Actualización normativa · 14 de julio de 2026Las prohibiciones y la alfabetización en IA siguen vigentes desde febrero de 2025. La reforma aprobada en junio de 2026 fija nuevos plazos para las obligaciones específicas de alto riesgo: 2 de diciembre de 2027 para sistemas del Anexo III y 2 de agosto de 2028 para determinados sistemas integrados en productos.

El AI Act no prohíbe la inteligencia artificial. La clasifica. Y esa clasificación determina qué obligaciones tiene tu empresa, cuándo entran en vigor y qué sanciones arriesga si no las cumple.

Antes de hacer nada, necesitas saber en qué nivel estás. Aquí van los cuatro, con ejemplos concretos del mercado español.

Nivel 1. Riesgo inaceptable: prohibido desde el 2 de febrero de 2025

Son sistemas que la Unión Europea ha considerado incompatibles con los derechos fundamentales. Están prohibidos desde el 2 de febrero de 2025, sin excepción.

Entran aquí los sistemas de puntuación social de ciudadanos, el reconocimiento de emociones en entornos laborales o educativos, la IA que manipula el comportamiento de personas vulnerables, y la identificación biométrica en tiempo real en espacios públicos, con excepciones de seguridad muy tasadas.

Si tienes cualquier sistema que se acerque a estas categorías, es una prioridad legal inmediata. No de agosto.

Nivel 2. Alto riesgo: obligaciones reforzadas con aplicación aplazada

Este es el nivel que más afecta a las empresas españolas. Los sistemas de alto riesgo no están prohibidos, pero tienen obligaciones muy exigentes: documentación técnica, registro en la base de datos europea, supervisión humana y evaluación de conformidad.

Piensa en un banco que usa IA para aprobar o rechazar créditos, una aseguradora que calcula primas con modelos predictivos, un departamento de recursos humanos que filtra currículums con IA, un hospital que usa IA de apoyo al diagnóstico, o una empresa de seguridad con videovigilancia inteligente.

La pregunta clave es esta: ¿tu sistema de IA toma decisiones que afectan al empleo, al crédito, a la educación, a la salud o a la seguridad de las personas? Si la respuesta es sí, es probable que sea de alto riesgo.

Nivel 3. Riesgo limitado: obligaciones de transparencia

No requieren evaluación de conformidad, pero sí deben ser transparentes. El usuario tiene que saber que está interactuando con una IA.

Aquí entran los chatbots de atención al cliente, los asistentes virtuales de e-commerce, las herramientas que generan texto o imagen indistinguible de la producida por una persona, y los sistemas de recomendación de productos.

La obligación principal es informar al usuario de que está hablando con una IA. Suena simple, pero muchas empresas no lo hacen correctamente.

Nivel 4. Riesgo mínimo: sin obligaciones específicas

La mayoría de las aplicaciones de IA caen aquí: filtros de spam, recomendadores de contenido, herramientas de productividad como Copilot o ChatGPT usadas internamente sin impacto en decisiones sobre personas.

Ahora bien, atención: aunque no tengan obligaciones del AI Act, pueden tenerlas del RGPD si procesan datos personales. El riesgo mínimo no significa cero obligaciones.

El error más común en la clasificación

Las empresas tienden a clasificarse en el nivel más bajo posible para evitar obligaciones. Es un error que puede salir muy caro.

La clasificación no la decide la empresa. La determina el uso real del sistema. Un chatbot de atención al cliente que recomienda productos es nivel 3. Ese mismo chatbot, si evalúa la solvencia del cliente o decide qué oferta de crédito mostrarle, puede ser nivel 2. La función determina el riesgo, no el nombre del producto.

Por dónde empezar

Haz un inventario rápido: escribe todos los sistemas de IA que usa tu empresa. Para cada uno, responde una pregunta: ¿afecta a decisiones sobre personas, ya sean empleados, clientes o proveedores?

Si la respuesta es sí, conviene revisar ahora si es de alto riesgo y aprovechar el periodo de adaptación para ordenar la documentación y la supervisión.

Continúa con la guía sobre los sistemas de alto riesgo del Anexo III para comprobar si reconoces alguno de los que usa tu empresa.

¿En qué nivel crees que está tu empresa?

Fuentes oficiales y actualización

Contenido informativo. No sustituye asesoramiento jurídico adaptado al caso concreto.

Convierte el contenido en un plan para tu empresa

Revisamos sistemas, usos, responsables y evidencias para priorizar lo que realmente necesita atención.

Solicitar diagnóstico inicial

Francisco Rodríguez Mendoza

Consultor en gobernanza de IA, AI Act y gestión de riesgos. PMP® e ingeniero de telecomunicaciones.

Ver perfil profesional →