14 min lecturaAI Act

Quién debe adecuarse al AI Act: guía para empresas, desarrolladores y usuarios profesionales de IA

Cómo saber si una organización actúa como proveedor, desplegador, importador, distribuidor o usuario profesional bajo el AI Act.

AIA Human Reviewed

En este articulo

AI ActGobernanza IAEmpresas

El AI Act no afecta únicamente a “empresas que crean inteligencia artificial”. Esa es una de las confusiones más habituales. El Reglamento europeo de IA se aplica a un ecosistema mucho más amplio: empresas que desarrollan IA, empresas que integran IA en productos, organizaciones que usan IA en procesos internos, proveedores de modelos de propósito general, distribuidores, importadores, fabricantes de productos con IA y, en determinados casos, entidades situadas fuera de la Unión Europea.

La idea central es sencilla: no importa solo quién programa el sistema, sino qué papel ocupa cada organización en la cadena de valor de la IA y qué impacto puede tener ese sistema sobre las personas.

El Reglamento (UE) 2024/1689, conocido como AI Act, entró en vigor el 1 de agosto de 2024. Sus obligaciones se aplican de forma progresiva: las prácticas prohibidas y la alfabetización en IA comenzaron a aplicarse desde el 2 de febrero de 2025; las obligaciones para modelos de propósito general —GPAI— desde el 2 de agosto de 2025; y el régimen completo se despliega por fases, con especial relevancia para sistemas de alto riesgo. La Comisión Europea ha actualizado además el calendario tras el paquete de simplificación y el acuerdo político de mayo de 2026, situando ciertas obligaciones de alto riesgo en 2 de diciembre de 2027 y los sistemas integrados en productos regulados en 2 de agosto de 2028. (digital-strategy.ec.europa.eu)

1. La pregunta correcta no es “¿uso IA?”, sino “¿qué papel tengo?”

Una empresa puede estar afectada por el AI Act aunque no haya entrenado ningún modelo propio. Basta con que use, integre, distribuya, importe, comercialice o ponga en servicio un sistema de IA dentro del mercado europeo o con efectos en la Unión Europea.

El artículo 2 del AI Act establece que el Reglamento se aplica, entre otros, a proveedores que introducen sistemas de IA o modelos de propósito general en el mercado de la Unión, desplegadores ubicados en la UE, proveedores y desplegadores de terceros países cuando el resultado del sistema se utilice en la Unión, importadores, distribuidores, fabricantes de productos que incorporan IA bajo su propio nombre o marca, representantes autorizados y personas afectadas situadas en la UE. (ai-act-service-desk.ec.europa.eu)

Traducido a lenguaje empresarial: puedes estar dentro del AI Act si vendes IA, si usas IA, si integras IA en un producto, si compras IA a un proveedor externo, si automatizas decisiones relevantes o si tus sistemas producen efectos sobre ciudadanos, trabajadores, consumidores o usuarios europeos.

2. Proveedor de IA: quien crea, encarga o comercializa un sistema bajo su nombre

El provider o proveedor es una de las figuras más exigidas por el AI Act. No es solo quien “programa” el sistema. También puede ser proveedor quien encarga a un tercero el desarrollo de un sistema de IA y luego lo comercializa, lo pone en servicio o lo ofrece bajo su propia marca.

Una empresa será normalmente proveedor si:

  • desarrolla una solución de IA propia;
  • entrena, ajusta o adapta un modelo para venderlo o explotarlo;
  • comercializa un software con funcionalidades de IA bajo su nombre;
  • ofrece una plataforma SaaS con IA a clientes;
  • incorpora IA en un producto y lo lanza al mercado;
  • pone en servicio un sistema de IA para terceros, aunque sea gratuito.

Ejemplos claros:

Una startup que crea una herramienta de selección automática de candidatos es proveedor. Una empresa SaaS que ofrece un sistema de scoring de riesgo financiero es proveedor. Una healthtech que integra IA en software médico puede ser proveedor de un sistema de alto riesgo. Una compañía que desarrolla un chatbot jurídico para empresas también puede ser proveedor, aunque use por debajo modelos de OpenAI, Anthropic, Mistral, Google u otros.

La clave no está solo en “haber creado el modelo desde cero”, sino en poner en el mercado o en servicio un sistema de IA bajo tu responsabilidad, nombre o marca.

3. Deployer o desplegador: quien usa IA profesionalmente bajo su autoridad

El deployer es la figura que más afecta a empresas tradicionales. Es la organización que usa un sistema de IA en su actividad profesional. No lo ha creado necesariamente, pero lo utiliza para operar, decidir, priorizar, clasificar, evaluar, atender, recomendar o automatizar tareas.

Una empresa puede ser deployer si usa IA para:

  • filtrar currículums;
  • evaluar empleados;
  • hacer scoring de clientes;
  • priorizar tickets de soporte;
  • automatizar respuestas a usuarios;
  • detectar fraude;
  • analizar documentos legales;
  • tomar decisiones de crédito;
  • asignar recursos públicos o privados;
  • evaluar alumnos;
  • generar contenido dirigido al público;
  • clasificar reclamaciones;
  • apoyar diagnósticos, tratamientos o decisiones sanitarias;
  • gestionar accesos, vigilancia o identificación biométrica.

Este punto es esencial: usar una herramienta comercial de IA no elimina responsabilidad. Si una empresa utiliza IA en un contexto profesional, especialmente si afecta a personas, debe entender su rol, documentar el uso, formar a su equipo, controlar riesgos y, en determinados casos, cumplir obligaciones específicas.

No es lo mismo que un empleado use IA para resumir un texto interno que usar IA para excluir candidatos de un proceso de selección. El primer caso puede ser de riesgo bajo o limitado. El segundo puede entrar en alto riesgo, porque afecta al acceso al empleo, a derechos y a oportunidades profesionales.

4. Empresas que usan ChatGPT, Copilot, Gemini, Claude u otras herramientas: ¿también deben adecuarse?

Depende del uso.

Una empresa que usa herramientas de IA generativa para tareas de productividad —resumir reuniones, redactar borradores, traducir textos, generar ideas— normalmente no tendrá las mismas obligaciones que un proveedor de sistemas de alto riesgo. Pero eso no significa que no tenga ninguna obligación.

Desde febrero de 2025, el AI Act exige también AI literacy, es decir, que proveedores y desplegadores adopten medidas para asegurar un nivel suficiente de alfabetización en IA entre su personal y otras personas que operen o usen sistemas de IA en su nombre. (digital-strategy.ec.europa.eu)

En la práctica, cualquier empresa que use IA de forma profesional debería tener, como mínimo:

  • una política interna de uso de IA;
  • criterios sobre qué datos se pueden introducir en herramientas externas;
  • formación básica para empleados;
  • control sobre usos prohibidos o sensibles;
  • revisión de proveedores;
  • registro de casos de uso relevantes;
  • evaluación de riesgos cuando la IA afecte a personas;
  • medidas de seguridad, privacidad y confidencialidad.

Dicho de forma sencilla: usar IA para productividad no convierte automáticamente a una empresa en entidad de alto riesgo, pero sí exige gobernanza mínima, criterio y control.

5. Importadores, distribuidores y fabricantes: el AI Act también afecta a la cadena comercial

El Reglamento no se limita a desarrolladores y usuarios finales. También afecta a quienes introducen o distribuyen sistemas de IA en el mercado europeo.

Un importador puede ser una empresa europea que introduce en la UE un sistema de IA desarrollado fuera de Europa.

Un distribuidor puede ser una entidad que comercializa, revende o pone a disposición un sistema de IA sin ser necesariamente su desarrollador original.

Un fabricante de producto puede quedar afectado cuando incorpora un sistema de IA en un producto físico o software regulado y lo comercializa bajo su nombre o marca.

Esto es especialmente importante en sectores como:

  • dispositivos médicos;
  • maquinaria;
  • juguetes conectados;
  • automoción;
  • ascensores;
  • robótica;
  • sistemas industriales;
  • seguridad;
  • productos con componentes biométricos;
  • dispositivos de salud o bienestar con algoritmos de recomendación o evaluación.

La Comisión Europea distingue expresamente los sistemas de alto riesgo usados en áreas sensibles de aquellos integrados en productos sometidos a legislación armonizada de seguridad. Para estos últimos, el calendario de aplicación se ha extendido hasta el 2 de agosto de 2028, según la actualización de la Comisión. (digital-strategy.ec.europa.eu)

6. Empresas fuera de Europa: el AI Act también puede aplicarles

El AI Act tiene alcance extraterritorial. Una empresa no necesita estar ubicada en España, Francia, Alemania o cualquier otro Estado miembro para quedar afectada.

Puede estar obligada si:

  • pone en el mercado de la UE un sistema de IA;
  • ofrece un modelo de propósito general en la UE;
  • presta servicios de IA a clientes europeos;
  • genera resultados que se usan en la Unión Europea;
  • vende software con IA a empresas europeas;
  • permite que sus sistemas afecten a usuarios, consumidores o trabajadores situados en la UE.

Esto afecta directamente a proveedores tecnológicos de Estados Unidos, Reino Unido, Suiza, Latinoamérica, Asia o cualquier otra jurisdicción cuando sus sistemas se comercializan o producen efectos en la UE.

La lógica es parecida a otras regulaciones europeas: si impactas el mercado europeo o a personas dentro de la UE, no basta con decir que tu empresa está fuera.

7. No todos los sistemas de IA tienen el mismo nivel de obligación

El AI Act sigue un enfoque basado en riesgo. La Comisión Europea distingue cuatro grandes niveles: riesgo inaceptable, alto riesgo, riesgo de transparencia y riesgo mínimo o nulo. (digital-strategy.ec.europa.eu)

a) Riesgo inaceptable: sistemas prohibidos

Algunos usos de IA están directamente prohibidos porque se consideran una amenaza clara para la seguridad, los derechos o los medios de vida de las personas.

Entre las prácticas prohibidas se incluyen, por ejemplo, la manipulación dañina, la explotación de vulnerabilidades, ciertos sistemas de social scoring, determinadas formas de predicción individual de delitos, scraping indiscriminado para crear bases de datos faciales, reconocimiento de emociones en trabajo y educación, categorización biométrica para inferir características protegidas y ciertos usos de identificación biométrica remota en tiempo real por fuerzas de seguridad. (digital-strategy.ec.europa.eu)

Para una empresa, esto significa que lo primero no es documentar: es descartar que el caso de uso entre en una práctica prohibida.

b) Alto riesgo: sistemas permitidos, pero fuertemente regulados

Los sistemas de alto riesgo no están prohibidos, pero deben cumplir obligaciones estrictas antes de ponerse en el mercado o utilizarse.

La Comisión incluye como ejemplos sistemas de IA en infraestructuras críticas, educación, empleo, acceso a servicios esenciales, scoring crediticio, biometría, law enforcement, migración, justicia y procesos democráticos. (digital-strategy.ec.europa.eu)

En estos casos, la adecuación puede requerir:

  • sistema de gestión de riesgos;
  • gobernanza y calidad de datos;
  • documentación técnica;
  • registro automático de logs;
  • instrucciones de uso;
  • supervisión humana;
  • precisión, robustez y ciberseguridad;
  • monitorización post-comercialización;
  • gestión de incidentes;
  • evaluación de impacto en derechos fundamentales en determinados casos;
  • controles contractuales entre proveedor y deployer.

Aquí entran muchos casos empresariales relevantes: recursos humanos, educación, banca, seguros, salud, infraestructuras, sector público, legaltech, vigilancia, biometría y sistemas de decisión automatizada con impacto significativo.

c) Riesgo de transparencia: informar cuando una persona interactúa con IA

Algunos sistemas no son necesariamente de alto riesgo, pero sí requieren transparencia. Por ejemplo, un chatbot debe informar a la persona de que está interactuando con una máquina, salvo que resulte evidente por el contexto. También existen obligaciones sobre contenido generado por IA, deepfakes y ciertos textos publicados para informar sobre asuntos de interés público. (digital-strategy.ec.europa.eu)

Esto afecta a marketing, atención al cliente, medios, plataformas digitales, departamentos de comunicación, generación de imágenes, vídeos, voces sintéticas y automatización de contenidos.

d) Riesgo mínimo o nulo: sin obligaciones específicas del AI Act, pero no sin responsabilidad

La mayoría de sistemas de IA usados en la UE se consideran de riesgo mínimo o nulo. La Comisión cita ejemplos como filtros de spam o videojuegos con IA. En estos casos, el AI Act no introduce obligaciones específicas, aunque las empresas pueden adoptar códigos de conducta voluntarios. (digital-strategy.ec.europa.eu)

Pero cuidado: que un uso sea de bajo riesgo bajo el AI Act no significa que no existan otras normas aplicables. Pueden seguir aplicando RGPD, propiedad intelectual, secreto empresarial, ciberseguridad, normativa laboral, consumidores, competencia, producto o sectorial.

8. Modelos de propósito general: OpenAI, Google, Anthropic, Meta, Mistral y otros proveedores GPAI

El AI Act regula también los General-Purpose AI Models, conocidos como GPAI models. Son modelos capaces de realizar una amplia variedad de tareas y que pueden integrarse en múltiples sistemas posteriores. La Comisión señala que estos modelos pueden convertirse en base de muchos sistemas de IA dentro de la UE y, cuando son muy capaces o ampliamente utilizados, pueden presentar riesgos sistémicos. (digital-strategy.ec.europa.eu)

Los proveedores de modelos GPAI tienen obligaciones específicas de transparencia, documentación, copyright y, si el modelo presenta riesgo sistémico, evaluación y mitigación de riesgos. Las reglas de GPAI son aplicables desde agosto de 2025. (digital-strategy.ec.europa.eu)

Para la mayoría de empresas españolas, esto tiene una consecuencia práctica: aunque no sean proveedoras de GPAI, sí deben revisar qué modelo usan, bajo qué condiciones, con qué garantías, dónde se procesan los datos, qué documentación proporciona el proveedor y si el sistema final construido sobre ese modelo puede convertirse en alto riesgo.

9. Casos típicos: quién debe adecuarse y con qué intensidad

Una empresa que solo usa IA para redactar borradores internos debe adecuarse de forma ligera: política interna, formación, seguridad de datos, revisión de herramientas y trazabilidad básica.

Una empresa que usa IA en atención al cliente debe revisar transparencia, protección de datos, escalado a humanos, calidad de respuestas, logs, supervisión y gestión de errores.

Una empresa que usa IA para filtrar candidatos debe tratarlo como un caso potencialmente de alto riesgo: documentación, supervisión humana, análisis de sesgos, instrucciones de uso, evaluación de impacto, control de proveedores y evidencias.

Una empresa que desarrolla una solución SaaS con IA para vender a terceros debe analizar si actúa como proveedor, documentar el sistema, clasificar el riesgo, preparar información para deployers y establecer procesos de monitorización.

Una empresa que integra un modelo fundacional en un producto propio no puede limitarse a decir “la IA es de otro proveedor”. Puede tener obligaciones sobre el sistema final, especialmente si lo comercializa bajo su marca o lo configura para un uso específico.

Una administración pública que usa IA para priorizar ayudas, inspecciones, expedientes o acceso a servicios esenciales debe realizar un análisis especialmente riguroso, porque puede afectar derechos, garantías procedimentales, transparencia y no discriminación.

Una empresa fuera de la UE que vende un sistema de IA a clientes europeos también debe analizar el AI Act, porque el Reglamento puede aplicarle aunque no tenga sede europea.

10. Quién no está normalmente obligado

No todo uso de IA cae dentro del AI Act en sentido operativo.

Normalmente no estará obligado quien use IA en un contexto personal y no profesional. Por ejemplo, una persona que usa un chatbot para organizar un viaje, resumir un libro o generar ideas personales no es deployer a efectos empresariales.

También existen exclusiones relevantes para determinados usos militares, defensa o seguridad nacional, y para actividades de investigación, prueba o desarrollo antes de la puesta en el mercado o puesta en servicio, con matices importantes. El propio artículo 2 recoge exclusiones y límites al ámbito de aplicación. ([aiact-info.eu][3])

Pero en empresa conviene no abusar de esta excepción: un piloto interno puede parecer “investigación”, pero si se usa en condiciones reales, afecta a personas o se integra en procesos operativos, puede dejar de ser una simple prueba.

11. La adecuación no es igual para todos: hay que hacer un inventario de casos de uso

La forma seria de abordar el AI Act no es empezar escribiendo políticas genéricas. Es empezar con un inventario de sistemas y casos de uso de IA.

Para cada caso de uso hay que responder:

  1. ¿Existe realmente un sistema de IA según la definición del AI Act?
  2. ¿Qué rol tiene la organización: proveedor, deployer, importador, distribuidor, fabricante, representante?
  3. ¿Dónde está la organización y dónde se usa el resultado?
  4. ¿Afecta a personas físicas, trabajadores, clientes, alumnos, pacientes, ciudadanos o consumidores?
  5. ¿Entra en una práctica prohibida?
  6. ¿Puede ser sistema de alto riesgo?
  7. ¿Tiene obligaciones de transparencia?
  8. ¿Usa modelos GPAI?
  9. ¿Qué datos procesa?
  10. ¿Qué evidencias, controles y responsables existen?

Este inventario es la base de toda adecuación. Sin inventario, la empresa no sabe qué tiene. Y si no sabe qué tiene, no puede clasificar riesgos ni demostrar cumplimiento.

12. Conclusión: deben adecuarse muchas más organizaciones de las que creen

Deben adecuarse al AI Act, en mayor o menor medida, todas las organizaciones que participen profesionalmente en el ciclo de vida de sistemas de IA con conexión con la Unión Europea: quienes los desarrollan, quienes los comercializan, quienes los integran, quienes los importan, quienes los distribuyen y quienes los usan en procesos empresariales o institucionales.

La intensidad de la adecuación dependerá del rol y del riesgo. No necesita el mismo nivel de cumplimiento una pyme que usa IA para redactar emails que una empresa que automatiza selección de personal, scoring crediticio o decisiones sanitarias. Pero ambas deberían tener criterio, formación y control.

La frase clave sería esta:

El AI Act no obliga a todas las empresas por igual, pero casi cualquier empresa que use IA de forma profesional debería, como mínimo, identificar sus casos de uso, clasificarlos por riesgo, formar a su equipo y documentar las decisiones esenciales.

En la práctica, la adecuación al AI Act no debe entenderse solo como una carga legal. Bien planteada, puede convertirse en una ventaja competitiva: permite usar IA con más seguridad, seleccionar mejor proveedores, reducir riesgos reputacionales, proteger datos, evitar automatizaciones peligrosas y demostrar a clientes, empleados e inversores que la organización no solo “usa IA”, sino que la gobierna con criterio.

Referencias

  1. digital-strategy.ec.europa.eu
  2. ai-act-service-desk.ec.europa.eu