IA generativa en empresa: las obligaciones concretas de 2026.
El Reglamento europeo de IA establece requisitos precisos para las empresas que desarrollan o despliegan sistemas de IA generativa. Con las obligaciones GPAI en vigor desde agosto de 2025 y la transparencia obligatoria a partir de noviembre de 2026, el marco regulatorio se estrecha. Esto es lo que se aplica en la práctica.
2026: el año en que las obligaciones de IA se vuelven reales para las empresas
El Reglamento IA ya no es un texto en ciernes. Desde agosto de 2025 se aplican las primeras obligaciones sustanciales, y noviembre de 2026 marca el siguiente plazo crítico.
El Reglamento europeo sobre inteligencia artificial (Reglamento UE 2024/1689), que entró en vigor el 1 de agosto de 2024, despliega sus obligaciones según un calendario escalonado de cuatro años. Para las empresas que utilizan, integran o desarrollan sistemas de IA generativa, tres oleadas regulatorias se superponen en 2025-2026. Las prácticas prohibidas son aplicables desde el 2 de febrero de 2025. Las obligaciones relativas a los modelos de IA de uso general (GPAI) se aplican desde el 2 de agosto de 2025. La obligación de transparencia frente a los usuarios finales entra en vigor el 2 de noviembre de 2026.
Ignorar este calendario expone a sanciones financieras significativas y a un riesgo reputacional creciente. Las autoridades nacionales de supervisión de mercado están siendo designadas en los Estados miembros y comenzarán a ejercer sus poderes de inspección en cuanto su mandato quede formalmente establecido.
Proveedor o responsable del despliegue: una distinción que lo cambia todo
El Reglamento IA organiza las responsabilidades en torno a dos roles principales. Identificar el suyo es el primer paso de cualquier ejercicio de cumplimiento.
El proveedor
Es proveedor toda entidad que desarrolle un sistema de IA y lo comercialice o ponga en servicio, con fines comerciales o no. Si su empresa utiliza la API de un gran modelo de lenguaje para construir un producto o servicio destinado a terceros, usted es jurídicamente un proveedor. Debe elaborar documentación técnica, evaluar la conformidad de su sistema y colocar el marcado CE si su sistema se clasifica como de alto riesgo.
El responsable del despliegue
Es responsable del despliegue toda persona jurídica que utilice un sistema de IA en un contexto profesional sin haberlo desarrollado. Si su organización se suscribe a una herramienta SaaS con IA generativa, usted es responsable del despliegue. Sus obligaciones son menos extensas, pero existen: informar a los usuarios, garantizar la supervisión humana en decisiones significativas, seguir las instrucciones del proveedor y formar al personal.
GPAI: los requisitos ya en vigor desde agosto de 2025
Los artículos 51 a 56 del Reglamento IA crean un régimen específico para los modelos de IA de uso general. Estas normas se aplican a los proveedores que comercializan un modelo fundacional: gran modelo de lenguaje, modelo de generación de imágenes, modelo multimodal.
Todo proveedor de modelos GPAI debe cumplir cuatro obligaciones básicas. Debe establecer y mantener una documentación técnica que describa la arquitectura, los datos de entrenamiento y las capacidades del modelo. Debe respetar la legislación sobre derechos de autor durante la fase de entrenamiento y publicar una política de cumplimiento. Debe poner a disposición un resumen de los datos de entrenamiento. Y debe suministrar a los operadores posteriores la información necesaria para su propio cumplimiento.
Modelos con riesgo sistémico
Los modelos GPAI entrenados con una potencia de cálculo superior a 10^25 FLOPs se encuadran en la categoría de riesgo sistémico. Para estos modelos, las obligaciones se refuerzan: evaluaciones adversariales según protocolos estandarizados, notificación de incidentes graves a la Oficina Europea de IA e implantación de medidas de ciberseguridad proporcionales a los riesgos identificados.
Artículo 50: la obligación de transparencia entra en vigor el 2 de noviembre de 2026
El artículo 50 es la obligación que afectará al mayor número de empresas antes de que acabe el año. Exige una información clara a los usuarios que interactúan con sistemas de IA o que consumen contenidos generados por IA.
Chatbots y agentes conversacionales
Todo responsable del despliegue de un sistema de IA destinado a interactuar directamente con personas físicas debe informar a esas personas en tiempo real de que están interactuando con una IA. Esta obligación se aplica salvo que la interacción con una IA sea evidente por el contexto. Afecta a los chatbots de atención al cliente accesibles al público, a los asistentes virtuales integrados en aplicaciones y a los agentes de IA a los que tienen acceso terceros.
Contenidos sintéticos y deepfakes
Los proveedores de sistemas que generan imágenes, audio, vídeo o texto sintéticos deben marcar dichos contenidos de forma legible por máquina. Los responsables del despliegue que difundan esos contenidos deben revelar explícitamente que han sido generados por IA. Existen excepciones limitadas para la sátira, la parodia y determinados usos relacionados con la seguridad nacional.
Sistemas de alto riesgo: ¿le afectan antes de 2027?
El Anexo III del Reglamento IA enumera los ámbitos en los que un sistema de IA se presume de alto riesgo. El principal plazo para estos sistemas es el 2 de diciembre de 2027, pero ya existen obligaciones preparatorias para los proveedores que deseen estar a tiempo.
Los sectores afectados incluyen la gestión de recursos humanos (cribado de currículos, evaluación del rendimiento, decisiones de promoción), el acceso a la educación, el acceso a servicios esenciales (crédito, seguros, prestaciones sociales), la administración de justicia y los procesos democráticos. Si su herramienta de IA generativa está integrada en alguno de estos procesos, puede clasificarse como de alto riesgo con independencia de su tecnología subyacente.
La lógica del Reglamento IA es funcional, no tecnológica. El mismo modelo de lenguaje utilizado para redactar boletines informativos es de riesgo mínimo. Utilizado para puntuar candidatos a un empleo, se convierte en alto riesgo. Es el caso de uso concreto el que determina la clasificación, no el modelo subyacente.
Seis obligaciones concretas que implementar antes de noviembre de 2026
Independientemente de su posición en la cadena de valor de la IA, estas son las acciones prioritarias para garantizar el cumplimiento antes del próximo plazo regulatorio.
- Cartografiar sus sistemas de IA: inventariar todas las herramientas de IA utilizadas o desplegadas por su organización e identificar su clasificación probable (riesgo mínimo, alto riesgo, GPAI).
- Determinar su rol jurídico: para cada sistema, determinar si es proveedor o responsable del despliegue. Un producto construido sobre una API de terceros le convierte en proveedor con obligaciones sustanciales.
- Comprobar la ausencia de prácticas prohibidas: manipulación subliminal, explotación de vulnerabilidades, puntuación social generalizada - verificar que ningún sistema en producción cruce estas líneas desde febrero de 2025.
- Preparar los avisos de transparencia: redactar los avisos de información a usuarios para chatbots y sistemas generativos. El plazo del 2 de noviembre de 2026 se acerca.
- Formar al personal (Art. 4): la obligación de alfabetización en IA está en vigor desde el 2 de febrero de 2025. Una formación documentada adaptada a los sistemas realmente utilizados es la línea base mínima esperada.
- Documentar y registrar: mantener un registro de las evaluaciones de conformidad, las medidas de supervisión humana y los incidentes. Este registro será indispensable en caso de inspección por una autoridad de vigilancia del mercado.
Nuestra herramienta de diagnóstico gratuita le permite identificar en 3 minutos las obligaciones que se aplican a su organización, según su sector y uso de la IA.
Marco jurídico: los artículos clave que debe conocer
¿Está su empresa preparada para las obligaciones de IA de 2026?
Identifique en 3 minutos las obligaciones que se aplican a su organización: rol de proveedor o responsable del despliegue, sistemas afectados, plazos prioritarios. El diagnóstico es gratuito y sin registro.
Preguntas frecuentes
Respuestas a las preguntas más habituales sobre las obligaciones de IA para empresas en 2026.
Una empresa que utiliza una herramienta de IA de terceros en un contexto profesional es responsable del despliegue según el Reglamento IA. Debe seguir las instrucciones del proveedor, informar a los usuarios finales sobre el uso de la IA, garantizar la supervisión humana en las decisiones significativas y proporcionar alfabetización en IA a su personal (Art. 4, en vigor desde febrero de 2025). Si construye un producto sobre una API de terceros, se convierte en proveedor con obligaciones más extensas.
El proveedor es la entidad que desarrolla y comercializa un sistema de IA. El responsable del despliegue lo utiliza en un contexto profesional sin haberlo desarrollado. El proveedor asume la carga de la documentación técnica, el marcado CE y la evaluación de conformidad. El responsable del despliegue debe seguir las instrucciones del proveedor, informar a los usuarios y garantizar la supervisión humana en las decisiones automatizadas que afecten a personas físicas.
Sí, si su chatbot interactúa con personas físicas y el contexto no hace evidente la interacción con una IA. La obligación entra en vigor el 2 de noviembre de 2026. Un chatbot de uso interno, claramente identificado como IA por todos sus usuarios, puede beneficiarse de la excepción contextual. Un chatbot de atención al cliente accesible al público no se beneficia de esa excepción y deberá mostrar una divulgación explícita.
El incumplimiento de las obligaciones de transparencia del artículo 50 puede acarrear una multa de hasta 15 millones de euros o el 3% del volumen de negocio mundial anual, según el importe más elevado. Las infracciones de prácticas prohibidas (Art. 5) se sancionan con mayor dureza: hasta 35 millones de euros o el 7% del volumen de negocio mundial.
Parcialmente. Los proveedores de modelos GPAI de código abierto se benefician de exenciones en determinadas obligaciones de documentación, siempre que los pesos del modelo sean públicamente accesibles. Sin embargo, si el modelo presenta riesgo sistémico (potencia de entrenamiento superior a 10^25 FLOPs), esas exenciones no se aplican: las obligaciones reforzadas son vinculantes también para los modelos de código abierto.
La clasificación depende del caso de uso, no del modelo. Una herramienta de IA generativa pasa a ser de alto riesgo si se usa en un sector incluido en el Anexo III: recursos humanos, educación, crédito, seguros, justicia. Si su herramienta ayuda a cribar candidaturas, puntuar solicitudes de crédito o tomar decisiones que afectan al acceso a derechos, probablemente sea de alto riesgo, independientemente del modelo subyacente.
Sí. El artículo 4 entró en aplicación el 2 de febrero de 2025. Exige a los proveedores y responsables del despliegue que velen por que el personal que trabaja con sistemas de IA disponga de un nivel suficiente de alfabetización en IA. Una formación documentada adaptada a los sistemas realmente utilizados constituye la línea base mínima que esperan las autoridades de control.