El Reglamento de Inteligencia Artificial de la Unión Europea lleva en vigor desde agosto de 2024, pero su implementación ha sido gradual. Febrero de 2025 marcó la entrada en vigor de las prohibiciones absolutas. Agosto de 2025 trajo las obligaciones para los modelos de propósito general. Mayo de 2026 cierra el calendario de implementación principal con las normas que afectan a los sistemas de IA de alto riesgo en sectores críticos como sanidad, educación, empleo y administración pública.
Si llevas meses leyendo sobre el AI Act sin entender exactamente qué significa en la práctica para empresas y usuarios, este es el momento de clarificarlo. Las obligaciones que entran en vigor ahora son las más concretas y las que tienen mayor impacto operativo real.
Lo que ya estaba prohibido desde febrero de 2025
Para entender qué es nuevo en mayo, conviene tener claro el punto de partida. Desde febrero de 2025, el AI Act prohíbe de forma absoluta en toda la UE un conjunto de aplicaciones de IA que se consideran incompatibles con los derechos fundamentales:
Los sistemas de puntuación social operados por autoridades públicas para evaluar el comportamiento de personas y tomar decisiones basadas en ese historial. Es la respuesta directa al modelo chino de crédito social, pero la prohibición aplica a cualquier sistema similar independientemente del país de origen.
La manipulación subliminal mediante IA para alterar el comportamiento de personas sin que sean conscientes de ello y de forma que pueda causarles daño. La definición es amplia y ha generado incertidumbre en el sector publicitario sobre dónde trazar la línea.
El reconocimiento facial en tiempo real en espacios públicos con fines de identificación, con excepciones muy acotadas para búsqueda de personas desaparecidas, prevención de ataques terroristas inminentes y persecución de delitos graves con autorización judicial previa.
La categorización biométrica para inferir características como raza, creencias políticas, orientación sexual o religión a partir de datos biométricos.
Qué se suma en mayo de 2026
Las obligaciones que entran en vigor este mes afectan a sistemas de IA clasificados como de alto riesgo en áreas específicas. El concepto de alto riesgo en el AI Act es técnico y preciso: no depende de la percepción de riesgo sino de si el sistema pertenece a una de las categorías listadas en el Anexo III del reglamento.
Educación y formación profesional: los sistemas de IA que determinan el acceso a programas educativos, evalúan el rendimiento de estudiantes o toman decisiones que afectan a las trayectorias educativas pasan a estar sujetos a requisitos de transparencia, auditoría y supervisión humana obligatorios. Esto afecta directamente a herramientas de detección de plagio con IA, sistemas de evaluación automatizada y plataformas de admisión universitaria que usan modelos predictivos.
Empleo y gestión de trabajadores: los sistemas que criban currículums, toman decisiones de contratación o despido, asignan tareas o monitorizan el rendimiento de trabajadores requieren ahora un registro de conformidad, evaluación de impacto en derechos fundamentales y la posibilidad para los afectados de obtener una explicación de las decisiones automatizadas y solicitar revisión humana.
Servicios públicos esenciales: los sistemas que determinan el acceso a prestaciones sociales, servicios sanitarios o agua, gas y electricidad entran en la categoría de alto riesgo y deben cumplir con los requisitos de documentación técnica, gestión de riesgos y supervisión que el reglamento establece.
Aplicación de la ley y administración de justicia: aunque con más excepciones que los demás sectores, los sistemas de IA usados para evaluar el riesgo de reincidencia, detectar infracciones o apoyar decisiones judiciales están sujetos a los requisitos más estrictos del reglamento.
Las sanciones y quién las aplica
El AI Act establece sanciones de hasta 35 millones de euros o el 7% de la facturación global anual para infracciones de las prohibiciones absolutas. Para el incumplimiento de obligaciones de los sistemas de alto riesgo, el límite es 15 millones o el 3% de la facturación. Son cifras significativas, especialmente para empresas medianas.
La aplicación corresponde a las autoridades nacionales de cada estado miembro, que a su vez tienen que designar un organismo nacional de supervisión. En España, el organismo designado es la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña, que lleva operativa desde principios de 2025.
El problema es que los plazos de implementación se han solapado con una capacidad regulatoria aún en construcción. La Comisión Europea reconoció en su revisión de febrero que varios estados miembros tienen organismos nacionales de supervisión que no están completamente operativos. Eso no exime a las empresas de cumplir, pero sí significa que la aplicación activa de sanciones probablemente tarde en arrancar en toda su dimensión.
La Unión Europea ya lanzó su primera investigación formal bajo el AI Act contra un proveedor de modelos de propósito general en abril, como detallamos en su momento. Eso establece un precedente claro de que el mecanismo está activo, aunque los casos más complejos de sistemas de alto riesgo en sectores críticos tardarán más en llegar a sanciones formales.
Qué tienen que hacer las empresas ahora mismo
Para las organizaciones que usan o desarrollan IA en los sectores afectados, el primer paso es determinar si sus sistemas caen en la categoría de alto riesgo según el Anexo III. La Comisión Europea ha publicado guías de clasificación que ayudan a navegar esa determinación, aunque en varios casos los límites siguen siendo materia de interpretación.
Si el sistema es de alto riesgo, las obligaciones principales son: documentación técnica completa, sistema de gestión de riesgos activo durante todo el ciclo de vida del sistema, registro de eventos (logs) que permita trazar las decisiones del modelo, medidas para garantizar la supervisión humana efectiva y, en muchos casos, registro en la base de datos europea de sistemas de alto riesgo gestionada por la Comisión.
Para los proveedores de modelos de propósito general (los grandes LLMs como GPT, Claude o Gemini), las obligaciones del reglamento ya estaban en vigor desde agosto de 2025. Lo que entra ahora afecta principalmente a quienes despliegan esos modelos en aplicaciones de alto riesgo.
El AI Act no es perfecto y ha sido criticado desde múltiples ángulos: demasiado prescriptivo para algunos, con demasiadas excepciones para otros. Lo que sí es claro es que la regulación existe, tiene mecanismos de aplicación que se están activando y que ignorarla ya no es una opción para empresas que operan en la UE. La pregunta para cada organización es cuánto tiempo le llevó entender sus implicaciones concretas, porque ese tiempo ya se está agotando.
0 Comentarios