Reglamento IA de la Unión Europea (AI Act): Guía Completa para Empresas Españolas [2026]
Si tu empresa usa inteligencia artificial en España, tienes hasta el 2 de agosto de 2026 para cumplir el reglamento europeo más ambicioso del mundo. Las multas llegan hasta los 35 millones de euros o el 7% de tu facturación global. Y no, no importa si eres una startup de 3 personas o Telefónica.
El Reglamento (UE) 2024/1689, conocido como AI Act o Ley de Inteligencia Artificial europea, es la primera regulación integral de IA del mundo. Ya está parcialmente en vigor y será completamente aplicable en agosto de 2026. Esta guía te explica exactamente qué tienes que hacer, cuándo y cómo.
¿Quieres estar al día con la IA y la regulación? En La Escuela de IA analizamos cada cambio normativo y su impacto real en empresas. Únete gratis. También en YouTube @JavadexAI y TikTok @javadex.
TL;DR - Resumen Rápido
- El AI Act es el Reglamento (UE) 2024/1689 que regula la inteligencia artificial en toda Europa
- Entrada en vigor plena: 2 de agosto de 2026 (las prohibiciones ya aplican desde febrero 2025)
- Multas: hasta 35 millones de euros o el 7% de facturación global por prácticas prohibidas
- España: la AESIA (Agencia Española de Supervisión de IA) ya está operativa y será la autoridad sancionadora
- PYMES y startups: tienen un régimen simplificado, pero NO están exentas
- Obligaciones clave: clasificar tus sistemas de IA por nivel de riesgo, documentar, supervisar y ser transparente
- Si usas ChatGPT, Copilot o cualquier IA generativa en tu empresa, te afecta
Qué es el AI Act y Por Qué Te Afecta
El AI Act (Reglamento de Inteligencia Artificial de la Unión Europea) es la primera legislación integral del mundo que regula el desarrollo, comercialización y uso de sistemas de inteligencia artificial. Fue aprobado el 13 de junio de 2024 por el Parlamento Europeo y el Consejo de la UE.
Diferencia con el RGPD
Si recuerdas el caos del RGPD (Reglamento General de Protección de Datos) en 2018, prepárate: el AI Act es más complejo y afecta a más empresas. Mientras que el RGPD regulaba datos personales, el AI Act regula cualquier sistema que use IA, independientemente de si procesa datos personales o no.
| Aspecto | RGPD | AI Act |
|---|---|---|
| Qué regula | Datos personales | Sistemas de IA |
| Multa máxima | 20M€ o 4% facturación | 35M€ o 7% facturación |
| Aplica a | Quien trata datos | Quien desarrolla, despliega o usa IA |
| Vigencia plena | Mayo 2018 | Agosto 2026 |
| Autoridad en España | AEPD | AESIA |
A quién afecta en España
El AI Act afecta a tres tipos de actores:
- Proveedores: empresas que desarrollan sistemas de IA y los comercializan en la UE (ya estés en Madrid o en Silicon Valley)
- Implementadores (deployers): empresas que usan sistemas de IA en su operativa (sí, si usas ChatGPT para atención al cliente, eres implementador)
- Importadores y distribuidores: quienes introducen sistemas de IA de terceros países en el mercado europeo
En la práctica, si eres una empresa española que usa cualquier herramienta de IA (ChatGPT, GitHub Copilot, un chatbot de atención al cliente, un sistema de scoring crediticio, IA para RRHH...), eres implementador y tienes obligaciones.
Calendario de Aplicación: Las Fechas que No Puedes Olvidar
El AI Act no se aplica todo de golpe. Tiene un despliegue escalonado:
Ya en vigor (desde febrero 2025)
- Prácticas de IA prohibidas (Capítulo II): ya es ilegal usar IA para manipulación subliminal, scoring social o vigilancia biométrica masiva en tiempo real
- Alfabetización en IA (Artículo 4): todas las empresas deben garantizar que su personal tenga conocimientos suficientes sobre IA
Desde agosto 2025
- Gobernanza: los Estados miembros deben designar autoridades competentes (en España: AESIA)
- Modelos de propósito general (GPAI): obligaciones para proveedores de modelos fundacionales como GPT, Claude, Gemini o Llama
- Códigos de prácticas: los proveedores de GPAI deben adherirse a códigos de buenas prácticas
Febrero 2026 (ahora mismo)
- La Comisión Europea publica directrices de implementación práctica con una lista exhaustiva de ejemplos de sistemas de alto riesgo y no alto riesgo
- Estas directrices son esenciales para que las empresas sepan si sus sistemas se clasifican como alto riesgo
2 de agosto de 2026 (fecha límite principal)
- Aplicación plena de todas las obligaciones para sistemas de IA de alto riesgo (Anexo III)
- Obligaciones de transparencia (Artículo 50) para todos los sistemas de IA
- Sandboxes regulatorios obligatorios en cada Estado miembro
- Registro en la base de datos de la UE para sistemas de alto riesgo
Agosto 2027
- Aplicación de obligaciones para sistemas de alto riesgo integrados en productos regulados (dispositivos médicos, maquinaria industrial, juguetes, etc.)
Los 4 Niveles de Riesgo: Dónde Está Tu IA
El AI Act clasifica todos los sistemas de IA en cuatro niveles de riesgo. Tu primera tarea es identificar en cuál cae cada sistema que uses:
Nivel 1: Riesgo Inaceptable (PROHIBIDO)
Estos sistemas están completamente prohibidos en la UE desde febrero de 2025:
- Manipulación subliminal: IA que manipula el comportamiento de personas sin que sean conscientes
- Scoring social: sistemas que puntúan a ciudadanos por su comportamiento social (al estilo del sistema chino)
- Vigilancia biométrica masiva: reconocimiento facial en tiempo real en espacios públicos (con excepciones para policía con autorización judicial)
- Categorización biométrica sensible: clasificar personas por raza, orientación sexual o creencias políticas
- Scraping facial: recopilar imágenes de rostros de internet o cámaras para crear bases de datos de reconocimiento facial
- Reconocimiento de emociones: en el trabajo o centros educativos
- Policía predictiva individual: predecir si una persona cometerá un delito basándose en su perfil
Multa por incumplimiento: hasta 35 millones de euros o el 7% de la facturación anual global.
Nivel 2: Alto Riesgo (REGULADO ESTRICTAMENTE)
Son los sistemas que más obligaciones tienen. Incluyen IA usada en:
Infraestructuras críticas:
- Gestión de redes de agua, gas o electricidad
- Tráfico y transporte
Educación y formación:
- Sistemas que determinan el acceso a instituciones educativas
- IA que evalúa a estudiantes o detecta comportamiento en exámenes
Empleo y RRHH:
- Filtrado de CVs y selección de candidatos
- Evaluación de rendimiento de empleados
- Asignación de tareas basada en perfiles
Servicios esenciales:
- Scoring crediticio y evaluación de solvencia
- Cálculo de primas de seguros (vida y salud)
- Evaluación de elegibilidad para prestaciones sociales
Seguridad y justicia:
- Evaluación de riesgo de reincidencia
- Polígrafos y detección de emociones en fronteras
- Evaluación de pruebas en procesos judiciales
Migración y fronteras:
- Evaluación de solicitudes de asilo
- Detección de documentos falsos
Democracia:
- Sistemas que influyen en resultados electorales
Si usas IA para cualquiera de estos fines, debes cumplir requisitos estrictos de documentación, supervisión humana, ciberseguridad y transparencia.
Nivel 3: Riesgo Limitado (OBLIGACIONES DE TRANSPARENCIA)
Aquí entran la mayoría de herramientas que las empresas usan a diario:
- Chatbots: debes informar al usuario de que está interactuando con IA
- Contenido generado por IA: imágenes, vídeos, texto o audio deben etiquetarse como generados o manipulados por IA
- Deepfakes: obligación de marcar que el contenido ha sido generado artificialmente
- IA generativa (ChatGPT, Claude, Gemini): el proveedor debe cumplir obligaciones de transparencia sobre datos de entrenamiento y derechos de autor
En la práctica para empresas españolas: si tu chatbot de atención al cliente usa ChatGPT por detrás, debes avisar al usuario. Si generas imágenes con Midjourney para marketing, debes etiquetarlas.
Nivel 4: Riesgo Mínimo (SIN OBLIGACIONES ESPECÍFICAS)
La gran mayoría de aplicaciones de IA caen aquí y no tienen obligaciones regulatorias específicas bajo el AI Act:
- Filtros de spam
- IA en videojuegos
- Sistemas de recomendación de contenido
- Asistentes de escritura (autocorrectores, sugerencias)
- IA para optimización de inventario o logística
Aun así, se recomienda seguir buenas prácticas de transparencia y ética.
Obligaciones Concretas para Empresas Españolas
Si eres proveedor (desarrollas IA)
Tu empresa desarrolla o comercializa un sistema de IA clasificado como alto riesgo. Estas son tus obligaciones:
- Sistema de gestión de riesgos: identificar, evaluar y mitigar riesgos durante todo el ciclo de vida del sistema
- Gobernanza de datos: garantizar que los datos de entrenamiento son relevantes, representativos y libres de sesgos
- Documentación técnica: mantener documentación completa y actualizada del sistema
- Registro de actividad (logging): el sistema debe generar logs automáticos para trazabilidad
- Supervisión humana: diseñar el sistema para que un humano pueda intervenir o detenerlo
- Precisión y robustez: el sistema debe funcionar correctamente y ser resistente a ataques
- Ciberseguridad: proteger el sistema contra manipulaciones y accesos no autorizados
- Marcado CE: obtener el marcado de conformidad europeo
- Registro en la base de datos de la UE: registrar el sistema en la base de datos pública europea
- Monitorización poscomercialización: vigilar el rendimiento del sistema después de lanzarlo al mercado
Si eres implementador (usas IA)
La mayoría de empresas españolas caerán en esta categoría. Si usas sistemas de IA de alto riesgo:
- Seguir las instrucciones del proveedor: usar el sistema según las instrucciones de uso facilitadas
- Supervisión humana: asignar personas competentes para supervisar el funcionamiento del sistema
- Calidad de datos de entrada: asegurar que los datos que introduces en el sistema son relevantes y de calidad
- Monitorización: vigilar el funcionamiento y reportar incidentes graves al proveedor y a AESIA
- Evaluación de impacto: para sistemas de alto riesgo en el ámbito público, realizar una evaluación de impacto sobre derechos fundamentales
- Conservación de logs: guardar los registros de actividad generados automáticamente durante mínimo 6 meses
- Informar a empleados y sindicatos: si usas IA de alto riesgo en el lugar de trabajo, informar a los representantes de los trabajadores
Si eres PYME o startup
El AI Act incluye medidas específicas para PYMES y startups:
- Documentación técnica simplificada: la Comisión Europea creará formularios simplificados adaptados a pequeñas empresas
- Acceso prioritario a sandboxes regulatorios: las PYMES tienen acceso preferente a entornos de prueba controlados
- Tasas reducidas: las tasas de evaluación de conformidad se reducen proporcionalmente al tamaño de la empresa
- Régimen sancionador flexible: posibles apercibimientos en lugar de multas para infracciones leves
- Apoyo de AESIA: la agencia española ofrecerá orientación específica para PYMES
Pero cuidado: estar en régimen simplificado no significa estar exento. Las prohibiciones y las obligaciones de transparencia aplican igual a todas las empresas.
Las Multas: Cuánto Te Puede Costar No Cumplir
El AI Act establece un sistema de multas escalonado que hace que las del RGPD parezcan pequeñas:
| Infracción | Multa máxima | % facturación |
|---|---|---|
| Prácticas prohibidas (Art. 5) | 35.000.000 € | 7% global |
| Incumplimiento de alto riesgo | 15.000.000 € | 3% global |
| Información incorrecta a autoridades | 7.500.000 € | 1,5% global |
Ejemplos prácticos
- Una empresa con 10M€ de facturación que use IA prohibida: multa de hasta 700.000 € (7%)
- Una startup con 500K€ que no documente su sistema de alto riesgo: multa de hasta 15.000 € (3%)
- Una gran empresa con 1.000M€ que use scoring social: multa de hasta 35.000.000 € (el tope)
AESIA: La Agencia que Vigila en España
España fue el primer país de la UE en crear su agencia nacional de supervisión de IA: la AESIA (Agencia Española de Supervisión de Inteligencia Artificial), operativa desde junio de 2024 y con sede en A Coruña.
Funciones de AESIA
- Supervisión y control: inspeccionar el cumplimiento del AI Act en España
- Sandbox regulatorio: gestionar entornos de pruebas controlados para que empresas puedan testar sus sistemas de IA bajo supervisión
- Orientación: publicar guías prácticas de cumplimiento (ya ha publicado 16 guías)
- Sanciones: imponer multas y medidas correctoras
- Coordinación europea: representar a España ante la European AI Board
Las 16 guías de AESIA
En diciembre de 2025, AESIA publicó 16 guías prácticas basadas en los resultados de su sandbox regulatorio. Estas guías cubren:
- Evaluación de riesgos de sistemas de IA
- Documentación técnica
- Supervisión humana
- Transparencia y explicabilidad
- Gobernanza de datos
- Ciberseguridad para sistemas de IA
Estas guías están disponibles gratuitamente en aesia.digital.gob.es y son el mejor punto de partida para cualquier empresa española.
Sandbox regulatorio
AESIA gestiona el primer sandbox regulatorio de IA en la UE. En abril de 2025, seleccionó 12 proyectos piloto de empresas españolas para probar sus sistemas de IA bajo supervisión regulatoria.
Los resultados de estos pilotos se están usando para elaborar un informe público de buenas prácticas que será referencia para otras empresas.
Obligaciones de Transparencia: Lo que Toda Empresa Debe Hacer
Independientemente del nivel de riesgo de tu IA, el Artículo 50 establece obligaciones de transparencia que afectan a casi todas las empresas:
1. Chatbots e interfaces conversacionales
Si tu empresa usa un chatbot (ya sea propio o basado en ChatGPT, Claude, etc.), debes informar claramente al usuario de que está interactuando con un sistema de IA.
Cómo cumplir: añade un aviso visible como "Estás hablando con un asistente de inteligencia artificial" al inicio de la conversación.
2. Contenido generado por IA
Si generas texto, imágenes, audio o vídeo con IA (Midjourney, DALL-E, Sora, Suno, etc.) y lo publicas, debes:
- Etiquetar el contenido como generado por IA
- Usar marcas de agua técnicas cuando sea posible
- Incluir metadatos legibles por máquina que identifiquen el origen artificial
Cómo cumplir: añade disclaimers como "Imagen generada con inteligencia artificial" y usa los metadatos C2PA cuando estén disponibles.
3. Deepfakes y contenido manipulado
Si generas vídeos o audio que representen a personas reales diciendo o haciendo cosas que no dijeron ni hicieron, tienes obligación reforzada de etiquetar el contenido.
4. Sistemas de reconocimiento de emociones
Si usas IA que detecta emociones (en atención al cliente, por ejemplo), debes informar a las personas afectadas.
Checklist de Cumplimiento: 10 Pasos para Tu Empresa
Aquí tienes un plan de acción concreto para cumplir el AI Act antes de agosto de 2026:
Paso 1: Inventario de sistemas de IA (febrero-marzo 2026)
Haz una lista completa de todos los sistemas de IA que usa tu empresa. Incluye:
- Herramientas comerciales (ChatGPT, Copilot, Salesforce Einstein, etc.)
- Sistemas propios (modelos internos, chatbots, automatizaciones)
- IA embebida en software que ya usas (CRM, ERP, herramientas de marketing)
Paso 2: Clasificación por nivel de riesgo (marzo 2026)
Para cada sistema de tu inventario, determina si es:
- Riesgo inaceptable (prohibido)
- Alto riesgo
- Riesgo limitado (transparencia)
- Riesgo mínimo
Usa el compliance checker de artificialintelligenceact.eu como herramienta de autodiagnóstico.
Paso 3: Eliminar prácticas prohibidas (inmediato)
Si identificas algún uso prohibido (scoring social, manipulación subliminal, reconocimiento de emociones en el trabajo sin consentimiento), detenlo inmediatamente. Las prohibiciones ya están en vigor.
Paso 4: Alfabetización en IA (en curso)
Forma a tu equipo. El Artículo 4 exige que todas las personas que trabajan con IA tengan conocimientos suficientes. Esto incluye:
- Entender qué es la IA y sus limitaciones
- Conocer los riesgos asociados
- Saber identificar resultados incorrectos o sesgados
- Conocer las obligaciones del AI Act relevantes para su puesto
Paso 5: Documentación técnica (abril-mayo 2026)
Para sistemas de alto riesgo, prepara la documentación técnica que incluya:
- Descripción general del sistema y su finalidad
- Datos de entrenamiento utilizados y su procedencia
- Métricas de rendimiento y limitaciones conocidas
- Medidas de supervisión humana implementadas
- Evaluación de riesgos y medidas de mitigación
Paso 6: Implementar supervisión humana (mayo 2026)
Designa personas responsables de supervisar cada sistema de IA de alto riesgo:
- Asigna roles claros (quién supervisa qué)
- Define protocolos de intervención (cuándo y cómo un humano puede anular la IA)
- Establece procedimientos de escalado (qué hacer si algo falla)
Paso 7: Configurar logging y monitorización (mayo-junio 2026)
Asegúrate de que tus sistemas de alto riesgo:
- Generan logs automáticos de todas las decisiones
- Conservan los logs durante al menos 6 meses
- Permiten auditorías posteriores
Paso 8: Cumplir obligaciones de transparencia (junio 2026)
- Añade avisos de IA en chatbots y asistentes
- Etiqueta contenido generado por IA
- Informa a empleados si usas IA en procesos de RRHH
Paso 9: Registro en la base de datos de la UE (julio 2026)
Si eres proveedor de sistemas de alto riesgo, regístralos en la base de datos pública de la UE antes de la fecha límite.
Paso 10: Monitorización continua (agosto 2026 en adelante)
- Establece un proceso de revisión periódica
- Reporta incidentes graves a AESIA en un plazo de 72 horas
- Mantén la documentación actualizada
Casos Prácticos en España
Caso 1: E-commerce con chatbot de atención al cliente
Situación: una tienda online usa ChatGPT via API para su chatbot de atención al cliente.
Clasificación: riesgo limitado (obligaciones de transparencia).
Qué debe hacer:
- Informar al usuario de que habla con IA
- Garantizar que un agente humano puede intervenir si el cliente lo solicita
- No usar el chatbot para tomar decisiones que afecten a derechos del consumidor (devoluciones, reclamaciones) sin supervisión humana
Caso 2: Empresa de RRHH que filtra CVs con IA
Situación: una empresa usa un software de IA para filtrar candidatos en procesos de selección.
Clasificación: alto riesgo (empleo y gestión de trabajadores).
Qué debe hacer:
- Documentar todo el sistema: datos de entrenamiento, criterios de selección, métricas de sesgo
- Supervisión humana obligatoria: un reclutador debe revisar las decisiones de la IA
- Evaluación de impacto sobre derechos fundamentales
- Informar a los candidatos de que se usa IA en el proceso
- Conservar logs durante al menos 6 meses
- Registrar el sistema si es proveedor
Caso 3: Fintech con scoring crediticio
Situación: una fintech española usa un modelo de ML para evaluar la solvencia de clientes.
Clasificación: alto riesgo (acceso a servicios financieros esenciales).
Qué debe hacer:
- Sistema completo de gestión de riesgos
- Auditoría de sesgos en los datos de entrenamiento (especialmente por género, edad, origen)
- Explicabilidad: poder explicar a cada cliente por qué se le aprobó o denegó
- Marcado CE si comercializa el sistema
- Monitorización continua del rendimiento y detección de drift
Caso 4: Startup que crea contenido con IA generativa
Situación: una agencia de marketing usa Midjourney, ChatGPT y Suno para generar contenido para clientes.
Clasificación: riesgo limitado (transparencia).
Qué debe hacer:
- Etiquetar todo contenido generado por IA cuando se publique
- Informar a los clientes de que el contenido está generado o asistido por IA
- No generar deepfakes sin etiquetarlos
- Mantener registros del contenido generado
Impacto en Herramientas Populares de IA
| Herramienta | Nivel de riesgo | Qué debes hacer |
|---|---|---|
| ChatGPT / Claude / Gemini (uso general) | Mínimo | Buenas prácticas |
| ChatGPT como chatbot al cliente | Limitado | Avisar que es IA |
| GitHub Copilot / Cursor | Mínimo | Buenas prácticas |
| IA para filtrar CVs | Alto | Documentación completa + supervisión |
| IA para scoring crediticio | Alto | Documentación + auditoría de sesgos |
| IA para diagnóstico médico | Alto | Marcado CE + documentación completa |
| Midjourney / DALL-E (publicación) | Limitado | Etiquetar como IA |
| IA en cámaras de vigilancia | Depende | Consultar clasificación específica |
| Deepfakes | Limitado (o prohibido) | Etiquetar obligatoriamente |
Modelos de Propósito General (GPAI): Lo que Afecta a OpenAI, Google y Anthropic
El AI Act incluye un capítulo específico para modelos de propósito general (General Purpose AI o GPAI), que son los modelos fundacionales como GPT-5, Claude Opus, Gemini 3 o Llama 4.
Las obligaciones para proveedores de GPAI (en vigor desde agosto 2025) incluyen:
- Documentación técnica del modelo
- Transparencia sobre datos de entrenamiento y derechos de autor
- Cumplimiento de la ley de derechos de autor europea
- Resumen del contenido utilizado para el entrenamiento
Para modelos GPAI con riesgo sistémico (los más potentes, como GPT-5.3 o Claude Opus 4.6):
- Evaluaciones de modelo adicionales
- Evaluación y mitigación de riesgos sistémicos
- Reporte de incidentes graves
- Medidas de ciberseguridad reforzadas
Para empresas españolas, esto significa que los proveedores de las herramientas que usas (OpenAI, Anthropic, Google) deben cumplir estas obligaciones. Pero tú como implementador sigues teniendo tus propias responsabilidades.
Relación con Otras Normativas
El AI Act no vive solo. Se complementa con:
- RGPD: si tu sistema de IA trata datos personales, debes cumplir ambos reglamentos
- Directiva de Responsabilidad por IA: establece la responsabilidad civil por daños causados por IA (en tramitación)
- Ley de Datos (Data Act): regula el acceso y uso de datos generados por dispositivos conectados
- Reglamento de Ciberresiliencia: requisitos de ciberseguridad para productos con elementos digitales
- NIS2: directiva de ciberseguridad para infraestructuras críticas
Si tu empresa opera en sectores regulados (sanidad, finanzas, energía), debes coordinar el cumplimiento del AI Act con las regulaciones sectoriales existentes.
Recursos Gratuitos para Cumplir
Oficiales
- AESIA - Guías prácticas: 16 guías de cumplimiento en español
- Compliance Checker: herramienta de autodiagnóstico gratuita
- Texto completo del Reglamento (BOE): el reglamento oficial en español
- Sandbox regulatorio AESIA: información sobre el entorno de pruebas
Formación
- Checklist de adopción de IA para empresas: nuestra guía práctica paso a paso
- Agentes de IA: qué son y cómo funcionan: entiende la tecnología que regula el AI Act
- IA para freelancers: cómo cumplir si eres autónomo
Preguntas Frecuentes (FAQ)
¿El AI Act afecta a autónomos y freelancers?
Sí. Si usas IA en tu actividad profesional, eres implementador. Las obligaciones de transparencia aplican igualmente. Si desarrollas soluciones de IA para clientes, también te afectan las obligaciones de proveedor.
¿Usar ChatGPT en mi empresa me obliga a cumplir algo?
Depende del uso. Para uso general (redactar emails, analizar documentos, brainstorming), el riesgo es mínimo y no tienes obligaciones específicas. Pero si lo usas como chatbot de cara al público, debes avisar. Y si lo usas para tomar decisiones sobre personas (RRHH, crédito, seguros), puede ser alto riesgo.
¿Cuándo empiezan a poner multas?
Las multas por prácticas prohibidas ya son posibles desde febrero 2025. Las multas por incumplimiento de obligaciones de alto riesgo y transparencia serán posibles a partir de agosto 2026. En la práctica, AESIA probablemente empezará con advertencias y recomendaciones antes de imponer multas severas, especialmente a PYMES.
¿Hay un periodo de gracia?
No hay un periodo de gracia oficial, pero las autoridades europeas han indicado un enfoque gradual. AESIA ha señalado que priorizará la formación y orientación sobre las sanciones en los primeros meses. Aun así, no es excusa para no prepararse.
¿Qué pasa si mi proveedor de IA (OpenAI, Google) no cumple?
Si el proveedor de tu herramienta de IA no cumple sus obligaciones bajo el AI Act, eso no te exime de las tuyas como implementador. Puedes (y debes) exigir a tu proveedor información sobre el cumplimiento regulatorio de sus sistemas.
¿El AI Act afecta a la IA de código abierto?
Parcialmente. Los modelos open-source tienen exenciones para investigación y desarrollo, pero si se despliegan comercialmente o se clasifican como GPAI con riesgo sistémico, deben cumplir las mismas obligaciones.
Conclusión: 6 Meses para Prepararte
El AI Act no es una amenaza, es una oportunidad. Las empresas que se adapten primero ganarán la confianza de clientes y socios que valoran el uso responsable de la IA.
Lo que debes hacer hoy:
- Descarga las guías de AESIA
- Haz un inventario de tus sistemas de IA
- Clasifica cada sistema por nivel de riesgo
- Empieza por las obligaciones de transparencia (son las más fáciles de implementar)
- Si tienes sistemas de alto riesgo, empieza la documentación técnica ya
El 2 de agosto de 2026 llega antes de lo que piensas. Y cuando llegue, solo habrá dos tipos de empresas: las que estén preparadas y las que reciban la primera carta de AESIA.
Sobre el autor: Javier Santos Criado es desarrollador especializado en inteligencia artificial y automatización. Escribe sobre IA, regulación y herramientas en javadex.es y comparte contenido en YouTube @JavadexAI, TikTok @javadex y la comunidad gratuita La Escuela de IA.