¿Qué es la EU AI Act? (Ley de IA de la Unión Europea): obligaciones para tu empresa en 2026

por | Abr 28, 2026 | Blog especializado en Protección de Datos

EU-AI-ACT

Tu empresa muy probablemente ya usa inteligencia artificial. Puede ser el software que filtra currículos, el chatbot de atención al cliente o una herramienta de análisis de rendimiento. Lo que quizás no sabes es que desde agosto de 2024 existe una norma europea que regula exactamente eso.

El EU AI Act (Reglamento de Inteligencia Artificial de la Unión Europea) entró en vigor el 1 de agosto de 2024. No es una norma futura, sino que ya está vigente y sus plazos de cumplimiento se activan de forma escalonada hasta agosto de 2026. Las empresas que usen, desarrollen o comercialicen sistemas de IA dentro de la UE están obligadas a cumplirla.

Este artículo explica qué debes revisar en tu empresa, qué sistemas están afectados y qué pasos debes dar antes de que venza el plazo más importante.

¿Qué es la Ley de IA de la UE y a quién afecta?

El AI Act es el primer reglamento europeo que clasifica los sistemas de inteligencia artificial según el riesgo que representan. A diferencia del RGPD, que protege datos personales, el AI Act regula los propios sistemas de IA, cómo se usan, quién los controla y qué garantías deben ofrecer.

El Reglamento afecta a tres tipos de actores:

  • Proveedores: empresas que desarrollan y comercializan sistemas de IA.
  • Desplegadores: empresas que usan sistemas de IA en sus operaciones, aunque no los hayan desarrollado. Esta categoría incluye a la mayoría de las pymes.
  • Importadores y distribuidores de soluciones de IA procedentes de fuera de la UE.

Si tu empresa usa un software de RRHH con selección automatizada de candidatos, un sistema de videovigilancia con análisis de comportamiento o una herramienta de puntuación crediticia, eres desplegador y tienes obligaciones específicas.

Plazos clave: cuándo aplica cada obligación

La fecha crítica para la mayoría de las empresas es agosto de 2026. A partir de ese momento, todos los sistemas de alto riesgo en uso deben cumplir íntegramente con el Reglamento.

Fecha Obligación
2 de febrero de 2025 Prohibición inmediata de sistemas de riesgo inaceptable (vigilancia biométrica masiva, scoring social conductual).
2 de agosto de 2025 Obligaciones para modelos de IA de uso general (GPAI) de gran escala
2 de agosto de 2026 Obligaciones completas para sistemas de IA de alto riesgo
2 de agosto de 2027 Prórroga para sistemas de alto riesgo ya en uso antes de agosto de 2024

¿Qué sistemas de IA se consideran de alto riesgo?

El AI Act clasifica como de alto riesgo los sistemas que se usan en ámbitos con impacto significativo sobre derechos fundamentales o seguridad. Para las empresas, los más habituales son:

  • Herramientas de selección y evaluación de personal (cribado automático de CVs, tests de aptitud automatizados).
  • Sistemas de gestión o supervisión del rendimiento laboral con toma de decisiones automatizada.
  • Herramientas de puntuación crediticia o evaluación de solvencia.
  • Videovigilancia con reconocimiento de emociones o análisis de comportamiento.
  • Sistemas de acceso a servicios esenciales como seguros o prestaciones públicas.

Si usas alguno de estos sistemas, aunque lo hayas contratado a un proveedor externo, eres responsable como desplegador y debes cumplir con las obligaciones que impone el Reglamento.

Obligaciones concretas para las empresas desplegadoras

Si tu empresa utiliza sistemas de IA de alto riesgo, el AI Act exige:

  • Verificar que el sistema esté registrado en la base de datos oficial de la UE antes de ponerlo en uso.
  • Designar un responsable interno del cumplimiento del AI Act.
  • Informar a los empleados y usuarios cuando interactúen con un sistema de IA que tome decisiones sobre ellos. La obligación de comunicar el uso de IA en los procesos de la empresa ya existe hoy, independientemente del AI Act, puedes ver qué implica esto en detalle en qué deben comunicar las empresas cuando usan IA.
  • Mantener supervisión humana real sobre las decisiones que tome el sistema: no basta con que exista un humano en el proceso; debe poder intervenir y corregir.
  • Conservar registros de uso durante al menos seis meses.
  • Realizar una evaluación de impacto cuando el sistema afecte a derechos fundamentales. Este requisito puede solaparse con la EIPD del RGPD. Si el sistema trata datos personales de empleados o clientes, es muy probable que debas realizar ambas. Acoran ofrece el servicio de evaluación de impacto en protección de datos para cubrir las dos normas de forma coordinada.

La relación entre el AI Act y el RGPD

El AI Act y el RGPD no son normas alternativas, sino que se aplican simultáneamente cuando el sistema de IA trata datos personales. En la práctica, la mayoría de los sistemas de alto riesgo lo hacen.

Lo que implica esto para tu empresa:

  • La base legitimadora del RGPD sigue siendo obligatoria para los datos que procesa el sistema.
  • Si el AI Act exige una evaluación de impacto para el sistema, el RGPD puede exigir además una EIPD específica sobre el tratamiento de datos.
  • Las sanciones son independientes y puedes ser sancionado por ambas normas a la vez.

Si ya tienes implantada la adaptación al RGPD, tendrás parte del trabajo adelantado. Pero el AI Act añade capas de cumplimiento que el RGPD no cubre. El artículo IA y protección de datos en 2025 explica cómo se coordinan ambas normativas en la práctica.

Sanciones por incumplimiento del AI Act

Las multas del AI Act superan en algunos casos a las del RGPD:

Tipo de infracción Sanción máxima
Uso de sistemas de riesgo inaceptable (prohibidos) 35.000.000 € o el 7% de la facturación global anual
Incumplimiento de obligaciones para sistemas de alto riesgo 15.000.000 € o el 3% de la facturación global anual
Información incorrecta o incompleta a las autoridades 7.500.000 € o el 1,5% de la facturación global anual

El Reglamento prevé cierta flexibilidad procedimental para pymes, pero no las exime del cumplimiento sustantivo. Las obligaciones son las mismas con independencia del tamaño de la empresa.

Conclusión

El EU AI Act ya está vigente. Sus primeras prohibiciones aplican desde febrero de 2025 y el plazo más importante para la mayoría de las empresas, los sistemas de alto riesgo, vence en agosto de 2026. Si tu empresa usa herramientas de selección de personal, análisis de rendimiento, sistemas de videovigilancia avanzada o cualquier solución que tome decisiones automatizadas sobre personas, debes actuar antes de que se agoten los plazos.

El error más habitual es no saber qué sistemas de IA se están usando realmente en la organización. Muchas herramientas de RRHH, CRM o gestión financiera incluyen componentes de IA que pueden clasificarse como de alto riesgo. Identificar esos sistemas, revisar si cumplen los requisitos y documentar el proceso lleva tiempo; cuanto antes empieces, mejor posición tendrás cuando lleguen las inspecciones.

En Acoran te ayudamos a identificar qué sistemas de IA usa tu empresa, si son de alto riesgo y qué debes hacer para cumplir con el AI Act y el RGPD. Solicita tu consulta gratuita sin compromiso.

Preguntas frecuentes

¿El AI Act afecta a mi empresa si solo uso herramientas como ChatGPT o Microsoft Copilot?

Los modelos de IA de uso general (GPAI) tienen un régimen diferente. Si los usas como usuario final para tareas internas —redactar textos, resumir documentos, analizar datos—, las obligaciones principales recaen en el proveedor. Si los integras en un producto o servicio que ofreces a terceros, el análisis cambia y puedes tener obligaciones adicionales.

¿Qué pasa si el sistema de IA lo ha desarrollado un proveedor externo?

Eres desplegador y sigues teniendo obligaciones propias. Verificar que el sistema cumple los requisitos del AI Act, informar a los usuarios, mantener supervisión humana y conservar registros de uso. No puedes trasladar toda la responsabilidad al proveedor contratado.

¿Hay algún régimen especial para pymes?

El Reglamento prevé que las autoridades consideren el tamaño de la empresa al calcular las multas, y existen procedimientos simplificados para startups y pymes en algunos trámites. Las obligaciones sustantivas, sin embargo, son las mismas que para las grandes empresas.

¿Cuándo debo empezar a actuar si el plazo es agosto de 2026?

Cuanto antes. El proceso de revisar qué sistemas de IA usa tu empresa, evaluar su nivel de riesgo, coordinar con los proveedores externos y documentar el cumplimiento puede llevar varios meses. Empresas que lo dejen para el último trimestre de 2026 corren el riesgo de no llegar a tiempo.

Otros artículos de interés

Impacto de la IA en la protección de datos personales

Empresa de Protección de Datos en Madrid | Acorán
Resumen de privacidad

Desde este panel podrá configurar las cookies que el sitio web puede instalar en su navegador, excepto las cookies técnicas o funcionales que son necesarias para la navegación y la utilización de las diferentes opciones o servicios que se ofrecen.

Las cookies seleccionadas indican que el usuario autoriza la instalación en su navegador y el tratamiento de datos bajo las condiciones reflejadas en la Política de cookies.

El usuario puede marcar o desmarcar el selector según se desee aceptar o rechazar la instalación de cookies.