EU AI Act: lo que necesita saber tu empresa si usa o planea usar IA

El EU AI Act entró en aplicación progresiva desde agosto de 2024 y sus disposiciones principales serán plenamente obligatorias en agosto de 2026. No es una regulación futura — es presente. Y a diferencia del RGPD, que muchas empresas implementaron con retraso, el AI Act tiene sanciones que hacen del RGPD algo moderado: hasta 35 millones de euros o el 7% del volumen de negocio global para las infracciones más graves.

Este artículo no es asesoramiento legal. Es una guía práctica para entender si tu empresa tiene obligaciones y cuáles son.

La lógica del AI Act: clasificación por riesgo

El AI Act clasifica los sistemas de IA en cuatro categorías según el riesgo que representan:

Riesgo inaceptable (prohibido): sistemas que manipulan comportamiento de manera inconsciente, puntuación social por parte de autoridades públicas, reconocimiento facial en tiempo real en espacios públicos (con excepciones). Si tu empresa usa algo así, tiene un problema legal inmediato.

Alto riesgo: IA usada en infraestructura crítica, educación, empleo (selección de candidatos, evaluación de rendimiento), servicios esenciales, justicia. Estos sistemas requieren evaluación de conformidad, documentación técnica, supervisión humana y registro en la base de datos de la UE.

Riesgo limitado: chatbots, sistemas de generación de contenido. Obligaciones principalmente de transparencia — el usuario debe saber que está interactuando con IA.

Riesgo mínimo: filtros de spam, IA en videojuegos, etc. Sin obligaciones específicas más allá de las leyes generales.

Casos concretos que afectan a empresas medianas

Usas IA para filtrar CVs o evaluar candidatos: alto riesgo. Necesitas evaluación de conformidad y supervisión humana en las decisiones.

Tienes un chatbot en tu web: riesgo limitado. Debes informar claramente al usuario de que está hablando con IA.

Usas LLMs para generar contenido de marketing: riesgo mínimo en general, pero si el contenido puede confundirse con información factual, aplican obligaciones de etiquetado.

Procesas datos con IA para detectar fraude: puede ser alto riesgo dependiendo del sector y las decisiones que tome el sistema.

Implementas IA en procesos de infraestructura crítica: alto riesgo con obligaciones estrictas.

Qué hacer ahora

1. Inventariar. Lista todos los sistemas IA que usa tu empresa — incluyendo los que vienen como función dentro de software de terceros (CRM con IA, RRHH con scoring automático, etc.).

2. Clasificar. Para cada sistema, determinar la categoría de riesgo. Si hay duda, asumir la categoría más alta.

3. Documentar. Para sistemas de alto riesgo, empezar a construir la documentación técnica requerida: descripción del sistema, datos de entrenamiento, métricas de rendimiento, supervisión humana.

4. Integrar con RGPD. El AI Act no reemplaza el RGPD — se superpone. Si el sistema IA procesa datos personales, ambas regulaciones aplican simultáneamente.

La intersección con los LLMs privados

Uno de los argumentos técnicos más sólidos para desplegar LLMs privados on-premise (además de la privacidad de datos) es que facilita enormemente el cumplimiento del AI Act: tienes control total sobre el modelo, los datos de entrenamiento, el comportamiento del sistema y la auditoría.

Con modelos de terceros en la nube, buena parte de esa información es opaca o inaccesible — lo que complica la documentación técnica requerida para sistemas de alto riesgo.

Angel Sulev implementa compliance EU AI Act e ISO 27001 para empresas B2B. Si necesitas orientación sobre cómo aplica el AI Act a tu empresa, escríbeme.