Reglamento (UE) 2024/1689 · En vigor
No es una directiva con margen de transposición. Es un reglamento de aplicación directa. Desde agosto de 2025 la AESIA puede auditar tu empresa, exigirte documentación y multarte si no cumples. La extensión de IA que usa tu equipo hoy cuenta.
Por qué no puedes ignorarlo
El AI Act no solo aplica a quien fabrica sistemas de IA. Aplica a cualquier empresa que los use en procesos internos. Si tus empleados usan ChatGPT, Copilot, Claude o cualquier herramienta de IA para trabajar, eres un operador y tienes obligaciones.
La AESIA puede pedirte en cualquier momento tu inventario de herramientas, la política interna, los registros de formación y el log de incidentes. Si no los tienes, la multa es automática. No te van a avisar dos veces.
Las 6 obligaciones exigibles
Toda herramienta de IA usada en la empresa debe estar identificada y documentada: nombre, proveedor, finalidad, departamento y clasificación de riesgo. Incluye SaaS contratados y uso personal no autorizado.
Art. 9 · Gestión de riesgos ⚠ Exigible desde ago. 2025Cada sistema debe clasificarse: riesgo inaceptable (prohibido), alto riesgo (obligaciones estrictas), riesgo limitado o mínimo. Usar un sistema prohibido sin saberlo no exime de responsabilidad.
Art. 6 · Clasificación ⚠ Exigible desde ago. 2025Documento aprobado y versionado que establezca qué herramientas están permitidas, cuáles requieren autorización y cuáles están prohibidas. Debe incluir qué datos no pueden enviarse a modelos externos.
Art. 9 · Sistema de gestión ⚠ Exigible desde ago. 2025Todos los empleados que usen IA deben haber recibido formación específica: qué son los modelos, cuáles son sus limitaciones, cómo usarlos responsablemente. Con certificado individual y fecha. No vale la formación genérica de empresa.
Art. 4 · Alfabetización en IA ⚠ Exigible desde ago. 2025Envío de datos personales a un modelo externo, uso de herramienta no autorizada, respuesta incorrecta usada en decisión crítica — todo debe registrarse. Los incidentes graves se notifican a la AESIA en plazos estrictos.
Art. 73 · Notificación ⚠ Multa por incidente no registradoLa Agencia Española de Supervisión de la IA puede requerir en cualquier momento evidencia documental. Si no puedes presentar el inventario, la política, los certificados de formación y el log de incidentes en el plazo dado, la sanción es directa.
Art. 74 · Supervisión del mercado ⚠ Sin plazo de graciaLa solución
No son formularios que rellenar ni consultoras caras. Es software que detecta, registra y documenta todo mientras tu equipo trabaja con normalidad.
La extensión detecta en tiempo real qué herramientas de IA usa cada empleado. El dashboard construye el inventario solo — incluyendo shadow AI no autorizada.
Cubre Art. 9Cada herramienta detectada se clasifica automáticamente según las categorías del AI Act. El responsable puede revisar y ajustar. Las categorías se actualizan con la normativa.
Cubre Art. 6Define qué está permitido, qué requiere aviso y qué está bloqueado. La política queda registrada con fecha de aprobación, versión y firma. La extensión la aplica en tiempo real.
Cubre Art. 9Envía el curso de alfabetización en IA a cada empleado desde el dashboard. Genera automáticamente certificados individuales con nombre, fecha y contenido. Listo para presentar a la AESIA.
Cubre Art. 4Cada envío de PII, uso no autorizado o bloqueo de política queda registrado automáticamente con timestamp, empleado y herramienta. No se puede editar ni borrar. Exactamente lo que pide la AESIA.
Cubre Art. 73Genera el dossier completo de cumplimiento: inventario, clasificación, política vigente, log de incidentes y certificados de formación. PDF listo para presentar en el plazo que te dé la agencia.
Cubre Art. 74Calendario de sanciones
El AI Act es ley europea desde el 1 de agosto de 2024. No es una directiva: no requiere transposición nacional. Se aplica directamente en España y en todos los estados miembros.
Desde febrero de 2025 están prohibidos los sistemas de IA de riesgo inaceptable: scoring social, manipulación subliminal, identificación biométrica en tiempo real en espacios públicos. Si tu empresa usa o comercializa algo similar, ya es sancionable.
⚠ Hasta 35M€ o 7% facturación globalEsta es la fase que afecta a todas las empresas que usan IA, sin excepción. Art. 4 obliga a formación en alfabetización IA para todos los empleados, con certificado individual. Capítulo V (modelos GPAI) y Capítulo VII (gobernanza/AESIA) en plena vigencia. Art. 99 en vigor desde este mes: la AESIA puede sancionar formalmente. Multas de hasta 35M€ o 7% de facturación global por usos prohibidos; hasta 15M€ o 3% por incumplimiento del resto de obligaciones. No hay periodo de gracia: el inventario, la política interna y los certificados de formación son exigibles desde el 2 de agosto de 2025.
⚠ Hasta 35M€/7% (prohibiciones) · 15M€/3% (resto) — Art. 99 en vigorEntran en vigor las obligaciones de transparencia del Art. 50 (marcado de contenido generado por IA, avisos a usuarios). Los poderes de investigación nacionales y de la UE quedan plenamente activados. Art. 101: la AESIA puede sancionar directamente a proveedores de modelos GPAI. Los sistemas de alto riesgo Anexo III no son exigibles en esta fecha — el omnibus de mayo 2026 retrasó ese plazo a diciembre de 2027.
⚠ Art. 101 activo — multas directas a proveedores de modelos fundacionalesPlena aplicación para sistemas de alto riesgo en RRHH (selección, evaluación del rendimiento), crédito, educación y servicios públicos esenciales. Evaluaciones de conformidad, documentación técnica extensa, registro de actividad automático y supervisión humana obligatoria. Plazo retrasado respecto al texto original por el Omnibus de Simplificación de mayo de 2026 — pero las obligaciones no desaparecen, solo se posponen.
⚠ Responsabilidad civil incluida desde esta fase · Retrasado del ago. 2026Maquinaria industrial, productos sanitarios, equipos de radio, aeronáutica y vehículos. Los sistemas de IA embebidos en estos productos sectorialmente regulados requieren certificación de conformidad ante organismo notificado. Sin certificado, el producto no puede comercializarse en la UE. Plazo retrasado desde agosto 2027 por el Omnibus de mayo 2026.
No esperes a la primera auditoría
delfosgov automatiza las 6 obligaciones del AI Act para tu empresa. Sin consultoras, sin papeles, sin perder tiempo. Listo en menos de una semana.