AI Act 2026: La guía completa para pymes europeas

El AI Act de la UE es ley. No una propuesta, no un borrador, no algo que podría pasar — es un reglamento ejecutable que se ha ido desplegando en fases desde febrero de 2025. Si tu empresa usa IA de cualquier forma — incluso una suscripción a ChatGPT — el AI Act te aplica.

Las primeras obligaciones ya están activas. Las más trascendentales llegan en agosto de 2026. Y las multas por incumplimiento pueden alcanzar 35 millones de euros o el 7% de tu facturación global anual.

Esta guía explica qué exige el AI Act, qué ya está en vigor, qué viene y exactamente qué necesita hacer tu empresa para prepararse.

Qué es el AI Act

El AI Act (Reglamento UE 2024/1689) es el primer marco legal integral del mundo para la inteligencia artificial. Adoptado por el Parlamento Europeo en marzo de 2024 y publicado en el Diario Oficial en julio de 2024, regula el desarrollo, despliegue y uso de sistemas de IA en toda la Unión Europea.

A diferencia del RGPD, que se centra en la protección de datos personales, el AI Act regula los propios sistemas de IA — independientemente de si procesan datos personales. Establece normas sobre cómo puede construirse la IA, cómo debe documentarse, cómo debe supervisarse y cómo puede y no puede usarse.

El reglamento se aplica a:

• Proveedores de IA — empresas que desarrollan o ponen sistemas de IA en el mercado de la UE
• Implementadores de IA — empresas que usan sistemas de IA en sus operaciones (esto es la mayoría de empresas)
• Importadores y distribuidores — empresas que introducen sistemas de IA no europeos en el mercado europeo

Si tu empresa usa ChatGPT, una herramienta de RRHH con IA, un bot de atención al cliente automatizado o cualquier otro sistema de IA — eres un implementador, y el AI Act te aplica.

Los cuatro niveles de riesgo

El AI Act clasifica los sistemas de IA en cuatro niveles según el riesgo que suponen para los derechos fundamentales y la seguridad:

Nivel 1: Riesgo inaceptable (PROHIBIDO)

Estas prácticas de IA están completamente prohibidas en la UE, en vigor desde febrero de 2025:

• Puntuación social por autoridades públicas — calificar a ciudadanos según su comportamiento social
• Manipulación subliminal — IA diseñada para distorsionar el comportamiento más allá de la conciencia de la persona
• Explotación de vulnerabilidades — dirigirse a personas por edad, discapacidad o situación socioeconómica
• Identificación biométrica remota en tiempo real en espacios públicos por fuerzas del orden (con excepciones muy limitadas)
• Reconocimiento de emociones en centros de trabajo e instituciones educativas
• Recopilación no dirigida de imágenes faciales de internet para bases de datos de reconocimiento facial

Qué significa para las empresas: Si alguno de tus sistemas de IA realiza estas funciones, detenlo inmediatamente. La prohibición ya está en vigor y las infracciones conllevan las sanciones más altas (35 millones de euros o 7% de facturación).

Nivel 2: Alto riesgo (FUERTEMENTE REGULADO)

Los sistemas de IA se clasifican como de alto riesgo cuando se usan en dominios sensibles. Los requisitos completos aplican desde agosto de 2026. Las categorías de alto riesgo incluyen:

• RRHH y empleo — IA usada en reclutamiento, cribado de CVs, evaluación de candidaturas, decisiones de promoción, monitorización del rendimiento o despido
• Sanidad — IA como dispositivo médico o componente, asistencia diagnóstica, recomendaciones de tratamiento
• Educación — IA para admisiones, calificación, supervisión de exámenes o aprendizaje adaptativo que determina el acceso a la educación
• Servicios financieros — evaluación de solvencia, evaluación de riesgos para precios de seguros, detección de fraude
• Infraestructuras críticas — IA que gestiona electricidad, agua, gas, transporte o infraestructura digital
• Fuerzas del orden — evaluación de riesgos, evaluación de pruebas, elaboración de perfiles criminales
• Migración y control de fronteras — procesamiento de visados, evaluación de solicitudes de asilo

Qué significa para las empresas: Si tu IA toca cualquiera de estos dominios — incluso indirectamente — probablemente está clasificada como alto riesgo. Un chatbot de IA que responde preguntas generales de clientes es de riesgo limitado. El mismo chatbot cribando candidaturas de empleo es de alto riesgo.

Nivel 3: Riesgo limitado (OBLIGACIONES DE TRANSPARENCIA)

Los sistemas de IA que interactúan con personas, generan contenido o detectan emociones deben ser transparentes sobre lo que son:

• Chatbots deben informar claramente a los usuarios de que están interactuando con un sistema de IA
• Contenido generado por IA (texto, imágenes, audio, vídeo) debe estar etiquetado como generado por IA
• Deepfakes deben estar claramente marcados
• Sistemas de reconocimiento de emociones (donde estén permitidos) deben informar a los usuarios

Qué significa para las empresas: Si despliegas un chatbot de IA para atención al cliente o uso interno, los usuarios deben saber que es una IA. Esto aplica también a los despliegues de ChatGPT privado — el cumplimiento se refiere a la interacción, no al modelo de alojamiento.

Nivel 4: Riesgo mínimo (SIN OBLIGACIONES ESPECÍFICAS)

Los sistemas de IA que suponen un riesgo mínimo — filtros de spam, videojuegos con IA, optimización de inventario — no tienen obligaciones específicas más allá de las leyes generales de seguridad de productos. La mayoría de la IA empresarial rutinaria entra aquí.

Qué está en vigor ahora mismo

Dos obligaciones críticas están activas desde el 2 de febrero de 2025:

Alfabetización en IA (Artículo 4)

Toda empresa que despliegue sistemas de IA debe asegurar que el personal y otras personas que se ocupen de la operación y uso de sistemas de IA en su nombre tengan un nivel suficiente de alfabetización en IA. Esto no es opcional. No es una sugerencia. Es una obligación ejecutable que lleva activa más de un año.

Alfabetización en IA significa que tus empleados entienden:

• Qué puede y qué no puede hacer la IA
• Cómo funcionan los sistemas de IA a nivel conceptual
• Los riesgos de la IA (sesgo, inexactitud, fuga de datos)
• El marco regulatorio (AI Act, RGPD) que gobierna el uso de la IA
• Las políticas y procedimientos de uso de IA de tu empresa

El reglamento no prescribe un formato de formación específico. Un taller de una hora, un módulo de e-learning, una guía escrita — todos pueden satisfacer el requisito, siempre que la alfabetización sea apropiada al contexto. Un director de RRHH que usa IA para cribado de candidatos necesita una formación más profunda que un asistente de marketing que usa IA para redactar publicaciones en redes sociales.

¿Estás en cumplimiento? Si tu empresa usa cualquier herramienta de IA — incluido ChatGPT — y no ha realizado formación en alfabetización de IA para el personal relevante, ya estás en infracción.

Prácticas prohibidas (Artículo 5)

La prohibición de prácticas de IA de riesgo inaceptable también está ya en vigor. Esto afecta principalmente a autoridades públicas y grandes empresas tecnológicas, pero las empresas deben verificar que ningún sistema de IA que utilicen entre en una categoría prohibida — particularmente el reconocimiento de emociones en el lugar de trabajo o sistemas de IA que manipulen el comportamiento.

Qué viene en agosto de 2026

El plazo más trascendental para las empresas llega el 2 de agosto de 2026, cuando entran en vigor los requisitos completos para sistemas de IA de alto riesgo. Si tu empresa despliega IA en cualquier categoría de alto riesgo, debes implementar:

Sistema de gestión de riesgos (Artículo 9). Un proceso continuo para identificar, analizar, evaluar y mitigar riesgos a lo largo del ciclo de vida del sistema de IA. Esto no es una evaluación única — es una obligación permanente.

Gobernanza de datos (Artículo 10). Los conjuntos de datos de entrenamiento, validación y prueba deben cumplir criterios de calidad. Si tu IA aprende de datos empresariales (mediante fine-tuning o RAG), necesitas gobernanza sobre esos datos — relevancia, representatividad, exactitud, completitud.

Documentación técnica (Artículo 11 + Anexo IV). Documentación exhaustiva que cubra:

• Descripción general del sistema de IA
• Descripción detallada de elementos y proceso de desarrollo
• Información sobre monitorización, funcionamiento y control
• Descripción del sistema de gestión de riesgos
• Cambios a lo largo del ciclo de vida del sistema

Mantenimiento de registros (Artículo 12). Registro automático de eventos durante la operación del sistema de IA — suficiente para trazar decisiones e identificar riesgos. Este es el registro de auditoría que los reguladores solicitarán durante las inspecciones.

Transparencia (Artículo 13). Los implementadores deben tener información suficiente para interpretar la salida del sistema de IA y usarla apropiadamente. Las instrucciones de uso deben ser claras y accesibles.

Supervisión humana (Artículo 14). Los sistemas de IA deben estar diseñados para permitir una supervisión humana efectiva. Un humano debe poder entender las capacidades y limitaciones del sistema, monitorizar la operación, intervenir cuando sea necesario y decidir no usar o anular el sistema.

Precisión, robustez y ciberseguridad (Artículo 15). El sistema debe alcanzar niveles apropiados de precisión, ser resistente a errores e inconsistencias, y estar protegido contra accesos no autorizados y manipulación.

Sanciones: lo que las pymes necesitan saber

La estructura de sanciones del AI Act está escalonada por gravedad de la infracción:

• Prácticas prohibidas: 35 millones de euros o 7% de la facturación global anual
• Obligaciones de sistemas de alto riesgo: 15 millones de euros o 3% de la facturación global anual
• Información incorrecta a las autoridades: 7,5 millones de euros o 1% de la facturación global anual

Para pymes y startups, el reglamento incluye una cláusula de proporcionalidad: las multas se limitan al menor de los dos importes (techo fijo o porcentaje de facturación). Una empresa con 5 millones de euros de facturación anual se enfrenta a una multa máxima de 350.000 euros por infracciones de alto riesgo (3% de facturación), no 15 millones de euros.

Pero proporcional no significa trivial. Una multa de 350.000 euros puede ser existencial para una pequeña empresa. Y más allá de las multas, las autoridades pueden ordenar la retirada o recall de un sistema de IA no conforme — interrumpiendo las operaciones que dependen de él.

El panorama de aplicación también se está intensificando. Italia ha designado a AgID (Agencia para la Italia Digital) y ACN (Agencia Nacional de Ciberseguridad) como sus autoridades nacionales de IA, con poder para realizar inspecciones e imponer sanciones. La ley nacional de IA de Italia (Ley 132/2025) añade obligaciones sectoriales para sanidad, trabajo, administración pública y servicios profesionales, además de sanciones penales por difusión de deepfakes con IA.

Cómo prepararse: una hoja de ruta práctica

Paso 1: Inventariar todos los sistemas de IA (Hazlo ahora)

Crea un registro completo de cada sistema de IA que tu empresa usa, desarrolla o despliega. Incluye:

• Suscripciones comerciales de IA (ChatGPT, Claude, Copilot, etc.)
• Funciones de IA integradas en software empresarial (scoring de CRM, marketing automatizado, detección de fraude)
• Herramientas de IA que los empleados puedan estar usando sin aprobación de TI (Shadow AI)
• Cualquier sistema de IA que estés desarrollando internamente

Para cada sistema, documenta: qué hace, qué datos procesa, quién lo usa y quién es el proveedor. Este inventario es la base de todo el trabajo de cumplimiento.

Paso 2: Clasificar niveles de riesgo (Próximos 30 días)

Para cada sistema de IA en tu inventario, determina su clasificación de riesgo:

• ¿Realiza alguna práctica prohibida? (Si sí, deja de usarlo inmediatamente.)
• ¿Se usa en un dominio de alto riesgo? (RRHH, sanidad, finanzas, educación, infraestructuras críticas — ver la lista completa en el Anexo III del reglamento.)
• ¿Interactúa directamente con personas? (Si sí, aplican obligaciones de transparencia.)
• ¿Es de riesgo mínimo? (Sin obligaciones específicas del AI Act.)

La mayoría de pymes encontrarán que sus sistemas de IA caen en las categorías de riesgo limitado o mínimo. Pero cualquier uso de IA en contratación, evaluación crediticia o contextos sanitarios empuja hacia el alto riesgo.

Paso 3: Implementar formación en alfabetización de IA (Inmediatamente — esto está atrasado)

Si aún no has realizado formación en alfabetización de IA, esta es tu acción más urgente. La obligación está activa desde febrero de 2025. Desarrolla e imparte formación apropiada a los roles de tu personal:

• Concienciación general para todos los empleados que interactúan con IA
• Formación detallada para el personal que opera o supervisa sistemas de IA
• Formación especializada para cualquier persona involucrada en el despliegue de IA de alto riesgo

Documenta la formación — quién asistió, qué se cubrió, cuándo se realizó. Esta documentación demuestra cumplimiento durante una inspección.

Paso 4: Abordar los sistemas de alto riesgo (Antes de agosto de 2026)

Para cualquier sistema de IA clasificado como alto riesgo:

• Implementa o verifica el sistema de gestión de riesgos
• Establece procedimientos de gobernanza de datos
• Crea u obtén documentación técnica (del proveedor de IA, si procede)
• Verifica que el registro automático / trazabilidad está operativo
• Confirma que los mecanismos de supervisión humana están en su lugar
• Realiza una evaluación de conformidad

Si tu sistema de IA de alto riesgo es un producto de terceros (ej. una herramienta de cribado de RRHH con IA), el proveedor es el principal responsable del cumplimiento técnico. Pero como implementador, debes asegurarte de que el sistema se usa conforme a sus instrucciones, que se mantiene la supervisión humana y que puedes proporcionar registros a los reguladores.

Paso 5: Establecer gobernanza continua (Continuo)

El cumplimiento del AI Act no es un proyecto puntual. Establece:

• Un ciclo de revisión trimestral para todos los sistemas de IA
• Un proceso para evaluar nuevas herramientas de IA antes del despliegue
• Responsabilidad interna clara para la gobernanza de IA (puede ser tu DPO, un rol dedicado o un comité)
• Un canal para que los empleados informen de preocupaciones relacionadas con IA
• Integración con tu programa de cumplimiento del RGPD — ambos marcos se solapan significativamente

Cómo la IA privada simplifica el cumplimiento

He aquí por qué las empresas que buscan cumplir con el AI Act recurren cada vez más a plataformas de IA on-premise con código abierto:

Transparencia por arquitectura. El AI Act exige que los implementadores puedan entender cómo funciona su sistema de IA. Los modelos propietarios como GPT-4 son cajas negras — no puedes inspeccionar los pesos del modelo, datos de entrenamiento ni proceso de decisión. Los modelos de código abierto (Llama 3, Mistral, DeepSeek) tienen pesos públicamente disponibles, metodologías de entrenamiento publicadas y arquitecturas transparentes. Cuando un regulador pregunte cómo tu sistema de IA produce sus resultados, puedes responder completamente.

Trazabilidad por defecto. Un despliegue de ChatGPT privado registra cada interacción en tu infraestructura. Tú controlas los registros, controlas la retención y puedes producirlos bajo demanda para los reguladores. Con una API cloud, dependes del proveedor para mantener y compartir registros — y sus intereses pueden no alinearse con los tuyos durante una acción de aplicación.

Supervisión humana integrada. Las plataformas on-premise pueden configurarse con flujos de aprobación, reglas de escalado y mecanismos de intervención que satisfacen los requisitos de supervisión humana del Artículo 14. La empresa controla la arquitectura del sistema y puede implementar medidas de supervisión adaptadas a su contexto de riesgo específico.

Control de versiones. Los proveedores de IA cloud pueden actualizar modelos unilateralmente. GPT-4 hoy puede comportarse de forma diferente a GPT-4 dentro de seis meses, y no tienes control ni visibilidad sobre el cambio. El despliegue on-premise significa que la empresa decide cuándo actualizar modelos, puede probar nuevas versiones antes del despliegue y puede revertir si surgen problemas. Esta estabilidad es esencial para la reproducibilidad y consistencia que exigen los requisitos de documentación técnica del AI Act.

Sin dependencia de proveedores no europeos. El AI Act crea obligaciones de cumplimiento que son difíciles de satisfacer cuando tu infraestructura de IA está controlada por una empresa de otra jurisdicción, sujeta a leyes diferentes, con incentivos comerciales diferentes. El despliegue on-premise elimina esta dependencia por completo.

ORCA de HT-X está diseñado en torno a estos principios. Funciona en tu infraestructura, usa modelos de código abierto transparentes, proporciona trazabilidad completa e incluye mecanismos de supervisión humana — entregando cumplimiento del AI Act como propiedad del sistema en lugar de como un añadido posterior.

La dimensión italiana: Ley 132/2025

Más allá del AI Act de la UE, Italia ha aprobado su propia legislación nacional de IA: la Ley n.º 132 de 23 de septiembre de 2025. La ley no crea obligaciones más allá del AI Act (el Artículo 3, párrafo 5 lo declara explícitamente), pero transpone los principios de la UE al contexto nacional y añade disposiciones sectoriales:

• Trabajo (Artículo 11): La IA en el lugar de trabajo debe ser segura, fiable y transparente. Los empleadores deben informar a los trabajadores sobre el uso de IA. Se prohíbe la discriminación mediante IA.
• Profesiones intelectuales (Artículo 13): La IA solo se permite como herramienta de apoyo. Los profesionales deben informar a sus clientes sobre qué sistemas de IA utilizan.
• Administración pública (Artículo 14): Las agencias gubernamentales pueden usar IA para la eficiencia, pero el decisor humano sigue siendo el único responsable.
• Sanciones penales (Artículo 26): La difusión de deepfakes mediante IA es punible con 1-5 años de prisión.

Para las pymes que operan en Italia, el cumplimiento significa satisfacer tanto el AI Act de la UE como la Ley 132/2025. Una plataforma de IA on-premise con modelos de código abierto, trazabilidad y supervisión humana aborda ambas simultáneamente.

El momento de prepararse es ahora. Las empresas que tengan su gobernanza, documentación e infraestructura técnica en su lugar antes de agosto de 2026 estarán listas. Las que no lo hagan se enfrentarán a una carrera costosa — o peor, a una acción de aplicación.