El primer reglamento mundial que regula la inteligencia artificial por niveles de riesgo ya obliga a las empresas españolas. Clasificamos tus sistemas, implantamos la gobernanza y preparamos toda la documentación técnica. Colaborador oficial Audidat.
⚠ Fecha clave: 2 de agosto de 2026. Las obligaciones completas para sistemas de IA de alto riesgo son exigibles desde esa fecha. Las empresas que no estén adaptadas se exponen a sanciones de hasta 35M€ y pueden quedar excluidas de contratos con el sector público español.
ISO 9001. ENS nivel medio. RC 2.000.000€. Más de 30 años acompañando a empresas en la adaptación a nuevas normativas europeas.
El Reglamento (UE) 2024/1689, conocido como AI Act, es el primer marco legal mundial que regula la inteligencia artificial por niveles de riesgo. De aplicación directa en todos los estados miembros de la UE desde agosto de 2024, obliga tanto a los proveedores de sistemas de IA (quienes los desarrollan o comercializan) como a los usuarios de sistemas de alto riesgo (quienes los utilizan en su actividad empresarial). Las sanciones por incumplimiento superan las del RGPD — hasta 35 millones de euros o el 7% de la facturación global anual. En España, AESIA es el organismo supervisor con plena potestad inspectora y sancionadora.
El nivel de riesgo determina tus obligaciones legales y las sanciones a las que te expones. El Diagnóstico Express de 45 minutos clasifica tus sistemas y te dice exactamente qué necesitas.
Desde el diagnóstico inicial hasta la documentación técnica y el seguimiento continuo. Todo lo que necesita tu empresa para cumplir el AI Act.
En 45 minutos analizamos tus sistemas de IA, los clasificamos según el Anexo III del AI Act y te entregamos el semáforo de cumplimiento — rojo, amarillo o verde — con las obligaciones concretas de cada sistema.
Diseñamos las políticas, procedimientos y roles para desarrollar, desplegar y monitorear la IA de forma segura, justa y transparente. Alineado con ISO 42001 y NIST AI RMF.
Preparamos toda la documentación técnica exigida por el AI Act: descripción del sistema, datos de entrenamiento, métricas de precisión, evaluación de riesgos y medidas de supervisión humana.
Procedimiento obligatorio para demostrar que tu sistema de IA de alto riesgo cumple el Reglamento. Gestionamos el proceso completo, incluyendo la coordinación con organismos notificados cuando sea necesario.
Organizamos toda la documentación para que esté disponible en caso de inspección de la Agencia Española de Supervisión de IA. Actuamos también en respuesta a requerimientos de AESIA.
Gestionamos de forma coordinada las tres normativas para evitar duplicidades y garantizar coherencia. Una IA que trate datos personales en infraestructuras críticas necesita cumplir las tres simultáneamente.
Un proceso claro, documentado y con plazos concretos. Sin sorpresas.
Las sanciones del AI Act superan al RGPD. AESIA ya está operativa y tiene plena potestad sancionadora en España.
Además de las multas económicas, AESIA puede ordenar la retirada del mercado del sistema de IA y la prohibición de comercializarlo en toda la UE. Los directivos de entidades esenciales pueden ser declarados personalmente responsables.
Respuestas directas y actualizadas sobre el AI Act para empresas españolas. Optimizadas para Google y motores de IA.
Cualquier empresa que desarrolle, importe, distribuya o utilice sistemas de inteligencia artificial dentro de la UE está obligada al AI Act, independientemente de su tamaño o sector. Las obligaciones varían según el nivel de riesgo del sistema. En España afecta especialmente a empresas de salud, selección de personal, turismo digital, sector financiero, infraestructuras críticas e industria manufacturera.
Afecta a ambas. Los proveedores — quienes desarrollan o comercializan sistemas de IA — tienen las obligaciones más estrictas. Pero los usuarios de sistemas de IA de alto riesgo — quienes los utilizan en su actividad — también tienen obligaciones directas: deben asegurarse de usar sistemas conformes, implementar supervisión humana y mantener la documentación actualizada.
El Anexo III del Reglamento (UE) 2024/1689 enumera los sistemas de alto riesgo: biometría y reconocimiento facial, infraestructuras críticas, sistemas educativos de evaluación, selección y gestión de personal, evaluación de crédito y solvencia, sistemas de salud y diagnóstico médico, aplicación de la ley y control fronterizo, y administración de justicia. El Diagnóstico Express de 45 minutos clasifica tus sistemas y determina tus obligaciones concretas.
Sí, aunque con medidas proporcionadas. Las pymes tienen acceso al sandbox regulatorio de AESIA y algunas facilidades en la evaluación de conformidad. Sin embargo, si tu pyme usa sistemas de IA de alto riesgo — por ejemplo para selección de personal o evaluación de clientes — las obligaciones son reales. El Diagnóstico Express gratuito de 45 minutos determina exactamente tu situación.
Si los usas para productividad general — redactar textos, resumir documentos, generar ideas — probablemente sin obligaciones adicionales directas. Pero si los integras en procesos de selección de personal, evaluación de clientes, toma de decisiones relevantes o atención al cliente automatizada, pueden surgir obligaciones directas bajo el AI Act. Además, desde agosto de 2025 los propios proveedores de estos modelos GPAI tienen obligaciones propias.
Los sistemas de alto riesgo deben contar con: descripción técnica completa del sistema y su finalidad, datos utilizados para el entrenamiento y su calidad, lógica de funcionamiento y limitaciones conocidas, métricas de precisión y robustez, evaluación de riesgos documentada, medidas de supervisión humana, plan de ciberseguridad y registro de eventos. Toda esta documentación debe estar disponible para AESIA en caso de inspección.
Los sistemas de alto riesgo deben estar diseñados para que una persona pueda supervisar su funcionamiento en tiempo real, detectar anomalías, comprender las decisiones del sistema e intervenir o detenerlo si es necesario. No se puede delegar completamente en la IA para decisiones que afecten a personas. La supervisión humana debe estar documentada y ser demostrable ante AESIA.
Es el procedimiento obligatorio para demostrar que un sistema de IA de alto riesgo cumple todos los requisitos del AI Act. Para la mayoría de sistemas puede realizarse internamente mediante autoevaluación. Solo para casos específicos como sistemas biométricos o IA en infraestructuras críticas se requiere un organismo notificado externo. Debe completarse antes de poner el sistema en el mercado o en servicio.
Los sistemas de IA para análisis de CVs, criba curricular automatizada, entrevistas automatizadas o predicción de rendimiento son de alto riesgo bajo el AI Act. Las empresas que los usen deben garantizar ausencia de sesgos discriminatorios, informar a los candidatos de que se usa IA, documentar técnicamente el sistema y asegurar supervisión humana en las decisiones finales. Esto aplica aunque uses herramientas de RRHH de terceros con IA integrada.
Las multas por uso de sistemas de IA prohibidos alcanzan hasta 35 millones de euros o el 7% de la facturación anual global. Los incumplimientos de obligaciones para sistemas de alto riesgo pueden suponer hasta 15 millones o el 3%. La información incorrecta a las autoridades hasta 7,5 millones o el 1,5%. Además AESIA puede ordenar la retirada del mercado del sistema y los directivos pueden ser responsables personalmente.
AESIA es la Agencia Española de Supervisión de Inteligencia Artificial, el organismo público encargado de supervisar el cumplimiento del AI Act en España. Tiene potestad para realizar inspecciones sin previo aviso, requerir documentación técnica, imponer sanciones económicas y ordenar la retirada de sistemas del mercado. Ha publicado 16 guías técnicas de referencia. Su actividad inspectora está prevista para intensificarse a partir de agosto de 2026.
Sí. El AI Act prevé la responsabilidad personal de los directivos en casos de incumplimientos graves, especialmente en el uso de sistemas prohibidos o en el incumplimiento reiterado de obligaciones de alto riesgo. Al igual que el compliance penal, la implantación de un sistema de gobernanza de IA documentado y operativo protege tanto a la empresa como a sus administradores individualmente.
Son normativas complementarias. El RGPD regula la protección de datos personales. El AI Act regula el funcionamiento de los sistemas de IA. Una IA que trate datos personales — lo que incluye la gran mayoría de sistemas de IA de alto riesgo — debe cumplir simultáneamente ambas normativas. La gestión coordinada es más eficiente y evita duplicidades en documentación y evaluaciones de riesgo.
Las empresas en sectores críticos que además usen IA en sus sistemas de información deben cumplir simultáneamente NIS2 y AI Act. Los requisitos de ciberseguridad de NIS2 y las medidas de seguridad del AI Act para sistemas de alto riesgo son complementarios. Una gestión coordinada de ambas normativas evita solapamientos y optimiza los recursos de cumplimiento.
ISO 42001 es el estándar internacional de gestión de sistemas de inteligencia artificial. No es obligatorio bajo el AI Act pero implementarlo facilita significativamente el cumplimiento, especialmente en lo que respecta al marco de gobernanza, gestión de riesgos y documentación técnica. Las empresas con ISO 42001 implantado tienen una base sólida para demostrar conformidad con el AI Act ante AESIA.
Analizamos tus sistemas de IA, los clasificamos por nivel de riesgo y te entregamos el semáforo de cumplimiento por escrito. Gratuito, confidencial y sin compromiso.
¿También necesitas RGPD, Canal Ético, NIS2 o Compliance? Todo en mi web principal.
VER TODOS LOS SERVICIOS →