Diagnóstico gratuito

Glosario

25 definiciones clave del Reglamento

Obligaciones

24 artículos detallados con plazos

Calendario

Fechas clave de 2025 a 2027

Diagnóstico

Identifique sus obligaciones en 3 minutos

Funcionalidades

Documentación, diagnóstico, exportación PDF

Soberanía europea

Alojamiento 100% en Francia

FuncionalidadesPreciosBlogIniciar sesión
ai act août 2026systèmes ia haut risqueobligations ai actconformité ai act 2026annexe iii ai acttransparence ia

AI Act agosto 2026: qué cambia para los sistemas de IA de alto riesgo y las obligaciones de transparencia

9 de febrero de 202610 min20
AI Act agosto 2026: qué cambia para los sistemas de IA de alto riesgo y las obligaciones de transparencia

En bref

  • Plazo 2 de agosto de 2026: los sistemas de IA de alto riesgo (Anexo III) y las obligaciones de transparencia (Artículo 50) se vuelven plenamente aplicables
  • 8 áreas cubiertas: biometría, infraestructuras críticas, educación, empleo, servicios esenciales, aplicación de la ley, migración y justicia
  • Proveedores: 10 requisitos principales a cumplir, incluida la documentación técnica (Anexo IV), gestión de riesgos (Art. 9), marcado CE y registro en la base de datos de la UE
  • Desplegadores: supervisión humana, monitoreo operativo, conservación de registros y evaluación de impacto en los derechos fundamentales para organismos públicos
  • Transparencia general: chatbots, generadores de contenido y deepfakes sujetos a obligaciones de divulgación, independientemente del nivel de riesgo
  • Sanciones: hasta 15 millones de euros o 3% del volumen de negocios mundial por incumplimiento de sistemas de alto riesgo

En seis meses, el 2 de agosto de 2026, el Reglamento europeo sobre inteligencia artificial (Reglamento UE 2024/1689) se vuelve plenamente aplicable. Esta fecha marca la entrada en vigor simultánea de dos bloques principales: las obligaciones para los sistemas de IA de alto riesgo listados en el Anexo III, y las reglas de transparencia del Artículo 50. Para las empresas que desarrollan, importan o utilizan sistemas de IA en Europa, la cuenta regresiva ha comenzado — y el tiempo de preparación se cuenta ahora en semanas, no en años.

Por qué el 2 de agosto de 2026 es una fecha crucial

El AI Act entró en vigor el 1 de agosto de 2024, pero su aplicación sigue un calendario progresivo. Dos olas de obligaciones ya han pasado: la prohibición de prácticas de IA inaceptables desde febrero de 2025, y las reglas sobre modelos de IA de uso general (GPAI) desde agosto de 2025. La tercera ola, la del 2 de agosto de 2026, es la más pesada en términos de impacto operativo para las empresas.

Concretamente, tres cosas suceden en esta fecha:

  • Sistemas de IA de alto riesgo (Anexo III) — Los proveedores y desplegadores de sistemas de IA utilizados en ocho áreas sensibles deben cumplir todos los requisitos del Capítulo III del reglamento.
  • Obligaciones de transparencia (Artículo 50) — Cualquier sistema de IA que interactúe con personas, genere contenido sintético o produzca deepfakes debe cumplir reglas de divulgación y etiquetado.
  • Régimen de sanciones — Los Estados miembros deben haber transpuesto las reglas de sanciones, incluidas multas administrativas de hasta 15 millones de euros o 3% del volumen de negocios mundial.

Una cuarta ola seguirá en agosto de 2027 para sistemas de IA integrados en productos ya regulados (dispositivos médicos, juguetes, vehículos — Anexo I). Pero es agosto de 2026 el que constituye el cambio operativo principal.

Las 8 áreas de alto riesgo del Anexo III

El Anexo III del reglamento define ocho categorías de casos de uso para los cuales un sistema de IA es automáticamente considerado de alto riesgo. Cada empresa cuya IA opere en una de estas áreas está directamente afectada por el plazo de agosto de 2026.

1. Biometría

Identificación biométrica remota (en tiempo real o posterior), categorización biométrica basada en atributos sensibles y reconocimiento de emociones. Los sistemas de simple verificación de identidad (confirmar que una persona es quien dice ser) están excluidos.

2. Infraestructuras críticas

Sistemas de IA utilizados como componentes de seguridad en la gestión del suministro de agua, electricidad, gas, calefacción, así como en la gestión del tráfico vial y de infraestructuras digitales críticas.

3. Educación y formación profesional

IA que determina el acceso a instituciones educativas, evalúa resultados de aprendizaje u orienta el camino académico y profesional de los individuos.

4. Empleo y gestión de trabajadores

Selección automática de CV, análisis de candidaturas, evaluación del rendimiento de los empleados, toma de decisiones sobre promociones o despidos. Esta es una de las áreas más comunes en las empresas.

5. Acceso a servicios esenciales

Evaluación de la elegibilidad para prestaciones sociales, scoring de crédito, tarifación de seguros, evaluación de riesgos financieros de personas físicas.

6. Aplicación de la ley

Evaluación de la fiabilidad de las pruebas, perfiles en el marco de investigaciones, evaluación del riesgo de reincidencia.

7. Migración y control fronterizo

Evaluación de riesgos migratorios, examen de solicitudes de asilo, detección de documentos fraudulentos.

8. Administración de justicia y procesos democráticos

Sistemas de IA utilizados para asistir a tribunales en la investigación e interpretación de hechos y derecho, o para influir en resultados electorales.

"Los sistemas de IA a los que se refiere el anexo III se consideran de alto riesgo [...] cuando presenten un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales de las personas físicas." — Artículo 6, Reglamento (UE) 2024/1689

La cláusula de excepción: cuándo un sistema del Anexo III no es de alto riesgo

El Artículo 6, párrafo 3, introduce una exención importante. Un sistema de IA listado en el Anexo III puede no ser considerado de alto riesgo si cumple una de las siguientes condiciones:

  • Tarea procesal estrecha — El sistema ejecuta una tarea bien delimitada y de bajo riesgo, como convertir datos no estructurados en datos estructurados o clasificar documentos entrantes.
  • Mejora de una actividad humana — La IA complementa una acción humana sin autonomía decisional, por ejemplo reformulando un texto o verificando la ortografía.
  • Detección de patrones — El sistema identifica desviaciones respecto a decisiones humanas anteriores sin reemplazar el juicio humano.
  • Tarea preparatoria — La IA realiza un trabajo preliminar que luego será evaluado por un humano.

Atención: esta exención nunca se aplica a sistemas de perfilado que tratan datos personales para evaluar aspectos de la vida de una persona (rendimiento, salud, fiabilidad, comportamiento...). Estos sistemas siempre permanecen de alto riesgo. Si cree que su sistema entra en esta excepción, debe documentar su evaluación antes de cualquier puesta en el mercado y proporcionarla a las autoridades a solicitud.

Lo que deben hacer los proveedores de sistemas de alto riesgo

Las obligaciones de los proveedores (cualquier entidad que desarrolle o haga desarrollar un sistema de IA de alto riesgo y lo ponga en el mercado bajo su nombre) están detalladas en los Artículos 8 a 21 del reglamento. Aquí están los principales requisitos a cumplir antes del 2 de agosto de 2026:

  1. Sistema de gestión de riesgos (Art. 9) — Un proceso continuo, planificado e iterativo que cubre todo el ciclo de vida del sistema. Incluye la identificación de riesgos conocidos y previsibles, la estimación y evaluación de estos riesgos, y la adopción de medidas de gestión apropiadas.
  2. Gobernanza de datos (Art. 10) — Los conjuntos de datos de entrenamiento, validación y prueba deben ser relevantes, suficientemente representativos y libres de errores en la medida de lo posible. Se aplican prácticas específicas cuando se tratan datos personales.
  3. Documentación técnica (Art. 11 + Anexo IV) — Documentación detallada que describe el sistema, su finalidad, rendimiento, limitaciones y medidas tomadas para el cumplimiento. Debe redactarse antes de la puesta en el mercado y mantenerse actualizada.
  4. Registro automático (Art. 12) — El sistema debe registrar automáticamente eventos relevantes durante su funcionamiento para asegurar la trazabilidad.
  5. Transparencia e información (Art. 13) — Los desplegadores deben recibir instrucciones de uso claras, incluidas las características, capacidades y limitaciones del sistema.
  6. Supervisión humana (Art. 14) — El sistema debe diseñarse para permitir una supervisión humana efectiva durante su uso.
  7. Exactitud, robustez y ciberseguridad (Art. 15) — Deben alcanzarse y documentarse niveles apropiados, incluida la resistencia a intentos de manipulación.
  8. Marcado CE y declaración de conformidad (Art. 16, 47, 48) — Antes de la puesta en el mercado, el proveedor debe colocar el marcado CE y redactar una declaración UE de conformidad.
  9. Registro en la base de datos de la UE (Art. 49, 71) — Los sistemas de alto riesgo del Anexo III deben registrarse en la base de datos pública de la UE.
  10. Vigilancia posterior a la comercialización (Art. 72) — Debe establecerse un plan de vigilancia continua para detectar y corregir problemas después de la puesta en el mercado.

Este volumen de requisitos representa un trabajo considerable, a menudo estimado entre 40 y 80 horas solo para la documentación técnica de un sistema de IA complejo. Plataformas como AiActo permiten estructurar y acelerar este proceso mediante formularios guiados y generación asistida por IA, sección por sección, conforme al Anexo IV.

Las obligaciones de los desplegadores no deben descuidarse

Los desplegadores — cualquier persona jurídica que utilice un sistema de IA de alto riesgo en el marco de su actividad profesional — tienen obligaciones distintas pero igualmente vinculantes (Artículo 26). El término "desplegador" reemplaza el antiguo término "usuario" para evitar confusión con los usuarios finales.

Como desplegador, debe en particular:

  • Utilizar el sistema de acuerdo con las instrucciones proporcionadas por el proveedor.
  • Asegurar la supervisión humana por personas competentes y capacitadas.
  • Verificar la pertinencia de los datos de entrada en relación con la finalidad prevista del sistema.
  • Monitorear el funcionamiento del sistema e informar cualquier incidente grave al proveedor y a las autoridades.
  • Realizar una evaluación de impacto sobre los derechos fundamentales (FRIA) si es un organismo público o un organismo privado que presta servicios públicos esenciales.
  • Conservar los registros generados automáticamente por el sistema durante un período apropiado.

Para los desplegadores que también están sujetos al RGPD, la evaluación de impacto sobre la protección de datos (EIPD) y la FRIA se complementan mutuamente. El reglamento prevé de hecho que el desplegador pueda apoyarse en la documentación del proveedor para realizar su propia evaluación de impacto.

Artículo 50: las obligaciones de transparencia para todos

El Artículo 50, aplicable también a partir del 2 de agosto de 2026, concierne a una categoría mucho más amplia de sistemas de IA — no solo sistemas de alto riesgo. Se aplica a cuatro situaciones específicas:

Sistemas que interactúan con personas

Cualquier sistema de IA diseñado para interactuar directamente con personas físicas (chatbots, asistentes de voz, agentes conversacionales) debe informar al usuario de que está interactuando con una IA, a menos que sea obvio por las circunstancias.

Contenido sintético generado por IA

Los proveedores de sistemas de IA que generan contenido de audio, imagen, video o texto deben asegurar que sus producciones estén marcadas en un formato legible por máquina y detectables como generadas artificialmente. Un Código de Práctica sobre marcado y etiquetado de contenido de IA está siendo finalizado por la Oficina de IA, con una versión final esperada en junio de 2026.

Reconocimiento de emociones y categorización biométrica

Los desplegadores de sistemas de reconocimiento de emociones o categorización biométrica deben informar a las personas expuestas del funcionamiento del sistema y tratar los datos de acuerdo con el RGPD.

Deepfakes

Los desplegadores de sistemas de IA que producen deepfakes (imágenes, audio o video) deben divulgar que el contenido está generado o manipulado artificialmente. Existen excepciones para contenidos artísticos, satíricos o utilizados en el marco de investigaciones penales.

Las sanciones en caso de incumplimiento

El régimen de sanciones del AI Act está graduado según la gravedad de las infracciones. A partir del 2 de agosto de 2026, los Estados miembros deben haber transpuesto las siguientes reglas:

  • 35 millones de euros o 7% del volumen de negocios mundial por violaciones de prácticas prohibidas (Artículo 5) — ya en vigor desde febrero de 2025.
  • 15 millones de euros o 3% del volumen de negocios mundial por incumplimiento de obligaciones relacionadas con sistemas de alto riesgo (documentación, marcado CE, registro, gestión de riesgos...).
  • 7,5 millones de euros o 1% del volumen de negocios mundial por infracciones de obligaciones de transparencia.

Para pymes y startups, el reglamento prevé multas proporcionales, pero el riesgo financiero sigue siendo significativo. Más allá de las sanciones, el incumplimiento del AI Act expone a prohibiciones de puesta en el mercado y a un riesgo reputacional importante.

6 pasos para prepararse antes de agosto de 2026

Seis meses es poco tiempo. Aquí hay un plan de acción realista para abordar el plazo con serenidad:

  1. Inventariar sus sistemas de IA — Identifique todos los sistemas de IA que su organización desarrolla, importa o utiliza. Esto incluye herramientas de terceros que integran IA (scoring, recomendación, automatización de decisiones).
  2. Clasificar cada sistema — Determine el nivel de riesgo de cada sistema según los criterios del AI Act. El diagnóstico gratuito AiActo permite realizar esta clasificación en pocos minutos.
  3. Identificar su rol — ¿Es usted proveedor, desplegador, importador o distribuidor para cada sistema? Sus obligaciones difieren según su rol en la cadena de valor.
  4. Redactar la documentación técnica — Para sistemas de alto riesgo, la documentación conforme al Anexo IV es obligatoria. Comience con los sistemas más críticos.
  5. Establecer la gobernanza — Designe las personas responsables de la supervisión humana, forme a sus equipos en alfabetización en IA y defina los procedimientos de vigilancia.
  6. Preparar la evaluación de conformidad — Según la categoría de su sistema, la evaluación puede ser interna o requerir la intervención de un organismo notificado. Anticipe los plazos.

Sistemas ya en el mercado: ¿qué dice el Artículo 111?

Si su sistema de IA de alto riesgo ya está comercializado o en servicio antes del 2 de agosto de 2026, las reglas son las siguientes:

El reglamento solo se aplica si el sistema es objeto de modificaciones significativas de su diseño a partir de esa fecha. En otras palabras, un sistema sin cambios no está inmediatamente sujeto a nuevos requisitos — pero cualquier evolución importante desencadena la obligación de cumplimiento completo.

Excepción importante: los sistemas de IA de alto riesgo utilizados por autoridades públicas deben cumplir con el reglamento a más tardar el 2 de agosto de 2026, hayan sido modificados o no. Las administraciones, organismos públicos y entidades encargadas de misiones de servicio público no tienen margen de maniobra en este punto.

Preguntas frecuentes

¿Cuándo entran en vigor las obligaciones del AI Act para sistemas de alto riesgo?

Las obligaciones para sistemas de IA de alto riesgo listados en el Anexo III del Reglamento (UE) 2024/1689 entran en vigor el 2 de agosto de 2026. Los sistemas integrados en productos ya regulados por el Anexo I (dispositivos médicos, juguetes, vehículos) se benefician de un plazo adicional hasta el 2 de agosto de 2027.

¿Cómo saber si mi sistema de IA está clasificado como de alto riesgo según el AI Act?

Un sistema de IA se clasifica como de alto riesgo si figura en una de las ocho áreas del Anexo III (biometría, infraestructuras críticas, educación, empleo, servicios esenciales, aplicación de la ley, migración, justicia) o si es un componente de seguridad de un producto cubierto por el Anexo I. Una herramienta de diagnóstico de clasificación puede ayudarle a determinar su nivel de riesgo en pocos minutos.

¿Cuáles son las sanciones en caso de incumplimiento del AI Act en 2026?

Las multas van desde 7,5 millones de euros (o 1% de la facturación) por infracciones de transparencia hasta 15 millones de euros (o 3% de la facturación) por incumplimiento de obligaciones relacionadas con sistemas de alto riesgo. Para prácticas prohibidas, las sanciones ascienden a 35 millones de euros o 7% del volumen de negocios mundial.

¿Cuál es la diferencia entre proveedor y desplegador en el AI Act?

El proveedor es la entidad que desarrolla o hace desarrollar un sistema de IA y lo pone en el mercado bajo su nombre o marca. El desplegador es la entidad que utiliza este sistema en el marco de su actividad profesional. Sus obligaciones difieren: el proveedor soporta la carga del diseño conforme, la documentación técnica y el marcado CE, mientras que el desplegador debe asegurar la supervisión humana, la vigilancia y la notificación de incidentes.

¿El Artículo 50 sobre transparencia concierne únicamente a sistemas de alto riesgo?

No. El Artículo 50 se aplica a todos los sistemas de IA que interactúan con personas, generan contenido sintético o producen deepfakes, independientemente de su nivel de riesgo. Esto incluye chatbots, generadores de imágenes y herramientas de síntesis de voz, incluso si no están clasificados como de alto riesgo.

Mi sistema de IA ya está en servicio antes de agosto de 2026, ¿estoy afectado?

Si su sistema no es objeto de ninguna modificación significativa después del 2 de agosto de 2026, las obligaciones no se aplican inmediatamente (Artículo 111). Sin embargo, si es una autoridad pública o si su sistema evoluciona sustancialmente, el cumplimiento es requerido desde esa fecha.

El 2 de agosto de 2026 no es un plazo abstracto: es el momento en que el cumplimiento del AI Act pasa de la recomendación a la obligación, con sanciones reales en juego. Comenzar con un inventario y clasificación de sus sistemas de IA sigue siendo el primer paso — el que condiciona todos los siguientes. El cronograma completo del AI Act en AiActo le permite visualizar todas las fechas clave y planificar su cumplimiento.

Partager cet article