EU AI Act 2026: Qué aplica ya, qué viene, qué debe hacer

El EU AI Act está en vigor. Dos plazos ya han vencido, el deadline crítico de High-Risk llega en seis meses. Estado actual, obligaciones y lo que las empresas deben hacer ahora.

Según Gartner (2025), menos del 10% de las organizaciones sujetas al EU AI Act han completado su inventario de sistemas de IA, el paso fundacional para el cumplimiento. La Comisión Europea estima que más de 300.000 empresas en la UE despliegan sistemas de IA que pueden entrar en el ámbito regulatorio.

La primera ley integral de IA del mundo

El EU AI Act está en vigor desde agosto de 2024. Es la primera legislación integral del mundo para regular la inteligencia artificial y aplica a toda empresa que desarrolle, despliegue o proporcione sistemas de IA. En febrero de 2026, nos encontramos en plena fase de implementación: dos plazos ya han vencido, el siguiente llega en seis meses. Quien no se ha preparado tiene un problema. Quien se prepara ahora, aún tiene tiempo.

Para las empresas españolas, esto implica un doble marco normativo: el EU AI Act se superpone con la legislación laboral nacional, en particular el Estatuto de los Trabajadores y las competencias del Comité de Empresa. Este artículo ofrece una visión clara del estado actual: qué aplica ya, qué viene y cuándo, qué obligaciones afectan a su empresa y qué debería hacer en los próximos 90 días.

Calendario: Cinco hitos

La implementación escalonada del EU AI Act se extiende a lo largo de tres años. Cada hito activa obligaciones diferentes.

Agosto 2024          Febrero 2025         Agosto 2025         Agosto 2026          Agosto 2027
|                    |                    |                   |                    |
v                    v                    v                   v                    v
Entrada en vigor    Practicas IA         Obligaciones        Sistemas High-Risk   Restantes
prohibidas +         GPAI en vigor       deben ser            disposiciones
AI Literacy                              conformes
ACTIVAS              ACTIVAS             EN 6 MESES           2027

Para las empresas, esto significa: dos etapas ya son jurídicamente vinculantes. La tercera, y para muchas empresas la más crítica, entra en vigor en seis meses. La preparación requiere típicamente de cuatro a seis meses. El tiempo apremia.

Qué aplica ya

Prácticas de IA prohibidas (desde febrero 2025)

Desde el 2 de febrero de 2025, determinadas aplicaciones de IA están completamente prohibidas en la UE. Esto cubre:

• Social Scoring: Sistemas de IA que evalúan personas en base a su comportamiento social y derivan desventajas en contextos no relacionados.
• IA manipulativa: Sistemas que manipulan el comportamiento humano mediante técnicas subliminales, como dark patterns que fuerzan decisiones de compra o consentimientos.
• Biometría en tiempo real en espacios públicos: La identificación biométrica en tiempo real está fundamentalmente prohibida. Existen excepciones limitadas para fuerzas de seguridad en casos de delitos graves, antiterrorismo y búsqueda de personas desaparecidas, siempre con autorización judicial.
• Reconocimiento de emociones en el lugar de trabajo e instituciones educativas: Los sistemas de IA que detectan emociones de trabajadores o alumnos son inadmisibles.
• Predictive Policing basado en características individuales: Evaluaciones de riesgo de criminalidad basadas exclusivamente en atributos personales.

Sanciones: Las infracciones de las prohibiciones se sancionan con multas de hasta 35 millones de euros o el 7 por ciento de la facturación anual global, lo que sea superior.

Para la mayoría de empresas españolas, estas prohibiciones no requieren acciones directas inmediatas, ya que las aplicaciones descritas raramente se dan en el contexto empresarial. Pero la verificación es obligatoria: asegúrese de que ninguno de sus sistemas de IA entre en estas categorías.

AI Literacy (desde febrero 2025)

En paralelo a las prohibiciones, desde febrero de 2025 rige la obligación de AI Literacy según el Artículo 4: todas las personas que operen, desplieguen o utilicen sistemas de IA deben poseer un nivel suficiente de competencia en IA. La competencia debe ser adecuada al contexto respectivo: un desarrollador necesita un conocimiento más profundo que un usuario final que utiliza un chatbot.

Qué significa en la práctica:

• Obligación de formación: Las empresas deben poder demostrar que sus empleados han sido formados.
• Obligación de documentación: Contenidos formativos, listas de participantes e intervalos de actualización deben estar documentados.
• Adecuación al contexto: La formación debe corresponder al rol. Un e-learning genérico no basta para los responsables que seleccionan y responden de los sistemas de IA.

La obligación de AI Literacy se subestima con frecuencia porque no impone requisitos técnicos elevados. Pero ya es exigible. Y aplica a toda empresa que utilice IA, independientemente de la clase de riesgo del sistema.

Obligaciones GPAI (desde agosto 2025)

Desde agosto de 2025, están en vigor las obligaciones de transparencia y documentación para modelos de IA de Propósito General (GPAI). Afectan primariamente a los proveedores de modelos de lenguaje, no a las empresas que los utilizan. Pero como deployer, como empresa que utiliza un modelo GPAI en sus propias aplicaciones, tiene obligaciones:

• Avisos de uso: Si su aplicación genera contenido que podría confundirse con contenido creado por humanos, debe señalarlo.
• Transparencia hacia los usuarios: Las personas que interactúan con un sistema de IA deben ser informadas.
• Infraestructura de governance: Debe poder documentar qué modelos GPAI utiliza, en qué contexto y con qué medidas de protección.

Las obligaciones GPAI requieren un inventario limpio: ¿Qué modelos de IA utiliza? ¿De qué proveedor? ¿En qué aplicación? ¿Con qué clasificación de riesgo? Esta información constituye la base para el cumplimiento High-Risk que entra en vigor en seis meses.

Qué llega en seis meses: Sistemas High-Risk (agosto 2026)

El deadline High-Risk del 2 de agosto de 2026 es el plazo más crítico del EU AI Act para la mayoría de empresas. A partir de esa fecha, todos los sistemas de IA que entren en el Anexo III deben ser plenamente conformes. Los requisitos son extensos.

¿Qué sistemas entran en High Risk?

El Anexo III del EU AI Act define ocho áreas en las que los sistemas de IA se clasifican como de alto riesgo. Las más relevantes para las empresas:

• Empleo, gestión de personal y acceso al autoempleo: Sistemas de IA para ofertas de empleo, selección de candidatos, evaluación del rendimiento, decisiones de promoción y despidos.
• Solvencia y seguros: Evaluación automatizada de solvencia, scoring de riesgo.
• Identificación biométrica: Reconocimiento facial, identificación de voz, también en espacios no públicos.
• Infraestructura crítica: Sistemas de IA en energía, agua, transporte, telecomunicaciones.
• Educación y formación profesional: Evaluación automatizada de exámenes, control de acceso a instituciones educativas.

Requisitos para sistemas High-Risk

Si alguno de sus sistemas de IA está clasificado como High Risk, debe cumplir los siguientes requisitos antes de agosto de 2026:

1. Sistema de gestión de riesgos: Un sistema documentado para identificar, analizar y mitigar riesgos a lo largo del ciclo de vida completo del sistema de IA.
2. Governance de datos: Requisitos sobre calidad, representatividad y exactitud de los datos de entrenamiento. Al utilizar modelos preentrenados: documentación de la procedencia de datos y el ajuste fino.
3. Documentación técnica: Documentación exhaustiva del sistema antes de su puesta en marcha: arquitectura, procedimientos de entrenamiento, métricas de rendimiento, procedimientos de prueba, limitaciones.
4. Obligaciones de registro: Registro automático de todos los eventos relevantes (logging) para garantizar la trazabilidad de las decisiones.
5. Transparencia: Instrucciones de uso para deployers que permitan un uso adecuado.
6. Supervisión humana (Human Oversight): Medidas técnicas que permitan una supervisión efectiva por personas. El Decision Layer es una arquitectura que implementa técnicamente este requisito.
7. Exactitud, robustez, ciberseguridad: El sistema debe ofrecer de forma fiable el rendimiento declarado y estar protegido contra manipulación.
8. Evaluación de conformidad: Para determinadas categorías se requiere una evaluación por un organismo notificado (Conformity Assessment Body). Para otras basta una autoevaluación.

Sanciones: Las infracciones de las obligaciones High-Risk se sancionan con multas de hasta 15 millones de euros o el 3 por ciento de la facturación anual global.

Especial relevancia para RRHH

El área de Recursos Humanos es el departamento donde las aplicaciones de IA entran con mayor frecuencia en la categoría High-Risk. Esto se debe al Anexo III, punto 4 - Empleo y gestión de personal. La clasificación cubre:

Screening automatizado de candidaturas: High Risk. Cualquier sistema de IA que preseleccione, evalúe o filtre candidaturas entra en la categoría High-Risk. Independientemente de si la decisión final la toma una persona. Ya la preselección está regulada.

Evaluaciones de rendimiento asistidas por IA: High Risk. Cuando sistemas de IA analizan datos de rendimiento y derivan evaluaciones o preparan evaluaciones, es High Risk. Esto aplica también a sistemas que solo emiten recomendaciones.

Predictive Attrition: High Risk. Sistemas de IA que predicen qué empleados probablemente abandonarán la empresa procesan datos personales para derivar decisiones de empleo. Es High Risk.

Optimización automática de turnos: potencialmente High Risk. Si un sistema de IA crea cuadrantes de turnos procesando preferencias individuales, datos de rendimiento o información sanitaria, puede entrar en High Risk. La clasificación depende del alcance concreto de los datos.

Para los departamentos de RRHH, esto significa: inventarie todos los sistemas de IA utilizados en contextos de empleo. Revise la clasificación. Inicie la preparación de compliance: los seis meses hasta agosto de 2026 son ajustados para alcanzar plena conformidad High-Risk. En España, además, el Comité de Empresa tiene derecho de información y consulta sobre la implantación de estos sistemas según el Estatuto de los Trabajadores. Más información sobre la interacción entre IA y RRHH en HR & AI Agents.

Digital Omnibus: El aplazamiento se acerca

La Comisión Europea propuso a finales de 2025 un paquete Digital Omnibus que, entre otras cosas, introduce un aplazamiento condicional de los plazos High-Risk del EU AI Act. El mecanismo no es un aplazamiento automático, sino escalonado: la publicación de normas armonizadas activa un período transitorio de 6 meses para sistemas del Anexo III y de 12 meses para sistemas del Anexo I. Si las normas armonizadas no se publican a tiempo, se aplica una fecha tope (backstop) del 2 de diciembre de 2027. El paquete también aborda una simplificación de las obligaciones de reporte y una elevación de los umbrales para pymes.

Estado a junio de 2026: El procedimiento legislativo ha avanzado con rapidez. El 7 de mayo de 2026, el Consejo y el Parlamento alcanzaron un acuerdo político provisional sobre el paquete, que fija el aplazamiento del plazo de alto riesgo al 2 de diciembre de 2027. Sin embargo, el aplazamiento aún no está en vigor: la adopción formal y la publicación en el Diario Oficial de la UE siguen pendientes, previstas para antes del 2 de agosto de 2026. Mientras tanto, la fecha legalmente vigente sigue siendo agosto de 2026.

La recomendación: La clasificación de alto riesgo se mantiene sin cambios. Conforme a la legislación vigente, el plazo es agosto de 2026; el aplazamiento a diciembre de 2027 está acordado de forma provisional, pero la adopción formal sigue pendiente. Planifique con agosto de 2026 y, si el Digital Omnibus se publica como está previsto, dispondrá de margen adicional. En cualquier caso, conviene usar el tiempo para prepararse: las estructuras de gobernanza que exige el alto riesgo no se improvisan, llegue el plazo en agosto de 2026 o en diciembre de 2027.

Recomendación práctica: Inicie un inventario de sistemas de IA

Independientemente de si sus sistemas de IA entran en High Risk o no: el primer paso es siempre el mismo. Necesita un inventario completo de todos los sistemas de IA en su empresa.

Qué debe registrarse

Para cada sistema de IA, documente:

• Designación y descripción del sistema: ¿Qué hace el sistema? ¿Qué proceso soporta?
• Proveedor y modelo: ¿Qué modelo de IA se utiliza? ¿De qué proveedor? ¿Cloud API o self-hosted?
• Rol de su empresa: ¿Es usted provider (proveedor), deployer (operador) o ambos?
• Clasificación de riesgo: ¿Entra el sistema en alguna de las categorías del Anexo III (High Risk)? ¿En las prohibiciones del Artículo 5? ¿O se trata de un sistema de riesgo limitado?
• Personas afectadas: ¿A qué personas afectan las decisiones o resultados del sistema?
• Procesamiento de datos: ¿Qué datos procesa el sistema? ¿Datos personales? ¿Secretos comerciales?
• Medidas de protección: ¿Qué medidas técnicas y organizativas están implementadas? ¿Human Oversight? ¿Audit Trail?

Calendario

Un inventario de sistemas de IA para una empresa mediana es realizable en cuatro a ocho semanas. El esfuerzo depende del número de sistemas, del estado de la documentación y de la coordinación interna. Comience con los sistemas evidentes, las herramientas de IA oficialmente adquiridas, y luego extienda a Shadow AI: sistemas de IA que los empleados utilizan por su cuenta sin que el departamento de IT lo sepa.

El inventario no es una tarea puntual. Debe actualizarse de forma continua, porque se añaden nuevos sistemas, los existentes se modifican y la valoración regulatoria evoluciona. La infraestructura de governance debe estar diseñada para que el inventario sea un documento vivo.

Resumen: Qué debe hacer ahora

1. Revise las prohibiciones. Asegúrese de que ninguno de sus sistemas de IA entra en las prácticas prohibidas desde febrero de 2025.
2. Cumpla la obligación de AI Literacy. Documente formaciones para todos los usuarios de IA en su empresa. La obligación ya está en vigor.
3. Cree un inventario de sistemas de IA. Registre todos los sistemas de IA, sus proveedores, contexto de uso y clasificación de riesgo. Plazo: cuatro a ocho semanas.
4. Identifique los sistemas High-Risk. Revise especialmente el área de RRHH, decisiones crediticias y procesos automatizados con impacto directo sobre personas.
5. Inicie el cumplimiento High-Risk. Para sistemas bajo el Anexo III: establezca sistema de gestión de riesgos, governance de datos, documentación técnica y Human Oversight. Deadline: agosto de 2026.
6. Cuente con el plazo vigente, no solo con el aplazamiento. El Consejo y el Parlamento alcanzaron un acuerdo político provisional el 7 de mayo de 2026 para aplazar el plazo de alto riesgo a diciembre de 2027, pero la adopción formal sigue pendiente. Mientras no se publique en el Diario Oficial, el plazo legalmente vigente es agosto de 2026: planifique con esa fecha y trate el margen adicional como un extra, no como un hecho consumado.

Gosign acompaña a las empresas en el cumplimiento del EU AI Act, desde el inventario de sistemas hasta la evaluación de conformidad. Si quiere saber dónde se encuentra su empresa, hable con nosotros.

Solicitar cita. 30 minutos en los que evaluamos su estado de compliance.

Bert Gogolin

Director General, Gosign

AI Governance Briefing

IA empresarial, regulación e infraestructura - una vez al mes, directamente de mi parte.

Dirección de emailSuscribirse

Sin spam. Cancelable en cualquier momento. Política de privacidad