Durante meses, muchas empresas han respirado tranquilas ante el calendario del Reglamento Europeo de Inteligencia Artificial (AI Act). “Esto va para largo”, “ya veremos en 2027”, “todavía no nos afecta”. Nada más lejos de la realidad.
Si 2025 ha sido el año de las prohibiciones y 2027 será el de la armonización total, 2026 es el año clave: el momento en el que la IA deja de ser una cuestión experimental para convertirse en un asunto regulatorio, estratégico y de riesgo empresarial real.
Desde Certus Legal Firm lo estamos viendo con claridad: empresas que usan IA a diario —en selección de personal, scoring, atención al cliente, análisis de datos, marketing o automatización de procesos— sin tener todavía claro qué tipo de IA están usando, en qué nivel de riesgo encaja y qué obligaciones concretas les van a exigir a partir de agosto de 2026.
Este artículo no pretende asustar. Pretende ordenar, explicar y aterrizar el AI Act desde una perspectiva práctica: qué viene, a quién afecta y qué deberían estar haciendo ya las empresas que no quieren correr detrás del regulador dentro de dos años.
El AI Act en pocas palabras y sin jerga innecesaria
El Reglamento Europeo de Inteligencia Artificial (AI Act) introduce un cambio de paradigma en la forma en que la Unión Europea regula la tecnología: no se fija en la herramienta, sino en el riesgo que genera su uso.
El enfoque recuerda al del RGPD, pero con una diferencia clave: aquí no se regula tanto el dato como el impacto potencial de los sistemas de IA sobre las personas, las empresas y el propio mercado.
Por eso, el punto de partida del AI Act es muy claro: No toda la inteligencia artificial es igual. Y, por tanto, no toda la IA debe tratarse igual desde el punto de vista legal.
Sobre esta base, el Reglamento clasifica los sistemas de IA en cuatro grandes niveles de riesgo:
- IA prohibida, directamente vetada por su impacto inaceptable sobre los derechos fundamentales
- IA de alto riesgo, permitida, pero sometida a controles estrictos
- IA de riesgo limitado, con obligaciones esencialmente de transparencia
- IA de riesgo mínimo, de uso libre, aunque sujeta a recomendaciones y códigos de conducta
La clave —y aquí es donde muchas empresas se equivocan— es que el AI Act no se queda en principios abstractos ni declaraciones éticas. Introduce obligaciones técnicas, organizativas y documentales muy concretas, con un régimen sancionador que puede alcanzar decenas de millones de euros o porcentajes relevantes del volumen de negocio global.
En otras palabras: no es una guía de buenas prácticas, es derecho positivo europeo, con impacto directo en cómo las empresas diseñan, compran y utilizan soluciones basadas en inteligencia artificial.
El calendario real: por qué no puedes esperar a 2027
Uno de los mayores errores que estamos detectando es leer el calendario del AI Act “en diagonal”. El Reglamento no entra todo en vigor a la vez.
Los hitos clave son estos:
Febrero de 2025
Empieza la prohibición plena de determinadas prácticas de IA, como:
- Social scoring generalizado al estilo chino
- Manipulación subliminal que cause daño
- Scraping masivo de datos biométricos
- Identificación biométrica remota en tiempo real en espacios públicos (con excepciones muy limitadas)
Estas prácticas, si se detectan, pueden dar lugar a sanciones inmediatas.
Agosto de 2025
Entran en juego las obligaciones para proveedores de IA de propósito general (GPAI), incluidos los modelos fundacionales.
Aquí aparecen deberes de:
- Transparencia
- Documentación sobre datos de entrenamiento
- Gestión de riesgos
- Obligaciones reforzadas si el modelo se considera de riesgo sistémico
Además, los Estados miembros deben tener ya autoridades nacionales plenamente operativas.
Agosto de 2026 (el punto crítico)
Comienzan a aplicarse las obligaciones “core” para sistemas de IA de alto riesgo, especialmente los recogidos en el Anexo III del Reglamento.
Y aquí es donde muchas empresas encajan… sin saberlo.
Agosto de 2027
Aplicación completa para sistemas de alto riesgo integrados en productos regulados (Anexo I): maquinaria, productos sanitarios, dispositivos industriales, etc.
Si en 2026 usas IA de alto riesgo, ya tienes obligaciones legales plenas, aunque no fabriques tecnología ni te consideres una empresa “tech”.
¿A quién afecta realmente el AI Act?
Una de las confusiones más habituales cuando se habla del AI Act es pensar que se trata de una norma diseñada únicamente para grandes tecnológicas o desarrolladores de modelos avanzados. Nada más lejos de la realidad.
El Reglamento adopta una lógica clara: regular la inteligencia artificial allí donde se usa y donde genera efectos, no solo donde se desarrolla. Por eso, el ámbito de aplicación del AI Act se extiende a toda la cadena de valor de la IA, incluyendo perfiles muy diversos dentro del tejido empresarial.
En la práctica, el Reglamento distingue entre distintos roles jurídicos, cada uno con obligaciones específicas:
- Proveedores, es decir, quienes desarrollan un sistema de IA y lo introducen en el mercado o lo ponen en servicio bajo su propio nombre o marca.
- Desplegadores, que son las empresas u organizaciones que utilizan sistemas de IA en sus procesos internos o en la prestación de servicios (por ejemplo, en recursos humanos, scoring financiero, atención al cliente, marketing o análisis de datos).
- Importadores y distribuidores, que facilitan la entrada y comercialización de sistemas de IA en el mercado europeo.
- Fabricantes de productos que integran sistemas de IA en bienes regulados o soluciones tecnológicas más amplias.
Este enfoque tiene una consecuencia directa para muchas empresas: usar IA también genera obligaciones, incluso aunque no se haya desarrollado la tecnología internamente.
Además, el AI Act adopta un criterio extraterritorial muy similar al del RGPD. El Reglamento se aplica también a proveedores y usuarios situados fuera de la Unión Europea cuando:
- El sistema de IA se utiliza en territorio de la UE, o
- Los resultados del sistema producen efectos sobre personas que se encuentran en la UE.
Este fenómeno, conocido como el “efecto Bruselas”, convierte al AI Act en un estándar de facto más allá de las fronteras europeas. Para empresas internacionales, startups con vocación global o proveedores tecnológicos no europeos, ignorar esta dimensión puede suponer un riesgo legal significativo.
El corazón del problema: la IA de alto riesgo
El verdadero impacto del AI Act no está en los chatbots genéricos, sino en los sistemas de alto riesgo.
¿Qué se considera IA de alto riesgo?
Principalmente, los sistemas incluidos en el Anexo III, que se utilizan en ámbitos como:
- Biometría
- Infraestructuras críticas
- Educación y formación
- Empleo y recursos humanos
- Acceso a servicios esenciales (crédito, seguros, vivienda)
- Justicia y procesos administrativos
- Migración y control fronterizo
Muchas empresas usan ya herramientas de este tipo sin etiquetarlas como “IA de alto riesgo”:
- Cribado automatizado de CV
- Sistemas de scoring interno
- Evaluación de rendimiento
- Priorización de clientes o usuarios
- Herramientas de detección de fraude
En 2026, eso deja de ser un experimento.
¿Qué exige el AI Act a partir de 2026?
Para proveedores de IA de alto riesgo
A partir de agosto de 2026, un proveedor debe tener todo esto listo:
- Sistema formal de gestión de riesgos
- Garantías de calidad y representatividad de los datos
- Documentación técnica trazable
- Medidas de supervisión humana
- Ciberseguridad y robustez
- Monitorización post-comercialización
- En muchos casos, evaluación por organismo notificado
- Marcado CE como sistema de IA de alto riesgo
- Registro en la base de datos europea de IA
No es opcional. No es “mejor práctica”. Es obligación legal.
Para empresas usuarias (desplegadores)
Aquí está el punto ciego de muchas organizaciones.
En 2026, las empresas que usan IA de alto riesgo deberán:
- Utilizar el sistema conforme a las instrucciones del proveedor
- Asignar supervisión humana efectiva
- Garantizar que los datos de entrada son adecuados
- Monitorizar el funcionamiento del sistema
- Suspender su uso si se detectan riesgos graves
- Notificar incidentes al proveedor y a la autoridad competente
En la práctica, esto implica gobernanza interna de la IA, no solo comprar una herramienta y “ponerla a funcionar”.
España como laboratorio regulatorio: por qué aquí el IA Act se va a notar antes
A diferencia de otros Estados miembros, España no ha optado por una posición de espera ante la entrada en vigor del AI Act. El enfoque ha sido claramente anticipatorio, lo que tiene una consecuencia directa para las empresas: la supervisión no empezará “algún día”, ya está en marcha.
Desde 2024 está operativa la AESIA, la Agencia Española de Supervisión de la Inteligencia Artificial. Su papel no se limita a sancionar; al menos en esta fase inicial, la prioridad está siendo identificar prácticas problemáticas, orientar a los operadores y generar criterios interpretativos antes de que las obligaciones del Reglamento sean plenamente exigibles.
Este enfoque se ha materializado, entre otras iniciativas, en la puesta en marcha de un sandbox regulatorio nacional, con proyectos reales vinculados a ámbitos especialmente sensibles desde el punto de vista del AI Act, como el empleo, la biometría o los servicios financieros. El objetivo no es teórico: es comprobar cómo encajan las exigencias del Reglamento en usos reales de inteligencia artificial y qué ajustes organizativos necesitan las empresas.
A ello se suma una coordinación creciente entre autoridades, especialmente con la AEPD y la CNMC, lo que refuerza la idea de una supervisión transversal. Para las empresas, esto implica que el uso de IA no se analizará de forma aislada, sino en conexión con protección de datos, competencia, consumo y derechos fundamentales.
En paralelo, el desarrollo normativo interno apunta a un régimen sancionador plenamente alineado con el AI Act. El borrador de la futura Ley española de IA prevé sanciones que pueden alcanzar hasta 35 millones de euros o el 7 % de la facturación global en los casos más graves, junto con tramos intermedios para incumplimientos relevantes, como el uso indebido de sistemas biométricos o la falta de garantías en determinados contextos.
Todo ello dibuja un escenario claro: España se está posicionando como uno de los primeros entornos donde el cumplimiento del AI Act se va a examinar con lupa. Para las empresas que operan aquí —o que utilizan sistemas de IA con impacto en el mercado español— esto convierte la anticipación y el asesoramiento especializado en una ventaja, no en un coste.
Entonces… ¿qué deberían estar haciendo ya las empresas?
Desde una perspectiva práctica, hay varias líneas de trabajo que conviene abordar cuanto antes:
En primer lugar, tener una visión clara de los usos reales de IA, tanto internos como externos. No basta con identificar grandes proyectos tecnológicos; muchas obligaciones nacen de herramientas aparentemente secundarias integradas en procesos de recursos humanos, análisis de datos, marketing o atención al cliente.
En segundo lugar, clasificar esos usos por nivel de riesgo. Determinar qué sistemas podrían encajar en las categorías de alto riesgo del AI Act es esencial para saber qué exigencias se activarán a partir de agosto de 2026 y cuáles no.
A partir de ahí, resulta imprescindible revisar la relación con proveedores de IA. El Reglamento introduce obligaciones que afectan directamente a los contratos: acceso a documentación, instrucciones de uso, reparto de responsabilidades, mecanismos de notificación de incidentes o retirada del sistema en caso de riesgos graves.
Otro elemento clave es la gobernanza interna. El AI Act presupone que las empresas cuentan con responsables claros de supervisión, con capacidad real para intervenir, suspender un sistema o corregir su funcionamiento. Esto conecta directamente con áreas como compliance, tecnología, recursos humanos y dirección.
Por último, el uso de IA exige procedimientos de monitorización y respuesta. No se trata solo de cumplir en el momento inicial, sino de detectar desviaciones, incidentes o impactos no previstos y actuar con rapidez y trazabilidad.
Todo esto conduce a una idea central: el AI Act no es únicamente una norma técnica. Es una decisión estratégica sobre cómo una empresa incorpora la inteligencia artificial a su modelo de negocio sin asumir riesgos legales, reputacionales y económicos innecesarios.
