EU AI Act: qué significa para una empresa que despliega IA

La mayoría de las empresas que hoy despliegan IA dan por sentado que la regulación no les afecta — que el EU AI Act es cosa de las grandes tecnológicas que desarrollan modelos. Esa suposición es incorrecta. Si su empresa opera, integra o redistribuye un sistema de IA, usted es parte desplegadora (deployer) en el sentido del reglamento, y tiene obligaciones legales propias. El incumplimiento puede acarrear una multa de hasta el 3 % del volumen de negocios anual global o 15 millones de euros, lo que sea mayor.

Este artículo no es asesoramiento jurídico, y la interpretación de algunas disposiciones todavía está sujeta a precisión. Es un mapa de orientación práctico: dónde se sitúa usted desde el punto de vista del EU AI Act, qué exige la mayoría de los despliegues de alto riesgo, y qué verificar antes de poner un proyecto en producción.

Cuándo y qué ha entrado en vigor

El EU AI Act es un reglamento de la UE — aplica directamente en todos los estados miembros, sin necesidad de transposición nacional. Entró en vigor en agosto de 2024, pero las obligaciones se introducen de forma escalonada:

• Febrero de 2025: Prohibición de sistemas de IA con riesgo inaceptable (técnicas manipuladoras, puntuación social ciudadana, identificación biométrica en tiempo real en espacios públicos).
• Agosto de 2025: Obligaciones para los proveedores de modelos GPAI (modelos de uso general, como los grandes modelos de lenguaje) y publicación del Código de Conducta. A partir de esta fecha comienza también el régimen sancionador.
• Agosto de 2026: Entrada en vigor de la mayoría de las disposiciones restantes — incluidas las obligaciones para los sistemas de IA de alto riesgo. Este es el plazo que afecta a la mayor parte de los despliegues B2B.

Si hoy está desplegando IA en áreas de infraestructura crítica, RRHH, control de acceso, educación o sanidad — tiene hasta agosto de 2026 para prepararse. No es mucho tiempo.

Las cuatro categorías de riesgo — dónde se encuentra usted

El EU AI Act clasifica los sistemas de IA en categorías según el riesgo. La categoría determina qué obligaciones son aplicables.

Riesgo inaceptable — aplicaciones prohibidas. Se incluyen los sistemas de puntuación social de ciudadanos por parte del Estado, las técnicas manipuladoras que explotan estímulos subliminales y la identificación biométrica en tiempo real en espacios públicos. Para los despliegues industriales B2B, esta categoría es por regla general irrelevante.

Alto riesgo (high-risk) — la regulación más estricta para los sistemas permitidos. El Anexo III del reglamento enumera taxativamente los ámbitos: identificación biométrica, infraestructura crítica (energía, agua, transporte), educación (admisión, evaluación), empleo y RRHH (contratación, evaluación del rendimiento, despido), acceso a servicios privados y públicos esenciales (scoring en créditos, llamadas de emergencia), aplicación de la ley, gestión de la migración, administración de justicia. Un chatbot de atención al cliente generalmente no es high-risk — pero un chatbot que triaja solicitudes médicas o decide sobre la denegación de un préstamo puede serlo.

Riesgo limitado — obligaciones de transparencia. Los sistemas que interactúan con personas (chatbots) o sintetizan contenido (deepfake, texto generado por IA) deben estar claramente etiquetados. El usuario debe saber que está interactuando con IA, salvo que sea evidente por el contexto.

Riesgo mínimo — sin obligaciones especiales. La gran mayoría de aplicaciones de IA B2B (procesamiento de documentos, analítica predictiva, sistemas de recomendación) pertenecen a esta categoría — siempre que no cumplan los criterios de las categorías superiores.

Delimitación práctica: Si su sistema de IA interviene en decisiones que tienen efectos jurídicos o análogamente significativos sobre personas físicas, o si opera en los ámbitos del Anexo III — realice la clasificación. Si trabaja exclusivamente con analítica de datos interna sin impacto sobre personas físicas, probablemente está en riesgo mínimo.

Obligaciones de la parte desplegadora en sistemas de alto riesgo

El artículo 26 del EU AI Act define las obligaciones del deployer — es decir, de la empresa que opera un sistema de alto riesgo aunque no lo haya desarrollado. Puntos clave:

Medidas técnicas y organizativas. Debe implantar medidas adecuadas para garantizar el uso correcto e intencionado del sistema de conformidad con las instrucciones del proveedor. Esto incluye configuración, derechos de acceso y supervisión.

Supervisión humana (human oversight). En los sistemas de alto riesgo, debe garantizar que un ser humano competente revise y verifique los resultados de la IA antes de adoptar cualquier medida con impacto sobre una persona física. No basta con que el sistema tenga un botón de "override" — la persona revisora debe tener las competencias necesarias y la posibilidad real de cambiar la decisión. En entornos industriales esto implica definir roles responsables y documentar el procedimiento.

Monitorización. Debe monitorizar el comportamiento del sistema en producción, identificar riesgos y anomalías. Si detecta que el sistema funciona de forma distinta a la prevista, tiene la obligación de informar al proveedor. Este es un argumento sólido para considerar la observabilidad de agentes de IA y los evals no como algo opcional, sino como un elemento obligatorio por cumplimiento.

Registros y logs. En los sistemas de alto riesgo debe conservar logs de operación en un alcance que permita auditorías post-hoc. Los períodos de retención dependen del sector. Si el sistema de IA toma decisiones en RRHH o servicios financieros — los logs son material probatorio.

Notificación a los interesados. Las personas físicas afectadas por una decisión de un sistema de IA de alto riesgo tienen derecho a saber que se ha utilizado IA. En la práctica esto implica comunicación en los procesos (por ejemplo, información en una denegación de solicitud o en una decisión de RRHH).

Gobernanza de datos. Los conjuntos de datos de entrenamiento y validación para sistemas de alto riesgo deben cumplir los requisitos de pertinencia, representatividad y ausencia de patrones discriminatorios. Si usted es el proveedor, esta es su obligación. Si es el deployer, debe verificar que el proveedor dispone de dicha documentación.

Gestión del riesgo — qué significa en la práctica

El EU AI Act exige para los sistemas de alto riesgo una gestión continua del riesgo a lo largo de todo el ciclo de vida, no una evaluación puntual en el momento del despliegue. En la práctica esto significa:

• Antes del despliegue: Análisis de riesgos documentado — qué daños puede causar el sistema, cuál es la probabilidad, cuáles son las mitigaciones. No un documento redactado a toda prisa, sino un artefacto vivo que se actualiza con cada cambio sustancial del sistema.
• Durante la operación: Revisión periódica — ¿ha cambiado el caso de uso? ¿Ha cambiado el modelo? ¿Han cambiado los datos de entrada? Cualquiera de estos cambios puede alterar el perfil de riesgo.
• Tras un incidente: Procedimiento de respuesta documentado, notificación al regulador si el incidente ha tenido un impacto grave.

Desde el punto de vista metodológico, la gestión del riesgo según el EU AI Act es próxima a lo que las empresas hacen con ISO 27001 o la DPIA del GDPR — no es un concepto nuevo, solo una nueva aplicación en el ámbito de la IA. Si dispone de un framework de seguridad ISMS existente, extiéndalo con controles específicos para IA en lugar de construir una estructura paralela.

Documentación — qué tener preparado

Este es el ámbito en el que la mayoría de las empresas acusa mayor retraso. El EU AI Act presupone que los sistemas de alto riesgo disponen de documentación técnica accesible — no para auditores, sino como herramienta viva de gestión. Como mínimo:

• Descripción del sistema y su finalidad prevista — qué hace el sistema, para qué decisiones se utiliza, quiénes son los interesados.
• Arquitectura y flujos de datos — dónde entran los datos, dónde se procesan, dónde se almacenan los resultados.
• Conjuntos de datos de entrenamiento y validación (si es usted el proveedor) — origen, alcance, medidas de calidad, ausencia de sesgos.
• Resultados de pruebas y validación — incluyendo casos extremos y fallos. Esto está directamente relacionado con cómo medir la calidad de una aplicación LLM.
• Procedimiento de supervisión humana — quién, cómo y cuándo revisa los resultados de la IA.
• Registro de riesgos — riesgos identificados, mitigaciones, responsabilidades.
• Procedimiento ante incidentes — escalado, notificación, medidas correctoras.

Los registros deben conservarse durante un período acorde con el contexto regulatorio del sistema — en servicios financieros y sanidad, típicamente varios años.

Intersección con el GDPR

El EU AI Act y el GDPR se complementan mutuamente — el AI Act no deroga ni reemplaza al GDPR. Si su sistema de IA trata datos personales (lo que hace la mayoría de las aplicaciones empresariales), ambas normativas son aplicables de forma simultánea.

Intersecciones clave:

Base jurídica del tratamiento. Aunque el AI Act permita cierto tratamiento, sigue siendo necesaria una base jurídica del GDPR — consentimiento, interés legítimo, contrato. Desplegar IA en RRHH sin base jurídica explícita es una infracción del GDPR, no solo del AI Act.

DPIA (Evaluación de Impacto sobre la Protección de Datos). Si un sistema de IA de alto riesgo trata datos personales, muy probablemente activará la obligación de realizar una DPIA conforme al artículo 35 del GDPR. En la práctica tiene sentido realizar la DPIA y la evaluación de riesgos del AI Act de forma conjunta — comparten una gran parte de los fundamentos.

Derechos de los interesados. El GDPR garantiza el derecho a una explicación de las decisiones automatizadas. El AI Act añade que el interesado debe ser informado del uso de IA. La combinación implica que los procesos deben ser capaces de proporcionar una explicación humanamente comprensible de por qué la IA decidió lo que decidió. Esto tiene un impacto directo en qué procesos de evaluación construye y cómo registra las decisiones.

Datos para el entrenamiento. Si hace fine-tuning de un modelo con datos propios de la empresa que contienen datos personales, necesita una base jurídica para ello. Este es un ámbito donde el GDPR y los LLM sobre datos empresariales impone requisitos adicionales. La anonimización previa al entrenamiento es la solución, pero debe ser una anonimización real — la seudonimización en el sentido del GDPR no es suficiente.

Obligaciones de transparencia para sistemas de riesgo limitado

Aunque su sistema no sea de alto riesgo, pueden aplicarse obligaciones de transparencia. Relevantes para la mayoría de empresas B2B que despliegan chatbots o IA generativa:

• Todo sistema que interactúe con personas mediante texto o voz y pudiera confundirse con un ser humano debe estar identificado como IA — salvo que sea evidente por el contexto.
• Los sistemas que generan contenido sintético (textos, imágenes, audio, vídeo) para el público deben estar marcados de forma detectable por máquinas (watermarking o metadatos).
• Existe una excepción para los sistemas en los que el carácter de IA es evidente por el contexto (por ejemplo, el propio usuario ha activado un generador de IA).

En la práctica: si despliega un asistente de IA en atención al cliente — en la comunicación inicial debe quedar claro que se trata de IA. Si genera contenido de marketing con IA — considere cómo integrar dicha identificación.

Qué hacer ahora — checklist prioritario

Agosto de 2026 está a menos de un año. Para empresas con sistemas más complejos, no es mucho tiempo. Procedimiento recomendado:

1. 1.Clasificación del portafolio — revise todos los sistemas de IA y evalúe en qué categoría encajan. Si tiene dudas, consulte con un abogado especializado en regulación tecnológica.
2. 2.Sistemas de alto riesgo, primero — para cada sistema de alto riesgo, inicie una evaluación de riesgos e inventario de documentación. Identifique las brechas.
3. 3.Auditoría de supervisión humana — ¿son sus procesos capaces de una supervisión humana real, o es mera formalidad? Defina roles responsables, competencias y rutas de escalado.
4. 4.Logging y monitorización — asegúrese de disponer de logs al nivel que permita una auditoría post-hoc. Si despliega agentes de IA, esto es especialmente crítico.
5. 5.Confluencia GDPR × AI Act — si aún no dispone de una DPIA para los sistemas de IA que tratan datos personales, complétalas.
6. 6.Cadena de suministro — si adquiere un sistema de IA de un proveedor externo, solicite la documentación técnica conforme al AI Act. La indisponibilidad de documentación es una señal de alerta.
7. 7.Formación interna — las personas responsables de la supervisión humana deben comprender los límites de los sistemas que revisan. "Apruebo porque la IA lo recomendó" no es supervisión humana.

Preguntas frecuentes

¿Afecta el EU AI Act también a las pequeñas empresas?

Sí. El reglamento no contiene ninguna exención para las pymes en la categoría de alto riesgo. Solo existen ligeras facilidades para las pequeñas empresas en materia de documentación técnica — pero las obligaciones fundamentales (supervisión humana, gestión del riesgo, registros) se aplican por igual. Si es una pyme y despliega IA en RRHH o en decisiones de acceso a servicios, las obligaciones le atañen.

Un chatbot de atención al cliente — ¿es de alto riesgo?

En la mayoría de los casos no — si el chatbot solo responde preguntas y un operador humano decide los asuntos sustanciales. Pero atención a los casos extremos: un chatbot que triaja solicitudes médicas y en función de la respuesta de la IA se envía o no se envía ayuda de emergencia puede ser clasificado de otro modo. Evalúe siempre el caso de uso concreto, no solo la forma (chatbot u otro).

Si usamos un modelo como OpenAI o Anthropic, ¿son ellos los responsables?

Los proveedores de modelos tienen sus propias obligaciones — especialmente en el caso de los modelos GPAI (transparencia, derechos de autor, pruebas de seguridad). Pero el artículo 26 está dirigido a los deployers — es decir, usted. El proveedor del modelo no es responsable del uso que haga de su modelo en su producto. La responsabilidad por el despliegue, el caso de uso, la supervisión humana y la documentación recae en la empresa desplegadora.

¿En qué se diferencia el EU AI Act del GDPR en cuanto a sanciones?

GDPR: multas de hasta el 4 % del volumen de negocios global o 20 millones de euros (lo que sea mayor) por las infracciones más graves. EU AI Act: multas de hasta el 3 % del volumen de negocios global o 15 millones de euros para las partes desplegadoras en infracciones de alto riesgo; más estrictas para prácticas prohibidas (7 % / 35 M). Ambas normativas pueden infringirse simultáneamente por la misma situación — la acumulación de sanciones es posible.

¿Qué ocurre si nuestro sistema no es de alto riesgo pero tratamos datos en la nube fuera de la UE?

El AI Act es en este punto un problema separado de dónde se tratan los datos — eso lo regula el GDPR. Pero ambas normativas suelen infringirse de forma concurrente: desplegar un sistema de IA de alto riesgo con datos personales, sin DPIA, en una infraestructura sin cláusulas contractuales tipo, es una infracción cuádruple. Los despliegues en sectores regulados (sanidad, servicios financieros) tienen además normas sectoriales adicionales. Para estos casos, el argumento a favor de un LLM on-prem o alojado en la UE no es solo técnico, sino también impulsado por el cumplimiento normativo.

*El EU AI Act ha introducido un nuevo tipo de responsabilidad — no solo por lo que las empresas hacen con los datos, sino por lo que los sistemas de IA hacen con las personas. La buena noticia es que las empresas que tienen en orden sus procesos de GDPR y gestión de la seguridad disponen de una base sólida. MP Industrial Solutions ayuda a los equipos técnicos a evaluar dónde se encuentran desde el punto de vista del cumplimiento, y a establecer los procesos de documentación, monitorización y supervisión humana antes de que llegue el plazo o la auditoría.*