El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (en adelante, el “AI Act” o el “Reglamento”) entró en vigor el 1 de agosto de 2024 con un calendario de aplicación escalonada. Esa progresividad ha generado la sensación, en buena parte del tejido empresarial, de tratarse de una norma cuya exigibilidad real seguía siendo lejana. Esa percepción está a punto de quedar superada.

El próximo 2 de agosto de 2026 se activan plenamente las obligaciones del Reglamento sobre los sistemas de IA calificados como de alto riesgo conforme al Anexo III. A partir de esa fecha, la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), creada por el Real Decreto 729/2023 y con sede en A Coruña, asume competencias sancionadoras plenas sobre este régimen, sumándolas a las que ya ejerce desde febrero de 2025 sobre las prácticas prohibidas del artículo 5.

El cambio es sustantivo. La norma deja de ser un marco general de referencia para convertirse en un régimen plenamente aplicable, con un sistema sancionador severo y una autoridad nacional operativa.

Qué es un sistema de IA de alto riesgo y por qué afecta a más empresas de las que se cree

El artículo 6 del Reglamento, en conexión con el Anexo III, califica como de alto riesgo los sistemas de IA utilizados en ocho ámbitos con impacto directo en derechos fundamentales: empleo y RRHH, evaluación crediticia, seguros, educación, sistemas biométricos, infraestructuras críticas, administración de justicia y migración. La amplitud del catálogo explica por qué el régimen va a desbordar al sector tecnológico estricto.

Resulta habitual encontrar herramientas de cribado automatizado de currículums embebidas en ERP corporativos, sistemas de scoring interno en entidades de financiación al consumo y fintechs, soluciones de análisis de imagen médica desplegadas en clínicas privadas, plataformas de evaluación automatizada en centros educativos y software biométrico de control de acceso. Todos ellos, conforme al Reglamento, son sistemas de alto riesgo, aunque en muchos casos no se identifiquen como tales en la organización.

La distinción crítica entre proveedor y deployer

Uno de los errores más extendidos en la práctica empresarial es asumir que el cumplimiento del proveedor de la herramienta exonera a la empresa que la utiliza. No es así. El Reglamento establece dos regímenes diferenciados y acumulativos.

El proveedor (provider) es quien desarrolla el sistema y lo introduce en el mercado bajo su propia marca, y soporta las obligaciones más exigentes: documentación técnica del Anexo IV, marcado CE, sistema de gestión de la calidad y registro en la base de datos europea.

El deployer es la persona física o jurídica que utiliza el sistema bajo su propia responsabilidad en el marco de una actividad profesional. Esta es la posición en la que se encuentra la mayoría de empresas españolas que utilizan herramientas SaaS de IA, suscriben licencias de Microsoft Copilot, ChatGPT Enterprise o soluciones equivalentes, o integran APIs de modelos fundacionales en sus procesos. El deployer tiene obligaciones propias e independientes: uso conforme a las instrucciones del proveedor, supervisión humana competente, mantenimiento de registros, información a los trabajadores afectados y, en ciertos casos, evaluación de impacto en derechos fundamentales (artículo 27).

Las obligaciones exigibles a partir del 2 de agosto de 2026

La activación del régimen de alto riesgo implica la exigibilidad simultánea de un paquete de obligaciones cuya implantación no es trivial y requiere meses de trabajo. Los bloques principales son los siguientes:

• Inventario y clasificación documentada por escrito de todos los sistemas de IA activos en la organización, con la lógica que sustenta la calificación adoptada.
• Documentación técnica conforme al Anexo IV: descripción funcional, datos de entrenamiento, métricas de precisión y robustez, lógica de funcionamiento y medidas de mitigación de riesgos.
• Sistema de gestión de riesgos del artículo 9, mantenido y actualizado durante todo el ciclo de vida del sistema.
• Gobernanza de datos del artículo 10: calidad, representatividad y minimización de sesgos.
• Supervisión humana efectiva del artículo 14, con personas competentes y capacidad real de anular la decisión del sistema.
• Transparencia hacia los afectados (artículo 13) y registro automático de incidentes, con notificación a la AESIA en 15 días naturales en caso de incidentes graves.
• Formación del personal del artículo 4, plenamente exigible desde febrero de 2025, con documentación de los contenidos, los destinatarios y la formación recibida.
• Evaluación de impacto en derechos fundamentales (FRIA) del artículo 27, exigible para determinados sistemas de alto riesgo, especialmente los utilizados por organismos públicos o con impacto significativo en derechos fundamentales. La FRIA no sustituye a la evaluación de impacto en protección de datos del artículo 35 del RGPD, aunque pueda integrarse documentalmente con ella.

El régimen sancionador y su severidad frente al RGPD

El artículo 99 del Reglamento configura uno de los regímenes sancionadores más severos del derecho europeo, superior incluso al del RGPD en su tramo más elevado. Se articula en tres franjas:

1. Hasta 35 millones de euros o el 7% del volumen de negocios mundial total del ejercicio anterior, la cantidad que sea mayor, por uso o comercialización de sistemas de IA prohibidos por el artículo 5.
2. Hasta 15 millones de euros o el 3%, por incumplimiento de las obligaciones aplicables a los sistemas de alto riesgo.
3. Hasta 7,5 millones de euros o el 1%, por suministro de información incorrecta o engañosa a las autoridades competentes.

Para PYMEs y startups, el artículo 99.6 prevé un régimen de proporcionalidad específico: la sanción aplicable será la cantidad menor entre el importe fijo y el porcentaje del volumen de negocios. La cláusula matiza la severidad teórica, pero no elimina el riesgo, que sigue resultando significativo.

A las sanciones económicas se suman medidas accesorias de notable impacto operativo: la AESIA puede ordenar la retirada del sistema y prohibir su comercialización en toda la Unión. Adicionalmente, el incumplimiento puede determinar la exclusión del operador de procedimientos de contratación pública y, en supuestos de concurrencia con infracciones del RGPD, dar lugar a investigaciones cruzadas entre la AESIA y la Agencia Española de Protección de Datos.

Una arquitectura de cumplimiento permanente, no un cumplimiento puntual

El AI Act no se agota el 2 de agosto de 2026. En 2027 entra en vigor el régimen aplicable a los sistemas de IA integrados como componentes de seguridad en productos del Anexo I (dispositivos médicos, juguetes, vehículos, ascensores), sometidos a un régimen de evaluación de conformidad por terceros más exigente. Los modelos de IA de uso general (GPAI) con riesgo sistémico tienen sus propias obligaciones, con efectos indirectos sobre los deployers que utilicen sus servicios.

La aproximación adecuada no es resolver el cumplimiento como una obligación puntual de cara a agosto, sino incorporar la gestión del riesgo algorítmico a la gobernanza corporativa permanente. Las organizaciones que lleguen tarde no solo se exponen a sanciones económicas significativas, sino a quedar excluidas de licitaciones públicas y a perder oportunidades comerciales con clientes que exigirán acreditación de conformidad como condición de contratación.

En Summons Abogados venimos asesorando a empresas en la clasificación y adaptación al Reglamento Europeo de IA, en la revisión de contratos con proveedores y en la evaluación de riesgos derivados del uso de sistemas de IA en su operativa interna. La complejidad técnica y jurídica de la materia aconseja anticipar el análisis y diseñar la hoja de ruta con el tiempo suficiente para llegar al 2 de agosto en condiciones de cumplimiento.

Preguntas frecuentes sobre el AI Act y los sistemas de IA de alto riesgo

¿Cuándo se aplica plenamente el AI Act?

Entró en vigor el 1 de agosto de 2024 con aplicación escalonada. Las prácticas prohibidas son exigibles desde febrero de 2025, junto con la obligación de formación del personal del artículo 4. El régimen completo aplicable a los sistemas de alto riesgo entra plenamente en vigor el 2 de agosto de 2026.

¿Qué sistemas se consideran de alto riesgo?

Los enumerados en el Anexo III: sistemas utilizados en selección de personal y RRHH, scoring crediticio, seguros, sanidad, educación, biometría, infraestructuras críticas, administración de justicia, migración y servicios públicos esenciales.

¿Tiene mi empresa obligaciones si solo utiliza herramientas de IA de terceros?

Sí. La condición de deployer genera obligaciones propias e independientes de las del proveedor, incluyendo uso conforme a instrucciones, supervisión humana, formación del personal, registro de incidentes y, en su caso, evaluación de impacto en derechos fundamentales.

¿Cuáles son las sanciones del AI Act?

Hasta 35 millones de euros o el 7% del volumen de negocios mundial por uso de sistemas prohibidos; hasta 15 millones o el 3% por incumplimiento de obligaciones de alto riesgo; y hasta 7,5 millones o el 1% por información incorrecta. Para PYMEs y startups, la sanción aplicable es la cantidad menor entre el importe fijo y el porcentaje.

¿Qué relación hay entre el AI Act y el RGPD?

Ambas normas se aplican de forma acumulativa cuando el sistema de IA trata datos personales. Una infracción puede ser sancionada simultáneamente por la AESIA y por la Agencia Española de Protección de Datos, con investigaciones coordinadas entre ambas autoridades.

¿Qué debe hacer mi empresa antes del 2 de agosto de 2026?

Inventariar todos los sistemas de IA activos, clasificarlos por escrito conforme al Reglamento, revisar contratos con proveedores SaaS, diseñar el registro y notificación de incidentes, implantar el plan de formación del artículo 4 y, para los sistemas de alto riesgo, iniciar la documentación técnica y el sistema de gestión de riesgos.