Contáctanos

AI Act 2025: qué es, cómo te afecta y qué debe hacer tu empresa para cumplir la normativa europea de inteligencia artificial

Por /

El 1 de agosto de 2024 entró en vigor el AI Act, oficialmente conocido como Reglamento Europeo de Inteligencia Artificial. Es la primera legislación integral sobre IA del mundo y afecta a cualquier empresa que opere en la Unión Europea, o que ofrezca productos o servicios a ciudadanos europeos, independientemente de su tamaño.

Si tu empresa usa un chatbot de atención al cliente, un motor de recomendaciones en tu tienda online, herramientas de generación de contenido o cualquier sistema que incorpore inteligencia artificial, el AI Act te afecta. La pregunta no es si te aplica, sino en qué medida y con qué obligaciones.

La buena noticia es que la mayoría de usos de IA en pymes y ecommerce caen en las categorías de riesgo mínimo o limitado, cuyas exigencias son perfectamente asumibles. La mala noticia es que el desconocimiento no te exime del cumplimiento, y los plazos ya están corriendo.

Este artículo es la guía definitiva para entender el AI Act sin ser abogado: qué regula, cómo clasifica los riesgos, qué rol juega tu empresa, qué obligaciones concretas tienes, cuáles son los plazos y las sanciones, y qué pasos dar desde hoy.

Qué es el AI Act y por qué existe

El AI Act es un reglamento europeo que regula el uso de sistemas de inteligencia artificial utilizando un enfoque basado en el riesgo. No regula la tecnología como tal. Es decir, no prohíbe algoritmos ni modelos concretos, sino que regula cómo se usa esa tecnología y qué impacto tiene en las personas.

Esto significa algo muy importante para tu empresa: un mismo modelo de IA (por ejemplo, ChatGPT o Gemini) puede tener obligaciones completamente diferentes según para qué lo uses. Usarlo para generar descripciones de producto es riesgo mínimo. Usarlo para filtrar candidatos en un proceso de selección es alto riesgo. La tecnología es la misma; lo que cambia es el uso.

La lógica es similar a la del GDPR con los datos personales: no prohíbe usar IA, pero exige que lo hagas con transparencia, evidencias y supervisión humana proporcionales al riesgo que generas.

Para pymes: El AI Act contempla medidas de apoyo específicas: sandboxes regulatorios donde puedes probar tus sistemas con orientación de las autoridades, sanciones proporcionalmente reducidas y documentación simplificada para empresas pequeñas. No estás solo ante la norma.

Los cuatro niveles de riesgo explicados con ejemplos

La clasificación de riesgo es la decisión más importante que vas a tomar en relación con el AI Act. Determina todas las obligaciones que se activan para tu empresa. Se establece respondiendo cuatro preguntas: ¿el sistema afecta a personas? ¿Produce efectos legales o significativos? ¿En qué entorno se usa? ¿Qué rol tiene tu empresa?

Nivel 1: Riesgo inaceptable (prohibido)

Sistemas que no se pueden poner en servicio bajo ninguna circunstancia. No admiten controles ni mitigación, están directamente prohibidos:

  • Manipulación subliminal que cause daño significativo a las personas.
  • Puntuación social (social scoring) por parte de autoridades públicas.
  • Categorización biométrica por atributos sensibles: raza, religión, orientación sexual.
  • Reconocimiento de emociones en entornos de trabajo o educación.
  • Scraping masivo de imágenes faciales para crear bases de datos biométricas.
  • Identificación biométrica en tiempo real en espacios públicos (salvo excepciones policiales muy tasadas).

¿Te afecta? Probablemente no. Ninguno de estos usos es habitual en pymes o ecommerce. Pero es importante conocerlos para saber dónde está la línea roja.

Nivel 2: Alto riesgo

Sistemas de IA que toman o apoyan decisiones que afectan a derechos fundamentales de las personas. Hay dos tipos:

Alto riesgo por uso (sistemas autónomos):

  • Empleo y gestión de personas: Selección de personal, evaluación de rendimiento, decisiones de despido. Si usas IA para filtrar CVs o priorizar candidatos, estás aquí.
  • Educación: Admisión, evaluación académica, acreditaciones.
  • Servicios esenciales: Acceso a seguros, préstamos, vivienda, sanidad, ayudas públicas, energía. Cualquier sistema de IA que decida si alguien accede a un servicio básico.
  • Servicios financieros: Evaluación de solvencia crediticia, prevención de fraude.
  • Justicia y aplicación de la ley: Migración, control de fronteras, procesos judiciales.
  •  

Alto riesgo embebido (componentes de seguridad en productos regulados):

  • Dispositivos médicos con IA, sistemas industriales de parada de emergencia, vehículos autónomos.

Obligaciones: Gestión de riesgos documentada, gobernanza del dato, expediente técnico completo, supervisión humana obligatoria, logs de trazabilidad, evaluación de conformidad, FRIA (evaluación de impacto en derechos fundamentales) y vigilancia post-comercialización.

¿Te afecta? Si usas IA para seleccionar personal, evaluar la solvencia de clientes o tomar decisiones que afecten al acceso a servicios, sí. En ese caso necesitas un expediente técnico completo, FRIA, supervisión humana designada y logs auditables.

Nivel 3: Riesgo limitado

Sistemas que no son de alto riesgo pero requieren obligaciones de transparencia:

  • Avisar al usuario de que está interactuando con un sistema de IA, no con un humano (chatbots, asistentes virtuales).
  • Etiquetar el contenido generado por IA: textos, imágenes, vídeos, audio sintético.
  • Incluir marcas de agua o metadatos de detectabilidad en contenido sintético.

¿Te afecta? Muy probablemente sí. Si tienes un chatbot en tu web, usas IA para generar descripciones de producto o creas contenido con herramientas de IA generativa, necesitas cumplir estas obligaciones de transparencia.

Nivel 4: Riesgo mínimo

La gran mayoría de los usos de IA en una pyme: filtros de spam, motores de recomendación de productos, automatizaciones internas de procesos sin impacto directo en personas, IA en videojuegos. No tienen restricciones especiales más allá del cumplimiento general de la legislación vigente (protección al consumidor, competencia, etc.).

Un mismo modelo puede ser riesgo mínimo o alto riesgo. Lo que importa no es la tecnología, sino el uso.

¿Qué rol tiene tu empresa? Proveedor, responsable del despliegue o distribuidor

Además del nivel de riesgo, el AI Act asigna obligaciones diferentes según el rol que desempeñe tu empresa en la cadena de valor del sistema de IA:

Proveedor (Provider)

Quien desarrolla el sistema de IA o lo pone en el mercado con su nombre o marca. También quien realiza cambios sustanciales en un sistema existente.

Si compras una solución de IA y la modificas significativamente para adaptarla a tu negocio (cambias el modelo, añades datos de entrenamiento propios, alteras la finalidad), puedes pasar de responsable del despliegue a proveedor. Esto activa obligaciones adicionales importantes.

Responsable del despliegue (Deployer)

La mayoría de pymes están aquí: integras, configuras y operas un sistema de IA desarrollado por un tercero en tu contexto organizativo. Usas Tidio para tu chatbot, Shopify Magic para recomendaciones, ChatGPT para contenido.

Tus obligaciones principales como responsable del despliegue:

    • Clasificar correctamente el riesgo de cada uso de IA en tu empresa.
    • Completar un DPIA (evaluación de impacto en protección de datos) si el sistema trata datos personales.
    • Realizar una FRIA si el sistema es de alto riesgo.
    • Designar una persona con competencia, autoridad y criterio para la supervisión humana.
    • Habilitar y mantener los logs del sistema.
    • No operar con los umbrales por defecto del proveedor sin validación local.

Error común: Uno de los fallos más frecuentes es operar simplemente con el paquete mínimo que entrega el proveedor: umbrales por defecto sin validar, logs insuficientes e ignorar la necesidad de DPIA o FRIA cuando procede. El compliance no se proclama, se demuestra con procesos verificables.

Importador y distribuidor

Si introduces en el mercado europeo sistemas de IA de proveedores de fuera de la UE, eres importador. Si simplemente los revendes sin modificarlos, eres distribuidor. Ambos roles tienen obligaciones de verificación: confirmar que el proveedor ha completado la evaluación de conformidad, que la documentación está en el idioma del país de destino y que el sistema llega con marcado y condiciones de uso seguro.

Modelos de propósito general (GPAI): ChatGPT, Gemini, Claude

Los modelos de propósito general o GPAI (General Purpose AI) son los grandes modelos multimodales y multitarea como ChatGPT, Gemini, Claude o Grok. El AI Act los trata como una categoría aparte, no como un nivel de riesgo.

Esto es importante: las obligaciones principales de los GPAI recaen sobre sus proveedores (OpenAI, Google, Anthropic, xAI), no sobre ti. Ellos deben proporcionar documentación técnica, informes de transparencia, cumplir reglas de copyright y, si el modelo supera el umbral de riesgo sistémico (10²⁵ FLOPs de entrenamiento), someterse a evaluaciones adicionales.

Lo que define tu riesgo es el uso, no el modelo. Usar Claude para generar descripciones de producto es riesgo mínimo. Usar Claude para evaluar candidatos en un proceso de selección es alto riesgo. La tecnología es idéntica; el contexto de aplicación cambia las obligaciones.

Calendario de cumplimiento: los plazos que ya están corriendo

El AI Act se aplica por fases. Algunos plazos ya han vencido:

  1. 1 de agosto de 2024: El reglamento entra en vigor.
  2. 2 de febrero de 2025: Prohibición de los sistemas de riesgo inaceptable. Si tienes alguno (improbable en una pyme), ya deberías haberlo retirado.
  3. 2 de agosto de 2025: Entran en vigor las obligaciones para proveedores de GPAI (OpenAI, Google, etc.) y las reglas de gobernanza del propio reglamento.
  4. 2 de agosto de 2026: Fecha crítica. Entran en vigor las obligaciones para sistemas de alto riesgo (nuevos). Si tu empresa usa IA en selección de personal, evaluación crediticia o servicios esenciales, este es tu deadline.
  5. 2 de agosto de 2027: Entran en vigor las obligaciones para sistemas de alto riesgo embebidos en productos regulados (dispositivos médicos, maquinaria industrial, etc.).

Acción inmediata: Si tu empresa usa IA en cualquier contexto, haz un inventario de todos los sistemas activos y clasifícalos por nivel de riesgo antes de agosto de 2026. No esperes a la fecha límite: la clasificación y la documentación llevan tiempo.

Sanciones: cuánto te puede costar no cumplir

El AI Act establece un régimen sancionador proporcional al nivel de infracción:

  • Sistemas prohibidos: Hasta 35 millones de euros o el 7% de la facturación global anual (lo que sea mayor).
  • Incumplimiento en alto riesgo: Hasta 15 millones de euros o el 3% de la facturación global.
  • Información incorrecta a autoridades: Hasta 7,5 millones de euros o el 1% de la facturación global.

Para pymes, las sanciones se calculan con un tope diferente: se aplica la cifra más baja entre el importe fijo y el porcentaje de facturación, no la más alta. Esto protege a las empresas pequeñas de sanciones desproporcionadas.

Hagamos un ejemplo práctico: una pyme con 2 millones de euros de facturación anual que incumple en un sistema de alto riesgo. El 3% de 2 millones son 60.000€, mucho menos que los 15 millones de tope. Al ser pyme, se aplica la cifra menor: 60.000€. Pero 60.000€ siguen siendo un golpe serio para una empresa de ese tamaño.

Realidad: Las sanciones no son la única consecuencia. Una investigación abierta por las autoridades daña la reputación, consume recursos legales y puede paralizar operaciones. El cumplimiento proactivo es siempre más barato que la reacción.

Cómo encaja el AI Act con el resto de normativas

El AI Act no opera en aislamiento. Se integra en un mapa normativo europeo más amplio que necesitas conocer:

  • GDPR (Protección de Datos): La base de todo. Cualquier sistema de IA que procese datos personales debe cumplir el GDPR: base legal, consentimiento, derechos del interesado, DPIA. Un proyecto de IA que no cumpla con el GDPR nunca podrá demostrar conformidad con el AI Act.
  • DMA (Mercados Digitales): Regula a los grandes gatekeepers (Google, Apple, Meta, Amazon). Te afecta indirectamente si operas en sus plataformas: interoperabilidad obligatoria, prohibición del self-preferencing.
  • DSA (Servicios Digitales): Exige transparencia en algoritmos de recomendación y publicidad dirigida. Si vendes en marketplaces, esto te impacta.
  • NIS2 (Ciberseguridad): Si tu IA opera sobre infraestructura crítica o estás en un sector esencial, necesitas autenticación multifactor, cifrado, detección de intrusiones y notificación de incidentes.

La buena noticia es que muchas de estas normativas comparten principios: transparencia, proporcionalidad, responsabilidad y derechos del ciudadano. Si ya cumples bien con el GDPR, tienes una base sólida para abordar el AI Act.

¿Qué sistemas que ya usas están afectados? Haz tu inventario

Antes de preocuparte por el compliance, necesitas saber qué tienes. Haz un inventario rápido de todos los sistemas de IA activos en tu empresa y clasifícalos:

  • Chatbot de atención al cliente: Riesgo limitado. Obligación: avisar al usuario de que habla con una IA.
  • Motor de recomendaciones de productos: Riesgo mínimo. Sin obligaciones especiales.
  • Generación de contenido (textos, imágenes): Riesgo limitado. Obligación: etiquetar como generado por IA.
  • Automatización de email marketing: Riesgo mínimo. Sin obligaciones especiales.
  • Filtros de spam y seguridad: Riesgo mínimo.
  • Selección de personal con IA: Alto riesgo. Obligaciones completas: expediente técnico, FRIA, supervisión humana, logs.
  • Evaluación crediticia o de solvencia: Alto riesgo. Mismas obligaciones.
  • Análisis predictivo de demanda: Riesgo mínimo (si no afecta a personas individuales directamente).

Para cada sistema, documenta: qué hace, a quién afecta, qué datos utiliza, quién es el proveedor, qué rol tiene tu empresa y qué normativas aplican (AI Act, GDPR, DSA, NIS2).

Primeros pasos: qué hacer desde hoy

No necesitas un departamento legal propio para empezar. Estos son los pasos concretos que puedes dar desde ya:

    1. Haz el inventario de sistemas de IA. Lista todos los sistemas activos con su función, proveedor y datos que procesan.
    2. Clasifica cada sistema por riesgo. Responde las cuatro preguntas de clasificación para cada uno: ¿afecta a personas? ¿Efectos legales? ¿Entorno? ¿Rol de tu empresa?
    3. Identifica tus obligaciones inmediatas. Si tienes chatbots o generas contenido con IA, añade los avisos de transparencia ya. Es la acción más rápida y de mayor impacto.
    4. Revisa los contratos con tus proveedores de IA. Solicita su factsheet técnico, verifica que tienen DPA firmado, confirma la cláusula de reversibilidad y los SLA.
    5. Si tienes sistemas de alto riesgo, inicia el expediente técnico. No dejes para 2026 un documento que requiere meses de trabajo: finalidad, datos, arquitectura, métricas, supervisión humana, logs, riesgos y salvaguardas.
    6. Designa un responsable. No necesitas un comité de 10 personas. Necesitas una persona con competencia, autoridad y acceso a la información relevante que se responsabilice del cumplimiento.
    7. Forma a tu equipo. Las personas que interactúan con sistemas de IA necesitan entender qué están usando, qué pueden hacer y dónde están los límites.

El compliance no se proclama: se demuestra con procesos verificables.

Resumen: lo que necesitas recordar

El AI Act no es una amenaza para tu negocio. Bien gestionado, puede convertirse en un marco que te dé ventaja competitiva. Las empresas que demuestren cumplimiento generarán más confianza en sus clientes, accederán a mercados regulados y evitarán sanciones que pueden ser desproporcionadas para una pyme.

Lo esencial:

  • El AI Act regula usos, no tecnologías. Tu riesgo depende de para qué usas la IA.
  • La mayoría de pymes están en riesgo mínimo o limitado. Las obligaciones son asumibles.
  • Los plazos ya corren. Agosto de 2026 es la fecha crítica para sistemas de alto riesgo.
  • El inventario es el primer paso. No puedes cumplir lo que no has identificado.
  • El GDPR es la base. Si lo cumples bien, el AI Act es una extensión natural.

Si quieres profundizar en cómo integrar el AI Act en un modelo de gobernanza operativo con decisiones, métricas y semáforos, lee nuestro artículo sobre cómo montar un comité de IA efectivo. Y si necesitas acompañamiento para el inventario, la clasificación o la documentación de cumplimiento, en Impulsa3 te ayudamos con un enfoque práctico y sin jerga legal innecesaria.

Scroll al inicio
Linkedin Instagram