Governance & Compliance

EU AI Act 2026: Que aplica ya, que viene, que debe hacer

Estado febrero 2026: prohibiciones activas, AI Literacy obligatoria, deadline High-Risk en seis meses. Calendario, obligaciones, recomendaciones.

Bert Gogolin
Bert Gogolin
CEO y fundador 11 min de lectura

La primera ley integral de IA del mundo

El EU AI Act esta en vigor desde agosto de 2024. Es la primera legislacion integral del mundo para regular la inteligencia artificial y aplica a toda empresa que desarrolle, despliegue o proporcione sistemas de IA. En febrero de 2026, nos encontramos en plena fase de implementacion: dos plazos ya han vencido, el siguiente llega en seis meses. Quien no se ha preparado tiene un problema. Quien se prepara ahora, aun tiene tiempo.

Para las empresas espanolas, esto implica un doble marco normativo: el EU AI Act se superpone con la legislacion laboral nacional, en particular el Estatuto de los Trabajadores y las competencias del Comite de Empresa. Este articulo ofrece una vision clara del estado actual: que aplica ya, que viene y cuando, que obligaciones afectan a su empresa y que deberia hacer en los proximos 90 dias.

Calendario: Cinco hitos

La implementacion escalonada del EU AI Act se extiende a lo largo de tres anos. Cada hito activa obligaciones diferentes.

Agosto 2024          Febrero 2025         Agosto 2025         Agosto 2026          Agosto 2027
    |                    |                    |                   |                    |
    v                    v                    v                   v                    v
Entrada en vigor    Practicas IA         Obligaciones        Sistemas High-Risk   Restantes
                    prohibidas +         GPAI en vigor       deben ser            disposiciones
                    AI Literacy                              conformes
                    ACTIVAS              ACTIVAS             EN 6 MESES           2027

Para las empresas, esto significa: dos etapas ya son juridicamente vinculantes. La tercera, y para muchas empresas la mas critica, entra en vigor en seis meses. La preparacion requiere tipicamente de cuatro a seis meses. El tiempo apremia.

Que aplica ya

Practicas de IA prohibidas (desde febrero 2025)

Desde el 2 de febrero de 2025, determinadas aplicaciones de IA estan completamente prohibidas en la UE. Esto cubre:

  • Social Scoring: Sistemas de IA que evaluan personas en base a su comportamiento social y derivan desventajas en contextos no relacionados.
  • IA manipulativa: Sistemas que manipulan el comportamiento humano mediante tecnicas subliminales, como dark patterns que fuerzan decisiones de compra o consentimientos.
  • Biometria en tiempo real en espacios publicos: La identificacion biometrica en tiempo real esta fundamentalmente prohibida. Existen excepciones limitadas para fuerzas de seguridad en casos de delitos graves, antiterrorismo y busqueda de personas desaparecidas, siempre con autorizacion judicial.
  • Reconocimiento de emociones en el lugar de trabajo e instituciones educativas: Los sistemas de IA que detectan emociones de trabajadores o alumnos son inadmisibles.
  • Predictive Policing basado en caracteristicas individuales: Evaluaciones de riesgo de criminalidad basadas exclusivamente en atributos personales.

Sanciones: Las infracciones de las prohibiciones se sancionan con multas de hasta 35 millones de euros o el 7 por ciento de la facturacion anual global, lo que sea superior.

Para la mayoria de empresas espanolas, estas prohibiciones no requieren acciones directas inmediatas, ya que las aplicaciones descritas raramente se dan en el contexto empresarial. Pero la verificacion es obligatoria: asegurese de que ninguno de sus sistemas de IA entre en estas categorias.

AI Literacy (desde febrero 2025)

En paralelo a las prohibiciones, desde febrero de 2025 rige la obligacion de AI Literacy segun el Articulo 4: todas las personas que operen, desplieguen o utilicen sistemas de IA deben poseer un nivel suficiente de competencia en IA. La competencia debe ser adecuada al contexto respectivo: un desarrollador necesita un conocimiento mas profundo que un usuario final que utiliza un chatbot.

Que significa en la practica:

  • Obligacion de formacion: Las empresas deben poder demostrar que sus empleados han sido formados.
  • Obligacion de documentacion: Contenidos formativos, listas de participantes e intervalos de actualizacion deben estar documentados.
  • Adecuacion al contexto: La formacion debe corresponder al rol. Un e-learning generico no basta para los responsables que seleccionan y responden de los sistemas de IA.

La obligacion de AI Literacy se subestima con frecuencia porque no impone requisitos tecnicos elevados. Pero ya es exigible. Y aplica a toda empresa que utilice IA, independientemente de la clase de riesgo del sistema.

Obligaciones GPAI (desde agosto 2025)

Desde agosto de 2025, estan en vigor las obligaciones de transparencia y documentacion para modelos de IA de Proposito General (GPAI). Afectan primariamente a los proveedores de modelos de lenguaje, no a las empresas que los utilizan. Pero como deployer, como empresa que utiliza un modelo GPAI en sus propias aplicaciones, tiene obligaciones:

  • Avisos de uso: Si su aplicacion genera contenido que podria confundirse con contenido creado por humanos, debe senalarlo.
  • Transparencia hacia los usuarios: Las personas que interactuan con un sistema de IA deben ser informadas.
  • Infraestructura de governance: Debe poder documentar que modelos GPAI utiliza, en que contexto y con que medidas de proteccion.

Las obligaciones GPAI requieren un inventario limpio: Que modelos de IA utiliza? De que proveedor? En que aplicacion? Con que clasificacion de riesgo? Esta informacion constituye la base para el cumplimiento High-Risk que entra en vigor en seis meses.

Que llega en seis meses: Sistemas High-Risk (agosto 2026)

El deadline High-Risk del 2 de agosto de 2026 es el plazo mas critico del EU AI Act para la mayoria de empresas. A partir de esa fecha, todos los sistemas de IA que entren en el Anexo III deben ser plenamente conformes. Los requisitos son extensos.

Que sistemas entran en High Risk?

El Anexo III del EU AI Act define ocho areas en las que los sistemas de IA se clasifican como de alto riesgo. Las mas relevantes para las empresas:

  • Empleo, gestion de personal y acceso al autoempleo: Sistemas de IA para ofertas de empleo, seleccion de candidatos, evaluacion del rendimiento, decisiones de promocion y despidos.
  • Solvencia y seguros: Evaluacion automatizada de solvencia, scoring de riesgo.
  • Identificacion biometrica: Reconocimiento facial, identificacion de voz, tambien en espacios no publicos.
  • Infraestructura critica: Sistemas de IA en energia, agua, transporte, telecomunicaciones.
  • Educacion y formacion profesional: Evaluacion automatizada de examenes, control de acceso a instituciones educativas.

Requisitos para sistemas High-Risk

Si alguno de sus sistemas de IA esta clasificado como High Risk, debe cumplir los siguientes requisitos antes de agosto de 2026:

  1. Sistema de gestion de riesgos: Un sistema documentado para identificar, analizar y mitigar riesgos a lo largo del ciclo de vida completo del sistema de IA.
  2. Governance de datos: Requisitos sobre calidad, representatividad y exactitud de los datos de entrenamiento. Al utilizar modelos preentrenados: documentacion de la procedencia de datos y el ajuste fino.
  3. Documentacion tecnica: Documentacion exhaustiva del sistema antes de su puesta en marcha: arquitectura, procedimientos de entrenamiento, metricas de rendimiento, procedimientos de prueba, limitaciones.
  4. Obligaciones de registro: Registro automatico de todos los eventos relevantes (logging) para garantizar la trazabilidad de las decisiones.
  5. Transparencia: Instrucciones de uso para deployers que permitan un uso adecuado.
  6. Supervision humana (Human Oversight): Medidas tecnicas que permitan una supervision efectiva por personas. El Decision Layer es una arquitectura que implementa tecnicamente este requisito.
  7. Exactitud, robustez, ciberseguridad: El sistema debe ofrecer de forma fiable el rendimiento declarado y estar protegido contra manipulacion.
  8. Evaluacion de conformidad: Para determinadas categorias se requiere una evaluacion por un organismo notificado (Conformity Assessment Body). Para otras basta una autoevaluacion.

Sanciones: Las infracciones de las obligaciones High-Risk se sancionan con multas de hasta 15 millones de euros o el 3 por ciento de la facturacion anual global.

Especial relevancia para RRHH

El area de Recursos Humanos es el departamento donde las aplicaciones de IA entran con mayor frecuencia en la categoria High-Risk. Esto se debe al Anexo III, punto 4 - Empleo y gestion de personal. La clasificacion cubre:

Screening automatizado de candidaturas: High Risk. Cualquier sistema de IA que preseleccione, evalue o filtre candidaturas entra en la categoria High-Risk. Independientemente de si la decision final la toma una persona. Ya la preseleccion esta regulada.

Evaluaciones de rendimiento asistidas por IA: High Risk. Cuando sistemas de IA analizan datos de rendimiento y derivan evaluaciones o preparan evaluaciones, es High Risk. Esto aplica tambien a sistemas que solo emiten recomendaciones.

Predictive Attrition: High Risk. Sistemas de IA que predicen que empleados probablemente abandonaran la empresa procesan datos personales para derivar decisiones de empleo. Es High Risk.

Optimizacion automatica de turnos: potencialmente High Risk. Si un sistema de IA crea cuadrantes de turnos procesando preferencias individuales, datos de rendimiento o informacion sanitaria, puede entrar en High Risk. La clasificacion depende del alcance concreto de los datos.

Para los departamentos de RRHH, esto significa: inventarie todos los sistemas de IA utilizados en contextos de empleo. Revise la clasificacion. Inicie la preparacion de compliance: los seis meses hasta agosto de 2026 son ajustados para alcanzar plena conformidad High-Risk. En Espana, ademas, el Comite de Empresa tiene derecho de informacion y consulta sobre la implantacion de estos sistemas segun el Estatuto de los Trabajadores. Mas informacion sobre la interaccion entre IA y RRHH en HR & AI Agents.

Digital Omnibus: Posible aplazamiento

La Comision Europea propuso a finales de 2025 un paquete Digital Omnibus que podria, entre otras cosas, aplazar los plazos High-Risk del EU AI Act a diciembre de 2027. El paquete tambien aborda una simplificacion de las obligaciones de reporte y una elevacion de los umbrales para pymes.

Estado actual: El paquete Digital Omnibus es una propuesta de la Comision. Debe ser aprobado por el Parlamento Europeo y el Consejo. A febrero de 2026, el procedimiento legislativo no ha concluido. No hay garantia de que el paquete se apruebe en la forma propuesta. No hay garantia de que se apruebe en absoluto.

La recomendacion: Planifique con agosto de 2026. Si el Digital Omnibus efectivamente trae un aplazamiento, habra ganado tiempo adicional. Si no, estara preparado. Una planificacion de compliance que apuesta por una prorroga incierta es un riesgo evitable.

Recomendacion practica: Inicie un inventario de sistemas de IA

Independientemente de si sus sistemas de IA entran en High Risk o no: el primer paso es siempre el mismo. Necesita un inventario completo de todos los sistemas de IA en su empresa.

Que debe registrarse

Para cada sistema de IA, documente:

  • Designacion y descripcion del sistema: Que hace el sistema? Que proceso soporta?
  • Proveedor y modelo: Que modelo de IA se utiliza? De que proveedor? Cloud API o self-hosted?
  • Rol de su empresa: Es usted provider (proveedor), deployer (operador) o ambos?
  • Clasificacion de riesgo: Entra el sistema en alguna de las categorias del Anexo III (High Risk)? En las prohibiciones del Articulo 5? O se trata de un sistema de riesgo limitado?
  • Personas afectadas: A que personas afectan las decisiones o resultados del sistema?
  • Procesamiento de datos: Que datos procesa el sistema? Datos personales? Secretos comerciales?
  • Medidas de proteccion: Que medidas tecnicas y organizativas estan implementadas? Human Oversight? Audit Trail?

Calendario

Un inventario de sistemas de IA para una empresa mediana es realizable en cuatro a ocho semanas. El esfuerzo depende del numero de sistemas, del estado de la documentacion y de la coordinacion interna. Comience con los sistemas evidentes, las herramientas de IA oficialmente adquiridas, y luego extienda a Shadow AI: sistemas de IA que los empleados utilizan por su cuenta sin que el departamento de IT lo sepa.

El inventario no es una tarea puntual. Debe actualizarse de forma continua, porque se anaden nuevos sistemas, los existentes se modifican y la valoracion regulatoria evoluciona. La infraestructura de governance debe estar disenada para que el inventario sea un documento vivo.

Resumen: Que debe hacer ahora

  1. Revise las prohibiciones. Asegurese de que ninguno de sus sistemas de IA entra en las practicas prohibidas desde febrero de 2025.
  2. Cumpla la obligacion de AI Literacy. Documente formaciones para todos los usuarios de IA en su empresa. La obligacion ya esta en vigor.
  3. Cree un inventario de sistemas de IA. Registre todos los sistemas de IA, sus proveedores, contexto de uso y clasificacion de riesgo. Plazo: cuatro a ocho semanas.
  4. Identifique los sistemas High-Risk. Revise especialmente el area de RRHH, decisiones crediticias y procesos automatizados con impacto directo sobre personas.
  5. Inicie el cumplimiento High-Risk. Para sistemas bajo el Anexo III: establezca sistema de gestion de riesgos, governance de datos, documentacion tecnica y Human Oversight. Deadline: agosto de 2026.
  6. No planifique con el Digital Omnibus. El posible aplazamiento es un bonus, no una base de planificacion.

Gosign acompana a las empresas en el cumplimiento del EU AI Act, desde el inventario de sistemas hasta la evaluacion de conformidad. Si quiere saber donde se encuentra su empresa, hable con nosotros.

Solicitar cita. 30 minutos en los que evaluamos su estado de compliance.

EU AI Act Regulacion IA High Risk Compliance HR 2026
Compartir este artículo
LinkedIn X Email

Preguntas frecuentes

Que practicas de IA estan prohibidas desde febrero 2025?

Social Scoring, sistemas de IA manipulativos y biometria en tiempo real en espacios publicos (con excepciones limitadas para fuerzas de seguridad). Sanciones: hasta 35 millones EUR o 7% de la facturacion anual global.

Son las aplicaciones de IA en RRHH consideradas High Risk?

Casi siempre. Screening automatizado de candidatos, evaluaciones de rendimiento asistidas por IA, Predictive Attrition y optimizacion automatica de turnos entran en la categoria High-Risk (Anexo III). Deadline: agosto 2026.

Que significa la obligacion de AI Literacy?

Desde febrero 2025, todas las personas que operan o utilizan sistemas de IA deben tener un nivel suficiente de competencia en IA. Las empresas deben poder demostrar medidas de formacion.

Como afecta el EU AI Act a las empresas espanolas?

El EU AI Act es directamente aplicable en todos los Estados miembros, incluida Espana. Las empresas espanolas que utilizan sistemas de IA deben cumplir los mismos requisitos que las alemanas o francesas. Ademas, la regulacion se superpone con el Estatuto de los Trabajadores en materia de participacion del Comite de Empresa.

¿Qué proceso debería manejar su primer agente?

Hablemos sobre un caso de uso concreto en su organización.

Agendar una llamada