AI Act 2026: lo que su empresa ya debe cumplir (y lo que aún se está debatiendo)
Actualización — 19 de mayo de 2026: El 7 de mayo el Consejo y el Parlamento Europeo cerraron el acuerdo político sobre el Digital Omnibus. Las obligaciones de alto riesgo se aplazan al 2 de diciembre de 2027 (Anexo III) y al 2 de agosto de 2028 (Anexo I), y el acuerdo introduce una nueva prohibición y un plazo acelerado de marcado de contenido generado por IA con fecha 2 de diciembre de 2026. El análisis que sigue refleja el estado al 27 de abril, cuando el Omnibus aún se estaba debatiendo. Para el escenario actualizado, lea AI Act aplazado a 2027: por qué su empresa no debería relajarse.
El Reglamento Europeo de Inteligencia Artificial está vivo y en movimiento. Mientras una parte del texto ya es de obligado cumplimiento desde febrero de 2025, otra parte se está renegociando en este preciso momento en Bruselas. Para una empresa española, entender qué aplica HOY y qué está en debate es la diferencia entre prepararse con cabeza o reaccionar tarde.
Este artículo explica el estado real del AI Act en abril de 2026, las obligaciones que ya están en vigor, las que podrían retrasarse, y cómo afecta todo esto a las pequeñas y medianas empresas. Sin alarmismo, sin atajos.
¿Qué es el AI Act y por qué le afecta?
El AI Act (Reglamento UE 2024/1689) es la primera regulación integral del mundo sobre inteligencia artificial. Entró en vigor el 1 de agosto de 2024 y se aplica de forma escalonada por fases. Su lógica es sencilla: clasificar los sistemas de IA según el riesgo que suponen para los derechos fundamentales, y exigir obligaciones proporcionales al nivel de riesgo.
Le afecta si su empresa:
- Desarrolla o vende sistemas de IA en la UE (es proveedor)
- Utiliza sistemas de IA en sus operaciones, aunque sean herramientas de terceros (es deployer u operador)
- Importa o distribuye soluciones de IA al mercado europeo
Y aquí viene el punto clave que la mayoría de empresarios desconoce: si su empresa utiliza ChatGPT, Copilot, un chatbot, un generador de contenido o cualquier herramienta de IA, ya es deployer bajo el AI Act. Y eso conlleva al menos una obligación activa hoy.
Lo que YA está en vigor (no se mueve)
Estos son los puntos del Reglamento que ya son aplicables y que no forman parte del debate de retraso en curso:
Artículo 4 — Alfabetización en IA (desde 2 de febrero de 2025)
Toda organización que utilice sistemas de IA en la UE tiene la obligación de garantizar un nivel suficiente de alfabetización en IA entre el personal que los maneja. Esto aplica con independencia del tamaño de la empresa y del nivel de riesgo de la herramienta.
Lo que esto significa en la práctica:
- Documentar que el personal que usa IA recibe formación adecuada al rol
- Adaptar la formación al nivel técnico, experiencia y educación del empleado
- Conservar evidencias de qué formación se ha dado y a quién
Lo que NO exige el Artículo 4:
- No obliga a medir formalmente el conocimiento de cada empleado
- No exige nombrar un “responsable de IA” ni crear estructuras de gobernanza
- No obliga a certificaciones externas
En España, la formación en IA puede subvencionarse al 100% a través de FUNDAE, lo que reduce la barrera económica para PYMEs.
Artículo 5 — Prácticas prohibidas (desde 2 de febrero de 2025)
Hay sistemas de IA cuyo uso está terminantemente prohibido en la UE:
- Manipulación subliminal o explotación de vulnerabilidades para causar daño
- Sistemas de scoring social al estilo gubernamental
- Reconocimiento facial en tiempo real en espacios públicos para vigilancia masiva (con excepciones acotadas)
- Reconocimiento de emociones en entornos laborales y educativos
- Categorización biométrica para inferir datos sensibles (etnia, orientación, opiniones)
La mayoría de empresas no tendrá que tocar nada aquí, pero conviene revisar cualquier sistema biométrico interno (control de accesos, fichaje) por si entra en zona gris.
Modelos de IA de propósito general (desde 2 de agosto de 2025)
Las obligaciones para los proveedores de modelos GPAI (como GPT-4, Claude, Llama) ya están activas. No le aplica directamente si usted usa estos modelos, sí le aplica si los desarrolla, fine-tunea o entrena versiones propias para distribución.
Las cuatro categorías de riesgo del AI Act
El Reglamento clasifica todos los sistemas de IA en cuatro niveles. Conocer en qué nivel cae cada herramienta es el primer paso para entender qué obligaciones aplican a su caso concreto.
| Categoría | Qué incluye | Obligación principal |
|---|---|---|
| Riesgo inaceptable | Las prácticas prohibidas del Artículo 5 | Prohibido. No se puede usar ni vender |
| Alto riesgo | Las 8 áreas del Anexo III: biometría, infraestructura crítica, educación, empleo, servicios esenciales, fuerzas del orden, migración, justicia | Conformidad completa, documentación técnica, supervisión humana, registro UE |
| Riesgo de transparencia | Chatbots, generadores de contenido, deepfakes, sistemas de reconocimiento de emociones (donde no estén prohibidos) | Informar al usuario que interactúa con IA o que el contenido es sintético (Art. 50) |
| Riesgo mínimo o nulo | El resto: filtros antispam, IA en videojuegos, productividad interna, etc. | Sin obligaciones específicas (más allá del Art. 4) |
Ejemplos aplicados a un escenario empresarial real
Para que se vea claro, así clasificamos los usos típicos de IA en una PYME española:
| Caso de uso | Categoría | Obligación práctica |
|---|---|---|
| Chatbot de atención al cliente en WhatsApp | Transparencia | Indicar que es IA al iniciar la conversación |
| Generador de contenido para marketing | Transparencia | Etiquetar el contenido generado por IA |
| Asistente interno con RAG sobre documentación corporativa | Mínimo | Solo Art. 4 (alfabetización) |
| Sistema de scoring crediticio para clientes | Alto riesgo | Conformidad completa, auditoría, registro UE |
| Herramienta de cribado automático de CV | Alto riesgo | Conformidad completa, supervisión humana obligatoria |
| Asistente de programación tipo Copilot | Mínimo | Solo Art. 4 |
| Sistema de gestión documental con IA en sector público | Posible alto riesgo | Análisis caso a caso (depende del impacto en derechos) |
El mensaje importante: la mayoría de los usos de IA en una PYME B2B no son alto riesgo. La narrativa pública tiende a meter todo en el mismo saco, pero el Reglamento es más matizado.
El debate del retraso: Digital Omnibus
A partir de aquí entra la parte que se está discutiendo en este momento. La información que sigue puede cambiar en las próximas semanas.
Qué se debate
El 19 de noviembre de 2025, la Comisión Europea presentó el Digital Omnibus, un paquete legislativo que propone retrasar la aplicación de las obligaciones para sistemas de IA de alto riesgo, originalmente previstas para el 2 de agosto de 2026.
El estado al cierre de abril de 2026
Tanto el Consejo (13 de marzo de 2026) como el Parlamento (en pleno el 26 de marzo de 2026) han fijado posiciones muy alineadas:
- Sistemas de alto riesgo independientes (Anexo III): retraso propuesto al 2 de diciembre de 2027
- Sistemas de alto riesgo embebidos en productos regulados: retraso propuesto al 2 de agosto de 2028
- Obligaciones de marca de agua en contenido sintético: aplicación anticipada al 2 de noviembre de 2026
El trílogo político (negociación final entre Comisión, Consejo y Parlamento) está previsto para esta misma semana en Estrasburgo. Para que el retraso tenga efecto legal antes de la fecha original (2 de agosto de 2026), el acuerdo debería cerrarse antes de junio.
Qué NO se debate
Conviene tener claro que el debate del Digital Omnibus no afecta a:
- El Artículo 4 (alfabetización en IA): sigue en vigor desde feb-2025
- El Artículo 5 (prácticas prohibidas): sigue en vigor
- Las obligaciones para modelos GPAI: siguen en vigor desde ago-2025
- El régimen de transparencia para chatbots e IA generativa
Es decir: si el Omnibus se aprueba con las posiciones actuales, gana tiempo quien desarrolle sistemas de alto riesgo, pero no cambia nada para la mayoría de empresas que solo usan IA de bajo riesgo.
Sanciones: cómo se calcula la multa
El Artículo 99 del Reglamento establece tres tramos de sanciones, con una particularidad importante para PYMEs:
| Infracción | Importe máximo (empresas grandes) | Importe máximo (PYME) |
|---|---|---|
| Prácticas prohibidas (Art. 5) | 35 M€ o 7% facturación global | El menor de los dos |
| Alto riesgo (incumplimiento) | 15 M€ o 3% facturación global | El menor de los dos |
| Información incorrecta a autoridades | 7,5 M€ o 1,5% facturación global | El menor de los dos |
La regla del “menor de los dos” para PYMEs es clave y poco conocida. En la práctica significa que una pequeña empresa con 5 millones de facturación anual no se enfrenta a multas de 35 millones, sino a un máximo proporcional a su tamaño (en ese ejemplo, 350.000 € en el tramo más alto).
El Reglamento exige expresamente que las sanciones tengan en cuenta los intereses de las PYMEs y startups y sean “efectivas, proporcionadas y disuasorias”. No es un detalle: es un principio jurídico que limita el alcance real de las multas a empresas pequeñas.
El papel de AESIA en España
España es uno de los pocos Estados miembros que ha avanzado más rápido en la aplicación nacional. La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) se creó por Real Decreto 729/2023 (publicado en BOE el 23 de agosto de 2023) y ya está operativa con sede en A Coruña.
AESIA es la autoridad competente para:
- Supervisar el cumplimiento del AI Act en España
- Coordinar con otras autoridades sectoriales (AEPD, CNMC, etc.)
- Tramitar denuncias relativas a sistemas de IA
- Promover sandboxes regulatorios para innovación responsable
Para una PYME española, esto significa que el interlocutor regulatorio existe y es identificable. No hay un vacío administrativo, hay una agencia operativa.
Cómo prepararse hoy (pasos sensatos, no recetas legales)
Sin entrar en asesoramiento jurídico personalizado, hay acciones razonables que cualquier empresa puede empezar a contemplar:
- Inventario de sistemas de IA: identificar todas las herramientas con IA que se usan internamente o que se ofrecen a clientes
- Clasificación inicial por riesgo: ubicar cada sistema en una de las cuatro categorías
- Formación documentada del personal (Artículo 4): el cumplimiento más urgente y el más asequible — FUNDAE puede subvencionarlo al 100%
- Revisión de casos de uso sensibles: especialmente si se usa IA en RRHH, scoring, biometría o decisiones que afectan a personas
- Seguimiento del Digital Omnibus: las fechas pueden cambiar en las próximas semanas; vale la pena seguir la actualidad regulatoria
Esto no es asesoramiento legal
Este artículo tiene carácter exclusivamente divulgativo. La aplicación concreta del AI Act a una empresa depende de su sector, su tamaño, los sistemas de IA que utiliza o desarrolla, su modelo de negocio y otros factores que requieren análisis personalizado.
Para decisiones de cumplimiento normativo, consulte con un especialista jurídico o regulatorio cualificado. Las fechas, importes y obligaciones citados están extraídos de fuentes oficiales (Reglamento UE 2024/1689, comunicaciones de la Comisión Europea, BOE) actualizadas al 27 de abril de 2026, pero el marco regulatorio es vivo y puede modificarse.
La regulación de IA exige criterio, no pánico
El AI Act no es un terremoto regulatorio inminente para la mayoría de empresas. Es un marco escalonado, proporcional, que ya tiene partes activas y otras en debate. La clave para una PYME no es asustarse con titulares ni encargar auditorías de cumplimiento que no necesita: es entender en qué categoría caen sus usos reales de IA, formar a su gente y mantenerse informado sobre cómo evoluciona el cuadro.
El criterio bien aplicado siempre vale más que la reacción urgente. Y en regulación tecnológica, ese principio se cumple con especial fuerza.
¿Necesita ayuda con su proyecto?
Nuestro equipo de expertos está listo para asesorarle sobre la mejor tecnología y estrategia para su negocio.
Hablemos