Tarde o temprano, alguien de fuera de tu organización va a preguntarte cómo cumples el EU AI Act. Un cliente en su due diligence, un auditor, el regulador. Y la respuesta no puede ser la que escucho con más frecuencia: "lo han retrasado a 2027, así que tenemos tiempo". Esa frase es la trampa más cara del momento regulatorio actual.
El Reglamento Europeo de Inteligencia Artificial, conocido como EU AI Act, es la primera ley horizontal del mundo que regula la IA. Y aunque parte de su calendario se ha movido, el supervisor existe, varias obligaciones ya son exigibles y el trabajo de fondo es el mismo hagan lo que hagan con los plazos. Esta guía es el mapa completo para un CISO: qué es, a quién aplica, qué te obliga, para cuándo y por dónde se empieza.
No es teoría legal. Es lo que tienes que tener encima de la mesa cuando te toque demostrar que sabes qué IA usa tu empresa y cómo la gobiernas.
Qué es el EU AI Act y a quién aplica
El EU AI Act regula la inteligencia artificial por nivel de riesgo, no por tecnología. En lugar de listar algoritmos, clasifica los sistemas según el daño que pueden causar y les impone obligaciones proporcionales. Un filtro de spam y un sistema que decide quién accede a un crédito no juegan en la misma liga, y la norma lo trata así.
Lo primero que tiene que entender un responsable de seguridad es que la ley distingue dos papeles, y casi todas las empresas son lo segundo. El proveedor es quien desarrolla o comercializa el sistema de IA. El deployer, o usuario profesional, es quien lo usa en su actividad. Cuando integras un copiloto de terceros, una API de un modelo comercial o una herramienta SaaS con IA dentro de tus procesos, eres deployer, y asumes obligaciones propias: supervisión humana, transparencia hacia tus usuarios y uso conforme a las instrucciones del proveedor.
El ámbito es extraterritorial. Aplica a cualquier organización cuyos sistemas de IA afecten a personas en la Unión Europea, esté la empresa dentro o fuera. Es el mismo principio que ya conoces del RGPD: si tocas a usuarios europeos, te aplica. La idea de "esto es para las grandes tecnológicas" es falsa. La pyme que usa un sistema de IA para cribar currículos está dentro, y además en una de las categorías más exigentes.
Los cuatro niveles de riesgo del EU AI Act
Toda la norma gira alrededor de cuatro niveles de riesgo. Saber en cuál cae cada uno de tus sistemas es lo que define qué obligaciones le debes. Esta es la estructura, de mayor a menor exigencia.
| Nivel de riesgo | Qué incluye | Qué te exige |
|---|---|---|
| Inaceptable | Prácticas prohibidas: manipulación, scoring social, biometría masiva en tiempo real | Prohibición total. No se pueden usar |
| Alto | Sistemas del Anexo III: empleo, crédito, educación, biometría, servicios esenciales | Gestión de riesgo, documentación, supervisión humana, logging, robustez |
| Limitado | Chatbots, generadores de contenido, sistemas que interactúan con personas | Transparencia: avisar de que se está usando IA |
| Mínimo | La mayoría: filtros, recomendadores, IA en videojuegos | Sin obligaciones específicas (buenas prácticas voluntarias) |
La trampa está en el alto riesgo, porque concentra casi todas las obligaciones técnicas y porque muchas empresas no saben que tienen sistemas en esa casilla. El cribado de candidatos, el scoring crediticio o la biometría de acceso entran ahí casi siempre. Clasificar bien no es un trámite: una clasificación errónea te deja sin los controles que la norma da por hechos, o te hace gastar en obligaciones que no te tocan. El método de decisión, con sus excepciones, lo desarrollo en la guía sobre cómo clasificar tus sistemas de IA de alto riesgo del Anexo III.
El calendario real tras el Digital Omnibus
El calendario del EU AI Act va a cambiar con el paquete Digital Omnibus, y conviene tenerlo claro para no preparar el plan equivocado. El Consejo y el Parlamento alcanzaron un acuerdo provisional en mayo de 2026, pendiente todavía de adopción formal y de publicación en el Diario Oficial. Hasta que eso ocurra, las nuevas fechas son las del acuerdo, no las definitivas, y las del reglamento original siguen vigentes. Lo importante es que el aplazamiento afecta a una parte, no a todo.
| Bloque | Fecha de aplicación | Estado |
|---|---|---|
| Prácticas prohibidas (Art. 5) | Febrero de 2025 | Vigente |
| Formación en IA (Art. 4) | En vigor | Vigente |
| Transparencia de contenido IA (Art. 50) | 2 de diciembre de 2026 | Periodo transitorio |
| Alto riesgo autónomo (Anexo III) | 2 de diciembre de 2027 | Aplazado (Omnibus, acuerdo provisional) |
| Alto riesgo embebido en productos | 2 de agosto de 2028 | Aplazado (Omnibus, acuerdo provisional) |
Leído de corrido, el mensaje es claro: lo que se aplazó es el alto riesgo, no el resto. Quien interpreta el retraso como una pausa general llega tarde a las obligaciones que siguen su curso. El desglose fino de fechas, con los matices de los modelos de propósito general, lo tienes en el análisis de las fechas reales del EU AI Act tras el Omnibus.
Obligaciones del EU AI Act por bloque
Las obligaciones del EU AI Act no son un bloque único que entra de golpe. Son capas que aplican según el tipo de sistema y el papel que juegas. Para un CISO, estas son las cinco que importan y conviene mapear contra tus sistemas.
| Bloque | Qué impone | A quién |
|---|---|---|
| Art. 5 - Prohibiciones | No usar manipulación, scoring social, biometría masiva ni generación de contenido sexual no consentido | Todos |
| Art. 4 - Formación | Garantizar un nivel suficiente de alfabetización en IA del personal que la usa | Proveedores y deployers |
| Art. 50 - Transparencia | Marcar el contenido sintético y avisar de la interacción con IA | Proveedores y deployers |
| GPAI | Documentación técnica, copyright, transparencia, gestión de riesgos sistémicos | Modelos de propósito general |
| Anexo III - Alto riesgo | Gestión de riesgo, gobernanza del dato, documentación, logging, supervisión humana, robustez | Sistemas de alto riesgo |
Si te fijas, la mayoría de controles que el alto riesgo exige para 2027 son los mismos que ya necesitas para el Artículo 5, el Artículo 50 y los modelos de propósito general: inventario, clasificación, documentación y supervisión. Implantarlos ahora para los bloques vivos significa llegar a 2027 con el trabajo hecho. Posponerlos significa hacerlo todo a la vez, con el supervisor ya inspeccionando.
Una nota sobre el Artículo 4 que mucha gente pasa por alto: la formación en IA es una obligación viva, no futura. Si tu plantilla usa estos sistemas y no la has formado, ya estás en incumplimiento de un deber exigible. Qué debe cubrir una formación para que valga ante una inspección lo detallo en la formación obligatoria en IA del Artículo 4.
Sanciones: cuánto cuesta incumplir el EU AI Act
Las multas del EU AI Act están calibradas para que no salga a cuenta ignorarlas, y se reparten en tres tramos según la gravedad. El tope lo fija el propio reglamento europeo, y las autoridades nacionales lo aplican.
| Infracción | Multa máxima |
|---|---|
| Prácticas prohibidas (Art. 5) | 35 millones de euros o el 7% de la facturación anual global |
| Incumplir obligaciones de alto riesgo | 15 millones de euros o el 3% |
| Dar información incorrecta a las autoridades | 7,5 millones de euros o el 1% |
Para las pymes y startups los topes son proporcionalmente menores, una de las cosas que el Digital Omnibus reforzó. Pero el mensaje para un comité de dirección es el de siempre: el coste de cumplir es una fracción del coste de la primera sanción, y la sanción no es la única factura. Está el daño reputacional y el cliente que se va porque no pasas su due diligence.
Quién te va a supervisar en España
En España, la autoridad que va a mirar tus sistemas de IA es la AESIA. La Agencia Española de Supervisión de la Inteligencia Artificial ya está operativa, con sede en A Coruña, y es la encargada de la vigilancia del mercado para la mayoría de sistemas que viven en una empresa normal. El organismo tiene potestades de supervisión, inspección y sanción.
El error habitual es confundir su papel con el de la Agencia Española de Protección de Datos. La AEPD vigila el tratamiento de datos personales bajo el RGPD; la AESIA supervisa el sistema de IA en sí. Como casi cualquier sistema de IA trata datos personales, lo normal es que el mismo sistema tenga que rendir cuentas ante dos supervisores con dos lenguajes distintos. Qué puede pedirte, cómo se prepara un requerimiento y dónde encaja el sandbox regulatorio lo detallo en el artículo sobre la AESIA y cómo prepararte para su supervisión.
Cómo cumplir el EU AI Act paso a paso
Cumplir el EU AI Act no es un proyecto nuevo y aislado: es trabajo de gestión de activos y de riesgo con un destinatario concreto. La secuencia que funciona empieza siempre por lo mismo, y no es leer el reglamento.
- Inventario. Mapea todos los sistemas de IA en uso, incluido el shadow AI. Sin esta lista, todo lo demás se construye sobre un agujero.
- Clasificación de riesgo. Pasa cada sistema por el test del Anexo III y documenta la evaluación, sobre todo si invocas una excepción.
- Documenta las obligaciones vivas. Prohibiciones, transparencia y formación aplican ya; reúne la evidencia que un requerimiento te pediría.
- Asigna responsables. Quién responde a la autoridad, quién recopila la evidencia, en qué plazo.
Ese es el esqueleto. El recorrido completo, con los siete pasos operativos y qué documentar en cada uno, está en la guía de auditoría del EU AI Act paso a paso para CISOs. Y el cimiento de todo, el que casi nadie tiene cuando llega el auditor, es el inventario de sistemas de IA.
Mi opinión como CISO
Lo más peligroso del EU AI Act no es su exigencia, es la falsa sensación de calma que ha dejado el aplazamiento. He visto el patrón en cada plazo regulatorio de los últimos quince años: cuando dan aire, la organización para, y el que para llega peor. El coste de cumplir no desaparece con el retraso. Se aplaza y se acumula, mientras la superficie de IA sin gobernar sigue creciendo por debajo.
Y seré honesto con la parte incómoda: la frontera entre lo que la norma pide y lo que de verdad puedes medir es estrecha. Tener una política de uso de IA es fácil. Demostrar con evidencia que la cumples, que sabes qué sistemas tienes y cómo los has clasificado, es otra cosa. Ese hueco entre "tengo política" y "tengo medición" es por donde se cuelan los problemas, y no se cierra con un PDF. Se cierra con un inventario vivo y un proceso.
¿Te toca implementar el EU AI Act y no sabes por dónde empezar?
El curso de Ciberseguridad de la IA para CISOs te da el método completo: inventario, clasificación de riesgo, controles y la evidencia que pide una auditoría. 5 módulos disponibles ya. Acceso durante un año. Diploma al finalizar.
Ver el cursoPara cerrar
El EU AI Act no premia a quien más sabe de regulación, premia a quien tiene su casa en orden: sus sistemas inventariados, su riesgo clasificado y su evidencia lista. Esa es la diferencia entre un requerimiento que se contesta en una tarde y uno que se convierte en una semana de pánico.
Si tuvieras que enseñar mañana tu lista de sistemas de IA con su nivel de riesgo y su responsable, ¿la tendrías? Esa pregunta, y no la fecha del calendario, es la que mide de verdad si cumples.
Un análisis como este cada semana
Escribo para CISOs sobre seguridad y gobernanza de la IA: la regulación que importa, los incidentes que enseñan algo y herramientas prácticas. Sin relleno y sin humo.
Suscribirme a la newsletterPreguntas frecuentes
¿Qué es el EU AI Act?
El EU AI Act, o Reglamento Europeo de Inteligencia Artificial, es la primera ley horizontal del mundo que regula la IA por nivel de riesgo. Clasifica los sistemas en cuatro categorías (inaceptable, alto, limitado y mínimo) e impone obligaciones proporcionales a cada una, desde prohibiciones absolutas hasta simples deberes de transparencia. Aplica a quien desarrolla y a quien usa IA en la Unión Europea.
¿A qué empresas aplica el EU AI Act?
A cualquier organización que desarrolle, comercialice o use sistemas de IA cuyo resultado afecte a personas en la Unión Europea, sea la empresa europea o no. No hace falta ser fabricante: el usuario profesional o deployer de una herramienta de terceros también asume obligaciones. Si tu empresa opera en la UE y usa IA, estás dentro del ámbito.
¿Cuándo entra en vigor el EU AI Act tras el Digital Omnibus?
El paquete Digital Omnibus, sobre el que el Consejo y el Parlamento alcanzaron un acuerdo provisional en mayo de 2026 pendiente de adopción formal y de publicación en el Diario Oficial, propone aplazar las obligaciones de los sistemas de alto riesgo al 2 de diciembre de 2027 (y al 2 de agosto de 2028 para los embebidos en productos regulados). Hasta entonces, las prohibiciones del Artículo 5, la formación del Artículo 4 y la transparencia siguen su propio calendario, ya en marcha.
¿Qué obligaciones del EU AI Act están vigentes ya?
Tres bloques no esperaron al aplazamiento de alto riesgo: las prácticas prohibidas del Artículo 5, la obligación de formación en IA del Artículo 4 para el personal que usa estos sistemas, y la transparencia de contenido generado por IA del Artículo 50, con un periodo transitorio que vence el 2 de diciembre de 2026. La autoridad supervisora también está operativa.
¿Qué multas tiene el EU AI Act?
Las prácticas prohibidas del Artículo 5 se sancionan con hasta 35 millones de euros o el 7% de la facturación anual global, lo que sea mayor. El incumplimiento de las obligaciones de sistemas de alto riesgo llega a 15 millones o el 3%, y dar información incorrecta a las autoridades, a 7,5 millones o el 1%. Las pymes tienen topes proporcionalmente menores.
¿Tengo obligaciones si mi empresa solo usa IA de terceros?
Sí. El EU AI Act distingue entre el proveedor que fabrica el sistema y el deployer que lo usa, y asigna deberes a ambos. Como usuario profesional asumes obligaciones de transparencia hacia tus usuarios, supervisión humana y uso conforme a las instrucciones del proveedor. No puedes trasladar toda la responsabilidad al fabricante del modelo que has integrado.
¿Por dónde empieza un CISO a cumplir el EU AI Act?
Por el inventario de sistemas de IA. No puedes clasificar ni proteger lo que no sabes que existe. El primer paso es mapear todos los sistemas en uso, incluido el shadow AI, y sobre esa lista clasificar el riesgo de cada uno según el Anexo III. La clasificación define qué obligaciones le debes a cada sistema y qué evidencia tendrás que presentar.
Fuentes
- EUR-Lex - Reglamento (UE) 2024/1689 (texto consolidado del EU AI Act).
- Consejo de la UE - Acuerdo para simplificar las reglas de IA (Digital Omnibus, 7 may 2026).
- AI Act - Artículo 5: prácticas de IA prohibidas.
- AI Act - Artículo 50: obligaciones de transparencia.
- AESIA - Agencia Española de Supervisión de la Inteligencia Artificial.