Volver a artículos

EU AI Act en la práctica: qué cambia en 2026 si automatizas procesos

EU AI Act en la práctica: qué cambia en 2026 si automatizas procesos

No es un análisis legal. Es lo que un operador con un par de agentes en producción tiene que mirar este año en Europa, sin abogadismos.

El Reglamento (UE) 2024/1689 — el AI Act — entró en vigor el 1 de agosto de 2024. Casi dos años después, la mayoría de empresas que usan IA en sus operaciones siguen sin tener claro qué les aplica, cuándo, y quién las va a vigilar.

Este post no es para abogados. Es para alguien que tiene un agente de atención al cliente, un clasificador de CVs o un asistente interno en producción y quiere saber qué le toca este año.

Tres cosas que conviene fijar antes de entrar en detalle.

Una. El AI Act no obliga a tener IA. Obliga a quien la pone en el mercado y a quien la usa profesionalmente.

Dos. Las obligaciones se activan por capas. Algunas ya están vigentes desde febrero y agosto de 2025. La gran tanda llega en agosto de 2026.

Tres. En España hay supervisor nacional propio: la AESIA, con sede en A Coruña, operativa desde 2024. Es el primer organismo dedicado de un Estado miembro y ya está dictando criterios.

Calendario rápido

FechaQué entra en vigor
1 ago 2024Reglamento en vigor
2 feb 2025Prohibiciones (artículo 5) y obligación de alfabetización en IA (artículo 4)
2 ago 2025Obligaciones para modelos de propósito general (GPAI)
2 ago 2026Sistemas de alto riesgo del Anexo III, gobernanza completa, sanciones plenamente aplicables
2 ago 2027Sistemas de alto riesgo integrados en productos regulados (Anexo I)

El año relevante para la mayoría de empresas es 2026. Es cuando empieza la presión real sobre sistemas de RRHH, scoring, atención sanitaria, educación y servicios esenciales.

¿Qué eres tú? Proveedor o usuario profesional

El reglamento distingue varios roles. Para un operador la dicotomía relevante es:

  • Proveedor (provider) — quien desarrolla un sistema de IA y lo pone en el mercado.
  • Usuario profesional (deployer) — quien usa un sistema de IA bajo su autoridad para una actividad profesional.

Si compras un agente a una agencia y lo usas internamente, eres deployer. Si construyes el agente en casa y lo expones (a empleados, a clientes, a otra empresa), eres provider de ese sistema.

Las obligaciones cambian. La mayoría son más exigentes para el provider, pero el deployer también tiene deberes propios — sobre todo si el sistema es de alto riesgo.

Lo que ya te aplica desde febrero de 2025

Prácticas prohibidas (artículo 5)

No es una lista hipotética. Algunas cosas que están directamente prohibidas:

  • Inferir emociones de empleados o estudiantes salvo motivos médicos o de seguridad.
  • Categorización biométrica que infiera raza, opinión política, orientación sexual, etc.
  • Sistemas de manipulación subliminal o que exploten vulnerabilidades.
  • Social scoring por parte de organismos públicos o privados.
  • Predicción de delitos basada solo en perfilado.

Si usas IA para evaluar el “engagement” emocional de tu equipo a través de cámaras o micrófonos, estás en territorio prohibido. Sanción: hasta el 7% de la facturación mundial o 35 millones de euros.

Alfabetización en IA (artículo 4)

Es una obligación corta pero real. Cualquier empresa que use IA debe asegurar que el personal implicado tiene “un nivel suficiente de alfabetización en IA”. Sin examen ni certificación oficial — pero con responsabilidad de demostrar que se ha hecho algo razonable.

En la práctica: formación interna documentada, materiales de uso, política de uso aceptable. Si tu equipo usa Copilot, ChatGPT o un agente personalizado y nadie ha escrito una página explicando límites y riesgos, ahí está el primer hueco.

Lo que aplica a tus proveedores desde agosto de 2025

Si usas modelos de propósito general (OpenAI, Anthropic, Google, Mistral, Meta, etc.), ellos cargan con obligaciones de transparencia, documentación técnica, política de copyright y resumen del entrenamiento. Para los modelos con riesgo sistémico — los que superan el umbral de 10²⁵ FLOPs — hay obligaciones adicionales de evaluación de riesgo, ciberseguridad y reporte de incidentes graves.

A ti como deployer no te aplican directamente. Te afectan en tres aspectos:

  1. Información que recibes. El proveedor debe darte documentación suficiente para que entiendas el sistema y puedas usarlo de forma conforme.
  2. Términos de uso. Las condiciones que aceptas reflejan obligaciones del provider que cascadean a tu uso (registro, no uso para casos prohibidos, etc.).
  3. El Code of Practice voluntario. Firmado en 2025 por la mayoría de proveedores grandes. Meta declinó firmarlo, lo que ha generado fricción comercial dentro de la UE. Es una señal a leer cuando elijas modelo.

Tres bandejas de clasificación con iconos: prohibido, advertencia y check. Un robot coloca un documento en la bandeja del medio

Prohibido, alto riesgo, riesgo limitado. Antes de cumplir hay que clasificar.

Lo que llega en agosto de 2026: alto riesgo

El bloque más relevante para una empresa con automatización en operaciones.

Casos típicos que caen en alto riesgo (Anexo III)

  • Sistemas usados para selección, evaluación o decisiones sobre empleados — filtrar CVs, asignar tareas, monitorizar rendimiento, decidir promociones o despidos.
  • Acceso a servicios esenciales — scoring crediticio (con excepciones para detección de fraude), suscripción de seguros de vida y salud, evaluación de elegibilidad para servicios públicos.
  • Educación — admisión, evaluación de exámenes, monitorización durante pruebas.
  • Sanidad y dispositivos médicos cuando aplique el Anexo I.
  • Justicia y democracia — apoyo a decisiones judiciales, influencia electoral.
  • Migración y control fronterizo — evaluación de riesgo, decisión sobre asilo.

Si tu agente toca alguno de estos ámbitos — incluso siendo una herramienta de apoyo y no automatizando la decisión final — estás en alto riesgo.

Obligaciones del deployer en alto riesgo

No son exclusivas del provider. El deployer también tiene deberes (artículo 26):

  • Usar el sistema según las instrucciones del provider.
  • Asignar supervisión humana competente, con autoridad real para anular decisiones.
  • Mantener registros de las operaciones del sistema.
  • Vigilar el funcionamiento y notificar incidentes graves al provider.
  • Hacer evaluación de impacto en derechos fundamentales (FRIA) cuando seas organismo público o prestes servicios públicos.
  • Informar a las personas afectadas cuando una decisión les afecte significativamente.

La supervisión humana no puede ser figurativa. Si el agente filtra CVs y un humano firma “todo OK” sin revisar nada, no es supervisión a efectos del reglamento.

Lo que no cambia mucho — pero conviene mirar

Transparencia (artículo 50). Ya en 2026 hay que etiquetar claramente los chatbots como tales, los deepfakes como contenido sintético, y los sistemas de reconocimiento de emociones cuando estén permitidos. Es un punto menor, pero exigible.

Sanciones. Hasta 35 millones o 7% de facturación mundial para prácticas prohibidas. Hasta 15 millones o 3% para incumplimientos generales. Hasta 7,5 millones o 1% para información incorrecta a autoridades. Aplicables plenamente desde agosto de 2026.

Quién vigila en España. AESIA es la autoridad nacional. Coordinación con AEPD para temas de datos, con CNMC para mercados, con Banco de España para crédito. Si te toca un caso de alto riesgo, vas a tener más de una autoridad encima.

Tres cosas razonables que hacer este año

Inventario. Lista de sistemas de IA en uso, proveedor, modelo, finalidad, dato que toca. Sin esto no puedes decidir si algo es de alto riesgo.

Política mínima de uso. Una página, escrita, firmada, que explique qué puede y qué no puede hacer el equipo con IA generativa y agentes. Cubre la obligación de alfabetización casi por sí sola.

Revisión específica para sistemas que tocan personas. Si tu agente decide o influye sobre empleados, candidatos, clientes en procesos esenciales, o usuarios en sanidad o educación — pídele al proveedor explícitamente cómo van a cumplir con las obligaciones de alto riesgo en agosto de 2026. Si no tienen respuesta clara, tienes 12 meses para encontrar una.

El AI Act no es un trámite, pero tampoco es un muro. Lo que pide es lo que cualquier sistema crítico debería tener: documentación, supervisión, registros y un humano responsable.

Si tu agente actual no tiene esas cuatro cosas, el reglamento no es tu primer problema.

Saber qué automatizar y bajo qué riesgo es la primera decisión, no la última. Empieza por el diagnóstico gratuito en canihireanai.com — y entra a 2026 con un mapa, no con sorpresas.