El Reglamento Europeo de Inteligencia Artificial (Reglamento (UE) 2024/1689), conocido como AI Act, es la primera legislación integral del mundo sobre inteligencia artificial. En España, se aplica directamente sin necesidad de transposición nacional. No es una recomendación ni una directiva: es una ley vinculante que ya está en vigor.
Para las empresas españolas, el impacto es concreto. Cualquier organización que desarrolle, importe, distribuya o simplemente utilice sistemas de IA queda sujeta a sus obligaciones. Y el reloj ya corre.
À retenir
- El AI Act es directamente aplicable en España desde agosto de 2024 — no requiere transposición
- El Artículo 4 obliga a formar en IA a todo el personal desde agosto de 2025
- AESIA, la autoridad española de supervisión, está operativa desde marzo de 2025 con sede en A Coruña
- Las sanciones alcanzan los 35 millones de euros o el 7 % de la facturación global anual
- España es pionera en la UE al ser uno de los primeros países con autoridad de supervisión designada
Lee también nuestra guía completa del AI Act — 7 capítulos detallados.
Qué es el AI Act y por qué afecta a las empresas españolas
El AI Act establece un marco regulatorio basado en niveles de riesgo para todos los sistemas de inteligencia artificial comercializados o utilizados en la Unión Europea. A diferencia del RGPD, que regula datos personales, el AI Act regula los propios sistemas de IA — su diseño, su comercialización y su uso.
Para las empresas españolas, esto tiene una consecuencia directa: cada herramienta de IA que utilizáis — desde un chatbot de atención al cliente hasta un modelo de scoring crediticio — queda regulada. La clasificación de riesgo determina el nivel de obligaciones, pero hay una obligación que afecta a todas las empresas: la formación del personal.
82%
de las empresas españolas no han iniciado ningún plan de adaptación al AI Act
Source : Fundación Cotec, Informe IA y empresa 2025
Calendario de aplicación: plazos clave
Fechas clave del AI Act (resumen 2024-2030)
Fecha Hito 1 ago 2024 AI Act publicado en el DOUE 2 feb 2025 Sistemas prohibidos: aplicación inmediata 2 ago 2025 Artículo 4 (alfabetización IA) + GPAI: en vigor 2 ago 2026 Sistemas de alto riesgo del Anexo III: obligatorios 2 ago 2027 Sistemas de alto riesgo del Anexo I: obligatorios 31 dic 2030 Fin del régimen transitorio para sistemas legacy
El AI Act se aplica de forma escalonada. Cada fecha supone nuevas obligaciones:
| Fecha | Obligación |
|---|---|
| Agosto 2024 | Entrada en vigor del Reglamento |
| Febrero 2025 | Prohibición de prácticas de IA inaceptables (manipulación subliminal, scoring social, vigilancia biométrica masiva) |
| Agosto 2025 | Artículo 4: obligación de competencias en IA para todo el personal |
| Agosto 2025 | Obligaciones para proveedores de modelos de uso general (GPAI) |
| Agosto 2026 | Obligaciones completas para sistemas de IA de alto riesgo |
| Agosto 2027 | Obligaciones para IA integrada en productos regulados (maquinaria, dispositivos médicos) |
La fecha más crítica para la mayoría de las empresas es agosto de 2025: a partir de ese momento, toda organización que utilice herramientas de IA debe poder demostrar que ha formado a su personal.
Artículo 4: la obligación universal de formación
El Artículo 4 del AI Act es la disposición que más empresas desconocen — y la primera que entra en vigor de forma universal. Su alcance es amplio: aplica a todos los proveedores y operadores de sistemas de IA, independientemente del nivel de riesgo.
El texto exige que las organizaciones adopten medidas para garantizar un «nivel suficiente de competencias en materia de IA» entre su personal y las personas que operen sistemas de IA en su nombre.
En la práctica, esto significa que si vuestra empresa usa ChatGPT, Copilot, Gemini, herramientas de automatización con IA o cualquier otro sistema basado en inteligencia artificial, debéis:
- Formar al personal que utiliza estas herramientas — no basta con una comunicación interna
- Adaptar la formación al contexto de uso y al puesto de trabajo
- Documentar las acciones formativas realizadas — evidencia de cumplimiento
- Cubrir los riesgos clave: alucinaciones, sesgos, privacidad
Las sanciones por incumplimiento del Artículo 4 alcanzan los 15 millones de euros o el 3 % de la facturación global anual. Si vuestra empresa utiliza herramientas de IA y no ha implementado un programa de formación, estáis en situación de incumplimiento desde agosto de 2025.
Un curso de formación en IA para empresas adaptado a vuestro sector es el mínimo exigible. Para pymes, los requisitos se aplican de forma proporcional, pero la obligación sigue siendo la misma — consulta nuestra guía de IA para pymes.
AESIA: la autoridad española de supervisión
España ha sido pionera en la UE al designar su autoridad nacional de supervisión antes de que el Reglamento lo exigiese. La Agencia Española de Supervisión de Inteligencia Artificial (AESIA), con sede en A Coruña, está operativa desde marzo de 2025.
Funciones de AESIA
- Supervisión del cumplimiento del AI Act en todo el territorio español
- Investigación y sanción de infracciones — capacidad inspectora propia
- Orientación a empresas mediante guías y herramientas de autoevaluación
- Coordinación con la Oficina Europea de IA (AI Office) en Bruselas
- Cooperación con otros organismos nacionales: AEPD, CNMC, INCIBE, Banco de España
En enero de 2026, AESIA publicó una guía de autoevaluación con 40 preguntas que permite a las empresas identificar su nivel de cumplimiento. Es un recurso gratuito y un buen punto de partida, pero no sustituye la implementación real de medidas.
AESIA trabaja en coordinación con la AEPD y otros reguladores sectoriales. Una infracción del AI Act puede desencadenar investigaciones cruzadas — por ejemplo, un sistema de IA que vulnere el AI Act y el RGPD simultáneamente puede ser sancionado por ambos organismos.
Clasificación de riesgos: cuatro niveles
El AI Act clasifica los sistemas de IA en cuatro niveles. Identificar dónde se sitúan vuestras herramientas es esencial:
Riesgo inaceptable (prohibido): Manipulación subliminal del comportamiento, scoring social por parte de autoridades públicas, identificación biométrica en tiempo real en espacios públicos. Prohibidos desde febrero de 2025.
Alto riesgo: Sistemas de IA en ámbitos sensibles — recursos humanos, crédito y seguros, educación, sector público, migración, administración de justicia. Requieren evaluación de conformidad, documentación técnica, supervisión humana y registro en la base de datos de la UE.
Riesgo limitado: Chatbots, sistemas de generación de contenido, deepfakes. Obligaciones de transparencia: el usuario debe saber que interactúa con una IA.
Riesgo mínimo: La mayoría de aplicaciones empresariales (filtros de spam, recomendaciones, asistentes de productividad). Sin obligaciones específicas más allá del Artículo 4.
35 Mio. €
sanción máxima por prácticas de IA prohibidas — o el 7 % de la facturación global anual
Source : AI Act, Artículo 99
Sanciones: un régimen con dientes
El régimen sancionador del AI Act es severo y proporcional al tipo de infracción:
| Infracción | Sanción máxima |
|---|---|
| Uso de prácticas prohibidas | 35 millones € o 7 % facturación global |
| Incumplimiento de obligaciones de alto riesgo | 15 millones € o 3 % facturación global |
| Incumplimiento del Artículo 4 (formación) | 15 millones € o 3 % facturación global |
| Información incorrecta a las autoridades | 7,5 millones € o 1 % facturación global |
Para pymes y startups, las sanciones se ajustan proporcionalmente, pero siguen siendo significativas. AESIA tiene potestad para imponer medidas cautelares, requerir la retirada de sistemas del mercado y publicar resoluciones sancionadoras.
Plan de acción en 6 pasos
1. Inventariar todos los sistemas de IA
Haced un censo de todas las herramientas de IA en uso — oficiales y no oficiales. El shadow AI (uso no autorizado de herramientas de IA) afecta al 50-70 % de las empresas. No podéis cumplir con lo que no conocéis.
2. Clasificar cada sistema por nivel de riesgo
Aplicad la clasificación del AI Act. La mayoría de empresas operan con riesgo mínimo o limitado, pero sistemas de scoring financiero, selección de personal o decisiones automatizadas pueden caer en alto riesgo.
3. Formar al personal — Artículo 4
Implementad un programa de formación en IA que cubra: funcionamiento básico de los sistemas utilizados, riesgos, buenas prácticas y política interna. Documentad cada acción formativa.
4. Establecer una política de uso de IA
Definid reglas claras: qué herramientas están autorizadas, qué datos pueden procesarse, quién es responsable. Un marco de gobernanza de IA es imprescindible.
5. Preparar la conformidad para sistemas de alto riesgo
Si operáis sistemas de alto riesgo, empezad ya con la documentación técnica, la evaluación de conformidad y los mecanismos de supervisión humana. El plazo es agosto de 2026.
6. Designar un responsable de cumplimiento
Nombrad a una persona o equipo que coordine el cumplimiento del AI Act. AESIA recomienda que este rol sea independiente del departamento de IT para garantizar objetividad.
Cómo Brain ayuda a las empresas españolas
Brain es la plataforma de preparación en IA diseñada para el cumplimiento del AI Act. Módulos cortos y prácticos adaptados a cada puesto de trabajo. Formación en español, personalizada por sector y documentación automática del progreso — la evidencia que necesitáis para demostrar el cumplimiento del Artículo 4 ante AESIA.
Más de 200 empresas europeas ya utilizan Brain para formar a sus equipos en el uso responsable de la inteligencia artificial.
Artículos relacionados
AI Act España: guía rápida para empresas
Reglamento IA para empresas españolas — plazos, sanciones, Artículo 4, AESIA y los pasos concretos para cumplir hoy.
Gobernanza IA empresarial: marco práctico y AI Act
Implemente un marco de gobernanza IA en su empresa. Política, evaluación de riesgos, auditoría y formación para cumplir con el AI Act.
IA y privacidad de datos: guía RGPD y AI Act 2026
Cumple con RGPD y AI Act en tus proyectos de IA. Evaluaciones de impacto, consentimiento y obligaciones ante la AEPD explicados paso a paso.