Ley IA (AI Act): qué es, cómo afecta a empresas españolas y papel de la AESIA

Qué es la Ley IA (AI Act) y por qué afecta a tu empresa

La Ley IA — conocida oficialmente como Reglamento (UE) 2024/1689 o AI Act — es la primera ley del mundo que regula de forma integral la inteligencia artificial. Fue aprobada por el Parlamento Europeo en marzo de 2024 y publicada en el Diario Oficial de la UE en julio de 2024. Su aplicación es directa en España: no requiere transposición para ser obligatoria.

Afecta a todas las empresas — incluidas PYMEs y autónomos — que desarrollen, importen, distribuyan o simplemente utilicen sistemas de IA dentro de la Unión Europea. Esto incluye herramientas tan comunes como un CRM con scoring de leads, un chatbot en WhatsApp, un filtro de spam inteligente o un software de contabilidad con OCR.

Según el Banco de España, el 47% de las empresas españolas ya usan inteligencia artificial, pero la mayoría no son conscientes de ello porque la IA viene integrada en las herramientas SaaS que usan cada día.

Calendario de aplicación en España (fechas clave)

La Ley IA se aplica por fases. Estas son las fechas que debes tener en el radar:

• 2 febrero 2025 — Ya en vigor: prohibición de prácticas de IA inaceptables (Art. 5) y obligación de alfabetización en IA para empleados (Art. 4).
• 2 agosto 2025 — Ya en vigor: obligaciones para modelos de propósito general (GPT-4, Claude, Gemini, Llama).
• 2 febrero 2026 — Ya en vigor: directrices de clasificación de sistemas de alto riesgo (Art. 6).
• 2 agosto 2026 — FECHA CRÍTICA: aplicación completa para todos los sistemas de alto riesgo del Anexo III, obligaciones de transparencia (Art. 50) y sandboxes regulatorios.
• 2 agosto 2027 — Sistemas de alto riesgo integrados en productos regulados (Anexo I).

Qué es la AESIA y qué puede hacerle a tu empresa

La AESIA (Agencia Española de Supervisión de Inteligencia Artificial) es el organismo encargado de supervisar el cumplimiento de la Ley IA en España. España fue el primer país de la UE en crear una agencia dedicada a esto, y la AESIA tiene su sede en La Coruña con un cuerpo de inspección propio.

La AESIA tiene potestad para inspeccionar, solicitar documentación técnica y sancionar. A fecha de abril de 2026 ya ha abierto 23 investigaciones preliminares y ha impuesto multas significativas en sectores como banca (890.000 EUR), seguros (540.000 EUR) y recursos humanos (320.000 EUR) por uso indebido de IA con datos personales.

Para una PYME, esto significa que si utilizas IA para tareas como screening de CVs, scoring crediticio o decisiones automáticas sobre clientes, estás bajo el radar de la AESIA.

Los 4 niveles de riesgo de la Ley IA

El AI Act clasifica los sistemas de IA en cuatro niveles según el riesgo que representan para las personas y los derechos fundamentales. Cada nivel tiene obligaciones distintas:

• Riesgo inaceptable (prohibido): scoring social generalizado, manipulación subliminal, identificación biométrica en tiempo real en espacios públicos. Estos sistemas están prohibidos desde febrero de 2025.
• Riesgo alto: IA en RRHH y reclutamiento, scoring crediticio, acceso a educación, infraestructura crítica, aplicación de la ley, migración y servicios esenciales. Requieren documentación técnica completa, evaluación de impacto, supervisión humana y registro de actividad.
• Riesgo limitado: chatbots, deepfakes y generación de contenido con IA. Deben informar al usuario de que interactúa con IA y etiquetar el contenido generado (Art. 50).
• Riesgo mínimo: filtros de spam, videojuegos con IA, sistemas de recomendación. La mayoría de usos caen aquí y no tienen obligaciones específicas, aunque se recomienda documentar igualmente.

Obligaciones concretas para PYMEs y autónomos

Muchas PYMEs creen que la Ley IA es un asunto de grandes corporaciones. No lo es. Si usas cualquier herramienta con IA integrada, tienes al menos tres obligaciones que aplican ya:

Primera: inventario. Debes saber qué sistemas de IA utiliza tu empresa. Esto incluye CRMs con scoring (HubSpot, Salesforce), email marketing con optimización (Mailchimp, Brevo), atención al cliente con IA (Zendesk, Intercom), contabilidad con OCR (Holded, A3), herramientas de diseño con IA (Canva) y asistentes de código (GitHub Copilot).

Segunda: clasificación de riesgo. Debes evaluar cada sistema contra el Anexo III del Reglamento para determinar si entra en la categoría de alto riesgo. Si usas IA para RRHH, por ejemplo, automáticamente estás en alto riesgo.

Tercera: alfabetización en IA (Art. 4, obligatorio desde febrero de 2025). Debes garantizar que tus empleados entienden los riesgos, limitaciones y marco legal de los sistemas de IA que utilizan. Esto es sancionable incluso si no usas IA de alto riesgo.

Ley IA aplicada por sectores: ejemplos reales

La Ley IA no afecta por igual a todos los sectores. Estos son los casos más frecuentes en las empresas españolas que nos contactan:

• Bienes de consumo y retail: recomendadores de producto, pricing dinámico con IA, scoring de clientes y detección de fraude en pagos. Riesgo alto si el sistema decide sobre crédito o servicios esenciales.
• Consultoría de gestión: uso interno de IA generativa (ChatGPT, Claude) para informes, análisis y propuestas. Obligación de alfabetización IA y, si se usa en decisiones sobre personas, documentación del Art. 11.
• Sector financiero y seguros: scoring crediticio, KYC automatizado, pricing dinámico. Clasificado automáticamente como alto riesgo (Anexo III, punto 5).
• Recursos humanos: screening de CVs, matching de candidatos, evaluación de desempeño. Alto riesgo automático (Anexo III, punto 4).
• Sanidad y educación: diagnóstico asistido, proctoring, evaluación de estudiantes. Varios usos clasificados como alto riesgo.
• Despachos de abogados y gestorías: búsqueda jurídica con IA, análisis de contratos, OCR de facturas. Si se usa para decisiones automáticas, puede entrar en alto riesgo.

Multas por incumplir la Ley IA: cuánto está en juego

Las sanciones de la Ley IA están entre las más altas de la regulación europea, incluso por encima del RGPD. Hay tres niveles:

• Prácticas prohibidas (Art. 99.3): hasta 35 millones de euros o el 7% de la facturación global anual, lo que sea mayor.
• Incumplimiento de obligaciones de alto riesgo (Art. 99.4): hasta 15 millones o el 3% de facturación.
• Información incorrecta a autoridades (Art. 99.5): hasta 7,5 millones o el 1% de facturación.

Cómo preparar tu empresa antes del 2 de agosto de 2026

Faltan pocos meses para la fecha límite y el plazo es más corto de lo que parece. Este es el orden que recomendamos:

Paso 1 — Inventario: lista todas las herramientas que usa tu empresa y marca cuáles incluyen IA. Muchas lo hacen sin anunciarlo explícitamente. Un inventario honesto suele revelar entre 5 y 15 sistemas en una PYME estándar.

Paso 2 — Clasificación: evalúa cada sistema contra el Anexo III. La mayoría serán de riesgo mínimo o limitado, pero cualquier uso en RRHH, crédito o decisiones sobre personas debe revisarse a fondo.

Paso 3 — Documentación: para los de alto riesgo, prepara documentación técnica (Art. 11), evaluación de impacto (EIPD), sistema de gestión de riesgos (Art. 9) y política de IA empresarial.

Paso 4 — Formación: garantiza que los empleados que usan IA tienen nivel suficiente de alfabetización. Esto ya es obligatorio desde febrero de 2025.

Para acelerar este proceso sin pagar 7.000-35.000 EUR a una consultoría tradicional, existen plataformas SaaS especializadas que automatizan el inventario, la clasificación y la generación de documentación. Conviene compararlas y elegir la que esté actualizada al marco español y a las directrices de la AESIA.

Preguntas frecuentes sobre la Ley IA

¿La Ley IA aplica a autónomos? Sí, sin excepciones por tamaño. Cualquier empresa o profesional que use sistemas de IA está sujeto al AI Act.

¿Basta con cumplir el RGPD? No. La Ley IA complementa al RGPD y añade obligaciones específicas sobre transparencia, documentación técnica, supervisión humana y gestión de riesgos de los sistemas de IA.

¿Qué pasa si mi proveedor SaaS usa IA pero yo no lo sabía? La responsabilidad recae tanto en el proveedor como en el usuario profesional. Debes preguntar a tus proveedores y documentar qué IA se usa y cómo.

¿Necesito contratar un DPO o un abogado? No necesariamente. Para PYMEs con uso moderado de IA, una plataforma de cumplimiento automatizada suele ser suficiente. Para casos complejos o alto riesgo, el asesoramiento legal sigue siendo recomendable.