Ir al contenido principal
Diagnóstico gratuito

Glosario

25 definiciones clave del Reglamento

Obligaciones

24 artículos detallados con plazos

Calendario

Fechas clave de 2025 a 2027

Diagnóstico

Identifique sus obligaciones en 3 minutos

Cumplimiento PYME

Verifique sus obligaciones del AI Act en 30 segundos

Soberanía europea

Alojamiento 100% en Francia

Asistente IA

IA contextual con memoria entre secciones

Generación documental

Texto conforme al Anexo IV generado por IA

Diagnóstico

Clasificación automática de su sistema

Versionado

Trazabilidad completa de sus proyectos

Multicliente

Gestión multicliente para agencias

Exportación PDF

PDFs profesionales listos para auditoría

PreciosBlogIniciar sesión
ai act autoridades nacionalesaesia ai act

AI Act: solo 8 estados miembros de 27 están listos - qué significa realmente para su cumplimiento

25 de marzo de 20267 min4
AI Act: solo 8 estados miembros de 27 están listos - qué significa realmente para su cumplimiento

En resumen

  • Obligación incumplida: la designación de las autoridades nacionales competentes debía realizarse antes del 2 de agosto de 2025 según el Artículo 70 del AI Act. La mayoría de los estados miembros no lo ha cumplido.
  • 8 de 27: solo 8 estados miembros han notificado formalmente su punto de contacto único a la Comisión Europea, revelando un retraso estructural en la construcción del marco de aplicación
  • Sus obligaciones no cambian: el retraso de los estados miembros no exime a las empresas de sus obligaciones. El AI Act se aplica directamente a proveedores y desplegadores, con independencia de la preparación de las autoridades nacionales
  • Aplicación fragmentada: sin autoridades designadas, la aplicación será desigual entre estados miembros en el corto plazo, creando incertidumbre sobre quién controlará qué y cuándo
  • Francia, España, Alemania van por delante: algunos países destacan con marcos ya en marcha - DGCCRF en Francia, AESIA en España, Bundesnetzagentur en Alemania
  • Un argumento más para el Digital Omnibus: este retraso institucional refuerza la lógica del aplazamiento propuesto por la Comisión - ¿cómo se aplica un reglamento sin autoridades para hacerlo cumplir?

El 2 de agosto de 2025, todos los estados miembros de la Unión Europea debían haber designado sus autoridades nacionales competentes para aplicar el AI Act - su punto de contacto único, su autoridad de vigilancia del mercado, su autoridad notificante. Plazo legal, obligación clara, texto publicado. Resultado: solo 8 estados miembros de 27 cumplieron ese plazo. Esta cifra, revelada durante los debates sobre el Digital Omnibus en el Parlamento Europeo, dice mucho sobre el estado real de preparación de Europa para su propia regulación de IA.

Para las empresas, la pregunta que surge inmediatamente es legítima: si los propios estados no están listos, ¿necesito estarlo yo? La respuesta es inequívoca: sí.

Qué exige el Artículo 70 de los estados miembros

El Artículo 70 del Reglamento (UE) 2024/1689 es explícito. Antes del 2 de agosto de 2025, cada estado miembro debía:

  • Designar al menos una autoridad de vigilancia del mercado, encargada de verificar la conformidad de los sistemas de IA desplegados en su territorio
  • Designar al menos una autoridad notificante, responsable de acreditar a los organismos de certificación de sistemas de alto riesgo
  • Notificar a la Comisión la identidad de su punto de contacto único (PCU)
  • Poner a disposición del público las coordenadas de estas autoridades por medios electrónicos

Quién ha actuado - y quién va rezagado

España

España hizo una apuesta estructural fuerte creando una agencia dedicada: la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), que trabaja en coordinación con la AEPD, el Banco de España y la CNMV.

Francia

Francia optó por un modelo coordinado multi-autoridad. La DGCCRF actúa como punto de contacto único. Varios reguladores sectoriales están implicados: la CNIL para los aspectos de datos personales, la ANSSI para la ciberseguridad, la ARCOM para los contenidos digitales.

Alemania

Alemania designó la Bundesnetzagentur como autoridad de vigilancia del mercado y la Deutsche Akkreditierungsstelle como autoridad notificante. El país fue más lejos con la aprobación del proyecto de ley KI-MIG en el gabinete federal en febrero de 2026.

Irlanda

Irlanda optó por un modelo descentralizado con quince autoridades competentes designadas, coordinadas por la National AI Office operativa desde septiembre de 2025.

Estos países son la excepción. La mayoría de los 27 estados miembros no tiene aún un marco formalmente operativo - lo que crea una situación sin precedentes a menos de cinco meses del plazo.

Por qué este retraso - y por qué refuerza la lógica del Digital Omnibus

  • Falta de normas armonizadas: sin los estándares técnicos del CEN-CENELEC, las autoridades nacionales no saben exactamente según qué criterios deberán evaluar la conformidad de los sistemas de alto riesgo.
  • Falta de recursos y experiencia: el AI Act exige a las autoridades competencia en IA, protección de datos, ciberseguridad y derecho. Este perfil escaso es difícil de reclutar en el sector público.
  • Complejidad organizativa: algunos estados miembros tienen dificultades para determinar qué autoridad existente readaptar o si se necesita una nueva estructura.
Esto no es una señal de debilidad regulatoria - es una señal de realismo. El AI Act es un reglamento de complejidad sin precedentes. Darle las herramientas para funcionar correctamente es mejor que aplicarlo demasiado rápido y mal.

Qué cambia esto concretamente para su empresa

1. El AI Act es un reglamento europeo de aplicación directa

A diferencia de una directiva que requiere transposición nacional, un reglamento europeo se aplica directamente en todos los estados miembros sin ley intermedia. El hecho de que un estado no haya designado aún su autoridad nacional no suspende sus obligaciones legales.

2. La Oficina de IA puede sustituir parcialmente a las autoridades nacionales

El Digital Omnibus refuerza específicamente el papel de la Oficina de IA (AI Office) como autoridad central. Para los modelos GPAI y los sistemas integrados en plataformas muy grandes, la Oficina de IA tendrá poderes directos de investigación y sanción, independientemente de las autoridades nacionales.

3. Su responsabilidad contractual frente a sus clientes ya existe

Más allá de las sanciones regulatorias, sus clientes - especialmente los grandes grupos y los organismos públicos - empiezan a integrar el cumplimiento del AI Act en sus licitaciones y contratos.

Qué debe hacer pese a este contexto

  1. Identificar su autoridad nacional competente por sector: si su país ya ha designado sus autoridades, identifique cuál será competente para sus sistemas. En España, la AESIA es el interlocutor principal, con la AEPD para los aspectos de datos personales.
  2. Documentar su actuación de buena fe: en caso de inspección durante los primeros meses de aplicación, poder mostrar un inventario de sistemas de IA, una clasificación de riesgos y un plan de cumplimiento con fecha es una protección concreta.
  3. No esperar a las autoridades para avanzar: clasificar sus sistemas según el Anexo III, documentar su supervisión humana, actualizar sus avisos legales para el Artículo 50 - ninguno de estos pasos depende de una autoridad nacional operativa.
  4. Seguir las designaciones en su estado miembro: la Comisión publica la lista de puntos de contacto únicos a medida que se van notificando. Manténgase informado a través del calendario del AI Act de AiActo.

El diagnóstico gratuito de AiActo le permite clasificar sus sistemas, identificar sus obligaciones y empezar a estructurar su documentación - sin esperar a que su autoridad nacional sea operativa.

Preguntas frecuentes

¿Puedo ser sancionado si mi estado miembro aún no ha designado sus autoridades?

Legalmente sí - el AI Act es de aplicación directa. En la práctica, las primeras aplicaciones estrictas probablemente se concentrarán en los estados donde las autoridades son operativas. Pero "probablemente poco controlado en el corto plazo" no es una base legal suficiente para ignorar sus obligaciones.

¿Quién supervisa los modelos GPAI si las autoridades nacionales no están listas?

La Oficina de IA a nivel europeo. Las obligaciones GPAI (Artículos 51-56) están en vigor desde agosto de 2025, y la Oficina de IA tiene poderes directos de investigación y sanción sobre estos modelos, independientemente de las autoridades nacionales.

¿Cuál es la autoridad competente para una empresa española?

En España, la AESIA es el punto de contacto principal. Dependiendo de su sector y sistema, la AEPD (datos personales), el Banco de España (sistemas financieros), la CNMV (mercados financieros) u otros reguladores sectoriales pueden ser competentes.

¿Justifica el retraso de los estados miembros posponer mi trabajo de cumplimiento?

No. El AI Act se aplica directamente a las empresas. Los retrasos de las autoridades nacionales pueden reducir temporalmente el riesgo de auditoría, pero no reducen su exposición legal ni su riesgo comercial frente a sus clientes.

¿El Digital Omnibus también suspende las obligaciones de las empresas a la espera de que las autoridades estén listas?

No. El Digital Omnibus propone aplazar los plazos de aplicación para las empresas - no esperar a que las autoridades sean operativas. Si se adopta, las obligaciones se trasladarían a diciembre de 2027, pero este aplazamiento se aplicaría de forma uniforme.

El retraso de 19 estados miembros de 27 envía una señal clara: el AI Act es un reglamento de complejidad poco habitual que ni las empresas ni los estados anticiparon por completo. Pero esta señal no cambia la dirección - confirma la urgencia de prepararse seriamente. Consulte el calendario completo del AI Act en AiActo para seguir todas las novedades del calendario regulatorio.

Compartir este artículo