El AI Act explicado para empresas españolas: guía completa 2026

Resumen en 3 frases: El Reglamento (UE) 2024/1689, conocido como AI Act, obliga a toda empresa española que use inteligencia artificial —incluidos LLMs como ChatGPT, Claude o Copilot— a cumplir unas obligaciones que se despliegan en fases entre 2025 y 2027. La obligación más inmediata es el artículo 4, ya en vigor desde febrero de 2025: el personal debe tener un nivel suficiente de alfabetización en IA. Las sanciones alcanzan los 35 millones de euros o el 7% de la facturación anual mundial; la AESIA y la AEPD son los organismos encargados de supervisarlo en España.

Última actualización: 17 de abril de 2026 · Autora: Ana María González · Directora de Ciberaula · Más de dos décadas en formación corporativa · Licencia: CC BY-SA 4.0 — libre uso con atribución

---

Índice

1. Qué es el AI Act y por qué te afecta aunque no desarrolles IA
2. Calendario de aplicación: qué está en vigor ya y qué viene
3. Clasificación por niveles de riesgo: dónde está tu empresa
4. El artículo 4: la obligación que ya es exigible en 2026
5. Obligaciones concretas por tipo de empresa
6. Organismos supervisores en España: AESIA, AEPD y otros
7. Sanciones: hasta dónde pueden llegar
8. Plan de adopción en 90 días
9. Preguntas frecuentes
10. Recursos oficiales

---

1. Qué es el AI Act y por qué te afecta aunque no desarrolles IA

El Reglamento (UE) 2024/1689, conocido oficialmente como Reglamento de Inteligencia Artificial y popularmente como AI Act, es la primera ley integral del mundo sobre IA. Fue aprobado el 13 de junio de 2024, publicado en el Diario Oficial de la Unión Europea (DOUE) y entró en vigor el 1 de agosto de 2024.

La mayoría de los responsables de empresas pequeñas y medianas españolas piensan que esto no les afecta. Se equivocan. El AI Act establece dos perfiles de empresa sujetos a la normativa:

• Proveedores de IA: empresas que desarrollan, diseñan o comercializan sistemas de IA. Por ejemplo, una consultora que construye un modelo propio de clasificación de clientes.
• Responsables del despliegue (también llamados “operadores” o “deployers”): empresas que usan sistemas de IA en su actividad, aunque los haya desarrollado un tercero. Incluye el uso de ChatGPT, Claude, Copilot, Gemini u otro LLM comercial en procesos de la empresa.

Si tu empresa usa cualquier herramienta de IA generativa —ya sea una licencia corporativa de ChatGPT, Copilot integrado en Microsoft 365, un chatbot de atención al cliente, una plataforma de selección de personal con IA o una herramienta de análisis automatizado de facturas—, eres responsable del despliegue y el AI Act te afecta.

Qué cambia para las empresas españolas

El AI Act introduce, entre otras cosas:

• Prohibición de ciertas prácticas de IA (manipulación subliminal, puntuación social, identificación biométrica masiva en espacios públicos).
• Requisitos estrictos para sistemas clasificados como de “alto riesgo” (por ejemplo, IA en procesos de selección de personal, evaluación crediticia, educación).
• Obligaciones de transparencia para sistemas que interactúan con personas (chatbots que se identifican como IA, contenido generado por IA etiquetado).
• Obligación de alfabetización en IA para todo el personal que trabaje con estos sistemas (artículo 4).
• Documentación, supervisión humana, gestión de riesgos y auditoría para casos de alto riesgo.

---

2. Calendario de aplicación: qué está en vigor ya y qué viene

El AI Act se aplica de manera escalonada. Este es el calendario oficial confirmado:

Fecha	Qué entra en vigor	Estado a abril 2026
1 agosto 2024	Entrada en vigor del reglamento	✅ En vigor
2 febrero 2025	Prácticas prohibidas (capítulo II) + alfabetización IA (artículo 4)	✅ En vigor — ya exigible
2 agosto 2025	Obligaciones para proveedores de modelos IA de uso general (GPAI)	✅ En vigor
2 agosto 2026	Sistemas de alto riesgo (RRHH, crédito, educación, infraestructura crítica) + gobernanza completa	⏳ En 4 meses
2 agosto 2027	Sistemas de alto riesgo en productos regulados (sanidad, maquinaria, juguetes)	⏳ Futuro

La fecha crítica inmediata para la mayoría de empresas es el 2 de febrero de 2025, que ya pasó. El artículo 4 sobre alfabetización en IA no es una obligación futura: es exigible desde hace más de un año. Muchas empresas españolas no son conscientes de que ya están en situación de incumplimiento.

La siguiente fecha crítica es el 2 de agosto de 2026: si tu empresa usa IA en procesos de recursos humanos, selección de personal, evaluación de clientes para crédito o cualquier otro caso clasificado como de alto riesgo, ese día entran en vigor obligaciones muy concretas que requieren documentación, supervisión humana, evaluación de conformidad y registro.

---

3. Clasificación por niveles de riesgo: dónde está tu empresa

El AI Act clasifica los sistemas de IA en cuatro niveles según el riesgo que suponen para los derechos fundamentales y la seguridad. Tus obligaciones dependen del nivel.

Nivel 1: Riesgo inaceptable (prohibidos)

Sistemas prohibidos en toda la UE desde febrero de 2025. Ninguna empresa puede desarrollarlos, comercializarlos ni utilizarlos. Incluyen:

• Sistemas de puntuación social generalizada por autoridades públicas.
• IA que explota vulnerabilidades (edad, discapacidad, situación socioeconómica) para manipular comportamientos.
• Reconocimiento de emociones en el lugar de trabajo o centros educativos (con excepciones médicas o de seguridad).
• Categorización biométrica para inferir raza, opinión política, orientación sexual, religión u otros datos sensibles.
• Identificación biométrica remota “en tiempo real” en espacios de acceso público con fines policiales (con excepciones muy restrictivas).

Si detectas un sistema de este tipo en tu empresa, hay que retirarlo inmediatamente.

Nivel 2: Alto riesgo

Sistemas que pueden causar daño significativo a la salud, seguridad o derechos fundamentales. Listados explícitamente en el anexo III del reglamento. Los más relevantes para empresas son:

• Selección y gestión de personal: filtrado de CVs, evaluaciones, promociones, asignación de tareas.
• Evaluación crediticia y análisis de solvencia de clientes.
• Acceso a servicios esenciales (seguros, sanidad privada, servicios públicos).
• Sistemas usados en educación y formación profesional que influyan en itinerarios del alumno.
• IA aplicada a infraestructura crítica (energía, transporte, agua).
• Sistemas de aplicación de la ley.

Si tu empresa usa un ATS (Applicant Tracking System) con IA para filtrar candidatos, tiene probablemente un sistema de alto riesgo. Las obligaciones incluyen gestión de riesgos, supervisión humana, documentación técnica, conservación de registros, información a usuarios y evaluación de conformidad antes del despliegue.

Nivel 3: Riesgo limitado

Sistemas que interactúan con personas y requieren obligaciones de transparencia, pero no alto riesgo. Incluyen:

• Chatbots que conversan con clientes: deben identificarse claramente como IA, no pueden aparentar ser humanos.
• Contenido generado por IA (textos, imágenes, vídeos, audios): debe etiquetarse como tal, especialmente si puede confundirse con contenido humano (deepfakes, imágenes realistas).
• Sistemas de categorización biométrica no prohibidos.

La obligación principal es transparencia: el usuario debe saber que interactúa con una IA o que un contenido ha sido generado artificialmente.

Nivel 4: Riesgo mínimo

Todo lo demás: filtros anti-spam, corrección ortográfica, videojuegos con IA, recomendadores básicos. No hay obligaciones específicas, aunque se fomenta la adopción voluntaria de códigos de conducta.

La mayoría de empresas españolas están en múltiples niveles

Una empresa mediana típica española usa hoy:

• ChatGPT / Claude / Copilot para productividad → nivel mínimo (pero sujeto al artículo 4).
• Un chatbot en la web → nivel limitado (transparencia obligatoria).
• Un ATS con filtrado automático de CVs → alto riesgo (obligaciones completas desde agosto 2026).
• Análisis predictivo de ventas → nivel mínimo.

Primer paso ineludible: hacer inventario de todos los sistemas de IA que usa la empresa y clasificarlos por nivel de riesgo. Sin ese inventario es imposible cumplir nada.

---

4. El artículo 4: la obligación que ya es exigible en 2026

De todas las obligaciones del AI Act, el artículo 4 es la que tiene impacto más inmediato sobre la mayoría de empresas españolas, y la menos conocida. Está en vigor desde el 2 de febrero de 2025 y tiene un texto sorprendentemente breve para la carga que impone:

Los proveedores y responsables del despliegue de sistemas de IA adoptarán medidas para garantizar que, en la mayor medida posible, su personal y demás personas que se encarguen en su nombre del funcionamiento y la utilización de sistemas de IA tengan un nivel suficiente de alfabetización en materia de IA, teniendo en cuenta sus conocimientos técnicos, su experiencia, su educación y su formación, así como el contexto previsto de uso de los sistemas de IA y las personas o los colectivos de personas en que se van a utilizar dichos sistemas.

Traducido al castellano de empresa: si alguien de tu equipo usa ChatGPT o cualquier otra IA en su trabajo, tu empresa tiene obligación legal de formarle adecuadamente.

Qué significa “alfabetización suficiente en IA”

El reglamento no lo especifica con detalle técnico (eso es intencional para adaptarse a distintos contextos), pero por interpretación de la Comisión Europea y las autoridades nacionales, implica que el personal debe comprender:

• Qué es la IA y cómo funciona a nivel básico: la diferencia entre un LLM y un algoritmo tradicional, qué es una alucinación, por qué los modelos pueden equivocarse.
• Los riesgos específicos del uso de IA en su contexto laboral: leak de datos confidenciales, sesgos, dependencia excesiva, responsabilidad.
• Las limitaciones de la herramienta concreta que usa: hasta dónde llega ChatGPT, qué no debe hacerse nunca con ella.
• Cuándo y cómo supervisar las salidas de la IA: no copiar-pegar sin revisar, verificar datos antes de tomar decisiones.
• Consecuencias éticas y legales: RGPD aplicado a IA, propiedad intelectual, transparencia con clientes.

Qué tiene que hacer tu empresa para cumplir

1. Formar a todo el personal que use sistemas de IA, adaptado a su nivel y contexto.
2. Documentar que la formación se ha impartido (quién, cuándo, qué contenidos, resultados de evaluación).
3. Mantener la formación actualizada conforme evolucionan las herramientas y la normativa.
4. Designar responsables del programa de alfabetización IA dentro de la empresa.
5. Poder acreditarlo ante una inspección: el artículo 4 exige que el cumplimiento sea “demostrable”.

Un PDF enviado por correo interno no es formación acreditable. Una charla de 15 minutos sin evaluación tampoco. El estándar mínimo aceptado es una acción formativa estructurada con evaluación final y certificado.

Financiación

La formación exigida por el artículo 4 es bonificable con el sistema FUNDAE en los porcentajes correspondientes al tamaño de la empresa. Los detalles operativos (crédito, porcentajes, plazos, comunicaciones) están en nuestra Guía completa de formación bonificada FUNDAE.

---

5. Obligaciones concretas por tipo de empresa

Lo que tu empresa tiene que hacer depende de tres variables: si desarrolla IA o solo la usa, el nivel de riesgo de los sistemas implicados y el tamaño de la empresa. Simplifico en la tabla siguiente los escenarios más comunes para empresas españolas:

Escenario	Obligación principal	Plazo
PYME usa ChatGPT/Claude/Copilot en productividad general	Artículo 4 (alfabetización IA)	Ya exigible
PYME usa chatbot con IA en web/atención cliente	Art. 4 + transparencia (identificar como IA)	Ya exigible
Empresa usa ATS con IA para selección de personal	Alto riesgo: gestión completa	2 agosto 2026
Empresa del sector financiero usa IA para credit scoring	Alto riesgo: gestión completa	2 agosto 2026
Empresa desarrolla IA para terceros	Obligaciones de proveedor según riesgo	Según fase
Empresa publica contenido generado por IA (imágenes, vídeos, textos)	Etiquetado como generado por IA	Ya exigible

Para alto riesgo (aplicable desde agosto 2026)

Si cae en esta categoría, las obligaciones son sustanciales y requieren planificación. Las resumo:

1. Sistema de gestión de riesgos documentado y actualizado a lo largo de todo el ciclo de vida del sistema de IA.
2. Gobernanza de datos: calidad, representatividad, anonimización, gestión de sesgos en los datos de entrenamiento y uso.
3. Documentación técnica completa del sistema (qué hace, cómo funciona, límites, riesgos identificados, mitigaciones).
4. Conservación de registros (logs) automatizada que permita trazabilidad completa.
5. Transparencia con los usuarios del sistema: información clara sobre capacidades, limitaciones y riesgos.
6. Supervisión humana: mecanismos que permitan que una persona supervise, intervenga o revierta las decisiones del sistema.
7. Robustez, precisión y ciberseguridad técnicamente documentadas.
8. Evaluación de conformidad antes del despliegue. Para algunos sistemas requiere intervención de un organismo notificado.
9. Registro en la base de datos europea de sistemas IA de alto riesgo.
10. Evaluación de impacto en derechos fundamentales (FRIA) para determinados casos, obligatoria desde agosto 2026.

Esto no se improvisa. Una empresa que descubra en julio de 2026 que tiene un sistema de alto riesgo tendrá un problema serio para cumplir a tiempo.

---

6. Organismos supervisores en España: AESIA, AEPD y otros

El AI Act establece un sistema de supervisión en dos capas: europea (Oficina de IA de la Comisión Europea) y nacional. En España, la supervisión recae principalmente en:

AESIA — Agencia Española de Supervisión de la Inteligencia Artificial

Creada por el Real Decreto 729/2023, con sede en A Coruña. Es la autoridad nacional de referencia para el AI Act. Sus competencias incluyen:

• Supervisar la aplicación del AI Act en sistemas no cubiertos por otros reguladores sectoriales.
• Coordinar con otras autoridades (AEPD, CNMV, Banco de España, reguladores sectoriales).
• Gestionar los espacios controlados de pruebas (sandboxes regulatorios).
• Imponer sanciones administrativas por incumplimientos.
• Publicar guías interpretativas.

AEPD — Agencia Española de Protección de Datos

Autoridad de referencia cuando los sistemas de IA procesan datos personales, que es prácticamente siempre en el mundo empresarial. Aplica tanto el RGPD como el AI Act en la intersección entre ambos. Para sistemas que procesen datos personales, AEPD y AESIA coordinan su actuación.

Otros reguladores sectoriales

• Banco de España y CNMV en sistemas IA del sector financiero.
• SEPBLAC en prevención de blanqueo.
• Sanidad en IA aplicada a dispositivos médicos o procesos sanitarios.
• CNMC en cuestiones de competencia relacionadas.

Cómo se relaciona una empresa con estos organismos

Para la mayoría de empresas, la interacción será reactiva: solo si hay una denuncia, una inspección rutinaria o un incidente. Pero en caso de inspección, la empresa debe poder mostrar:

• Inventario de sistemas de IA utilizados y su clasificación de riesgo.
• Registro de formación impartida al personal (artículo 4).
• Política interna de uso de IA.
• Documentación técnica de sistemas de alto riesgo (cuando aplique).
• Registros de incidentes.

La ausencia de cualquiera de estos elementos es ya hoy motivo de expediente sancionador.

---

7. Sanciones: hasta dónde pueden llegar

El AI Act establece un régimen sancionador con tres niveles, asimilables al del RGPD pero con cuantías superiores en los casos más graves.

Tipo de infracción	Sanción máxima
Uso de sistemas IA prohibidos (nivel 1)	35 millones € o 7% de la facturación anual mundial (lo mayor de ambos)
Incumplimiento de obligaciones de sistemas de alto riesgo y otras	15 millones € o 3%
Información incorrecta a autoridades	7,5 millones € o 1,5%

Para PYMES y startups, las sanciones se aplican de forma proporcional, pero eso no significa que sean simbólicas. Hay que contar también con:

• Daño reputacional: aparecer como sancionado por mal uso de IA afecta a la relación con clientes corporativos, especialmente grandes empresas que tienen sus propios requisitos de compliance.
• Pérdida de contratos: muchas licitaciones públicas y privadas ya exigen declaración de cumplimiento AI Act al proveedor.
• Retirada del mercado del sistema de IA no conforme, con coste operativo elevado.
• Responsabilidad civil por daños causados a terceros.

Las primeras sanciones se esperan a lo largo de 2026, una vez que AESIA complete su estructura operativa. La agencia ya ha anunciado que tiene 23 investigaciones preliminares abiertas.

---

8. Plan de adopción en 90 días

Si tu empresa está hoy sin hacer nada respecto al AI Act, este es un plan realista para llegar al 2 de agosto de 2026 en condiciones de cumplimiento. Requiere dedicación seria pero es abordable.

Mes 1: Inventario y clasificación

• Semana 1: formar un equipo interno (responsable de IA + RRHH + legal + IT).
• Semana 2: identificar todos los sistemas de IA usados en la empresa, incluidos los no autorizados (shadow AI).
• Semana 3: clasificar cada sistema por nivel de riesgo del AI Act.
• Semana 4: priorizar — qué sistemas necesitan atención urgente.

Mes 2: Documentación y política

• Semana 5: elaborar la política de uso de IA de la empresa (quién puede usar qué, qué datos nunca se meten, supervisión humana requerida).
• Semana 6: diseñar el plan formativo para cumplir artículo 4, adaptado a perfiles profesionales.
• Semana 7: documentar sistemas de alto riesgo existentes (gestión de riesgos, trazabilidad, supervisión humana).
• Semana 8: crear el registro interno de sistemas de IA y de formaciones impartidas.

Mes 3: Formación y despliegue

• Semana 9-10: impartir la formación a la plantilla, adaptada por perfiles. Bonificable con el crédito FUNDAE de la empresa.
• Semana 11: revisión interna — ¿qué nos falta documentar? ¿Qué sistemas hay que modificar?
• Semana 12: informe de situación a dirección, plan de mantenimiento y hitos para agosto 2026.

Este plan requiere entre 40 y 120 horas de dedicación acumulada según el tamaño de la empresa. La formación del personal es bonificable con FUNDAE.

---

9. Preguntas frecuentes

¿Me afecta el AI Act si tengo una empresa de 5 personas?

Sí. El AI Act no distingue por tamaño para la mayoría de obligaciones. El artículo 4 sobre alfabetización IA se aplica igual a una empresa de 3 empleados que a una multinacional. Lo que sí se adapta al tamaño son los requisitos documentales y las sanciones (proporcionales).

Uso ChatGPT Plus personal con mi cuenta, ¿es problema de mi empresa?

Si lo usas para tareas profesionales, sí. La empresa es responsable del despliegue aunque la licencia sea personal. De hecho, esto es “shadow AI” y es uno de los riesgos que detecta el AI Act. Hay que formalizar y, si procede, pasar a una licencia corporativa con las garantías adecuadas.

¿Tengo que informar a mis clientes cuando use IA?

Depende. Si el contenido que reciben está generado por IA (emails, informes, imágenes) sin modificación humana significativa, sí debes etiquetarlo como tal. Si un chatbot atiende al cliente, debe identificarse como IA. En procesos internos sin impacto externo, no hay obligación explícita de informar al cliente.

¿Puedo seguir usando herramientas IA estadounidenses (ChatGPT, Claude) en Europa?

Sí. El AI Act no prohíbe el uso de herramientas extranjeras. Lo que regula es su uso en el mercado europeo: los proveedores extranjeros deben cumplir los requisitos del AI Act para comercializar en la UE (cosa que hacen OpenAI, Anthropic, Google, Microsoft). Tu obligación como empresa usuaria es la alfabetización y supervisión humana.

¿Tengo que contratar un “responsable de IA” específico?

El reglamento no obliga a crear una figura formal, pero sí exige que alguien sea responsable del cumplimiento. En PYMES suele asignarse al responsable de cumplimiento, al DPO (Delegado de Protección de Datos) o al CIO. Lo importante es que haya una persona identificable con esa responsabilidad.

Si uso Copilot en Microsoft 365, ¿ya estoy cumpliendo?

No. Microsoft cumple sus obligaciones como proveedor (transparencia, documentación del modelo, etc.), pero tú como usuario corporativo tienes que cumplir las tuyas: alfabetización del personal, política interna de uso, supervisión humana, clasificación de riesgo si integras Copilot en procesos de alto riesgo (por ejemplo, filtrado de CVs). El hecho de que el proveedor cumpla no te exime.

¿Cuándo llegarán las primeras sanciones reales?

AESIA ha indicado tener 23 investigaciones preliminares abiertas. Las primeras sanciones materiales se esperan a lo largo de 2026, especialmente centradas en casos flagrantes (sistemas prohibidos no retirados, incumplimiento grave de transparencia en chatbots, ausencia total de alfabetización).

¿Las normas ISO/IEC sobre IA (42001, 23894) cumplen el AI Act?

Son complementarias, pero no equivalentes. La certificación ISO/IEC 42001 ayuda a estructurar un sistema de gestión de IA y facilita la evidencia de cumplimiento, pero no sustituye el cumplimiento específico de las obligaciones legales del AI Act. Para PYMES españolas, normalmente es desproporcionado certificarse en ISO; basta con un sistema de gestión básico documentado.

---

10. Recursos oficiales

Textos normativos (fuentes primarias)

• Texto oficial del Reglamento (UE) 2024/1689 en EUR-Lex: eur-lex.europa.eu/legal-content/ES/ALL/?uri=CELEX:32024R1689
• Referencia en BOE (DOUE-L-2024-81079): boe.es/buscar/doc.php?id=DOUE-L-2024-81079
• AI Act Explorer (navegación interactiva en español): artificialintelligenceact.eu/es/ai-act-explorer

Autoridades

• AESIA — Agencia Española de Supervisión de la IA: aesia.gob.es (cuando disponible)
• AEPD — Agencia Española de Protección de Datos: aepd.es
• Oficina Europea de IA: digital-strategy.ec.europa.eu

Recursos del ecosistema Ciberaula

• 📘 Guía completa de formación bonificada FUNDAE — cómo funciona el crédito que cubre esta formación.
• 📗 La Biblia de la Formación Bonificada — serie editorial con 19 artículos sobre FUNDAE.
• 🎓 Cursos bonificados sobre AI Act y uso responsable de IA — catálogo de Ciberaula con certificación válida para el artículo 4.

Otros documentos de este repositorio

• El artículo 4 en detalle: alfabetización IA obligatoria
• Competencias de AESIA y AEPD en IA
• Checklist de cumplimiento AI Act — 30 puntos
• Plantilla de política de uso de IA en la empresa
• Plantilla de registro interno de sistemas IA

---

Este documento es informativo. No constituye asesoría legal. Para casos específicos, especialmente sistemas clasificables como de alto riesgo, consulta con un especialista jurídico en AI Act y protección de datos.

Publicado bajo licencia CC BY-SA 4.0. Libre uso con atribución a Ciberaula y enlace a www.ciberaula.com.

© 2026 Ana María González · Directora de Ciberaula · Formación online para empresas desde 1997.