Tendencias27 de mayo de 2026 · 8 min de lectura

AI Act 2026: qué obligaciones tiene tu empresa con el Reglamento Europeo de IA

Guía clara y práctica del AI Act (Reglamento Europeo de IA) para empresas en 2026. Sistemas de alto riesgo, transparencia, plazos, sanciones de hasta 35 M€ y cómo prepararte sin paranoia.

Resumen ejecutivo: el AI Act es el Reglamento Europeo de Inteligencia Artificial, el primer marco legal del mundo que regula el uso de IA. En 2026 entran en vigor las obligaciones de transparencia y, en diciembre de 2027, las de alto riesgo. Las sanciones llegan hasta 35 millones de euros o el 7% de la facturación global. Pero la mayoría de empresas no necesitan paranoia: si usas ChatGPT, Copilot o Claude para tareas corrientes, tus obligaciones son manejables y casi todas se cubren con buenas prácticas. Esta guía explica qué tienes que hacer y qué no.

Qué es el AI Act

El AI Act (Reglamento (UE) 2024/1689) es la primera ley integral sobre Inteligencia Artificial aprobada en el mundo. Establece reglas distintas según el nivel de riesgo del sistema de IA que uses o desarrolles. Su objetivo declarado: garantizar que la IA usada en la Unión Europea sea segura, transparente y respete los derechos fundamentales.

Aplica a:

Proveedores que ponen sistemas de IA en el mercado de la UE.
Usuarios profesionales (las empresas que despliegan o usan IA en su día a día).
Importadores y distribuidores de sistemas de IA.

Aplica aunque el proveedor esté fuera de la UE si el resultado del sistema se usa dentro. Es decir, da igual que ChatGPT, Claude o Copilot sean de fuera: cuando tú los usas en tu empresa dentro de la Unión Europea, el reglamento te aplica.

Las 4 categorías de riesgo

El AI Act clasifica los sistemas de IA en cuatro niveles. Cada nivel tiene obligaciones distintas.

Nivel	Definición	Ejemplos	Estado
Riesgo inaceptable	Sistemas prohibidos	Scoring social al estilo China, manipulación cognitiva, reconocimiento facial masivo en espacios públicos	Prohibido desde febrero 2025
Alto riesgo	Sistemas con impacto en seguridad o derechos fundamentales	RRHH (selección, evaluación), scoring crediticio, educación, sanidad, justicia, infraestructuras críticas	Obligaciones desde diciembre 2027
Riesgo limitado	Sistemas que interactúan con personas	Chatbots, generación de contenido, deepfakes	Transparencia desde agosto 2026
Riesgo mínimo	El resto	Filtros de spam, recomendadores básicos, IA en videojuegos	Sin obligaciones específicas

Plazos clave

El AI Act entró en vigor el 1 de agosto de 2024 pero las obligaciones llegan por fases:

Fecha	Qué entra en vigor
Febrero 2025	Prohibiciones de prácticas de riesgo inaceptable + alfabetización en IA del personal
Agosto 2025	Obligaciones de los proveedores de modelos de propósito general (GPT, Claude, Gemini)
Agosto 2026	Transparencia: chatbots, contenido generado por IA, deepfakes
Diciembre 2027	Obligaciones plenas de sistemas de alto riesgo (recientemente aplazado de agosto de 2026 a esta fecha)

Qué obligaciones tiene tu empresa en 2026

Para una empresa típica (no fabricante de IA, no opera infraestructuras críticas, no usa IA para decisiones de selección automatizadas, no usa scoring crediticio):

Obligación 1: alfabetización del personal (desde febrero 2025)

Si tu empresa usa sistemas de IA, debes garantizar que el personal que los usa tiene un nivel suficiente de alfabetización en IA. No es un certificado oficial. Pero sí debes poder demostrar (ante una inspección) que has formado a tu equipo en:

Qué es la IA y sus capacidades reales.
Limitaciones y riesgos (alucinaciones, sesgos, datos personales).
Buenas prácticas en tu sector.

La forma habitual de cumplirla: una formación interna sobre uso responsable de IA, bonificable FUNDAE.

Obligación 2: transparencia (desde agosto 2026)

Si tu empresa interactúa con clientes usando IA:

Chatbots: el usuario debe saber que está hablando con una IA, no con un humano. Aviso al inicio de la conversación.
Contenido generado por IA (imágenes, audio, vídeo) destinado a clientes: debe estar etiquetado como artificial.
Deepfakes: prohibidos si engañan o si se generan sin consentimiento. Etiquetado obligatorio en cualquier caso.

Obligación 3: gobierno del dato (recomendación)

No es estrictamente obligación, pero es la forma natural de cumplir lo demás:

Saber qué datos entran a tus sistemas IA.
De dónde vienen y con qué base legal RGPD.
Quién accede a las respuestas y cómo se conservan.

Casos donde la obligación se complica

Si tu empresa hace alguno de estos usos, entras en alto riesgo:

Selección de personal automatizada (filtrado de CV, scoring de candidatos).
Evaluación de empleados con IA (rendimiento, promoción).
Decisión crediticia automatizada para clientes.
Educación: scoring de exámenes automatizados con efecto en la trayectoria académica.
Asignación automatizada de ayudas o servicios públicos.
Infraestructuras críticas (energía, agua, transporte).

En estos casos las obligaciones son sustancialmente mayores:

Sistema de gestión de riesgos documentado.
Gobernanza del dato rigurosa.
Documentación técnica auditable.
Logs de funcionamiento.
Supervisión humana garantizada.
Robustez, precisión y ciberseguridad demostrables.

Sanciones que aplican

Las multas escalan según la gravedad:

Tipo de incumplimiento	Multa máxima
Práctica prohibida (riesgo inaceptable)	35 M€ o 7% facturación global
Incumplimiento obligaciones alto riesgo	15 M€ o 3% facturación global
Información incorrecta a autoridades	7,5 M€ o 1% facturación global

A nivel nacional, AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en La Coruña, es la autoridad encargada de supervisar el cumplimiento.

Cómo prepararte sin paranoia (plan en 4 pasos)

Paso 1: inventario de sistemas IA en tu empresa

Lista qué herramientas IA usa tu equipo:

Modelos generales: ChatGPT, Claude, Microsoft Copilot 365, Gemini.
Automatizaciones con IA: n8n + LLM nodes, Make + GPT, agentes.
Productos verticales: chatbots, agentes de voz, herramientas de marketing.

Para cada uno: caso de uso, datos que entran, quién lo usa.

Paso 2: clasifica cada uno por riesgo

Con la tabla de las 4 categorías. Para la mayoría de casos, te quedas en riesgo limitado o mínimo. Si entras en alto riesgo, escalas a asesoría legal.

Paso 3: formación al equipo

Forma a tu equipo en uso responsable de IA:

Qué pueden hacer y qué no con datos de clientes.
Cuándo decir al usuario "esto es un chatbot".
Cómo etiquetar contenido generado por IA.
Cómo identificar y reportar errores.

La formación es 100% bonificable FUNDAE si la imparte un proveedor acreditado. Más detalle: Cómo bonificar la formación en IA por FUNDAE en 2026.

Paso 4: documenta lo mínimo

Mantén un registro interno auditable:

Listado de sistemas IA en uso.
Casos de uso por sistema.
Categoría de riesgo asumida.
Formación impartida (fecha, asistentes, contenido).
Avisos de transparencia desplegados (en chatbots, en contenido público).

Con esto cubres el 90% de los casos en una eventual inspección.

Mitos del AI Act que circulan

"Mi empresa no puede usar ChatGPT por el AI Act": falso. Puedes usarlo. Las obligaciones son razonables.
"Tengo que registrar cada uso de IA ante la administración": falso. Solo determinados sistemas de alto riesgo tienen registro obligatorio.
"El AI Act prohíbe los chatbots": falso. Permite chatbots, exige transparencia (avisar que es IA).
"Si uso una IA de fuera de la UE no me aplica": falso. Si el output se usa en la UE, aplica.
"Las empresas pequeñas están exentas": falso. No hay exención generalizada, aunque algunas obligaciones de proveedores tienen requisitos relajados para empresas pequeñas.

Key takeaways

El AI Act regula el uso de IA en la UE por niveles de riesgo: inaceptable (prohibido), alto, limitado y mínimo.
Aplica a cualquier empresa que use IA dentro de la UE, aunque el proveedor sea de fuera.
En 2026 entran en vigor las obligaciones de transparencia (chatbots, contenido generado, deepfakes).
Las obligaciones de alto riesgo se aplazaron a diciembre de 2027 según el acuerdo político de mayo de 2026.
Sanciones máximas: 35 millones de euros o el 7% de la facturación global por prácticas prohibidas.
Para la mayoría de empresas las obligaciones son razonables: alfabetización del equipo + avisos de transparencia + documentación mínima.
Riesgo alto se aplica sobre todo a: selección de personal automatizada, evaluación de empleados, scoring crediticio, educación con efecto académico, infraestructuras críticas.
La autoridad supervisora a nivel nacional es AESIA, con sede en La Coruña.
La formación interna sobre uso responsable de IA es 100% bonificable FUNDAE.

Te ayudamos a cumplir sin frenar el negocio

En Power Technology llevamos meses ayudando a empresas a entender qué les obliga el AI Act y qué no. Desde Almería ofrecemos formación bonificable FUNDAE sobre uso responsable de IA, diagnósticos rápidos de tu mapa de sistemas IA y planes de compliance proporcionales al riesgo real de tu empresa. Habla con un asesor y en menos de 24h hábiles te respondemos con una propuesta concreta.

Sobre el autor

Equipo Power Technology. Formación e implementación de Inteligencia Artificial con sede en Almería. Ayudamos a empresas a integrar IA en su día a día con sesiones presenciales, online y mixtas, 100% bonificables FUNDAE.

Hablar con un asesor