El EU AI Act no es "una ley de IA más". Es el primer reglamento del mundo que mete cada uso de inteligencia artificial en un cajón según el daño que puede hacer, y te obliga a una cosa distinta según el cajón. La mayoría de las empresas con las que hablo no sabe en qué cajón está. Y ese desconocimiento, no la tecnología, es el verdadero riesgo regulatorio.
La trampa mental es pensar que esto va de chatbots o de empresas que "hacen IA". No. Va de cualquier organización que use un sistema de IA para decidir algo sobre una persona: a quién contratas, a quién das un crédito, a quién priorizas en una lista de espera. Si haces eso con un modelo, el reglamento te aplica aunque no hayas escrito una sola línea de código.
Te explico qué es, a quién aplica de verdad, cómo se clasifica el riesgo, desde cuándo es exigible y, sobre todo, qué parte de esto es trabajo del CISO y no solo de Legal.
¿Qué es exactamente el EU AI Act?
El EU AI Act es el Reglamento (UE) 2024/1689, el primer marco legal horizontal del mundo dedicado a la inteligencia artificial. "Horizontal" significa que no regula un sector concreto como hacen las normas de banca o sanidad: regula la IA en sí, la use quien la use. Lo aprobó la Unión Europea y, por ser un reglamento y no una directiva, es de aplicación directa en los 27 estados miembros sin necesidad de trasponerlo a la ley española.
La idea de fondo es sencilla y es la que conviene grabarse: el AI Act no regula la inteligencia artificial, regula el riesgo de cada uso de inteligencia artificial. El mismo modelo puede ser irrelevante para la ley en un caso y de alto riesgo en otro, dependiendo de para qué lo uses. Un LLM que resume actas internas no tiene casi obligaciones. Ese mismo LLM filtrando currículos para descartar candidatos cae en alto riesgo. La tecnología es idéntica; el cajón, no.
Según la Comisión Europea, el objetivo declarado es doble: dar confianza para que la IA se adopte y, a la vez, proteger derechos fundamentales, salud y seguridad. El recurso de referencia para leer el articulado sin perderte es el agregador artificialintelligenceact.eu, que mantiene el texto consolidado y navegable.
¿A quién aplica el EU AI Act?
Aplica a más gente de la que la gente cree, y por dos motivos. El primero son los roles. El reglamento distingue sobre todo entre proveedores (quien desarrolla o comercializa un sistema de IA) y deployers (quien lo usa con fines profesionales). La inmensa mayoría de las empresas son deployers: no fabrican modelos, los compran o los integran. Y los deployers tienen obligaciones propias, no es un problema solo de quien construye la IA.
El segundo motivo es la extraterritorialidad. El AI Act alcanza a empresas de fuera de la Unión Europea si su sistema de IA se usa dentro de la UE o si sus resultados afectan a personas que están en ella. Una empresa estadounidense que puntúa a candidatos españoles está dentro del alcance, tenga o no oficina en Europa. Es la misma lógica extraterritorial que ya conocemos del RGPD, y por algo el AI Act se ha llamado "el RGPD de la inteligencia artificial".
En España, la autoridad que supervisará buena parte de esto es la AESIA, la Agencia Española de Supervisión de la Inteligencia Artificial. Conviene saber quién va a llamar a tu puerta: lo cuento en detalle en qué es la AESIA y qué papel tiene como autoridad española de IA.
Los cuatro niveles de riesgo del AI Act
Toda la norma se organiza como una pirámide de cuatro niveles. Cuanto más alto el riesgo, más obligaciones. Esta es la tabla que uso para situar cualquier caso de uso en treinta segundos.
| Nivel | Qué incluye | Qué te exige |
|---|---|---|
| Inaceptable | Social scoring, manipulación subliminal, categorización biométrica sensible, reconocimiento de emociones en trabajo o educación, scraping masivo de rostros | Prohibido. No se puede usar, punto |
| Alto | IA en RRHH (cribado de CV), scoring crediticio, educación, infraestructura crítica, biometría, justicia, migración (Anexo III) | Gestión de riesgos, calidad de datos, documentación técnica, supervisión humana, registro y robustez |
| Limitado | Chatbots, generadores de contenido, deepfakes | Transparencia: avisar de que es IA y etiquetar el contenido generado |
| Mínimo | La inmensa mayoría: filtros de spam, recomendadores, videojuegos | Sin obligaciones nuevas |
El nivel que concentra casi toda la carga de trabajo real es el alto riesgo, porque ahí caen los usos que de verdad tienen las empresas: recursos humanos, crédito, acceso a servicios. Las obligaciones de ese nivel son, en el fondo, controles de seguridad y gobernanza bien conocidos, solo que ahora exigidos por ley. Qué entra exactamente en esta categoría lo desgloso en qué son los sistemas de IA de alto riesgo del Anexo III.
Falta una pieza que no encaja del todo en la pirámide: los modelos de propósito general (los GPAI, como GPT, Claude o Gemini). Tienen su propio capítulo con obligaciones de transparencia, y los que se consideran de "riesgo sistémico" cargan con requisitos adicionales. Si tu empresa construye sobre uno de estos modelos, parte de la responsabilidad sube por la cadena hasta el proveedor del modelo, pero no toda.
¿Cuándo entra en vigor el EU AI Act?
El reglamento entró en vigor el 1 de agosto de 2024, pero sus obligaciones no se encendieron todas a la vez. Se aplican por fases, de menos a más exigente. Estas son las fechas que marca el propio reglamento.
| Fecha | Qué se vuelve exigible |
|---|---|
| 1 agosto 2024 | Entrada en vigor del reglamento |
| 2 febrero 2025 | Prácticas prohibidas (riesgo inaceptable) y alfabetización en IA |
| 2 agosto 2025 | Modelos de propósito general (GPAI), gobernanza y régimen sancionador |
| 2 agosto 2026 | Obligaciones de alto riesgo del Anexo III y aplicación general |
| 2 agosto 2027 | Alto riesgo embebido en productos ya regulados (Anexo I) |
Hay un matiz importante y en movimiento. El paquete conocido como Digital Omnibus propone aplazar las obligaciones de alto riesgo: las del Anexo III pasarían a diciembre de 2027 y las del Anexo I a agosto de 2028. En el momento de escribir esto existe un acuerdo político provisional, pendiente de adopción formal y de publicación en el Diario Oficial. Como es la parte volátil del calendario, mantengo el detalle actualizado en su propio artículo: los nuevos plazos del EU AI Act tras el Digital Omnibus. Conviene seguirlo, porque el aplazamiento cambia las fechas, no las obligaciones.
¿Qué multas tiene el AI Act?
Las sanciones están calibradas, igual que el RGPD, para que duelan a una multinacional. Hay tres tramos según la gravedad.
| Infracción | Multa máxima |
|---|---|
| Usar una práctica prohibida (riesgo inaceptable) | 35 M€ o 7% de la facturación anual mundial |
| Incumplir otras obligaciones (alto riesgo, transparencia) | 15 M€ o 3% de la facturación anual mundial |
| Dar información incorrecta o engañosa a las autoridades | 7,5 M€ o 1% de la facturación anual mundial |
En cada tramo se aplica la cifra mayor de las dos, salvo para pymes y startups, donde se aplica la menor para no fulminarlas. El 7% de la facturación mundial es deliberadamente más alto que el techo del 4% del RGPD: Bruselas ha querido dejar claro que esto no es una recomendación de buenas prácticas. Desgloso cada tramo, el cálculo y la trampa de la multa por documentación en las multas y sanciones del EU AI Act.
Por qué el AI Act es problema del CISO, no solo de Legal
Cuando llega un reglamento nuevo, el reflejo de la organización es mandarlo a Legal y olvidarse. Con el AI Act ese reflejo es un error, porque tres de sus exigencias centrales caen directamente en tu tejado como CISO.
La primera es el inventario. No puedes clasificar el riesgo de algo que no sabes que existe, y casi nadie tiene un inventario fiable de los sistemas de IA en uso. Entre el shadow AI y las funciones de IA que los proveedores activan dentro de productos que ya tenías, el mapa real no coincide con el oficial. Ese inventario es el paso cero, y lo desarrollo en cómo construir el inventario de sistemas de IA.
La segunda es la clasificación de riesgo de cada uso, que es un ejercicio técnico antes que jurídico: hay que entender qué hace el sistema, con qué datos y sobre quién decide. La tercera son los controles de alto riesgo (gestión de riesgos, supervisión humana, registro de eventos, robustez), que son seguridad de manual con otro nombre. Si el AI Act fuera solo papeleo legal, no llevaría tu firma. Lleva la tuya porque, sin inventario, clasificación y controles, Legal no tiene nada que documentar.
Mi opinión como CISO
El AI Act es, con diferencia, la regulación tecnológica mejor diseñada que he tenido que aplicar, y a la vez la que más se está malinterpretando. El error que veo una y otra vez es leerlo como un trámite de cumplimiento y no como lo que es: la excusa perfecta para por fin gobernar la IA que ya está dentro de la organización descontrolada.
Trabajo en el sector nuclear, un entorno determinista, auditado y procedimentado donde el cumplimiento es parte del ADN. Esa cultura es la excepción, no la norma. En la mayoría de las organizaciones donde se despliega IA, el sistema de gestión de riesgos comparable no existe todavía, y el inventario crece más rápido que la capacidad de gobernarlo. El reglamento no crea ese problema: lo saca a la luz.
Lo que más me preocupa no es ninguna cláusula concreta. Es la lectura perezosa del aplazamiento del Omnibus, ese "tengo más tiempo" que suelta el presupuesto y relaja a los proveedores justo cuando deberían estar entregándote fichas técnicas. El plazo extra no es un regalo. Es un test de quién usa el tiempo para construir gobernanza y quién lo usa para no hacer nada.
Curso · Ciberseguridad de la IA para CISOs
Si quieres pasar de entender el AI Act a aplicarlo, el curso entra en cada pieza con detalle operativo. 5 módulos disponibles ya: La IA como nuevo dominio de riesgo · Amenazas y vulnerabilidades · Gobernanza y cumplimiento (EU AI Act, NIST, ISO 42001) · Operación segura · Caso práctico integrador. 100% online, vídeos + manual completo + autoevaluación. Acceso durante un año. Diploma al finalizar.
Ver el cursoPor dónde empezar con el EU AI Act
Si me preguntas por el primer movimiento sensato, no es contratar a una consultora ni comprar una plataforma. Es ordenar tu propia casa en cuatro pasos.
- Inventaría. Lista todos los sistemas de IA en uso real, incluidos los que vienen embebidos en productos que ya tienes y los que ha activado un equipo sin pasar por ti.
- Clasifica. Para cada uso, sitúalo en la pirámide: inaceptable, alto, limitado o mínimo. La mayoría caerá en mínimo, y eso está bien: te deja concentrar el esfuerzo donde importa.
- Prioriza el alto riesgo. Donde haya un uso de alto riesgo, ahí van los controles: gestión de riesgos, supervisión humana, documentación y registro.
- Documenta y revisa. Deja por escrito quién decidió qué y cuándo, y fija una revisión periódica, porque el inventario cambia más rápido que la norma.
Descarga gratis: Checklist de proveedores de IA
Buena parte de tus sistemas de IA llegan a través de proveedores. Esta checklist te ayuda a evaluarlos antes de integrarlos: seguridad, datos, cumplimiento y trazabilidad. Gratis, a cambio de tu email.
Quiero la checklistUna vez tengas el mapa y la clasificación, el siguiente paso es el cómo: el procedimiento completo, control por control, está en la guía de cumplimiento del EU AI Act para empresas. Y si quieres ir directo a la parte de evaluación, te interesa cómo auditar el cumplimiento del EU AI Act paso a paso.
El EU AI Act no premia a quien más papeles acumula. Premia a quien sabe, en cualquier momento, qué IA usa, para qué y con qué control encima. Coge tu inventario de sistemas de IA y cruza dos cifras: cuántos usas y cuántos has clasificado por riesgo. La distancia entre ambas es exactamente el trabajo que tienes por delante. Y si la segunda cifra es cero, ya sabes cuál es la primera línea del lunes.
¿Quieres este tipo de análisis cada lunes?
Newsletter semanal con análisis CISO como este: lecciones de revisiones reales, herramientas prácticas y los movimientos de regulación de IA en España y la Unión Europea. Escribo sobre seguridad de la IA para CISOs. Si te sirve, suscríbete.
Suscribirme a la newsletterPreguntas frecuentes sobre el EU AI Act
¿Qué es el EU AI Act?
El EU AI Act es el Reglamento (UE) 2024/1689, el primer marco legal horizontal del mundo que regula la inteligencia artificial. No prohíbe la IA: clasifica cada uso por nivel de riesgo (inaceptable, alto, limitado y mínimo) e impone obligaciones proporcionales a ese nivel. Es de aplicación directa en los 27 estados miembros de la Unión Europea.
¿A quién aplica el EU AI Act?
Aplica a proveedores que desarrollan o comercializan sistemas de IA y a deployers que los usan con fines profesionales. Es extraterritorial: alcanza a empresas de fuera de la Unión Europea si su sistema de IA se usa en la UE o sus resultados afectan a personas dentro de ella. La mayoría de empresas son deployers, aunque muchas no lo saben.
¿Cuáles son los cuatro niveles de riesgo del AI Act?
Son riesgo inaceptable (usos prohibidos, como el social scoring), alto riesgo (sistemas con obligaciones fuertes, como cribado de currículos o scoring crediticio), riesgo limitado (obligaciones de transparencia, como avisar de que hablas con un chatbot) y riesgo mínimo (la mayoría de sistemas, sin obligaciones nuevas). Las obligaciones crecen con el nivel.
¿Cuándo es aplicable el EU AI Act?
El reglamento entró en vigor el 1 de agosto de 2024 y sus obligaciones se aplican por fases. Las prácticas prohibidas son exigibles desde febrero de 2025 y las reglas para modelos de propósito general desde agosto de 2025. Las obligaciones de alto riesgo del Anexo III tienen su fecha de aplicación en revisión por el paquete Digital Omnibus.
¿Qué multas tiene el AI Act?
Las sanciones llegan hasta 35 millones de euros o el 7 por ciento de la facturación anual mundial por usar prácticas prohibidas, lo que sea mayor. El incumplimiento de otras obligaciones llega hasta 15 millones o el 3 por ciento, y dar información incorrecta a las autoridades hasta 7,5 millones o el 1 por ciento. Para pymes se aplica el importe menor.
Fuentes
- Reglamento (UE) 2024/1689 (EU AI Act) · EUR-Lex. Texto oficial consolidado del Reglamento Europeo de Inteligencia Artificial, con el articulado, los anexos y el régimen sancionador.
- Regulatory framework on AI · Comisión Europea. Página oficial de la Comisión sobre el marco regulatorio: objetivos, enfoque por niveles de riesgo y calendario.
- The EU Artificial Intelligence Act · artificialintelligenceact.eu. Agregador de referencia con el texto navegable, la línea temporal de aplicación y explicadores por artículo.
- AESIA · Agencia Española de Supervisión de la Inteligencia Artificial. Autoridad española de supervisión de la IA, referencia para la aplicación del reglamento en España.
