· Jonathan Izquierdo · Ciberseguridad ·
AI Act España: obligaciones para empresas antes de agosto 2026
El Reglamento Europeo de Inteligencia Artificial será plenamente aplicable en agosto 2026. Guía completa de obligaciones, sanciones y cómo prepararse.
El 2 de agosto de 2026, el Reglamento (UE) 2024/1689 —conocido como AI Act— será plenamente aplicable en toda la Unión Europea. Las empresas españolas que utilicen, desarrollen o distribuyan sistemas de inteligencia artificial se enfrentan a un régimen sancionador que puede alcanzar el 7% de su facturación global. No se trata de una normativa futura: algunas obligaciones ya están en vigor desde febrero de 2025 y la Agencia Española de Supervisión de Inteligencia Artificial (AESIA) ya tiene capacidad inspectora y sancionadora (BOE-A-2023-18911, RD 729/2023).
Este artículo es la guía completa para empresas españolas. No es un resumen académico: es una hoja de ruta práctica para cumplir con el AI Act antes de que sea demasiado tarde. Como perito informático forense, analizo desde una perspectiva técnica y probatoria qué implica esta regulación, qué ya ha ocurrido en España con sanciones millonarias por biometría e IA, y cómo proteger tu organización.
TL;DR - Resumen ejecutivo
En 60 segundos:
- Norma: Reglamento (UE) 2024/1689, en vigor desde 1 agosto 2024, plenamente aplicable el 2 agosto 2026
- Enfoque: basado en riesgo (inaceptable, alto, limitado, mínimo)
- Ya en vigor (feb 2025): prohibiciones de IA y obligación de alfabetización en IA
- Agosto 2025: gobernanza y obligaciones para modelos de propósito general (GPAI)
- Agosto 2026: obligaciones completas para sistemas de alto riesgo
- Sanciones: hasta 35 millones de euros o 7% facturación global (prácticas prohibidas)
- Autoridad en España: AESIA (operativa desde junio 2024, sede en A Coruña)
- Precedentes AEPD: Aena multada con 10 millones de euros; VIU multada con 650.000 euros — ambas por biometría sin cumplir RGPD
- Acción recomendada: inventario de sistemas IA + evaluación de riesgo + auditoría antes de agosto 2026
Qué es el AI Act y por qué afecta a tu empresa
El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, es la primera legislación integral del mundo que regula la inteligencia artificial. Publicado en el Diario Oficial de la Unión Europea el 12 de julio de 2024 y en vigor desde el 1 de agosto de 2024, establece normas armonizadas para el desarrollo, la comercialización y el uso de sistemas de IA en todo el mercado interior europeo (EUR-Lex, CELEX:32024R1689).
A diferencia del RGPD, que regula el tratamiento de datos personales, el AI Act regula los sistemas de IA en sí mismos, independientemente de si procesan datos personales o no. Ambas normativas coexisten y se refuerzan mutuamente: si tu sistema de IA trata datos personales, deberás cumplir simultáneamente con el RGPD y con el AI Act.
A quién afecta
El AI Act aplica a toda organización que:
- Desarrolle sistemas de IA comercializados o usados en la UE (proveedores)
- Despliegue sistemas de IA en sus operaciones (deployers/implementadores)
- Importe o distribuya sistemas de IA en el mercado europeo
- Fabrique productos que integren sistemas de IA
Esto incluye tanto a empresas con sede en la UE como a empresas extranjeras cuyos sistemas de IA se utilicen dentro de la Unión. Una empresa española que use ChatGPT, Copilot o cualquier herramienta de IA en sus procesos internos es un implementador bajo el AI Act y tiene obligaciones específicas.
Calendario de aplicación: qué está en vigor y qué falta
El AI Act no se aplica de golpe. Su implementación sigue un calendario escalonado diseñado para dar tiempo a las organizaciones a adaptarse:
| Fecha | Obligaciones que entran en vigor |
|---|---|
| 1 agosto 2024 | Entrada en vigor del Reglamento |
| 2 febrero 2025 | Prácticas de IA prohibidas (Art. 5) + obligación de alfabetización en IA (Art. 4) |
| 2 agosto 2025 | Gobernanza (Capítulo V) + obligaciones para modelos de propósito general/GPAI (Capítulo V) + designación de autoridades nacionales |
| 2 agosto 2026 | Aplicación plena: obligaciones para sistemas de alto riesgo (Capítulo III) + transparencia (Capítulo IV) + régimen sancionador completo |
| 2 agosto 2027 | Obligaciones para sistemas de alto riesgo ya existentes en el mercado antes de agosto 2026 |
Las prohibiciones ya están en vigor
Desde el 2 de febrero de 2025, las prácticas de IA prohibidas del artículo 5 son sancionables. Si tu empresa utiliza algún sistema de IA que entre en las categorías prohibidas, ya estás expuesto a sanciones de hasta 35 millones de euros o el 7% de tu facturación global. No es necesario esperar a agosto de 2026.
Clasificación por riesgo: el sistema de cuatro niveles
El AI Act adopta un enfoque basado en riesgo. No todos los sistemas de IA se regulan igual: cuanto mayor sea el riesgo potencial para los derechos fundamentales, más estrictas son las obligaciones.
| Nivel de riesgo | Ejemplos | Obligaciones |
|---|---|---|
| Inaceptable (prohibido) | Social scoring, manipulación subliminal, explotación de vulnerables, identificación biométrica remota en tiempo real en espacios públicos | Prohibición total (con excepciones tasadas para seguridad nacional) |
| Alto | IA en empleo y selección de personal, educación, acceso a servicios públicos, law enforcement, migración, infraestructuras críticas, dispositivos médicos | Sistema de gestión de riesgos, calidad de datos, documentación técnica, supervisión humana, ciberseguridad, marcado CE, registro UE |
| Limitado | Chatbots, sistemas de generación de contenido (deepfakes), reconocimiento de emociones, categorización biométrica | Obligaciones de transparencia: informar al usuario de que interactúa con IA o de que el contenido es sintético |
| Mínimo | Filtros de spam, videojuegos, asistentes de texto | Sin obligaciones específicas (buenas prácticas voluntarias) |
Prácticas de IA prohibidas (artículo 5)
Desde febrero de 2025, están completamente prohibidos los siguientes usos de IA:
- Manipulación subliminal: sistemas que empleen técnicas subliminales o deliberadamente manipuladoras para alterar el comportamiento de una persona sin que sea consciente de ello, causándole perjuicio
- Explotación de vulnerabilidades: sistemas que exploten vulnerabilidades de grupos específicos (edad, discapacidad, situación socioeconómica) para distorsionar su comportamiento
- Social scoring: sistemas de puntuación social por parte de autoridades públicas que clasifiquen a personas basándose en su comportamiento social o características personales
- Evaluación predictiva individual de criminalidad: sistemas que evalúen el riesgo de que una persona cometa un delito basándose únicamente en su perfil o rasgos de personalidad
- Scraping masivo de imágenes faciales: creación de bases de datos de reconocimiento facial mediante scraping no dirigido de imágenes de internet o CCTV
- Reconocimiento de emociones en el trabajo y la educación: sistemas que infieran emociones de trabajadores o estudiantes (salvo motivos médicos o de seguridad)
- Categorización biométrica sensible: sistemas que categoricen a personas por raza, opiniones políticas, afiliación sindical, creencias religiosas u orientación sexual
- Identificación biométrica remota en tiempo real en espacios públicos: por parte de fuerzas de seguridad, salvo excepciones tasadas (búsqueda de víctimas, prevención de amenazas terroristas, localización de sospechosos de delitos graves)
Caso real en España: Aena, 10 millones de euros
La AEPD multó a Aena con 10.043.002 euros por implantar reconocimiento facial biométrico en aeropuertos sin una evaluación de impacto (DPIA) válida. Con el AI Act en plena aplicación, sanciones similares podrán imponerse directamente bajo el régimen de prácticas prohibidas, con multas de hasta el 7% de la facturación global.
Sistemas de IA de alto riesgo: las obligaciones más exigentes
Los sistemas de alto riesgo son el núcleo del AI Act. Si tu empresa desarrolla o despliega un sistema en alguna de estas categorías, deberás cumplir con requisitos técnicos y documentales estrictos a partir de agosto de 2026:
Áreas clasificadas como alto riesgo (Anexo III)
| Área | Ejemplos concretos |
|---|---|
| Empleo y gestión de trabajadores | IA para selección de personal, filtrado de CVs, decisiones de promoción o despido, asignación de tareas, evaluación de rendimiento |
| Educación y formación | Sistemas de calificación automatizada, admisión, detección de comportamiento en exámenes (proctoring) |
| Acceso a servicios esenciales | Scoring crediticio, evaluación de seguros, priorización de servicios de emergencia |
| Aplicación de la ley | Perfilado policial, evaluación de riesgos criminales, análisis de pruebas, polígrafos con IA |
| Migración y control de fronteras | Verificación de documentos de viaje, evaluación de solicitudes de asilo |
| Administración de justicia | Asistencia en investigación de hechos y derecho, IA para resolución de conflictos |
| Infraestructuras críticas | Gestión de tráfico, suministro de agua, gas, electricidad, calefacción |
| Identificación biométrica | Verificación y categorización biométrica remota (no en tiempo real) |
Obligaciones para proveedores de sistemas de alto riesgo
Los proveedores (quienes desarrollan y comercializan el sistema) deben implementar:
- Sistema de gestión de riesgos continuo durante todo el ciclo de vida del sistema
- Gobernanza de datos: calidad, representatividad y ausencia de sesgos en los datos de entrenamiento
- Documentación técnica detallada del diseño, desarrollo y funcionamiento
- Registro de actividad (logs) que permita trazabilidad y auditoría
- Supervisión humana efectiva: diseñar el sistema para que pueda ser controlado por personas
- Precisión, robustez y ciberseguridad: estándares técnicos verificables
- Marcado CE: declaración de conformidad antes de comercializar
- Registro en la base de datos de la UE: inscripción pública del sistema
Obligaciones para implementadores (deployers)
Las empresas que usan sistemas de alto riesgo también tienen obligaciones:
- Utilizar el sistema de acuerdo con las instrucciones del proveedor
- Garantizar la supervisión humana por personas con formación adecuada
- Informar al proveedor si detectan riesgos o incidentes
- Realizar una evaluación de impacto en derechos fundamentales antes de desplegar el sistema
- Conservar los logs generados por el sistema durante el periodo establecido
Caso real: VIU, 650.000 euros por proctoring con reconocimiento facial
La AEPD sancionó a la Universidad Internacional de Valencia con 650.000 euros por obligar a sus estudiantes a usar reconocimiento facial con IA en exámenes online, sin alternativa y sin consentimiento válido. La educación es una de las áreas de alto riesgo del AI Act. A partir de agosto de 2026, casos como este serán sancionables tanto bajo RGPD como bajo el AI Act, multiplicando la exposición legal.
Obligaciones de transparencia
El AI Act establece obligaciones de transparencia específicas que ya se aplican desde agosto de 2025:
- Interacción con IA: informar a las personas cuando estén interactuando con un sistema de IA (chatbots, asistentes virtuales), salvo que sea evidente
- Contenido sintético (deepfakes): etiquetar de forma legible por máquina todo contenido generado o manipulado por IA (audio, imagen, vídeo, texto)
- Reconocimiento de emociones: informar a las personas cuando sean objeto de un sistema de reconocimiento de emociones o categorización biométrica
- Contenido de interés público: cuando se utilice IA para generar o manipular texto sobre asuntos de interés público, debe revelarse su origen artificial
Estas obligaciones aplican a todos los niveles de riesgo cuando el sistema interactúa con personas o genera contenido sintético.
Régimen sancionador: hasta el 7% de la facturación global
El artículo 99 del AI Act establece tres niveles de sanciones:
| Tipo de infracción | Multa máxima (empresa) | Multa máxima (PYME/startup) |
|---|---|---|
| Prácticas prohibidas (Art. 5) | 35 millones de euros o 7% de facturación global anual | Proporcional (límites reducidos) |
| Incumplimiento de obligaciones de alto riesgo y otras disposiciones | 15 millones de euros o 3% de facturación global anual | Proporcional |
| Información incorrecta o engañosa a las autoridades | 7,5 millones de euros o 1,5% de facturación global anual | Proporcional |
Para contextualizar: una empresa española con 100 millones de euros de facturación que incumpla las prácticas prohibidas se enfrenta a multas de hasta 7 millones de euros. Para una empresa del IBEX 35 con 10.000 millones de facturación, la multa podría alcanzar 700 millones de euros.
Comparación con el RGPD
El RGPD permite multas de hasta el 4% de la facturación global. El AI Act eleva el techo al 7% para prácticas prohibidas. Y ambos regímenes pueden aplicarse simultáneamente: un sistema de IA que procese datos personales de forma ilícita puede ser sancionado bajo ambas normativas a la vez.
AESIA: la autoridad española ya está operativa
La Agencia Española de Supervisión de Inteligencia Artificial (AESIA) es la autoridad nacional designada para supervisar el cumplimiento del AI Act en España. Creada por Real Decreto 729/2023 y operativa desde junio de 2024, tiene su sede en A Coruña (España Digital 2026).
Funciones de AESIA
- Supervisión e inspección del cumplimiento del AI Act en territorio español
- Capacidad sancionadora plena desde agosto de 2025
- Sandboxes regulatorios: en diciembre de 2025, AESIA publicó 16 guías prácticas basadas en resultados de su sandbox regulatorio
- Coordinación con la AEPD para aspectos de protección de datos y con la Comisión Europea a través del Comité Europeo de IA
Relación AESIA - AEPD
La AESIA es la autoridad de vigilancia del mercado bajo el AI Act, pero la AEPD conserva sus competencias en protección de datos. Si un sistema de IA infringe simultáneamente el AI Act y el RGPD, ambas agencias pueden actuar. La coordinación entre ambas será clave a partir de agosto de 2026.
El AI Act en los tribunales españoles: Instrucción 2/2026 del CGPJ
El Consejo General del Poder Judicial se adelantó al AI Act con la Instrucción 2/2026, publicada en el BOE el 30 de enero de 2026. Esta norma regula específicamente el uso de IA por jueces y magistrados, estableciendo principios como el control humano efectivo, la no sustitución del juez y la prohibición de automatizar decisiones judiciales (BOE-A-2026-2205).
La Instrucción del CGPJ complementa el AI Act al regular un ámbito —la administración de justicia— clasificado como alto riesgo por el Reglamento europeo. Juntas, ambas normas configuran el marco regulatorio más completo del mundo para el uso de IA en la justicia.
Cómo preparar tu empresa antes de agosto de 2026
Quedan menos de seis meses para la plena aplicación del AI Act. Este es el plan de acción recomendado:
Inventario de sistemas de IA: identifica todos los sistemas de IA que tu empresa desarrolla, usa o distribuye. Incluye herramientas internas (ChatGPT, Copilot, asistentes), software de terceros con componentes de IA y desarrollos propios. Documenta proveedor, propósito, datos que procesa y personas afectadas.
Clasificación por nivel de riesgo: para cada sistema identificado, determina si es de riesgo inaceptable (prohibido), alto, limitado o mínimo. Utiliza el Anexo III del Reglamento y las guías de AESIA como referencia. Si tienes dudas, consulta con un experto legal y técnico.
Eliminación de prácticas prohibidas: si algún sistema entra en las categorías prohibidas del artículo 5, debe retirarse inmediatamente. Esta obligación ya está en vigor desde febrero de 2025. Documenta la retirada y las razones para tu registro interno.
Evaluación de impacto para sistemas de alto riesgo: si despliegas sistemas de alto riesgo, realiza una evaluación de impacto en derechos fundamentales. Para proveedores, implementa el sistema de gestión de riesgos completo con documentación técnica, logs y supervisión humana.
Cumplimiento de transparencia: configura avisos claros cuando los usuarios interactúen con IA (chatbots, asistentes), etiqueta todo contenido sintético generado por IA y asegura que los empleados sepan cuándo están siendo evaluados por sistemas automatizados.
Alfabetización en IA: desde febrero de 2025, el artículo 4 del AI Act exige que las organizaciones garanticen que su personal tenga un nivel suficiente de conocimiento sobre IA. Planifica formación adaptada al rol de cada empleado que interactúe con sistemas de IA.
Designación de responsable y gobernanza interna: nombra a una persona o equipo responsable del cumplimiento del AI Act. Establece procesos de monitorización continua, gestión de incidentes y comunicación con las autoridades (AESIA, AEPD).
Auditoría técnica y probatoria: contrata una auditoría independiente que verifique el cumplimiento técnico de tus sistemas de IA. En caso de procedimiento sancionador, la existencia de una auditoría previa es uno de los factores atenuantes que contempla el Reglamento.
Implicaciones periciales: cuando la IA se convierte en prueba
El AI Act abre un nuevo campo para el peritaje informático forense. En procedimientos sancionadores, inspecciones de AESIA o litigios derivados de decisiones automatizadas, será necesario:
- Análisis forense de sistemas de IA: documentar técnicamente el funcionamiento del sistema, sus datos de entrenamiento, los logs de actividad y las decisiones tomadas
- Verificación de cumplimiento técnico: evaluar si el sistema cumple con los requisitos de robustez, precisión, ciberseguridad y supervisión humana que exige el Reglamento
- Evaluación de sesgos algorítmicos: auditar si el sistema discrimina por razón de género, raza, edad u otros factores protegidos
- Cadena de custodia de modelos de IA: preservar las versiones del modelo, los datasets de entrenamiento y las métricas de rendimiento como evidencia digital
- Informe pericial en procedimientos sancionadores: aportar dictamen técnico sobre si el sistema de IA infringió las disposiciones del AI Act
Auditoría forense de sistemas de IA
Preparación para el AI Act, evaluación de riesgos y peritaje en procedimientos sancionadores. Consulta inicial gratuita.
Solicitar consultaPreguntas frecuentes
Mi empresa usa ChatGPT o Copilot internamente, ¿tengo obligaciones bajo el AI Act?
Sí. Tu empresa es un implementador (deployer) de un sistema de IA. Las obligaciones dependen del uso que le des. Si lo usas para tareas generales (redacción, resúmenes, programación), las obligaciones son limitadas: transparencia (informar a los interlocutores cuando corresponda) y alfabetización en IA. Pero si lo integras en procesos de selección de personal, evaluación de empleados, scoring crediticio u otro ámbito de alto riesgo, las obligaciones se multiplican considerablemente. La clave está en el uso, no en la herramienta.
¿Cuál es la diferencia entre el AI Act y el RGPD? ¿Debo cumplir ambos?
El RGPD regula el tratamiento de datos personales, independientemente de si se usa IA o no. El AI Act regula los sistemas de IA, independientemente de si tratan datos personales o no. Si tu sistema de IA procesa datos personales —que es lo habitual en la mayoría de aplicaciones empresariales—, debes cumplir ambas normativas simultáneamente. Las multas son acumulables: hasta el 4% bajo RGPD más hasta el 7% bajo AI Act. Los casos de Aena (10 millones de euros) y VIU (650.000 euros) fueron sancionados bajo RGPD; con el AI Act plenamente aplicable, sanciones similares podrían duplicarse.
¿Qué pasa si mi empresa es una PYME o startup? ¿Las sanciones son las mismas?
El AI Act contempla proporcionalidad para PYMEs y startups. Las multas máximas se calculan según la facturación global, lo que significa que empresas más pequeñas enfrentan cifras absolutas menores. Además, el Reglamento prevé medidas de apoyo específicas: acceso a sandboxes regulatorios, orientación de AESIA y plazos de adaptación más flexibles para ciertos requisitos. Sin embargo, las prohibiciones del artículo 5 aplican por igual a todas las organizaciones, sin importar su tamaño. Una startup que implemente social scoring o manipulación subliminal enfrenta las mismas prohibiciones que una multinacional.
¿Qué papel tiene el perito informático forense en el cumplimiento del AI Act?
El peritaje informático es relevante en tres escenarios bajo el AI Act. Primero, en auditorías preventivas: un perito puede evaluar técnicamente si tus sistemas de IA cumplen con los requisitos del Reglamento antes de que AESIA inspeccione. Segundo, en procedimientos sancionadores: si AESIA abre un expediente contra tu empresa, un informe pericial independiente puede documentar el grado de cumplimiento, los esfuerzos realizados y los factores atenuantes. Tercero, en litigios: cuando una persona sea afectada por una decisión automatizada —una denegación de crédito, un despido basado en IA, una calificación algorítmica—, el peritaje forense del sistema de IA será pieza clave del procedimiento judicial.
Referencias y fuentes
- Reglamento (UE) 2024/1689 - texto completo (EUR-Lex)
- Reglamento (UE) 2024/1689 - DOUE en BOE
- Real Decreto 729/2023 - Estatuto AESIA (BOE)
- AESIA - web oficial
- España Digital 2026 - AESIA
- EU AI Act - Comisión Europea
- Artículo 99 - Penalties (artificialintelligenceact.eu)
- AEPD - Resolución Aena EXP202304532
- AEPD - Resolución VIU (proctoring biométrico)
- Instrucción 2/2026 CGPJ (BOE-A-2026-2205)
Artículo redactado por Jonathan Izquierdo, perito informático forense. Última actualización: 23 de febrero de 2026.
