🎯 Metodología 80/20

Domina el AI Act
en semanas, no meses

El contenido mínimo esencial para ejecutar diagnósticos de cumplimiento con confianza. Primero lo crítico.

Tu progreso de formación

0 de 8 lecciones completadas
Bloque 1 — Prioridad máxima

El 20% que genera el 80% de resultados

Domina esto primero. Es todo lo que necesitas para hacer tu primer diagnóstico.

01
⭐ Crítico

¿Qué es el AI Act y a quién afecta?

El reglamento, su alcance y las fechas clave que debes saber

¿Qué es?

El AI Act (Reglamento UE 2024/1689) es el primer marco legal del mundo que regula los sistemas de inteligencia artificial. Entró en vigor el 1 de agosto de 2024. No es voluntario — es obligatorio para toda empresa que opere en la UE.

¿A quién afecta?

A cualquier empresa que use, desarrolle o venda sistemas de IA dentro de la UE, independientemente de dónde tenga su sede. Una empresa americana que usa IA para atender clientes españoles: afectada.

Las dos figuras clave

Proveedor: quien desarrolla o pone en el mercado el sistema de IA. Ejemplo: OpenAI con ChatGPT, SAP con sus módulos de IA.
Desplegador: quien usa ese sistema en su negocio para una finalidad concreta. Ejemplo: una asesoría que usa ChatGPT para atender clientes.

Tu cliente típico es desplegador. Sus obligaciones son menores que las del proveedor, pero existen.

Fechas críticas

Ago 2024

Entrada en vigor

El reglamento es ley. Comienza el período transitorio.

Feb 2025

Prohibiciones aplicables

Los sistemas de riesgo prohibido son ilegales desde ya.

Ago 2026 ← AHORA

Obligaciones para sistemas de alto riesgo

La fecha más importante para PYMEs. Tu ventana de negocio.

Ago 2027

Aplicación completa

Todas las disposiciones del reglamento en vigor.

💡 Caso real — Por qué importa ahora

Agosto 2026 está a 15 meses. Las empresas que usen sistemas de alto riesgo necesitan estar documentadas para esa fecha. Ahí está tu ventana comercial: ahora tienen urgencia real.

02
⭐ Crítico

La clasificación de riesgo — el semáforo

Los 4 niveles y cómo identificarlos en 5 minutos

Todo sistema de IA cae en uno de estos 4 niveles. Tu trabajo en el diagnóstico es clasificar correctamente los sistemas que usa el cliente.

Nivel Significado Ejemplos Sanción máx.
🔴 Prohibido Ilegal. Prohibición total. Reconocimiento facial en espacios públicos, scoring social, manipulación subliminal 35M€ o 7% facturación
🟠 Alto Permitido con obligaciones estrictas IA en RRHH, créditos bancarios, educación, infraestructuras críticas 15M€ o 3% facturación
🟡 Limitado Obligaciones de transparencia Chatbots (deben avisar que son IA), deepfakes 7.5M€ o 1.5% facturación
🟢 Mínimo Sin obligaciones específicas ChatGPT para tareas internas, filtros de spam, Copilot, herramientas de marketing
💡 Caso real — Worldcoin (Sam Altman)

Worldcoin escaneaba iris en la calle (reconocimiento biométrico en espacio público) a cambio de criptomoneda. La AEPD lo suspendió en España en 2024. Hoy sería riesgo prohibido bajo el Art. 5 del AI Act — ilegal directamente.

💡 Caso real — Amazon RRHH

Amazon usó una IA para selección de personal que penalizaba CVs con la palabra "mujeres". Desactivada en 2018. Hoy sería alto riesgo con multa potencial de hasta 15M€. Este ejemplo resuena con cualquier empresa que use ATS con IA.

Regla práctica para el diagnóstico

El 80% de PYMEs usa herramientas de riesgo mínimo o limitado — ChatGPT, Copilot, Canva AI, herramientas de marketing. Sus obligaciones son pocas. El valor de tu servicio está en identificar si hay algo de alto riesgo que no saben que tienen.

03
⭐ Crítico

Sistemas de alto riesgo — la lista completa

Exactamente qué sistemas están en el Anexo III del reglamento

El AI Act tiene una lista cerrada (Anexo III) de categorías de alto riesgo. Memoriza esto — es el núcleo de tu diagnóstico.

RRHH y empleo

IA para filtrar CVs, puntuar candidatos, decidir ascensos o despidos, gestionar rendimiento

Crédito y seguros

IA que evalúa solvencia, aprueba/deniega préstamos, calcula primas de seguros

Educación y formación

IA que evalúa estudiantes, decide acceso a programas o certifica competencias

Infraestructuras críticas

IA gestionando agua, energía, transporte, redes de telecomunicaciones

Servicios públicos esenciales

IA decidiendo acceso a prestaciones sociales, sanidad pública o servicios de emergencia

Aplicación de la ley

IA usada por policía, juzgados o administración penitenciaria

Obligaciones para desplegadores de alto riesgo

Si tu cliente usa un sistema de alto riesgo, necesita tener todo esto documentado antes de agosto 2026:

Registro del sistema

Nombre, función, proveedor, versión, datos que procesa

Evaluación de riesgos

Qué puede salir mal, qué impacto tiene, cómo se mitiga

Supervisión humana

Quién revisa las decisiones de la IA y cómo puede intervenir

Logs de actividad

Registros de qué ha decidido la IA, cuándo y sobre quién

Política interna de uso

Documento que regule el uso del sistema dentro de la empresa

04
⭐ Crítico

Transparencia y riesgo limitado

Chatbots, deepfakes y la obligación de decir "soy una IA"

El riesgo limitado no requiere documentación extensa, pero sí cumplir con obligaciones de transparencia. Es el nivel más común en empresas que usan chatbots o generan contenido con IA.

¿Qué obliga exactamente?

Chatbots

Deben informar al usuario de que está interactuando con una IA, a menos que sea obvio por el contexto. Tu cliente que tiene un chatbot de atención en su web: necesita este aviso.

Contenido generado por IA (deepfakes, imágenes, vídeos)

Debe marcarse como generado artificialmente de forma legible. Afecta a agencias de marketing, medios, publicidad.

IA de reconocimiento de emociones

Informar a la persona de que se analiza su estado emocional.

💡 Impacto práctico para tu consultoría

Casi cualquier empresa con chatbot en su web incumple esto. Es una "victoria fácil" en tu diagnóstico — detectas el problema y propones la solución (un aviso simple) en 10 minutos. Justifica el valor de 297€ perfectamente.

Bloque 2 — Amplía tu conocimiento

Contexto normativo y marcos relacionados

Completa tu formación con RGPD, ISO 42001 y el marco español.

05
📘 Importante

AI Act + RGPD — cómo se relacionan

Los dos reglamentos se solapan y se complementan

El RGPD (Reglamento General de Protección de Datos) ya existía. El AI Act no lo reemplaza — los dos conviven y se superponen especialmente cuando los sistemas de IA tratan datos personales.

Dimensión RGPD AI Act
¿Qué regula? Tratamiento de datos personales Sistemas de inteligencia artificial
¿Cuándo aplica? Cuando hay datos de personas Cuando hay sistemas de IA
Autoridad ES AEPD AESIA
Sanción máx. 20M€ o 4% facturación 35M€ o 7% facturación
Solapamiento Una IA que procesa datos personales debe cumplir ambos. Ejemplo: chatbot de RRHH que analiza CVs.
💡 Punto de venta para tu consultoría

Si tu cliente ya tiene un DPO (Delegado de Protección de Datos) o hizo su adaptación al RGPD, tienes un punto de entrada natural: "Tu IA también necesita cumplir el AI Act, y parte de tu documentación del RGPD ya te sirve."

06
📘 Importante

ISO 42001 — El estándar de gestión de IA

Qué es y cómo complementa al AI Act

La ISO 42001 (publicada en 2023) es el estándar internacional para Sistemas de Gestión de Inteligencia Artificial. No es obligatoria como el AI Act, pero implementarla facilita mucho el cumplimiento.

¿En qué se parece a otras ISO?

Sigue la estructura de alto nivel de otras ISO (como la 27001 de seguridad o la 9001 de calidad). Si tu cliente ya tiene certificación ISO, entiende el concepto — es un sistema de gestión, no un checklist puntual.

Los 4 pilares de la ISO 42001

1. Política de IA

Declaración formal del compromiso con el uso responsable de IA

2. Evaluación de impacto

Análisis de impacto de los sistemas de IA en personas y procesos

3. Controles operativos

Procedimientos concretos para gestionar los sistemas de IA en el día a día

4. Mejora continua

Auditorías internas, revisión por dirección, actualización periódica

AI Act vs ISO 42001

AI Act: obligatorio por ley, mínimos de cumplimiento, enfocado en riesgos específicos.
ISO 42001: voluntario, sistema de gestión completo, certificable, demuestra madurez.

Para tu consultoría: el AI Act es la puerta de entrada. La ISO 42001 es el upsell para empresas que quieren ir más allá del mínimo legal.

07
📘 Importante

AESIA y el marco español

Quién supervisa el AI Act en España y cómo funciona

¿Qué es la AESIA?

La Agencia Española de Supervisión de la Inteligencia Artificial es la autoridad nacional de control del AI Act en España. Creada en 2024, con sede en A Coruña. Es el equivalente español de la AEPD pero para IA.

¿Qué puede hacer la AESIA?

🔍 Inspeccionar empresas y solicitar documentación
⚠️ Emitir advertencias y requerimientos de corrección
💰 Imponer multas (coordinando con la Comisión Europea)
🛑 Ordenar la suspensión de sistemas de IA

La ENIA — Estrategia Nacional de IA

La Estrategia Nacional de Inteligencia Artificial (ENIA) es el plan del Gobierno español para el desarrollo de la IA. No es regulación — es política pública. Complementa al AI Act con medidas de impulso y financiación.

💡 Por qué importa para tu negocio

Cuando un cliente te pregunta "¿pero alguien me va a venir a inspeccionar?", la respuesta es: sí, la AESIA existe para eso. Que sea nueva no significa que no actúe — la AEPD tardó poco en multar por RGPD. Tu diagnóstico les protege.

08
📘 Importante

NIST AI RMF — El marco americano

Por qué lo usan empresas globales y qué puedes aprender de él

¿Qué es?

El NIST AI Risk Management Framework es el marco de gestión de riesgos de IA del gobierno de Estados Unidos (National Institute of Standards and Technology). Publicado en 2023, es voluntario pero muy usado por empresas tecnológicas globales.

Las 4 funciones del NIST AI RMF

GOVERN

Estructura organizativa, políticas y cultura de gestión de riesgos de IA

MAP

Identificar y categorizar riesgos de IA en contexto

MEASURE

Analizar y evaluar la severidad de los riesgos identificados

MANAGE

Priorizar y tratar los riesgos con planes de acción concretos

¿Por qué te importa si trabajas en España?

Si tu cliente es una multinacional o tiene sede en EE.UU., puede pedirte alineación con el NIST RMF además del AI Act. Conocerlo te diferencia. Además, su estructura (Govern-Map-Measure-Manage) es una metodología excelente para organizar tu propio servicio.

Comparativa

Marcos normativos y estándares

Una visión holística de todos los marcos que necesitas conocer y cómo se relacionan entre sí.

Marco Tipo Ámbito Obligatorio Autoridad ES Sanción máx.
AI Act UE Reglamento Sistemas de IA en la UE ✓ Sí AESIA 35M€ / 7%
RGPD Reglamento Datos personales en la UE ✓ Sí AEPD 20M€ / 4%
ISO 42001 Estándar ISO Gestión de IA (global) ✗ Voluntario ENAC (cert.)
NIST AI RMF Marco de referencia Gestión de riesgos de IA (global) ✗ Voluntario
ENIA Estrategia pública Política de IA en España ✗ Política Secretaría de Estado
NIS2 Directiva UE Ciberseguridad en sectores críticos ✓ Sí INCIBE / CCN 10M€ / 2%
ISO 27001 Estándar ISO Seguridad de la información ✗ Voluntario
2016

RGPD aprobado

Entra en vigor en 2018. Primera regulación europea de referencia global en datos.

2021

Propuesta AI Act

La Comisión Europea presenta la primera propuesta de regulación de IA del mundo.

2023

ISO 42001 publicada — NIST AI RMF publicado

Dos marcos de referencia globales para gestión de IA en el mismo año.

Ago 2024

AI Act en vigor

Publicación en el Diario Oficial de la UE. Comienza el período transitorio. Nace la AESIA.

Feb 2025

Prohibiciones aplicables

Sistemas de riesgo prohibido son ilegales. Primer hito real del AI Act.

Ago 2026 ← ESTAMOS AQUÍ

Obligaciones alto riesgo

La fecha más importante para PYMEs. Ventana comercial activa.

Ago 2027

Aplicación completa del AI Act

Todas las disposiciones del reglamento plenamente aplicables.

AI Act + RGPD

Se superponen cuando la IA trata datos personales

Un sistema de RRHH con IA que analiza CVs debe cumplir ambos: el AI Act por ser alto riesgo, y el RGPD porque trata datos de candidatos. En este caso necesitas documentación de las dos normativas y coordinar entre AESIA y AEPD.

AI Act + ISO 42001

La ISO facilita el cumplimiento del AI Act

Implementar ISO 42001 crea la estructura de gestión que el AI Act requiere para sistemas de alto riesgo. No es obligatoria, pero una empresa certificada en ISO 42001 tiene el 80% del AI Act cubierto. Úsalo como upsell.

AI Act + NIS2

Sectores críticos tienen doble obligación

Energía, agua, transporte, sanidad: están regulados por NIS2 (ciberseguridad) y por el AI Act (si usan IA en infraestructuras). Empresas de estos sectores necesitan cumplir los dos reglamentos.

AI Act + NIST RMF

El NIST como metodología, el AI Act como ley

Puedes usar la estructura Govern-Map-Measure-Manage del NIST como metodología de trabajo para cumplir el AI Act. Especialmente útil con clientes que tienen operaciones en EE.UU. o que ya conocen el NIST.

Ecosistema regulatorio

Organismos e instituciones

Todos los actores del ecosistema de gobernanza de IA, su jurisdicción y recursos oficiales.

🏛 Autoridad Nacional — IA

AESIA — Agencia Española de Supervisión de la IA

Autoridad de control del AI Act en España. Supervisa el cumplimiento, realiza inspecciones e impone sanciones. Creada en 2024, sede en A Coruña.

📍 España · Competencia nacional
→ aesia.es
🔒 Autoridad Nacional — Datos

AEPD — Agencia Española de Protección de Datos

Supervisora del RGPD en España. Coordina con AESIA cuando los sistemas de IA tratan datos personales. Una de las agencias más activas de Europa en sanciones.

📍 España · Madrid
→ aepd.es
🇪🇸 Estrategia Pública

ENIA — Estrategia Nacional de Inteligencia Artificial

Plan del Gobierno español para el desarrollo y adopción responsable de la IA. Define inversiones, formación, ética y marco de referencia nacional. No es regulación sino política pública de impulso.

📍 España · Secretaría de Estado de Digitalización
→ enia.gob.es
🔐 Ciberseguridad

INCIBE — Instituto Nacional de Ciberseguridad

Referente en ciberseguridad para empresas y ciudadanos. Coordina con AESIA en casos donde la IA tiene riesgos de seguridad. Relevante para clientes en sectores críticos.

📍 España · León
→ incibe.es
🏗 Normalización

UNE — Asociación Española de Normalización

Organismo que publica las normas técnicas en España, incluyendo la versión española de la ISO 42001. Punto de referencia para certificaciones de IA.

📍 España · Madrid
→ une.org
Acreditación

ENAC — Entidad Nacional de Acreditación

Acredita a los organismos de certificación que pueden certificar empresas en ISO 42001 en España. Si tu cliente quiere certificarse, pasa por ENAC.

📍 España · Madrid
→ enac.es
🇪🇺 Legislador

Comisión Europea — DG CNECT

Órgano que propuso y aprobó el AI Act. La DG CNECT (Dirección General de Redes de Comunicación, Contenido y Tecnología) es responsable de la política de IA europea. Publica guías de implementación.

📍 UE · Bruselas
→ Portal AI Act
🏦 Supervisión Europea — IA

AI Office — Oficina Europea de IA

Creada dentro de la Comisión Europea en 2024. Supervisa modelos de IA de propósito general (como GPT-4), coordina las autoridades nacionales y elabora los códigos de conducta del AI Act.

📍 UE · Bruselas
→ AI Office
🔒 Protección de datos

EDPB — Comité Europeo de Protección de Datos

Coordina la aplicación del RGPD en toda la UE. Emite directrices sobre el uso de IA que trata datos personales. Sus opiniones vinculan a la AEPD española.

📍 UE · Bruselas
→ edpb.europa.eu
⚖️ Derechos fundamentales

FRA — Agencia de Derechos Fundamentales de la UE

Evalúa el impacto de la IA en derechos humanos. Sus informes influyen en la interpretación del AI Act, especialmente en sistemas de alto riesgo que afectan a personas.

📍 UE · Viena
→ fra.europa.eu
📐 Normalización europea

CEN/CENELEC

Organismos europeos de normalización que desarrollan los estándares técnicos armonizados del AI Act. Las normas que elaboren serán referencia para demostrar cumplimiento.

📍 UE · Bruselas
→ cencenelec.eu
🏛 Consejo asesor

AI Board — Consejo Europeo de IA

Foro de coordinación entre las autoridades nacionales de IA (AESIA y sus equivalentes en otros países). Define posiciones comunes y resuelve discrepancias entre estados miembros.

📍 UE
→ Más info
🇺🇸 Marco de referencia — EE.UU.

NIST — National Institute of Standards and Technology

Desarrolló el AI Risk Management Framework (AI RMF), adoptado por miles de empresas globalmente. No es regulador pero sus marcos son de referencia mundial.

📍 EE.UU. · Maryland
→ nist.gov/ai
🌐 Normalización internacional

ISO/IEC JTC 1/SC 42

Subcomité de ISO responsable de estándares de inteligencia artificial. Publicó la ISO 42001 y desarrolla más estándares de IA. Sus normas son reconocidas globalmente.

📍 Internacional · Ginebra
→ iso.org
🌍 Gobernanza global

OCDE — Principios de IA

Los Principios de IA de la OCDE (2019) fueron los primeros adoptados intergubernamentalmente. Influenciaron directamente el AI Act europeo. 42 países los han adoptado.

📍 Internacional · París
→ oecd.ai
🇬🇧 Regulador — Reino Unido

ICO + DSIT (UK)

Tras el Brexit, el UK tiene su propio enfoque: más flexible y basado en principios. El ICO supervisa IA y datos, DSIT lidera la política. Relevante para empresas con operaciones en UK.

📍 Reino Unido · Londres
→ ico.org.uk/ai
🇨🇳 Regulación — China

CAC — Cyberspace Administration of China

Regula la IA en China con enfoque sectorial: reglas específicas para IA generativa, recomendadores algorítmicos y deepfakes. Relevante para empresas con operaciones en Asia.

📍 China · Pekín
→ cac.gov.cn
🏛 Consejo de Europa

Convenio Marco de IA — Consejo de Europa

Primer tratado internacional legalmente vinculante sobre IA, firmado en 2024. Complementa al AI Act con principios de derechos humanos, democracia y estado de derecho.

📍 Internacional · Estrasburgo
→ coe.int/ai
Evaluación

Test de conocimiento

Pon a prueba lo que has aprendido. Las preguntas cubren todos los temas del AI Act.

Pregunta 1
de 20
Aciertos: 0
Herramienta práctica

Guión de diagnóstico — 90 minutos

El script completo para ejecutar el Diagnóstico de Riesgo AI Act con un cliente. Sigue el orden.

Cómo usar este guión: Cada sección tiene preguntas guía y un checklist de lo que debes descubrir. Las preguntas son orientativas — adáptalas al lenguaje del cliente. No uses jerga técnica.

01

Presentación y contexto (0-10 min)

~10 min

Objetivo: Entender el negocio antes de hablar de IA.

→ "¿A qué se dedica exactamente la empresa?"

→ "¿Cuántas personas trabajan? ¿Tienen sede en otros países de la UE?"

→ "¿Han escuchado hablar del AI Act antes de hoy?"

→ "¿Qué les motivó a pedir este diagnóstico?"

02

Inventario de sistemas de IA (10-35 min)

~25 min

Objetivo: Identificar TODOS los sistemas de IA que usan, incluso los que no saben que son IA.

→ "¿Usan alguna herramienta de inteligencia artificial? Por ejemplo ChatGPT, Copilot, Gemini..."

→ "¿Tienen chatbot en su web?"

→ "¿Usan IA en sus procesos de selección de personal? ¿Algún software de RRHH con funciones automáticas?"

→ "¿Su CRM o ERP tiene funciones de predicción o recomendación automática?"

→ "¿Generan contenido (texto, imágenes, vídeo) con IA para marketing o comunicación?"

→ "¿Usan IA para analizar datos de clientes o predecir comportamientos?"

03

Clasificación de riesgo (35-55 min)

~20 min

Objetivo: Clasificar cada sistema identificado en el semáforo de riesgo.

→ Para cada sistema: aplica las 4 preguntas de clasificación:

¿Está en la lista de sistemas prohibidos del Art. 5? (scoring social, biometría en público, manipulación...)

¿Está en el Anexo III de alto riesgo? (RRHH, crédito, educación, infraestructuras...)

¿Interactúa con personas haciéndose pasar por humano? (chatbot → riesgo limitado)

Si no aplica ninguno de los anteriores → riesgo mínimo

04

Evaluación de brechas (55-75 min)

~20 min

Objetivo: Para cada sistema de alto riesgo, verificar qué documentación existe y qué falta.

→ "¿Tienen algún documento que describa cómo funciona este sistema?"

→ "¿Hay alguien responsable de supervisar las decisiones que toma la IA?"

→ "¿Se guarda algún registro de las decisiones automáticas?"

→ "¿Tienen política interna de uso de IA?"

→ "¿Han realizado alguna evaluación de riesgos?"

05

Cierre y próximos pasos (75-90 min)

~15 min

Objetivo: Presentar un avance del semáforo y abrir la conversación sobre el siguiente servicio.

→ Presenta verbalmente la clasificación: "Tienen X sistemas de riesgo mínimo, Y de riesgo limitado, Z de alto riesgo."

→ "Las brechas principales que hemos detectado son..."

→ "El plazo crítico es agosto 2026. Eso les da N meses para actuar."

→ "El siguiente paso natural sería el Plan de Cumplimiento en 90 días, que cubre exactamente estas brechas."

Nota legal: Este guión es una herramienta de consultoría, no asesoramiento jurídico. Para casos con sistemas prohibidos o situaciones complejas, recomienda siempre al cliente consultar con un abogado especializado.

Plantilla

Informe de Diagnóstico de Riesgo AI Act

Rellena los campos y genera tu informe listo para entregar al cliente.

1. Datos del cliente

2. Semáforo de cumplimiento

Indica el número de sistemas identificados en cada categoría:

🔴 Prohibido

🟠 Alto riesgo

🟡 Limitado

🟢 Mínimo

3. Sistemas identificados

4. Brechas detectadas

5. Conclusión y recomendaciones

6. Disclaimer

Este informe de diagnóstico ha sido elaborado por proyectosdeIA.com como servicio de consultoría en gobernanza de IA. No constituye asesoramiento jurídico. Las conclusiones se basan en la información proporcionada por el cliente durante la sesión de diagnóstico. Para situaciones que requieran interpretación legal del Reglamento UE 2024/1689 (AI Act), se recomienda consultar con un abogado especializado. Este documento no exime al cliente de su responsabilidad de cumplimiento normativo.