La EU AI Act ya es ley — ¿tu empresa cumple?
La primera regulación integral de inteligencia artificial del mundo ya tiene plazos activos. La formación en alfabetización IA es obligatoria desde febrero de 2025 (Artículo 4). Los sistemas de IA de alto riesgo deben cumplir en agosto de 2026. Las multas llegan hasta 35 M EUR o el 7% de la facturación global. Solo el 25% de las organizaciones tiene un programa de gobernanza IA implementado — y el 88% ya usa IA.
Qué incluye nuestro servicio
De inventario a cumplimiento documentado.
Cronología de la EU AI Act: plazos ya activos
Conoce qué aplica ahora y qué viene.
Febrero 2025 (YA ACTIVO): Alfabetización IA obligatoria para todo el personal (Art. 4) y prohibición de prácticas de IA inaceptables (manipulación subliminal, scoring social, vigilancia biométrica masiva). Agosto 2025 (YA ACTIVO): Obligaciones para modelos de IA de propósito general (GPAI) — transparencia, documentación técnica, cumplimiento copyright. Agosto 2026: El deadline principal — requisitos completos para sistemas de IA de alto riesgo: gestión de riesgos, calidad de datos, transparencia, supervisión humana, robustez. Agosto 2027: Obligaciones para productos regulados que integran IA (maquinaria, dispositivos médicos, juguetes).
Resumen ejecutivo
Lo que necesitas saber para actuar.
La EU AI Act ya tiene dos plazos activos: desde febrero de 2025 es obligatoria la formación en alfabetización IA (Art. 4) y están prohibidas las prácticas de IA inaceptables. Desde agosto de 2025, los modelos GPAI tienen obligaciones de transparencia. Agosto de 2026 es el deadline principal: los sistemas de IA de alto riesgo deben cumplir requisitos completos de gestión de riesgos, calidad de datos, transparencia y supervisión humana.
Las multas son las más severas del panorama regulatorio europeo: hasta 35 M EUR o el 7% de la facturación global (más que el RGPD). Solo el 25% de las organizaciones tiene un programa de gobernanza IA implementado, pese a que el 88% ya utiliza IA. El mercado de cumplimiento regulatorio IA se estima en 17.000 M EUR para 2030. No actuar ahora es exponerse a sanciones y perder ventaja competitiva frente a competidores que ya se están preparando.
Resumen para CTO / equipo técnico
Requisitos técnicos y framework de cumplimiento.
La EU AI Act exige un sistema de gestión de riesgos continuo para IA de alto riesgo: documentación del dataset de entrenamiento (procedencia, calidad, sesgos), métricas de rendimiento y equidad (fairness), logging de decisiones automatizadas, mecanismos de supervisión humana (human-in-the-loop), y pruebas de robustez ante adversarial attacks.
Para chatbots y funcionalidades IA visibles al usuario, la ley exige transparencia clara: el usuario debe saber que interactúa con IA, el contenido generado por IA debe identificarse como tal (incluidos deepfakes), y debe existir un mecanismo para solicitar intervención humana. Los modelos GPAI requieren documentación técnica completa incluyendo model cards.
¿Es para ti?
La EU AI Act afecta a toda organización que utilice o desarrolle sistemas de IA en el mercado europeo.
Para quién
- Empresas que usan chatbots, asistentes virtuales o IA generativa en atención al cliente.
- Organizaciones que usan IA para decisiones de RRHH (selección, evaluación de desempeño).
- Empresas financieras que usan IA para scoring de crédito o detección de fraude.
- Cualquier organización que utilice IA y tenga obligación de alfabetización IA (Art. 4).
- Proveedores de software que integran modelos de IA en sus productos.
- Empresas de salud que usan IA para diagnóstico, triaje o tratamiento.
Para quién no
- Sistemas de IA utilizados exclusivamente para investigación científica (exentos).
- IA de código abierto con riesgo mínimo y sin uso comercial directo.
- Sistemas de IA puramente militares o de defensa nacional (fuera del alcance de la EU AI Act).
Servicios de cumplimiento EU AI Act
Paquetes adaptados a cada fase del reglamento.
Formación en alfabetización IA
Obligación ya activa (Art. 4). Programa formativo adaptado al rol de cada empleado: qué es IA, cómo funciona, riesgos, uso ético, y obligaciones legales. Formato taller presencial o e-learning. Certificación de participación para documentación de cumplimiento.
Inventario y clasificación de riesgo
Mapeo completo de todos los sistemas de IA en uso (propios y de terceros). Clasificación por nivel de riesgo según el Anexo III: inaceptable, alto, limitado o mínimo. Identificación de gaps de cumplimiento y hoja de ruta priorizada.
Evaluación de impacto y documentación
Para sistemas de alto riesgo: evaluación de impacto en derechos fundamentales, documentación técnica conforme al Anexo IV (datos de entrenamiento, métricas, sesgos, medidas de mitigación), y preparación del expediente de conformidad.
Gobernanza y monitorización IA
Diseño e implementación de un programa de gobernanza IA: políticas internas, AI Risk Registry, comité de ética IA, workflows de aprobación para nuevos sistemas, y monitorización continua de rendimiento y equidad.
Compliance de chatbots y funcionalidades IA
Auditoría específica de chatbots, asistentes virtuales y funcionalidades de IA generativa: transparencia, identificación de contenido generado por IA, mecanismo de solicitud de intervención humana, y cumplimiento de obligaciones de sistemas de riesgo limitado.
Proceso de cumplimiento
De inventario a conformidad documentada.
Inventario
Mapeamos todos los sistemas de IA en tu organización: chatbots, modelos predictivos, herramientas de RRHH, scoring, automatizaciones. Incluimos IA de terceros (APIs de OpenAI, Google, Azure AI) que utilizáis.
Clasificación
Clasificamos cada sistema por nivel de riesgo según el Anexo III. Identificamos obligaciones específicas: transparencia para riesgo limitado, requisitos completos para alto riesgo, y verificación de que ningún sistema entra en prácticas prohibidas.
Remediación
Implementamos las medidas técnicas y organizativas necesarias: documentación técnica, evaluación de impacto, políticas de gobernanza, formación del equipo, mecanismos de supervisión humana, y logging de decisiones.
Documentación y monitorización
Preparamos el expediente de conformidad completo: documentación técnica (Anexo IV), evaluación de impacto, registro en la base de datos de la UE (para alto riesgo), y sistema de monitorización continua post-despliegue.
Riesgos que mitigamos
De la exposición regulatoria a la conformidad verificada.
Multas por incumplimiento (hasta 35 M EUR / 7% facturación)
Programa completo de cumplimiento: inventario, clasificación, documentación y monitorización. Expediente de conformidad listo para inspección regulatoria.
Incumplimiento de alfabetización IA (obligación ya activa)
Programa de formación adaptado a cada rol con certificación de participación. Contenido actualizado conforme a las directrices de la Oficina Europea de IA.
Sistemas de IA de alto riesgo sin documentar
Inventario exhaustivo + documentación técnica conforme al Anexo IV: datos de entrenamiento, métricas de rendimiento, análisis de sesgos, y medidas de mitigación.
Chatbots y IA generativa sin transparencia
Auditoría de todas las interfaces IA: identificación clara de interacción con IA, marcado de contenido generado, y mecanismo de solicitud de intervención humana.
Experiencia real en IA aplicada y cumplimiento
En Kiwop llevamos años desarrollando e integrando soluciones de IA para empresas: chatbots inteligentes, RAG empresarial, integración de LLMs, y automatización con IA. Esta experiencia técnica de primera mano nos permite entender la regulación desde la perspectiva del desarrollador — no solo del consultor legal. Sabemos qué implica cumplir porque construimos los sistemas que deben cumplir.
EU AI Act vs RGPD: qué cambia y qué se acumula
La EU AI Act no sustituye al RGPD — lo complementa.
Si tu organización ya cumple el RGPD, tienes una base, pero la EU AI Act añade requisitos específicos para sistemas de IA que el RGPD no cubre: clasificación de riesgo, documentación técnica del modelo, evaluación de sesgos algorítmicos, supervisión humana obligatoria, y transparencia específica de IA. Las multas de la EU AI Act son superiores al RGPD: hasta el 7% de facturación global vs 4% del RGPD. Ambas normativas se aplican simultáneamente — un chatbot que procesa datos personales debe cumplir con las dos.
Preguntas frecuentes
Lo que las empresas preguntan sobre la EU AI Act.
¿Qué es la EU AI Act y cuándo se aplica?
La EU AI Act (Reglamento 2024/1689) es la primera regulación integral de inteligencia artificial del mundo. Se aplica de forma escalonada: febrero 2025 (alfabetización IA + prácticas prohibidas), agosto 2025 (GPAI), agosto 2026 (IA de alto riesgo), y agosto 2027 (productos regulados). Aplica a cualquier organización que provea o utilice IA en el mercado de la UE.
¿Mi empresa ya tiene obligaciones activas?
Sí, desde febrero de 2025. El Artículo 4 obliga a todas las organizaciones que utilicen sistemas de IA a garantizar la alfabetización IA de su personal. Además, las prácticas de IA prohibidas (scoring social, manipulación subliminal, vigilancia biométrica masiva) ya no pueden utilizarse. Si usáis ChatGPT, Copilot, o cualquier IA — la formación es obligatoria.
¿Qué sistemas de IA se consideran de alto riesgo?
El Anexo III define las categorías: IA en selección y gestión de RRHH (filtrado de CVs, evaluación de desempeño), scoring de crédito y seguros, administración de justicia, control de fronteras, infraestructuras críticas, educación (admisiones, evaluaciones), y salud (diagnóstico, triaje). Si tu IA influye en decisiones que afectan derechos fundamentales de personas, probablemente es de alto riesgo.
¿Qué pasa con los chatbots y la IA generativa?
Los chatbots se clasifican como riesgo limitado con obligaciones de transparencia: el usuario debe saber que interactúa con IA, el contenido generado debe identificarse como tal (incluyendo deepfakes), y debe existir un mecanismo para solicitar intervención humana. Si el chatbot procesa datos personales, también aplica el RGPD.
¿Cuánto cuestan las multas?
Las multas son las más severas del panorama regulatorio europeo: hasta 35 M EUR o el 7% de la facturación global por uso de prácticas prohibidas. Para sistemas de alto riesgo sin cumplir: hasta 15 M EUR o el 3% de facturación. Para información incorrecta: hasta 7,5 M EUR o el 1%. Para pymes, las multas se calculan proporcionalmente.
¿Cuánto cuesta prepararse para cumplir?
Formación en alfabetización IA: desde 3.000 EUR (programa adaptado a la organización). Inventario + clasificación: desde 5.000 EUR. Programa completo de cumplimiento (inventario + documentación + gobernanza): desde 15.000 EUR. El coste depende del número de sistemas IA, complejidad y tamaño de la organización. Significativamente menor que una multa del 7% de facturación.
¿Necesito certificación ISO 42001?
No es obligatorio, pero es muy recomendable. ISO 42001 es el estándar internacional para sistemas de gestión de IA y está alineado con los requisitos de la EU AI Act. Tenerla demuestra diligencia debida ante reguladores y clientes. Preparamos tu organización para la certificación como parte del programa de gobernanza IA.
¿Cómo afecta a empresas fuera de la UE?
Igual que el RGPD: la EU AI Act se aplica a cualquier organización que provea o utilice sistemas de IA en el mercado de la UE, independientemente de su sede. Si tu empresa está en EE.UU. o Latinoamérica pero tienes clientes o usuarios en la UE, debes cumplir. Los importadores y distribuidores también tienen obligaciones específicas.
¿Qué diferencia hay entre proveedor y deployer?
El proveedor es quien desarrolla o encarga el sistema de IA (más obligaciones: documentación técnica, conformidad, monitorización). El deployer es quien lo utiliza en su negocio (obligaciones de supervisión humana, transparencia, evaluación de impacto). Muchas empresas son deployers de IA de terceros (OpenAI, Google, Microsoft) y tienen obligaciones propias que no pueden delegar al proveedor.
Inversión
Propuesta adaptada al alcance de tus sistemas de IA.
Agosto 2026 está a 6 meses — la formación IA ya es obligatoria
El 75% de las organizaciones que usan IA no tienen programa de gobernanza. Las multas llegan al 7% de facturación global. No esperes a la inspección: evalúa tu cumplimiento ahora.
Evaluar cumplimiento EU AI Act
Auditoría
técnica inicial.
IA, seguridad y rendimiento. Diagnóstico y propuesta cerrada por fases.
Tu primera reunión es con un Arquitecto de Soluciones, no con un comercial.
Solicitar diagnóstico