Si tu empresa usa ChatGPT para redactar correos, Copilot en Office, un traductor con IA o un CRM que puntúa clientes, el Reglamento Europeo de Inteligencia Artificial ya te afecta. No hace falta ser una tecnológica ni desarrollar modelos propios: basta con usar herramientas de IA en el día a día. Esta guía explica, sin rodeos legales, qué exige la norma, qué cambia el 2 de agosto de 2026 y qué puede costarle a una empresa no tenerlo cubierto.
Qué es el Reglamento Europeo de Inteligencia Artificial
El Reglamento Europeo de Inteligencia Artificial, oficialmente Reglamento (UE) 2024/1689 y conocido internacionalmente como AI Act, es la primera norma del mundo que regula de forma transversal el desarrollo, la comercialización y el uso de sistemas de inteligencia artificial. Fue aprobado en 2024 y es de aplicación directa en los veintisiete Estados miembros, igual que en su momento lo fue el RGPD con la protección de datos. Esto significa que no hace falta esperar a una ley española para que sea exigible: ya lo es.
El objetivo declarado del reglamento es doble: proteger los derechos fundamentales, la salud y la seguridad de las personas frente a los riesgos de la IA, y al mismo tiempo no frenar la innovación europea en este campo. Para lograrlo, adopta un enfoque basado en el riesgo: cuanto más impacto puede tener un sistema de IA sobre las personas, más obligaciones impone.
En España, el reglamento convive con un proyecto de ley nacional, la Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial, que el Consejo de Ministros remitió al Congreso el 26 de mayo de 2026. Conviene tener claro un matiz que se repite mal en muchos medios: esa ley española no crea la obligación de cumplir el reglamento, que ya existe por aplicación directa. Lo que hace es montar el marco de gobernanza alrededor: quién vigila, quién sanciona y con qué procedimiento. Mientras esa ley termina su tramitación parlamentaria, el reglamento europeo ya es de obligado cumplimiento.
La AESIA, protagonista de la vigilancia
En España, la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) es el organismo designado para vigilar el cumplimiento del reglamento. Si quieres entender en detalle qué es, de dónde sale y qué competencias tiene, lo explicamos en qué es la AESIA.
El calendario: las fechas que de verdad importan
El reglamento no entra en vigor de golpe. Aplica sus obligaciones en fases, y confundir estas fechas es el error más habitual entre empresas que buscan información sobre el tema.
Los cuatro niveles de riesgo
El reglamento clasifica los sistemas de IA en cuatro categorías según el riesgo que suponen para las personas. Esta clasificación es la base de todo lo demás: determina qué obligaciones aplican a cada sistema.
La mayoría de las pymes españolas que usan IA generativa para redactar, traducir o generar contenido se mueven entre riesgo mínimo y riesgo de transparencia. El riesgo alto aparece sobre todo en selección de personal, scoring financiero y sanidad, y es ahí donde las obligaciones se disparan.
Quién debe cumplirlo
El reglamento no impone un umbral mínimo de tamaño. Aplica igual a un autónomo que a una multinacional, y distingue distintos roles según la relación de cada empresa con el sistema de IA.
Proveedor
Desarrolla el sistema de IA o lo pone en el mercado con su nombre. Asume las obligaciones más exigentes.
Desplegador
Usa el sistema bajo su propia autoridad. Es el rol en el que está la mayoría de las empresas españolas que usan ChatGPT, Copilot o un CRM con IA.
Distribuidor
Pone a disposición en el mercado un sistema de un tercero, sin modificarlo.
Importador
Introduce en la UE un sistema de IA desarrollado fuera del territorio europeo.
Si tu empresa usa ChatGPT para redactar, un traductor con IA o una herramienta de selección de candidatos, eres desplegador. Y como desplegador, la responsabilidad de cumplir no desaparece por delegarla en el proveedor de la herramienta: la obligación de formar y controlar el uso sigue siendo tuya.
El Artículo 4: la obligación de formar a la plantilla
De todas las obligaciones del reglamento, el Artículo 4 es la que afecta antes y de forma más directa a cualquier empresa, sin importar el nivel de riesgo de las herramientas que use. En una frase: quien usa o despliega sistemas de IA debe garantizar que las personas que los manejan tienen un nivel suficiente de conocimiento y comprensión para usarlos de forma informada, y la empresa debe poder demostrar que ha tomado medidas para conseguirlo.
Está en vigor desde el 2 de febrero de 2025, no desde 2026 como muchos asumen. No existe un título ni un sello oficial obligatorio: lo que se exige es formación proporcional al riesgo, documentada y trazable. Un correo informativo o una charla de quince minutos no cuentan como formación acreditable ante una inspección.
Hemos desarrollado una guía completa y descargable solo sobre este punto, con dos casos prácticos paso a paso: la obligación de formar a tu equipo en IA.
Qué pasa el 2 de agosto de 2026
El 2 de agosto de 2026 no es el día en que nace la obligación de cumplir el reglamento: la mayoría de las obligaciones básicas, como la del Artículo 4, ya están en vigor desde 2025. Lo que ocurre ese día es distinto y, para muchas empresas, más relevante en la práctica: la AESIA adquiere capacidad efectiva de inspección y sanción sobre el grueso del reglamento.
Hasta ahora, el reglamento existía en el plano normativo, pero la maquinaria de vigilancia todavía se estaba montando. A partir de esa fecha, una inspección deja de ser una posibilidad teórica. Y el riesgo real para una empresa no es que la AESIA llame a la puerta a multar por no haber formado a su plantilla, sino llegar a esa fecha sin la base documental cubierta y que una inspección por otro motivo —una reclamación de un empleado, una auditoría de un cliente, una due diligence— detecte la falta de evidencia.
Sanciones: qué arriesga tu empresa
Conviene separar dos planos que se mezclan a menudo en los titulares: los tramos generales del reglamento europeo, muy elevados y pensados para los casos más graves, y lo que de verdad afecta a obligaciones concretas como la del Artículo 4, que funciona de otra manera.
| Nivel de infracción | Sanción prevista (proyecto de ley española) |
|---|---|
| Muy graves | Hasta 35 millones de euros o el 7% del volumen de negocio mundial anual. |
| Graves | Tramos intermedios, graduados por gravedad y reincidencia. |
| Leves | Hasta 500.000 euros o el 0,5% del volumen de negocio. |
El matiz decisivo: el Artículo 4 no tiene una multa propia asignada. Su incumplimiento actúa como agravante dentro de un expediente mayor. Además, cuando un sistema de IA trata datos personales sin garantías, puede activar a la vez infracciones del reglamento de IA y del RGPD. La AESIA supervisa la IA; la Agencia Española de Protección de Datos, el RGPD. Son organismos distintos, y en ese escenario no hay una sanción posible: hay dos.
¿Quieres saber en qué nivel de riesgo está tu empresa? Haz la autoevaluación gratuita y tenlo claro en menos de 2 minutos.
Hacer la autoevaluación →Cómo prepararse: checklist práctico
Con independencia del tamaño de la empresa, el cumplimiento se sostiene sobre cuatro piezas documentales que conviene tener siempre a mano:
- Inventario de sistemas de IA: cada herramienta en uso, proveedor, finalidad, quién la usa y nivel de riesgo.
- Política de uso interna: qué herramientas están aprobadas, qué datos no pueden introducirse en una IA pública y qué revisar antes de dar por buena una respuesta generada.
- Registro de formación: quién se formó, cuándo, sobre qué contenido y con qué resultado, con evidencia de comprensión, no solo de asistencia.
- Evidencia y seguimiento: constancia de que el plan se revisa periódicamente, no es un evento único.
Si quieres un diagnóstico externo de dónde está exactamente tu empresa frente a estos cuatro puntos, es justo lo que hacemos en la auditoría de uso de IA: inventario, política de uso, formación y expediente documental completo, en 3 días laborables y sin permanencia.