AI Act para empresas en España: obligaciones, plazos y sanciones 2026 | SCANDO UP

AI Act · Compliance Digital · España 2026

AI Act para empresas en España:
lo que tienes que cumplir
antes de agosto de 2026

Q: ¿El AI Act aplica si uso IA de un tercero como OpenAI o Microsoft?

Sí. Ser operador no exime del cumplimiento. Tienes obligaciones propias; verificar la idoneidad del caso de uso, informar a usuarios cuando proceda y garantizar supervisión humana. El cumplimiento del proveedor no cubre las obligaciones del operador.

El Reglamento (UE) 2024/1689 ya es ley vigente. Las sanciones alcanzan los 35 millones de euros. Esta guía explica qué obliga, a quién, en qué plazo y qué ocurre si tu empresa no actúa a tiempo.

Álvaro Ruipérez Candón · SCANDO UP Global Legal Mayo 2026 · 8 min

Fecha crítica · 2 de agosto de 2026

En menos de 90 días entran en vigor las obligaciones completas para sistemas de IA de alto riesgo. La AESIA ya tiene competencias sancionadoras. No es una advertencia futura; es ley vigente con plazo inminente.

Qué es el AI Act y por qué afecta a tu empresa ahora

El Reglamento (UE) 2024/1689, conocido como AI Act, entró en vigor el 1 de agosto de 2024. No es una norma en tramitación ni una propuesta; es derecho europeo directamente aplicable en España. Su lógica es distinta a la del RGPD, que dio dos años de margen. El AI Act despliega obligaciones en oleadas, y la más importante está a punto de activarse.

Afecta a cualquier empresa que desarrolle, importe, distribuya o utilice sistemas de IA en la Unión Europea, con independencia de dónde tenga su sede. Una startup americana que vende software de IA a empresas españolas está obligada. Una empresa de Madrid que usa un CRM con scoring automático está obligada. El criterio es el mercado europeo, no el domicilio social.

Ser usuario de un sistema de IA de un tercero no exime del cumplimiento. El operador tiene obligaciones propias, distintas e independientes de las del proveedor.

Los plazos: lo que ya aplica y lo que está por vencer

Fecha	Qué entra en vigor	Estado
1 ago 2024	Entrada en vigor del Reglamento. Inicio del período de adaptación.	Superado
2 feb 2025	Prohibición de prácticas inaceptables; manipulación subliminal, scoring social, biometría masiva en espacios públicos.	En vigor
2 ago 2025	Obligaciones para proveedores de modelos GPAI; documentación técnica, transparencia, gestión de riesgos sistémicos.	Activo
2 ago 2026	Aplicación completa para sistemas de alto riesgo (Anexo III). Régimen sancionador pleno. AESIA con competencias completas.	Menos de 90 días
2 ago 2027	Sistemas de IA integrados en productos regulados; dispositivos médicos, vehículos, juguetes (Anexo I).	Próximo

← Desliza para ver la tabla completa

¿No sabes si tu empresa entra en el plazo de agosto? Evalúalo en 30 minutos con un especialista. Sin coste, sin compromiso.

Reservar llamada gratuita

Los cuatro niveles de riesgo: dónde cae tu sistema

El AI Act organiza todos los sistemas de IA en cuatro categorías. La clasificación determina las obligaciones y no es negociable; la AESIA puede reclasificar un sistema si considera que el proveedor ha minimizado deliberadamente su nivel de riesgo.

Riesgo inaceptable Sistemas prohibidos desde feb. 2025

Scoring social, manipulación subliminal, biometría masiva. Multa máxima de 35M€ o el 7% de la facturación global.

Alto riesgo Regulación completa desde ago. 2026

Selección de personal, scoring crediticio, sistemas de salud e infraestructuras críticas. Requieren evaluación de conformidad y registro.

Riesgo limitado Transparencia obligatoria

Chatbots y generadores de contenido. Deben informar al usuario de que interactúa con IA. Ya exigible.

Riesgo mínimo Sin obligaciones específicas

Filtros de spam, IA en videojuegos, recomendadores simples sin impacto en derechos fundamentales.

Qué empresa tech española está en el punto de mira

La pregunta no es si usas IA. La mayoría de empresas tecnológicas ya la usan. La clave está en el caso de uso y el impacto sobre las personas. Estas son las tipologías que la AESIA va a revisar primero.

Fintech e Insurtech

El scoring crediticio automatizado, la evaluación de riesgo para seguros y las decisiones sobre acceso a productos financieros están clasificados directamente como alto riesgo en el Anexo III. Si tu plataforma toma o informa decisiones sobre crédito, estás dentro del perímetro de agosto 2026.

Healthtech y telemedicina

Los sistemas de diagnóstico asistido, triaje automatizado y recomendación de tratamientos son alto riesgo por definición. Si tu IA incide en decisiones clínicas, la conformidad es obligatoria antes del plazo.

SaaS con funciones de RRHH

Las herramientas de selección de personal, análisis de rendimiento y evaluación de candidatos caen en la categoría de alto riesgo aunque el cliente final sea quien tome la decisión formal. El proveedor del software tiene obligaciones propias.

Plataformas de datos e IA generativa

Si tu empresa ofrece modelos GPAI o integra LLMs en servicios B2B, las obligaciones de documentación y transparencia llevan en vigor desde agosto de 2025. Muchas empresas en este segmento están ya en incumplimiento sin saberlo.

Obligaciones concretas para sistemas de alto riesgo

Si tu sistema cae en el Anexo III, estas son las obligaciones que debes tener implementadas antes del 2 de agosto de 2026.

→
Sistema de gestión de riesgos. Proceso continuo de identificación, análisis y mitigación durante todo el ciclo de vida del sistema.
→
Gobernanza de datos. Documentación de prácticas de gestión de datos de entrenamiento, validación y prueba, coherente con el RGPD.
→
Documentación técnica. Ficha técnica completa conforme al Anexo IV del Reglamento.
→
Registro de actividad. Capacidad de generar logs automáticos de funcionamiento durante toda la vida útil del sistema.
→
Transparencia e información. Instrucciones de uso claras para el operador o deployer.
→
Supervisión humana. Medidas técnicas y organizativas que permitan supervisar, comprender e intervenir sobre el sistema.
→
Exactitud, robustez y ciberseguridad. Niveles de rendimiento documentados y medidas ante comportamientos inesperados.
→
Evaluación de conformidad. Autoevaluación o auditoría por tercero notificado según el caso de uso.
→
Declaración UE de conformidad y marcado CE cuando sea aplicable.
→
Registro en la base de datos europea de sistemas de IA de alto riesgo (EUAI DB).

¿Cuántas de estas 10 obligaciones tiene tu empresa ya documentadas? El AIM Integrity Check de SCANDO UP audita tu situación real y te dice exactamente qué falta.

Solicitar diagnóstico

El régimen sancionador: qué puede imponerte la AESIA

La AESIA, con sede en A Coruña, ha publicado ya 16 guías de cumplimiento y abierto 23 investigaciones preliminares. Desde agosto de 2026 tiene plenas competencias sancionadoras. El régimen es de los más severos del derecho europeo.

Tipo de infracción	Sanción máxima
Uso de sistemas de IA prohibidos (riesgo inaceptable)	35 M€ o el 7% de la facturación mundial anual
Incumplimiento de obligaciones para sistemas de alto riesgo	15 M€ o el 3% de la facturación mundial anual
Información incorrecta, incompleta o engañosa a la autoridad	7,5 M€ o el 1% de la facturación mundial anual

← Desliza para ver la tabla completa

Las sanciones del AI Act y del RGPD son independientes y acumulables. Si tu sistema de IA trata datos personales de forma inadecuada, la AESIA y la AEPD pueden instruir dos expedientes paralelos sobre los mismos hechos.

AI Act y RGPD: marcos distintos que se acumulan

Una confusión frecuente en empresas tech es asumir que cumplir con el RGPD ya cubre el AI Act. No es así.

El RGPD regula qué puedes hacer con los datos personales; bases legales, derechos de los interesados, transferencias internacionales, seguridad del tratamiento.

El AI Act regula cómo diseñas, entrenas, despliegas y supervisas el sistema de IA en sí mismo; arquitectura de riesgos, documentación técnica, supervisión humana y robustez. Esto aplica con independencia de si el sistema trata datos personales.

Si ya tienes implantada la adecuación al RGPD, parte de la base documental del AI Act ya existe. Lo que falta es la capa específica de gobernanza de IA que el Reglamento exige por encima del RGPD.

¿Tu empresa está expuesta antes de agosto de 2026?

Descúbrelo en una llamada de 30 minutos. Sin coste. Sin compromiso. Un análisis real de tu situación, no un cuestionario genérico.

Reservar evaluación gratuita

Álvaro Ruipérez Candón · Abogado especialista en Derecho Digital, Datos e IA · SCANDO UP Global Legal

Preguntas frecuentes sobre el AI Act en España

¿Cuándo entra en vigor el AI Act para las empresas españolas?

El AI Act entró en vigor el 1 de agosto de 2024. Las prohibiciones de prácticas inaceptables aplican desde febrero de 2025. Las obligaciones para modelos de propósito general (GPAI) desde agosto de 2025. El plazo más importante para la mayoría de empresas, el relativo a sistemas de alto riesgo, vence el 2 de agosto de 2026.

¿Qué empresas están obligadas por el AI Act?

Toda empresa que desarrolle, importe, distribuya o utilice sistemas de IA en la Unión Europea, con independencia de dónde tenga su sede. La norma distingue dos figuras con obligaciones distintas; el proveedor, que desarrolla o comercializa el sistema, y el operador o deployer, que lo usa en su actividad profesional.

¿El AI Act aplica si uso IA de un tercero como OpenAI o Microsoft?

Sí. Ser operador no exime del cumplimiento. Si usas software de IA de un tercero en tu actividad profesional, tienes obligaciones propias; verificar la idoneidad del caso de uso, informar a usuarios cuando proceda y garantizar supervisión humana. El cumplimiento del proveedor no cubre las obligaciones del operador.

¿Qué es un sistema de IA de alto riesgo según el AI Act?

Los sistemas que operan en las ocho categorías del Anexo III; infraestructuras críticas, educación, empleo y selección de personal, servicios esenciales como crédito o seguros, aplicación de ley, migración y asilo, administración de justicia y procesos democráticos. Un scoring crediticio, un chatbot de RRHH o un motor de recomendación en healthtech pueden caer directamente en esta categoría.

¿Cuáles son las sanciones del AI Act en España?

Hasta 35 millones de euros o el 7% de la facturación mundial por uso de sistemas prohibidos. Hasta 15 millones o el 3% por incumplimiento de obligaciones para sistemas de alto riesgo. La autoridad supervisora en España es la AESIA, que desde agosto de 2026 tiene plenas competencias para investigar, exigir correcciones y proponer sanciones. Las multas son acumulables con las del RGPD.

¿Qué diferencia hay entre el AI Act y el RGPD?

Son marcos complementarios e independientes. El RGPD regula el tratamiento de datos personales; bases legales, derechos de los interesados y seguridad. El AI Act regula cómo se diseña, entrena y despliega el sistema de IA, con independencia de si trata datos personales. Una empresa puede ser sancionada por ambas normas de forma simultánea sobre los mismos hechos.

¿Qué es la AESIA y qué competencias tiene en España?

La Agencia Española de Supervisión de la Inteligencia Artificial, creada por Real Decreto 729/2023, con sede en A Coruña. Es la autoridad nacional de supervisión del AI Act en España. Ha publicado 16 guías de cumplimiento y abierto 23 investigaciones preliminares. Desde agosto de 2026 tiene plenas competencias para investigar, exigir medidas correctoras y proponer sanciones ante la Administración General del Estado.

Álvaro Ruipérez Candón Abogado · Fundador de SCANDO UP Global Legal · Docente en ISDE Law & Business School

Experto en Derecho Digital y negocios tecnológicos. Datos e IA. Abogado estratégico para empresas Tech, IA y SaaS que diseña la infraestructura legal que permite vender, desplegar IA y escalar sin fricción ni sanciones (AIM Integrity™). Colaborador en APTIE, Confilegal y Europapress.

AI Act para empresas en España