Volver al Blog
Ley de IA de la UE para empresas: Obligaciones, plazos y qué hacer ahora
Cumplimiento6/29/2026

Ley de IA de la UE para empresas: Obligaciones, plazos y qué hacer ahora

MH

Marius Huinink

Autor

La Ley de IA de la UE es la primera regulación integral de IA de la UE y será vinculante por fases. Para las empresas, lo más importante es: ¿Qué obligaciones se aplican a partir de cuándo y qué hay que hacer concretamente? Esta publicación clasifica las categorías de riesgo, los plazos y las medidas, incluyendo el reciente aplazamiento debido al Ómnibus Digital.

Lo que ha cambiado el Ómnibus Digital

En mayo de 2026, el Parlamento y el Consejo llegaron a un acuerdo sobre el "Ómnibus Digital de IA" y escalonaron las obligaciones más exigentes.2 Lo más importante en resumen:

  • Obligaciones de alto riesgo pospuestas. Los sistemas de alto riesgo independientes según el Anexo III (p. ej., contratación, solvencia, educación) solo se aplicarán a partir del 2 de diciembre de 2027, la IA de alto riesgo integrada en productos según el Anexo I a partir del 2 de agosto de 2028.3
  • Las obligaciones de transparencia se mantienen. Las obligaciones del Artículo 50 se aplicarán sin cambios a partir del 2 de agosto de 2026.
  • Facilidades para empresas más pequeñas. Una nueva categoría de "Small Mid-Caps" (menos de 750 empleados, máximo 150 millones de euros de facturación) recibirá documentación simplificada, multas limitadas y acceso preferente a entornos de pruebas (sandboxes).3
  • Los nuevos plazos serán legalmente vinculantes solo con la publicación en el Diario Oficial, prevista antes del 2 de agosto de 2026.

En resumen: El aplazamiento traslada el esfuerzo, no lo elimina. Quienes operan sistemas de alto riesgo ganan tiempo de preparación. El plazo de agosto de 2026 para la transparencia sigue siendo estricto para casi todos.

Qué hacer a partir del 2 de agosto de 2026

A partir de esta fecha, entrarán en vigor las obligaciones de transparencia, independientemente de si usted desarrolla o simplemente utiliza la IA.5 Concretamente:

  1. Identificar chatbots. Los usuarios deben poder reconocer que están hablando con una IA, no con una persona.
  2. Marcar contenidos de IA. Los textos, imágenes, audio y video generados o manipulados por IA deben ser reconocibles como tales. Los deepfakes entran especialmente en esta categoría.
  3. Actualizar sistemas existentes. Para los sistemas comercializados antes del 2 de agosto de 2026, se aplica un período de gracia hasta el 2 de diciembre de 2026 para la identificación legible por máquina.
  4. Establecer responsabilidades. Estos puntos son técnicamente manejables, pero requieren una clara responsabilidad interna.

Importante para la práctica: La identificación legible por máquina (marcas de agua, metadatos) es principalmente una obligación del proveedor de IA, no del usuario. Como operador, usted es el principal responsable de la divulgación visible a sus usuarios.

Comprender las cuatro clases de riesgo

La Ley de IA de la UE regula la IA según el riesgo, no según la tecnología. Lo determinante es para qué se utiliza un sistema y qué consecuencias tiene para las personas.1

  • Riesgo inaceptable: prácticas prohibidas como la puntuación social (social scoring). No permitidas en la UE.
  • Alto riesgo: sistemas que influyen en los derechos fundamentales o la seguridad, como la selección de personal, la concesión de créditos o la infraestructura crítica. Requieren una intensa documentación y auditoría.
  • Riesgo limitado: obligaciones de transparencia, como la identificación de chatbots y contenidos de IA.
  • Riesgo mínimo: la mayor parte de las aplicaciones empresariales, con pocas exigencias.

La mayoría de las empresas se mueven predominantemente en el riesgo mínimo y limitado. Tan pronto como una aplicación toma decisiones sobre personas, por ejemplo, en el proceso de solicitud, pasa a la clase de alto riesgo. La primera clasificación es, por lo tanto, el paso más importante.

Resumen de los plazos más importantes

  • Prácticas prohibidas: desde febrero de 2025
  • Obligaciones para modelos de IA de propósito general (GPAI): desde agosto de 2025
  • Obligaciones de transparencia (Artículo 50): a partir del 2 de agosto de 2026
  • Sistemas de alto riesgo según el Anexo III: a partir del 2 de diciembre de 2027
  • IA de alto riesgo integrada en productos (Anexo I): a partir del 2 de agosto de 2028

La presión para actuar aumenta con cada etapa. Quien empieza poco antes de un plazo se encuentra bajo presión de tiempo, ya que el inventario, la evaluación de riesgos y la documentación requieren un tiempo de preparación.

¿Con qué rigor se está aplicando ya?

Una evaluación honesta es necesaria: las prácticas prohibidas y las obligaciones de GPAI ya son aplicables, y la Comisión Europea inició las primeras investigaciones sobre prácticas de IA inadmisibles a principios de 2026.1 Hasta ahora no ha habido una ola de multas o advertencias, en parte porque las obligaciones de alto riesgo aún no son aplicables y las autoridades todavía están estableciendo sus estructuras.

Pero esto no es motivo para esperar. Las obligaciones de transparencia a partir de agosto de 2026 son reales, y el trabajo básico (inventario, clases de riesgo, responsabilidades) no se puede recuperar en pocos días en caso de emergencia.

Por qué el cumplimiento sin gobernanza no funciona

El cumplimiento es el objetivo, la gobernanza es el camino. Necesita un inventario de sus sistemas de IA, una clasificación de riesgos por cada sistema, una persona responsable y un proceso que examine las nuevas aplicaciones antes de su uso. Sin esta estructura, el cumplimiento de la IA sigue siendo una reacción puntual a casos individuales. La publicación Gobernanza y derecho en la IA profundiza en cómo anclar esto organizativamente.

Implementar la Ley de IA de la UE: cinco pasos para empezar

  1. Inventario de IA. Registre todos los sistemas y herramientas de IA, tanto internos como externos. Para cada sistema, documente en qué departamento se ejecuta, qué datos procesa y quién es el responsable.
  2. Clasificación de riesgos. Asigne cada sistema a una de las cuatro clases. Revise especialmente las aplicaciones que utilizan datos personales y aquellas que preparan decisiones sobre personas.
  3. Derivar obligaciones. Determine los requisitos específicos para cada clase, como avisos de transparencia para riesgo limitado o documentación y supervisión humana para alto riesgo.
  4. Medidas y documentación. Cierre las brechas entre el estado actual y las obligaciones. Establezca por escrito la documentación técnica, las evaluaciones de riesgos y las responsabilidades.
  5. Control continuo. Establezca una puerta de aprobación para nuevas herramientas y un ritmo de auditoría fijo.

Lo que amenaza en caso de infracciones

La Ley de IA de la UE prevé sanciones escalonadas.4 Por prácticas prohibidas, se enfrentan multas de hasta 35 millones de euros o el 7 por ciento de la facturación anual global, lo que sea mayor. Para las infracciones de las obligaciones de alto riesgo, el límite es de hasta 15 millones de euros o el 3 por ciento. Para las empresas medianas, el riesgo práctico es menos relevante que el importe máximo: falta de documentación, responsabilidades no claras y sistemas cuya clase de riesgo nadie ha determinado.

Cuándo vale la pena la consultoría externa

No todas las necesidades requieren una consultoría integral. Una evaluación honesta ayuda:

  • La formación exclusiva en herramientas suele ser mejor directamente con el proveedor.
  • La integración técnica corresponde a la casa de sistemas o al consultor de TI.
  • Una pregunta legal o de protección de datos aislada la aclara un delegado de protección de datos especializado o un bufete de abogados con experiencia en IA.
  • Una consultoría integral sobre la Ley de IA de la UE vale la pena si la IA se utiliza de forma estratégica y en todos los departamentos, y si es necesario integrar la estrategia, la gobernanza, la tecnología y la protección de datos.

Mini-Preguntas Frecuentes sobre la Ley de IA de la UE

¿Afecta la Ley de IA de la UE también a las pequeñas empresas? Sí. Lo determinante es el tipo de IA utilizada. Las pequeñas empresas con aplicaciones de alto riesgo también están sujetas a las obligaciones más estrictas.

¿Ha eliminado el aplazamiento las obligaciones? No. Solo se ha pospuesto el inicio de la aplicación de las obligaciones de alto riesgo. Las obligaciones de transparencia a partir de agosto de 2026 se mantienen sin cambios.

¿Cuál es el primer paso concreto? Un inventario de IA. Sin una visión general de todos los sistemas, no se puede determinar una clase de riesgo.

¿Necesitamos obligatoriamente consultoría externa? No en todos los casos. Muchos pasos se pueden realizar internamente. El apoyo externo vale la pena sobre todo para sistemas de alto riesgo y la implementación integral.

Qué debería hacer concretamente

  1. Comience esta semana un inventario de IA en todos los departamentos.
  2. Asigne cada sistema a una clase de riesgo y marque las aplicaciones de alto riesgo.
  3. Implemente las obligaciones de transparencia para chatbots y contenidos de IA hasta agosto de 2026.
  4. Documente por escrito las evaluaciones de riesgos, las medidas y las responsabilidades.
  5. Establezca una puerta de aprobación y un ritmo de auditoría para nuevos sistemas.

¿Dónde se encuentra su empresa con respecto a la Ley de IA de la UE?

En un chequeo de IA de 30 minutos, clasificamos sus aplicaciones por riesgo y mostramos qué pasos de transparencia y gobernanza son realmente necesarios hasta agosto de 2026. Sin ventas, sin presentaciones.

Fuentes y referencias

  1. Comisión Europea, Ley de IA – Marco regulatorio (Clases de riesgo, calendario, aplicación): digital-strategy.ec.europa.eu
  2. Gibson Dunn, Acuerdo Ómnibus de la Ley de IA de la UE — Plazos pospuestos para alto riesgo y otros cambios clave, 27.05.2026: gibsondunn.com
  3. Consejo de la UE (Consilium), Inteligencia Artificial: El Consejo y el Parlamento acuerdan simplificar y racionalizar las normas, 07.05.2026: consilium.europa.eu
  4. Reglamento (UE) 2024/1689 (Ley de IA), Marco de sanciones Art. 99, vía EUR-Lex: eur-lex.europa.eu
  5. Ley de IA de la UE, Artículo 50 (Obligaciones de transparencia para proveedores y operadores): artificialintelligenceact.eu
Let's talk

¿Está listo para una verdadera soberanía de la IA?

Descubramos cómo 6Rocks puede apoyar a su empresa.