AI Act 2026: Guía Práctica para Empresas Españolas
El 2 de agosto de 2026 entran en vigor las obligaciones del AI Act con multas hasta 35M€. Guía operativa para PYMES: checklist, AESIA, sandbox y ayudas.
¿Por qué el 2 de agosto de 2026 es la fecha clave para las empresas españolas?
El 2 de agosto de 2026 el Reglamento UE 2024/1689 — el AI Act — se vuelve plenamente aplicable también para los sistemas de inteligencia artificial clasificados de alto riesgo. Desde esa fecha, las autoridades nacionales de vigilancia pueden imponer multas de hasta 35 millones de euros o el 7% de la facturación global por las infracciones más graves. Para las PYMES españolas no es una fecha lejana reservada a los departamentos legales: es el día en que cualquier empresa que utilice un software de selección de CV, un sistema de credit scoring o un asistente conversacional deberá demostrar que cumple la norma.
Según datos del Observatorio Nacional de IA (enero 2026), el 68% de las empresas españolas que utilizan herramientas de IA aún no ha iniciado ningún proceso formal de adaptación. La AESIA (Agencia Española de Supervisión de Inteligencia Artificial), con sede en A Coruña, ya ha abierto 23 investigaciones preliminares a marzo de 2026. El problema no es tecnológico sino informativo: falta una traducción operativa de los artículos del Reglamento en checklists prácticos para PYMES.
Esta guía responde exactamente a esa necesidad: qué cambia concretamente el 2 de agosto de 2026, cómo funcionan los cuatro niveles de riesgo del AI Act, cómo interactúa con la normativa española y cómo se reparte la supervisión entre AESIA, AEPD y organismos sectoriales, qué pasos dar ahora, qué sanciones están en juego y cómo aprovechar los sandbox regulatorios y las ayudas reservadas a PYMES y startups. Con ejemplos reales, plazos precisos y un checklist de cumplimiento pensado para empresas de menos de 250 empleados.
El 2 de agosto de 2026 no introduce solo obligaciones técnicas: marca el paso de la preparación al enforcement efectivo. AESIA ya ha iniciado inspecciones preliminares en España y se coordina con CNIL (Francia) y AgID (Italia) para acciones transfronterizas.
¿Cuáles son los 4 niveles de riesgo del AI Act?
El AI Act adopta un enfoque basado en riesgos y clasifica los sistemas de IA en cuatro categorías: riesgo inaceptable (prohibido), riesgo alto, riesgo limitado y riesgo mínimo. La categoría determina las obligaciones aplicables: desde la prohibición total hasta la libre circulación con simples requisitos de transparencia. Entender en qué nivel se encuentra cada sistema es el primer paso de cualquier plan de cumplimiento.
1. Riesgo inaceptable: las prohibiciones ya vigentes
Desde el 2 de febrero de 2025 están prohibidos en toda la UE los sistemas de social scoring gubernamental, el reconocimiento de emociones en el trabajo y en los centros educativos, la categorización biométrica basada en datos sensibles (origen étnico, orientación sexual, creencias políticas) y el scraping no dirigido de imágenes faciales para construir bases de datos de reconocimiento. Para las empresas esta prohibición ya es operativa: utilizar un sistema de monitorización emocional para evaluar el rendimiento de los empleados expone a la sanción máxima de 35 millones de euros o el 7% de la facturación.
2. Riesgo alto: el núcleo de las obligaciones de 2026
Es la categoría más exigente desde el punto de vista operativo. El Anexo III del AI Act enumera ocho áreas de alto riesgo: identificación biométrica, infraestructuras críticas, educación y formación profesional, empleo y gestión de trabajadores, acceso a servicios públicos y privados esenciales, law enforcement, gestión migratoria y de asilo, administración de justicia. Casos muy concretos para las PYMES: sistemas de selección de personal con filtros automáticos, credit scoring, evaluación del desempeño, plataformas de gestión de riesgo sanitario o asegurador.
Desde el 2 de agosto de 2026 estos sistemas deben cumplir requisitos estrictos: sistema de gestión del riesgo documentado a lo largo del ciclo de vida, calidad y representatividad de los datasets de entrenamiento, expediente técnico completo, registro automático de logs, supervisión humana efectiva, inscripción en la base de datos europea, marcado CE y declaración de conformidad.
3. Riesgo limitado: obligaciones de transparencia
Incluye chatbots, asistentes virtuales y sistemas que generan o manipulan contenidos (deepfakes, imágenes y textos creados por IA generativa). La obligación principal es la transparencia: los usuarios deben saber que interactúan con una máquina y que un contenido ha sido generado por IA. Una PYME que utiliza un chatbot en su web o un asistente de voz para reservas entra aquí, con obligaciones de etiquetado e informativas proporcionales.
4. Riesgo mínimo: uso libre
Filtros antispam, IA en videojuegos, sistemas básicos de recomendación, correctores gramaticales. No hay obligaciones específicas más allá de las normas habituales de derecho del consumidor y protección de datos. La mayoría de los sistemas de IA actualmente en uso en PYMES cae en esta categoría: una vez mapeados los sistemas, el cumplimiento suele ser más sencillo de lo previsto.
| Nivel de Riesgo | Ejemplos de Sistemas | Obligaciones Principales | Fecha Aplicación |
|---|---|---|---|
| Inaceptable | Social scoring, reconocimiento emociones | Prohibición total | 2 febrero 2025 |
| Alto | Selección CV, credit scoring, decisiones HR | Risk management, expediente técnico, CE | 2 agosto 2026 |
| Limitado | Chatbots, deepfakes, contenidos AI | Transparencia y etiquetado | 2 agosto 2026 |
| Mínimo | Antispam, recomendaciones, juegos | Sin obligaciones específicas | Inmediato |
¿Cómo se aplica el AI Act en España y cuál es el papel de AESIA?
España fue el primer Estado miembro en crear una agencia específica para la supervisión de la IA: la AESIA (Agencia Española de Supervisión de Inteligencia Artificial), creada por Real Decreto en agosto de 2023 y con sede en A Coruña. AESIA es el organismo encargado de coordinar la aplicación del AI Act en España, colaborando con la AEPD para los aspectos de protección de datos y con las autoridades sectoriales (Banco de España para credit scoring, CNMV para servicios financieros, CNMC para telecomunicaciones).
Reparto de competencias en España
La supervisión está distribuida entre varios organismos que actúan de forma coordinada. AESIA se ocupa de los aspectos técnicos y transversales del AI Act, la AEPD supervisa los tratamientos de datos personales, y las autoridades sectoriales intervienen en los ámbitos regulados. Este sistema multipolar requiere identificar correctamente la autoridad competente según el caso de uso, lo que no siempre es evidente: un mismo sistema puede estar sujeto a múltiples supervisiones.
Obligaciones adicionales para el mundo laboral
Además de las obligaciones del AI Act, la legislación laboral española (ley rider y estatuto de los trabajadores) impone requisitos adicionales para el uso de IA en funciones de recursos humanos: información sindical obligatoria sobre los algoritmos que afectan a decisiones laborales, derecho del trabajador a conocer la lógica de las decisiones automatizadas, no discriminación algorítmica. Las inspecciones de trabajo han anunciado una intensificación de los controles a partir del otoño de 2026.
Coordinación europea
AESIA participa en la AI Board, el organismo de coordinación formal entre autoridades de los Estados miembros, y colabora con la Oficina Europea de IA de la Comisión, operativa desde el 2 de agosto de 2025. Esta coordinación es importante para las empresas que operan en varios países: una PYME con filiales en Francia, Italia y España puede encontrarse con múltiples inspecciones paralelas, pero con criterios armonizados. Evolus integra herramientas de audit log y trazabilidad que facilitan la preparación de evidencias para cada autoridad.
Checklist de cumplimiento para PYMES: ¿por dónde empezar?
El cumplimiento del AI Act no requiere transformaciones tecnológicas radicales: requiere orden, documentación y formación. Una PYME puede alcanzar un nivel aceptable de cumplimiento en 8-12 semanas de trabajo estructurado, sin costes excesivos. Estos son los cinco pasos operativos a realizar antes del 2 de agosto de 2026, por orden de prioridad.
1. Mapeo de los sistemas de IA en uso
El primer paso es elaborar un registro empresarial de los sistemas de IA: todas las herramientas que contienen componentes de inteligencia artificial (chatbots, software de RRHH, CRM con lead scoring, plataformas de marketing automation, herramientas de generación de contenidos, sistemas de videovigilancia inteligente, asistentes de voz). Para cada uno se anotan proveedor, finalidad, categoría de riesgo estimada, datos tratados, responsable interno, fecha de adopción.
2. Clasificación del riesgo
Para cada sistema mapeado se verifica la clasificación según los criterios del AI Act: ¿es un sistema de alto riesgo del Anexo III? ¿Es un sistema de riesgo limitado? La verificación no es trivial: un software de recruiting que usa IA para filtrar CVs entra entre los sistemas de alto riesgo, aunque el proveedor lo describa como simple herramienta de apoyo a la decisión. La guía oficial de la Comisión Europea, los pronunciamientos de AESIA y las directrices sectoriales son los puntos de referencia.
3. AI literacy: la formación obligatoria
El Artículo 4 del AI Act impone un deber de alfabetización en IA para todo el personal que utiliza, desarrolla o gestiona sistemas de IA. A partir del 3 de agosto de 2026 las autoridades podrán verificar el cumplimiento. No hace falta un máster universitario: hacen falta itinerarios formativos documentados que permitan a los empleados reconocer errores del sistema, comprender sesgos algorítmicos y verificar la fiabilidad de los outputs. La documentación es esencial: registro de horas, contenidos, competencias adquiridas.
4. Gobernanza y documentación técnica
Los sistemas de alto riesgo requieren un expediente técnico completo: política de gestión del riesgo, descripción del dataset de entrenamiento, resultados de tests de rendimiento y sesgo, procedimiento de supervisión humana, plan de monitoreo post-market, instrucciones de uso. Los sistemas de riesgo limitado requieren mucho menos: informativa al usuario, etiquetado de contenidos AI-generated, procedimiento de reclamaciones. Evolus ofrece herramientas de trazabilidad, audit log e informes integrados que facilitan la recogida sistemática de evidencias.
5. Responsables y procedimientos
Nombrar un responsable interno de IA (no hace falta un rol nuevo dedicado: puede ser el DPO existente, el responsable de IT o un miembro de la dirección), definir procedimientos de incident response para fallos graves o resultados discriminatorios, planificar una revisión anual del registro de IA. La gobernanza no es un documento estático: es un ciclo vivo que sigue la evolución de las herramientas y del marco normativo.
- Semanas 1-2: mapeo de todos los sistemas de IA en uso
- Semanas 3-4: clasificación del riesgo y definición de prioridades
- Semanas 5-8: formación AI literacy y producción de documentación
- Semanas 9-10: nombramiento del responsable IA y procedimientos
- Semanas 11-12: revisión final y auditoría interna
Una PYME con 50 empleados y 6 sistemas de IA puede completar el cumplimiento con una inversión estimada entre 8.000 y 15.000 euros, incluyendo formación, asesoría jurídica y actualización documental. El coste medio de una sanción, incluso en el régimen atenuado para PYMES, es al menos 50 veces superior.
¿Cuáles son las sanciones del AI Act y quién las aplica?
Las sanciones del AI Act son las más severas jamás introducidas por una normativa UE en materia digital, superiores incluso al RGPD. El Artículo 99 del Reglamento prevé tres tramos de multas, calibrados según la gravedad de la infracción. Para las PYMES y startups hay un régimen atenuado: la sanción efectiva es la menor entre el importe máximo fijo y el porcentaje sobre la facturación, reduciendo drásticamente la exposición económica.
Los tres tramos sancionadores
| Tipo de Infracción | Sanción Máxima | Fecha de Aplicación |
|---|---|---|
| Uso de prácticas prohibidas (Art. 5) | 35M€ o 7% facturación global | En vigor desde 2/2/2025 |
| Incumplimiento sistemas alto riesgo | 15M€ o 3% facturación global | Desde 2/8/2026 |
| Información inexacta a autoridades | 7,5M€ o 1% facturación global | Desde 2/8/2026 |
El régimen atenuado para PYMES
Para las PYMES (menos de 250 empleados y facturación inferior a 50 millones de euros) y startups, la sanción aplicada es la menor entre el importe fijo y el porcentaje sobre la facturación. Ejemplo: una PYME con 2 millones de facturación que incumpla normas sobre sistemas de alto riesgo se expone como máximo al 3% de 2 millones, es decir 60.000 euros, no 15 millones. Una protección concreta que sin embargo no exime del cumplimiento sustantivo.
Quién aplica las sanciones
En España las sanciones las imponen AESIA (para cuestiones transversales del AI Act), la AEPD (para tratamientos de datos) y las autoridades sectoriales. A escala europea: AgID y ACN en Italia, CNIL, DGCCRF y Arcom en Francia, BNetzA y reguladores federales en Alemania. La Comisión Europea mantiene competencias directas sobre los modelos de IA de propósito general (GPAI) con impacto sistémico.
Sandbox regulatorio y ayudas: ¿qué puede obtener una PYME?
El AI Act no solo impone obligaciones: también introduce un sistema de ayudas específicas para PYMES y startups que desean desarrollar o probar soluciones de IA. El Artículo 62 del Reglamento prevé acceso prioritario y gratuito a los sandbox regulatorios nacionales, descuentos en las tarifas de evaluación de conformidad y documentación técnica simplificada. En España, AESIA gestiona el sandbox nacional, uno de los primeros en ponerse en marcha en la UE.
Qué es un sandbox regulatorio y cómo funciona
El sandbox regulatorio es un espacio controlado de experimentación donde una PYME puede probar un sistema de IA innovador en condiciones reales, bajo la supervisión de una autoridad, sin incurrir en sanciones durante la duración del test, siempre que respete el plan acordado y siga de buena fe las indicaciones de la autoridad. Es la herramienta ideal para innovar sin paralizarse en la burocracia.
Ayudas para startups y PYMES innovadoras
En 2026 las startups españolas pueden acceder a un sistema de ayudas articulado: ENISA (financiación pública para empresas innovadoras), Kit Digital Plus con partidas específicas para IA, bonificaciones en cuotas sociales para contratación de personal técnico, deducciones fiscales por I+D+i, programas regionales (Red.es, CDTI, SGR de las Comunidades Autónomas). Estos instrumentos son acumulables con las medidas de apoyo al cumplimiento del AI Act.
Cómo solicitar el acceso al sandbox
Para acceder al sandbox español hay que presentar solicitud a AESIA con un proyecto detallado: descripción del sistema de IA, objetivos de experimentación, datos utilizados, medidas de mitigación del riesgo, plan de salida. El proceso de selección prioriza soluciones con impacto social o industrial relevante y PYMES con perfil innovador. Las guías operativas publicadas en el portal de la Comisión Europea y en el sitio de AESIA se actualizan mensualmente.
Preguntas frecuentes sobre el AI Act 2026
¿Están las PYMES de menos de 50 empleados exentas del AI Act?
No. El AI Act se aplica a todas las empresas que utilizan o proveen sistemas de IA, independientemente del tamaño. Sin embargo, hay medidas atenuadas para PYMES y startups: documentación técnica simplificada, acceso gratuito a sandbox regulatorios, sanciones reducidas al menor entre importe fijo y porcentaje de facturación. Ninguna exención total, pero un camino aligerado.
¿Es nuestro chatbot de customer care un sistema de alto riesgo?
Generalmente no. Los chatbots de customer care entran en la categoría riesgo limitado del AI Act, con obligaciones principalmente de transparencia: informar al usuario que dialoga con una máquina y etiquetar los contenidos generados por IA. Se convierte en alto riesgo solo si el chatbot toma decisiones automáticas con impacto significativo, por ejemplo concesión de crédito o exclusión de un servicio esencial.
¿Qué ocurre si usamos software de IA proporcionado por empresas de fuera de la UE?
Si el sistema de IA se utiliza en la UE o produce efectos sobre ciudadanos europeos, el AI Act se aplica con independencia de la sede del proveedor. La PYME usuaria, en calidad de deployer, debe verificar que el proveedor haya cumplido sus obligaciones (marcado CE, documentación técnica, declaración de conformidad). La responsabilidad del uso conforme sigue siendo de la empresa española que adopta la solución.
¿Podría posponerse la fecha del 2 de agosto de 2026?
Se está debatiendo a nivel europeo una propuesta de Digital Omnibus que pospondría algunos plazos para sistemas de alto riesgo hasta el 2 de diciembre de 2027. En abril de 2026 la propuesta aún no ha sido adoptada: el plazo del 2 de agosto de 2026 sigue siendo jurídicamente vinculante. Las empresas deben proceder con la adaptación sin contar con aplazamientos no confirmados.
¿Cuál es la diferencia entre el AI Act y la normativa española?
El AI Act es el Reglamento europeo UE 2024/1689, directamente aplicable en todos los Estados miembros. La normativa española lo integra a través de AESIA como agencia coordinadora, la AEPD para tratamientos de datos personales y las autoridades sectoriales en los ámbitos regulados. Las PYMES españolas deben respetar el AI Act y las obligaciones complementarias nacionales simultáneamente.
Compara Evolus con los competidores
Descubre cómo se posiciona Evolus frente a otras plataformas AI del mercado.
¿Quieres ver la IA en acción?
Solicita una demo personalizada y descubre cómo la inteligencia artificial puede transformar tus procesos empresariales.