Saltar al contenido principal →
Buscar Acceso clientes

Reglamento de IA · UE 2024/1689

Cumple el AI Act sin perder
semanas intentando entenderlo

Diagnóstico, clasificación de riesgos, plan de acción y hoja de ruta para que tu empresa cumpla el Reglamento de Inteligencia Artificial de la UE — financiable hasta 24.000 € con el Kit Consulting.

Solicita diagnóstico gratuito →

Sin compromiso. Respuesta en menos de 48 h.

El AI Act ya aplica — y la mayoría de pymes no saben qué tienen que hacer

Desde el 2 de febrero de 2025 el Reglamento de Inteligencia Artificial de la UE (AI Act, EU 2024/1689) tiene fuerza de ley en toda España. No es una propuesta ni un borrador: es derecho vigente, con un regulador activo — la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña — y con un régimen sancionador escalonado (art. 99) que conviene entender bien, porque la cifra que más se repite en los titulares no es la que se aplica en la mayoría de los casos:

Y hay un matiz que casi nadie cuenta y que cambia mucho el cálculo: para las pymes la regla se invierte. Donde a una gran empresa se le aplica el importe mayor de los dos (la cifra fija o el porcentaje), a una pyme se le aplica el menor de los dos (art. 99.6). Atribuir el 7 % a los sistemas de alto riesgo, como se lee a menudo, es sencillamente incorrecto.

Y sin embargo, el 45 % de las pymes españolas no sabe si el AI Act les afecta. La confusión más habitual es creer que la norma solo obliga a quien desarrolla inteligencia artificial — OpenAI, Microsoft, Google. Error. Quien despliega o usa un sistema con IA dentro de su empresa es «implantador» según el reglamento, y tiene obligaciones propias, con independencia de lo que cumpla el proveedor tecnológico.

¿Usas un chatbot en tu web? ¿Tu CRM puntúa leads automáticamente? ¿Tienes un asistente de IA en tu correo, en tu ERP o en tu proceso de selección de personal? Entonces el AI Act te afecta. Y hay plazos que ya han pasado:

Es decir: agosto de 2026 está a semanas y, salvo que el aplazamiento llegue a publicarse antes, concentra tanto la transparencia del Art. 50 como el alto riesgo del Anexo III. Aún hay tiempo de hacerlo bien si empiezas ahora.

Estado normativo a 13 de julio de 2026 — dos fechas, no una. Aquí conviene ser preciso, porque casi todo lo que se lee por ahí sustituye una fecha por la otra, y eso es justo lo que puede dejarte fuera de plazo:

  • Lo que obliga hoy: el artículo 113 del AI Act no está modificado. Tal y como está publicado, la fecha de las obligaciones del Anexo III sigue siendo el 2 de agosto de 2026.
  • Lo que va a cambiar: el «Digital Omnibus» sobre IA (propuesta COM(2025) 836) fue adoptado por el Consejo el 29 de junio de 2026 y firmado el 8 de julio de 2026, pero todavía no se ha publicado en el DOUE. Cuando se publique entrará en vigor a los tres días, y solo entonces trasladará las obligaciones del Anexo III al 2 de diciembre de 2027 y las del Anexo I al 2 de agosto de 2028.
  • Lo que no se aplaza en ningún caso: las prácticas prohibidas del artículo 5, vigentes desde el 2 de febrero de 2025, y las obligaciones de los modelos de IA de uso general, vigentes desde el 2 de agosto de 2025.

Mientras el aplazamiento no salga en el DOUE, planificar sobre diciembre de 2027 es asumir un riesgo que no te corresponde. Las obligaciones de transparencia (Art. 50) y de formación (Art. 4) siguen en su sitio en cualquier caso. Actualizaré esta página con el número definitivo — «Reglamento (UE) 2026/…» — en cuanto se publique.

Qué incluye el proyecto de cumplimiento del AI Act

Un proyecto de adecuación al AI Act no es rellenar un formulario ni encargar un informe genérico de 200 páginas que nadie lee. Es un trabajo estructurado en fases, con entregables concretos, que deja a tu empresa con la documentación y los procesos necesarios para responder a cualquier inspección de la AESIA o a cualquier cuestionario de un cliente corporativo o de la Administración Pública.

Así es el proyecto que ofrezco:

Fase 1 — Inventario de sistemas de IA

Antes de clasificar nada hay que saber qué tienes. La IA está escondida en herramientas que muchas pymes no perciben como IA: filtros automáticos de email, clasificadores de tickets de soporte, asistentes en el ERP, scoring de leads en el CRM, herramientas de generación de contenido, chatbots de atención al cliente, IA en procesos de RRHH. El resultado de esta fase es un registro de inventario completo — qué sistemas usas, quién los provee, qué datos procesan, qué procesos de negocio afectan.

Fase 2 — Clasificación de riesgos según el AI Act

El reglamento establece cuatro niveles: riesgo inaceptable (prohibido), alto riesgo (Anexo III), riesgo limitado (obligaciones de transparencia) y riesgo mínimo (sin obligaciones específicas). Clasificar mal tiene consecuencias directas: si tratas un sistema de alto riesgo como si fuera de riesgo mínimo, las multas son de hasta 15 millones de euros o el 3 % del volumen de negocio mundial anual (art. 99.4; y si eres pyme, el menor de los dos importes, art. 99.6). El resultado de esta fase es una matriz de clasificación justificada por sistema, con la referencia exacta a los artículos y anexos del reglamento.

Fase 3 — Análisis de brechas (gap analysis)

Comparamos tu situación actual con lo que exige el AI Act para cada nivel de riesgo: documentación técnica, transparencia ante el usuario, supervisión humana, contratos con proveedores, registros de incidencias, evaluaciones de impacto. El resultado es un informe de brechas priorizado — qué cumples, qué te falta y qué es urgente.

Fase 4 — Plan de remediación y documentación

Cerramos las brechas identificadas. Esto incluye: política interna de uso de IA, cláusulas AI Act en contratos con proveedores tecnológicos, procedimiento de supervisión humana, protocolo de notificación de incidentes a la AESIA (plazo máximo de 15 días), y — para sistemas de alto riesgo — la documentación técnica exigida por el Anexo IV del reglamento. El resultado es un dossier de cumplimiento listo para auditoría y una hoja de ruta con plazos realistas.

Fase 5 — Formación del equipo (Art. 4 — alfabetización en IA)

El Art. 4 del AI Act obliga a garantizar que toda persona que trabaje con sistemas de IA tenga un nivel suficiente de competencia en IA, adaptado a su función. No es optativo y lleva vigente desde febrero de 2025. Esta fase incluye un programa de formación por roles, con registro documentado de asistentes y evaluación — exactamente lo que exigiría la AESIA en una inspección.

Por qué trabajar conmigo y no con cualquier consultor

Hay muchos abogados y consultoras que han añadido «AI Act» a su cartera de servicios en los últimos doce meses. La mayoría ofrece solo la parte jurídica, o solo la parte tecnológica, o solo la formación. Ninguno de esos enfoques es suficiente solo.

Mi diferencial es que combino en un solo proyecto lo que normalmente requeriría contratar a tres proveedores distintos:

1. ENS + ISO 42001 + AI Act en un mismo proyecto

Si tu empresa trabaja con o licita a Administraciones Públicas, el Esquema Nacional de Seguridad (ENS) ya te exige controles sobre sistemas de información que se solapan con el AI Act. Y la ISO 42001 — el estándar internacional de sistemas de gestión de IA — es el marco que la AESIA considera como señal de madurez en cumplimiento. Tengo experiencia acreditada en los tres marcos y puedo construir un proyecto que avance los tres a la vez, sin duplicar documentación ni esfuerzo. Ningún otro perfil en España lo ofrece así.

2. Kit Consulting: financia hasta el 100 % del asesoramiento

Como agente asesor habilitado en el programa Kit Consulting de Red.es, puedo tramitar el bono que financia hasta 24.000 € del proyecto. Esto significa que, en la mayoría de los casos, el proyecto no te cuesta nada de bolsillo. Gestiono la solicitud, el justificativo y el cierre del expediente. No tienes que navegar la burocracia tú solo.

3. Experiencia en sector público y licitación

Si vendes a la AAPP o aspiras a hacerlo, sé cómo encaja el AI Act con el ENS y con los pliegos de condiciones técnicas que cada vez más organismos incluyen. Puedo ayudarte a posicionarte como proveedor de IA fiable ante la Administración, no solo a cumplir la norma.

4. Diagnóstico honesto del riesgo real

No voy a venderte un proyecto de certificación ISO 42001 si lo que necesitas es un gap analysis de tres semanas. Mi objetivo es darte un diagnóstico preciso de cuáles son tus obligaciones reales — que en muchos casos son mucho menos de lo que el pánico mediático sugiere — y un plan proporcional a tu situación. Sin inflar el alcance, sin vender más de lo que necesitas.

¿Para qué tipo de empresa es este servicio?

El AI Act afecta a casi cualquier empresa que use IA, pero hay perfiles que tienen más urgencia o más exposición al riesgo:

Financia hasta el 100 % con el Kit Consulting

El Kit Consulting es el programa de bonos de asesoramiento de Red.es, financiado con fondos NextGenerationEU, diseñado específicamente para pymes de entre 10 y 249 empleados. Los importes disponibles son:

El servicio de asesoramiento en Inteligencia Artificial del programa (hasta 6.000 € de la categoría IA dentro del bono total) cubre exactamente el tipo de trabajo que implica un proyecto de cumplimiento del AI Act: inventario de sistemas, análisis de herramientas, protocolos de gobernanza y hoja de ruta. Como agente asesor habilitado, yo me encargo de toda la tramitación del bono: solicitud, justificación, entregables y cierre del expediente ante Red.es.

El resultado es que muchas pymes pueden abordar el cumplimiento del AI Act con coste cero o muy reducido para la empresa. No tienes que elegir entre cumplir la norma y mantener la tesorería.

¿Tu empresa usa inteligencia artificial? Cuéntame tu caso.

En menos de 48 horas te digo si tienes obligaciones reales bajo el AI Act, qué implicaría resolverlas y si puedes financiarlo con el Kit Consulting. Sin compromiso.

Solicita el diagnóstico gratuito →

Preguntas frecuentes

¿Cuánto tiempo dura el proyecto?

Depende de cuántos sistemas de IA tiene tu empresa y de su complejidad. Para una pyme con menos de 50 empleados y entre 3 y 8 sistemas de IA, el proceso completo — desde el inventario hasta la entrega del dossier de cumplimiento — dura habitualmente entre 6 y 10 semanas. Si ya tienes certificaciones como ISO 27001 o ISO 9001, el tiempo se reduce porque gran parte de la documentación de base ya existe.

¿Necesito hacer esto si solo uso ChatGPT o Copilot internamente?

Depende de cómo lo uses. Si solo lo usas para tareas auxiliares (redactar emails, resumir documentos) sin que afecte a decisiones sobre personas ni a procesos críticos, tu nivel de riesgo es mínimo y tus obligaciones son pocas. Pero el Art. 4 (formación documentada del personal) aplica de todas formas desde febrero de 2025. Y si lo integras en procesos de atención al cliente, selección de personal o toma de decisiones, el análisis cambia completamente. Un diagnóstico te dirá exactamente dónde estás.

¿Puedes gestionarme también el Kit Consulting?

Sí. Como agente asesor del programa, me encargo de toda la tramitación: verificar que tu empresa cumple los requisitos de acceso, preparar la solicitud, coordinar los entregables del proyecto con los criterios de justificación de Red.es y gestionar el cierre del expediente. Tú te centras en el negocio; yo me encargo de la burocracia.

¿Trabajas con empresas fuera de Castilla y León?

Sí. Trabajo de forma presencial en Castilla y León y Canarias, y en remoto con empresas de cualquier punto de España. El 100 % del proyecto de cumplimiento del AI Act se puede ejecutar en remoto sin pérdida de calidad: todas las sesiones de trabajo, los talleres de formación y las revisiones documentales se hacen por videollamada y con documentación compartida en tiempo real.

¿Qué diferencia hay entre cumplir el AI Act y certificarse en ISO 42001?

El AI Act es la ley: lo que estás obligado a cumplir si no quieres arriesgarte a una multa de la AESIA. La ISO 42001 es una norma de gestión voluntaria que te ayuda a estructurar y demostrar ese cumplimiento de forma sistemática. Son complementarias, no alternativas. Puedo ayudarte a cumplir el AI Act sin necesariamente certificarte en ISO 42001. Si más adelante quieres la certificación — porque un cliente te la exige o porque quieres usarla como diferenciador comercial — el trabajo hecho para el AI Act habrá avanzado ya el 60–70 % del camino.

¿Cuándo empieza a multar la AESIA?

La AESIA lleva operativa desde marzo de 2025, ya tiene investigaciones preliminares abiertas y una ventanilla de denuncias activa desde la que cualquier persona puede notificar un incumplimiento. La capacidad sancionadora plena está vigente desde agosto de 2025 para los sistemas de riesgo inaceptable y las obligaciones de los proveedores de modelos de IA de propósito general. Para las obligaciones de transparencia del Art. 50, la fecha relevante es agosto de 2026. No es cuestión de si la AESIA multa; es cuestión de cuándo le llega tu turno si no estás en regla.

Ángel Ortega Castro — Consultor de transformación digital y cumplimiento normativo. Especialista en AI Act, ENS, ISO 42001, ISO 27001 y Kit Consulting. Área de actuación: toda España, con presencia habitual en Castilla y León y Canarias. Contacto.