El Reglamento Europeo de Inteligencia Artificial (Reglamento (UE) 2024/1689), conocido como AI Act, entró en vigor el 1 de agosto de 2024 y sus disposiciones se aplican por fases hasta agosto de 2027. No es una directiva que requiera transposición: es directamente aplicable en todos los Estados miembros, incluida España.
Para las empresas españolas, esto significa que las obligaciones ya están vigentes y los plazos son inminentes. Según un estudio de la Fundación Cotec (2025), solo el 18 % de las empresas españolas ha iniciado un plan de adaptación al AI Act. El 82 % restante afronta un riesgo regulatorio creciente.
Este artículo explica qué exige el Reglamento, cuáles son los plazos clave, qué papel juega la Agencia Española de Supervisión de Inteligencia Artificial (AESIA) y qué pasos concretos debe dar vuestra empresa.
À retenir
- El AI Act se aplica directamente en España — no requiere transposición nacional
- Desde agosto de 2025, el Artículo 4 obliga a todas las empresas a garantizar competencias en IA de su personal
- AESIA es la autoridad nacional de supervisión, operativa desde marzo de 2025
- Las sanciones alcanzan los 35 millones de euros o el 7 % de la facturación global
Lee también nuestra guía completa del AI Act — 7 capítulos detallados.
Calendario de aplicación: las fechas que importan
El AI Act se aplica de forma escalonada. Las fechas clave para las empresas españolas:
| Fecha | Obligación |
|---|---|
| Febrero 2025 | Prohibición de prácticas de IA inaceptables (manipulación subliminal, scoring social, etc.) |
| Agosto 2025 | Artículo 4: obligación de competencias en IA para todo el personal que utilice sistemas de IA |
| Agosto 2025 | Obligaciones para proveedores de modelos de IA de uso general (GPAI) |
| Agosto 2026 | Obligaciones completas para sistemas de IA de alto riesgo |
| Agosto 2027 | Obligaciones para sistemas de IA integrados en productos regulados |
82%
de las empresas españolas no han iniciado ningún plan de adaptación al AI Act
Source : Fundación Cotec, Informe IA y empresa 2025
Artículo 4: la obligación que ya está en vigor
El Artículo 4 es la primera disposición que afecta a todas las empresas, independientemente del riesgo de sus sistemas de IA. Su texto es claro: los proveedores y operadores de sistemas de IA deben adoptar medidas para garantizar un «nivel suficiente de competencias en materia de IA» entre su personal y demás personas que se encarguen del funcionamiento y la utilización de sistemas de IA en su nombre.
En la práctica, esto significa que toda empresa española que utilice ChatGPT, Copilot, Gemini o cualquier otra herramienta de IA debe poder demostrar que ha formado a sus empleados. No basta con una comunicación interna o una guía en la intranet: el Reglamento exige medidas activas de formación.
El Artículo 4 se aplica desde el 2 de agosto de 2025. Si vuestra empresa utiliza herramientas de IA y no ha implementado ningún programa de formación, ya estáis en situación de incumplimiento. Las sanciones por violación del Artículo 4 pueden alcanzar los 15 millones de euros o el 3 % de la facturación global anual.
¿Qué cubre una formación conforme al Artículo 4? El Reglamento no prescribe un formato específico, pero sí exige que la formación sea proporcional al contexto de uso. Para la mayoría de las empresas, esto implica:
- Comprensión básica del funcionamiento de los sistemas de IA utilizados
- Conocimiento de los riesgos asociados (alucinaciones, sesgos, privacidad)
- Competencias prácticas para el uso seguro y eficaz de las herramientas
- Conocimiento de la política de uso de IA de la empresa
AESIA: la autoridad española de supervisión
España ha sido uno de los primeros países de la UE en designar su autoridad nacional de supervisión del AI Act. La Agencia Española de Supervisión de Inteligencia Artificial (AESIA), con sede en A Coruña, es operativa desde marzo de 2025.
Las funciones de AESIA incluyen:
- Supervisión del cumplimiento del AI Act en territorio español
- Investigación de denuncias y posibles infracciones
- Imposición de sanciones en caso de incumplimiento
- Orientación a empresas sobre la aplicación del Reglamento
- Coordinación con la Oficina Europea de IA (AI Office) en Bruselas
AESIA ha publicado en enero de 2026 una guía de autoevaluación para empresas, disponible en su sitio web. La guía incluye un cuestionario de 40 preguntas que permite a las organizaciones evaluar su nivel de cumplimiento y priorizar las acciones necesarias.
AESIA trabaja en coordinación con otros organismos españoles relevantes: la AEPD (protección de datos), la CNMC (competencia), el INCIBE (ciberseguridad) y los reguladores sectoriales (Banco de España, CNMV, etc.). Una infracción del AI Act puede desencadenar investigaciones cruzadas por parte de varios organismos.
Clasificación de riesgo: ¿dónde se sitúa vuestra empresa?
El AI Act clasifica los sistemas de IA en cuatro niveles de riesgo:
Riesgo inaceptable (prohibido): Manipulación subliminal, scoring social, vigilancia biométrica masiva en tiempo real. Prohibidos desde febrero de 2025.
Alto riesgo: Sistemas de IA utilizados en ámbitos sensibles: recursos humanos (selección, evaluación), crédito, seguros, educación, servicios públicos esenciales, migración, administración de justicia. Estas aplicaciones requieren evaluación de conformidad, documentación técnica, supervisión humana y registro en la base de datos de la UE.
Riesgo limitado: Chatbots, deepfakes, sistemas de generación de contenido. Obligaciones de transparencia: el usuario debe saber que interactúa con una IA o que el contenido ha sido generado por IA.
Riesgo mínimo: La mayoría de las aplicaciones de IA (filtros de spam, recomendaciones de contenido, asistentes de productividad). Sin obligaciones específicas, salvo el Artículo 4 de competencias.
35 Mio. €
sanción máxima por uso de prácticas de IA prohibidas — o el 7 % de la facturación global anual
Source : AI Act, Artículo 99
Pasos concretos para el cumplimiento
1. Inventariar vuestros sistemas de IA
El primer paso es saber qué herramientas de IA se utilizan en la organización. No solo las oficiales: también las que los empleados usan por iniciativa propia (shadow AI). Según estudios recientes, entre el 50 y el 70 % del uso de IA en empresas es no declarado.
2. Clasificar el riesgo de cada sistema
Aplicad la clasificación del AI Act a cada herramienta. La mayoría de las empresas descubrirá que usa sistemas de riesgo mínimo o limitado, pero algunas aplicaciones (selección de personal, scoring de clientes) pueden caer en la categoría de alto riesgo.
3. Formar a vuestro personal
Es la obligación más inmediata y la que más empresas incumplen. Un curso de formación en IA adaptado al contexto de vuestra empresa es el mínimo exigible desde agosto de 2025.
4. Establecer una política de uso de IA
Definid qué está permitido, qué está prohibido, qué datos pueden procesarse y quién es responsable. Documentad la política y comunicadla a toda la organización.
5. Preparar la documentación para sistemas de alto riesgo
Si utilizáis sistemas de IA clasificados como alto riesgo, empezad ahora a preparar la documentación técnica, la evaluación de conformidad y los mecanismos de supervisión humana. El plazo es agosto de 2026.
6. Designar un responsable de IA
Nombrad a una persona o equipo encargado de coordinar el cumplimiento del AI Act en la organización. AESIA recomienda que este rol sea independiente del departamento de IT.
Formar a vuestros equipos con Brain
Brain es la plataforma de formación en IA diseñada para el cumplimiento del AI Act. Módulos cortos, prácticos y adaptados a cada puesto de trabajo. Documentación automática del progreso formativo — la evidencia que necesitáis para demostrar el cumplimiento del Artículo 4 ante AESIA.
El resultado: una organización preparada para la regulación, con equipos competentes y un marco de cumplimiento sólido.
Artículos relacionados
AI Act España: obligaciones + plazos (2026)
Reglamento IA para empresas españolas: plazos, AESIA, Artículo 4, sanciones hasta 35M€ y plan de acción paso a paso.
Gobernanza IA empresarial: marco práctico y AI Act
Implemente un marco de gobernanza IA en su empresa. Política, evaluación de riesgos, auditoría y formación para cumplir con el AI Act.
IA y privacidad de datos: guía RGPD y AI Act 2026
Cumple con RGPD y AI Act en tus proyectos de IA. Evaluaciones de impacto, consentimiento y obligaciones ante la AEPD explicados paso a paso.