El primer reglamento mundial que regula la inteligencia artificial entra en su fase más exigente en agosto de 2026. Las sanciones alcanzan los 35 millones de euros. Analizamos tu situación en una consulta gratuita.
⚠ Fecha clave: 2 de agosto de 2026. Las obligaciones para sistemas de IA de alto riesgo son exigibles a partir de esa fecha. Las empresas que no estén adaptadas se exponen a sanciones de hasta 35M€ y a quedar excluidas de contratos con el sector público.
ISO 9001. ENS nivel medio. RC 2.000.000€. Más de 30 años acompañando a empresas en la adaptación a nuevas normativas europeas.
El AI Act no entra de golpe — tiene un calendario progresivo. Conocer las fechas es fundamental para actuar a tiempo.
El AI Act clasifica los sistemas de IA en cuatro niveles. Tu nivel determina tus obligaciones y las sanciones a las que te expones.
Las sanciones del AI Act son las más elevadas de toda la normativa empresarial europea — superan incluso al RGPD.
Además de las sanciones económicas, AESIA puede ordenar la retirada del mercado del sistema de IA y la prohibición de comercializarlo en toda la UE. Los directivos pueden ser declarados personalmente responsables.
Más de 20 preguntas organizadas por categoría. Respuestas directas pensadas para empresas españolas.
No. El AI Act afecta tanto a los proveedores de sistemas de IA (quienes los desarrollan o comercializan) como a los usuarios de sistemas de IA de alto riesgo (quienes los utilizan en su actividad). Si tu empresa utiliza un sistema de IA para selección de personal, evaluación de crédito, diagnóstico médico o cualquier otra aplicación de alto riesgo, tienes obligaciones directas bajo el AI Act.
Debes revisar el Anexo III del AI Act. Si tu sistema de IA se usa en: selección y evaluación de personal, evaluación de solvencia crediticia, diagnóstico médico, gestión de infraestructuras críticas, sistemas educativos de evaluación, aplicación de la ley o migración — es probable que sea de alto riesgo. En la Diagnóstico Normativo Express gratuito analizo tu situación específica.
Sí, aunque con medidas proporcionadas. Las pymes tienen plazos más amplios para implantar sistemas de gestión de calidad y pueden acceder al sandbox regulatorio de AESIA. Sin embargo, si tu pyme usa sistemas de IA de alto riesgo, las obligaciones son reales y requieren adaptación. El AI Act no exime a las pymes — solo les facilita el cumplimiento.
Son normativas complementarias que se solapan en muchos puntos. Una IA que trate datos personales debe cumplir simultáneamente el AI Act y el RGPD. Una IA en infraestructuras críticas puede estar afectada también por NIS2. La gestión coordinada de las tres normativas es la más eficiente y evita duplicidades.
Las obligaciones principales son: sistema de gestión de riesgos documentado, datos de entrenamiento de alta calidad, documentación técnica detallada, registro de eventos del sistema, información transparente al usuario, supervisión humana efectiva, y medidas robustas de ciberseguridad. Todas deben estar implantadas antes de agosto de 2026.
La documentación debe incluir: descripción general del sistema y su finalidad, datos utilizados para el entrenamiento, lógica de funcionamiento, métricas de precisión y robustez, evaluación de riesgos, medidas de supervisión humana y procedimientos de actualización. AESIA ha publicado guías específicas que sirven de referencia.
Es un procedimiento obligatorio para demostrar que tu sistema de IA de alto riesgo cumple todos los requisitos del AI Act. Para la mayoría de sistemas puede realizarse internamente. Solo para casos específicos como sistemas biométricos requiere un organismo notificado externo. Debe completarse antes de poner el sistema en el mercado o en servicio.
Los sistemas de IA de alto riesgo deben estar diseñados para que una persona pueda supervisar su funcionamiento en tiempo real, detectar anomalías, entender las decisiones del sistema e intervenir o detenerlo si es necesario. No se puede delegar completamente en la máquina para decisiones que afecten a personas.
Están prohibidos desde febrero de 2025: sistemas de puntuación social por parte de autoridades públicas, sistemas que manipulen el comportamiento de personas aprovechando sus vulnerabilidades, reconocimiento de emociones en centros de trabajo y educación, extracción masiva de imágenes faciales de internet para crear bases de datos de reconocimiento facial, y sistemas de identificación biométrica en tiempo real en espacios públicos salvo excepciones muy tasadas.
Sí. El AI Act prevé la responsabilidad personal de los directivos en casos de incumplimientos graves, especialmente en el uso de sistemas prohibidos o en el incumplimiento reiterado de obligaciones de alto riesgo. El compliance del AI Act, al igual que el compliance penal, protege tanto a la empresa como a sus administradores individualmente.
AESIA es la Agencia Española de Supervisión de Inteligencia Artificial, el organismo público encargado de supervisar el cumplimiento del AI Act en España. Tiene potestad para realizar inspecciones, requerir documentación, imponer sanciones y ordenar la retirada de sistemas del mercado. Ha publicado ya 16 guías técnicas para facilitar el cumplimiento.
Debes facilitar toda la documentación técnica, el registro de eventos, las evaluaciones de riesgo y demostrar que cumples con las obligaciones de transparencia y supervisión humana. Es fundamental contar con toda la documentación organizada y actualizada antes de que llegue la inspección — no después. Actuar de forma reactiva multiplica el riesgo sancionador.
Es un entorno controlado donde las empresas pueden probar sistemas de IA innovadores bajo supervisión de AESIA antes de su lanzamiento al mercado. Permite identificar riesgos y desarrollar soluciones de cumplimiento de forma colaborativa con la autoridad. Es especialmente útil para startups y pymes con sistemas de IA novedosos.
Los sistemas de IA que analizan CVs, realizan entrevistas automatizadas o predicen el rendimiento de candidatos son de alto riesgo. Debes garantizar que no haya sesgos discriminatorios, informar a los candidatos de que se usa IA, documentar el sistema técnicamente y permitir revisión humana de las decisiones. Esto aplica aunque uses herramientas de terceros como LinkedIn o plataformas de RRHH con IA.
Los sistemas de IA para diagnóstico médico, pronóstico clínico o gestión de historiales son de alto riesgo. Deben cumplir requisitos estrictos de precisión, transparencia y supervisión humana. Además se solapan con el RGPD en el tratamiento de datos de salud. La certificación médica y el AI Act deben gestionarse de forma coordinada.
Si los usas como herramientas de productividad general (redactar textos, resumir documentos) y no para tomar decisiones que afecten a personas, probablemente no tienes obligaciones directas adicionales. Pero si los integras en procesos de selección de personal, evaluación de clientes o toma de decisiones relevantes, sí pueden surgir obligaciones. Conviene analizar el uso específico.
Realiza un análisis de brecha (gap analysis) para identificar qué sistemas de IA tienes y en qué nivel de riesgo caen. Documenta técnicamente los sistemas de alto riesgo. Implanta el sistema de gestión de riesgos. Realiza la evaluación de conformidad. Y conserva todos los registros para posibles inspecciones de AESIA. El proceso completo puede llevar entre 2 y 6 meses según la complejidad.
Analizo tu situación específica — qué sistemas de IA usas, en qué nivel caen y qué necesitas hacer antes de agosto de 2026. Sin compromiso y sin coste.
¿Necesitas también RGPD, Canal Ético, NIS2 o Compliance? Todo en mi web principal.
VER TODOS LOS SERVICIOS →