Checklist de cumplimiento del AI Act para empresas españolas
Resumen en 3 frases: 35 puntos de verificación para autoevaluar el grado de cumplimiento del AI Act en tu empresa, agrupados en 7 bloques temáticos con indicación de prioridad (crítica, alta, media) y plazo de ejecución. Está pensado para que un responsable de RRHH o compliance sin conocimiento técnico previo pueda identificar gaps y construir un plan de adopción en 90 días. Los puntos marcados como críticos son obligaciones ya exigibles desde febrero de 2025 o que entrarán en vigor en agosto de 2026.
Última actualización: 17 de abril de 2026 · Autora: Ana María González · Directora de CiberAula · Uso: Imprimir o duplicar en Excel/Google Sheets. Cada punto tiene su propia casilla. · Licencia: CC BY-SA 4.0 — libre uso con atribución
Cómo usar este checklist
Cada punto tiene tres indicadores:
- 🔴 Crítico — obligación ya exigible o que entra en vigor en los próximos 6 meses. Incumplimiento sancionable de forma inmediata.
- 🟡 Alto — obligación exigible más adelante o indirectamente crítica. Incumplimiento con alto riesgo reputacional o jurídico.
- 🟢 Medio — buena práctica altamente recomendable aunque no estrictamente exigible.
Para cada punto, marca su estado: ✅ Cumplido — 🟠 En proceso — ❌ Pendiente — ⚪ No aplica.
El objetivo realista para una PYME española a fecha de abril de 2026 es tener todos los puntos críticos en verde y la mayoría de los altos al menos en proceso. Los medios se pueden abordar en el segundo semestre del año.
Bloque 1: Inventario y clasificación de sistemas IA
Sin inventario no puedes cumplir nada. Es el primer paso ineludible.
| # | Punto | Prioridad | Plazo |
|---|---|---|---|
| 1 | Identificados todos los sistemas IA usados por la empresa, incluyendo ChatGPT, Claude, Copilot, Gemini, chatbots, ATS, herramientas de análisis con IA. | 🔴 Crítico | Mes 1 |
| 2 | Identificado el “shadow AI”: uso no autorizado de IA por parte de empleados con sus propias cuentas. | 🔴 Crítico | Mes 1 |
| 3 | Inventario incluye herramientas integradas (IA embebida en CRM, ERP, herramientas de marketing, correo). | 🟡 Alto | Mes 1 |
| 4 | Clasificación por nivel de riesgo AI Act para cada sistema: inaceptable, alto, limitado, mínimo. | 🔴 Crítico | Mes 2 |
| 5 | Identificación de sistemas prohibidos (nivel inaceptable) si existen — con retirada inmediata. | 🔴 Crítico | Inmediato |
| 6 | Inventario documentado y actualizado al menos trimestralmente. | 🟢 Medio | Continuo |
Bloque 2: Formación del personal (artículo 4)
Obligación ya exigible desde el 2 de febrero de 2025.
| # | Punto | Prioridad | Plazo |
|---|---|---|---|
| 7 | Identificados perfiles profesionales con exposición a IA (directa o indirecta). | 🔴 Crítico | Mes 1 |
| 8 | Plan formativo diseñado con contenidos adaptados por perfil (empleados generalistas, usuarios intensivos, mandos, IT, dirección, DPO). | 🔴 Crítico | Mes 2 |
| 9 | Proveedor de formación seleccionado (interno acreditado o entidad externa FUNDAE). | 🔴 Crítico | Mes 2 |
| 10 | Formación impartida con duración mínima adecuada al perfil (4h generalista, 10-15h usuarios intensivos, 20-30h IT). | 🔴 Crítico | Mes 3 |
| 11 | Certificados de aprovechamiento emitidos y archivados para cada empleado. | 🔴 Crítico | Mes 3 |
| 12 | Formación también a autónomos y colaboradores externos que actúan en nombre de la empresa con IA. | 🟡 Alto | Mes 3 |
| 13 | Plan de reciclaje formativo definido (bianual recomendado, anual para equipos IT). | 🟢 Medio | Continuo |
Bloque 3: Gobernanza y política interna
La parte organizativa que cierra el círculo de cumplimiento.
| # | Punto | Prioridad | Plazo |
|---|---|---|---|
| 14 | Política interna de uso de IA elaborada y firmada por dirección. | 🔴 Crítico | Mes 2 |
| 15 | Cada empleado ha firmado la política de uso de IA y la tiene accesible. | 🔴 Crítico | Mes 2 |
| 16 | Responsable del cumplimiento IA designado (puede ser DPO, compliance officer, CIO). | 🔴 Crítico | Mes 1 |
| 17 | Comité de gobernanza IA constituido si la empresa tiene más de 50 empleados o usa sistemas de alto riesgo. | 🟡 Alto | Mes 2 |
| 18 | Procedimiento de escalado definido para decisiones críticas sobre IA. | 🟢 Medio | Mes 3 |
Bloque 4: Protección de datos personales y RGPD
La intersección crítica entre AI Act y RGPD.
| # | Punto | Prioridad | Plazo |
|---|---|---|---|
| 19 | EIPD (Evaluación de Impacto en Protección de Datos) realizada para cada sistema IA que trate datos personales a gran escala o con riesgo elevado. | 🔴 Crítico | Mes 2 |
| 20 | Contratos con proveedores de IA revisados con cláusulas de no-entrenamiento sobre datos corporativos, borrado a demanda, ubicación geográfica de servidores. | 🔴 Crítico | Mes 2 |
| 21 | Procedimiento documentado para responder a derechos RGPD aplicados a sistemas IA (especialmente artículo 22: decisiones automatizadas). | 🟡 Alto | Mes 2 |
| 22 | Cláusula informativa actualizada en procesos con componente IA (selección de personal, atención cliente, scoring crediticio). | 🟡 Alto | Mes 2 |
| 23 | Análisis de transferencias internacionales si se usan LLMs de proveedores extra-UE. | 🟡 Alto | Mes 2 |
Bloque 5: Transparencia con usuarios externos
Obligaciones de nivel de riesgo limitado, exigibles para empresas que interactúan con clientes o público.
| # | Punto | Prioridad | Plazo |
|---|---|---|---|
| 24 | Chatbots y asistentes virtuales se identifican claramente como IA desde el primer mensaje. | 🔴 Crítico | Inmediato |
| 25 | Contenido generado por IA (textos, imágenes, vídeos) se etiqueta cuando pueda confundirse con contenido humano. | 🔴 Crítico | Inmediato |
| 26 | Deepfakes y contenido sintético claramente marcados incluso si se usan con fines legítimos (formación, marketing). | 🔴 Crítico | Inmediato |
| 27 | Política de transparencia publicada en la web sobre qué procesos usan IA en la relación con clientes. | 🟢 Medio | Mes 3 |
Bloque 6: Sistemas de alto riesgo (si aplica — agosto 2026)
Solo aplica si tu empresa usa sistemas clasificados como alto riesgo: selección de personal con IA, credit scoring, evaluación educativa, etc.
| # | Punto | Prioridad | Plazo |
|---|---|---|---|
| 28 | Sistema de gestión de riesgos documentado para cada sistema de alto riesgo. | 🟡 Alto | Agosto 2026 |
| 29 | Supervisión humana genuina implementada y documentada (no mera validación formal). | 🟡 Alto | Agosto 2026 |
| 30 | Documentación técnica completa del sistema (capacidades, limitaciones, datos de entrenamiento, métricas de rendimiento). | 🟡 Alto | Agosto 2026 |
| 31 | Conservación de registros (logs) automatizada con trazabilidad mínima de 2 años. | 🟡 Alto | Agosto 2026 |
| 32 | FRIA (Evaluación de Impacto en Derechos Fundamentales) realizada cuando corresponda. | 🟡 Alto | Agosto 2026 |
| 33 | Registro del sistema en la base de datos europea gestionada por AESIA. | 🟡 Alto | Agosto 2026 |
Bloque 7: Respuesta a incidentes y continuidad
Preparación para cuando algo vaya mal (y algo va a ir mal).
| # | Punto | Prioridad | Plazo |
|---|---|---|---|
| 34 | Procedimiento de respuesta a incidentes IA documentado (qué hacer si un LLM expone datos, un sistema toma una decisión errónea, etc.). | 🟡 Alto | Mes 3 |
| 35 | Plan de actualización normativa con monitorización de novedades del AI Act, AESIA y AEPD. | 🟢 Medio | Continuo |
Cómo interpretar tu resultado
Cuenta los puntos marcados como ✅ Cumplido en cada bloque.
Perfil A: Empresa en situación crítica
Menos de 10 puntos cumplidos en total, y puntos críticos incumplidos.
- Estado: riesgo sancionador inminente si hay inspección o denuncia.
- Acción: plan de choque urgente en los próximos 90 días centrado en los puntos críticos. Empezar por el Bloque 1 (inventario), Bloque 2 (formación urgente bonificada FUNDAE) y Bloque 3 (política firmada).
- Recursos: contar con asesoría externa especializada es muy recomendable.
Perfil B: Empresa en cumplimiento parcial
Entre 10 y 25 puntos cumplidos, con la mayoría de puntos críticos en proceso o cumplidos.
- Estado: cumplimiento básico en marcha. Posición defensiva aceptable ante inspección.
- Acción: cerrar puntos críticos pendientes y avanzar hacia los altos. Fijar plan a 90 días.
- Recursos: asesoría legal puntual para revisión, formación bonificada para completar artículo 4.
Perfil C: Empresa en cumplimiento avanzado
Entre 25 y 30 puntos cumplidos, todos los críticos en verde.
- Estado: cumplimiento robusto. Posición muy favorable ante cualquier inspección.
- Acción: completar puntos altos pendientes y abordar los medios.
- Recursos: revisión anual por asesoría externa para mantener cumplimiento vigente.
Perfil D: Empresa modelo
Más de 30 puntos cumplidos con documentación completa.
- Estado: referente en cumplimiento. Puede usarlo como diferencial comercial.
- Acción: mantener vigilancia continua, actualizar con cambios normativos, compartir buenas prácticas con el sector.
Descargable
Este checklist se puede copiar como tabla en Excel o Google Sheets para hacer seguimiento. Una versión descargable en formato .xlsx con celdas para marcar estado, fecha de cumplimiento y responsable, está disponible en el repositorio CiberAula: checklist_ai_act.xlsx.
Recursos relacionados
- 📘 El AI Act explicado para empresas españolas — guía general del reglamento.
- 📗 El artículo 4 en detalle — obligación de alfabetización.
- 📕 AESIA y AEPD: competencias en IA — quién supervisa qué.
- 📋 Plantilla de política de uso de IA — modelo firmable.
- 📋 Plantilla de registro de sistemas IA — inventario.
- 🎓 Formación bonificada FUNDAE para cumplir el artículo 4
Publicado bajo licencia CC BY-SA 4.0. Libre uso con atribución a CiberAula y enlace a www.ciberaula.com.
© 2026 Ana María González · Directora de CiberAula · Formación online para empresas desde 1996.