El AI Act lleva en vigor desde agosto de 2024. Pero la mayoría de empresas siguen pensando que «eso del reglamento de IA» es algo que vendrá en el futuro. Parte de él ya aplica hoy. Y sí, afecta a tu empresa.
Lo que hace complicado el AI Act para las pymes es que no entró en vigor todo a la vez. El calendario comienza en febrero de 2025 y, con los plazos acordados en el Ómnibus, se extiende hasta agosto de 2028. Entender qué está vigente y qué cambio sigue pendiente de publicación marca la diferencia entre prepararse con tiempo y llegar tarde. Soy Claudia Taracena, especialista en AI Act y compliance digital en Iacta Studio.
Lo esencial antes de seguir
El acuerdo del Ómnibus debe completar su aprobación formal y publicarse en el DOUE.
¿Por qué el AI Act tiene un calendario escalonado?
El Reglamento de IA europeo (UE 2024/1689) entró en vigor el 1 de agosto de 2024, pero el legislador fue consciente de que adaptarse a una normativa tan amplia requiere tiempo. Por eso estableció un período de transición por fases.
La lógica es sencilla: primero se prohíbe lo más peligroso, luego se regula lo complejo, y finalmente se establece el régimen completo. No es generosidad del legislador; es pragmatismo normativo. Para las pymes españolas, la lectura práctica es clara: no puedes esperar a 2026 para empezar. Las obligaciones más inmediatas llevan vigentes desde febrero de 2025.
Las 6 fechas clave del calendario AI Act en España
2 de febrero de 2025: lo que ya es obligatorio hoy
Esta es la fecha que más empresas están ignorando, y es un error. Desde el 2 de febrero de 2025 están en vigor dos bloques de obligaciones:
Prohibición de prácticas de IA de riesgo inaceptable (artículo 5): Si tu empresa utiliza una de las prácticas prohibidas por el Reglamento, puede enfrentarse a multas de hasta 35 millones de euros o el 7 % de la facturación mundial anual.
Obligación de alfabetización en IA (artículo 4): Todas las empresas que despliegan o usan sistemas de IA deben asegurarse de que su personal tiene el nivel de conocimiento adecuado. No se trata de convertir a tus empleados en ingenieros: se trata de que entiendan qué herramientas usan, para qué sirven, y cuáles son sus limitaciones y riesgos. ¿Tu empresa ya tiene un programa de formación en IA? Si la respuesta es no, estáis incumpliendo desde febrero de 2025.
2 de agosto de 2025: los modelos de IA de propósito general
En agosto de 2025 entraron en vigor las obligaciones para los proveedores de modelos de IA de propósito general (GPAI models): OpenAI, Google, Anthropic y similares. Para la mayoría de pymes, esto no genera obligaciones directas.
España está completando la distribución de competencias de supervisión entre la AESIA y otras autoridades sectoriales mediante el proyecto de ley publicado en junio de 2026. La AESIA tendrá un papel general de vigilancia, con competencias específicas para la AEPD, el Banco de España, la CNMV y otros organismos según el ámbito del sistema.
2 de agosto de 2026: aplicación general, supervisión y transparencia
El 2 de agosto de 2026 sigue siendo una fecha central. Comienza la aplicación general de buena parte del Reglamento, las autoridades nacionales inician la supervisión y entran en aplicación las obligaciones de transparencia del artículo 50.
El calendario actualmente vigente también sitúa aquí las obligaciones de los sistemas de alto riesgo del Anexo III. El acuerdo del Ómnibus propone trasladarlas al 2 de diciembre de 2027. Hasta que el nuevo texto se publique en el DOUE, las empresas deben distinguir claramente entre la fecha jurídica vigente y el aplazamiento acordado.
2 de diciembre de 2026: transición acordada en el Ómnibus
El acuerdo introduce esta fecha para determinadas medidas transitorias de marcado de contenidos y nuevas prohibiciones. Su aplicación depende de que el Reglamento modificativo complete la aprobación formal y se publique.
2 de diciembre de 2027: alto riesgo del Anexo III
El acuerdo del Ómnibus desplaza a esta fecha los sistemas de alto riesgo del Anexo III: empleo y RRHH, educación, acceso a determinados servicios esenciales, biometría, aplicación de la ley, migración y justicia, entre otros.
2 de agosto de 2028: sistemas vinculados al Anexo I
Los sistemas de alto riesgo relacionados con productos regulados —como maquinaria, dispositivos médicos o determinados equipos de seguridad— pasarían a esta fecha conforme al acuerdo del Ómnibus.
¿En qué categoría de riesgo del AI Act entra tu empresa?
El AI Act clasifica los sistemas de IA en 4 niveles, y las obligaciones dependen directamente de en cuál estés:
Riesgo inaceptable: Prohibidos directamente desde febrero de 2025. Si los usas, para ya.
Riesgo alto: Reúne las obligaciones más exigentes. El calendario vigente apunta a agosto de 2026 para el Anexo III y el acuerdo del Ómnibus propone el 2 de diciembre de 2027.
Riesgo limitado: Obligaciones de transparencia. Si usas chatbots de cara al cliente, el usuario debe saber que habla con una IA.
Riesgo mínimo: Sin obligaciones específicas del AI Act (aunque sí aplica el RGPD). Aquí entran la mayoría de herramientas de productividad: ChatGPT para redactar emails, Copilot para resumir documentos, Gemini para traducir.
La mayoría de pymes que usan IA para productividad están en la categoría de riesgo mínimo o limitado. Sus obligaciones principales son formación del personal (art. 4, ya vigente) y transparencia en las interacciones con clientes.
Qué hacer según el calendario AI Act
Las pymes todavía pueden prepararse de forma ordenada, pero la obligación de alfabetización ya está vigente y agosto de 2026 activa nuevas obligaciones y la supervisión. La formación y la documentación deben empezar ahora.
Paso 1 — Inventario de herramientas de IA (primera tarea): Haz una lista de todos los sistemas de IA que usa tu empresa. Incluye las que los empleados usan por su cuenta aunque no estén aprobadas — eso es shadow AI, y tiene sus propios riesgos.
Paso 2 — Clasificación de riesgo (segunda tarea): Para cada herramienta, identifica en qué categoría de riesgo entra. Si no sabes hacerlo solo, busca asesoramiento legal.
Paso 3 — Formación del personal (urgente): Implementa un programa de alfabetización adaptado a las herramientas, los conocimientos, los roles y los riesgos del equipo. Conserva el temario, los asistentes, las evaluaciones y los certificados.
Paso 4 — Política de uso de IA: Establece por escrito qué herramientas están aprobadas, para qué usos y qué información puede introducirse. La política refuerza la formación y aporta evidencia de las medidas organizativas adoptadas.
Paso 5 — Preparación de los sistemas de alto riesgo: Si utilizas IA en RRHH u otra categoría del Anexo III, solicita al proveedor la clasificación, las instrucciones y la documentación que te corresponda como responsable del despliegue. El aplazamiento acordado amplía el plazo, pero la preparación técnica y contractual lleva tiempo.
Preguntas frecuentes sobre el calendario del AI Act
¿Las multas del AI Act ya están activas en España?
El artículo 4 y las prácticas prohibidas están vigentes desde el 2 de febrero de 2025. El AI Act contempla multas de hasta 35 millones de euros o el 7 % para prácticas prohibidas y hasta 15 millones o el 3 % para determinadas infracciones de operadores. Las autoridades nacionales podrán sancionar el artículo 4 conforme a la legislación española; el proyecto de ley todavía está en tramitación y no le asigna expresamente un tramo concreto.
¿El AI Act aplica a pymes de menos de 50 empleados?
Sí. El AI Act no distingue por tamaño de empresa para la mayoría de obligaciones. Las únicas excepciones son algunas obligaciones técnicas para proveedores de sistemas de alto riesgo, donde las microempresas tienen plazos algo más flexibles. Si usas IA en tu empresa, el AI Act aplica.
¿Qué pasa con las herramientas de IA que ya usábamos antes del AI Act?
El tratamiento de los sistemas existentes depende de su categoría y de las disposiciones transitorias aplicables. La obligación de alfabetización del artículo 4 se aplica desde febrero de 2025 con independencia de cuándo empezó a utilizarse la herramienta.
¿RGPD y AI Act son dos normativas distintas que tengo que cumplir por separado?
Son normativas distintas pero complementarias. El RGPD aplica siempre que procesas datos personales; el AI Act aplica cuando usas sistemas de IA. Cuando usas IA que procesa datos de personas (que es casi siempre), ambos aplican a la vez. Lo más eficiente es planificar el cumplimiento de ambas de forma integrada.
El AI Act no es el futuro: febrero de 2025 ya es pasado. Si tu empresa usa IA y aún no ha puesto en marcha la formación obligatoria del artículo 4, estáis incumpliendo hoy. La buena noticia es que cumplir no es tan complicado como parece si sabes por dónde empezar. El primer paso suele ser revisar el artículo 4 del AI Act, ordenar el compliance de IA y activar una formación en IA para empresas que deje evidencia. Si hay dudas, tiene sentido pedir un diagnóstico inicial de IA. En Iacta Studio ayudamos a pymes a entender qué les aplica, qué documentación necesitan y cómo hacerlo sin convertirlo en un proyecto interminable.
