Si tu empresa ya usa IA —o está a punto— esto te interesa. El AI Act no es un “papel más”: es el nuevo suelo regulatorio que define cómo concebimos, construimos, compramos y operamos sistemas de inteligencia artificial en la UE. Aquí tienes una guía práctica, pensada para equipos de negocio y tecnología en España, para pasar de la teoría a la acción.
El Reglamento Europeo de Inteligencia Artificial (Reg. (UE) 2024/1689) es la primera ley integral del mundo sobre IA. Entró en vigor el 1 de agosto de 2024 y será plenamente aplicable el 2 de agosto de 2026, con hitos intermedios: desde febrero de 2025 rigen las prohibiciones y la alfabetización en IA, y desde agosto de 2025 aplican las reglas de gobernanza y las obligaciones para modelos de propósito general (GPAI). Los sistemas de alto riesgo integrados en productos regulados tienen una transición extendida hasta agosto de 2027.
El alcance es muy amplio: afecta a proveedores (quien desarrolla/“pone en el mercado”), importadores/distribuidores y desplegadores (quien usa IA en un contexto profesional en la UE). Hay exclusiones tasadas (p. ej., usos militares o personales no profesionales), pero para empresa general, aplica.
El AI Act adopta un enfoque basado en riesgo: cuanto mayor el impacto potencial, más obligaciones.
Quedan vetadas prácticas como la manipulación cognitivo-conductual dañina, el “social scoring” por autoridades o el uso indiscriminado de biometría remota en espacios públicos (con excepciones acotadas y garantías). Estas prohibiciones se aplican desde el 2 de febrero de 2025.
Incluye, entre otros, IA para biometría, infraestructuras críticas, educación, empleo/RR. HH., servicios esenciales (banca, salud), aplicación de la ley o justicia. Exige un sistema de gestión de riesgos, calidad de datos, documentación técnica, supervisión humana, ciberseguridad, monitorización poscomercialización, marcado CE y, para muchos casos, registro en la base de datos de la UE. Los plazos se escalan entre 2026 y 2027 según el tipo.
Obligaciones de transparencia: informar cuando una persona interactúa con IA, cuando el contenido es sintético (deepfakes) o cuando se usa reconocimiento de emociones o categorías biométricas en determinados contextos. Estas obligaciones empiezan en agosto de 2025.
La mayoría de software de uso general. Fomenta códigos de conducta y buenas prácticas, pero sin obligaciones duras del Reglamento.
Nota de actualidad (julio de 2025): pese a peticiones de prórroga por parte de grandes compañías, la Comisión ha confirmado que no habrá pausa en el calendario.
Si tu empresa usa o integra modelos fundacionales (p. ej., LLMs), el AI Act trae reglas específicas:
Para desplegadores (usuarios empresariales), aunque el proveedor cumpla, no te exime: debes verificar idoneidad del caso de uso, informar a usuarios cuando proceda y asegurar supervisión humana y controles proporcionales.
Las multas por incumplir el AI Act son relevantes:
Más allá de la cifra, el riesgo reputacional y operativo es alto: retirada de sistemas, auditorías forzosas, impacto en confianza de clientes y en talento.
España ha creado la AESIA (Agencia Española de Supervisión de la IA), con estatuto aprobado por RD 729/2023. AESIA asumirá funciones de vigilancia de mercado y coordinación nacional del marco del AI Act, en sintonía con otras autoridades (p. ej., AEPD para protección de datos) y reguladores sectoriales (CNMV/BdE, Sanidad, etc.).
Tu programa de cumplimiento debe encajar con el resto de normativa: GDPR, NIS2 (ciberseguridad), DSA/DMA (plataformas), consumo y reglas sectoriales (financiero, sanitario, movilidad). El AI Act no sustituye: se suma.
IA en selección y evaluación puede ser alto riesgo: deberás justificar variables, monitorizar sesgos y asegurar supervisión humana real (no “de pega”). Forma a recruiters en explicabilidad y decisiones informadas.
Si generas creativos o copys con IA, prepara avisos cuando sea necesario y etiqueta contenido sintético (deepfakes, voz, imagen). Ajusta flujos de aprobación con revisiones humanas.
Los modelos de detección de fraude, concesión de crédito o ** scoring de riesgos** suelen entrar en alto riesgo: exige trazabilidad, controles de datos, explicabilidad y marcado CE cuando aplique.
Si integras IA en productos regulados (sanitario, automoción), el calendario se estira a 2027: coordina con el fabricante y planifica evaluación de conformidad.
Cumplir el AI Act no va de “papeles”, va de confiabilidad: modelos mejor documentados, decisiones más explicables y usuarios que saben a qué atenerse. Empieza por inventariar, decide dónde quieres estar en agosto de 2025 y agosto de 2026, y construye un programa que te permita innovar sin sobresaltos. Desde MBIT School podemos ayudarte a diseñar tu hoja de ruta de cumplimiento, formar a tus equipos y evaluar casos de uso críticos.
Próximo paso recomendado: conviértelo en proyecto de 90 días —si quieres, te proponemos un workshop con tus áreas clave (Negocio, Datos, Legal y Tecnología) para aterrizar el plan en tu compañía.
Este artículo se basa en fuentes oficiales y actualizadas a 31 de julio de 2025, incluidas la Comisión Europea, EUR-Lex y documentación especializada. (Estrategia Digital Europea, EUR-Lex, whitecase.com, Artificial Intelligence Act EU, Artificial Intelligence Act EU, Artificial Intelligence Act EU, BOE, aesia.digital.gob.es, Reuters)
Si tu empresa ya usa IA —o está a punto— esto te interesa. El AI Act no es un “papel más”: es el nuevo suelo regulatorio que define cómo concebimos, construimos, compramos y operamos sistemas de inteligencia artificial en la UE. Aquí tienes una guía práctica, pensada para equipos de negocio y tecnología en España, para pasar de la teoría a la acción.
El Reglamento Europeo de Inteligencia Artificial (Reg. (UE) 2024/1689) es la primera ley integral del mundo sobre IA. Entró en vigor el 1 de agosto de 2024 y será plenamente aplicable el 2 de agosto de 2026, con hitos intermedios: desde febrero de 2025 rigen las prohibiciones y la alfabetización en IA, y desde agosto de 2025 aplican las reglas de gobernanza y las obligaciones para modelos de propósito general (GPAI). Los sistemas de alto riesgo integrados en productos regulados tienen una transición extendida hasta agosto de 2027.
El alcance es muy amplio: afecta a proveedores (quien desarrolla/“pone en el mercado”), importadores/distribuidores y desplegadores (quien usa IA en un contexto profesional en la UE). Hay exclusiones tasadas (p. ej., usos militares o personales no profesionales), pero para empresa general, aplica.
El AI Act adopta un enfoque basado en riesgo: cuanto mayor el impacto potencial, más obligaciones.
Quedan vetadas prácticas como la manipulación cognitivo-conductual dañina, el “social scoring” por autoridades o el uso indiscriminado de biometría remota en espacios públicos (con excepciones acotadas y garantías). Estas prohibiciones se aplican desde el 2 de febrero de 2025.
Incluye, entre otros, IA para biometría, infraestructuras críticas, educación, empleo/RR. HH., servicios esenciales (banca, salud), aplicación de la ley o justicia. Exige un sistema de gestión de riesgos, calidad de datos, documentación técnica, supervisión humana, ciberseguridad, monitorización poscomercialización, marcado CE y, para muchos casos, registro en la base de datos de la UE. Los plazos se escalan entre 2026 y 2027 según el tipo.
Obligaciones de transparencia: informar cuando una persona interactúa con IA, cuando el contenido es sintético (deepfakes) o cuando se usa reconocimiento de emociones o categorías biométricas en determinados contextos. Estas obligaciones empiezan en agosto de 2025.
La mayoría de software de uso general. Fomenta códigos de conducta y buenas prácticas, pero sin obligaciones duras del Reglamento.
Nota de actualidad (julio de 2025): pese a peticiones de prórroga por parte de grandes compañías, la Comisión ha confirmado que no habrá pausa en el calendario.
Si tu empresa usa o integra modelos fundacionales (p. ej., LLMs), el AI Act trae reglas específicas:
Para desplegadores (usuarios empresariales), aunque el proveedor cumpla, no te exime: debes verificar idoneidad del caso de uso, informar a usuarios cuando proceda y asegurar supervisión humana y controles proporcionales.
Las multas por incumplir el AI Act son relevantes:
Más allá de la cifra, el riesgo reputacional y operativo es alto: retirada de sistemas, auditorías forzosas, impacto en confianza de clientes y en talento.
España ha creado la AESIA (Agencia Española de Supervisión de la IA), con estatuto aprobado por RD 729/2023. AESIA asumirá funciones de vigilancia de mercado y coordinación nacional del marco del AI Act, en sintonía con otras autoridades (p. ej., AEPD para protección de datos) y reguladores sectoriales (CNMV/BdE, Sanidad, etc.).
Tu programa de cumplimiento debe encajar con el resto de normativa: GDPR, NIS2 (ciberseguridad), DSA/DMA (plataformas), consumo y reglas sectoriales (financiero, sanitario, movilidad). El AI Act no sustituye: se suma.
IA en selección y evaluación puede ser alto riesgo: deberás justificar variables, monitorizar sesgos y asegurar supervisión humana real (no “de pega”). Forma a recruiters en explicabilidad y decisiones informadas.
Si generas creativos o copys con IA, prepara avisos cuando sea necesario y etiqueta contenido sintético (deepfakes, voz, imagen). Ajusta flujos de aprobación con revisiones humanas.
Los modelos de detección de fraude, concesión de crédito o ** scoring de riesgos** suelen entrar en alto riesgo: exige trazabilidad, controles de datos, explicabilidad y marcado CE cuando aplique.
Si integras IA en productos regulados (sanitario, automoción), el calendario se estira a 2027: coordina con el fabricante y planifica evaluación de conformidad.
Cumplir el AI Act no va de “papeles”, va de confiabilidad: modelos mejor documentados, decisiones más explicables y usuarios que saben a qué atenerse. Empieza por inventariar, decide dónde quieres estar en agosto de 2025 y agosto de 2026, y construye un programa que te permita innovar sin sobresaltos. Desde MBIT School podemos ayudarte a diseñar tu hoja de ruta de cumplimiento, formar a tus equipos y evaluar casos de uso críticos.
Próximo paso recomendado: conviértelo en proyecto de 90 días —si quieres, te proponemos un workshop con tus áreas clave (Negocio, Datos, Legal y Tecnología) para aterrizar el plan en tu compañía.
Este artículo se basa en fuentes oficiales y actualizadas a 31 de julio de 2025, incluidas la Comisión Europea, EUR-Lex y documentación especializada. (Estrategia Digital Europea, EUR-Lex, whitecase.com, Artificial Intelligence Act EU, Artificial Intelligence Act EU, Artificial Intelligence Act EU, BOE, aesia.digital.gob.es, Reuters)
¿Te ha interesado? Profundiza mucho más y dale un giro a tu carrera. Profesionales del sector y una comunidad increíble te están esperando.