Llevas meses oyendo hablar del Reglamento Europeo de Inteligencia Artificial, también conocido como EU AI Act. La norma ya está en vigor y, de cara al EU AI Act 2026, este es el año en el que entra en aplicación el grueso de los requisitos para los sistemas de alto riesgo. La pregunta que se hacen muchas empresas no es si la nueva normativa les afecta, sino qué tienen que hacer exactamente si su app o su web utiliza inteligencia artificial, aunque sea de forma sencilla. En este artículo te lo explicamos de manera clara, sin tecnicismos legales innecesarios, para que sepas por dónde empezar.
¿Qué es el EU AI Act y por qué afecta a tu empresa?
El EU AI Act es la primera regulación integral del mundo sobre inteligencia artificial. Se aplica a cualquier empresa que ponga en el mercado europeo un sistema con IA, esté la sede en España, en Estados Unidos o en Asia. Si tu app tiene un chatbot, un recomendador de productos, un sistema de scoring, biometría, análisis de imágenes o cualquier funcionalidad basada en inteligencia artificial, el reglamento te aplica directamente.
El reglamento entró en vigor en agosto de 2024 y sus obligaciones se aplican por fases: las prohibiciones de usos inaceptables están vigentes desde febrero de 2025, las obligaciones para modelos de propósito general desde agosto de 2025, el grueso de las obligaciones para sistemas de alto riesgo desde agosto de 2026 y algunos casos específicos se extienden hasta agosto de 2027. Por eso, aunque parezca que aún queda tiempo, lo razonable es empezar a prepararse ya.
Lo importante es entender que no solo afecta a las grandes tecnológicas. Una pyme que ha incorporado IA generativa en su web, un retailer con un asistente conversacional o una clínica con un sistema que analiza pruebas médicas están todas dentro del ámbito de la norma. La regulación está pensada para que cualquier empresa que use IA, sea grande o pequeña, lo haga con unos mínimos de transparencia, calidad y seguridad.
Las cuatro categorías de riesgo que debes conocer
El reglamento clasifica los usos de la IA en cuatro niveles de riesgo, y las obligaciones cambian radicalmente según en cuál te encuentres:
- Riesgo inaceptable: sistemas directamente prohibidos en la Unión Europea. Incluyen, por ejemplo, el «scoring social» de personas, la manipulación cognitiva o ciertos usos de identificación biométrica en espacios públicos. Si tu producto cae aquí, no puede comercializarse en territorio europeo.
- Alto riesgo: sistemas que pueden afectar a la salud, la seguridad o los derechos fundamentales de las personas. Aquí entran muchas apps de salud, recursos humanos, educación, infraestructuras críticas, banca, seguros o administración pública. Son los que tienen las obligaciones más exigentes.
- Riesgo limitado: sistemas con obligaciones de transparencia. El ejemplo más típico es un chatbot que debe dejar claro al usuario que está hablando con una IA, no con una persona.
- Riesgo mínimo: todo lo demás. Filtros de spam, recomendadores básicos, IA en videojuegos o herramientas internas de productividad. No hay obligaciones específicas, aunque sí buenas prácticas recomendables.
El primer paso, siempre, es clasificar correctamente cada uso de IA que haya en tu producto. Una clasificación errónea puede llevarte a aplicar menos controles de los que necesitas o, al contrario, a invertir mucho dinero en cumplimiento que no era exigible.
Obligaciones según el papel de tu empresa
El reglamento distingue entre dos figuras clave: el proveedor, que es quien desarrolla o pone el sistema en el mercado, y el responsable del despliegue, que es quien lo utiliza en su actividad. Las obligaciones cambian sustancialmente según el papel que ocupes.
Si tu empresa es proveedor de un sistema de alto riesgo, las principales obligaciones son:
- Implantar un sistema de gestión del riesgo documentado y revisado de forma continua.
- Asegurar la calidad de los datos con los que se entrena y opera el sistema.
- Mantener documentación técnica completa del funcionamiento del modelo.
- Conservar registros de eventos (logs) durante toda la vida útil del producto.
- Garantizar transparencia hacia los usuarios y mecanismos de supervisión humana.
- Cumplir requisitos de robustez, exactitud y ciberseguridad.
- Realizar el marcado CE y registrar el sistema en la base de datos europea correspondiente.
Si tu empresa es responsable del despliegue (que es el caso de la mayoría de empresas que integran IA de terceros en su app o web), las obligaciones son más ligeras pero igual de relevantes:
- Utilizar el sistema dentro de los límites previstos por el proveedor.
- Mantener una supervisión humana real, no decorativa.
- Informar con claridad a los usuarios afectados.
- Conservar logs y evaluaciones de impacto cuando la normativa lo exija.
Qué pasa si no cumples: sanciones y otros riesgos
Las sanciones del EU AI Act son muy serias, comparables a las del Reglamento General de Protección de Datos:
- Hasta 35 millones de euros o el 7 % de la facturación global anual (la cantidad que resulte mayor) por usos prohibidos.
- Hasta 15 millones o el 3 % (la cantidad que resulte mayor) por incumplimientos de obligaciones aplicables a sistemas de alto riesgo.
- Hasta 7,5 millones o el 1,5 % (la cantidad que resulte mayor) por proporcionar información incorrecta a las autoridades.
Sin embargo, en la práctica, el riesgo económico no es lo más grave. Lo que más suele preocupar a las empresas es la posibilidad de tener que retirar el producto del mercado europeo y el daño reputacional ante clientes y partners. Una sanción pública por incumplimiento de la normativa de IA puede afectar seriamente la confianza de tus usuarios y la imagen de tu marca.
Cómo preparar tu app o web paso a paso
Las empresas que mejor están afrontando la entrada en vigor del reglamento siguen una hoja de ruta similar, basada en sentido común y en buenas prácticas:
- Inventariar todos los usos de IA dentro de la organización, incluidos los que vienen integrados en software de terceros (SaaS) que ya estás utilizando.
- Clasificar el riesgo de cada uno conforme a las categorías del reglamento.
- Evaluar la brecha entre lo que estás haciendo hoy y lo que la normativa exige.
- Implementar los controles técnicos y organizativos necesarios: registros, supervisión, documentación, transparencia hacia el usuario.
- Formar a los equipos que diseñan, gestionan o utilizan IA en su día a día.
- Establecer un proceso de revisión continua, no un proyecto puntual. La IA evoluciona muy rápido y la normativa también se irá ajustando con nuevas guías y actos de ejecución.
IA con tranquilidad: la importancia de contar con el partner adecuado
El EU AI Act no es solo un asunto legal que se resuelve con un documento de abogados. Cumplir el reglamento de verdad implica cambios técnicos en tu app o web: ajustar arquitecturas, añadir trazabilidad a los modelos, mejorar la gobernanza de los datos, revisar contratos con proveedores de IA y, en muchos casos, rediseñar piezas concretas del producto.
En Doonamis llevamos más de 15 años desarrollando apps y webs y trabajamos con IA en muchos de los proyectos. Te ayudamos a entender qué implica el EU AI Act para tu producto digital, a identificar los cambios técnicos que necesita tu app o tu web para cumplir con el reglamento y, en coordinación con tu asesoría legal, a implementarlos sin frenar tu negocio. ¡Contáctanos!
Graduada en Relaciones Laborales por la Universidad Pompeu Fabra, soy una apasionada de la tecnología y experta en talento IT. Me encanta redactar contenido relacionado con estos temas, combinando mis conocimientos en gestión de personas con una visión innovadora para conectar talento y tecnología, e impulsando soluciones que generan valor en el mundo digital.
