Artículos
A qué obliga el AI Act realmente a tu empresa a partir de agosto de 2026

7 JUL, 2026 • 4 min
Las obligaciones para empresas del AI Act ya están en vigor, aunque muchas organizaciones siguen pensando que todo empieza en agosto de 2026. La realidad es distinta: varias exigencias legales aplican desde febrero de 2025 y lo que cambia en agosto de 2026 es la capacidad de supervisión y sanción de la AESIA.
Desde febrero de 2025, cualquier empresa que use inteligencia artificial, y en 2026 eso incluye a la inmensa mayoría, con o sin saberlo: ChatGPT, Copilot, un CRM con scoring, un filtro automático de currículums… Tiene ya obligaciones legales concretas bajo el Reglamento Europeo de IA. Lo que cambia el 2 de agosto es que la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) gana capacidad plena para inspeccionar y sancionar. A partir de ahí, no tener esto resuelto deja de ser un riesgo teórico.
AI Act: obligaciones para empresas sobre alfabetización en IA (Artículo 4)
El Artículo 4 del Reglamento exige garantizar un nivel suficiente de alfabetización en IA entre las personas que operan o supervisan estos sistemas. Está en vigor desde febrero de 2025, sin umbral mínimo de tamaño. Afecta igual a una empresa de cinco personas que a una de cinco mil.
Tres cosas que conviene tener claras:
- No exige un curso cerrado ni un número de horas fijo. Sí exige que la formación esté adaptada al rol, al riesgo y a las herramientas concretas que usa cada persona.
- Documentar es parte de cumplir. Un correo con un enlace a un vídeo genérico no acredita nada. Hace falta un registro mínimo: quién ha recibido la formación, cuándo, y sobre qué. Puede ser tan simple como una hoja de asistencia firmada con el contenido impartido, pero tiene que existir.
- Da igual que no desarrolles IA propia. Si la usas, ya te afecta. Un despacho de abogados que usa Copilot para redactar documentos, una clínica que usa IA para transcribir consultas, o una tienda que usa un chatbot para atención al cliente están bajo el Reglamento exactamente igual que la empresa que construye la tecnología.
El riesgo real, a partir de agosto, no suele ser la sanción directa por el Artículo 4. Es que la falta de formación documentada se convierta en un agravante cuando una inspección llega por otro motivo. Por ejemplo, una reclamación de un empleado, una auditoría de un cliente grande, una revisión de protección de datos.
“Llevamos años viendo memes sobre la IA y cómo debemos preocuparnos por nuestro trabajo, y resulta que la primera obligación legal real que nos ha caído no es sobre robots superinteligentes, sino sobre si alguien en tu empresa sabe explicar qué hace el chatbot antes de dejar que decida algo importante”.
Iván Pérez, director de IA en SATEC
Otra de las obligaciones para empresas del AI Act: la transparencia (Artículo 50)
El 2 de agosto también arranca la supervisión del Artículo 50: informar con claridad cuando alguien interactúa con un sistema de IA (chatbots, contenido generado o alterado por IA, sistemas de reconocimiento de emociones, entre otros). Si tu empresa usa estas herramientas de cara a clientes o empleados, es el segundo punto a revisar antes de esa fecha.
Lo que NO cambia en agosto (y conviene no confundir)
Aquí es donde circula más ruido.
Las obligaciones más exigentes del Reglamento (las de sistemas de IA de alto riesgo, en ámbitos como recursos humanos, crédito o infraestructuras críticas) no entran en vigor el 2 de agosto de 2026. En mayo de 2026, la UE alcanzó un acuerdo provisional dentro del paquete de simplificación Digital Omnibus para aplazarlas a diciembre de 2027 (y a agosto de 2028 para sistemas integrados en productos regulados). El acuerdo está pendiente de adopción formal, pero la dirección es esa.
Cómo cumplir las obligaciones para empresas del AI Act
No hace falta un proyecto de transformación para resolver esto. Sí hace falta orden.
Ahí van cuatro consejos:
- Haz inventario. Qué herramientas con IA se usan en tu empresa, quién las usa, y qué tipo de decisiones apoyan. Es habitual descubrir herramientas instaladas por los propios equipos sin que TI lo supiera.
- Segmenta por rol y riesgo. Un equipo de marketing que usa IA generativa no necesita la misma formación que un equipo de compliance o dirección.
- Forma de manera proporcional y déjalo por escrito. Adaptada al uso real, con registro verificable.
- Revisa la transparencia de cara al cliente. Si usas chatbots o contenido generado por IA, comprueba que queda identificado como tal.
Por qué las obligaciones del AI Act pueden aportar valor a tu empresa
Formar a los equipos en el uso de la IA no es solo evitar una sanción.
Es la base para que cualquier proyecto de IA funcione de verdad una vez en producción: supervisión humana en las decisiones que importan, y un gobierno del dato que sostenga lo que venga después. Resolverlo ahora, con orden, evita tener que improvisarlo bajo presión más adelante.
Preguntas Frecuentes
La AESIA es, a efectos prácticos, la “policía” del AI Act en España. El Reglamento Europeo de IA (AI Act) exige que cada país de la Unión Europea nombre una Autoridad Nacional de Supervisión para aplicar la ley sobre el terreno, y España le ha asignado ese papel a la AESIA.
Desde el 2 de febrero de 2025. El 2 de agosto de 2026 es cuando empieza la supervisión activa y el régimen sancionador, no cuando nace la obligación.
Sí. La obligación aplica tanto a quien desarrolla sistemas de IA como a quien los usa en su actividad profesional.
No. Se han aplazado a diciembre de 2027 mediante el Digital Omnibus, acuerdo provisional pendiente de adopción formal. Lo que sí entra en vigilancia en agosto de 2026 es el Artículo 4 (alfabetización) y el Artículo 50 (transparencia).
Más allá de la sanción directa, el riesgo más frecuente es quedar expuesto en auditorías, concursos públicos o revisiones de clientes grandes por falta de evidencia documentada.
No te pierdas estos posts relacionados

Artículos
22 JUN, 2026 • 4 min
DORA en banca y seguros: lo que se debe haber hecho ya (y lo que aún queda)
El Reglamento DORA (UE 2022/2554) lleva en vigor desde enero de 2025 y han pasado 18 meses. DORA en banca y seguros ya no es una cuestión teórica: las primeras auditorías de supervisión están activas y los gaps de cumplimiento empiezan a salir a la luz. La pregunta ya no es si los bancos y aseguradoras […]
Leer en 4 minutos

Artículos
27 MAY, 2026 • 5 min
Regulación digital europea 2026: NIS2, DORA, AI Act y CRA
La regulación digital europea 2026 marca un punto de inflexión para cualquier organización que opere con tecnología en la Unión Europea. NIS2, DORA, EU AI Act y Cyber Resilience Act ya no son propuestas futuras: tienen plazos concretos, sanciones millonarias y nuevas responsabilidades para equipos directivos y organizaciones. La conversación ya no gira únicamente alrededor […]
Leer en 5 minutos