Domina el AI Act
en semanas, no meses
El contenido mínimo esencial para ejecutar diagnósticos de cumplimiento con confianza. Primero lo crítico.
El 20% que genera el 80% de resultados
Domina esto primero. Es todo lo que necesitas para hacer tu primer diagnóstico.
¿Qué es?
El AI Act (Reglamento UE 2024/1689) es el primer marco legal del mundo que regula los sistemas de inteligencia artificial. Entró en vigor el 1 de agosto de 2024. No es voluntario — es obligatorio para toda empresa que opere en la UE.
¿A quién afecta?
A cualquier empresa que use, desarrolle o venda sistemas de IA dentro de la UE, independientemente de dónde tenga su sede. Una empresa americana que usa IA para atender clientes españoles: afectada.
Las dos figuras clave
Proveedor: quien desarrolla o pone en el mercado el sistema de IA. Ejemplo: OpenAI con ChatGPT, SAP con sus módulos de IA.
Desplegador: quien usa ese sistema en su negocio para una finalidad concreta. Ejemplo: una asesoría que usa ChatGPT para atender clientes.
Tu cliente típico es desplegador. Sus obligaciones son menores que las del proveedor, pero existen.
Fechas críticas
Entrada en vigor
El reglamento es ley. Comienza el período transitorio.
Prohibiciones aplicables
Los sistemas de riesgo prohibido son ilegales desde ya.
Obligaciones para sistemas de alto riesgo
La fecha más importante para PYMEs. Tu ventana de negocio.
Aplicación completa
Todas las disposiciones del reglamento en vigor.
Agosto 2026 está a 15 meses. Las empresas que usen sistemas de alto riesgo necesitan estar documentadas para esa fecha. Ahí está tu ventana comercial: ahora tienen urgencia real.
Todo sistema de IA cae en uno de estos 4 niveles. Tu trabajo en el diagnóstico es clasificar correctamente los sistemas que usa el cliente.
| Nivel | Significado | Ejemplos | Sanción máx. |
|---|---|---|---|
| 🔴 Prohibido | Ilegal. Prohibición total. | Reconocimiento facial en espacios públicos, scoring social, manipulación subliminal | 35M€ o 7% facturación |
| 🟠 Alto | Permitido con obligaciones estrictas | IA en RRHH, créditos bancarios, educación, infraestructuras críticas | 15M€ o 3% facturación |
| 🟡 Limitado | Obligaciones de transparencia | Chatbots (deben avisar que son IA), deepfakes | 7.5M€ o 1.5% facturación |
| 🟢 Mínimo | Sin obligaciones específicas | ChatGPT para tareas internas, filtros de spam, Copilot, herramientas de marketing | — |
Worldcoin escaneaba iris en la calle (reconocimiento biométrico en espacio público) a cambio de criptomoneda. La AEPD lo suspendió en España en 2024. Hoy sería riesgo prohibido bajo el Art. 5 del AI Act — ilegal directamente.
Amazon usó una IA para selección de personal que penalizaba CVs con la palabra "mujeres". Desactivada en 2018. Hoy sería alto riesgo con multa potencial de hasta 15M€. Este ejemplo resuena con cualquier empresa que use ATS con IA.
Regla práctica para el diagnóstico
El 80% de PYMEs usa herramientas de riesgo mínimo o limitado — ChatGPT, Copilot, Canva AI, herramientas de marketing. Sus obligaciones son pocas. El valor de tu servicio está en identificar si hay algo de alto riesgo que no saben que tienen.
El AI Act tiene una lista cerrada (Anexo III) de categorías de alto riesgo. Memoriza esto — es el núcleo de tu diagnóstico.
IA para filtrar CVs, puntuar candidatos, decidir ascensos o despidos, gestionar rendimiento
IA que evalúa solvencia, aprueba/deniega préstamos, calcula primas de seguros
IA que evalúa estudiantes, decide acceso a programas o certifica competencias
IA gestionando agua, energía, transporte, redes de telecomunicaciones
IA decidiendo acceso a prestaciones sociales, sanidad pública o servicios de emergencia
IA usada por policía, juzgados o administración penitenciaria
Obligaciones para desplegadores de alto riesgo
Si tu cliente usa un sistema de alto riesgo, necesita tener todo esto documentado antes de agosto 2026:
Nombre, función, proveedor, versión, datos que procesa
Qué puede salir mal, qué impacto tiene, cómo se mitiga
Quién revisa las decisiones de la IA y cómo puede intervenir
Registros de qué ha decidido la IA, cuándo y sobre quién
Documento que regule el uso del sistema dentro de la empresa
El riesgo limitado no requiere documentación extensa, pero sí cumplir con obligaciones de transparencia. Es el nivel más común en empresas que usan chatbots o generan contenido con IA.
¿Qué obliga exactamente?
Deben informar al usuario de que está interactuando con una IA, a menos que sea obvio por el contexto. Tu cliente que tiene un chatbot de atención en su web: necesita este aviso.
Debe marcarse como generado artificialmente de forma legible. Afecta a agencias de marketing, medios, publicidad.
Informar a la persona de que se analiza su estado emocional.
Casi cualquier empresa con chatbot en su web incumple esto. Es una "victoria fácil" en tu diagnóstico — detectas el problema y propones la solución (un aviso simple) en 10 minutos. Justifica el valor de 297€ perfectamente.
Contexto normativo y marcos relacionados
Completa tu formación con RGPD, ISO 42001 y el marco español.
El RGPD (Reglamento General de Protección de Datos) ya existía. El AI Act no lo reemplaza — los dos conviven y se superponen especialmente cuando los sistemas de IA tratan datos personales.
Si tu cliente ya tiene un DPO (Delegado de Protección de Datos) o hizo su adaptación al RGPD, tienes un punto de entrada natural: "Tu IA también necesita cumplir el AI Act, y parte de tu documentación del RGPD ya te sirve."
La ISO 42001 (publicada en 2023) es el estándar internacional para Sistemas de Gestión de Inteligencia Artificial. No es obligatoria como el AI Act, pero implementarla facilita mucho el cumplimiento.
¿En qué se parece a otras ISO?
Sigue la estructura de alto nivel de otras ISO (como la 27001 de seguridad o la 9001 de calidad). Si tu cliente ya tiene certificación ISO, entiende el concepto — es un sistema de gestión, no un checklist puntual.
Los 4 pilares de la ISO 42001
Declaración formal del compromiso con el uso responsable de IA
Análisis de impacto de los sistemas de IA en personas y procesos
Procedimientos concretos para gestionar los sistemas de IA en el día a día
Auditorías internas, revisión por dirección, actualización periódica
AI Act vs ISO 42001
AI Act: obligatorio por ley, mínimos de cumplimiento, enfocado en riesgos específicos.
ISO 42001: voluntario, sistema de gestión completo, certificable, demuestra madurez.
Para tu consultoría: el AI Act es la puerta de entrada. La ISO 42001 es el upsell para empresas que quieren ir más allá del mínimo legal.
¿Qué es la AESIA?
La Agencia Española de Supervisión de la Inteligencia Artificial es la autoridad nacional de control del AI Act en España. Creada en 2024, con sede en A Coruña. Es el equivalente español de la AEPD pero para IA.
¿Qué puede hacer la AESIA?
La ENIA — Estrategia Nacional de IA
La Estrategia Nacional de Inteligencia Artificial (ENIA) es el plan del Gobierno español para el desarrollo de la IA. No es regulación — es política pública. Complementa al AI Act con medidas de impulso y financiación.
Cuando un cliente te pregunta "¿pero alguien me va a venir a inspeccionar?", la respuesta es: sí, la AESIA existe para eso. Que sea nueva no significa que no actúe — la AEPD tardó poco en multar por RGPD. Tu diagnóstico les protege.
¿Qué es?
El NIST AI Risk Management Framework es el marco de gestión de riesgos de IA del gobierno de Estados Unidos (National Institute of Standards and Technology). Publicado en 2023, es voluntario pero muy usado por empresas tecnológicas globales.
Las 4 funciones del NIST AI RMF
Estructura organizativa, políticas y cultura de gestión de riesgos de IA
Identificar y categorizar riesgos de IA en contexto
Analizar y evaluar la severidad de los riesgos identificados
Priorizar y tratar los riesgos con planes de acción concretos
¿Por qué te importa si trabajas en España?
Si tu cliente es una multinacional o tiene sede en EE.UU., puede pedirte alineación con el NIST RMF además del AI Act. Conocerlo te diferencia. Además, su estructura (Govern-Map-Measure-Manage) es una metodología excelente para organizar tu propio servicio.
Marcos normativos y estándares
Una visión holística de todos los marcos que necesitas conocer y cómo se relacionan entre sí.
RGPD aprobado
Entra en vigor en 2018. Primera regulación europea de referencia global en datos.
Propuesta AI Act
La Comisión Europea presenta la primera propuesta de regulación de IA del mundo.
ISO 42001 publicada — NIST AI RMF publicado
Dos marcos de referencia globales para gestión de IA en el mismo año.
AI Act en vigor
Publicación en el Diario Oficial de la UE. Comienza el período transitorio. Nace la AESIA.
Prohibiciones aplicables
Sistemas de riesgo prohibido son ilegales. Primer hito real del AI Act.
Obligaciones alto riesgo
La fecha más importante para PYMEs. Ventana comercial activa.
Aplicación completa del AI Act
Todas las disposiciones del reglamento plenamente aplicables.
Se superponen cuando la IA trata datos personales
Un sistema de RRHH con IA que analiza CVs debe cumplir ambos: el AI Act por ser alto riesgo, y el RGPD porque trata datos de candidatos. En este caso necesitas documentación de las dos normativas y coordinar entre AESIA y AEPD.
La ISO facilita el cumplimiento del AI Act
Implementar ISO 42001 crea la estructura de gestión que el AI Act requiere para sistemas de alto riesgo. No es obligatoria, pero una empresa certificada en ISO 42001 tiene el 80% del AI Act cubierto. Úsalo como upsell.
Sectores críticos tienen doble obligación
Energía, agua, transporte, sanidad: están regulados por NIS2 (ciberseguridad) y por el AI Act (si usan IA en infraestructuras). Empresas de estos sectores necesitan cumplir los dos reglamentos.
El NIST como metodología, el AI Act como ley
Puedes usar la estructura Govern-Map-Measure-Manage del NIST como metodología de trabajo para cumplir el AI Act. Especialmente útil con clientes que tienen operaciones en EE.UU. o que ya conocen el NIST.
Organismos e instituciones
Todos los actores del ecosistema de gobernanza de IA, su jurisdicción y recursos oficiales.
AESIA — Agencia Española de Supervisión de la IA
Autoridad de control del AI Act en España. Supervisa el cumplimiento, realiza inspecciones e impone sanciones. Creada en 2024, sede en A Coruña.
AEPD — Agencia Española de Protección de Datos
Supervisora del RGPD en España. Coordina con AESIA cuando los sistemas de IA tratan datos personales. Una de las agencias más activas de Europa en sanciones.
ENIA — Estrategia Nacional de Inteligencia Artificial
Plan del Gobierno español para el desarrollo y adopción responsable de la IA. Define inversiones, formación, ética y marco de referencia nacional. No es regulación sino política pública de impulso.
INCIBE — Instituto Nacional de Ciberseguridad
Referente en ciberseguridad para empresas y ciudadanos. Coordina con AESIA en casos donde la IA tiene riesgos de seguridad. Relevante para clientes en sectores críticos.
UNE — Asociación Española de Normalización
Organismo que publica las normas técnicas en España, incluyendo la versión española de la ISO 42001. Punto de referencia para certificaciones de IA.
ENAC — Entidad Nacional de Acreditación
Acredita a los organismos de certificación que pueden certificar empresas en ISO 42001 en España. Si tu cliente quiere certificarse, pasa por ENAC.
Comisión Europea — DG CNECT
Órgano que propuso y aprobó el AI Act. La DG CNECT (Dirección General de Redes de Comunicación, Contenido y Tecnología) es responsable de la política de IA europea. Publica guías de implementación.
AI Office — Oficina Europea de IA
Creada dentro de la Comisión Europea en 2024. Supervisa modelos de IA de propósito general (como GPT-4), coordina las autoridades nacionales y elabora los códigos de conducta del AI Act.
EDPB — Comité Europeo de Protección de Datos
Coordina la aplicación del RGPD en toda la UE. Emite directrices sobre el uso de IA que trata datos personales. Sus opiniones vinculan a la AEPD española.
FRA — Agencia de Derechos Fundamentales de la UE
Evalúa el impacto de la IA en derechos humanos. Sus informes influyen en la interpretación del AI Act, especialmente en sistemas de alto riesgo que afectan a personas.
CEN/CENELEC
Organismos europeos de normalización que desarrollan los estándares técnicos armonizados del AI Act. Las normas que elaboren serán referencia para demostrar cumplimiento.
AI Board — Consejo Europeo de IA
Foro de coordinación entre las autoridades nacionales de IA (AESIA y sus equivalentes en otros países). Define posiciones comunes y resuelve discrepancias entre estados miembros.
NIST — National Institute of Standards and Technology
Desarrolló el AI Risk Management Framework (AI RMF), adoptado por miles de empresas globalmente. No es regulador pero sus marcos son de referencia mundial.
ISO/IEC JTC 1/SC 42
Subcomité de ISO responsable de estándares de inteligencia artificial. Publicó la ISO 42001 y desarrolla más estándares de IA. Sus normas son reconocidas globalmente.
OCDE — Principios de IA
Los Principios de IA de la OCDE (2019) fueron los primeros adoptados intergubernamentalmente. Influenciaron directamente el AI Act europeo. 42 países los han adoptado.
ICO + DSIT (UK)
Tras el Brexit, el UK tiene su propio enfoque: más flexible y basado en principios. El ICO supervisa IA y datos, DSIT lidera la política. Relevante para empresas con operaciones en UK.
CAC — Cyberspace Administration of China
Regula la IA en China con enfoque sectorial: reglas específicas para IA generativa, recomendadores algorítmicos y deepfakes. Relevante para empresas con operaciones en Asia.
Convenio Marco de IA — Consejo de Europa
Primer tratado internacional legalmente vinculante sobre IA, firmado en 2024. Complementa al AI Act con principios de derechos humanos, democracia y estado de derecho.
Test de conocimiento
Pon a prueba lo que has aprendido. Las preguntas cubren todos los temas del AI Act.
Guión de diagnóstico — 90 minutos
El script completo para ejecutar el Diagnóstico de Riesgo AI Act con un cliente. Sigue el orden.
Cómo usar este guión: Cada sección tiene preguntas guía y un checklist de lo que debes descubrir. Las preguntas son orientativas — adáptalas al lenguaje del cliente. No uses jerga técnica.
Presentación y contexto (0-10 min)
~10 minObjetivo: Entender el negocio antes de hablar de IA.
→ "¿A qué se dedica exactamente la empresa?"
→ "¿Cuántas personas trabajan? ¿Tienen sede en otros países de la UE?"
→ "¿Han escuchado hablar del AI Act antes de hoy?"
→ "¿Qué les motivó a pedir este diagnóstico?"
Inventario de sistemas de IA (10-35 min)
~25 minObjetivo: Identificar TODOS los sistemas de IA que usan, incluso los que no saben que son IA.
→ "¿Usan alguna herramienta de inteligencia artificial? Por ejemplo ChatGPT, Copilot, Gemini..."
→ "¿Tienen chatbot en su web?"
→ "¿Usan IA en sus procesos de selección de personal? ¿Algún software de RRHH con funciones automáticas?"
→ "¿Su CRM o ERP tiene funciones de predicción o recomendación automática?"
→ "¿Generan contenido (texto, imágenes, vídeo) con IA para marketing o comunicación?"
→ "¿Usan IA para analizar datos de clientes o predecir comportamientos?"
Clasificación de riesgo (35-55 min)
~20 minObjetivo: Clasificar cada sistema identificado en el semáforo de riesgo.
→ Para cada sistema: aplica las 4 preguntas de clasificación:
→ ¿Está en la lista de sistemas prohibidos del Art. 5? (scoring social, biometría en público, manipulación...)
→ ¿Está en el Anexo III de alto riesgo? (RRHH, crédito, educación, infraestructuras...)
→ ¿Interactúa con personas haciéndose pasar por humano? (chatbot → riesgo limitado)
→ Si no aplica ninguno de los anteriores → riesgo mínimo
Evaluación de brechas (55-75 min)
~20 minObjetivo: Para cada sistema de alto riesgo, verificar qué documentación existe y qué falta.
→ "¿Tienen algún documento que describa cómo funciona este sistema?"
→ "¿Hay alguien responsable de supervisar las decisiones que toma la IA?"
→ "¿Se guarda algún registro de las decisiones automáticas?"
→ "¿Tienen política interna de uso de IA?"
→ "¿Han realizado alguna evaluación de riesgos?"
Cierre y próximos pasos (75-90 min)
~15 minObjetivo: Presentar un avance del semáforo y abrir la conversación sobre el siguiente servicio.
→ Presenta verbalmente la clasificación: "Tienen X sistemas de riesgo mínimo, Y de riesgo limitado, Z de alto riesgo."
→ "Las brechas principales que hemos detectado son..."
→ "El plazo crítico es agosto 2026. Eso les da N meses para actuar."
→ "El siguiente paso natural sería el Plan de Cumplimiento en 90 días, que cubre exactamente estas brechas."
Nota legal: Este guión es una herramienta de consultoría, no asesoramiento jurídico. Para casos con sistemas prohibidos o situaciones complejas, recomienda siempre al cliente consultar con un abogado especializado.
Informe de Diagnóstico de Riesgo AI Act
Rellena los campos y genera tu informe listo para entregar al cliente.
1. Datos del cliente
2. Semáforo de cumplimiento
Indica el número de sistemas identificados en cada categoría:
🔴 Prohibido
🟠 Alto riesgo
🟡 Limitado
🟢 Mínimo