El Reglamento (UE) 2024/1689 — más conocido como EU AI Act — entró en vigor el 1 de agosto de 2024. Su aplicación es escalonada, pero las obligaciones que aplican a la mayoría de empresas españolas son exigibles desde el 2 de agosto de 2026.
Si tu empresa usa o despliega IA, esto te aplica. Aquí va lo esencial sin paja legal.
Las cuatro categorías de riesgo
El Reglamento clasifica los sistemas de IA según su riesgo:
- Riesgo inaceptable — prohibidos (puntuación social, manipulación subliminal, vigilancia biométrica masiva). Ya en vigor desde febrero de 2025.
- Alto riesgo — sistemas en sectores críticos: salud, educación, recursos humanos, justicia, infraestructuras. Requieren evaluación de conformidad, documentación técnica y supervisión humana.
- Riesgo limitado — chatbots, deepfakes, sistemas que interactúan con personas. Obligación de transparencia: el usuario debe saber que habla con una IA.
- Riesgo mínimo — la mayoría de aplicaciones (filtros, recomendaciones simples). Sin obligaciones específicas.
La mayoría de empresas españolas que usan IA en marketing, atención al cliente o automatización interna caen en riesgo limitado, no alto.
Lo que aplica a la mayoría de PYMEs
Si tu empresa usa un chatbot, un agente IA o cualquier sistema que genere contenido (texto, imagen, vídeo), debes cumplir con la obligación de transparencia:
- Informar al usuario de que está interactuando con un sistema de IA, salvo cuando sea evidente por el contexto.
- Marcar contenido sintético generado o manipulado por IA (imágenes, audio, vídeo, deepfakes).
- Avisar de detección de emociones o categorización biométrica si la usas.
Esto se traduce en cosas concretas como un mensaje al principio de una conversación con tu chatbot del tipo "Estás hablando con un asistente IA", o una etiqueta visible cuando una imagen ha sido generada por IA.
La autoridad supervisora: AESIA
En España, la autoridad competente es la Agencia Española de Supervisión de la IA (AESIA), con sede en A Coruña. Es la primera agencia europea de su tipo y empezó a operar en 2024. Tiene capacidad sancionadora.
Las multas pueden alcanzar el 7% de la facturación global para infracciones graves, o 35 millones de euros (el mayor de los dos importes). Para PYMEs hay tramos reducidos, pero las cantidades siguen siendo significativas.
Tu checklist mínimo de cumplimiento
Esto es lo que cualquier empresa con IA en producción debería tener antes de agosto de 2026:
- Inventario de sistemas IA — lista de qué IA usas, dónde y para qué.
- Clasificación de riesgo — cada sistema marcado con su categoría.
- Política de transparencia — texto público en tu web explicando qué IA usas (página /transparencia-ia es buena práctica).
- Procedimientos de supervisión humana — quién revisa qué y con qué frecuencia.
- Registro de incidentes — log de fallos, sesgos detectados o reclamaciones.
- Acuerdos con proveedores — si usas OpenAI, Anthropic o cualquier modelo, las cláusulas de tu contrato deben prever AI Act.
Cómo lo abordamos en NeoNexAI Agency
Todos los proyectos que entregamos desde 2025 incluyen, sin coste extra:
- Documentación técnica del sistema según AI Act.
- Página
/transparencia-ialista para publicar. - Etiquetado automático de contenido generado por IA.
- Logs de auditoría completos con retención configurable.
No por bondad. Porque a partir de agosto de 2026 cualquier proyecto de IA que entreguemos sin esto sería un pasivo legal para nuestros clientes.
El cumplimiento del AI Act no es opcional ni postponible. Y es una ventaja competitiva real frente a competidores que están improvisando.
¿Quieres una revisión de cumplimiento de los sistemas IA que ya tienes? Hablamos y te lo decimos sin floritura.