Guía práctica del Reglamento de IA: obligaciones empresariales en 2026

El problema jurídico que plantea la entrada escalonada del Reglamento de IA

El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial, configura un marco jurídico uniforme para la introducción en el mercado, la puesta en servicio y la utilización de sistemas de inteligencia artificial en la Unión. Su finalidad, conforme a su artículo 1, es doble: mejorar el funcionamiento del mercado interior y garantizar un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales frente a los efectos perjudiciales de los sistemas de IA.

La cuestión práctica para las empresas no reside ya en la mera existencia del Reglamento de IA, sino en cómo ordenar el cumplimiento de obligaciones que se activan de forma progresiva y que varían en función del tipo de sistema, del rol del operador y del nivel de riesgo del caso de uso.

Desde la perspectiva empresarial, el punto de partida no es tecnológico, sino jurídico-organizativo: identificar si el sistema queda dentro o fuera del ámbito de aplicación del Reglamento, determinar si se trata de un sistema prohibido, de alto riesgo, sujeto a obligaciones de transparencia o de un sistema con obligaciones básicas, y atribuir correctamente las responsabilidades entre proveedor, responsable del despliegue, importador, distribuidor o representante autorizado.

Marco normativo aplicable: ámbito, finalidad y estructura de obligaciones

Objeto y ámbito de aplicación del Reglamento de IA

El artículo 1 del Reglamento (UE) 2024/1689 establece las normas armonizadas aplicables a los sistemas de IA y a los modelos de IA de uso general. El artículo 2 delimita el ámbito de aplicación subjetivo y objetivo, alcanzando a proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA o modelos de IA de uso general en la Unión, responsables del despliegue establecidos o ubicados en la Unión, así como a proveedores y responsables del despliegue establecidos en terceros países cuando los resultados de salida del sistema se utilicen en la Unión.

El mismo artículo 2 excluye determinados supuestos que tienen relevancia práctica inmediata en la fase de calificación jurídica del proyecto empresarial. Entre las exclusiones destacadas podemos mencionar:

• Investigación y desarrollo científico, así como actividades de investigación, prueba o desarrollo antes de la introducción en el mercado o puesta en servicio, sin incluir las pruebas en condiciones reales.
• Usos exclusivamente militares, de defensa o de seguridad nacional.
• Sistemas de IA divulgados con arreglo a licencias libres y de código abierto, salvo que se introduzcan en el mercado o se pongan en servicio como sistemas de IA de alto riesgo o como sistemas comprendidos en el artículo 5 o en el artículo 50.
• Uso de sistemas de IA por personas físicas en el ejercicio de una actividad puramente personal de carácter no profesional.

Conceptos operativos relevantes para la empresa

La correcta aplicación del Reglamento exige partir de las definiciones del artículo 3. Son especialmente relevantes para la empresa las de proveedor, responsable del despliegue, introducción en el mercado, comercialización, puesta en servicio, finalidad prevista y modificación sustancial.

El proveedor es la persona física o jurídica, autoridad pública, órgano u organismo que desarrolle o haga desarrollar un sistema de IA o un modelo de IA de uso general y lo introduzca en el mercado o lo ponga en servicio con su propio nombre o marca. El responsable del despliegue es quien utiliza el sistema bajo su propia autoridad, salvo uso personal no profesional.

La finalidad prevista adquiere un valor central, porque de ella dependen tanto la calificación del sistema como el perímetro de la evaluación de conformidad y de las obligaciones de uso. Del mismo modo, la modificación sustancial puede desplazar responsabilidades: distribuidores, importadores, responsables del despliegue o terceros pueden pasar a ser considerados proveedores si ponen su marca, modifican sustancialmente un sistema de alto riesgo o alteran la finalidad prevista de un sistema hasta convertirlo en alto riesgo.

Clasificación por niveles de riesgo y su impacto en el cumplimiento empresarial

Sistemas prohibidos

El Reglamento prohíbe determinadas prácticas de IA en su artículo 5. Entre ellas destacan la manipulación subliminal del comportamiento, la explotación de vulnerabilidades de grupos sociales, la puntuación social y determinados usos de identificación biométrica remota en tiempo real en espacios de acceso público para fines policiales, salvo supuestos tasados.

Para la empresa, este primer filtro tiene una consecuencia directa: si el caso de uso encaja en una práctica prohibida, no existe margen de adaptación técnica o documental que permita su despliegue legítimo. La decisión jurídica es de exclusión del proyecto en ese concreto uso.

Sistemas de alto riesgo

El núcleo del cumplimiento empresarial se concentra en los sistemas de IA de alto riesgo, regulados por los artículos 6 y siguientes. La clasificación responde a dos grandes grupos.

1. En primer lugar, los sistemas que sean componentes de seguridad de productos o que sean productos sometidos a legislación de armonización de la Unión recogida en el anexo I. Estos son, entre otros, máquinas, juguetes, ascensores, equipos radioeléctricos, equipos a presión, productos sanitarios y productos sanitarios para diagnóstico in vitro, automoción y aviación.
2. En segundo lugar, los sistemas comprendidos en el anexo III por su finalidad de alto riesgo. El anexo III incluye biometría, infraestructuras críticas, educación y formación profesional, empleo y gestión de trabajadores, acceso a servicios públicos y privados esenciales, garantía del cumplimiento del Derecho, migración, asilo y gestión del control fronterizo, así como administración de justicia y procesos democráticos.

Sistemas sujetos a obligaciones de transparencia y resto de sistemas

El artículo 50 establece obligaciones de transparencia para determinados sistemas, en particular cuando interactúan directamente con personas físicas, generan contenido sintético o producen deepfakes o textos manipulados artificialmente destinados a informar al público sobre asuntos de interés público.

Fuera de esos supuestos, el resto de sistemas de IA no quedan exentos de toda exigencia. Destacan, al menos, las obligaciones de alfabetización del artículo 4 para proveedores y responsables del despliegue.

Las cinco claves de cumplimiento empresarial en 2026

Primera clave: identificar el rol del operador en la cadena de valor

El Reglamento distribuye obligaciones según la posición de cada sujeto en la cadena de valor. La empresa debe verificar si actúa como proveedor, responsable del despliegue, importador, distribuidor o representante autorizado, porque las cargas documentales, organizativas y de supervisión cambian de forma relevante.

La guía de la Agencia Española de Supervisión de la Inteligencia Artificial, insiste en un aspecto especialmente sensible: un responsable del despliegue, distribuidor o importador puede pasar a asumir obligaciones de proveedor si introduce modificaciones sustanciales o altera la finalidad prevista del sistema. Esta cuestión resulta crítica en procesos de personalización, integración o reentrenamiento del sistema por parte del cliente empresarial.

Segunda clave: implantar alfabetización en IA y medidas de transparencia

El artículo 4 obliga a proveedores y responsables del despliegue a adoptar medidas para garantizar, en la mayor medida posible, que el personal y demás personas encargadas del funcionamiento y la utilización de sistemas de IA tengan un nivel suficiente de alfabetización en materia de IA. 

Junto a ello, el artículo 50 exige transparencia en los supuestos tasados. Para la empresa, ello implica revisar interfaces, avisos al usuario, mecanismos de etiquetado de contenidos sintéticos y protocolos internos de publicación cuando se utilicen sistemas capaces de generar o manipular texto, audio, imagen o vídeo.

Tercera clave: preparar el paquete de cumplimiento de los sistemas de alto riesgo

Las principales obligaciones de los sistemas de alto riesgo se anclan en los artículos 9 a 17, 43, 72 y 73 del Reglamento.

Desde una perspectiva operativa, el paquete mínimo de cumplimiento incluye:

• Sistema de gestión de riesgos (artículo 9), concebido como un proceso continuo de identificación, análisis, evaluación y mitigación de riesgos para la salud, la seguridad y los derechos fundamentales durante todo el ciclo de vida del sistema.
• Datos y gobernanza de datos (artículo 10), con exigencias de adecuación, pertinencia, representatividad, calidad y completitud de los datos empleados en entrenamiento, validación y prueba.
• Documentación técnica (artículo 11) y, en su caso, registro (artículo 49), esenciales para la trazabilidad, la evaluación de conformidad y la vigilancia poscomercialización.
• Conservación de registros (artículo 12), tanto para el seguimiento del comportamiento del sistema como para facilitar la rendición de cuentas.
• Transparencia e instrucciones de uso (artículo 13), orientadas a que el responsable del despliegue comprenda y utilice correctamente el sistema.
• Supervisión humana (artículo 14), que exige herramientas e interfaces que permitan vigilar efectivamente el funcionamiento del sistema.
• Precisión, solidez y ciberseguridad (artículo 15), con especial atención a la degradación del rendimiento, la resiliencia del sistema y la protección frente a ataques.
• Sistema de gestión de la calidad (artículo 17), documentado y proporcional al tamaño del proveedor.
• Evaluación de la conformidad (artículo 43), bien mediante control interno o con intervención de organismo notificado, según el tipo de sistema y la aplicación de normas armonizadas o especificaciones comunes.
• Vigilancia poscomercialización (artículo 72) y notificación de incidentes graves (artículo 73).

Cuarta clave: atender a las obligaciones específicas del sector público y de los usos sensibles

La guía de la Agencia Española de Supervisión de la Inteligencia Artificial identifica una obligación adicional especialmente relevante para responsables del despliegue del sector público en sistemas de alto riesgo: la evaluación de impacto relativa a los derechos fundamentales. Conforme al artículo 27 del Reglamento, los responsables del despliegue que sean organismos de Derecho público o entidades privadas que presten servicios públicos, así como determinados responsables del despliegue de sistemas del anexo III, deben realizar esta evaluación antes del despliegue.

Su contenido mínimo se resume en: descripción de los procesos de uso, período y frecuencia de utilización, categorías de personas y colectivos afectados, riesgos específicos de perjuicio, medidas de supervisión humana y mecanismos de actuación cuando el riesgo se materialice. También señala su complementariedad con la evaluación de impacto de protección de datos y la notificación a AESIA.

Quinta clave: planificar plazos y calendario de activación de obligaciones

La guía introductoria de la Agencia Española de Supervisión de la Inteligencia Artificial ofrece una tabla de activación de obligaciones particularmente útil para la planificación empresarial. En coherencia con el artículo 113 del Reglamento, deben destacarse varios hitos temporales:

• Las disposiciones generales y las prohibiciones del capítulo II son aplicables desde el 2 de febrero de 2025.
• Las obligaciones relativas a modelos de IA de uso general resultan aplicables desde el 2 de agosto de 2025.
• El régimen general del Reglamento se aplica desde el 2 de agosto de 2026.
• En cambio, el artículo 6.1 y las obligaciones correspondientes para sistemas vinculados al anexo I se aplican desde el 2 de agosto de 2027.

La tabla de la guía añade referencias temporales vinculadas al Digital Omnibus on AI en su versión actual, con menciones expresas a plazos máximos de agosto de 2028 y diciembre de 2027 para determinados supuestos.

A TENER EN CUENTA. Dado que el propio documento indica que será actualizado cuando se apruebe el Ómnibus digital, estas referencias deben interpretarse como un elemento de planificación práctica provisional y no como cierre normativo definitivo.

Particularidades para pymes, start-ups y uso del sandbox regulatorio

Régimen proporcional y particularidades sancionadoras

El Reglamento presta una atención singular a las pymes, incluidas empresas emergentes y start-ups. La guía de la Agencia Española de Supervisión de la Inteligencia Artificial destaca medidas específicas: acceso prioritario a sandboxes, canales de asesoramiento y consulta, modelos normalizados para el cumplimiento, reducción de carga documental técnica y de tasas en evaluación de conformidad, así como sistemas de gestión de calidad adaptados proporcionalmente al tamaño de la empresa.

En el plano sancionador, la guía subraya una especialidad relevante: para pymes, la multa impuesta podrá ser la menor de las cuantías entre el importe fijo y el porcentaje correspondiente del volumen de negocios, frente a la regla general que aplica la mayor de ambas cuantías.

Valor del sandbox regulatorio

El artículo 57 del Reglamento regula los espacios controlados de pruebas para la IA. La documentación del piloto español los presenta como entornos controlados para apoyar la innovación, facilitar el desarrollo, entrenamiento, prueba y validación de sistemas innovadores de IA antes de su introducción en el mercado o puesta en servicio.

Desde la óptica empresarial, el valor jurídico-práctico del sandbox radica en que, a petición del proveedor, la autoridad competente puede emitir un informe de salida sobre actividades desarrolladas y resultados obtenidos. Según la guía, esta documentación puede utilizarse para demostrar cumplimiento en procesos de evaluación de conformidad o actividades de vigilancia del mercado, y las autoridades de vigilancia del mercado y los organismos notificados la tendrán en cuenta positivamente para acelerar procedimientos en una medida razonable.

Cuestiones controvertidas y puntos de atención inmediata para empresa

La relevancia de la finalidad prevista y del uso real

Una de las cuestiones más delicadas es la tensión entre el diseño original del sistema y el uso concreto que finalmente realiza la empresa. La finalidad prevista declarada por el proveedor resulta determinante, pero la utilización efectiva puede desplazar la calificación del sistema y alterar las responsabilidades. Esto es especialmente visible en los supuestos de modificación sustancial y en la transformación de sistemas no inicialmente clasificados como de alto riesgo en usos del anexo III.

La convivencia entre Reglamento de IA y otros marcos normativos

Debe atenderse a la necesidad de entender el Reglamento de IA de forma complementaria con otros marcos, singularmente protección de datos, legislación sectorial de armonización, reglas sobre derechos fundamentales y normativa específica del producto o servicio. La empresa no debe abordar el cumplimiento del Reglamento de IA como un compartimento aislado, sino como una capa adicional sobre obligaciones ya existentes.

CUESTIÓN

¿Debe una empresa que utiliza un sistema de IA para promociones internas tratarlo como sistema de alto riesgo en 2026?

Sí, siempre que el caso de uso encaje en el anexo III, punto 4, letra b), esto es, cuando el sistema esté destinado a tomar decisiones que afecten a la promoción, a la asignación de tareas o al seguimiento y evaluación del rendimiento y conducta de las personas en el marco de relaciones laborales.

La guía práctica de la Agencia Española de Supervisión de la Inteligencia Artificial ofrece expresamente como ejemplo un sistema de IA para la gestión de personal-promoción que influye como uno de los factores determinantes, y no meramente accesorios, en la decisión de promoción y en las retribuciones del nuevo puesto. En ese supuesto, la empresa debe partir de su calificación como sistema de alto riesgo y activar el correspondiente marco de cumplimiento: determinación del rol de proveedor o responsable del despliegue, instrucciones de uso, supervisión humana, registros, evaluación de conformidad y vigilancia poscomercialización, entre otras obligaciones aplicables.