2025. Aqui tienes el calendario completo:
| Fecha | Hito | Estado |
|---|---|---|
| 1 agosto 2024 | Entrada en vigor del Reglamento (UE) 2024/1689 | Completado |
| 2 febrero 2025 | Prohibicion de practicas de IA de riesgo inaceptable (Cap. II) | En vigor |
| 2 febrero 2025 | Obligacion de alfabetizacion en IA (Art. 4, AI Literacy) | En vigor |
| 2 agosto 2025 | Obligaciones para modelos de IA de proposito general (GPAI) | En vigor |
| 2 agosto 2026 | Aplicacion completa para sistemas de IA de alto riesgo (Anexo III) | Quedan ~4 meses |
| 2 agosto 2027 | Aplicacion para sistemas de alto riesgo del Anexo I (legislacion sectorial) | Pendiente |
| Posible dic 2027 | Retraso parcial via Digital Omnibus (en tramitacion, no confirmado) | Incierto |
Clasificacion de Riesgo: Donde Cae tu Sistema de IA
El EU AI Act clasifica los sistemas de IA en cuatro niveles de riesgo y las obligaciones dependen directamente de esa clasificacion. Lo primero que tienes que hacer es determinar en que categoria caen los sistemas de IA que tu empresa usa o desarrolla.
Tabla de Clasificacion de Riesgo
| Nivel de Riesgo | Que Implica | Ejemplos Concretos | Obligaciones |
|---|---|---|---|
| Inaceptable | Prohibido en la UE | Scoring social, manipulacion subliminal, reconocimiento facial masivo en tiempo real, explotacion de vulnerabilidades de grupos especificos | Prohibicion total. Multas de hasta 35M EUR / 7% facturacion |
| Alto | Regulacion estricta | Seleccion de personal con IA, credit scoring, sistemas educativos de evaluacion, control de infraestructura critica, asistencia judicial, verificacion biometrica | 10 requisitos obligatorios + registro UE + marcado CE |
| Limitado | Obligaciones de transparencia | Chatbots de atencion al cliente, deepfakes, sistemas de reconocimiento de emociones, generacion de contenido por IA | Informar al usuario de que interactua con IA, etiquetar contenido generado por IA |
| Minimo | Sin obligaciones especificas | Filtros de spam, videojuegos con IA, recomendaciones de contenido, correctores ortograficos | Codigo de conducta voluntario |
Casos Concretos para Empresas Espanolas
| Si tu empresa hace esto... | Nivel de riesgo | Obligacion principal |
|---|---|---|
| Usa IA para filtrar CVs o puntuar candidatos | Alto | Documentacion completa + supervision humana + FRIA |
| Usa ChatGPT como chatbot de atencion al cliente | Limitado | Informar al usuario de que habla con una IA |
| Usa IA para evaluar riesgo crediticio de clientes | Alto | Sistema de gestion de riesgos + auditoria + CE |
| Usa IA para generar textos de marketing | Minimo | Ninguna obligacion legal (recomendable etiquetar) |
| Usa IA para analizar radiografias o diagnosticos | Alto | Todos los requisitos de alto riesgo + legislacion sanitaria |
| Usa reconocimiento facial en control de acceso | Alto | Registro UE + EIPD + supervision humana |
| Usa IA para deteccion de fraude en transacciones | Alto | Gestion de riesgos + logging + precision demostrable |
| Usa IA para personalizar precios segun perfil | Potencialmente Alto | Analisis caso por caso. Si hay discriminacion, alto riesgo |
Que Tiene que Hacer tu Empresa: Los 10 Requisitos para IA de Alto Riesgo
Si tu sistema de IA esta clasificado como alto riesgo, el EU AI Act exige cumplir 10 requisitos obligatorios. Estos aplican principalmente a los proveedores (quienes desarrollan el sistema), pero muchos de ellos tambien afectan directamente a los operadores (quienes lo despliegan y usan).
Tabla de los 10 Requisitos
| N. | Requisito | Que Tienes que Hacer en la Practica | Articulo |
|---|---|---|---|
| 1 | Sistema de gestion de riesgos | Identificar, analizar y mitigar riesgos durante todo el ciclo de vida del sistema. Actualizar periodicamente. | Art. 9 |
| 2 | Gobernanza de datos | Garantizar que los datos de entrenamiento son relevantes, representativos, libres de sesgos y conformes al RGPD. | Art. 10 |
| 3 | Documentacion tecnica | Documentar la arquitectura del sistema, los datos utilizados, las metricas de rendimiento y las decisiones de diseno. | Art. 11 |
| 4 | Registro automatico de actividad (logging) | Implementar logs que permitan rastrear el funcionamiento del sistema, detectar riesgos y facilitar la supervision poscomercializacion. | Art. 12 |
| 5 | Transparencia e informacion al usuario | Proporcionar instrucciones de uso claras al operador, incluyendo capacidades, limitaciones y condiciones de uso previstas. | Art. 13 |
| 6 | Supervision humana | Disenar el sistema para que pueda ser supervisado por personas. Definir quien supervisa, cuando y como interviene. | Art. 14 |
| 7 | Precision, robustez y ciberseguridad | Demostrar que el sistema es preciso, robusto frente a errores y adversarios, y que esta protegido contra ataques. | Art. 15 |
| 8 | Marcado CE | Obtener la declaracion de conformidad y colocar el marcado CE antes de comercializar el sistema en la UE. | Art. 48-49 |
| 9 | Registro en la base de datos de la UE | Registrar el sistema de alto riesgo en la base de datos publica de la UE antes de su comercializacion. | Art. 71 |
| 10 | Sistema de gestion de calidad | Implementar un sistema de gestion de calidad que cubra todo el ciclo de vida, desde el diseno hasta la retirada. | Art. 17 |
Si Eres Operador (Deployer): Tus 6 Obligaciones Especificas
No solo los proveedores tienen obligaciones. Si tu empresa despliega o utiliza un sistema de IA de alto riesgo desarrollado por un tercero, eres un operador y tienes obligaciones propias:
| Obligacion del Operador | Detalle | Riesgo si Incumples |
|---|---|---|
| Cumplir las instrucciones del proveedor | Usar el sistema conforme a las instrucciones de uso proporcionadas. No modificar sin autorizacion. | Asumes responsabilidad del proveedor |
| Asignar supervisores humanos | Designar personas con competencia, formacion y autoridad para supervisar el sistema. | Sancion por falta de supervision |
| Monitorizar el rendimiento | Vigilar que el sistema funciona como se espera y notificar al proveedor si detectas anomalias. | Responsabilidad compartida |
| Notificar incidentes graves | Informar a la autoridad competente de cualquier incidente grave o mal funcionamiento. | Multa adicional por ocultacion |
| Realizar EIPD | Evaluacion de Impacto en Proteccion de Datos si el sistema procesa datos personales (obligatorio bajo RGPD). | Multa RGPD + AI Act |
| Realizar FRIA | Evaluacion de Impacto en Derechos Fundamentales antes de poner en servicio el sistema (Art. 27). | Multa especifica AI Act |
En mi guia sobre Shadow AI en empresas explico como detectar sistemas de IA no autorizados en tu organizacion, que es el primer paso antes de poder clasificar y cumplir con estas obligaciones.
Obligaciones de Transparencia (Articulo 50)
Incluso si tu IA no es de alto riesgo, el Articulo 50 te impone obligaciones de transparencia que se aplican a todos los niveles:
| Obligacion de Transparencia | A Quien Aplica | Que Debes Hacer |
|---|---|---|
| Informar de interaccion con IA | Chatbots, asistentes virtuales, IVR con IA | Avisar al usuario de que esta interactuando con una IA, no con una persona |
| Etiquetar contenido generado por IA | Generadores de texto, imagen, audio, video | Marcar el contenido como generado o manipulado por IA (metadatos + aviso visible) |
| Divulgar reconocimiento de emociones | Sistemas de analisis de sentimientos, deteccion emocional | Informar a las personas afectadas de que se esta analizando su estado emocional |
| Declarar deepfakes | Contenido sintetico que simula personas reales | Etiquetar de forma clara e inequivoca que el contenido es artificial |
Multas y Sanciones: Cuanto Te Puede Costar
Las multas del EU AI Act estan disenadas para ser disuasorias, siguiendo el modelo del RGPD pero con importes aun mayores. Y lo mas importante: son acumulativas con las multas del RGPD.
Tabla de Multas EU AI Act
| Infraccion | Multa Maxima | Porcentaje Facturacion | Ejemplo |
|---|---|---|---|
| Practicas prohibidas (riesgo inaceptable) | 35.000.000 EUR | 7% facturacion global anual | Usar scoring social, manipulacion subliminal |
| Incumplimiento requisitos alto riesgo | 15.000.000 EUR | 3% facturacion global anual | No tener documentacion tecnica, no registrar en base UE |
| Informacion enganosa a autoridades | 7.500.000 EUR | 1% facturacion global anual | Proporcionar datos falsos en auditorias o registros |
Multas RGPD Acumulativas por Uso de IA (AEPD 2025-2026)
| Sector | Importe Multa | Motivo |
|---|---|---|
| Banca | 890.000 EUR | Uso de IA para scoring crediticio sin EIPD adecuada |
| Seguros | 540.000 EUR | Perfilado automatizado de clientes sin base legal |
| RRHH | 320.000 EUR | Seleccion de candidatos con IA sin informar a los afectados |
Regimen Especial para PYMEs
El EU AI Act contempla un regimen atenuado para PYMEs y startups, pero no las exime de cumplir. Las multas maximas se calculan sobre el menor de los dos importes (cuantia fija vs porcentaje de facturacion). Ademas, las PYMEs tienen acceso prioritario a los sandboxes regulatorios que la AESIA pondra en marcha a lo largo de 2026.
AESIA y AEPD: Quien te Vigila en Espana
En Espana tienes dos autoridades vigilandote en materia de IA, y ambas estan siendo proactivas:
AESIA - Agencia Espanola de Supervision de la Inteligencia Artificial
| Dato | Detalle |
|---|---|
| Sede | A Coruna |
| Hito | Primera autoridad nacional de supervision de IA de toda la UE |
| Investigaciones abiertas | 23 investigaciones preliminares (a marzo 2026) |
| Guias publicadas | 16 guias de cumplimiento (publicadas diciembre 2025) |
| Funcion principal | Supervisar el cumplimiento del EU AI Act en Espana |
| Sandbox regulatorio | En preparacion para 2026, acceso prioritario para PYMEs |
La AESIA no es un organismo testimonial. Fue creada en 2023, adelantandose a la mayoria de paises europeos, y esta dotada de capacidad sancionadora. Sus 16 guias publicadas en diciembre de 2025 cubren desde la clasificacion de riesgo hasta los requisitos de documentacion tecnica, y son de lectura obligada para cualquier empresa que desarrolle o use IA en Espana.
AEPD - Agencia Espanola de Proteccion de Datos
| Dato | Detalle |
|---|---|
| Investigaciones IA abiertas | 147 (incremento del 340% respecto a 2024) |
| Multas impuestas por IA | 890.000 EUR (banca), 540.000 EUR (seguros), 320.000 EUR (RRHH) |
| Guias relevantes | Guia de uso de IA y RGPD (actualizada dic 2025), Politica interna de IA generativa |
| Funcion respecto al AI Act | Supervisar el cumplimiento del RGPD en sistemas de IA. Coordinacion con AESIA |
Checklist de Cumplimiento EU AI Act
Imprime esta tabla o guardala en tu gestor de proyectos. Cada fila es una accion concreta que tu empresa debe completar antes del 2 de agosto de 2026.
| Paso | Accion | Responsable | Deadline Sugerido | Estado |
|---|---|---|---|---|
| 1 | Crear inventario completo de todos los sistemas de IA en uso o desarrollo | CTO / IT | Abril 2026 | Pendiente |
| 2 | Clasificar cada sistema segun nivel de riesgo (inaceptable, alto, limitado, minimo) | Legal + IT | Abril 2026 | Pendiente |
| 3 | Eliminar inmediatamente cualquier sistema de riesgo inaceptable | Direccion | Inmediato | Pendiente |
| 4 | Realizar EIPD (Evaluacion de Impacto Proteccion de Datos) para cada sistema con datos personales | DPO / Legal | Mayo 2026 | Pendiente |
| 5 | Realizar FRIA (Evaluacion de Impacto Derechos Fundamentales) para sistemas de alto riesgo | Legal + RRHH | Mayo 2026 | Pendiente |
| 6 | Documentar la gobernanza de datos de entrenamiento de cada sistema de alto riesgo | Data / IT | Mayo 2026 | Pendiente |
| 7 | Implementar sistema de logging automatico para sistemas de alto riesgo | IT / DevOps | Junio 2026 | Pendiente |
| 8 | Designar y formar supervisores humanos para cada sistema de alto riesgo | RRHH + Operaciones | Junio 2026 | Pendiente |
| 9 | Redactar documentacion tecnica completa (arquitectura, datos, metricas, limitaciones) | IT / Proveedor | Junio 2026 | Pendiente |
| 10 | Implementar avisos de transparencia (chatbots, contenido generado, deepfakes) | Marketing + IT | Junio 2026 | Pendiente |
| 11 | Solicitar marcado CE y registrar sistemas de alto riesgo en la base de datos de la UE | Legal + IT | Julio 2026 | Pendiente |
| 12 | Crear politica de gobernanza de IA aprobada por direccion | Direccion + Legal | Julio 2026 | Pendiente |
| 13 | Formar a todos los empleados en alfabetizacion de IA (Art. 4, AI Literacy) | RRHH + Formacion | Ya deberia estar hecho | Pendiente |
| 14 | Establecer protocolo de notificacion de incidentes graves | Legal + IT | Julio 2026 | Pendiente |
| 15 | Revision final de cumplimiento y simulacro de auditoria | Direccion | Julio 2026 | Pendiente |
Si necesitas una plantilla detallada para la politica de gobernanza (paso 12), tengo una guia completa con plantilla incluida.
Calendario de Implementacion en 90 Dias
Si empiezas hoy (finales de marzo 2026), tienes exactamente el tiempo justo para llegar al 2 de agosto. Este es el plan que recomiendo a las empresas con las que trabajo:
Mes 1: Inventario y Clasificacion (Abril 2026)
| Semana | Tarea | Resultado |
|---|---|---|
| Semana 1-2 | Inventariar todos los sistemas de IA (incluidos los de Shadow AI que tus empleados usan sin autorizacion) | Lista completa de sistemas |
| Semana 3 | Clasificar cada sistema por nivel de riesgo con el equipo legal y tecnico | Matriz de riesgo completada |
| Semana 4 | Eliminar sistemas prohibidos. Priorizar los de alto riesgo. | Sistemas prohibidos eliminados |
Mes 2: Documentacion y Evaluacion (Mayo 2026)
| Semana | Tarea | Resultado |
|---|---|---|
| Semana 5-6 | Realizar EIPD y FRIA para cada sistema de alto riesgo | Evaluaciones completadas |
| Semana 7 | Documentar gobernanza de datos y documentacion tecnica por sistema | Dosier por sistema |
| Semana 8 | Verificar cumplimiento de transparencia (Art. 50) en sistemas de riesgo limitado | Avisos implementados |
Mes 3: Implementacion de Controles y Formacion (Junio-Julio 2026)
| Semana | Tarea | Resultado |
|---|---|---|
| Semana 9-10 | Implementar logging, supervision humana y controles de ciberseguridad | Controles tecnicos activos |
| Semana 11 | Formar a empleados (AI Literacy) y a supervisores humanos designados | Formacion certificada |
| Semana 12 | Politica de gobernanza aprobada + simulacro de auditoria + solicitar marcado CE | Empresa lista |
Errores Comunes que Veo en Empresas Espanolas
Despues de trabajar con empresas de distintos tamaños en la preparacion para el EU AI Act, estos son los errores que se repiten una y otra vez:
Error 1: "Solo Afecta a Quien Desarrolla IA"
Falso. El EU AI Act establece obligaciones para proveedores, operadores, importadores y distribuidores. Si tu empresa usa un sistema de IA de alto riesgo desarrollado por un tercero (por ejemplo, un software de RRHH con IA para filtrar CVs), eres un operador y tienes tus propias obligaciones: supervisar el sistema, realizar la FRIA, notificar incidentes y garantizar el cumplimiento de las instrucciones del proveedor. El 68% de las empresas espanolas que deberian haber hecho una EIPD para sus sistemas de IA no lo han hecho.
Error 2: "El Digital Omnibus Lo Retrasa Todo a 2027"
Peligrosisimo. Si, la propuesta del Digital Omnibus de la Comision Europea podria retrasar algunas obligaciones de alto riesgo a diciembre de 2027. Pero es una propuesta legislativa en tramitacion, no una norma aprobada. Puede aprobarse, modificarse o rechazarse. Planificar tu cumplimiento sobre la esperanza de un retraso no confirmado es la mejor forma de acabar con una sancion. Las prohibiciones (riesgo inaceptable) y las obligaciones de transparencia ya estan en vigor y no se ven afectadas por el Digital Omnibus.
Error 3: "Con Cumplir el RGPD Es Suficiente"
No lo es. El RGPD y el EU AI Act son normativas complementarias, no sustituibles. El RGPD regula el tratamiento de datos personales. El AI Act regula el sistema de IA en su conjunto: su diseno, su precision, su supervision humana, su documentacion tecnica y su gestion de riesgos. Puedes cumplir el RGPD perfectamente y aun asi incumplir el AI Act por no tener documentacion tecnica o por no haber registrado el sistema en la base de datos de la UE. Y las multas de ambos se suman.
Error 4: "Nuestra IA No Es de Alto Riesgo"
Revisalo. Muchas empresas asumen que sus sistemas de IA son de riesgo minimo porque "solo usan ChatGPT para emails". Pero cuando analizas el uso real, descubres que estan usando IA para evaluar candidatos, segmentar clientes por riesgo, generar informes de cumplimiento o tomar decisiones que afectan a personas. La clasificacion no depende de la herramienta, sino del uso. Un mismo modelo de lenguaje puede ser de riesgo minimo para generar textos de marketing y de alto riesgo si se integra en un proceso de seleccion de personal.
Error 5: "No Tenemos Inventario Pero Ya Cumpliremos"
Imposible cumplir lo que no conoces. Mas de la mitad de las organizaciones no tiene un inventario de sus sistemas de IA. Si no sabes que IA usas, no puedes clasificarla, no puedes evaluarla y no puedes documentarla. El inventario es el paso cero y es donde mas empresas fallan. Incluye los sistemas "oficiales" y los de Shadow AI que tus empleados usan por su cuenta.
Preguntas Frecuentes (FAQ)
Mi empresa es una PYME con menos de 50 empleados. Me afecta el EU AI Act?
Si, te afecta. El EU AI Act aplica a cualquier organizacion que desarrolle, despliegue, importe o use sistemas de IA en la UE, independientemente de su tamaño. Lo que si contempla la ley es un regimen atenuado de multas para PYMEs (se aplica el menor de los dos importes: cuantia fija o porcentaje) y acceso prioritario a los sandboxes regulatorios. Pero las obligaciones de cumplimiento son las mismas.
Usamos un chatbot de IA comprado a un proveedor. La responsabilidad es solo del proveedor?
No. Si despliegas un sistema de IA, eres operador y tienes tus propias obligaciones: usar el sistema conforme a las instrucciones, asignar supervisores humanos, monitorizar el rendimiento y notificar incidentes. Si el sistema es de alto riesgo, ademas debes realizar la FRIA y la EIPD. La responsabilidad es compartida entre proveedor y operador.
Que es la FRIA y en que se diferencia de la EIPD?
La EIPD (Evaluacion de Impacto en Proteccion de Datos) es una obligacion del RGPD que evalua el impacto del tratamiento de datos personales. La FRIA (Fundamental Rights Impact Assessment) es una obligacion nueva del AI Act (Art. 27) que evalua el impacto del sistema de IA en derechos fundamentales como la no discriminacion, la privacidad, la dignidad o la libertad de expresion. Son complementarias: necesitas ambas si tu sistema de alto riesgo procesa datos personales.
Donde puedo consultar las guias de la AESIA?
La AESIA ha publicado 16 guias de cumplimiento en su web oficial (aesia.gob.es). Cubren desde la clasificacion de riesgo hasta los requisitos de documentacion tecnica y son el recurso de referencia para empresas espanolas. Tambien puedes consultar las guias de la AEPD sobre IA y RGPD en aepd.es.
Que pasa si el Digital Omnibus se aprueba y retrasa los plazos?
Si se aprueba tal como esta propuesto, algunas obligaciones para sistemas de alto riesgo del Anexo III podrian retrasarse hasta diciembre de 2027. Pero las prohibiciones de riesgo inaceptable, las obligaciones de transparencia y la AI Literacy ya estan en vigor y no se ven afectadas. Mi recomendacion profesional: prepara tu empresa para agosto de 2026. Si hay retraso, tendras mas margen. Si no lo hay, estaras a tiempo.
Puedo automatizar parte del cumplimiento?
Si. Herramientas de automatizacion como n8n pueden ayudarte a implementar parte de los requisitos operativos: logging automatico de decisiones de IA, monitorizacion de rendimiento, alertas de anomalias y generacion automatica de informes de cumplimiento. No sustituye la clasificacion legal ni la FRIA, pero reduce significativamente la carga operativa.
Necesito un DPO para cumplir el AI Act?
El AI Act no exige un DPO especificamente, pero si tu empresa ya esta obligada a tener uno por el RGPD (administraciones publicas, tratamientos a gran escala, categorias especiales de datos), ese DPO deberia ser parte central del equipo de cumplimiento del AI Act. Si no tienes DPO y tus sistemas de IA procesan datos personales, te recomiendo designar al menos un responsable de cumplimiento de IA con formacion en ambas normativas.
Que sectores estan siendo mas investigados en Espana?
Banca, seguros y recursos humanos son los tres sectores con mas actuaciones de la AEPD por uso de IA con datos personales. La banca ha recibido la multa mas alta (890.000 EUR) por credit scoring con IA sin EIPD adecuada. Seguros (540.000 EUR) por perfilado automatizado y RRHH (320.000 EUR) por seleccion de candidatos sin informar a los afectados. La AESIA, por su parte, no ha revelado los sectores de sus 23 investigaciones preliminares.
Si Necesitas Ayuda
Ofrezco auditorias de cumplimiento EU AI Act para PYMEs. Primer diagnostico gratuito: javier@javadex.es.
El proceso es simple: revisamos juntos tu inventario de sistemas de IA, los clasificamos, identificamos las obligaciones que te aplican y disenamos un plan de cumplimiento adaptado a tu tamaño y tu sector. Si prefieres empezar por tu cuenta, este articulo y las guias enlazadas te dan la base para hacerlo.
Fuentes y Referencias
- Reglamento (UE) 2024/1689 - EU AI Act. Diario Oficial de la Union Europea, 12 de julio de 2024.
- AESIA - Guias de cumplimiento del Reglamento de IA (16 guias publicadas, diciembre 2025). aesia.gob.es.
- AEPD - Guia sobre el uso de la IA y el RGPD (actualizada diciembre 2025). aepd.es.
- Comision Europea - Propuesta Digital Omnibus (en tramitacion, 2025-2026).
- Anu Bradford - The Brussels Effect: How the European Union Rules the World. Oxford University Press.
- European AI Office - Base de datos de la UE para sistemas de IA de alto riesgo.
- AEPD - Resoluciones sancionadoras por uso de IA (2025-2026): PS/00892/2025 (banca), PS/00741/2025 (seguros), PS/00654/2025 (RRHH).
Ultima actualizacion: 29 de marzo de 2026. Este articulo se actualiza cuando hay cambios regulatorios relevantes. Suscribete al blog para no perderte ninguna actualizacion.
