AI Act para empresas: los 4 niveles de riesgo, en claro
Resumen del reglamento europeo de IA para decisores: los 4 niveles de riesgo, proveedor vs responsable del despliegue y el calendario real de aplicación.
El reglamento europeo de IA no prohíbe usar inteligencia artificial en tu empresa. Hace algo menos dramático y más útil de entender: ordena cada uso según el daño que podría causar y le pone obligaciones proporcionales a ese daño. La buena noticia para la mayoría de negocios es que casi todo lo que ya haces con IA (un chatbot de atención, un redactor de textos, un buscador interno, un filtro de correo) cae en el escalón más bajo, donde apenas te pide nada.
La mala es que hay un escalón, el de “alto riesgo”, donde las obligaciones son serias, y basta un uso concreto para entrar en él. Filtrar currículos con IA es el ejemplo clásico. Por eso conviene saber en qué nivel estás antes de que te lo diga una inspección.
Es una guía para orientarte antes de decidir. Al final señalo qué parte conviene consultar con un abogado y cuándo.
Qué es el AI Act y a quién obliga
El AI Act es el nombre corto del Reglamento (UE) 2024/1689, aprobado el 13 de junio de 2024 y en vigor desde el 1 de agosto de ese año [1]. Al ser un reglamento europeo, se aplica directamente en España sin necesidad de una ley que lo copie, igual que pasó con el RGPD de protección de datos.
Obliga a casi todo el que toca un sistema de IA dentro del mercado europeo, pero no obliga a todos por igual. El reglamento separa dos papeles, y la mayoría de las empresas confunde el suyo:
- Proveedor: quien desarrolla un sistema de IA, o encarga que se lo desarrollen, y lo pone en el mercado bajo su nombre o marca. Aquí están las grandes tecnológicas como OpenAI o la consultora que te programa un modelo a medida.
- Responsable del despliegue (en el reglamento aparece como deployer): quien usa un sistema de IA bajo su propia autoridad en una actividad profesional. Aquí está tu empresa cuando contrata un chatbot de atención o una herramienta de recursos humanos.
Casi ninguna pyme es proveedora. Si compras software con IA y lo usas, eres responsable del despliegue, y tus obligaciones son bastante más ligeras que las del que fabrica el sistema. Ese matiz decide media conversación con tu abogado, así que vale la pena tenerlo claro desde el principio.
Los cuatro niveles de riesgo, con ejemplos de empresa
El corazón del reglamento es esta clasificación. Depende de para qué usas la IA y sobre quién decide, no de qué tecnología tengas por dentro. El mismo modelo de lenguaje puede ser riesgo mínimo escribiendo un email o alto riesgo puntuando a un candidato.
| Nivel | Qué significa | Ejemplo en una empresa | Qué te toca |
|---|---|---|---|
| Inaceptable | Usos prohibidos por atentar contra derechos fundamentales | Puntuación social de empleados; reconocimiento de emociones en el trabajo (con excepciones tasadas) | No usarlo. Está prohibido |
| Alto | Usos que deciden sobre la vida de personas | Cribado automático de currículos, puntuación de solvencia para dar crédito, IA en dispositivos médicos, decisiones de admisión educativa | Obligaciones fuertes: gestión de riesgos, supervisión humana, registro y documentación técnica |
| Limitado | Usos donde el riesgo es que la persona no sepa que habla con una máquina | Chatbot de atención al cliente, generación de imágenes o textos | Transparencia: avisar de que es IA, etiquetar el contenido generado |
| Mínimo | Todo lo demás | Filtro de spam, buscador interno, sugerencias de producto, corrector de textos | Nada específico. Cumplimiento voluntario |
Dos ideas que se pierden en los titulares. La primera: el nivel inaceptable es corto y extremo. Hablamos de manipulación a gran escala o de puntuar a las personas por su comportamiento, no de tus herramientas del día a día.
La segunda, y la que más importa para tu negocio: la frontera entre “limitado” y “alto” es donde te juegas el esfuerzo de cumplimiento. Un chatbot que responde dudas es riesgo limitado y solo tiene que avisar de que es un bot. Ese mismo chatbot, si decide qué cliente recibe una oferta de crédito, se acerca al alto riesgo. La pregunta no es “¿uso IA?”, sino “¿mi IA decide algo importante sobre una persona concreta?”.
”No desarrollo IA, solo la uso”: por qué eso no te libra
El error más caro que veo en empresas pequeñas es pensar que, como no programan nada, el reglamento no va con ellas. Va. Ser responsable del despliegue de un sistema de alto riesgo trae obligaciones propias, aunque el sistema lo haya construido otro.
Si usas una herramienta de alto riesgo (pongamos, un software que ordena candidatos para un puesto), el reglamento espera que uses el sistema según las instrucciones del proveedor, que garantices supervisión humana real sobre sus decisiones, que vigiles que funciona como debe y que informes si algo va mal. Ese seguimiento dura todo el tiempo que la herramienta esté en uso, no se agota firmando un papel al principio.
Aquí es donde la teoría se convierte en criterio, y donde vale la pena entrenar el ojo antes de firmar contratos. En el curso de IA sin hype trabajamos justo esto: mirar un caso real y saber en qué nivel cae sin necesidad de un despacho detrás.
Un concepto nuevo cada semana
El calendario: qué aplica ya y qué llega después
El reglamento no cayó de golpe. Se aplica por fases, y en 2026 el calendario se retocó con un paquete de simplificación europeo llamado Digital Omnibus, que aplazó lo más pesado. Estas son las fechas confirmadas por la Comisión Europea [2]:
| Fecha | Qué entra en vigor |
|---|---|
| 1 de agosto de 2024 | El reglamento entra en vigor |
| 2 de febrero de 2025 | Prohibiciones de riesgo inaceptable y deber de alfabetización en IA |
| 2 de agosto de 2025 | Gobernanza, reglas de los modelos de propósito general, notificación de autoridades y régimen de sanciones |
| 2 de diciembre de 2027 | Obligaciones de alto riesgo del Anexo III (empleo, crédito, biometría, educación) |
| 2 de agosto de 2028 | Alto riesgo integrado en productos regulados y plena aplicación |
Dos cosas que ya te obligan hoy, y que pasan desapercibidas. Las prohibiciones están activas desde febrero de 2025: si usas algo de la lista prohibida, ya estás fuera de la ley. Y la “alfabetización en IA” (formar a tu gente para que entienda las herramientas que maneja) también es exigible desde esa fecha, sin esperar a 2027.
El aplazamiento del alto riesgo a diciembre de 2027 da aire para prepararse, pero no cancela la obligación. El calendario europeo ha cambiado ya varias veces, así que trátalo como una fecha provisional y confírmala antes de construir un plan a tres años sobre ella.
Qué hacer esta semana sin llamar todavía al abogado
Antes de gastar en asesoría, hay trabajo de casa que solo puedes hacer tú, porque nadie conoce tus procesos mejor. Un inventario honesto vale más que cien páginas de reglamento leídas por encima.
- Lista dónde usas IA hoy. Incluye lo que no llamarías IA: el filtro de correo, el corrector, las sugerencias del CRM, el buscador interno. Casi siempre hay más de lo que recuerdas.
- Clasifica cada uso con la tabla de niveles. Marca en rojo cualquier caso que decida sobre personas (contratar, dar crédito, puntuar, vigilar). Ese es tu foco.
- Comprueba la transparencia de tus chatbots y tus contenidos generados: ¿avisan de que son IA? Es lo más fácil de arreglar y ya te obliga.
- Pregunta a tus proveedores qué papel asumen y qué documentación de cumplimiento del AI Act te entregan. Un proveedor serio ya tiene una respuesta preparada.
Con ese inventario delante, la conversación con un abogado especializado dura una hora en vez de cinco, y se centra en los dos o tres casos que de verdad lo necesitan. Ahí es donde entra la responsabilidad legal cuando la IA se equivoca, un tema que el AI Act toca pero no agota.
Un recordatorio incómodo: el AI Act no sustituye a la protección de datos. Si tu IA trata datos personales, sigues bajo el RGPD además del AI Act, y ahí las dos normas se pisan de formas que conviene entender. Lo desarrollo en dónde se cruzan el RGPD y la inteligencia artificial, y la foto completa de ambos marcos está en la guía de RGPD y AI Act para empresas.
Fuentes
- Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial.
- Comisión Europea, “AI Act | Shaping Europe’s digital future”: categorías de riesgo y calendario de aplicación (incluye el aplazamiento del Digital Omnibus, 2026). digital-strategy.ec.europa.eu
Preguntas frecuentes
¿Me afecta si solo uso ChatGPT en la oficina para redactar? Sí, pero en el nivel más suave. Usar un asistente para escribir textos es riesgo limitado o mínimo. Tu única obligación práctica es la transparencia: si publicas contenido generado por IA de cara al público, etiquétalo como tal. Nada de auditorías ni papeleo.
¿El AI Act sustituye al RGPD? No. Son dos normas distintas que conviven. El RGPD protege los datos personales; el AI Act regula los sistemas de IA por su riesgo. Si tu IA usa datos de personas, cumples las dos a la vez.
¿Cuánto son las multas? El tramo más alto llega hasta 35 millones de euros o el 7% de la facturación mundial anual, la cifra que sea mayor, y se reserva para las prácticas prohibidas [1]. Hay tramos menores para otros incumplimientos. Antes de que ese número te quite el sueño: los reguladores empiezan por los usos prohibidos y de alto riesgo, no por una pyme cuyo chatbot olvidó decir que era un bot.
¿Y si mi proveedor de software es de fuera de la Unión Europea? El reglamento se aplica igual si el sistema se usa dentro de la UE o afecta a personas en la UE, sin importar dónde esté el fabricante. Un proveedor estadounidense que te vende una herramienta para el mercado europeo tiene que cumplir. Pídele por escrito cómo lo hace.
¿Necesito un abogado ya? Solo si tienes algún uso de alto riesgo (decisiones sobre personas) o dudas de si algo tuyo entra en la lista prohibida. Para todo lo demás, un inventario propio y avisos de transparencia bien puestos te dejan tranquilo. Esto es un resumen para orientarte, no asesoramiento jurídico: la decisión final sobre un caso concreto la firma un profesional.