Volver a los artículos
RGPD
IA Reglamentación IA Act RGPD

IA Act: lo que las empresas deben saber en 2026

28 de enero de 2026 12 min de lectura DPLIANCE

IA Act: lo que las empresas deben saber en 2026

La inteligencia artificial ya no escapa a la regulación. El 1 de agosto de 2024, el reglamento europeo sobre inteligencia artificial — el AI Act (reglamento UE 2024/1689) — entró en vigor. Es el primer marco jurídico del mundo dedicado específicamente a la IA.

Para las empresas, la cuestión ya no es si la IA será regulada, sino cómo cumplir antes de los plazos. Y el próximo es inminente: el 2 de agosto de 2026, la mayor parte de las obligaciones se aplicarán plenamente.

Según un estudio del Center for Data Innovation publicado a finales de 2025, menos del 30 % de las pymes europeas han comenzado a prepararse. Es un problema.

¿Qué es el IA Act?

El IA Act es un reglamento europeo — no una directiva. Se aplica directamente en todos los Estados miembros, sin transposición nacional. Su objetivo: regular el desarrollo y el uso de la IA en Europa según un enfoque basado en los riesgos.

A diferencia del RGPD, que regula los datos personales, el IA Act regula los propios sistemas de IA — su diseño, su puesta en el mercado y su uso.

Ambos textos son complementarios: un sistema de IA que trate datos personales debe cumplir con el RGPD Y con el IA Act.

¿Por qué esta regulación ahora? La explosión de los modelos generativos (ChatGPT, Mistral, Claude, Gemini) ha acelerado la concienciación sobre los riesgos: sesgos algorítmicos en la contratación, desinformación mediante deepfakes, vigilancia masiva por reconocimiento facial, decisiones automatizadas opacas que afectan a los derechos fundamentales. Europa ha optado por regular antes de que estos riesgos se vuelvan incontrolables.

El calendario de entrada en aplicación

El IA Act se aplica de forma progresiva entre febrero de 2025 y agosto de 2027:

2 de febrero de 2025 — Prácticas prohibidas

Desde esta fecha, los sistemas de IA que presentan un riesgo inaceptable están estrictamente prohibidos en la Unión Europea. Esto incluye:

  • La manipulación subliminal o engañosa
  • La explotación de vulnerabilidades ligadas a la edad, discapacidad o situación social
  • La puntuación social (social scoring) por las autoridades públicas
  • La categorización biométrica basada en datos sensibles (raza, religión, orientación sexual)
  • El scraping no dirigido de imágenes faciales para reconocimiento facial

Concretamente para las empresas: si utiliza una herramienta de IA que analiza las emociones de sus candidatos en entrevistas de vídeo, o que clasifica a sus empleados según una puntuación de fiabilidad, está potencialmente infringiendo la ley desde febrero de 2025. Las multas por prácticas prohibidas son las más severas: hasta 35 millones de euros o el 7 % de la facturación mundial.

2 de agosto de 2025 — Obligaciones para los modelos de IA de uso general (GPAI)

Los proveedores de modelos de IA de uso general (Mistral, GPT, Claude, Llama, etc.) están sujetos a obligaciones de transparencia y documentación técnica. Los modelos que presentan un riesgo sistémico están sujetos a obligaciones reforzadas.

Lo que esto significa para los usuarios de estos modelos: si integra un modelo GPAI en sus productos o servicios, se beneficia de la documentación técnica proporcionada por el proveedor del modelo. Sin embargo, sigue siendo responsable del uso que haga y de la conformidad de su aplicación final.

2 de agosto de 2026 — Aplicación del conjunto del texto

Es la fecha clave. A partir del 2 de agosto de 2026, todas las obligaciones se aplican, con excepción de las reglas de clasificación de los sistemas de alto riesgo del artículo 6. Todos los proveedores y operadores de sistemas de IA de alto riesgo listados en el Anexo III deben estar en conformidad.

2 de agosto de 2027 — Aplicación completa

Entrada en aplicación de las reglas de clasificación del artículo 6 para los sistemas de alto riesgo ya regulados por una legislación sectorial europea (dispositivos médicos, juguetes, maquinaria, etc.).

La clasificación de riesgos: 4 niveles

El IA Act se basa en un enfoque jerarquizado de los riesgos. Cada sistema de IA se clasifica en una de las cuatro categorías siguientes, que determinan las obligaciones aplicables.

Riesgo inaceptable — Prohibido

Sistemas estrictamente prohibidos desde febrero de 2025 (véase más arriba). Ninguna excepción posible.

Alto riesgo — Obligaciones severas

Los sistemas de IA de alto riesgo son aquellos con un impacto significativo en los derechos fundamentales. El Anexo III del reglamento los enumera:

  • Biometría: identificación, categorización, detección de emociones
  • Infraestructuras críticas: gestión del tráfico vial, suministro de agua, gas, electricidad
  • Educación y formación: evaluación, admisión, orientación
  • Empleo: contratación, evaluación de candidatos, decisiones de promoción
  • Servicios esenciales: elegibilidad para prestaciones sociales, scoring crediticio, evaluación de riesgos en seguros
  • Represión: evaluación de riesgos, polígrafos, perfilado
  • Migración y control fronterizo: evaluación de solicitudes de visado o asilo
  • Justicia: investigación jurídica, interpretación de hechos y del derecho

Obligaciones de los sistemas de alto riesgo:

  • Sistema de gestión de la calidad
  • Documentación técnica detallada
  • Registro automático (logs)
  • Transparencia e información a los usuarios
  • Supervisión humana efectiva
  • Precisión, robustez y ciberseguridad
  • Registro en la base de datos europea

Un punto esencial para las pymes: aunque no sea el desarrollador del sistema de IA, el simple hecho de desplegarlo en un caso de uso de alto riesgo le somete a obligaciones como operador. Usar una herramienta de clasificación automática de CV, por ejemplo, le convierte en operador de un sistema de IA de alto riesgo en el ámbito del empleo.

Riesgo limitado — Obligaciones de transparencia

Los sistemas que presentan un riesgo limitado están principalmente sujetos a obligaciones de información:

  • Los chatbots deben informar al usuario de que está interactuando con una IA
  • Los contenidos generados por IA (texto, imagen, audio, vídeo) deben señalarse como tales
  • Los sistemas de detección de emociones o categorización biométrica deben informar a las personas afectadas

Los deepfakes están especialmente en el punto de mira. Todo contenido sintético (imagen, audio, vídeo) generado o modificado por una IA debe marcarse como tal de manera detectable por máquina y comprensible por el ser humano. Esta obligación afecta tanto a los proveedores de modelos como a los usuarios que difunden estos contenidos.

Riesgo mínimo — Sin obligación específica

La gran mayoría de los sistemas de IA actuales (filtros antispam, recomendaciones de productos, correctores ortográficos) entra en la categoría de riesgo mínimo. No se impone ninguna obligación específica, pero se fomenta el respeto de las buenas prácticas.

Impacto concreto para las pymes

¿Quién está afectado?

Si su empresa utiliza un sistema de IA clasificado como de alto riesgo (contratación automatizada, scoring crediticio, evaluación de riesgos), es “operador” en el sentido del IA Act y tiene obligaciones específicas.

Si su empresa desarrolla un sistema de IA, es “proveedor” y las obligaciones son más severas.

La distinción proveedor/operador es fundamental. Un proveedor diseña y pone en el mercado un sistema de IA. Un operador lo utiliza en el marco de su actividad. Ambos tienen obligaciones, pero son diferentes. El operador debe asegurarse de que la IA se utiliza conforme a las instrucciones del proveedor, poner en marcha una supervisión humana, informar a las personas afectadas y realizar un análisis de impacto sobre los derechos fundamentales para los sistemas de alto riesgo.

Lo que las pymes deben hacer ahora

  1. Cartografiar los sistemas de IA utilizados: ¿qué herramientas de IA se despliegan en su organización? ¿Para qué usos? Este censo es el primer paso indispensable.
  2. Clasificar los riesgos: para cada sistema, determinar su categoría de riesgo según el reglamento. Consulte el Anexo III para verificar si sus usos están clasificados como de alto riesgo.
  3. Evaluar la conformidad: ¿los sistemas de alto riesgo cumplen con las exigencias de transparencia, trazabilidad y supervisión humana?
  4. Documentar: incluso para los sistemas de riesgo mínimo, documentar los usos y las precauciones tomadas. Esta documentación será valiosa en caso de control.
  5. Formar a los equipos: sensibilizar a los colaboradores sobre las obligaciones del IA Act y las buenas prácticas de uso responsable de la IA.
  6. Contactar a sus proveedores: solicitar la documentación técnica y los certificados de conformidad a los proveedores de los sistemas de IA que utiliza.

Exenciones y medidas de acompañamiento

El reglamento prevé disposiciones para aligerar la carga de las pymes:

  • Los sistemas ya legalmente en el mercado antes de agosto de 2026 se benefician de una cláusula transitoria — pueden seguir en servicio siempre que no sufran una “modificación sustancial”
  • Sandboxes regulatorios (regulatory sandboxes) permiten probar sistemas de IA innovadores en un marco controlado
  • La Comisión Europea debe publicar directrices y herramientas prácticas para acompañar a las pymes
  • Las multas se reducen para las pymes: los topes se calculan proporcionalmente a la facturación, con importes reducidos para microempresas y startups

IA Act y RGPD: dos reglamentos complementarios

El IA Act no reemplaza al RGPD — se suma a él. Si su sistema de IA trata datos personales, debe cumplir con ambos textos simultáneamente.

Ejemplos de solapamiento:

  • Un sistema de contratación automatizado debe cumplir con el IA Act (alto riesgo) Y con el RGPD (tratamiento de datos personales, perfilado, decisiones automatizadas en el sentido del artículo 22)
  • Un chatbot que recopila datos personales debe informar al usuario de que interactúa con una IA (IA Act) Y respetar las obligaciones de transparencia y consentimiento del RGPD
  • El uso de datos personales para entrenar un modelo de IA debe respetar los principios de minimización y finalidad del RGPD

El derecho a la explicación se refuerza. El artículo 22 del RGPD ya otorga el derecho a no ser sometido a una decisión exclusivamente automatizada que produzca efectos jurídicos. El IA Act refuerza este derecho exigiendo una supervisión humana efectiva para todos los sistemas de alto riesgo. Concretamente, un sistema de IA nunca debe tomar solo una decisión con un impacto significativo en una persona sin posibilidad de intervención humana.

La gobernanza de los datos de entrenamiento es otro punto de convergencia. El IA Act exige que los datos utilizados para entrenar los sistemas de alto riesgo sean pertinentes, representativos, libres de errores y completos. El RGPD exige que el tratamiento de datos personales con fines de entrenamiento se fundamente en una base jurídica válida. Ambas exigencias se acumulan.

Cómo DPLIANCE integra la IA de manera responsable

En DPLIANCE, utilizamos la IA en nuestros productos — en particular Mistral, un modelo de IA francés y europeo, integrado en Complio para automatizar la auditoría de conformidad RGPD.

Nuestro enfoque se guía por tres principios:

  • Transparencia: indicamos claramente cuándo la IA interviene en nuestros productos y qué hace
  • Soberanía: priorizamos los modelos europeos (Mistral) y el alojamiento en Europa (Scaleway) para que los datos nunca abandonen el suelo europeo
  • Supervisión humana: la IA en Complio asiste y acelera la auditoría, pero no reemplaza la experiencia humana. Las recomendaciones siempre son verificables

La privacidad no es un compromiso. La soberanía tampoco. Y la inteligencia artificial no debe cambiar esta ecuación.

Descubra cómo Complio utiliza la IA para automatizar su conformidad RGPD, y explore el conjunto de nuestras soluciones soberanas.

FAQ

¿Se aplica el IA Act a las empresas que usan la IA sin desarrollarla?

Sí. El IA Act distingue entre “proveedores” (que desarrollan) y “operadores” (que usan). Los operadores de sistemas de alto riesgo tienen obligaciones específicas: supervisión humana, información a las personas afectadas, uso conforme a las instrucciones del proveedor. Para los sistemas de riesgo limitado (chatbots, generadores de contenido), la obligación principal es la transparencia hacia el usuario.

¿Mi chatbot está afectado por el IA Act?

Sí, al menos en virtud de las obligaciones de transparencia (riesgo limitado): debe informar a los usuarios de que están interactuando con una IA. Si el chatbot toma decisiones que impactan los derechos de las personas (ej.: elegibilidad para un servicio), podría clasificarse como de alto riesgo. El análisis depende del uso concreto y no de la tecnología en sí.

¿Cuáles son las sanciones previstas por el IA Act?

Las multas varían según la gravedad de la infracción: hasta 35 millones de euros o el 7 % de la facturación mundial para las prácticas prohibidas, hasta 15 millones o el 3 % para las demás obligaciones. Se prevén importes reducidos para las pymes. El reglamento también prevé que las autoridades nacionales de supervisión (en Francia, probablemente la CNIL (autoridad francesa de protección de datos)) podrán imponer medidas correctivas, retiradas del mercado y prohibiciones temporales de uso.

¿Cuál es la diferencia entre el IA Act y el RGPD?

El RGPD regula el tratamiento de datos personales. El IA Act regula los propios sistemas de inteligencia artificial — su diseño, su puesta en el mercado y su uso. Ambos textos son complementarios y pueden aplicarse simultáneamente a un mismo sistema. En caso de conflicto, prevalecen las reglas más protectoras para las personas.

¿Debo dejar de usar la IA en mi empresa?

No. La gran mayoría de los usos de la IA en empresa (asistentes, automatización, análisis de datos) entra en la categoría de riesgo mínimo y no está sujeta a ninguna restricción. El IA Act se dirige a los usos de alto riesgo, no a la IA en general. El objetivo del reglamento no es frenar la innovación, sino asegurarse de que la IA se utiliza de manera responsable y respetuosa con los derechos fundamentales.

¿Cómo prepararme concretamente antes de agosto de 2026?

Comience por un inventario de todos los sistemas de IA utilizados en su empresa. Clasifíquelos según las categorías de riesgo del reglamento. Para los sistemas de alto riesgo, contacte a sus proveedores para obtener la documentación técnica. Forme a sus equipos. Y documente todo: en caso de control, la prueba de su proceso de puesta en conformidad será su mejor baza.

Fuentes: Reglamento (UE) 2024/1689 — IA Act, Service-public.fr — AI Act: quels changements pour les entreprises, CNIL (autoridad francesa de protección de datos) — Intelligence artificielle, Naaia — Calendrier AI Act 2026. Artículo actualizado el 25 de marzo de 2026.

Escríbanos

contact@dpliance.com
Contáctenos