En una frase. El Reglamento (UE) 2024/1689 de Inteligencia Artificial se aplica de forma escalonada —prohibiciones desde febrero de 2025, modelos de propósito general desde agosto de 2025 y sistemas de alto riesgo desde agosto de 2026—, clasifica los sistemas por nivel de riesgo, reparte obligaciones entre proveedor e implementador y designa en España a la AESIA como autoridad de vigilancia.
El reglamento de inteligencia artificial es la primera norma horizontal del mundo sobre IA y ya está en vigor. No sustituye al RGPD: se aplica de forma acumulativa cuando un sistema de IA trata datos personales. Esta guía sitúa a la empresa española: qué obligaciones nacen según el papel que juega, cuándo entran en vigor y cómo encaja el ecosistema regulatorio nacional, con la AESIA a la cabeza y una ley de gobernanza de la IA en tramitación.
Puntos clave
- El Reglamento (UE) 2024/1689 entró en vigor el 1 de agosto de 2024 y se aplica por fases.
- Sigue un enfoque por niveles de riesgo: prohibido, alto riesgo, riesgo limitado y riesgo mínimo.
- Las obligaciones dependen del rol: proveedor (quien desarrolla) e implementador (quien usa) tienen deberes distintos.
- España creó la AESIA, primera agencia nacional de supervisión de la IA de la UE, con sede en A Coruña.
- Las sanciones alcanzan 35 millones de euros o el 7 % del volumen de negocio para las prácticas prohibidas.
1. El enfoque por niveles de riesgo
El reglamento no regula la tecnología en abstracto, sino su uso, y gradúa las obligaciones según el riesgo:
| Nivel | Ejemplos | Régimen |
|---|---|---|
| Prohibido | Puntuación social, manipulación subliminal, categorización biométrica sensible | Vedado desde feb. 2025 |
| Alto riesgo | RRHH, scoring crediticio, educación, biometría (Anexo III) | Obligaciones plenas |
| Riesgo limitado | Chatbots, deepfakes | Transparencia (art. 50) |
| Riesgo mínimo | Filtros de spam, videojuegos | Sin obligaciones específicas |
El grueso de la carga recae en los sistemas de alto riesgo, que deben cumplir requisitos de gestión de riesgos, gobernanza de datos, documentación técnica, supervisión humana y ciberseguridad.
2. Calendario de aplicación
La aplicación es escalonada y conviene tenerla clara para planificar:
- 2 de febrero de 2025: entran en vigor las prohibiciones y la obligación de alfabetización en IA (art. 4).
- 2 de agosto de 2025: obligaciones de los modelos de propósito general (GPAI), gobernanza y régimen sancionador.
- 2 de agosto de 2026: obligaciones de los sistemas de alto riesgo del Anexo III.
- 2 de agosto de 2027: alto riesgo asociado a productos regulados (Anexo I).
Esto significa que en 2026 las empresas con sistemas de RRHH, crédito o biometría afrontan el hito más exigente.
3. Obligaciones por rol: proveedor e implementador
El reglamento distingue papeles, igual que el RGPD separa responsable y encargado:
- El proveedor desarrolla o comercializa el sistema. Asume el grueso de obligaciones de alto riesgo: sistema de gestión de riesgos (art. 9), gobernanza de datos (art. 10), documentación técnica (art. 11), supervisión humana (art. 14), registro en la base de datos de la UE (art. 49).
- El implementador (deployer) usa el sistema bajo su autoridad. Debe garantizar el uso conforme a las instrucciones, la supervisión humana efectiva y, en determinados casos, una evaluación de impacto sobre los derechos fundamentales (FRIA) del art. 27.
Cuando el sistema trata datos personales, la FRIA se solapa con la evaluación de impacto del RGPD (EIPD) y con el registro de actividades de tratamiento: ambos ejercicios deben articularse, no duplicarse.
4. El ecosistema español: AESIA y la ley de gobernanza
España se adelantó al resto de la UE creando la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) mediante el Real Decreto 729/2023, con sede en A Coruña. Es la primera autoridad nacional de este tipo en la Unión y actuará como autoridad de vigilancia del mercado de IA. España también puso en marcha un entorno de pruebas (sandbox) regulatorio para acompañar a las empresas antes de la plena exigibilidad.
El reparto competencial no es trivial: cuando la IA trata datos personales, la AEPD conserva su competencia sobre el tratamiento, mientras la AESIA supervisa el cumplimiento del reglamento de IA. La coordinación entre ambas será clave. A ello se suma el anteproyecto de ley española de gobernanza de la IA, que fijará el régimen sancionador interno.
Este solapamiento de autoridades no es una anomalía española: refleja la arquitectura del propio reglamento, que se apoya en las autoridades nacionales existentes. El Comité Europeo de Protección de Datos (EDPB) y las autoridades de datos vienen recordando que el AI Act no relaja ninguna garantía del RGPD. Para una empresa, la lectura práctica es sencilla: un mismo sistema de IA puede acabar bajo el escrutinio simultáneo de la AESIA, por su condición de sistema de IA, y de la AEPD, por el tratamiento de datos que realiza. Diseñar el cumplimiento pensando en un solo interlocutor es un error frecuente que conviene evitar desde el inicio.
5. Cómo prepararse en 2026
El primer paso es un inventario de sistemas de IA: qué usa la organización, con qué finalidad y en qué papel actúa. A partir de ahí, clasificar cada sistema por nivel de riesgo y documentar. Las empresas que ya han madurado su cumplimiento RGPD parten con ventaja, porque la lógica de accountability es idéntica. Un software de cumplimiento que integre inventario, clasificación y documentación técnica reduce el coste de gobernar ambos marcos. Y para las entidades que además caen bajo NIS2, conviene alinear los tres regímenes desde el principio, evitando sorpresas como las que reflejan las sanciones de la AEPD.
Un error de calendario habitual es asumir que, como el grueso de las obligaciones de alto riesgo se aplica desde agosto de 2026, hay margen para no hacer nada antes. No lo hay. Las prohibiciones ya son exigibles desde febrero de 2025, la obligación de alfabetización en IA del art. 4 obliga a formar al personal desde esa misma fecha, y las obligaciones de los modelos de propósito general rigen desde agosto de 2025. Una empresa que despliegue hoy un sistema del Anexo III sin haber iniciado su clasificación y documentación llegará tarde a agosto de 2026, porque construir un sistema de gestión de riesgos y una documentación técnica conforme no es cuestión de semanas. El enfoque sensato es tratar 2026 como año de consolidación, no de arranque.
FAQ
¿El Reglamento de IA sustituye al RGPD?
No. Se aplican de forma acumulativa. Cuando un sistema de IA trata datos personales, deben cumplirse a la vez las obligaciones del reglamento de IA y las del RGPD. La AESIA supervisa la IA; la AEPD, el tratamiento de datos.
¿Qué obligaciones tengo en 2026 si solo uso IA de terceros?
Como implementador, debes usar el sistema conforme a las instrucciones del proveedor, garantizar supervisión humana y, para sistemas de alto riesgo en sectores como banca, seguros o sector público, realizar la evaluación de impacto sobre los derechos fundamentales del art. 27.
¿Qué es la AESIA y cuándo tendré que dirigirme a ella?
Es la Agencia Española de Supervisión de la Inteligencia Artificial, autoridad de vigilancia del mercado de IA en España. Las empresas se relacionarán con ella para registro, supervisión y, en su caso, procedimientos sancionadores relativos al reglamento de IA, a medida que las distintas fases se hagan exigibles.
¿Cuánto pueden costar las sanciones del Reglamento de IA?
Hasta 35 millones de euros o el 7 % del volumen de negocio anual mundial por las prácticas prohibidas; hasta 15 millones o el 3 % por incumplir otras obligaciones; y hasta 7,5 millones o el 1,5 % por suministrar información incorrecta a las autoridades.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial