El reglamento europeo de IA no empieza en agosto de 2026. Lleva activo desde 2024, y las novedades de la ley de IA de mayo de 2026 te colocan a 90 días de la fecha de cumplimiento más exigente para cualquier empresa que use sistemas de IA en contratación, crédito, atención al cliente o análisis de rendimiento. Este artículo resume qué está ya en vigor, qué entra en tres meses y qué tiene que hacer tu empresa ahora para no llegar tarde.
El calendario completo del AI Act: dónde estamos en mayo de 2026#
El Reglamento (UE) 2024/1689 entró en vigor el 1 de agosto de 2024. Desde entonces, las obligaciones se han ido activando por fases. Esta es la situación actual:
| Fase | Fecha | Estado | Qué obliga |
|---|---|---|---|
| Entrada en vigor | 1 agosto 2024 | Activo | El reglamento es derecho vigente en toda la UE |
| Fase 1 | 2 febrero 2025 | Activo | Prohibición de prácticas no admisibles. Obligación de alfabetización en IA para el personal (art. 4) |
| Fase 2 | 2 agosto 2025 | Activo | Reglas de gobernanza y obligaciones para modelos GPAI (GPT, Claude, Llama y similares) |
| Fase 3 | 2 agosto 2026 | Pendiente | Cumplimiento completo de sistemas de alto riesgo del Anexo III: conformidad, documentación técnica, logging, registro en base de datos UE |
| Fase 4 | 2 agosto 2027 | Pendiente | IA integrada en productos regulados: maquinaria, dispositivos médicos, vehículos |
Qué está ya exigible en mayo de 2026#
Antes de hablar de agosto, conviene recordar lo que no es opcional desde hace más de un año.
Desde el 2 de febrero de 2025, toda empresa que opere en la Unión Europea tiene dos obligaciones activas.
La primera es la prohibición de prácticas de IA no admisibles. No puedes usar sistemas que manipulen de forma subliminal el comportamiento de personas, que ejecuten scoring ciudadano o social, ni que realicen identificación biométrica en tiempo real en espacios públicos. AESIA, la Agencia Española de Supervisión de la Inteligencia Artificial, ejerce facultades sancionadoras en este ámbito desde agosto de 2025. Su cuerpo de inspección inició operaciones de supervisión sobre prácticas prohibidas desde el 2 de febrero de 2025 [Fuente: AESIA, Ministerio de Transformación Digital, 2025].
La segunda es la alfabetización en IA. El artículo 4 del reglamento exige que tu personal tenga un nivel suficiente de comprensión sobre los sistemas de IA que usa la empresa, con formación documentada por roles. No es una recomendación: es una obligación vigente que AESIA puede auditar.
Desde el 2 de agosto de 2025, además, los proveedores de modelos de propósito general (GPAI) deben cumplir con requisitos de transparencia técnica y documentación. Si tu empresa integra modelos como GPT o Claude en productos que comercializa, parte de esa cadena de responsabilidad te alcanza.
Las obligaciones de transparencia del artículo 50 llevan activas desde agosto de 2024: si tienes un chatbot con IA en tu web o en atención al cliente, tienes que informar al usuario de que está interactuando con un sistema de IA. El contenido generado por IA que pueda inducir a confusión debe estar etiquetado. Los deepfakes requieren marcadores de identificación explícitos.
Qué entra el 2 de agosto de 2026: la carga más grande para las empresas#
El 2 de agosto de 2026 es el plazo que más empresas están ignorando. Ese día se activan las obligaciones completas para los sistemas de IA de alto riesgo del Anexo III del reglamento.
¿Qué significa "alto riesgo"? El reglamento no clasifica la tecnología, sino el contexto de uso. Un sistema es de alto riesgo si toma decisiones o asiste en decisiones que afectan de forma significativa a personas en áreas como empleo, crédito, educación, infraestructuras críticas o seguridad pública.
Las obligaciones que entran ese día son [Fuente: Comisión Europea, Reglamento (UE) 2024/1689, 2024]:
Un sistema documentado de gestión de riesgos, actualizado durante todo el ciclo de vida del sistema. Gobernanza de datos rigurosa: los datos de entrenamiento, validación y prueba deben ser representativos, relevantes y estar documentados. Documentación técnica completa del sistema y sus componentes. Registro automático de eventos durante el funcionamiento, con retención mínima de 6 meses. Mecanismos efectivos de supervisión humana, no solo formal. Evaluación de conformidad antes de poner el sistema en servicio. Marcado CE y registro obligatorio en la base de datos de la UE para sistemas de alto riesgo.
Para sistemas usados por organismos públicos o en el ámbito de acceso a servicios esenciales, se exige también una evaluación de impacto sobre derechos fundamentales.
Hay una variable a tener en cuenta: la Comisión Europea propuso a finales de 2025 un paquete "Digital Omnibus" que podría retrasar parte de las obligaciones del Anexo III hasta diciembre de 2027. En mayo de 2026, esa negociación sigue abierta. Planificar sobre la base del retraso es un riesgo operativo que ninguna empresa debería asumir. Lo prudente es trabajar con agosto de 2026 como fecha firme.
Cuatro casos que afectan directamente a empresas medianas en España#
Criba de CVs con IA: alto riesgo con obligaciones concretas
Si usas un sistema de IA para filtrar candidatos, ordenar solicitudes o puntuar perfiles en un proceso de selección, ese sistema cae en la categoría de alto riesgo bajo el Anexo III. Las obligaciones concretas que recaen sobre ti como empresa que lo despliega: seguir estrictamente las instrucciones del proveedor, asignar a una persona con criterio técnico real para supervisar las decisiones, monitorizar el funcionamiento y suspender el uso si detectas resultados discriminatorios o sesgados. Además, debes informar a los candidatos de que un sistema de IA participa en su evaluación.
No basta con haber contratado un servicio de RRHH con "IA incluida". Tienes que verificar que el proveedor cumple con sus obligaciones como proveedor y poder demostrarlo. La cadena de responsabilidad no se corta al pagar la factura del proveedor.
Scoring de clientes y decisiones de crédito: también en el Anexo III
Los sistemas que evalúan solvencia, determinan el acceso a crédito o clasifican a clientes por riesgo financiero están en el Anexo III. El reglamento exige que las personas afectadas puedan solicitar explicación de la decisión tomada y que haya supervisión humana efectiva, no solo un botón de revisión que nadie usa en la práctica.
Si tu empresa usa plataformas de scoring de clientes de terceros, los contratos necesitan revisión. La responsabilidad se comparte entre proveedor y desplegador: "lo compramos hecho" no te exime de tus obligaciones.
Chatbots con IA generativa: transparencia ya exigible desde 2024
Las obligaciones de transparencia llevan activas desde agosto de 2024. Si tienes un agente de atención al cliente basado en IA generativa, el usuario debe saber que está hablando con un sistema de IA. Esta no es una novedad de agosto de 2026: es una obligación que lleva ya casi dos años activa y que muchas empresas todavía no han implementado correctamente.
Las infraestructuras de IA empresariales bien diseñadas integran la capa de transparencia desde el inicio, no como parche posterior a la auditoría. Añadirlo a un sistema ya desplegado es más costoso y más lento que diseñarlo desde el primer día.
IA en decisiones sobre empleados: más alcance del que parece
La evaluación de rendimiento automatizada, la asignación de tareas basada en perfiles o los sistemas que determinan condiciones laborales con apoyo de IA entran en la categoría de alto riesgo. Muchas empresas tienen estas herramientas integradas en plataformas de gestión sin haberlas clasificado formalmente. El primer paso, en todos los casos, es el inventario completo de qué sistemas de IA afectan a decisiones sobre personas.
Lo que debe hacer una empresa mediana española antes de agosto: 8 acciones#
Si todavía no has comenzado, no estás solo, pero estás en el margen de tiempo útil. Estas son las acciones urgentes para los próximos 90 días:
1. Inventario completo de sistemas de IA. Documenta todos los sistemas que usa tu empresa: cuáles son de terceros, cuáles internos, qué decisiones toman o asisten. Incluye herramientas de RRHH, CRM con scoring, chatbots, sistemas de evaluación de rendimiento y cualquier proceso donde intervenga un modelo de IA.
2. Clasificación por nivel de riesgo. Aplica la tipología del reglamento: prohibido, alto riesgo, riesgo limitado, riesgo mínimo. AESIA publica guías de clasificación y opera un sandbox regulatorio de consulta.
3. Revisión de contratos con proveedores. Para sistemas de alto riesgo de terceros, necesitas saber qué obligaciones asume el proveedor como tal y cuáles quedan contigo como desplegador. Si el proveedor no puede responder, es una señal de alerta.
4. Documentación técnica por sistema de alto riesgo. Qué hace el sistema, con qué datos opera, quién lo supervisa, qué límites conocidos tiene. No tiene que ser un documento de 200 páginas, pero sí tiene que existir y estar actualizado.
5. Designar responsables de supervisión humana. No vale con que "haya un equipo". Tiene que haber personas con nombre, rol y criterio técnico asignadas a revisar las decisiones de cada sistema de alto riesgo. La supervisión humana efectiva es uno de los requisitos más auditados.
6. Configurar el sistema de logging. Los sistemas de alto riesgo deben registrar eventos de forma automática con retención mínima de 6 meses. Si el proveedor no lo ofrece de forma nativa, necesitas una solución complementaria.
7. Documentar la formación del equipo. Nombre, fecha, contenido. El artículo 4 lo exige de forma explícita. Un correo enviado o una sesión sin registro no cuenta como evidencia ante AESIA.
8. Preparar el registro en la base de datos UE. Cuando el sistema esté listo para operar, el registro en la base de datos europea de sistemas de alto riesgo es obligatorio antes del despliegue, no después.
Para empresas que están diseñando su arquitectura de IA en este momento, abordar el proceso de implementar inteligencia artificial en una empresa con criterio estructural desde el principio ahorra semanas de remontada regulatoria posterior. La capa de cumplimiento no es un módulo que se añade al final: es parte de la arquitectura.
Las sanciones: porcentajes sobre facturación total, no sobre el sistema de IA#
El reglamento establece tres niveles de sanción. La base de cálculo es el volumen de negocio mundial anual de la empresa, no el coste del sistema ni el beneficio del proceso afectado [Fuente: Reglamento (UE) 2024/1689, artículos 99-101, 2024]:
Para prácticas prohibidas: hasta 35 millones de euros o el 7% del volumen de negocio mundial anual, el mayor de los dos.
Para incumplimiento de obligaciones de sistemas de alto riesgo y otras disposiciones: hasta 15 millones de euros o el 3% del volumen de negocio mundial anual.
Para facilitar información incorrecta o incompleta a las autoridades supervisoras: hasta 7,5 millones de euros o el 1,5% del volumen de negocio.
El GDPR demostró que las multas de cumplimiento digital en Europa se ejecutan. El AI Act replica ese modelo de aplicación territorial con alcance extra-territorial similar al del GDPR: cualquier organización, independientemente de su ubicación, debe cumplir si sus sistemas de IA se usan en la UE o producen efectos sobre residentes europeos.
Para una empresa que factura 5 millones de euros anuales, un incumplimiento de obligaciones de alto riesgo puede suponer hasta 150.000 euros de sanción. No es un riesgo teórico.
AESIA: el regulador español que ya opera con plenas facultades#
La Agencia Española de Supervisión de la Inteligencia Artificial es el organismo público responsable del cumplimiento del reglamento europeo de IA en España. España fue el primer país de la UE en crear un organismo dedicado específicamente a la supervisión de IA, antes de que el reglamento entrara en vigor.
AESIA opera bajo el Ministerio de Transformación Digital. Sus competencias incluyen la evaluación de riesgos de sistemas de IA, la emisión de recomendaciones técnicas y éticas, la coordinación con autoridades europeas y la supervisión activa de prácticas prohibidas, área en la que ya tiene facultades sancionadoras plenas desde agosto de 2025.
En abril de 2026, AESIA presentó su Laboratorio de Ideas en el Pazo de Mariñan, con un comité asesor de unos treinta expertos de ámbitos académico, empresarial y sindical. La agencia también opera un sandbox regulatorio donde empresas pueden probar sistemas de IA antes de su despliegue [Fuente: AESIA, MuyComputerPro, 2026].
Para empresas en España, AESIA es el interlocutor oficial en caso de auditoría, consulta sobre clasificación de riesgos o denuncia de terceros. Si tienes dudas sobre si un sistema concreto cae en la categoría de alto riesgo, la consulta directa a AESIA antes de agosto es la vía más segura.
Si quieres entender cómo encaja la capa regulatoria con la gestión empresarial con IA de forma estructurada y no como parche de cumplimiento, ese es el marco antes de entrar en los detalles técnicos del reglamento.
Si quieres saber cómo DelegIA instala esta infraestructura con la capa de cumplimiento incorporada desde el primer día, contacta con nosotros.