Clasificador de riesgo del Reglamento de IA (AI Act): ¿qué obligaciones tiene tu sistema?
Indica tu rol y marca qué hace tu sistema de IA. En menos de un minuto sabrás si estás ante una práctica prohibida, un sistema de alto riesgo, una obligación de transparencia o un modelo de propósito general (GPAI) — con los artículos exactos, el calendario de aplicación y las sanciones del Reglamento (UE) 2024/1689.
¿Cuál es tu rol respecto al sistema de IA?
El AI Act reparte las obligaciones según el papel que juegas — puedes tener más de uno, pero elige el que mejor describa tu situación principal.
¿Qué hace tu sistema de IA?
Marca todo lo que aplique. Si no marcas nada, entendemos que tu sistema no encaja en ninguna categoría con obligaciones específicas.
¿Cuántos empleados tiene tu empresa?
Determina si tienes acceso a las medidas de apoyo para pymes y startups del AI Act (arts. 62-63).
Esto es lo que hemos encontrado para tu sistema de IA
Tres pasos, ningún dato enviado.
Indicas tu rol
Proveedor, desplegador, importador, distribuidor o fabricante de producto — el AI Act reparte las obligaciones de forma distinta según el papel que juegas.
Marcas qué hace tu sistema
Checkboxes sobre sus usos y funciones reales, sin tecnicismos legales, agrupados por nivel de riesgo.
Todo ocurre en tu navegador
La lógica es JavaScript local: ninguna respuesta se envía a un servidor ni se almacena en ningún sitio.
Cruzamos con el Reglamento
Art. 5 (prohibido), Anexo I-III (alto riesgo), art. 50 (transparencia) y capítulo V (modelos GPAI), con las fechas reales tras el Digital Omnibus.
Obtienes tu clase de riesgo
Con obligaciones concretas, calendario de aplicación y sanciones exactas — más el enlace para profundizar en cada caso.
Cinco niveles de riesgo, un reglamento que ya aplica.
El AI Act — Reglamento (UE) 2024/1689 — es la primera ley integral de inteligencia artificial del mundo. Entró en vigor el 1 de agosto de 2024, pero no se aplica de golpe: lo hace por fases, y cada fase trae obligaciones y sanciones distintas según lo que haga tu sistema y el papel que juegues respecto a él. La confusión más habitual entre pymes españolas no es no saber que existe el AI Act, sino no saber en qué nivel de riesgo cae su caso concreto — y esa clasificación es la que determina si hay que actuar ya, en unos meses, o en absoluto.
El Reglamento organiza los sistemas de IA en una pirámide de cuatro niveles. En la base, la mayoría de usos de IA (analítica interna, automatización de tareas, IA como copiloto de productividad) no generan obligaciones específicas más allá de la alfabetización en IA del art. 4: que quien opera o usa el sistema entienda sus capacidades y límites. Por encima, el riesgo limitado del art. 50 obliga a la transparencia: que quede claro cuándo se interactúa con un chatbot y que el contenido sintético — imágenes, audio, vídeo o texto generado o manipulado, incluidos los deepfakes — quede identificado como tal. Estas obligaciones se aplican desde el 2 de agosto de 2026, con un margen transitorio hasta el 2 de diciembre de 2026 para el marcado técnico del contenido ya en circulación.
Alto riesgo: las ocho áreas del Anexo III
El nivel de alto riesgo cubre sistemas que intervienen en decisiones con impacto real sobre las personas: biometría, infraestructuras críticas, educación, empleo y gestión de trabajadores, acceso a servicios esenciales (crédito, seguros, prestaciones sociales), actuación policial, migración y control fronterizo, y administración de justicia. A esto se suma el Anexo I: sistemas de IA que son un componente de seguridad de un producto ya regulado por otra normativa europea — maquinaria, juguetes, dispositivos médicos, ascensores, aviación, vehículos. Aquí es donde más se equivocan las pymes: una herramienta de selección de personal, un scoring de riesgo crediticio o un sistema de videovigilancia con analítica pueden caer en el Anexo III sin que nadie en la empresa lo haya etiquetado nunca como "IA de alto riesgo".
Y aquí está el dato que más cambia el cálculo de plazos: el paquete de simplificación conocido como Digital Omnibus, con acuerdo final del Parlamento Europeo (16 de junio de 2026) y del Consejo de la UE (29 de junio de 2026), aplaza las obligaciones específicas del Anexo III del 2 de agosto de 2026 al 2 de diciembre de 2027, y las del Anexo I (productos regulados) del 2 de agosto de 2027 al 2 de agosto de 2028. Los cambios entran en vigor tras su publicación en el Diario Oficial de la UE, prevista para julio de 2026. Lo que no se aplaza es la aplicación general del Reglamento el 2 de agosto de 2026: ese día entran en vigor la transparencia del art. 50, la literacia en IA y la plena exigibilidad de las sanciones para prohibiciones, GPAI y transparencia.
Prácticas prohibidas y modelos GPAI
En el vértice de la pirámide están las ocho prácticas prohibidas del art. 5 — manipulación subliminal, explotación de vulnerabilidades, social scoring, predicción de delitos por perfilado, scraping masivo de rostros, reconocimiento de emociones en el trabajo o la educación, categorización biométrica de datos sensibles e identificación biométrica remota policial en tiempo real. Están prohibidas sin excepciones desde el 2 de febrero de 2025: no se legalizan ajustando el consentimiento, se retiran. Aparte de esta pirámide de riesgo por uso, el capítulo V regula a los proveedores de modelos de IA de propósito general (GPAI) — los modelos base que otros construyen sobre ellos — con obligaciones de documentación técnica, resumen de datos de entrenamiento y cumplimiento de derechos de autor exigibles desde el 2 de agosto de 2025.
En España, la autoridad de referencia es la Agencia Española de Supervisión de Inteligencia Artificial (AESIA, con sede en A Coruña, creada por el Real Decreto 729/2023), pero el marco legal que detalla su régimen sancionador nacional — el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la IA, remitido al Congreso el 26 de mayo de 2026 — todavía está en tramitación parlamentaria. Esto no retrasa nada: al ser un Reglamento y no una Directiva, el AI Act y sus sanciones del art. 99 son de aplicación directa en toda la UE sin esperar a que cada país apruebe su ley de desarrollo, igual que ocurre con DORA en el sector financiero.
Si el test te sitúa en alto riesgo o prohibido, en el plan de 90 días para adecuar una pyme al Anexo III del AI Act tienes la hoja de ruta completa, y si prefieres un sistema de gestión certificable en lugar de un plan ad hoc, la ISO 42001 de gestión de la IA cubre gran parte de las mismas obligaciones documentales. Todo esto forma parte de nuestra área de cumplimiento normativo, donde tratamos también el ENS, la NIS2, DORA y el RGPD. Y si todavía no tienes claro si además te aplican esas normativas, la herramienta hermana ¿qué normativa me aplica? las cruza todas de una sola vez.
AI Act Service Desk (Comisión Europea) — calendario oficial de aplicación
artificialintelligenceact.eu — Artículo 5, prácticas prohibidas
artificialintelligenceact.eu — Anexo III, sistemas de alto riesgo
artificialintelligenceact.eu — Artículo 99, sanciones
Congreso de los Diputados — Proyecto de Ley Orgánica para el buen uso y la gobernanza de la IA (BOCG, 12-jun-2026)
Antes de hacer el test.
¿Qué es el AI Act y qué aplica ya hoy?+
El AI Act es el Reglamento (UE) 2024/1689, la primera ley integral de inteligencia artificial del mundo. Entró en vigor el 1 de agosto de 2024. Las prácticas prohibidas del art. 5 se aplican desde el 2 de febrero de 2025 y las obligaciones de los modelos de propósito general (GPAI) desde el 2 de agosto de 2025. La mayor parte del articulado, incluida la transparencia del art. 50, se aplica desde el 2 de agosto de 2026.
¿Cuál es la diferencia entre proveedor, desplegador, importador y distribuidor?+
El proveedor desarrolla el sistema de IA o lo pone en el mercado con su marca; el desplegador lo usa bajo su propia autoridad en su actividad (el caso más habitual en pymes); el importador introduce en la UE un sistema de un proveedor de fuera de la Unión; el distribuidor lo comercializa en la cadena de suministro sin ser ni su proveedor ni su importador. Una misma empresa puede tener más de un rol a la vez.
Mi empresa es pyme, ¿tengo menos obligaciones o más plazo?+
Las obligaciones son las mismas, pero el Reglamento incluye medidas de apoyo específicas para pymes y startups (arts. 62-63): acceso prioritario y gratuito a sandboxes regulatorios, tasas de evaluación de conformidad reducidas, simplificación del sistema de gestión de calidad para microempresas y, en caso de sanción, el art. 99.6 aplica el importe menor de las dos cifras (fijo o porcentaje de facturación), no el mayor.
¿Es cierto que se ha retrasado la obligación de los sistemas de alto riesgo?+
Sí. El paquete de simplificación conocido como "Digital Omnibus", con acuerdo final del Parlamento Europeo (16 de junio de 2026) y del Consejo (29 de junio de 2026), aplaza las obligaciones de los sistemas de alto riesgo del Anexo III del 2 de agosto de 2026 al 2 de diciembre de 2027, y las del Anexo I (productos regulados) del 2 de agosto de 2027 al 2 de agosto de 2028. Los cambios entran en vigor tras su publicación en el Diario Oficial de la UE, prevista para julio de 2026.
¿Este resultado es una asesoría legal y se guardan mis respuestas?+
No es asesoría legal: es una orientación automática basada en tus respuestas, pensada para que sepas por dónde empezar, no un dictamen sobre tu caso concreto. Y no, no se guarda nada: el test se ejecuta entero en tu navegador con JavaScript, sin enviar ninguna respuesta a ningún servidor.
¿Quieres que lo revisemos juntos?
Agenda una sesión gratuita de 30 minutos. Repasamos tu resultado, aclaramos qué obligación pesa más en tu caso y qué pasos concretos tomar primero.
Agendar sesión gratuita →