Reglamento Europeo de IA: Cómo cumplir el AI Act en España 2025

Aquí tienes una guía práctica, pensada para equipos de negocio y tecnología en España, para pasar de la teoría a la acción.

Reserva la fecha:
31/7/2025
6
No items found.
Logo de Mbit School
Por
MBIT School

Si tu empresa ya usa IA —o está a punto— esto te interesa. El AI Act no es un “papel más”: es el nuevo suelo regulatorio que define cómo concebimos, construimos, compramos y operamos sistemas de inteligencia artificial en la UE. Aquí tienes una guía práctica, pensada para equipos de negocio y tecnología en España, para pasar de la teoría a la acción.

¿Qué es el AI Act y por qué importa ahora?

El Reglamento Europeo de Inteligencia Artificial (Reg. (UE) 2024/1689) es la primera ley integral del mundo sobre IA. Entró en vigor el 1 de agosto de 2024 y será plenamente aplicable el 2 de agosto de 2026, con hitos intermedios: desde febrero de 2025 rigen las prohibiciones y la alfabetización en IA, y desde agosto de 2025 aplican las reglas de gobernanza y las obligaciones para modelos de propósito general (GPAI). Los sistemas de alto riesgo integrados en productos regulados tienen una transición extendida hasta agosto de 2027.

El alcance es muy amplio: afecta a proveedores (quien desarrolla/“pone en el mercado”), importadores/distribuidores y desplegadores (quien usa IA en un contexto profesional en la UE). Hay exclusiones tasadas (p. ej., usos militares o personales no profesionales), pero para empresa general, aplica.

Cómo clasifica el riesgo (y qué te exige cada nivel)

El AI Act adopta un enfoque basado en riesgo: cuanto mayor el impacto potencial, más obligaciones.

Riesgo inaceptable (prohibido)

Quedan vetadas prácticas como la manipulación cognitivo-conductual dañina, el “social scoring” por autoridades o el uso indiscriminado de biometría remota en espacios públicos (con excepciones acotadas y garantías). Estas prohibiciones se aplican desde el 2 de febrero de 2025.

Alto riesgo

Incluye, entre otros, IA para biometría, infraestructuras críticas, educación, empleo/RR. HH., servicios esenciales (banca, salud), aplicación de la ley o justicia. Exige un sistema de gestión de riesgos, calidad de datos, documentación técnica, supervisión humana, ciberseguridad, monitorización poscomercialización, marcado CE y, para muchos casos, registro en la base de datos de la UE. Los plazos se escalan entre 2026 y 2027 según el tipo.

Riesgo limitado

Obligaciones de transparencia: informar cuando una persona interactúa con IA, cuando el contenido es sintético (deepfakes) o cuando se usa reconocimiento de emociones o categorías biométricas en determinados contextos. Estas obligaciones empiezan en agosto de 2025.

Riesgo mínimo

La mayoría de software de uso general. Fomenta códigos de conducta y buenas prácticas, pero sin obligaciones duras del Reglamento.

Fechas clave para tu hoja de ruta

  • 2 de febrero de 2025Prohibiciones y alfabetización en IA. Revisa casos de uso y elimina cualquier práctica vetada.
  • 2 de agosto de 2025Gobernanza, transparencia y obligaciones GPAI (modelos de propósito general). Ajusta políticas, disclaimers, etiquetado de contenidos y contratos con proveedores de IA generativa.
  • 2 de agosto de 2026Aplicación plena del AI Act (salvo ciertas excepciones de alto riesgo integrado en productos regulados). Ten el programa de cumplimiento operativo.
  • 2 de agosto de 2027Extensión para alto riesgo integrado en productos regulados (marcado CE y obligaciones específicas). Planifica con antelación si fabricas o integras IA en esos productos.

Nota de actualidad (julio de 2025): pese a peticiones de prórroga por parte de grandes compañías, la Comisión ha confirmado que no habrá pausa en el calendario.

IA generativa y modelos de propósito general (GPAI)

Si tu empresa usa o integra modelos fundacionales (p. ej., LLMs), el AI Act trae reglas específicas:

  • Obligaciones de transparencia y documentación para proveedores de GPAI: fichas técnicas, límites de uso y soporte a integradores.
  • Respeto de derechos de autor y publicación de información relevante sobre el uso de contenidos protegidos.
  • Modelos con “riesgo sistémico” (una categoría que puede presumirse, entre otros criterios técnicos, cuando el entrenamiento supera 10²⁵ FLOPs): requieren gestión reforzada de riesgos, evaluaciones, ciberseguridad y notificación a la Comisión. Estas obligaciones empiezan en agosto de 2025.

Para desplegadores (usuarios empresariales), aunque el proveedor cumpla, no te exime: debes verificar idoneidad del caso de uso, informar a usuarios cuando proceda y asegurar supervisión humana y controles proporcionales.

Sanciones: cuánto te juegas

Las multas por incumplir el AI Act son relevantes:

  • Hasta 35 M€ o el 7 % del volumen de negocio mundial (el mayor) por prácticas prohibidas.
  • Hasta 15 M€ o el 3 % por incumplimientos de otras obligaciones.
  • Hasta 7,5 M€ o el 1,5 % por facilitar información incorrecta.

Más allá de la cifra, el riesgo reputacional y operativo es alto: retirada de sistemas, auditorías forzosas, impacto en confianza de clientes y en talento.

¿Qué cambia en España? Autoridades y convivencia normativa

España ha creado la AESIA (Agencia Española de Supervisión de la IA), con estatuto aprobado por RD 729/2023. AESIA asumirá funciones de vigilancia de mercado y coordinación nacional del marco del AI Act, en sintonía con otras autoridades (p. ej., AEPD para protección de datos) y reguladores sectoriales (CNMV/BdE, Sanidad, etc.).

Tu programa de cumplimiento debe encajar con el resto de normativa: GDPR, NIS2 (ciberseguridad), DSA/DMA (plataformas), consumo y reglas sectoriales (financiero, sanitario, movilidad). El AI Act no sustituye: se suma.

Plan de 90 días para ponerse en marcha

0–30 días: inventario y riesgo

  1. Inventario de IA: lista todos los sistemas/casos de uso (propios y de terceros). Incluye prompts, flujos y datos implicados.
  2. Clasificación preliminar: etiqueta cada caso como prohibido, limitado, alto o mínimo riesgo. Señala “GPAI” cuando aplique.
  3. Corta lo prohibido: verifica que no haya prácticas vetadas (p. ej., scoring social, scraping biométrico indiscriminado).

31–60 días: gobierno y controles

  1. Gobernanza: nombra un responsable de IA y crea un comité (Negocio, Datos, Tecnología, Legal, Riesgos, RR. HH.).
  2. Política de IA responsable: documentación mínima, criterios de supervisión humana, explicabilidad, seguridad y ciclo de vida.
  3. Controles de transparencia: prepara avisos a usuarios, etiquetado de contenido sintético, y guías internas para uso de IA generativa. Entra en juego en agosto de 2025.

61–90 días: proveedores y alto riesgo

  1. Gestión de terceros: renegocia contratos de IA para incluir declaración de conformidad, marcado CE si aplica, pruebas, seguridad y soporte.
  2. Alto riesgo: diseña el sistema de gestión de riesgos (datos, sesgos, robustez, ciberseguridad), documentación técnica y monitorización. Si tu sistema cae en Anexo III, planifica el registro.
  3. GPAI: solicita fichas técnicas y cumplimiento de derechos de autor a proveedores de modelos; revisa límites de uso y guías de integración. (Artificial Intelligence Act EU)

Áreas típicas de impacto en empresas españolas

Recursos Humanos

IA en selección y evaluación puede ser alto riesgo: deberás justificar variables, monitorizar sesgos y asegurar supervisión humana real (no “de pega”). Forma a recruiters en explicabilidad y decisiones informadas.

Marketing y contenidos

Si generas creativos o copys con IA, prepara avisos cuando sea necesario y etiqueta contenido sintético (deepfakes, voz, imagen). Ajusta flujos de aprobación con revisiones humanas.

Riesgo, compliance y financiero

Los modelos de detección de fraude, concesión de crédito o ** scoring de riesgos** suelen entrar en alto riesgo: exige trazabilidad, controles de datos, explicabilidad y marcado CE cuando aplique.

Industria y salud

Si integras IA en productos regulados (sanitario, automoción), el calendario se estira a 2027: coordina con el fabricante y planifica evaluación de conformidad.

Convierte el AI Act en ventaja competitiva

Cumplir el AI Act no va de “papeles”, va de confiabilidad: modelos mejor documentados, decisiones más explicables y usuarios que saben a qué atenerse. Empieza por inventariar, decide dónde quieres estar en agosto de 2025 y agosto de 2026, y construye un programa que te permita innovar sin sobresaltos. Desde MBIT School podemos ayudarte a diseñar tu hoja de ruta de cumplimiento, formar a tus equipos y evaluar casos de uso críticos.

Próximo paso recomendado: conviértelo en proyecto de 90 días —si quieres, te proponemos un workshop con tus áreas clave (Negocio, Datos, Legal y Tecnología) para aterrizar el plan en tu compañía.

Este artículo se basa en fuentes oficiales y actualizadas a 31 de julio de 2025, incluidas la Comisión Europea, EUR-Lex y documentación especializada. (Estrategia Digital Europea, EUR-Lex, whitecase.com, Artificial Intelligence Act EU, Artificial Intelligence Act EU, Artificial Intelligence Act EU, BOE, aesia.digital.gob.es, Reuters)

No items found.
¡Estupendo! Tu solicitud ya se está procesando. Pronto tendrás noticias.
Oops! Ha ocurrido algún tipo de error.

Si tu empresa ya usa IA —o está a punto— esto te interesa. El AI Act no es un “papel más”: es el nuevo suelo regulatorio que define cómo concebimos, construimos, compramos y operamos sistemas de inteligencia artificial en la UE. Aquí tienes una guía práctica, pensada para equipos de negocio y tecnología en España, para pasar de la teoría a la acción.

¿Qué es el AI Act y por qué importa ahora?

El Reglamento Europeo de Inteligencia Artificial (Reg. (UE) 2024/1689) es la primera ley integral del mundo sobre IA. Entró en vigor el 1 de agosto de 2024 y será plenamente aplicable el 2 de agosto de 2026, con hitos intermedios: desde febrero de 2025 rigen las prohibiciones y la alfabetización en IA, y desde agosto de 2025 aplican las reglas de gobernanza y las obligaciones para modelos de propósito general (GPAI). Los sistemas de alto riesgo integrados en productos regulados tienen una transición extendida hasta agosto de 2027.

El alcance es muy amplio: afecta a proveedores (quien desarrolla/“pone en el mercado”), importadores/distribuidores y desplegadores (quien usa IA en un contexto profesional en la UE). Hay exclusiones tasadas (p. ej., usos militares o personales no profesionales), pero para empresa general, aplica.

Cómo clasifica el riesgo (y qué te exige cada nivel)

El AI Act adopta un enfoque basado en riesgo: cuanto mayor el impacto potencial, más obligaciones.

Riesgo inaceptable (prohibido)

Quedan vetadas prácticas como la manipulación cognitivo-conductual dañina, el “social scoring” por autoridades o el uso indiscriminado de biometría remota en espacios públicos (con excepciones acotadas y garantías). Estas prohibiciones se aplican desde el 2 de febrero de 2025.

Alto riesgo

Incluye, entre otros, IA para biometría, infraestructuras críticas, educación, empleo/RR. HH., servicios esenciales (banca, salud), aplicación de la ley o justicia. Exige un sistema de gestión de riesgos, calidad de datos, documentación técnica, supervisión humana, ciberseguridad, monitorización poscomercialización, marcado CE y, para muchos casos, registro en la base de datos de la UE. Los plazos se escalan entre 2026 y 2027 según el tipo.

Riesgo limitado

Obligaciones de transparencia: informar cuando una persona interactúa con IA, cuando el contenido es sintético (deepfakes) o cuando se usa reconocimiento de emociones o categorías biométricas en determinados contextos. Estas obligaciones empiezan en agosto de 2025.

Riesgo mínimo

La mayoría de software de uso general. Fomenta códigos de conducta y buenas prácticas, pero sin obligaciones duras del Reglamento.

Fechas clave para tu hoja de ruta

  • 2 de febrero de 2025Prohibiciones y alfabetización en IA. Revisa casos de uso y elimina cualquier práctica vetada.
  • 2 de agosto de 2025Gobernanza, transparencia y obligaciones GPAI (modelos de propósito general). Ajusta políticas, disclaimers, etiquetado de contenidos y contratos con proveedores de IA generativa.
  • 2 de agosto de 2026Aplicación plena del AI Act (salvo ciertas excepciones de alto riesgo integrado en productos regulados). Ten el programa de cumplimiento operativo.
  • 2 de agosto de 2027Extensión para alto riesgo integrado en productos regulados (marcado CE y obligaciones específicas). Planifica con antelación si fabricas o integras IA en esos productos.

Nota de actualidad (julio de 2025): pese a peticiones de prórroga por parte de grandes compañías, la Comisión ha confirmado que no habrá pausa en el calendario.

IA generativa y modelos de propósito general (GPAI)

Si tu empresa usa o integra modelos fundacionales (p. ej., LLMs), el AI Act trae reglas específicas:

  • Obligaciones de transparencia y documentación para proveedores de GPAI: fichas técnicas, límites de uso y soporte a integradores.
  • Respeto de derechos de autor y publicación de información relevante sobre el uso de contenidos protegidos.
  • Modelos con “riesgo sistémico” (una categoría que puede presumirse, entre otros criterios técnicos, cuando el entrenamiento supera 10²⁵ FLOPs): requieren gestión reforzada de riesgos, evaluaciones, ciberseguridad y notificación a la Comisión. Estas obligaciones empiezan en agosto de 2025.

Para desplegadores (usuarios empresariales), aunque el proveedor cumpla, no te exime: debes verificar idoneidad del caso de uso, informar a usuarios cuando proceda y asegurar supervisión humana y controles proporcionales.

Sanciones: cuánto te juegas

Las multas por incumplir el AI Act son relevantes:

  • Hasta 35 M€ o el 7 % del volumen de negocio mundial (el mayor) por prácticas prohibidas.
  • Hasta 15 M€ o el 3 % por incumplimientos de otras obligaciones.
  • Hasta 7,5 M€ o el 1,5 % por facilitar información incorrecta.

Más allá de la cifra, el riesgo reputacional y operativo es alto: retirada de sistemas, auditorías forzosas, impacto en confianza de clientes y en talento.

¿Qué cambia en España? Autoridades y convivencia normativa

España ha creado la AESIA (Agencia Española de Supervisión de la IA), con estatuto aprobado por RD 729/2023. AESIA asumirá funciones de vigilancia de mercado y coordinación nacional del marco del AI Act, en sintonía con otras autoridades (p. ej., AEPD para protección de datos) y reguladores sectoriales (CNMV/BdE, Sanidad, etc.).

Tu programa de cumplimiento debe encajar con el resto de normativa: GDPR, NIS2 (ciberseguridad), DSA/DMA (plataformas), consumo y reglas sectoriales (financiero, sanitario, movilidad). El AI Act no sustituye: se suma.

Plan de 90 días para ponerse en marcha

0–30 días: inventario y riesgo

  1. Inventario de IA: lista todos los sistemas/casos de uso (propios y de terceros). Incluye prompts, flujos y datos implicados.
  2. Clasificación preliminar: etiqueta cada caso como prohibido, limitado, alto o mínimo riesgo. Señala “GPAI” cuando aplique.
  3. Corta lo prohibido: verifica que no haya prácticas vetadas (p. ej., scoring social, scraping biométrico indiscriminado).

31–60 días: gobierno y controles

  1. Gobernanza: nombra un responsable de IA y crea un comité (Negocio, Datos, Tecnología, Legal, Riesgos, RR. HH.).
  2. Política de IA responsable: documentación mínima, criterios de supervisión humana, explicabilidad, seguridad y ciclo de vida.
  3. Controles de transparencia: prepara avisos a usuarios, etiquetado de contenido sintético, y guías internas para uso de IA generativa. Entra en juego en agosto de 2025.

61–90 días: proveedores y alto riesgo

  1. Gestión de terceros: renegocia contratos de IA para incluir declaración de conformidad, marcado CE si aplica, pruebas, seguridad y soporte.
  2. Alto riesgo: diseña el sistema de gestión de riesgos (datos, sesgos, robustez, ciberseguridad), documentación técnica y monitorización. Si tu sistema cae en Anexo III, planifica el registro.
  3. GPAI: solicita fichas técnicas y cumplimiento de derechos de autor a proveedores de modelos; revisa límites de uso y guías de integración. (Artificial Intelligence Act EU)

Áreas típicas de impacto en empresas españolas

Recursos Humanos

IA en selección y evaluación puede ser alto riesgo: deberás justificar variables, monitorizar sesgos y asegurar supervisión humana real (no “de pega”). Forma a recruiters en explicabilidad y decisiones informadas.

Marketing y contenidos

Si generas creativos o copys con IA, prepara avisos cuando sea necesario y etiqueta contenido sintético (deepfakes, voz, imagen). Ajusta flujos de aprobación con revisiones humanas.

Riesgo, compliance y financiero

Los modelos de detección de fraude, concesión de crédito o ** scoring de riesgos** suelen entrar en alto riesgo: exige trazabilidad, controles de datos, explicabilidad y marcado CE cuando aplique.

Industria y salud

Si integras IA en productos regulados (sanitario, automoción), el calendario se estira a 2027: coordina con el fabricante y planifica evaluación de conformidad.

Convierte el AI Act en ventaja competitiva

Cumplir el AI Act no va de “papeles”, va de confiabilidad: modelos mejor documentados, decisiones más explicables y usuarios que saben a qué atenerse. Empieza por inventariar, decide dónde quieres estar en agosto de 2025 y agosto de 2026, y construye un programa que te permita innovar sin sobresaltos. Desde MBIT School podemos ayudarte a diseñar tu hoja de ruta de cumplimiento, formar a tus equipos y evaluar casos de uso críticos.

Próximo paso recomendado: conviértelo en proyecto de 90 días —si quieres, te proponemos un workshop con tus áreas clave (Negocio, Datos, Legal y Tecnología) para aterrizar el plan en tu compañía.

Este artículo se basa en fuentes oficiales y actualizadas a 31 de julio de 2025, incluidas la Comisión Europea, EUR-Lex y documentación especializada. (Estrategia Digital Europea, EUR-Lex, whitecase.com, Artificial Intelligence Act EU, Artificial Intelligence Act EU, Artificial Intelligence Act EU, BOE, aesia.digital.gob.es, Reuters)

Regístrate
Icono de Google Maps
¡Estupendo! Tu solicitud ya se está procesando. Pronto tendrás noticias.
Oops! Ha ocurrido algún tipo de error.

Itinerarios formativos relacionados

¿Te ha interesado? Profundiza mucho más y dale un giro a tu carrera. Profesionales del sector y una comunidad increíble te están esperando.

Máster
Programa Experto
Curso
Especialista en el Reglamento Europeo de IA

Conviértete en AI Compliance Officer y garantiza la conformidad regulatoria de los sistemas de IA en tu organización.

60 horas
Octubre 2025
Presencial/Online
Máster
Programa Experto
Curso
Gobierno de Dato, de la IA y Espacios de Datos

Aprende las claves para entender, diseñar y ejecutar una estrategia de Gobierno del Dato, la IA y los Espacios de Datos dentro de tu organización.

6 meses
Octubre 2025
Presencial/Online
Máster
Programa Experto
Curso
Inteligencia Artificial

Conviértete en un experto en Inteligencia Artificial aplicada a los negocios y adquiere las competencias estratégicas y técnicas para construir soluciones de última generación

5 meses
Octubre 2025
Presencial/Online