El Reglamento Europeo de IA entró en vigor en agosto de 2024 con plazos de aplicación escalonados hasta 2027. Si tu empresa usa cualquier sistema de IA —incluso un chatbot o un clasificador de leads— necesitas saber dónde encajas.
El Reglamento Europeo de Inteligencia Artificial —el AI Act— se publicó en el DOUE el 12 de julio de 2024 y entró en vigor el 1 de agosto del mismo año. Es la primera regulación horizontal del mundo sobre sistemas de IA y aplica a cualquier organización que despliegue, distribuya o desarrolle IA en territorio europeo, sea cual sea su tamaño.
En España, la Agencia Española de Supervisión de IA (AESIA) es la autoridad designada y empezará a inspeccionar sistemas de alto riesgo a partir de agosto de 2026. Para una PYME que ya usa herramientas con componente IA —y casi todas lo hacen sin saberlo, desde un CRM con scoring automático hasta un email triage—, esto significa cuatro deberes concretos antes de fin de 2026.
El AI Act clasifica los sistemas de IA en cuatro niveles según su impacto sobre derechos fundamentales y seguridad. Conocer en cuál encajan los sistemas que usas es el primer paso para saber qué obligaciones aplican.
Riesgo inaceptable (prohibidos): sistemas de scoring social tipo China, manipulación cognitiva subliminal, identificación biométrica en tiempo real en espacios públicos (con excepciones policiales muy acotadas), y reconocimiento de emociones en lugares de trabajo o centros educativos. Aplicación inmediata desde febrero 2025. Si tu empresa usa cualquier sistema que entre aquí, debe dejar de usarlo ya.
Alto riesgo: sistemas que toman decisiones con impacto significativo en personas. Incluye selección de personal (CV screening, ranking de candidatos), evaluación crediticia, acceso a servicios esenciales (sanidad, ayudas públicas), y sistemas en infraestructuras críticas. Obligaciones plenas desde agosto 2026: gestión de riesgos documentada, dataset gobernado, supervisión humana, transparencia, ciberseguridad, registro en base de datos europea.
Riesgo limitado: chatbots, generadores de imágenes, sistemas que interactúan con personas. Obligación de transparencia: el usuario debe saber que está interactuando con una IA o que el contenido es generado. Aplicable desde agosto 2025.
Riesgo mínimo: filtros de spam, recomendadores básicos, IA en videojuegos. Sin obligaciones específicas más allá del cumplimiento general (RGPD, ciberseguridad).
La parte que más confusión genera es identificar correctamente la categoría de cada sistema. Un mismo tipo de herramienta puede ser de alto riesgo o de riesgo limitado según el uso concreto. Algunos ejemplos reales que vemos a diario en clientes españoles:
CV screening con IA: alto riesgo siempre. Tanto si usas un servicio externo como si construyes el tuyo propio. La obligación recae sobre quien despliega el sistema (deployer), no solo sobre quien lo desarrolla. Implica documentación de evaluación de impacto, supervisión humana significativa antes de cualquier decisión de no continuar con un candidato, y transparencia hacia el candidato (debe saber que su CV es analizado por IA).
Chatbot de atención al cliente: riesgo limitado. La única obligación específica es que el visitante sepa que habla con una IA y no con una persona. Una etiqueta clara al inicio de la conversación es suficiente. Si el chatbot puede tomar decisiones automatizadas relevantes —por ejemplo, denegar una reclamación— pasa a entrar también en el ámbito del Art. 22 del RGPD.
Lead scoring automático: depende del impacto. Si solo prioriza la cola de un comercial, es riesgo mínimo. Si rechaza automáticamente leads sin revisión humana en función del score, puede entrar en alto riesgo si afecta acceso a servicios esenciales o decisiones con consecuencias significativas.
Análisis de sentimiento de empleados: prohibido en su forma de "reconocimiento de emociones" en el lugar de trabajo. Si tu herramienta de RRHH analiza el tono emocional de mensajes internos para evaluar a empleados, debes dejar de usarla.
Independientemente de la categoría en la que encajen tus sistemas, hay cuatro acciones que toda empresa que use IA debería ejecutar antes de fin de 2026.
1. Inventario de sistemas IA: lista todos los sistemas de IA en uso. Incluye no solo los desarrollos propios sino las funcionalidades IA de SaaS que tienes contratado: scoring de leads en HubSpot, sugerencias de Salesforce Einstein, traductor automático en Slack, autocompletados en Gmail. Para cada uno: proveedor, propósito, datos personales tratados, categoría de riesgo estimada.
2. Cláusula de transparencia básica: añade en tu política de privacidad una sección sobre uso de IA. Incluye qué decisiones automatizadas se toman, qué datos se procesan, y el derecho del interesado a obtener intervención humana (Art. 22 RGPD). Es una página, pero te cubre legalmente y te da credibilidad ante clientes que pregunten.
3. Para sistemas de alto riesgo identificados: inicia ya la documentación. Mínimo: descripción del sistema, dataset usado para entrenar/configurar, métricas de desempeño, plan de supervisión humana, plan de respuesta a incidentes. No necesitas un consultor caro para empezar; necesitas escribirlo. Cuando AESIA inspeccione, lo primero que pedirá es esto.
4. Contratos con proveedores SaaS: revisa los DPA (Data Processing Agreement) y verifica que el proveedor declara la categoría de riesgo de su sistema y asume sus obligaciones como provider. Si un proveedor europeo se niega a firmarlo o no tiene clarificada esta documentación, considéralo bandera roja.
El AI Act establece un régimen sancionador severo, con multas que pueden alcanzar 35 millones de euros o el 7% de la facturación global anual (lo que sea mayor) para infracciones graves. Para PYMEs y startups, el reglamento prevé un régimen reducido proporcional al tamaño, pero las multas mínimas siguen siendo significativas.
Más allá de las multas, hay un riesgo reputacional creciente. Los clientes B2B europeos, especialmente del sector público y de industrias reguladas, ya están exigiendo en sus pliegos cláusulas sobre cumplimiento del AI Act. Una PYME que no pueda demostrar el inventario y la categorización de sus sistemas IA empieza a quedar fuera de licitaciones de cierto tamaño.
El AI Act no es una amenaza, es una oportunidad de orden. La mayoría de las obligaciones —documentar lo que usas, ser transparente con los usuarios, mantener supervisión humana sobre decisiones importantes— son prácticas que cualquier organización seria ya debería tener implementadas. La regulación las hace explícitas y exigibles.
En RAXAR, todos los sistemas que desplegamos para clientes incluyen por defecto la documentación de evaluación de impacto, el log de decisiones automatizadas y el flujo de supervisión humana donde aplica. No porque seamos especialmente diligentes, sino porque construir desde el principio cumpliendo el AI Act ahorra tiempo y dinero a tres años vista. Si quieres una auditoría sin coste de tu inventario actual de sistemas IA, contacta con nosotros.
¿Quieres aplicar esto en tu empresa?
En RAXAR auditamos procesos, calculamos el ROI real y construimos sistemas que funcionan en producción. Sin proyectos piloto eternos.
Hablar con un especialista