Si tu empresa usa ChatGPT para redactar correos, Copilot en Office, un traductor con IA o un CRM que puntúa clientes, el Reglamento Europeo de Inteligencia Artificial ya te afecta. No hace falta ser una tecnológica ni desarrollar modelos propios: basta con usar herramientas de IA en el día a día. Esta guía explica, sin rodeos legales, qué exige la norma, qué cambia el 2 de agosto de 2026 y qué puede costarle a una empresa no tenerlo cubierto.

Mr Crab 7: cumple la Ley de IA y protege tu negocio, Reglamento Europeo de Inteligencia Artificial

Qué es el Reglamento Europeo de Inteligencia Artificial

El Reglamento Europeo de Inteligencia Artificial, oficialmente Reglamento (UE) 2024/1689 y conocido internacionalmente como AI Act, es la primera norma del mundo que regula de forma transversal el desarrollo, la comercialización y el uso de sistemas de inteligencia artificial. Fue aprobado en 2024 y es de aplicación directa en los veintisiete Estados miembros, igual que en su momento lo fue el RGPD con la protección de datos. Esto significa que no hace falta esperar a una ley española para que sea exigible: ya lo es.

El objetivo declarado del reglamento es doble: proteger los derechos fundamentales, la salud y la seguridad de las personas frente a los riesgos de la IA, y al mismo tiempo no frenar la innovación europea en este campo. Para lograrlo, adopta un enfoque basado en el riesgo: cuanto más impacto puede tener un sistema de IA sobre las personas, más obligaciones impone.

En España, el reglamento convive con un proyecto de ley nacional, la Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial, que el Consejo de Ministros remitió al Congreso el 26 de mayo de 2026. Conviene tener claro un matiz que se repite mal en muchos medios: esa ley española no crea la obligación de cumplir el reglamento, que ya existe por aplicación directa. Lo que hace es montar el marco de gobernanza alrededor: quién vigila, quién sanciona y con qué procedimiento. Mientras esa ley termina su tramitación parlamentaria, el reglamento europeo ya es de obligado cumplimiento.

La AESIA, protagonista de la vigilancia

En España, la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) es el organismo designado para vigilar el cumplimiento del reglamento. Si quieres entender en detalle qué es, de dónde sale y qué competencias tiene, lo explicamos en qué es la AESIA.

El calendario: las fechas que de verdad importan

El reglamento no entra en vigor de golpe. Aplica sus obligaciones en fases, y confundir estas fechas es el error más habitual entre empresas que buscan información sobre el tema.

1 ago 2024
Entra en vigor el reglamento en toda la UE.
2 feb 2025
Prohibiciones de usos de riesgo inaceptable y obligación de alfabetización del Art. 4.
2 ago 2025
Reglas de gobernanza para modelos de propósito general (GPAI). La AESIA empieza a asumir potestad sancionadora.
2 ago 2026
Aplicación plena del grueso del reglamento. La AESIA adquiere capacidad efectiva de inspección y sanción.
2027 →
Obligaciones de alto riesgo restantes, con parte de los plazos aplazados por la simplificación (Ómnibus Digital) de junio de 2026.

Los cuatro niveles de riesgo

El reglamento clasifica los sistemas de IA en cuatro categorías según el riesgo que suponen para las personas. Esta clasificación es la base de todo lo demás: determina qué obligaciones aplican a cada sistema.

Riesgo inaceptable
Prohibido directamente. Puntuación social, manipulación subliminal, categorización biométrica sensible, reconocimiento de emociones en el trabajo o la educación.
Alto riesgo
Permitido con requisitos exigentes. Selección de personal, evaluación crediticia, dispositivos médicos, infraestructuras críticas, sistemas educativos con efecto en el acceso.
Riesgo de transparencia
Chatbots, deepfakes y contenido generado por IA. Deben informar al usuario de que está interactuando con un sistema de IA o de que el contenido es sintético.
Riesgo mínimo
La inmensa mayoría del uso empresarial actual: correctores, asistentes de redacción, traductores, generadores de imágenes de uso general.

La mayoría de las pymes españolas que usan IA generativa para redactar, traducir o generar contenido se mueven entre riesgo mínimo y riesgo de transparencia. El riesgo alto aparece sobre todo en selección de personal, scoring financiero y sanidad, y es ahí donde las obligaciones se disparan.

Quién debe cumplirlo

El reglamento no impone un umbral mínimo de tamaño. Aplica igual a un autónomo que a una multinacional, y distingue distintos roles según la relación de cada empresa con el sistema de IA.

Proveedor

Desarrolla el sistema de IA o lo pone en el mercado con su nombre. Asume las obligaciones más exigentes.

Desplegador

Usa el sistema bajo su propia autoridad. Es el rol en el que está la mayoría de las empresas españolas que usan ChatGPT, Copilot o un CRM con IA.

Distribuidor

Pone a disposición en el mercado un sistema de un tercero, sin modificarlo.

Importador

Introduce en la UE un sistema de IA desarrollado fuera del territorio europeo.

Si tu empresa usa ChatGPT para redactar, un traductor con IA o una herramienta de selección de candidatos, eres desplegador. Y como desplegador, la responsabilidad de cumplir no desaparece por delegarla en el proveedor de la herramienta: la obligación de formar y controlar el uso sigue siendo tuya.

El Artículo 4: la obligación de formar a la plantilla

De todas las obligaciones del reglamento, el Artículo 4 es la que afecta antes y de forma más directa a cualquier empresa, sin importar el nivel de riesgo de las herramientas que use. En una frase: quien usa o despliega sistemas de IA debe garantizar que las personas que los manejan tienen un nivel suficiente de conocimiento y comprensión para usarlos de forma informada, y la empresa debe poder demostrar que ha tomado medidas para conseguirlo.

Está en vigor desde el 2 de febrero de 2025, no desde 2026 como muchos asumen. No existe un título ni un sello oficial obligatorio: lo que se exige es formación proporcional al riesgo, documentada y trazable. Un correo informativo o una charla de quince minutos no cuentan como formación acreditable ante una inspección.

Hemos desarrollado una guía completa y descargable solo sobre este punto, con dos casos prácticos paso a paso: la obligación de formar a tu equipo en IA.

Qué pasa el 2 de agosto de 2026

El 2 de agosto de 2026 no es el día en que nace la obligación de cumplir el reglamento: la mayoría de las obligaciones básicas, como la del Artículo 4, ya están en vigor desde 2025. Lo que ocurre ese día es distinto y, para muchas empresas, más relevante en la práctica: la AESIA adquiere capacidad efectiva de inspección y sanción sobre el grueso del reglamento.

Hasta ahora, el reglamento existía en el plano normativo, pero la maquinaria de vigilancia todavía se estaba montando. A partir de esa fecha, una inspección deja de ser una posibilidad teórica. Y el riesgo real para una empresa no es que la AESIA llame a la puerta a multar por no haber formado a su plantilla, sino llegar a esa fecha sin la base documental cubierta y que una inspección por otro motivo —una reclamación de un empleado, una auditoría de un cliente, una due diligence— detecte la falta de evidencia.

Sanciones: qué arriesga tu empresa

Conviene separar dos planos que se mezclan a menudo en los titulares: los tramos generales del reglamento europeo, muy elevados y pensados para los casos más graves, y lo que de verdad afecta a obligaciones concretas como la del Artículo 4, que funciona de otra manera.

Evita sanciones, cumple con la Ley de IA según los criterios de la AESIA
Nivel de infracciónSanción prevista (proyecto de ley española)
Muy gravesHasta 35 millones de euros o el 7% del volumen de negocio mundial anual.
GravesTramos intermedios, graduados por gravedad y reincidencia.
LevesHasta 500.000 euros o el 0,5% del volumen de negocio.

El matiz decisivo: el Artículo 4 no tiene una multa propia asignada. Su incumplimiento actúa como agravante dentro de un expediente mayor. Además, cuando un sistema de IA trata datos personales sin garantías, puede activar a la vez infracciones del reglamento de IA y del RGPD. La AESIA supervisa la IA; la Agencia Española de Protección de Datos, el RGPD. Son organismos distintos, y en ese escenario no hay una sanción posible: hay dos.

¿Quieres saber en qué nivel de riesgo está tu empresa? Haz la autoevaluación gratuita y tenlo claro en menos de 2 minutos.

Hacer la autoevaluación →

Cómo prepararse: checklist práctico

Con independencia del tamaño de la empresa, el cumplimiento se sostiene sobre cuatro piezas documentales que conviene tener siempre a mano:

  • Inventario de sistemas de IA: cada herramienta en uso, proveedor, finalidad, quién la usa y nivel de riesgo.
  • Política de uso interna: qué herramientas están aprobadas, qué datos no pueden introducirse en una IA pública y qué revisar antes de dar por buena una respuesta generada.
  • Registro de formación: quién se formó, cuándo, sobre qué contenido y con qué resultado, con evidencia de comprensión, no solo de asistencia.
  • Evidencia y seguimiento: constancia de que el plan se revisa periódicamente, no es un evento único.

Si quieres un diagnóstico externo de dónde está exactamente tu empresa frente a estos cuatro puntos, es justo lo que hacemos en la auditoría de uso de IA: inventario, política de uso, formación y expediente documental completo, en 3 días laborables y sin permanencia.

Preguntas frecuentes

¿Qué es el Reglamento Europeo de Inteligencia Artificial?
Es el Reglamento (UE) 2024/1689, conocido también como AI Act. Es la primera norma del mundo que regula de forma transversal el desarrollo y uso de la inteligencia artificial, de aplicación directa en toda la Unión Europea.
¿Cuándo entra en vigor el Reglamento de IA?
Entró en vigor el 1 de agosto de 2024. Sus obligaciones se aplican de forma escalonada: prohibiciones y alfabetización desde el 2 de febrero de 2025, modelos de propósito general desde el 2 de agosto de 2025, y aplicación plena desde el 2 de agosto de 2026.
¿A qué empresas afecta?
A prácticamente cualquier organización que use inteligencia artificial, sin importar su tamaño. Usar ChatGPT, Copilot, un traductor con IA o un CRM con scoring ya convierte a una empresa en operadora de IA a efectos del reglamento.
¿Qué pasa el 2 de agosto de 2026?
Es la fecha en la que la AESIA adquiere plena capacidad de inspección y sanción sobre el grueso del reglamento. La obligación de cumplir no nace ese día, pero sí la comprobación efectiva.
¿Cuáles son las sanciones?
Los tramos generales van hasta 35 millones de euros o el 7% del volumen de negocio mundial para infracciones muy graves, con tramos intermedios para las graves y hasta 500.000 euros o el 0,5% para las leves.
🦀
Escrito por el equipo de Mr Crab 7
Agencia especializada en cumplimiento práctico del Reglamento Europeo de IA · Las Palmas de Gran Canaria
Reglamento UE 2024/1689 AI Act AESIA Artículo 4 Cumplimiento IA