El 1 de agosto de 2024 entró en vigor el EU AI Act, el primer marco regulatorio integral de inteligencia artificial en el mundo. Y aunque muchas empresas lo observaron desde lejos como una regulación “europea”, la realidad es que su alcance es global: si tus sistemas de IA afectan a usuarios en la Unión Europea, la ley aplica, independientemente de dónde esté registrada tu empresa.
Para las empresas de tecnología y los proveedores de IA, el EU AI Act no es simplemente una obligación legal más. Es una transformación estructural que redefine cómo se diseñan, documentan, despliegan y monitorean los sistemas de inteligencia artificial. Las organizaciones que lo entiendan como una oportunidad de diferenciación competitiva saldrán fortalecidas. Las que lo ignoren enfrentarán sanciones que superan incluso al GDPR, además de restricciones de acceso al mercado europeo de 450 millones de consumidores.
En este artículo analizamos en profundidad qué exige el EU AI Act a las empresas de tecnología y proveedores de IA, cuáles son los plazos vigentes en 2026, qué obligaciones son inamovibles y cómo prepararse estratégicamente para cumplir sin perder competitividad.
El EU AI Act en 2026: Estado Actual y Plazos Clave
Uno de los aspectos más críticos —y más malinterpretados— del EU AI Act es su calendario de implementación escalonado. No todo aplica al mismo tiempo, y confundir los plazos puede llevar tanto a pánico innecesario como a complacencia peligrosa.
Cronograma de Implementación
| Fecha | Qué entra en vigor | Estado |
|---|---|---|
| 1 agosto 2024 | EU AI Act entra en vigor. Inicia el período de transición. | ✅ Vigente |
| 2 febrero 2025 | Prohibición de prácticas de IA inaceptables. Obligación de alfabetización en IA (Art. 4). | ✅ Vigente |
| 2 agosto 2025 | Obligaciones para modelos de IA de propósito general (GPAI). Infraestructura de gobernanza operativa. | ✅ Vigente |
| 2 agosto 2026 | Normas de transparencia y aplicación general. Obligaciones de alfabetización en IA con plazo efectivo. | ⚠️ Próximo |
| 2 diciembre 2027 | Obligaciones completas para sistemas de IA de alto riesgo (Biometría, RRHH, infraestructuras críticas, educación, migración). | 🔜 Programado |
| 2 agosto 2028 | Sistemas de IA integrados en productos regulados (ascensores, juguetes, maquinaria). | 🔜 Programado |
Un dato crítico para 2026: el llamado paquete Digital Omnibus —acordado políticamente el 7 de mayo de 2026— extendió el plazo para los sistemas de alto riesgo hasta diciembre de 2027, con una reducción estimada del 25% en carga administrativa para grandes empresas y hasta el 35% para pymes. Sin embargo, la obligación de alfabetización en IA del Artículo 4 no fue modificada y su plazo de cumplimiento efectivo se mantiene en agosto de 2026. Este es el error más común: asumir que el retraso de alto riesgo aplica a todo, cuando las obligaciones de formación y transparencia siguen inamovibles.
Alcance Extraterritorial: ¿Tu Empresa Está Dentro del Ámbito de Aplicación?
El EU AI Act sigue el modelo de alcance extraterritorial del GDPR. La pregunta no es dónde está registrada tu empresa, sino si tus sistemas de IA afectan a personas dentro del territorio europeo.
Están sujetas al EU AI Act:
- Empresas que desarrollan o comercializan sistemas de IA en el mercado europeo, independientemente de su sede.
- Organizaciones que despliegan sistemas de IA y cuyos usuarios están en la UE.
- Proveedores fuera de la UE cuyo output de IA se utilice dentro del territorio europeo.
- Importadores y distribuidores de sistemas de IA desarrollados en terceros países.
En términos prácticos: si tu empresa ofrece un SaaS con componentes de IA a clientes europeos, si tu plataforma de recursos humanos utiliza algoritmos para filtrar candidatos en empresas con sedes en Europa, o si tu modelo de lenguaje es accesible desde la UE, estás dentro del alcance. La geografía de tu empresa no es el criterio determinante; la geografía de tus usuarios lo es.
El Sistema de Clasificación por Riesgo: Qué Categoría Ocupa Tu IA
El núcleo del EU AI Act es un enfoque basado en riesgo. Cuanto mayor sea el potencial de daño de un sistema de IA, más estrictas son las obligaciones. La clasificación en cuatro niveles determina prácticamente todo lo que una empresa debe hacer.
Nivel 1: Riesgo Inaceptable (Prohibido desde febrero 2025)
Sistemas completamente prohibidos en la UE. Incluyen scoring social —evaluación de personas basada en comportamiento con consecuencias en contextos no relacionados—, sistemas de manipulación subliminal, explotación de vulnerabilidades de grupos específicos y vigilancia biométrica masiva en espacios públicos en tiempo real. Si tu empresa opera alguno de estos sistemas, la prohibición lleva vigente desde febrero de 2025.
Nivel 2: Alto Riesgo
Es la categoría con mayor impacto para las empresas de tecnología. Los sistemas de alto riesgo son aquellos que pueden afectar significativamente derechos fundamentales, seguridad o el acceso de personas a servicios esenciales. Incluyen sistemas utilizados en selección de personal y RRHH, decisiones crediticias y seguros, diagnóstico médico, infraestructuras críticas, educación, migración y control fronterizo, y administración de justicia.
Para estos sistemas, la regulación exige diez requisitos obligatorios: sistema de gestión de riesgos, gobernanza de datos de entrenamiento, documentación técnica completa, registro de actividades (logging), transparencia hacia usuarios, supervisión humana efectiva, precisión y robustez, marcado CE, registro en la base de datos europea de la UE, y un sistema de gestión de calidad operativo.
Nivel 3: Riesgo Limitado
Sistemas con obligaciones principalmente de transparencia. El ejemplo más común: los chatbots de IA deben informar al usuario que está interactuando con un sistema automatizado, no con un humano. Esta obligación ya está en vigor desde febrero de 2025. Muchas empresas que integran chatbots de IA en sus sitios web sin el aviso correspondiente ya están incumpliendo la ley.
Nivel 4: Riesgo Mínimo o Nulo
Sin obligaciones específicas bajo el EU AI Act. La gran mayoría de los sistemas de IA actuales —filtros de spam, recomendaciones de contenido, videojuegos con IA— caen en esta categoría y pueden operar libremente.
Obligaciones Específicas para Proveedores de IA: Qué Deben Hacer Hoy
Las empresas que desarrollan y comercializan sistemas de IA —los proveedores— tienen las obligaciones más exigentes bajo el EU AI Act. A diferencia de los desplegadores (operadores), que utilizan sistemas de terceros, los proveedores son responsables del diseño, la documentación y la conformidad del sistema desde su origen.
1. Alfabetización en IA (Artículo 4) — Plazo: Agosto 2026
Esta es la obligación más inmediata y la más subestimada. El Artículo 4 exige que proveedores y operadores garanticen que su personal tiene un nivel suficiente de competencia en IA, adecuado a su rol. No se trata de un e-learning genérico de 30 minutos: la formación debe ser contextualizada, documentada y verificable. Si la autoridad supervisora pregunta, la empresa debe poder demostrar qué formación recibió cada empleado, cuándo y con qué contenido.
2. Inventario y Clasificación de Sistemas de IA
Antes de poder cumplir con cualquier obligación, una empresa necesita saber exactamente qué sistemas de IA opera, desarrolla o despliega. Este inventario debe incluir el nombre y descripción del sistema, el proveedor o desarrollador, el contexto de uso, la clasificación de riesgo y las medidas de protección implementadas. Para los proveedores de plataformas SaaS que incorporan componentes de IA de terceros —como modelos de lenguaje de propósito general— el inventario también debe documentar qué modelos GPAI se utilizan y en qué aplicaciones.
3. Obligaciones para Modelos de IA de Propósito General (GPAI) — Vigentes desde Agosto 2025
Los proveedores de modelos GPAI —modelos de lenguaje masivos, modelos de generación de imágenes y otros sistemas de IA de amplio espectro— enfrentan obligaciones específicas desde agosto de 2025. Entre ellas: publicar documentación técnica detallada, garantizar que los contenidos generados sean identificables como IA, cumplir con las directrices de derechos de autor en los datos de entrenamiento, y proporcionar una visión general pública del contenido utilizado para entrenar los modelos. En julio de 2025, la Comisión Europea publicó tres instrumentos de apoyo: directrices sobre el alcance de las obligaciones GPAI, el Código de Buenas Prácticas GPAI, y una plantilla estandarizada para el resumen público de datos de entrenamiento.
4. Gestión de Riesgos Continua para Sistemas de Alto Riesgo
Para los sistemas de IA clasificados como alto riesgo, el EU AI Act no exige un cumplimiento puntual sino un sistema de gestión de riesgos continuo y operativo. Esto incluye evaluaciones de riesgo periódicas, monitoreo post-mercado, registro sistemático de incidentes, y mecanismos de corrección cuando el sistema no funciona según las especificaciones. La supervisión humana no es un requisito formal: debe ser real y efectiva, lo que implica que los supervisores humanos deben tener la capacidad técnica y la autoridad organizacional para intervenir y corregir el sistema cuando sea necesario.
Obligaciones para Operadores (Desplegadores): La Responsabilidad Compartida
Un error frecuente en el mercado es asumir que las obligaciones del EU AI Act recaen exclusivamente en quienes desarrollan los sistemas de IA. Los operadores —empresas que despliegan o utilizan sistemas de IA de alto riesgo desarrollados por terceros— también tienen responsabilidades propias y directas.
Si tu empresa utiliza un software de RRHH con IA para filtrar currículos, o una plataforma de análisis crediticio basada en algoritmos, eres un operador bajo el EU AI Act y debes:
- Utilizar el sistema conforme a las instrucciones del proveedor.
- Asignar supervisores humanos con competencia técnica adecuada.
- Monitorear el rendimiento del sistema de forma continua.
- Notificar incidentes a la autoridad supervisora correspondiente.
- Realizar una Evaluación de Impacto en Derechos Fundamentales (FRIA) cuando el sistema afecte derechos fundamentales.
- Mantener registros de uso durante al menos seis meses.
La responsabilidad es compartida entre proveedor y operador, lo que significa que ambos pueden ser sancionados de forma independiente por incumplimientos en sus respectivas esferas de obligación.
El Régimen de Sanciones: Por Qué el Incumplimiento Es un Riesgo Financiero de Primer Nivel
El EU AI Act diseñó su régimen sancionador siguiendo el modelo del GDPR, pero con importes más elevados en los casos más graves. Las multas están estructuradas en tres niveles según la gravedad de la infracción:
| Tipo de Infracción | Sanción Máxima |
|---|---|
| Uso de prácticas de IA prohibidas | 35 millones EUR o 7% de la facturación global anual |
| Incumplimiento de obligaciones para sistemas de alto riesgo | 15 millones EUR o 3% de la facturación global anual |
| Información incorrecta a organismos de supervisión | 7,5 millones EUR o 1,5% de la facturación global anual |
Más allá de las multas económicas, el impacto reputacional puede ser igualmente costoso. El EU AI Act permite que empleados, candidatos descartados en procesos de selección automatizados, o asociaciones de consumidores presenten reclamaciones ante la autoridad nacional. Una investigación pública sobre el cumplimiento de gobernanza de IA puede dañar la marca corporativa de forma significativa y duradera.
Oportunidad Estratégica: El Cumplimiento Como Ventaja Competitiva
Las empresas que han adoptado una perspectiva estratégica frente al EU AI Act no lo ven como una carga regulatoria sino como una palanca de diferenciación. El cumplimiento con el EU AI Act ofrece ventajas concretas y medibles.
Acceso sin restricciones al mercado europeo: Las empresas certificadas pueden operar libremente en un mercado de 450 millones de consumidores sin riesgo de restricciones o exclusiones. En sectores donde la contratación pública europea es relevante, el cumplimiento puede convertirse en requisito de elegibilidad.
Confianza en la cadena de suministro de IA: Los clientes corporativos, especialmente en sectores regulados como servicios financieros, salud y telecomunicaciones, están incorporando requisitos de cumplimiento de IA en sus procesos de due diligence y selección de proveedores. Una empresa que puede demostrar gobernanza robusta de sus sistemas de IA tiene una ventaja tangible en licitaciones y renovaciones de contratos.
Anticipación a la regulación global: El modelo europeo está siendo referenciado activamente por legisladores en América Latina, Asia-Pacífico y Norteamérica. Las organizaciones que implementen hoy los estándares del EU AI Act estarán mejor posicionadas para adaptarse a las regulaciones emergentes en otros mercados con menor fricción y costo.
Mejora operacional real: Las obligaciones de documentación, gestión de riesgos y supervisión humana que impone el EU AI Act no son solo requisitos de papel. Bien implementadas, mejoran la calidad y la fiabilidad de los sistemas de IA, reducen incidentes y aumentan la confianza de los usuarios finales.
Checklist de Acción para Empresas de Tecnología y Proveedores de IA
- ☑️ Revisar las prohibiciones: Confirmar que ningún sistema de IA en operación cae dentro de las prácticas prohibidas desde febrero de 2025.
- ☑️ Crear el inventario de IA: Registrar todos los sistemas de IA, sus proveedores, contexto de uso y clasificación de riesgo preliminar.
- ☑️ Identificar sistemas de alto riesgo: Revisar especialmente los sistemas relacionados con RRHH, decisiones crediticias, salud e infraestructuras críticas.
- ☑️ Implementar el programa de alfabetización en IA: Diseñar y documentar la formación por roles, con certificados de participación y registros verificables. Plazo efectivo: agosto 2026.
- ☑️ Verificar obligaciones GPAI: Si se utilizan modelos de lenguaje o IA generativa de terceros en productos propios, documentar qué modelos, en qué contexto y con qué medidas de protección.
- ☑️ Activar avisos de transparencia: Garantizar que los chatbots y sistemas de interacción con usuarios informan claramente del uso de IA.
- ☑️ Asignar responsabilidad interna: Designar un responsable formal del cumplimiento del EU AI Act, con autoridad para coordinar equipos legales, tecnológicos y de compliance.
- ☑️ Planificar el cumplimiento de alto riesgo: Aunque el plazo se extendió a diciembre de 2027, iniciar el proceso ahora dado que la preparación requiere típicamente entre cuatro y seis meses de trabajo estructurado.
Preguntas Frecuentes (FAQ)
¿El EU AI Act aplica a empresas fuera de Europa?
Sí. El EU AI Act tiene alcance extraterritorial: aplica a cualquier empresa que comercialice sistemas de IA en la UE o cuyos outputs afecten a usuarios dentro del territorio europeo, independientemente de dónde esté registrada la empresa. Si tus usuarios están en Europa, la ley aplica.
¿Qué es un sistema de IA de alto riesgo según el EU AI Act?
Son sistemas que pueden impactar significativamente en los derechos fundamentales, la seguridad o el acceso de personas a servicios esenciales. Incluyen sistemas de selección de personal, decisiones crediticias, diagnóstico médico, infraestructuras críticas, educación, migración y justicia. Para estos sistemas aplican los diez requisitos obligatorios del Anexo III del EU AI Act, aunque el plazo se extendió hasta diciembre de 2027 con el paquete Digital Omnibus.
¿El retraso del Digital Omnibus aplaza todas las obligaciones del EU AI Act?
No. El retraso acordado en mayo de 2026 afecta únicamente a los sistemas de IA de alto riesgo, extendiendo su plazo de cumplimiento completo hasta diciembre de 2027. Las prohibiciones de prácticas inaceptables, las obligaciones para modelos GPAI y, especialmente, la obligación de alfabetización en IA del Artículo 4 no fueron modificadas y mantienen sus plazos originales.
¿Qué diferencia hay entre proveedor y operador en el EU AI Act?
El proveedor es quien desarrolla o comercializa el sistema de IA. El operador es quien lo despliega o utiliza en su organización. Ambos tienen obligaciones propias y distintas. Usar un sistema de IA de alto riesgo desarrollado por un tercero no exime al operador de sus responsabilidades de supervisión, monitoreo y notificación de incidentes.
¿Qué pasa si un chatbot no informa al usuario de que está interactuando con IA?
Es un incumplimiento del Artículo 50 del EU AI Act, vigente desde febrero de 2025. Las empresas que integran chatbots de IA sin el aviso correspondiente ya están en infracción. Las sanciones por este tipo de incumplimiento pueden alcanzar los 7,5 millones de euros o el 1,5% de la facturación global anual.
¿Cómo puede una empresa demostrar el cumplimiento del Artículo 4 (Alfabetización en IA)?
Mediante documentación verificable: registros de formación por empleado, contenidos formativos adaptados al rol, listas de participación con fechas y un informe de cumplimiento. Un e-learning genérico no es suficiente para los roles que toman decisiones sobre sistemas de IA. La formación debe estar contextualizada y ser adecuada al nivel de responsabilidad de cada perfil.
Conclusión: El EU AI Act Como Marco de Gobernanza, No Solo de Cumplimiento
Las empresas de tecnología y proveedores de IA que abordan el EU AI Act exclusivamente como una obligación de cumplimiento están perdiendo la dimensión más estratégica de esta regulación. Las organizaciones que lo implementan como un marco de gobernanza real —con inventarios de IA actualizados, formación estructurada, supervisión humana efectiva y gestión continua de riesgos— no solo evitan sanciones: construyen sistemas de IA más fiables, generan mayor confianza en sus clientes y se posicionan mejor en un mercado donde la gobernanza responsable de la IA se está convirtiendo en un criterio de selección para compradores corporativos y administraciones públicas.
La gobernanza de la inteligencia artificial no es el futuro, es el presente regulatorio y competitivo. Las organizaciones que no se preparen hoy quedarán fuera del mercado global. Las que actúen con rigor y visión estratégica tendrán una ventaja duradera en uno de los mercados más relevantes del mundo.
Prepara a Tu Organización con Impulsa360 Academy
En Impulsa360 Academy formamos a los profesionales y organizaciones que necesitan liderar el cumplimiento del EU AI Act y construir marcos de gobernanza de IA sólidos, auditables y alineados con los estándares regulatorios globales.
Explora todos nuestros programas en AI Governance, ISO 42001 y Responsible AI — Formación ejecutiva diseñada para compliance officers, líderes de tecnología, auditores y profesionales que necesitan dominar el marco regulatorio de la inteligencia artificial y convertirlo en una ventaja estratégica para su organización.
El momento de prepararse no es cuando llegue el inspector. Es ahora.