El AI Act (Reglamento UE 2024/1689) es el marco legal europeo que regula el desarrollo, comercialización y uso de sistemas de inteligencia artificial en la Unión Europea. Establece obligaciones diferenciadas según el nivel de riesgo del sistema y se aplica a proveedores, responsables de despliegue, importadores y distribuidores.
¿Qué pasa cuando un reglamento entra en vigor en julio de 2024, empieza a aplicarse por capas y, dos años después, sigue siendo el gran desconocido para la mayoría de empresas españolas que ya usan inteligencia artificial en su día a día?
Pasa que la conversación se llena de cifras llamativas — multas de 35 millones, sanciones europeas, listas de prácticas prohibidas — y se vacía de contexto.
El AI Act no es un texto unificado que entra de golpe el 2 de agosto de 2026: es una norma con cuatro fechas de aplicación distintas, cuatro categorías de riesgo y cuatro roles para los sujetos obligados. Sin esa anatomía básica, leerlo es como leer un calendario al revés.
Este artículo organiza esa anatomía. Qué es el reglamento, por qué existe, cómo clasifica los sistemas de IA, a quién aplica, qué dice cada artículo clave y dónde está la información oficial.
Sin recomendaciones para casos concretos, sin pasos accionables, sin diagnósticos por sector: información para que cualquier decisor que lea el texto del reglamento sepa por dónde empezar.
⚠️ Este artículo es divulgación informativa sobre el Reglamento (UE) 2024/1689 (AI Act). No constituye asesoramiento legal. Cada caso requiere análisis jurídico individual por un profesional colegiado.
Para decisiones de cumplimiento concretas sobre una organización, conviene consultar con un abogado especializado en derecho digital o con la AESIA.
El Reglamento (UE) 2024/1689 [1] del Parlamento Europeo y del Consejo, también conocido como AI Act o Reglamento de Inteligencia Artificial, es la primera norma general a nivel mundial con rango de ley que regula la inteligencia artificial.
Fue adoptado el 13 de junio de 2024, publicado en el Diario Oficial de la Unión Europea el 12 de julio de 2024 [1] y entró en vigor el 1 de agosto de 2024, veinte días después de su publicación, conforme al artículo 113 [1] [2].
Al tratarse de un reglamento europeo, el AI Act es directamente aplicable en todos los Estados miembros sin necesidad de transposición a la legislación nacional.
España puede dictar leyes complementarias que desarrollen aspectos sancionadores u organizativos, pero el contenido sustantivo del reglamento ya forma parte del derecho aplicable en el país desde la fecha de entrada en vigor.
El propio texto declara su objetivo: mejorar el funcionamiento del mercado interior y promover una IA centrada en el ser humano y fiable, garantizando un alto nivel de protección de la salud, la seguridad y los derechos fundamentales frente a los riesgos potenciales de la inteligencia artificial [1].
La propuesta inicial del reglamento llegó de la Comisión Europea en abril de 2021, en un momento en el que los grandes modelos de lenguaje aún no habían explotado en el uso público.
Las negociaciones del trílogo entre Comisión, Parlamento y Consejo se prolongaron casi tres años, atravesadas por la irrupción de ChatGPT a finales de 2022, que obligó a reabrir partes del texto para incorporar los modelos de propósito general.
El enfoque que la UE eligió no es regular una tecnología concreta, sino el riesgo que cualquier sistema de IA introduce sobre derechos fundamentales, salud o seguridad [3].
La misma técnica algorítmica puede ser de riesgo mínimo en un filtro de correo y de alto riesgo en un proceso de contratación. Lo que el reglamento mide no es cómo está construido el sistema, sino qué hace y qué puede dañar.
Este enfoque basado en riesgo diferencia al AI Act de marcos contemporáneos en otras jurisdicciones — Estados Unidos avanza con órdenes ejecutivas sectoriales, China con normas por aplicación específica — y lo coloca como la primera arquitectura regulatoria horizontal y obligatoria del mundo. Lo que no significa que sea perfecta, pero sí que es la primera referencia con la que las demás se compararán.
El reglamento clasifica los sistemas de IA en cuatro niveles, cada uno con obligaciones distintas.
El artículo 5 del Reglamento [1] prohíbe directamente ciertas prácticas.
No se trata de regularlas: se trata de que no pueden existir en el mercado europeo. Entre ellas:
Estas prohibiciones se aplican desde el 2 de febrero de 2025 [1].
El artículo 6 y el Anexo III del Reglamento [1] definen los sistemas considerados de alto riesgo. Son sistemas que plantean un riesgo significativo de daño para la salud, la seguridad o los derechos fundamentales.
El Anexo III enumera los ámbitos cubiertos:
Los sistemas listados quedan sujetos a obligaciones reforzadas:
Estas obligaciones se aplican desde el 2 de agosto de 2026 [1].
El artículo 50 del Reglamento [1] establece obligaciones de transparencia para sistemas que interactúan con personas o generan contenido:
También se aplican desde el 2 de agosto de 2026.
Todo lo demás:
El reglamento no impone obligaciones específicas más allá del cumplimiento del marco legal general aplicable — protección de datos, consumo, propiedad intelectual.
Sí fomenta códigos de conducta voluntarios para esta categoría, sin convertirlos en obligatorios.
La consecuencia práctica del enfoque por capas:
El AI Act distingue cuatro roles. Las obligaciones varían según el rol que ocupe el sujeto en la cadena de valor, no según su tamaño o sector. La tabla resume las definiciones del reglamento [1]:
| Rol | Definición |
|---|---|
| Proveedor | Persona física o jurídica que desarrolla un sistema IA o lo comercializa bajo su propio nombre o marca. |
| Responsable de despliegue | Persona física o jurídica que utiliza un sistema IA bajo su autoridad, excepto en una actividad personal de carácter no profesional. |
| Importador | Persona física o jurídica establecida en la UE que introduce en el mercado un sistema IA con el nombre de un proveedor no establecido en la UE. |
| Distribuidor | Persona física o jurídica de la cadena de suministro, distinta del proveedor y del importador, que comercializa un sistema IA en la UE. |
La mayoría de empresas españolas que usan sistemas de IA de terceros — sin desarrollarlos ni reetiquetarlos — actúan como responsable de despliegue.
Es el rol con obligaciones más limitadas en los sistemas de alto riesgo: garantizar uso conforme a las instrucciones del proveedor, supervisión humana, registro de incidentes graves y cooperación con autoridades.
El reglamento tiene alcance extraterritorial: aplica a cualquier proveedor o responsable de despliegue cuyo sistema se comercialice o cuyos resultados se utilicen en la Unión Europea, con independencia de dónde tenga la sede el proveedor.
La lógica es la misma del RGPD: la jurisdicción no se ata a la dirección de la empresa, sino al mercado donde el sistema opera.
Quedan fuera del alcance del reglamento los sistemas IA utilizados exclusivamente con fines militares, de defensa o de seguridad nacional, la investigación científica previa a la comercialización y el uso personal de carácter no profesional [1].
El AI Office (Oficina Europea de IA), integrado en la Comisión Europea, es la sede regulatoria principal [3]. Coordina la aplicación del reglamento a nivel europeo, supervisa a los proveedores de modelos de propósito general y emite códigos de buenas prácticas y directrices.
A nivel nacional, cada Estado miembro debe designar una o varias autoridades nacionales competentes. En España, la autoridad designada es la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) [4], creada por el Real Decreto 729/2023 y con sede en A Coruña.
España fue el primer país europeo en dotarse de un organismo de estas características, adelantándose a la entrada en vigor del reglamento.
AESIA ejerce funciones de supervisión, inspección, asesoramiento técnico, formación y promoción de sandboxes regulatorios [4]. Tiene potestad sancionadora desde agosto de 2025 para las prácticas prohibidas del artículo 5, y la asumirá íntegramente cuando entre en vigor la aplicación general del reglamento en agosto de 2026.
Cuando un sistema de IA trata datos personales, la Agencia Española de Protección de Datos (AEPD) mantiene sus competencias bajo el RGPD. AESIA y AEPD pueden investigar el mismo sistema desde ángulos distintos: AESIA por la dimensión IA, AEPD por la dimensión de protección de datos.
A esto se añade un anteproyecto de Ley española de Inteligencia Artificial, en tramitación parlamentaria a fecha de este artículo, que adapta el reglamento europeo al ordenamiento jurídico español.
Endurece el régimen sancionador para empresas y, según la versión actual del texto, exime a la Administración Pública de multas económicas — decisión que ha sido criticada por colectivos de internautas y expertos en derecho digital.
El anteproyecto no sustituye al reglamento europeo, que es directamente aplicable, pero sí desarrolla aspectos nacionales como sanciones y organismos.
El AI Act no entra en vigor de golpe. El artículo 113 del Reglamento [1] fija un calendario escalonado:
| Fecha | Hito |
|---|---|
| 12 julio 2024 | Publicación en el DOUE |
| 1 agosto 2024 | Entrada en vigor del reglamento |
| 2 febrero 2025 | Aplicación de las prohibiciones (riesgo inaceptable) y alfabetización en IA |
| 2 agosto 2025 | Aplicación de normas para modelos GPAI, gobernanza, confidencialidad y régimen sancionador |
| 2 agosto 2026 | Aplicación general del reglamento, incluidas obligaciones para sistemas de alto riesgo del Anexo III y obligaciones de transparencia del art. 50 |
| 2 agosto 2027 | Aplicación del art. 6.1 (sistemas de alto riesgo que son componente de seguridad de productos regulados) y cumplimiento final para modelos GPAI comercializados antes de agosto 2025 |
A junio de 2026, las prohibiciones del artículo 5, las obligaciones para modelos de propósito general y el régimen sancionador completo ya están en vigor.
La gran fecha pendiente es el 2 de agosto de 2026, cuando se activa la aplicación general del reglamento y, con ella, las obligaciones de alto riesgo del Anexo III.
El artículo 99 del Reglamento [1] establece tres niveles de sanción:
| Nivel | Importe máximo | Porcentaje | Tipo de infracción |
|---|---|---|---|
| Nivel 1 | 35 millones € | 7% volumen de negocio anual mundial | Incumplimiento de prácticas prohibidas del art. 5 |
| Nivel 2 | 15 millones € | 3% volumen de negocio anual mundial | Incumplimiento de obligaciones distintas a las del art. 5 |
| Nivel 3 | 7,5 millones € | 1% volumen de negocio anual mundial | Suministro de información incorrecta o engañosa a autoridades |
La regla general es que se aplica la cifra mayor entre el importe fijo y el porcentaje sobre facturación.
El reglamento contempla un régimen atenuado para pequeñas y medianas empresas, incluidas las empresas emergentes: las multas se calculan sobre la cifra menor entre el importe fijo y el porcentaje, en aplicación del principio de proporcionalidad [1].
Para una pyme con dos millones de euros de facturación, esto cambia radicalmente el cálculo de exposición real.
Los modelos de propósito general tienen un régimen sancionador específico en el artículo 101: hasta 15 millones de euros o el 3% del volumen de negocio anual mundial.
Los factores que las autoridades nacionales sopesan para fijar la multa concreta están enumerados en el artículo 99.7 del Reglamento [1]: naturaleza, gravedad y duración de la infracción; número de personas afectadas; tamaño de la empresa; nivel de cooperación durante la investigación; medidas adoptadas para mitigar el daño; carácter doloso o negligente del incumplimiento; antecedentes.
Los modelos de propósito general — la categoría a la que pertenecen GPT, Claude, Gemini, Mistral y similares — recibieron en la fase final del trílogo un capítulo propio.
Son modelos entrenados con grandes cantidades de datos y capaces de realizar tareas distintas, integrados después en aplicaciones específicas por terceros.
El Capítulo V del Reglamento [1] (artículos 51 a 56) regula a los proveedores de estos modelos, con obligaciones aplicables desde el 2 de agosto de 2025.
Las obligaciones estándar incluyen documentación técnica, información para proveedores intermedios, política de cumplimiento de derechos de autor y resumen del contenido de entrenamiento.
El reglamento distingue dentro de los GPAI a aquellos con riesgo sistémico: modelos con capacidades de alto impacto, con un umbral inicial fijado en cómputo total de entrenamiento igual o superior a 10^25 FLOPs. Estos asumen obligaciones adicionales: evaluaciones de modelo, mitigación de riesgos sistémicos, notificación de incidentes graves y ciberseguridad.
Para el lector profesional español, esto significa que los modelos que su empresa usa día a día — ChatGPT, Claude, Gemini — están sujetos a obligaciones que recaen sobre sus proveedores (OpenAI, Anthropic, Google).
El responsable de despliegue no asume esas obligaciones, salvo que modifique sustancialmente un GPAI, en cuyo caso pasa a ocupar el rol de proveedor con todo lo que conlleva.
El AI Act no sustituye al RGPD. Coexiste con él. Cuando un sistema de IA trata datos personales, ambos marcos aplican simultáneamente desde ángulos distintos.
El RGPD regula el tratamiento de datos personales con independencia de la tecnología que se utilice. El AI Act regula los sistemas de IA con independencia del tipo de datos que procesen.
Los puntos de solapamiento son varios:
Una diferencia significativa para el cálculo de riesgos: el RGPD topa su sanción máxima en el 4% del volumen de negocio mundial; el AI Act la sube hasta el 7% para las prácticas prohibidas.
Las empresas que ya operaban con conciencia de RGPD encuentran en el AI Act un techo sancionador superior y una autoridad nacional adicional con la que tratar.
El reglamento construye su impacto sobre empresas españolas a partir de tres dimensiones:
Una pyme que usa ChatGPT para tareas administrativas —el punto de partida habitual al empezar a usar IA en una empresa— actúa como responsable de despliegue de un sistema de riesgo limitado o mínimo.
Sus obligaciones se concentran en la transparencia hacia clientes — informar de que el contenido es generado por IA cuando lo distribuye — y en el cumplimiento general de derechos de autor y protección de datos. No accede a las obligaciones reforzadas del Anexo III.
Una empresa con chatbot de atención al cliente está bajo el artículo 50: el chatbot debe informar al usuario de que está hablando con un sistema IA. Si además el chatbot toma decisiones automatizadas sobre clientes — concesión o denegación de servicios, evaluación de elegibilidad — entra en la órbita del Anexo III y pasa a ser de alto riesgo.
Una empresa que usa IA para cribado de CVs está claramente en el Anexo III, sección de empleo.
El reglamento la trata como responsable de despliegue de un sistema de alto riesgo desde el 2 de agosto de 2026.
Las obligaciones incluyen supervisión humana significativa, registro del uso del sistema, transparencia hacia los candidatos y cooperación con autoridades en caso de incidente.
Lo que define la exposición de una organización no es su sector ni su tamaño, sino el cruce entre el sistema concreto que utiliza y la lista del Anexo III.
Cada combinación debe analizarse por separado, y este análisis es exactamente el tipo de trabajo que corresponde a un profesional especializado en derecho digital, no a una guía editorial.
Para profundizar en cualquier dimensión del reglamento, las fuentes primarias son las que se enumeran a continuación. Cualquier información sustantiva que circule en blogs, prensa generalista o webs comerciales debe poder rastrearse hasta una de estas referencias [1] [3] [4].
El AI Act es el reglamento europeo que ordena el desarrollo y uso de la inteligencia artificial en la Unión bajo un enfoque basado en riesgo, no en tecnología. Cuatro categorías de riesgo, cuatro roles de sujetos obligados, cuatro fechas de aplicación escalonada entre 2025 y 2027.
Las prohibiciones del artículo 5 y las obligaciones para modelos de propósito general ya están en vigor. El régimen sancionador completo es operativo desde agosto de 2025.
La gran fecha pendiente es el 2 de agosto de 2026, cuando se activa la aplicación general y, con ella, las obligaciones para sistemas de alto riesgo del Anexo III.
En España, AESIA es la autoridad nacional de supervisión, con sede en A Coruña. Cuando el sistema trata datos personales, AEPD mantiene competencias bajo el RGPD. Ambas pueden investigar el mismo sistema desde ángulos distintos.
El régimen sancionador del artículo 99 fija tres niveles, con un techo de 35 millones de euros o el 7% del volumen de negocio mundial para las prácticas prohibidas. Las pymes tienen un régimen atenuado.
La exposición real de una organización no depende de su tamaño ni de su sector, sino del cruce entre el sistema concreto que utiliza y el listado del Anexo III.
Ese análisis es trabajo de un profesional especializado en derecho digital, no de una pieza editorial.
RECOMENDADO
El reglamento entró en vigor el 1 de agosto de 2024, veinte días después de su publicación en el DOUE. Su aplicación es escalonada: las prohibiciones del artículo 5 y la alfabetización en IA aplican desde el 2 de febrero de 2025; las obligaciones para modelos de propósito general, la gobernanza y el régimen sancionador desde el 2 de agosto de 2025; la aplicación general del reglamento desde el 2 de agosto de 2026; el artículo 6.1 desde el 2 de agosto de 2027.
El reglamento aplica a proveedores, responsables de despliegue, importadores y distribuidores de sistemas de IA comercializados o utilizados en la Unión Europea, con independencia de dónde tenga la sede el sujeto. Es decir, alcanza a cualquier empresa que desarrolle, importe, distribuya o use sistemas de IA dentro del mercado europeo, incluidas pymes y autónomos.
El reglamento clasifica los sistemas de IA en cuatro niveles: riesgo inaceptable (prácticas prohibidas del artículo 5), alto riesgo (sistemas del Anexo III con obligaciones reforzadas), riesgo limitado (obligaciones de transparencia del artículo 50) y riesgo mínimo (sin obligaciones específicas más allá del marco legal general).
El artículo 99 fija tres niveles: hasta 35 millones de euros o 7% del volumen de negocio mundial para infracciones de prácticas prohibidas; hasta 15 millones de euros o 3% para el resto de incumplimientos; hasta 7,5 millones de euros o 1% para información incorrecta a autoridades. Se aplica la cifra mayor. Las pymes tienen un régimen atenuado donde se aplica la cifra menor.
No. El AI Act coexiste con el RGPD. Cuando un sistema de IA trata datos personales, ambos marcos aplican desde ángulos distintos. El RGPD regula el tratamiento de datos; el AI Act regula los sistemas. En España, AEPD mantiene competencias bajo RGPD; AESIA supervisa el AI Act.
La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), creada por el Real Decreto 729/2023 y con sede en A Coruña. Es el primer organismo nacional de supervisión de IA creado en la Unión Europea. Tiene competencias sancionadoras desde agosto de 2025 para las prácticas prohibidas, y las asume íntegramente con la aplicación general del reglamento.
Sí. El reglamento tiene alcance extraterritorial: se aplica a cualquier sistema de IA comercializado o cuyos resultados se utilicen en el mercado europeo, con independencia de dónde esté la sede del proveedor. La lógica jurisdiccional sigue el modelo del RGPD.
Este artículo es información, no asesoramiento legal. Para cualquier decisión de cumplimiento sobre una organización concreta, consulta con un abogado especializado en derecho digital o con AESIA.
