Reglamento europeo de IA: guía para despachos 2026
por Ivor Padilla
Cofundador · Director de Ingeniería
Reglamento europeo de IA: guía para despachos 2026
El Reglamento europeo de IA —conocido como "AI Act" en inglés y como "Ley de IA" en los titulares— es el texto jurídico sobre inteligencia artificial más comentado del último año. Y el más malinterpretado en el entorno de un despacho mediano. Casi todo lo que se escribe sobre él está pensado para fabricantes de sistemas, grandes compañías tecnológicas o empresas con una capa entera de compliance dedicada. Muy poco está escrito pensando en ti: el socio de un despacho de abogados, una gestoría o una notaría que ha metido ChatGPT, Copilot o algún clasificador documental en el flujo del día a día y quiere saber qué tiene que hacer al respecto. Sin rodeos, sin jerga de 113 artículos.
TL;DR: El Reglamento (UE) 2024/1689 clasifica los sistemas de IA en cuatro niveles de riesgo —inaceptable, alto, limitado y mínimo— y distingue entre proveedores (quienes fabrican la IA) y responsables del despliegue (quienes la usan). Tu despacho es casi siempre responsable del despliegue, no proveedor, y sus sistemas suelen caer en riesgo limitado o mínimo. Las fechas clave: 2 feb 2025 (prácticas prohibidas), 2 ago 2025 (modelos de uso general y sanciones), 2 ago 2026 (aplicación general), 2 ago 2027 (alto riesgo por componentes de seguridad). Las sanciones llegan hasta 35 millones de euros o el 7 % del volumen de negocio mundial por las prácticas prohibidas. Si cumples ya con el RGPD y aplicas supervisión humana, te faltan dos o tres cosas más, no veinte.
Qué es el Reglamento (UE) 2024/1689 y por qué te importa aunque no "fabriques" IA
El Reglamento (UE) 2024/1689 es el primer texto europeo —y, hasta donde llega nuestra lectura, el primero en el mundo— que regula de manera transversal los sistemas de inteligencia artificial. No regula los datos que entran en esos sistemas: de eso se sigue ocupando el RGPD. Regula los sistemas en sí, su diseño, su clasificación por riesgo, las obligaciones de quienes los fabrican y de quienes los usan, y el régimen sancionador asociado.
Hay que entenderlo así desde el principio para no mezclar marcos: cuando un cliente sube a un chatbot de tu web una consulta con datos personales, hay dos normas en juego al mismo tiempo. La protección del dato —base legal del tratamiento, finalidad, plazo, derechos del interesado, brecha en 72 horas— sigue siendo competencia del RGPD y de la AEPD en España; si quieres el mapa completo de esas obligaciones, el post pilar sobre protección de datos en despachos te lo entrega ordenado. El comportamiento del sistema de IA —qué puede hacer, qué no, cómo debe estar supervisado, qué información debe dar al usuario— está en el Reglamento europeo de IA y, en el reparto nacional, en la órbita de la nueva AESIA. En el post sobre los cinco principios del RGPD aplicados a la automatización con IA entramos a fondo en la parte de datos; este va por el otro lado.
Lo primero que hay que asimilar: el Reglamento no está pensado para ti como usuario final ocasional. Está pensado, sobre todo, para proveedores —las compañías que desarrollan los sistemas y los ponen en el mercado— y para los responsables del despliegue, que es como el Reglamento llama a los que los usan en el contexto de una actividad profesional. Esa distinción es la que más importa en las páginas que siguen.
Proveedor o responsable del despliegue: en qué lado estás tú
El art. 3 del Reglamento (UE) 2024/1689 distingue dos figuras que pocas veces se explican juntas en la prensa general: el proveedor y el responsable del despliegue. El proveedor es quien desarrolla un sistema de IA y lo introduce en el mercado con su nombre o marca — OpenAI, Anthropic, Mistral, Microsoft cuando empaqueta Copilot. El responsable del despliegue es quien utiliza ese sistema bajo su propia autoridad en su actividad profesional — tu despacho. La inmensa mayoría de los despachos españoles son responsables del despliegue, no proveedores; y eso cambia radicalmente qué obligaciones del Reglamento te aplican a ti.
Por qué importa: el grueso del Reglamento —requisitos de datos de entrenamiento, gestión de riesgos, documentación técnica, evaluación de la conformidad, vigilancia post-comercialización, marcado CE— está dirigido al proveedor. El responsable del despliegue hereda un subconjunto mucho más pequeño y, en la mayoría de los casos, mucho más operativo: asegurar que usa el sistema como el proveedor le indica, formar a su equipo, aplicar supervisión humana y, si es el caso, cumplir obligaciones específicas de transparencia. Ese subconjunto es el que vamos a desmenuzar a continuación.
Dos matices prácticos:
- Si configuras, ajustas o re-etiquetas un sistema hasta el punto de volver a ponerlo en el mercado bajo tu nombre —por ejemplo, si contratas a un proveedor para "tu chatbot jurídico personalizado" y lo comercializas con la marca de tu despacho—, puedes convertirte en proveedor a efectos del Reglamento. Los requisitos cambian radicalmente. En nuestra experiencia, es raro que un despacho llegue a ese punto; pero conviene saberlo antes de firmar cualquier cosa con un integrador.
- El uso puramente personal y no profesional está fuera del Reglamento. Si los socios del despacho usan ChatGPT en casa para escribir una felicitación de cumpleaños, eso no entra. Lo que entra es cualquier uso en el contexto de la actividad profesional del despacho.
Las 4 categorías de riesgo (y cuál es la tuya)
El Reglamento clasifica los sistemas de IA en cuatro categorías de riesgo: inaceptable, alto, limitado y mínimo. Las obligaciones aumentan conforme sube el nivel. La clasificación es la primera decisión operativa para cualquier despacho — si la haces bien, el resto del cumplimiento encaja por sí solo.
1. Riesgo inaceptable (art. 5) — prohibido
En la cúspide de la pirámide está el riesgo inaceptable. El art. 5 del Reglamento enumera las prácticas que quedan directamente prohibidas: técnicas subliminales o deliberadamente manipuladoras que mermen la capacidad de decisión, explotación de vulnerabilidades por edad, discapacidad o situación social, sistemas de puntuación social por autoridades públicas, identificación biométrica remota "en tiempo real" en espacios de acceso público con fines policiales (con excepciones muy tasadas), reconocimiento de emociones en el entorno laboral y educativo y categorización biométrica por rasgos sensibles, entre otras. Ninguna práctica de las prohibidas aplica a un despacho mediano que usa IA para redactar escritos, clasificar documentos o asistir al cliente — pero conviene conocerlas para descartarlas explícitamente en el dossier del sistema.
Traducción al día a día del despacho: la única forma realista de entrar en esta categoría sería introducir un sistema de reconocimiento de emociones en entrevistas con candidatos durante un proceso de selección interno. Si alguien del equipo te propone instalar un software de ese tipo, la respuesta es no — y no por compliance, sino por prohibición directa del Reglamento.
2. Alto riesgo (art. 6 y anexo III) — obligaciones plenas
El art. 6 del Reglamento fija dos vías para clasificar un sistema como alto riesgo: (a) los sistemas utilizados como componente de seguridad de productos regulados por la legislación de armonización del anexo I (juguetes, ascensores, equipos médicos, vehículos, etc.) que requieren evaluación de conformidad por terceros; y (b) los sistemas enumerados en el anexo III, en ocho ámbitos específicos que listamos a continuación. El grueso de los sistemas de IA que usa un despacho no encaja en ninguna de las dos vías y, por defecto, no es de alto riesgo.
El anexo III del Reglamento lista los ocho ámbitos concretos en los que un sistema de IA se considera de alto riesgo: datos biométricos, infraestructuras críticas, educación y formación profesional, empleo y gestión de trabajadores, acceso a servicios públicos y privados esenciales (seguridad social, crédito, seguros), aplicación de la ley, migración y control fronterizo, y administración de justicia y procesos democráticos. El punto 8 roza el mundo de los despachos: cubre sistemas que asistan a una autoridad judicial en la investigación e interpretación de hechos y del Derecho o en la aplicación del Derecho a un conjunto concreto de hechos. Un despacho privado no es una autoridad judicial, así que un asistente de redacción jurídica que usas internamente no entra aquí; pero una herramienta vendida a un juzgado sí entraría.
En la práctica, la única ruta realista para que un despacho clásico acabe usando un sistema de alto riesgo es que un proveedor le ofrezca uno del anexo III —por ejemplo, un sistema de filtrado automatizado de candidaturas para el proceso de selección del propio despacho (punto 4 del anexo: empleo y gestión de trabajadores)—. Ese sistema sí caería en alto riesgo y arrastraría las obligaciones del art. 26 (ver más abajo). Hoy, en los pilotos que hemos realizado hasta la fecha con despachos en España, no nos hemos encontrado con ninguno así.
3. Riesgo limitado (art. 50) — transparencia
Aquí caen la mayoría de los sistemas que de verdad usa un despacho: chatbots de atención al cliente en la web, generadores de borradores de escritos, herramientas de transcripción o resumen, asistentes conversacionales que interactúan directamente con un cliente. La obligación principal es transparencia: avisar al usuario de que está interactuando con una IA cuando no sea obvio por el contexto, y marcar como generado artificialmente cualquier contenido sintético cuando lo haya. El detalle concreto del art. 50 lo desmenuzamos en la sección de obligaciones.
4. Riesgo mínimo — sin obligaciones específicas del Reglamento
La última categoría —que es residual: todo lo que no entre en las anteriores— no tiene obligaciones específicas del Reglamento, más allá de las obligaciones generales del art. 4 (alfabetización) que te aplican siempre. En esta categoría caen: OCR de facturas recibidas, clasificadores documentales internos, correctores ortográficos, autocompletados, filtros antispam y similares. La mayor parte del trabajo automatizado en un despacho cae aquí. Lo cual no significa que no tengas que pensar en ello — significa que no tienes que cumplir nada específico del Reglamento de IA para hacerlo, más allá de formar a tu equipo y aplicar la diligencia profesional habitual.
Aviso: la clasificación no está en el software ni en el proveedor. La tienes que hacer tú, como responsable del despliegue, en tu contexto concreto. Un mismo modelo de lenguaje (por ejemplo, un GPT-4 de OpenAI o un Claude de Anthropic) puede ser "riesgo limitado" en un chatbot de atención al cliente y "alto riesgo" si lo integras en un sistema de evaluación automatizada de exámenes de oposición. No es la tecnología; es el caso de uso.
El calendario escalonado: las fechas que tienes que marcar en la agenda
El art. 113 del Reglamento fija la entrada en vigor a los veinte días de su publicación en el DOUE y una aplicación escalonada que conviene tener en una sola tabla. A la fecha de publicación de este artículo el cronograma oficial es el siguiente: 2 de febrero de 2025 — entran en aplicación los capítulos I (disposiciones generales y art. 4 sobre alfabetización) y II (prácticas prohibidas del art. 5); 2 de agosto de 2025 — entran en aplicación el capítulo III sección 4 (autoridades notificantes y notificadas), el capítulo V (modelos de IA de uso general o GPAI), el capítulo VII (gobernanza), el capítulo XII (sanciones, incluido el art. 99) y el art. 78 (confidencialidad); 2 de agosto de 2026 — aplicación general del Reglamento; 2 de agosto de 2027 — entran en aplicación el art. 6.1 y las obligaciones correspondientes (alto riesgo por componentes de seguridad del anexo I).
| Fecha | Qué entra en vigor | Qué significa para un despacho |
|---|---|---|
| 2 feb 2025 | Capítulos I y II — prácticas prohibidas (art. 5) y alfabetización (art. 4) | Revisar que ningún sistema caiga en la lista del art. 5. Empezar la formación interna del equipo. |
| 2 ago 2025 | GPAI (cap. V), gobernanza (cap. VII), sanciones (cap. XII, art. 99) | Las multas del art. 99 pueden imponerse a partir de esta fecha. Los sistemas tipo ChatGPT quedan bajo las obligaciones de modelos de uso general, que heredas indirectamente como usuario. |
| 2 ago 2026 | Aplicación general del Reglamento | Obligaciones plenas de transparencia (art. 50) y, si corresponde, obligaciones del art. 26 (alto riesgo del anexo III). |
| 2 ago 2027 | Art. 6.1 y obligaciones asociadas | Alto riesgo por componentes de seguridad del anexo I — prácticamente ningún despacho se verá afectado. |
Dos cosas que importan más que las fechas en sí:
- La obligación de alfabetización del art. 4 ya es exigible desde febrero de 2025. Es la única obligación transversal que te aplica hoy con independencia del riesgo de tus sistemas. Si ya pasó esa fecha y no tienes nada documentado sobre formación del equipo, ese es el primer agujero que cerrar.
- Las sanciones no son retroactivas pero son reales. A partir del 2 de agosto de 2025, el art. 99 puede aplicarse. Que hayas desplegado un sistema antes no te exime: se mira el incumplimiento en el momento de la inspección.
Las obligaciones que te aplican como responsable del despliegue
Aquí va el corazón práctico del post. Lo que realmente tiene que hacer un despacho que usa IA, en orden de aplicabilidad.
Art. 4 — alfabetización en materia de IA
El art. 4 del Reglamento introduce una obligación que en el sector se ha leído poco y es la más directa para tu despacho: proveedores y responsables del despliegue deben adoptar medidas para garantizar un nivel suficiente de alfabetización en materia de IA de su personal y de cualquier persona que utilice los sistemas en su nombre. El nivel se valora según los conocimientos técnicos, la experiencia, la formación y el contexto de uso. En la práctica: no vale con que un socio diga "usamos ChatGPT"; hay que poder demostrar que el equipo ha recibido formación básica para saber qué puede meter y qué no puede meter en la herramienta, y qué validación aplicar a su salida.
Qué basta para cumplirlo: una sesión formativa documentada cuando se despliega el sistema, un documento de referencia interno con la política de uso, y un par de casos prácticos trabajados con el equipo. No hace falta certificación externa. Sí hace falta que exista evidencia documental de que la formación ha ocurrido.
Art. 50 — transparencia hacia el usuario
El art. 50 del Reglamento es el que más probablemente te va a tocar en el día a día. Impone tres obligaciones de transparencia a proveedores y responsables del despliegue de ciertos sistemas: (a) informar a la persona física de que está interactuando con un sistema de IA cuando no sea evidente por el contexto —chatbots de atención al cliente en la web del despacho, por ejemplo—; (b) marcar como generados o manipulados artificialmente los contenidos sintéticos (texto, imagen, audio, vídeo); (c) informar a los afectados cuando se utilicen sistemas de reconocimiento de emociones o de categorización biométrica (improbable en un despacho típico). El apartado 2 aclara que la obligación de marcado de contenido no se aplica cuando la IA se limita a funciones de apoyo a la edición estándar que no alteran sustancialmente los datos de entrada del usuario — un autocorrector no te obliga a nada, un generador de texto sí.
Art. 14 — supervisión humana (principio transversal)
El art. 14 del Reglamento exige que los sistemas de IA de alto riesgo se diseñen y desarrollen de modo que puedan ser vigilados de manera efectiva por personas físicas durante el periodo en que estén en uso. El objetivo declarado en el apartado 2 es prevenir o reducir al mínimo los riesgos para la salud, la seguridad o los derechos fundamentales. Aunque este artículo sólo aplica formalmente a los sistemas de alto riesgo, el principio que establece —"la IA propone, la persona decide"— es la misma regla que aplicamos a los sistemas de riesgo limitado y mínimo en un despacho: nunca un escrito sale firmado sin que un profesional lo haya revisado.
Art. 26 — obligaciones específicas si llegas al alto riesgo
Si por alguna razón tu despacho sí acaba usando un sistema clasificado como alto riesgo, el art. 26 del Reglamento te aplica como responsable del despliegue. Te exige, en síntesis: usar el sistema con arreglo a las instrucciones del proveedor (apartado 1), asignar la supervisión humana a personas con la competencia, la formación y la autoridad necesarias (apartado 2), asegurar que los datos de entrada son pertinentes y representativos (apartado 4), vigilar el funcionamiento del sistema y comunicar incidentes al proveedor (apartado 5). Para la mayoría de los despachos, este artículo es material de referencia que no llegarán a utilizar; para los que trabajen con una herramienta excepcional del anexo III, se convierte en su hoja de ruta operativa.
Registro interno de uso
No está listado como un artículo literal, pero es la consecuencia lógica de las cuatro obligaciones anteriores. El registro interno debería contener, por cada sistema de IA que usa el despacho: qué sistema es y quién es el proveedor, para qué caso de uso, con qué datos, quién lo supervisa, qué categoría de riesgo le hemos asignado y por qué, cuándo se actualizó por última vez. No es un documento burocrático; es la base sobre la que se construye cualquier respuesta ante la AESIA o la AEPD si preguntan.
Cómo encajan AEPD, AESIA y el Reglamento de IA
La confusión más frecuente cuando un despacho empieza a estudiar el Reglamento es cómo se reparten competencias entre las autoridades. Lo contamos en una frase: la AEPD sigue mandando sobre los datos personales, la AESIA manda sobre el sistema de IA en sí, y ambas coexisten. En la práctica la frontera no es perfecta y un mismo expediente puede tocar a las dos, pero el principio general funciona.
El Real Decreto 729/2023, de 22 de agosto, aprobó el Estatuto de la Agencia Española de Supervisión de Inteligencia Artificial (AESIA), creada al amparo de la disposición adicional séptima de la Ley 28/2022 de fomento del ecosistema de las empresas emergentes, y adscrita al Ministerio de Asuntos Económicos y Transformación Digital a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial. Su sede está en A Coruña —el edificio La Terraza, en Jardines de Méndez Núñez— por cesión del Ayuntamiento. Es una de las primeras agencias nacionales creadas en la Unión específicamente para supervisar el Reglamento de IA; España se adelantó a la mayoría de Estados miembros al ponerla en marcha antes incluso de la aprobación definitiva del Reglamento.
El Estatuto aprobado por el RD 729/2023 fija como objeto de la AESIA la minimización de los riesgos que puede suponer el uso de la IA y el adecuado desarrollo y potenciación de los sistemas de IA. En el ámbito estatal, la Agencia ejerce funciones de autoridad responsable de la supervisión y, en su caso, sanción de los sistemas de IA, con el fin explícito de eliminar o reducir los riesgos para la integridad, la intimidad, la igualdad de trato y la no discriminación, además de otros derechos fundamentales. Traducido: la AESIA es la autoridad española que te puede multar por incumplir el Reglamento de IA — pero no por la parte de datos personales, que sigue siendo competencia de la AEPD.
El cruce con el RGPD es importante y suele generar preguntas. Todo lo que tiene que ver con los datos personales del cliente que entran en el sistema —base legal del tratamiento, minimización, transparencia al interesado, plazo de respuesta a derechos ARCO-POL, notificación de brechas en 72 horas— sigue siendo competencia del RGPD y, en España, de la AEPD. Lo contamos en profundidad en qué exige la AEPD cuando automatizas con IA en tu despacho. Lo nuevo que añade el Reglamento de IA es la capa del sistema: cómo está diseñado, cómo se clasifica por riesgo, cómo se supervisa, cómo se informa al usuario de que está interactuando con IA. La práctica habitual es que una misma automatización pueda generar un expediente en la AEPD por un incumplimiento de datos y otro, en paralelo, en la AESIA por un incumplimiento del Reglamento de IA. No se suman automáticamente, pero pueden coexistir.
El art. 22 del RGPD reconoce al interesado el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado —incluida la elaboración de perfiles— que produzca efectos jurídicos en él o le afecte significativamente de modo similar, con excepciones tasadas. Cruce operativo con el Reglamento de IA: donde el art. 22 del RGPD te obliga a ofrecer intervención humana al afectado, el art. 14 del Reglamento de IA te obliga a diseñar el sistema para que esa intervención sea efectiva. No son redundantes; son complementarios.
Sanciones: hasta 35 millones o el 7 % del volumen de negocio global
El art. 99 del Reglamento estructura las sanciones administrativas en tres tramos, en función de la gravedad de la infracción. Tramo alto: hasta 35 000 000 EUR o el 7 % del volumen de negocios mundial total del ejercicio anterior —la cuantía que sea mayor— por el incumplimiento de la prohibición de las prácticas del art. 5 (apartado 3). Tramo medio: hasta 15 000 000 EUR o el 3 % por el incumplimiento de las obligaciones aplicables a proveedores, importadores, distribuidores y responsables del despliegue (apartado 4). Tramo bajo: hasta 7 500 000 EUR o el 1 % por la presentación de información inexacta, incompleta o engañosa a las autoridades competentes (apartado 5). Para pymes y empresas emergentes, el apartado 6 aclara que se aplica la cuantía menor entre el porcentaje y el importe, no la mayor. La comparativa con el RGPD es inmediata: el art. 83 del RGPD fijaba tramos de hasta 10 M€ / 2 % y 20 M€ / 4 %; el Reglamento de IA va por encima.
Para situar las cifras: el art. 83 del RGPD fija un tope de 10 M€ o el 2 % del volumen de negocio mundial (tramo bajo) y otro de 20 M€ o el 4 % (tramo alto). El art. 99 del Reglamento de IA sube a 35 M€ o el 7 % para las prácticas prohibidas. No se suman: si la misma conducta vulnera los dos, el principio non bis in idem se resuelve caso por caso, pero la referencia de cuantía máxima que un operador asume pasa a ser la del Reglamento de IA.
Una nota de contexto que casi nadie menciona: las cifras del art. 99 se han escrito para los grandes operadores. La probabilidad de que un despacho de diez personas en Madrid reciba una multa de 35 millones es baja. La probabilidad de recibir una del tramo medio por no tener documentada la supervisión humana o la alfabetización del equipo, en cambio, no es despreciable — sobre todo cuando la AESIA empiece a inspeccionar de forma sistemática. El coste real del incumplimiento no está en el techo de la horquilla; está en el suelo, que es donde caen las multas cotidianas.
Preguntas frecuentes sobre el Reglamento europeo de IA
¿Qué es exactamente el Reglamento europeo de IA?
Es el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, conocido como "AI Act". Es el primer texto europeo que regula de forma transversal los sistemas de inteligencia artificial: los clasifica por riesgo, impone obligaciones distintas a proveedores y a responsables del despliegue, y fija un régimen sancionador. Publicado en el Diario Oficial de la UE en julio de 2024, entró en vigor veinte días después y su aplicación es escalonada entre 2025 y 2027.
¿Se aplica a mi despacho si sólo uso ChatGPT y Copilot?
Sí, pero sólo las obligaciones del responsable del despliegue: sobre todo el art. 4 (alfabetización) y, si hay un chatbot hacia el cliente, el art. 50 (transparencia). El grueso de los requisitos técnicos del Reglamento los asume el proveedor (OpenAI, Microsoft); tú heredas un subconjunto más pequeño, operativo y documental.
¿Soy "proveedor" o "responsable del despliegue" del Reglamento?
En el 99 % de los casos, responsable del despliegue. Sólo si desarrollas o personalizas un sistema hasta volver a introducirlo en el mercado con tu nombre te puedes convertir en proveedor, con obligaciones mucho mayores.
¿Mi sistema de OCR de facturas es de alto riesgo?
No, en la práctica no. El OCR de facturas entrantes es un clasificador documental interno que no encaja en ninguno de los ocho ámbitos del anexo III ni es componente de seguridad de un producto del anexo I. Se clasifica como riesgo mínimo, lo que significa que no tiene obligaciones específicas del Reglamento más allá de la alfabetización del art. 4.
¿Qué relación tiene el Reglamento de IA con el RGPD?
Son complementarios, no alternativos. El RGPD regula los datos personales que entran en el sistema (base legal, minimización, derechos del interesado, brechas). El Reglamento de IA regula el sistema en sí (diseño, clasificación por riesgo, supervisión humana, transparencia). Una misma automatización con datos de clientes suele tener ambos regímenes encima al mismo tiempo.
¿Qué diferencia hay entre la AEPD y la AESIA?
La AEPD es la autoridad española de protección de datos; supervisa y sanciona incumplimientos del RGPD y de la LOPD-GDD. La AESIA, creada por el RD 729/2023 con sede en A Coruña, es la autoridad española de supervisión del Reglamento de IA; su objeto es minimizar los riesgos del uso de la IA y ejerce funciones de supervisión y, en su caso, sanción de los sistemas. En la práctica, un mismo despacho puede tener que dialogar con las dos.
¿Cuándo me aplica realmente el Reglamento?
Algunas partes ya se aplican (prácticas prohibidas y alfabetización desde el 2 de febrero de 2025; sanciones del art. 99 desde el 2 de agosto de 2025). La aplicación general es desde el 2 de agosto de 2026. Las obligaciones de alto riesgo por componentes de seguridad del anexo I entran el 2 de agosto de 2027. Si estás leyendo esto en 2026, las fechas que más te importan son ya pasadas y la siguiente es la general de agosto.
¿Cuánto me pueden multar?
Depende del tramo del art. 99. Hasta 35 M€ o el 7 % del volumen de negocio mundial por las prácticas prohibidas del art. 5; hasta 15 M€ o el 3 % por incumplimiento de obligaciones aplicables a proveedores y responsables del despliegue; hasta 7,5 M€ o el 1 % por suministro de información inexacta. Para pymes, se aplica la cuantía menor, no la mayor.
Cómo lo estamos resolviendo en Gradion
En los despachos con los que hemos trabajado hasta la fecha, el problema con el Reglamento europeo de IA no es el tamaño del texto sino el orden en que se aborda. La mayoría de los despachos empieza intentando "cumplir con la AI Act" como si fuera un monolito — leerse los 113 artículos, tomar notas, montar un plan trimestral, pedirle ayuda al despacho especialista en derecho digital. Ese enfoque falla porque mezcla obligaciones que no les aplican con las que sí, y porque acaba generando documentación genérica que no resiste una conversación de veinte minutos con un inspector.
Nuestra observación: la clasificación por riesgo va antes que el cumplimiento. Cada piloto de diez días que entregamos empieza con una hoja de clasificación del sistema en una de las cuatro categorías del Reglamento, con el razonamiento concreto —este sistema procesa facturas entrantes, no interactúa con el cliente, no toma decisiones con efecto jurídico, no encaja en ningún punto del anexo III, por tanto riesgo mínimo— y la lista de obligaciones que realmente le aplican. Esa hoja se guarda como parte del dossier del piloto y se convierte en el primer documento que un inspector de la AESIA vería si algún día llegara a mirar. Casi nada de lo que hemos desplegado hasta la fecha ha caído en alto riesgo; la mayoría está en riesgo limitado o mínimo, y las obligaciones asociadas —transparencia hacia el usuario cuando procede, supervisión humana del profesional firmante, alfabetización del equipo, registro interno de uso— son digeribles si se abordan desde el día uno.
Cuando cruzamos esto con la parte de datos del RGPD y con lo que pide la AEPD, el resultado es un sistema que está preparado para las dos inspecciones posibles —AEPD por los datos, AESIA por el sistema— sin duplicar documentación y sin inflar el proyecto. Gabriel, que es Microsoft Certified Trainer en cloud y seguridad, construye la parte de infraestructura y compliance mientras yo me ocupo de la automatización y la arquitectura. Los dos revisamos cada clasificación antes de dar un sistema por desplegado. Nadie hereda un cumplimiento opaco cuando el piloto acaba.
No prometemos que el Reglamento de IA sea sencillo. Prometemos que, para un despacho que usa IA de forma profesional pero no la fabrica, la parte del Reglamento que de verdad hay que cumplir es mucho más pequeña de lo que parece.
¿Tu equipo pierde 15 horas a la semana en papeleo?
Nosotros te lo resolvemos en 10 días, con un piloto a precio fijo. Tu automatización llega a producción con la clasificación del Reglamento de IA ya hecha y documentada.
Cuéntanos tu caso →
