La ley de IA en Europa para empresas ya no es una propuesta futura. El Reglamento UE 2024/1689, conocido como AI Act, entró en vigor el 1 de agosto de 2024 y su aplicación progresiva lleva más de un año generando obligaciones concretas para cualquier empresa que opere en la Unión Europea con sistemas de inteligencia artificial. Este artículo recoge las fechas exactas, las categorías de riesgo, las obligaciones específicas por tipo de empresa y las sanciones documentadas en el texto del reglamento.
La línea de tiempo que toda empresa debe conocer: cuatro fechas clave#
El AI Act no aplica todo a la vez. La regulación se despliega en fases. Cada fase activa un conjunto distinto de obligaciones para distintos tipos de sistemas.
1 de agosto de 2024: entrada en vigor El reglamento se publicó en el Diario Oficial de la UE el 12 de julio de 2024. A partir del 1 de agosto entró en vigor. En esta primera fase no aplica ningún requisito operativo: es el punto de partida del reloj regulatorio [Fuente: EUR-Lex / Official Journal EU, 2024].
2 de febrero de 2025: prohibiciones activas y alfabetización en IA Desde esta fecha están vigentes las prohibiciones sobre prácticas de IA inaceptables. Cualquier empresa que use un sistema de los prohibidos asume riesgo sancionador desde ese momento. También empezaron a aplicar los requisitos de alfabetización en IA para el personal que trabaja con estos sistemas.
2 de agosto de 2025: gobernanza, modelos GPAI y régimen sancionador A partir de agosto de 2025 aplican las obligaciones para modelos de IA de propósito general (GPAI), el marco de organismos de supervisión y, de forma relevante para las empresas, el régimen sancionador se hace plenamente ejecutable. La AESIA (Agencia Española de Supervisión de Inteligencia Artificial) asumió plena potestad sancionadora desde esta fecha [Fuente: artificialintelligenceact.eu, 2025].
2 de agosto de 2026: aplicación completa para sistemas de alto riesgo (Anexo III) La mayoría de las obligaciones sobre sistemas de alto riesgo entran en aplicación plena en agosto de 2026. Es la fecha que más afecta a las empresas que usan IA en RRHH, procesos de selección, scoring crediticio o análisis de comportamiento de clientes.
2 de agosto de 2027: sistemas de alto riesgo en productos regulados (Anexo I) Los sistemas de IA embebidos en productos que ya tienen normativa propia (maquinaria, dispositivos médicos, vehículos) tienen un plazo extendido hasta agosto de 2027 [Fuente: artificialintelligenceact.eu, 2025].
Las cuatro categorías de riesgo y qué significa cada una para tu empresa#
El AI Act clasifica todos los sistemas de IA en función del riesgo que representan para derechos fundamentales, salud y seguridad.
Riesgo inaceptable: prohibición total desde febrero de 2025
Los sistemas en esta categoría están directamente prohibidos. No se puede usar ninguno de ellos en la UE desde el 2 de febrero de 2025. Incluyen:
- Sistemas de puntuación social (social scoring) que evalúen comportamiento de personas fuera del contexto de la interacción.
- Reconocimiento de emociones en el lugar de trabajo y centros educativos.
- Identificación biométrica en tiempo real en espacios públicos para aplicación de la ley (con excepciones muy limitadas).
- Manipulación subliminal o técnicas que exploten vulnerabilidades de grupos específicos.
- Scraping masivo no selectivo de bases de datos faciales desde internet o CCTV [Fuente: EUR-Lex / Reglamento UE 2024/1689, 2024].
Si tu empresa usa alguno de estos sistemas, está en situación de infracción desde hace más de un año.
Riesgo alto: obligaciones de documentación y supervisión humana
Los sistemas de alto riesgo no están prohibidos, pero exigen un régimen de cumplimiento estricto. El Anexo III del reglamento lista ocho áreas donde el uso de IA se considera de alto riesgo:
| Área | Ejemplos concretos de sistemas de IA |
|---|---|
| Biometría | Verificación de identidad, categorización biométrica |
| Infraestructuras críticas | Gestión de redes eléctricas, agua, transporte |
| Educación y formación | Admisión, evaluación de estudiantes, detección de trampas |
| Empleo y RRHH | Selección de candidatos, evaluación del desempeño, gestión de turnos |
| Servicios esenciales | Scoring crediticio, evaluación de seguros, decisiones de salud |
| Aplicación de la ley | Evaluación de riesgo de reincidencia, predicción criminal |
| Migración y fronteras | Detección de riesgos, verificación de documentos |
| Justicia | Investigación de hechos, aplicación de la ley |
Las obligaciones para sistemas de alto riesgo incluyen: sistema documentado de gestión de riesgos, gobernanza de datos de entrenamiento y prueba, documentación técnica completa, registros automáticos de funcionamiento (logs), supervisión humana activa y registro en la base de datos europea de sistemas de IA de alto riesgo.
Riesgo limitado: obligaciones de transparencia
Los sistemas de riesgo limitado solo tienen que cumplir requisitos de transparencia: informar a los usuarios de que están interactuando con un sistema de IA. Aplica a chatbots, sistemas de generación de imágenes, deepfakes y contenido sintético. Si tu empresa usa un chatbot de atención al cliente, está en esta categoría y debe indicarlo activamente.
Riesgo mínimo: sin obligaciones adicionales
Los sistemas que no entran en las categorías anteriores tienen riesgo mínimo y no generan obligaciones directas bajo el AI Act. Ejemplos: filtros de spam, sistemas de recomendación en plataformas de entretenimiento, correctores ortográficos.
Qué aplica específicamente a las PYMES y qué excepciones existen#
El AI Act reconoce de forma explícita que las PYMES tienen menos capacidad de cumplimiento que las grandes corporaciones y establece medidas diferenciadas.
Reducción proporcional de sanciones: Para PYMES y startups, las multas se calculan tomando el menor importe entre el porcentaje de facturación y los importes fijos. Una empresa con 3 millones de euros de facturación anual enfrentaría como máximo 210.000 euros por la infracción más grave (7% de 3M), no los 35 millones del tope absoluto.
Acceso prioritario a sandboxes regulatorios: Los Estados Miembros deben garantizar que las PYMES y startups tengan acceso preferente a los entornos regulatorios de prueba (sandboxes) que permite el reglamento. España tiene previsto operativizar el sandbox de AESIA durante 2026.
Reducción de la carga documental: El reglamento prevé que los organismos supervisores ofrezcan plantillas simplificadas de documentación técnica para PYMES en el contexto de sistemas de alto riesgo.
Sin excepción sobre las prohibiciones: Las prohibiciones de sistemas de riesgo inaceptable aplican sin distinción de tamaño de empresa. Una PYME que use reconocimiento de emociones en su proceso de selección incumple el reglamento exactamente igual que una multinacional.
La realidad práctica para la mayoría de PYMES españolas es que sus sistemas de IA caen en riesgo mínimo o limitado: herramientas de marketing, CRMs con scoring predictivo básico, chatbots de atención al cliente. En esos casos, las obligaciones son menores. El riesgo aumenta cuando la empresa usa IA en decisiones sobre personas: contratación, crédito, evaluación de proveedores.
Las sanciones concretas del reglamento: tres tramos#
El régimen sancionador del AI Act establece tres niveles de multas según la gravedad de la infracción:
Infracciones de primer nivel (incumplimiento de obligaciones menores): Hasta 7,5 millones de euros o el 1% del volumen de negocio mundial anual, el que sea menor.
Infracciones de segundo nivel (incumplimiento de obligaciones de sistemas de alto riesgo): Hasta 15 millones de euros o el 3% del volumen de negocio mundial anual, el que sea menor.
Infracciones de tercer nivel (incumplimiento de prohibiciones absolutas): Hasta 35 millones de euros o el 7% del volumen de negocio mundial anual, el que sea menor [Fuente: Reglamento UE 2024/1689, Artículo 99, 2024].
La AESIA, con sede en A Coruña y presupuesto de 42 millones de euros para 2026, es la autoridad competente en España para supervisar e imponer estas sanciones. Opera con un cuerpo de inspección propio que inició supervisión de prácticas prohibidas desde febrero de 2025.
Qué tienen que hacer las empresas ahora mismo#
El calendario regulatorio ya está activo. Estas son las acciones concretas que una empresa española debe ejecutar antes de agosto de 2026:
1. Auditoría de sistemas de IA existentes Identificar todos los sistemas de IA que la empresa usa o despliega, incluyendo APIs de terceros integradas en productos propios. Clasificar cada uno según las cuatro categorías de riesgo del reglamento.
2. Verificar ausencia de prácticas prohibidas Confirmar que ningún sistema activo cae en la categoría de riesgo inaceptable. Si se detecta alguno, retirarlo de inmediato. Las prácticas prohibidas son sancionables desde febrero de 2025.
3. Implementar transparencia en sistemas de riesgo limitado Si la empresa usa chatbots, generadores de contenido u otras IA con las que interactúan personas, informar de forma activa y visible que se trata de un sistema de IA.
4. Documentar los sistemas de alto riesgo Para cualquier sistema de IA usado en RRHH, scoring financiero o decisiones que afecten a personas: iniciar la documentación técnica, el registro de logs y el sistema de gestión de riesgos.
5. Revisar contratos con proveedores de IA Si la empresa usa APIs de terceros (OpenAI, Google, Microsoft), verificar qué responsabilidades asume como operador. El reglamento distingue entre proveedor (quien crea el sistema) y operador (quien lo despliega). Las obligaciones se distribuyen entre ambos.
6. Formar al equipo en alfabetización en IA Los requisitos de AI literacy aplican desde febrero de 2025. El personal que trabaja con sistemas de IA debe recibir formación adecuada para entender el funcionamiento y los límites del sistema.
7. Seguir los códigos de conducta de la Comisión La Comisión Europea debía publicar los códigos de práctica para proveedores de modelos GPAI antes del 2 de mayo de 2025. Consultar y aplicar las directrices publicadas como hoja de ruta para sistemas basados en modelos de lenguaje.
Si quieres saber cómo DelegIA estructura el cumplimiento de IA en empresas que instalan infraestructura de inteligencia artificial, consulta nuestra página de contacto.