AI Act y empresa española: qué tienes que saber antes de implantar IA en 2026

El AI Act ya no es un debate teórico. Las primeras obligaciones entraron en vigor en febrero de 2025, las prácticas prohibidas y la alfabetización obligatoria llevan más de un año aplicándose, y desde agosto de 2026 entran en juego las reglas para modelos de propósito general y un buen bloque de obligaciones de gobernanza. Si tu empresa española está implantando IA en operaciones, ventas, atención al cliente o back office, el reglamento ya te afecta — aunque tu CTO o tu director general todavía no lo haya leído. Este post es la versión que nos hubiera gustado tener delante hace dos años: qué hace falta saber del AI Act para que no te frene un proyecto de IA, qué obligaciones aplican según el caso de uso, y qué hacer hoy para llegar a 2027 con la casa en orden.

En Everglow entramos en las empresas como implantadora de IA, no como despacho legal — pero cada implantación de IA que toca datos de clientes, decisiones laborales, scoring, atención sanitaria, educación o sector público arrastra una capa de compliance que ya no puedes esquivar. Y la mayoría de empresas medianas españolas siguen tratando el AI Act como si fuera el GDPR de 2017: “ya nos pondremos cuando llegue el momento”. El momento es ahora, y la diferencia entre llegar tarde o llegar a tiempo es básicamente coste de oportunidad: parar proyectos de IA con retorno medible porque el área legal no sabe firmar.

Qué es el AI Act y por qué tu empresa entra (aunque no sea “tech”)

El AI Act (Reglamento (UE) 2024/1689) es la primera regulación horizontal del mundo sobre inteligencia artificial. Lo aprobó el Parlamento Europeo en marzo de 2024, se publicó en julio de 2024 y entró en vigor el 1 de agosto de 2024. A partir de ahí, las obligaciones se han ido escalonando: prácticas prohibidas y alfabetización en IA desde febrero de 2025, modelos de propósito general y parte de la gobernanza desde agosto de 2025, sistemas de alto riesgo del Anexo III desde agosto de 2026, y el grueso de obligaciones plenas en agosto de 2027.

La trampa para empresas no-tech: el reglamento no aplica solo a fabricantes de modelos. Aplica también a desplegadores (deployers) — es decir, cualquier empresa que use un sistema de IA en su actividad profesional dentro de la UE. Si compras una herramienta SaaS con IA dentro y la pones a tomar decisiones sobre tu plantilla, tus clientes o tus operaciones, eres desplegador. Y los desplegadores tienen obligaciones, no tantas como los proveedores pero suficientes para que tu compliance officer se entere.

El enfoque del reglamento es por niveles de riesgo:

• Riesgo inaceptable: prohibido. Social scoring de personas, manipulación cognitiva, identificación biométrica remota en tiempo real en espacios públicos con excepciones tasadas. Si tu caso de uso roza esto, paras.
• Alto riesgo: permitido pero con obligaciones fuertes. Sistemas usados en infraestructura crítica, educación, empleo (selección, evaluación, despido), servicios esenciales (banca, seguros, crédito), aplicación de la ley, control migratorio, justicia y procesos democráticos. La lista exacta está en el Anexo III.
• Riesgo limitado: obligaciones de transparencia. Chatbots, generadores de imagen/voz, deepfakes. Hay que avisar al usuario de que está interactuando con una IA o de que el contenido es sintético.
• Riesgo mínimo: el resto. Sin obligaciones específicas más allá de lo voluntario.

La mayoría de proyectos que vemos en empresas medianas españolas caen en riesgo limitado o mínimo. Pero hay un porcentaje creciente — sobre todo en RRHH, banca, salud y administración pública — que se va a alto riesgo. Y ahí el reglamento muerde.

Qué obligaciones aplican según en qué cubeta caigas

Asumiendo que eres una empresa española usando IA (no construyendo modelos fundacionales), el mapa práctico queda así:

Si tu uso es de riesgo mínimo (un copiloto interno para redactar correos, una IA que clasifica tickets de soporte sin tomar decisiones autónomas, automatizaciones de back office sobre datos no sensibles): no tienes obligaciones formales del AI Act, pero sí la obligación transversal de alfabetización en IA del artículo 4 — formar a las personas que operan o supervisan el sistema. En la práctica: si tu equipo usa IA, tienes que poder demostrar que sabe usarla.

Si tu uso es de riesgo limitado (chatbot externo, asistente virtual hacia cliente, generación de contenido con IA visible para terceros): tienes que cumplir las obligaciones de transparencia. Lo concreto:

• Avisar al usuario de que está interactuando con un sistema de IA.
• Etiquetar contenido sintético generado por IA (imágenes, vídeo, audio) cuando aplique.
• Documentación interna mínima de cómo funciona y qué datos procesa.

Si tu uso es de alto riesgo (selección de personal, scoring crediticio, triaje médico, evaluación educativa, decisiones sobre acceso a servicios esenciales): aquí el reglamento se pone serio. Como desplegador tienes que, entre otras cosas:

• Usar el sistema conforme a las instrucciones del proveedor.
• Garantizar supervisión humana efectiva por personal con la formación adecuada.
• Asegurar que los datos de entrada son relevantes y representativos.
• Monitorizar el funcionamiento del sistema y registrar incidentes.
• Conservar logs generados por el sistema durante al menos seis meses.
• Hacer una evaluación de impacto sobre derechos fundamentales (FRIA) si eres entidad pública o privada que presta servicios esenciales.
• Informar a las personas afectadas cuando la IA participe en una decisión que les afecte.
• Cooperar con las autoridades competentes (en España, la AESIA — Agencia Española de Supervisión de la IA).

Si además eres proveedor de un sistema de alto riesgo (lo construyes o lo personalizas hasta el punto de cambiar su finalidad), te entran las obligaciones gordas: sistema de gestión de la calidad, gestión de riesgos, datos de entrenamiento documentados, documentación técnica, transparencia, ciberseguridad, evaluación de la conformidad y marcado CE, registro en la base de datos europea. Esto es trabajo de meses, no de un sprint.

El error que cometen casi todas las empresas medianas es asumir que “comprar IA” las pone en el lado fácil del reglamento. No siempre. Si compras una herramienta y la personalizas, la entrenas con datos tuyos o cambias su finalidad de uso, te puedes convertir en proveedor sin enterarte. La línea exacta la marca el artículo 25.

Cómo afecta el AI Act a tu hoja de ruta de implantación de IA

Vamos a lo práctico. Imagínate una empresa española de 300 empleados que está implantando IA en cuatro frentes a la vez (escenario real, lo vemos cada mes):

1. Copiloto interno para redactar emails y documentos (riesgo mínimo).
2. Chatbot en la web para soporte de primer nivel (riesgo limitado).
3. Sistema de IA para preselección de CVs en RRHH (alto riesgo, Anexo III).
4. RAG sobre documentación interna para que el equipo técnico consulte normas y procedimientos (riesgo mínimo).

El plan de compliance asociado a esa implantación no tiene por qué frenar nada — si lo diseñas bien desde el principio. Lo que sí tiene que hacer es ordenar:

• Para 1 y 4: política interna de uso de IA, formación al equipo (alfabetización art. 4), inventario de sistemas. Hecho.
• Para 2: aviso visible al usuario, política de privacidad actualizada, registro de conversaciones con criterio de retención. Hecho.
• Para 3: aquí paras y piensas. Necesitas evaluación previa, supervisión humana real (no un humano sellando decisiones), logs durante seis meses, información a las personas candidatas, y si el proveedor del sistema no te da la documentación que exige el reglamento, cambias de proveedor. Esto último es lo que muchos no quieren oír: el AI Act es una excusa estupenda para limpiar tu stack de IA y quedarte solo con proveedores serios.

La regla práctica que aplicamos en cada implantación: clasificar el caso de uso antes de empezar a integrar nada. Si no sabes en qué cubeta cae, no puedes presupuestar bien el proyecto, porque las obligaciones de alto riesgo añaden tiempo, documentación y, en algunos casos, evaluación de conformidad externa. Esto no es burocracia gratuita — es lo que separa los proyectos de IA que llegan a producción de los que se quedan en piloto eterno.

Qué tienes que tener listo en 2026 (y qué puede esperar)

Si me obligas a darte una lista corta de lo mínimo viable para una empresa mediana española en 2026, la cosa queda así:

• Inventario de todos los sistemas de IA que se están usando — incluyendo los SaaS con IA dentro que el equipo ha contratado por su cuenta.
• Clasificación de riesgo de cada uno según el AI Act (mínimo, limitado, alto, prohibido).
• Política interna de IA: usos permitidos, usos vetados, datos que no pueden salir, criterios para introducir herramientas nuevas.
• Plan de formación que cubra alfabetización del artículo 4 — no un curso genérico de ChatGPT, sino formación operativa adaptada al rol.
• Procedimiento de evaluación previa para sistemas nuevos: antes de comprar o desplegar, pasas el sistema por la clasificación.
• Registro de incidentes y mecanismo para reportarlos.
• Cláusulas contractuales con proveedores de IA que te aseguren la documentación que el reglamento exige.

Lo que puede esperar sin que te pille fuera de juego: la evaluación de conformidad formal para sistemas de alto riesgo si todavía no tienes ninguno desplegado, la integración con la base de datos europea de sistemas de alto riesgo, y los procedimientos plenos del artículo 26 si no estás en sectores regulados. Pero “puede esperar” no es “lo ignoras”. Es “lo tienes priorizado en tu roadmap de gobernanza”.

El AI Act como ventaja competitiva (sí, en serio)

Aquí va la idea contraintuitiva que casi nadie está usando: el AI Act bien aprovechado es una ventaja comercial. Si vendes a empresas medianas o grandes en España, en 2026 vas a empezar a recibir cuestionarios de compliance de IA en cada proceso de compra. Llegar con tu inventario hecho, tus políticas firmadas y tus proveedores auditados te acorta el ciclo de venta varias semanas. Llegar sin nada te saca del proceso.

Y al revés: si compras IA, exigir cumplimiento del AI Act a tus proveedores te quita de encima a los más cutres del mercado. El reglamento es, en la práctica, un filtro de calidad. La empresa que te dice “tranquilo, el AI Act no nos afecta porque somos una startup pequeñita” es exactamente la empresa que no quieres que toque tus datos. La empresa seria es la que te entrega documentación técnica, política de datos, registro de modelo y SLA de soporte sin que se lo pidas dos veces.

En las implantaciones que hacemos desde Everglow, el compliance se diseña en el sprint cero, no se parchea al final. La diferencia es brutal en proyectos de RRHH, banca, seguros y sector público — sectores donde el AI Act muerde y donde el ROI de la IA es alto si el proyecto está bien planteado.

Errores típicos que vemos en empresas españolas

Por terminar con valor concreto, los cinco errores que más se repiten cuando una empresa mediana española se toma en serio el AI Act por primera vez:

• Confundir GDPR con AI Act. Son complementarios pero distintos. Cumplir uno no te exime del otro. El AI Act regula el sistema; el GDPR regula los datos personales que el sistema procesa. Una IA puede ser perfectamente conforme al GDPR y prohibida por el AI Act, y al revés.
• Empezar por el último escalón. Hay equipos que se ponen a documentar evaluaciones de conformidad antes de tener el inventario. Sin inventario no sabes qué tienes que documentar.
• Externalizar todo a un despacho. El despacho te ayuda con la parte legal, pero el AI Act exige criterio técnico: qué hace el sistema, cómo se entrena, qué datos procesa, qué decisiones toma. Si no tienes a alguien técnico dentro del equipo que cumpla este rol, el cumplimiento será de cartón piedra.
• Tratar la alfabetización como un curso online de 30 minutos. El artículo 4 exige formación adecuada al rol. Un becario que clasifica leads con IA y un médico que usa IA para triaje necesitan formación distinta. Y los dos necesitan más que un vídeo genérico.
• Asumir que el proveedor cumple. No siempre cumple. Y aunque cumpla, tú como desplegador tienes tus propias obligaciones. La documentación del proveedor no te exime.

Por dónde empezar esta semana

Si llegas hasta aquí y quieres mover ficha sin sobreingenierizar, esto es lo mínimo que puedes hacer en cinco días laborables:

1. Día 1: inventario rápido de todas las herramientas con IA que se están usando. Pregunta abierta a cada departamento, sin juzgar. Vas a encontrar cosas que no sabías.
2. Día 2: clasificación de cada herramienta en una de las cuatro cubetas (prohibido, alto, limitado, mínimo). Si hay dudas serias, márcalas en rojo y trátalas como alto riesgo hasta confirmar.
3. Día 3: política interna de IA en una página. Usos permitidos, usos prohibidos, datos que no pueden salir, criterio para herramientas nuevas. Que la firme dirección.
4. Día 4: plan de formación. Tres niveles mínimos: directivos, personas que operan IA, personas que solo la consumen. Adaptado al rol.
5. Día 5: revisión legal de los contratos con los proveedores de IA críticos. Cláusulas que te aseguren documentación, soporte y notificación de cambios.

Eso te pone en una base sólida. Lo siguiente — supervisión humana real para sistemas de alto riesgo, registro de incidentes formal, integración con autoridades — es ya construcción del año, no del sprint.

Si lo que necesitas es ayuda para implantar IA en tu empresa con la capa de compliance integrada desde el primer día — no como un parche al final — escríbenos por contacto. Trabajamos con pocas empresas a la vez, entramos en proyectos donde el ROI es claro y diseñamos cada implantación pensando en que aguante una auditoría, no en que quede bien en una demo. El AI Act no es el enemigo de la IA en empresa: es el filtro que separa los proyectos serios de los que no iban a llegar a producción de todas formas.