Esta guía cubre los siguientes temas:

  1. Qué es el Reglamento IA de la UE
  2. A quién se aplica el Reglamento IA
  3. Las cuatro categorías de riesgo
  4. Requisitos para sistemas de alto riesgo
  5. Obligaciones IUAG
  6. Calendario de aplicación
  7. Checklist para deployers
  8. AESIA y sandbox en España
  9. Sanciones por incumplimiento
  10. Errores habituales
  11. Cómo puede ayudar PrivaLex
  12. Preguntas frecuentes
  13. Próximo paso

Esta guía no compite con el texto legal ni con los resúmenes institucionales: está pensada para equipos que deben cumplir. Si desarrollas, importas o despliegas sistemas de IA en la UE, el Reglamento de Inteligencia Artificial (Reglamento IA) ya te afecta.

Entró en vigor el 1 de agosto de 2024; las prácticas prohibidas están vetadas desde febrero de 2025; las obligaciones IUAG, desde agosto de 2025; y el hito crítico para la mayoría de empresas que usan IA en contextos sensibles es agosto de 2026. Para un programa operativo más amplio, consulta nuestra guía de cumplimiento normativo con IA; el marco oficial de aplicación lo recoge la Comisión Europea.

¿Qué es el Reglamento IA de la UE?

El Reglamento IA es un reglamento de la UE de aplicación directa que armoniza el desarrollo, la comercialización y el uso de sistemas de inteligencia artificial. La Oficina Europea de IA coordina guías y supervisión a nivel comunitario. Al igual que el RGPD, tiene efecto extraterritorial: si comercializas sistemas de IA en el mercado de la UE o tus sistemas producen resultados utilizados en la UE, el reglamento aplica con independencia de dónde esté establecida tu organización. Cuando el sistema trata datos personales, conviene alinear el cumplimiento del AI Act con tus obligaciones de privacidad desde el diseño.

El Reglamento sigue un enfoque basado en el riesgo, con cuatro categorías. Las obligaciones escalan desde la prohibición total hasta transparencia o evaluación de conformidad completa.

¿A quién se aplica el Reglamento IA?

El término colectivo del reglamento es operadores:

  • Proveedores: desarrollan un sistema de IA o un modelo IUAG y lo comercializan o ponen en servicio con su propio nombre o marca.
  • Responsables del despliegue (deployers): utilizan un sistema de IA bajo su propia autoridad en un contexto profesional.
  • Importadores, distribuidores y fabricantes de productos: otros eslabones de la cadena de suministro con obligaciones propias.

Si tu organización utiliza IA en finanzas, sanidad, recursos humanos, educación, infraestructuras críticas o servicios públicos, es muy probable que entre en la categoría de alto riesgo. Si desarrollas, ajustas o alojas modelos fundacionales, las obligaciones IUAG te afectan directamente.

Las cuatro categorías de riesgo

Riesgo inaceptable: Prohibidos

Completamente prohibidos desde el 2 de febrero de 2025: técnicas subliminales o manipuladoras, puntuación social, policía predictiva por perfiles individuales, identificación biométrica remota en tiempo real en espacios públicos (con excepciones estrictas para fuerzas de seguridad).

Alto riesgo: Estrictamente regulados

Recogidos en el Anexo III, incluyen scoring crediticio, selección de personal, admisiones educativas, diagnóstico médico, biometría, acceso a prestaciones públicas, gestión de infraestructuras críticas y herramientas policiales de evaluación de riesgos.

Los sistemas de alto riesgo deben cumplir obligaciones de conformidad detalladas antes de su comercialización o despliegue. En entornos SaaS, conviene cruzar esta clasificación con los riesgos de privacidad en productos digitales cuando se tratan datos personales. Estos requisitos se aplican plenamente desde el 2 de agosto de 2026 para la mayoría de sistemas autónomos del Anexo III.

Riesgo limitado: Obligaciones de transparencia

Artículo 50: chatbots, interacción directa con usuarios y contenidos generados por IA (deepfakes). Los usuarios deben saber que interactúan con IA o que el contenido es sintético. Plazo pleno: 2 de agosto de 2026.

En la práctica, los deployers deben informar cuando un usuario interactúa con un chatbot o un sistema de IA, marcar de forma clara y distinguible los contenidos generados o manipulados sintéticamente (texto, imagen, audio o vídeo) y documentar las medidas de transparencia implantadas. Las excepciones son limitadas (por ejemplo, contenido claramente artístico o con fines creativos satíricos).

Riesgo mínimo o nulo

Filtros de spam, IA en videojuegos, motores de recomendación. Sin obligaciones específicas del Reglamento IA, aunque el RGPD y otras normas generales siguen aplicando.

Requisitos para los sistemas de IA de alto riesgo

Proveedores y responsables del despliegue deben cumplir, entre otros:

  • Sistema de gestión de riesgos continuo a lo largo del ciclo de vida.
  • Gobernanza de datos de entrenamiento, validación y prueba.
  • Documentación técnica actualizada y accesible para autoridades.
  • Registro automático (trazabilidad) para vigilancia postcomercialización.
  • Instrucciones de uso para deployers.
  • Supervisión humana con posibilidad de intervención e interrupción.
  • Exactitud, robustez y ciberseguridad.
  • Evaluación de conformidad (en algunos casos con organismo notificado) y marcado CE.
  • Registro en la base de datos de la UE antes de comercializar.

Normas como ISO 42001 pueden estructurar gran parte de estos requisitos. En PrivaLex explicamos cómo se complementan el AI Act e ISO 42001 para construir un sistema de gestión auditable sin duplicar esfuerzos.

Obligaciones para los proveedores de modelos de IA de uso general (IUAG)

Capítulo específico para modelos versátiles (LLM, generadores de imagen). En vigor desde el 2 de agosto de 2025.

Todos los proveedores IUAG deben:

  • Mantener documentación técnica del desarrollo, prueba y evaluación.
  • Publicar resumen del contenido de entrenamiento con la plantilla de la Comisión.
  • Cumplir derechos de autor de la UE, incluidas exclusiones voluntarias de extracción de textos y datos.
  • Proporcionar fichas de modelo (model cards) con diseño y limitaciones.

Los modelos con riesgo sistémico añaden pruebas adversariales, notificación de incidentes graves a la Oficina Europea de IA y divulgación de eficiencia energética. El Código de Prácticas para IUAG (julio 2025) es una herramienta voluntaria de demostración de cumplimiento.

Los modelos comercializados antes del 2 de agosto de 2025 tienen transición hasta el 2 de agosto de 2027, pero deben demostrar medidas activas de adecuación.

El calendario de aplicación: qué está ya en vigor

  • 1 de agosto de 2024: el Reglamento IA entra en vigor.
  • 2 de febrero de 2025: prohibición de prácticas inaceptables; obligaciones de alfabetización en IA (artículo 4).
  • 2 de mayo de 2025: la Comisión finaliza los códigos de buenas prácticas para GPAI/IUAG.
  • 2 de agosto de 2025: obligaciones IUAG; gobernanza y Oficina Europea de IA operativas; régimen sancionador; designación de autoridades nacionales.
  • 2 de febrero de 2026: la Comisión publicará directrices y ejemplos prácticos sobre clasificación de sistemas de alto riesgo.
  • 2 de agosto de 2026: aplicación general para sistemas de alto riesgo (Anexo III) y transparencia (artículo 50).
  • 2 de agosto de 2027: sistemas de alto riesgo integrados en productos regulados (Anexo I); cumplimiento pleno de modelos IUAG preexistentes.

El artículo 4 (alfabetización en IA, activo desde febrero de 2025) exige que proveedores y, cuando proceda, deployers garanticen un nivel suficiente de competencia en IA de quienes operan y supervisan los sistemas. Implica formación documentada, procedimientos actualizados y evidencias auditables que demuestren que el personal comprende capacidades, limitaciones y riesgos de los sistemas que utiliza.

Contexto normativo: en noviembre de 2025 la Comisión presentó un paquete ómnibus digital con propuestas de aplazamiento de algunos plazos de alto riesgo. Sigue en tramitación: planifica con las fechas vigentes del Reglamento y monitoriza la evolución legislativa.

Si despliegas o desarrollas sistemas de alto riesgo, agosto de 2026 sigue siendo tu fecha clave. Si provees modelos IUAG, ya estás sujeto a obligaciones.

Checklist de cumplimiento para responsables del despliegue

Muchas empresas solo usan IA, no la desarrollan, y aun así tienen obligaciones. Este checklist resume el mínimo operativo:

  1. Inventariar todos los sistemas de IA en uso (RRHH, atención al cliente, scoring, marketing, operaciones).
  2. Clasificar cada caso de uso por nivel de riesgo, cruzando Anexo III con la función real del sistema.
  3. Revisar contratos con proveedores: instrucciones de uso, documentación técnica, cláusulas de cumplimiento y notificación de incidentes.
  4. Implantar supervisión humana donde el reglamento lo exija: revisión de decisiones automatizadas y registro de intervenciones.
  5. Documentar y alinear con privacidad: EIPD, Registro de Actividades de Tratamiento y procedimientos de respuesta ante brechas cuando hay datos personales. Una auditoría RGPD ayuda a detectar lagunas antes de una inspección o due diligence.

Aplicación en España: AESIA y sandbox regulador

La supervisión nacional corresponde a las autoridades competentes de cada Estado miembro. En España, la autoridad designada es la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), que coordinará la aplicación del Reglamento junto con la Oficina Europea de IA.

El artículo 57 exige que cada Estado miembro establezca al menos un sandbox regulador de IA antes del 2 de agosto de 2026. Permite probar innovaciones bajo supervisión antes del despliegue a escala. Si tu roadmap incluye casos de uso de alto riesgo, conviene seguir cómo AESIA y el marco nacional desarrollan estos entornos.

Sanciones por incumplimiento

Desde el 2 de agosto de 2025:

  • Hasta 35 M€ o el 7 % de la facturación mundial (la cifra mayor) por prácticas prohibidas o incumplimiento de riesgo sistémico IUAG.
  • Hasta 15 M€ o el 3 % por otras infracciones, incluidas obligaciones de proveedores de alto riesgo.
  • Hasta 7,5 M€ o el 1 % por información incorrecta o engañosa a las autoridades.

5 Errores habituales de las organizaciones

1. Asumir que el Reglamento IA no aplica porque solo se usa IA, no se desarrolla

Los responsables del despliegue tienen obligaciones específicas en sistemas de alto riesgo. Usar una herramienta de terceros para selección de personal, scoring crediticio o seguimiento de empleados no te exime.

2. Tratar la clasificación del riesgo como algo opcional

Sin clasificación estructurada puedes operar sistemas de alto riesgo sin documentación, supervisión ni evaluaciones de conformidad.

3. Esperar a agosto de 2026 para empezar

Documentación, gestión de riesgos y supervisión humana requieren meses de implantación. Quien empiece ahora estará en mejor posición que quien espere al último trimestre.

4. Pasar por alto las obligaciones IUAG con modelos fundacionales

Si ajustas, alojas o distribuyes un modelo IUAG, incluidos modelos open source, puedes tener obligaciones de proveedor. Solo quienes realizan modificaciones significativas heredan obligaciones plenas de proveedor, pero la línea exige análisis jurídico.

5. Tratar la gobernanza de IA de forma aislada del resto de marcos

Los sistemas de alto riesgo con datos personales deben cumplir Reglamento IA y RGPD a la vez. EIPD, RAT y respuesta ante brechas se interrelacionan con los requisitos del AI Act. Integrar ambos programas es más eficiente que gestionarlos por separado.

Cómo puede ayudar PrivaLex

En PrivaLex Partners ayudamos a las organizaciones a entender cómo el Reglamento IA se aplica a sus casos de uso concretos y a construir un programa de cumplimiento práctico y proporcionado.

Nuestro soporte incluye:

  • Inventario de sistemas de IA y clasificación del riesgo
  • Evaluación de brechas frente al Reglamento IA
  • Implementación de ISO 42001 como base de gestión auditable
  • Apoyo al cumplimiento IUAG (documentación, resúmenes de entrenamiento, copyright)
  • Políticas y procesos de gobernanza, supervisión humana e incidentes
  • Integración con RGPD y NIS2
  • Formación en alfabetización en IA (artículo 4)

Reserva una llamada con PrivaLex para evaluar cómo te afecta el Reglamento IA y definir una hoja de ruta realista.

Preguntas frecuentes (FAQs)

Sí. El Reglamento IA entró en vigor el 1 de agosto de 2024. Varias obligaciones ya son activas: las prácticas de IA prohibidas están vetadas desde el 2 de febrero de 2025, las obligaciones IUAG están en vigor desde el 2 de agosto de 2025, y el régimen sancionador es plenamente operativo. Las principales obligaciones para los sistemas de IA de alto riesgo son aplicables a partir del 2 de agosto de 2026, salvo cambios normativos en tramitación.

, si tus sistemas de IA se comercializan en el mercado de la UE o sus resultados se utilizan dentro de la UE. El Reglamento tiene efecto extraterritorial comparable al del RGPD. Los proveedores establecidos fuera de la UE que ofrezcan sistemas de IA a usuarios u organizaciones de la UE deben designar un representante autorizado establecido en la UE.

Los sistemas de IA de alto riesgo están recogidos en el Anexo III del Reglamento IA. Abarcan ocho ámbitos: identificación biométrica, infraestructuras críticas, educación, empleo, servicios esenciales (crédito, prestaciones), fuerzas y cuerpos de seguridad, migración y administración de justicia. Si tu sistema pertenece a uno de estos ámbitos y realiza alguna de las funciones enumeradas, es de alto riesgo. La Comisión publicará directrices prácticas el 2 de febrero de 2026. Un ejercicio de clasificación estructurado es el punto de partida adecuado.

Un modelo de IA de uso general (IUAG) es un modelo entrenado con grandes volúmenes de datos que puede realizar una amplia variedad de tareas. Los grandes modelos de lenguaje como GPT, Claude o Llama son ejemplos típicos. Si tu organización provee (desarrolla, ajusta de forma significativa o distribuye) un modelo IUAG, tienes obligaciones en vigor desde agosto de 2025. Si utilizas un modelo IUAG como responsable del despliegue sin modificación significativa, eres tratado como responsable del despliegue y no como proveedor.

Sí, de forma significativa. Los sistemas de IA de alto riesgo que tratan datos personales deben cumplir simultáneamente el Reglamento IA y el RGPD. Los requisitos sobre calidad de los datos, minimización, documentación y evaluaciones de impacto se solapan y se refuerzan mutuamente. Una Evaluación de Impacto sobre la Protección de Datos (EIPD) es a menudo exigida por el RGPD para tratamientos de IA de alto riesgo, con independencia de la evaluación de conformidad del Reglamento IA. Conviene integrar ambos marcos en un solo programa de cumplimiento.

ISO 42001 es la norma internacional para los sistemas de gestión de IA. Proporciona un marco estructurado para gobernar el riesgo de IA, la documentación, la supervisión y la mejora continua, alineado con los requisitos del Reglamento IA para sistemas de alto riesgo. Implementar ISO 42001 no es jurídicamente obligatorio bajo el Reglamento IA, pero puede reducir significativamente el esfuerzo para satisfacer las obligaciones de documentación y gestión de riesgos.

Los pasos inmediatos más importantes son: inventariar todos los sistemas de IA en uso, clasificar cada uno por nivel de riesgo, evaluar si aplican obligaciones IUAG a sistemas que tu organización provee o modifica, y comenzar la documentación de gobernanza para cualquier sistema de alto riesgo antes del plazo de agosto de 2026. Si no sabes por dónde empezar, contacta con PrivaLex para una valoración inicial.

Próximo paso

El Reglamento IA no es un problema futuro. Las prácticas prohibidas están vetadas desde febrero de 2025. Las obligaciones IUAG ya están en vigor. Los plazos para sistemas de alto riesgo llegan en agosto de 2026. Las organizaciones que mejor navegarán este proceso son las que comiencen ahora su trabajo de clasificación y documentación. Reserva una llamada con PrivaLex para entender dónde se encuentra tu organización y qué implica un programa de cumplimiento proporcionado para tu negocio.

Autoevaluación Gratis
Los plazos del AI Act no esperan. ¿Está tu empresa preparada?
Descarga nuestra autoevaluación y comprueba en menos de 10 minutos si tu organización cumple con los requisitos antes de que lleguen las obligaciones.
Descargar Autoevaluación Gratis