Qué es el AI Act y por qué tu ATS ya es High-Risk

¿Qué es el AI Act y por qué importa a tu empresa?

Definición oficial del Reglamento (UE) 2024/1689

El AI Act es el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, publicado en el Diario Oficial de la Unión Europea el 12 de julio de 2024 y vigente en toda la Unión desde el 1 de agosto de 2024. Al tratarse de un reglamento, aplica directamente en los 27 Estados miembros sin necesidad de transposición nacional.

No es el primer texto regulatorio sobre IA en Europa. Es el primero que crea un marco horizontal aplicable a todos los sectores, con obligaciones vinculantes y sanciones directamente ejecutables. La lógica es de riesgo proporcional: a mayor riesgo potencial para los derechos de las personas, mayor carga de cumplimiento antes de operar.

Por qué Europa lo aprobó

La Comisión Europea presentó la propuesta inicial en abril de 2021. El lanzamiento de ChatGPT en noviembre de 2022 y de GPT-4 en marzo de 2023 forzó a las negociaciones a incorporar de urgencia los modelos de IA de propósito general (GPAI). El consenso político llegó en diciembre de 2023; el Parlamento Europeo adoptó el texto en marzo de 2024.

El enfoque contrasta con el de Estados Unidos, donde la regulación sigue siendo sectorial y en buena parte voluntaria, y con el de China, que opta por reglas específicas por dominio. Europa apuesta por un marco unificado y obligatorio.

A quién aplica

El alcance es intencionalmente amplio. El Reglamento aplica a cualquier organización que: desarrolle o comercialice sistemas de IA en el mercado de la UE; ponga en servicio o use sistemas de IA dentro del territorio de la UE; o esté establecida fuera de la UE pero cuyos sistemas generen outputs que afecten a personas en la UE.

El Reglamento define cuatro roles diferenciados, cada uno con su propio régimen de obligaciones:

• El proveedor desarrolla y coloca el sistema en el mercado.
• El responsable del despliegue (deployer) lo usa en un contexto profesional.
• El importador trae al mercado europeo sistemas de terceros países.
• El distribuidor los pone a disposición sin modificarlos.

El tamaño de la empresa no exime del cumplimiento. Las pymes tienen facilidades de procedimiento y sanciones más bajas, pero no quedan excluidas de las obligaciones sustantivas sobre sistemas de alto riesgo.

El Digital Omnibus on AI: el cambio que reordena el calendario

El 19 de noviembre de 2025, la Comisión Europea publicó una propuesta de simplificación llamada Digital Omnibus on AI. El objetivo declarado: alinear la aplicación de las reglas sobre sistemas de alto riesgo con la disponibilidad real de las normas técnicas armonizadas y guías necesarias para cumplir. Dicho de otra forma: las herramientas para cumplir no estaban listas a tiempo, y la industria llevaba meses pidiendo un aplazamiento.

Tras dos trílogos políticos y una negociación tensa bajo la Presidencia chipriota, el 7 de mayo de 2026 Consejo y Parlamento alcanzaron acuerdo político provisional sobre el contenido del Omnibus. La adopción formal está pendiente, pero el acuerdo es ya la base de planificación operativa para cualquier programa de cumplimiento.

Los cambios más relevantes:

• Retraso de los sistemas High-Risk del Anexo III (empleo, educación, biometría, crédito, justicia, etc.) del 2 ago 2026 al 2 diciembre 2027.
• Retraso de los sistemas High-Risk del Anexo I (IA integrada en productos regulados) del 2 ago 2027 al 2 agosto 2028.
• Watermarking del Art. 50(2): aplaza de 2 ago 2026 a 2 diciembre 2026 (período de gracia reducido de 6 a 3 meses).
• Sandboxes nacionales: el plazo de creación se retrasa de 2 ago 2026 a 2 ago 2027.
• Nueva prohibición en el Art. 5: sistemas que generen contenido íntimo no consentido (NCII) o material de abuso sexual infantil (CSAM), incluidos los llamados "nudifiers", con safe harbour para sistemas con salvaguardas preventivas efectivas.
• Maquinaria sale del AI Act directo: la IA embebida sujeta al Reglamento de Maquinaria se regulará vía actos delegados de esa norma, no por el AI Act.
• Nueva categoría empresarial: se introduce el concepto de small mid-cap (SMC), que extiende facilidades regulatorias a empresas medianas, no solo a pymes.
• Tratamiento de datos sensibles: amplía la base para usar datos especiales en detección y mitigación de sesgo, bajo estricta necesidad.

Lo que no cambia:

• Las prohibiciones del Art. 5 siguen vigentes desde el 2 de febrero de 2025.
• Las obligaciones de los modelos GPAI siguen vigentes desde el 2 de agosto de 2025.
• El resto de obligaciones de transparencia del Art. 50 siguen entrando en aplicación el 2 de agosto de 2026.
• La obligación de AI literacy del Art. 4 sigue formalmente vigente, aunque queda por confirmar el texto final del Omnibus.

El Omnibus no rebaja la arquitectura del Reglamento ni cambia su lógica de cuatro categorías de riesgo. Da tiempo. La empresa que use ese tiempo para preparar el cumplimiento llega; la que lo use para retrasar la decisión, no.

Calendario de aplicación actualizado: fechas clave 2024-2028

La fecha más inmediata y menos atendida sigue siendo el 2 de febrero de 2025. Desde entonces, el Art. 4 obliga a proveedores y deployers a garantizar que su personal tiene formación adecuada en IA. No es una obligación simbólica: implica documentar quién ha recibido qué formación y con qué alcance. Si tu empresa no lo ha hecho, está ya en incumplimiento.

Las cuatro categorías de riesgo según el AI Act

El Reglamento organiza todos los sistemas de IA en cuatro niveles de riesgo. El nivel determina las obligaciones. La lógica: a mayor riesgo potencial para los derechos de las personas, mayor carga de cumplimiento.

Riesgo inaceptable (prohibido)

El Art. 5 lista las prácticas directamente prohibidas. Destacan:

• Sistemas que manipulan subliminalmente el comportamiento explotando vulnerabilidades.
• Categorización biométrica basada en características sensibles (origen racial, convicciones políticas, orientación sexual).
• Identificación biométrica remota en tiempo real en espacios públicos (con excepciones muy estrechas para fuerzas de seguridad).
• Puntuación social por parte de autoridades públicas.
• (Nuevo, post-Omnibus) Sistemas que generen contenido íntimo no consentido (NCII) o material de abuso sexual infantil (CSAM), incluidos los "nudifiers".

Estas prohibiciones rigen desde el 2 de febrero de 2025. La nueva prohibición sobre NCII/CSAM entra en vigor con la adopción formal del Omnibus. Violar el Art. 5 es la infracción más grave del Reglamento: hasta 35 M€ o el 7% de la facturación anual global.

Alto riesgo: requisitos estrictos antes de operar

Los sistemas de alto riesgo son el núcleo del Reglamento. Antes de llegar al mercado deben superar un proceso de conformidad con requisitos estrictos: documentación técnica, gestión de riesgos, gobernanza de datos, trazabilidad, supervisión humana, ciberseguridad. Los detallamos en la siguiente sección.

Riesgo limitado: obligaciones de transparencia

Sistemas con obligaciones específicas de transparencia, sin evaluación de conformidad previa. El caso típico: un chatbot debe identificarse como IA, un deepfake debe estar etiquetado. Estas obligaciones (Art. 50) entran en vigor el 2 de agosto de 2026, salvo el watermarking del Art. 50(2), que aplica desde el 2 de diciembre de 2026 tras el ajuste del Omnibus.

Riesgo mínimo: sin obligaciones específicas del AI Act

La mayoría de los sistemas de IA en el mercado hoy caen aquí: filtros de spam, IA en videojuegos, sistemas de recomendación genéricos. Sin obligaciones específicas del AI Act, aunque sí aplican otras normativas sectoriales.

Sistemas de IA de alto riesgo: el corazón del Reglamento

Los sistemas de alto riesgo se definen por dos vías:

• Anexo I: sistemas de IA que son componentes de seguridad de productos ya regulados (dispositivos médicos, vehículos, juguetes, ascensores, embarcaciones). Aplicación: 2 ago 2028 post-Omnibus.
• Anexo III: ocho ámbitos de uso autónomos que el legislador consideró de alto impacto en derechos fundamentales. Aplicación: 2 dic 2027 post-Omnibus.

Es en el Anexo III donde entra la mayoría de empresas de servicios.

Sectores afectados según el Anexo III

Los ocho ámbitos: identificación biométrica; gestión de infraestructuras críticas; educación y formación profesional; empleo, gestión de trabajadores y acceso al autoempleo; acceso a servicios esenciales como crédito o seguros; aplicación de la ley; control migratorio y de fronteras; administración de justicia y procesos democráticos.

Si tu empresa usa IA en cualquiera de estos ámbitos, directamente o a través de un proveedor SaaS, estás ante un sistema High-Risk potencial. La clasificación no depende del nombre comercial de la herramienta; depende de su función real.

Obligaciones del proveedor de un sistema de alto riesgo

Antes de poner en el mercado un sistema de alto riesgo, el proveedor debe cumplir los Arts. 9 a 15 del Reglamento. Eso incluye:

• Establecer un sistema de gestión de riesgos continuo (Art. 9).
• Garantizar calidad de datos de entrenamiento y test (Art. 10).
• Elaborar documentación técnica completa (Art. 11).
• Incorporar capacidades de trazabilidad mediante registros automáticos (Art. 12).
• Informar de forma transparente al deployer sobre capacidades y limitaciones (Art. 13).
• Diseñar el sistema con supervisión humana efectiva (Art. 14).
• Garantizar precisión, robustez y ciberseguridad (Art. 15).

Una vez en el mercado, el sistema debe registrarse en la base de datos de la UE para IA de alto riesgo, gestionada por la Comisión Europea.

Obligaciones del responsable del despliegue (deployer)

El deployer no se libra por comprar a un proveedor con la conformidad hecha (Art. 26). Sus obligaciones incluyen:

• Usar el sistema exclusivamente según las instrucciones del proveedor.
• Mantener supervisión humana efectiva.
• Informar a las personas afectadas de que se usa IA.
• Conservar los registros de uso durante el periodo establecido.
• Realizar una Evaluación de Impacto en Derechos Fundamentales (FRIA, Art. 27) cuando sea: organismo de Derecho público, entidad privada que presta servicios públicos, o deployer privado de sistemas de credit scoring o de fijación de precios en seguros de vida y salud.

Si el deployer modifica sustancialmente el sistema (cambia su función prevista, ajusta datos de entrenamiento, o altera la clasificación de riesgo), se convierte en proveedor y asume todas las obligaciones correspondientes.

Marcado CE para sistemas de IA

Los sistemas High-Risk que sean componentes de seguridad de productos regulados siguen la ruta de certificación ya existente para esos productos, con requisitos adicionales del AI Act. Los sistemas High-Risk del Anexo III emiten una Declaración de Conformidad UE y pueden ostentar el marcado CE una vez completado el proceso de evaluación de conformidad.

AI Act y RRHH: por qué tu ATS sigue siendo High-Risk

El punto 4 del Anexo III clasifica como High-Risk los sistemas de IA usados en el ámbito del empleo, la gestión de trabajadores y el acceso al autoempleo. Es el ámbito con mayor impacto directo en el día a día de la mayoría de empresas europeas, y el más ignorado por los equipos de RRHH.

El Omnibus retrasa la aplicación al 2 de diciembre de 2027. Eso no significa esperar a noviembre de 2027 para empezar. Significa que tienes 16 meses adicionales para hacer el trabajo bien, y que esos 16 meses están siendo la ventana en la que las empresas serias están construyendo su programa de cumplimiento.

Anexo III, punto 4: qué sistemas caen dentro

El Reglamento es explícito. Son High-Risk los sistemas de IA que asisten o toman decisiones en:

• Selección y filtrado de candidatos a partir de CVs o solicitudes.
• Evaluación de candidatos en procesos de entrevista.
• Asignación de tareas o supervisión del rendimiento de trabajadores.
• Evaluación del desempeño o valoración del comportamiento del personal.
• Terminación de relaciones laborales.

Si tu ATS usa IA para puntuar candidatos, tu plataforma de gestión del rendimiento aplica scoring automático, o tu herramienta de reclutamiento filtra CVs con modelos de lenguaje, estás ante un sistema High-Risk. No importa que lo hayas comprado a un tercero: como deployer, eres parte responsable del cumplimiento.

Obligaciones del empleador como deployer en contexto laboral

El empleador tiene tres obligaciones clave que van más allá de lo puramente técnico:

• Información. Informar a los representantes de los trabajadores, y en muchos casos a los propios trabajadores, del uso de IA en decisiones que les afectan.
• Conservación de registros. Mantener los registros automáticos generados por el sistema durante el periodo que establezca el proveedor.
• Supervisión humana real. El Art. 14 exige que el supervisor humano pueda entender las salidas del sistema y tenga la capacidad real de anularlas cuando sea necesario. La supervisión cosmética, que aprueba sistemáticamente las salidas del algoritmo sin análisis crítico, no cumple.

Cómo elegir un proveedor de talento alineado con el AI Act

Si usas una plataforma de talento para cubrir posiciones técnicas y el proceso de matching usa IA, ese proveedor opera un sistema bajo el Anexo III, punto 4. Las preguntas que debes hacerle:

• ¿Está documentado el proceso de matching conforme al Art. 11?
• ¿Hay supervisión humana verificable y auditable sobre cada propuesta de candidato (Art. 14)?
• ¿Cada perfil incluye evidencia técnica objetiva de los skills del candidato, o es opaco el proceso?

Multas y sanciones: cuánto te cuesta no cumplir

El Reglamento establece tres tramos de sanciones. En todos ellos se aplica el importe mayor entre la cifra fija y el porcentaje de la facturación anual global.

Tres matices críticos:

1. El cálculo sobre el grupo. El porcentaje se aplica sobre la facturación anual del grupo empresarial, no de la entidad local. Para una multinacional con 1.000 M€ de facturación consolidada, el máximo por usar un sistema prohibido es 70 M€ (el 7% de 1.000 M€), que supera el umbral fijo de 35 M€.

2. Pymes, startups y SMCs: la lógica se invierte. El Art. 99(6) establece que, para pymes y startups, la multa será la cantidad menor entre el porcentaje y el importe fijo (no la mayor, como en el régimen general). El Omnibus extiende este tratamiento favorable a la nueva categoría de small mid-cap enterprises (SMCs). El incumplimiento sigue siendo sancionable, pero el techo se reduce de forma significativa.

3. Responsabilidad civil adicional. El régimen sancionador del AI Act no sustituye a la responsabilidad civil. Si un sistema High-Risk usado sin conformidad causa daño a una persona, existen vías adicionales de reclamación bajo el RGPD si hay datos personales involucrados.

AESIA y el sandbox regulatorio español

Qué es AESIA y qué competencias tiene

La Agencia Española de Supervisión de la Inteligencia Artificial fue creada por el Real Decreto 729/2023 y se convirtió en una de las primeras autoridades nacionales dedicadas exclusivamente a la supervisión de IA en la Unión Europea. Su sede está en A Coruña. Eso posiciona a España como referente en la arquitectura de supervisión del AI Act a nivel europeo.

Sus competencias principales: supervisar el cumplimiento del AI Act en España; participar en el Comité Europeo de Inteligencia Artificial (CEAI) que coordina a todas las autoridades nacionales; gestionar el sandbox regulatorio español; y coordinar con otras autoridades cuando los casos toquen sus competencias específicas.

El sandbox regulatorio: cómo participar

El sandbox regulatorio de AESIA permite a empresas que desarrollan sistemas de IA testar esos sistemas en un entorno supervisado con reducción temporal de la carga regulatoria. El objetivo: facilitar la innovación sin renunciar a la supervisión.

Las empresas que más se benefician del sandbox son las que desarrollan sistemas que podrían caer en el Anexo III pero tienen incertidumbre sobre la clasificación final, o las que necesitan validar su aproximación técnica al cumplimiento antes de comprometer recursos en una conformidad formal.

El Omnibus ha retrasado el plazo de creación de sandboxes nacionales operativos en todos los Estados miembros al 2 de agosto de 2027. AESIA opera ya el suyo desde 2024, lo que da a España una ventaja temporal.

Relación con AEPD, CNMC e INCIBE

El mapa de reguladores que puede tocar a tu empresa cuando despliegas IA en España:

AI Act + RGPD: cómo se relacionan

La mayoría de sistemas de IA empresariales tratan datos personales. Eso significa que en casi todos los casos relevantes, el AI Act y el RGPD aplican de forma simultánea, no alternativa.

Solapamientos clave

Base jurídica y calidad de datos. El RGPD requiere base jurídica para tratar datos personales. El AI Act exige, adicionalmente, que los datos de entrenamiento y test cumplan principios de pertinencia, minimización y calidad (Art. 10). Son requisitos complementarios, no alternativos.

Decisiones automatizadas. El Art. 22 del RGPD restringe las decisiones totalmente automatizadas con efectos jurídicos significativos sobre personas. El Art. 14 del AI Act exige supervisión humana efectiva para los sistemas High-Risk. Un sistema High-Risk que toma decisiones sobre personas debe cumplir ambas normas: garantizar intervención humana (RGPD Art. 22) y que esa intervención sea efectiva (AI Act Art. 14).

Evaluaciones de impacto. El RGPD requiere DPIAs cuando hay alto riesgo para derechos de personas. El AI Act introduce las FRIAs para tres tipos de deployers de sistemas High-Risk: organismos de Derecho público, entidades privadas que prestan servicios públicos, y deployers privados de credit scoring y de seguros de vida y salud. En muchos casos, una sola evaluación bien diseñada cubre ambos marcos.

Registros. El Registro de Actividades de Tratamiento (ROPA) del RGPD puede servir de base para el registro de sistemas de IA del Art. 49 del AI Act. Integrar ambos documentos desde el inicio reduce la carga administrativa y evita duplicidades.

Doble cumplimiento práctico

Cuando un sistema High-Risk trata datos personales, las obligaciones del RGPD y las del AI Act aplican de forma acumulativa. No se "descuenta" una por cumplir la otra. El camino más eficiente es un programa unificado que mapee desde el inicio qué partes de la documentación sirven para ambos marcos.

La AEPD ha publicado orientaciones específicas sobre la intersección entre AI Act y RGPD. Cuando un sistema High-Risk toma o influye significativamente en decisiones sobre personas, tanto el Art. 22 del RGPD como los Arts. 13 y 14 del AI Act aplican de forma acumulativa. Ignorar cualquiera de los dos marcos es un riesgo regulatorio directo.

Cómo prepararte hoy: checklist de 7 pasos actualizado

1. Inventario de sistemas de IA. Mapea todos los sistemas que tu organización usa o desarrolla. Incluye herramientas SaaS con funcionalidades de IA: tu ATS, plataforma de gestión del rendimiento, scoring de crédito, chatbots de atención al cliente. Sin inventario, el gap analysis no tiene base.
2. Clasificación de riesgo. Para cada sistema, aplica el checklist del Anexo III y la orientación publicada por la Oficina Europea de IA. La clasificación correcta define el camino de cumplimiento. Una clasificación errónea puede dejarte expuesto incluso si realizas todos los pasos subsiguientes correctamente.
3. Gap analysis técnico. Para cada sistema High-Risk, compara la documentación existente con los requisitos de los Arts. 9-15. Identifica gaps en documentación técnica, sistema de gestión de riesgos, gobernanza de datos y registros de supervisión humana. El gap analysis es también el argumento para presupuesto interno: conecta los gaps con las sanciones aplicables.
4. Plan de conformidad priorizado tras el Omnibus. El calendario nuevo te da margen pero no excusa. Secuenciar:
   • 2 dic 2026: watermarking del Art. 50(2) si tu sistema genera contenido sintético.
   • 2 ago 2026: resto de obligaciones de transparencia del Art. 50.
   • 2 dic 2027: sistemas High-Risk del Anexo III, incluidos los de RRHH y selección.
   • 2 ago 2028: sistemas High-Risk del Anexo I (productos regulados).
5. AI literacy obligatoria (Art. 4). Vigente desde el 2 de febrero de 2025. Si tu empresa no tiene programa documentado, está ya en incumplimiento. La formación debe ser adecuada al rol específico y al sistema concreto: un módulo genérico no cumple. (Queda por confirmar si el texto final del Omnibus modifica esta obligación.)
6. Evaluación de proveedores. Revisa tus contratos con proveedores de sistemas de IA. Bajo el Art. 25, puedes apoyarte en la evaluación de conformidad del proveedor, pero solo si puede demostrarla con documentación. Añade el cumplimiento del AI Act como criterio en los procesos de selección. Para plataformas de talento que usan matching: exige documentación del proceso, supervisión humana auditable y evidencia técnica de los skills de cada perfil.
7. Governance y responsable interno. Designa un responsable del AI Act (puede ser el DPO, Head of Legal o CTO según la estructura). Crea un registro de sistemas de IA. Integra el programa con el marco RGPD existente para evitar duplicidades.

Preguntas frecuentes sobre el AI Act

¿Qué es el AI Act en español?

El AI Act es el Reglamento (UE) 2024/1689, la primera ley integral sobre inteligencia artificial. Establece obligaciones para proveedores y responsables del despliegue de sistemas de IA en función del riesgo que generan. Aplica directamente en los 27 Estados miembros desde el 1 de agosto de 2024.

¿Cuándo entra en vigor el AI Act tras el Digital Omnibus?

Entró en vigor el 1 de agosto de 2024 con aplicación progresiva. Las prácticas prohibidas y la AI literacy aplican desde el 2 de febrero de 2025; la gobernanza y los modelos GPAI desde el 2 de agosto de 2025; la aplicación general el 2 de agosto de 2026. Tras el Omnibus, los sistemas de alto riesgo del Anexo III aplican desde el 2 de diciembre de 2027 y los del Anexo I desde el 2 de agosto de 2028.

¿Qué empresas deben cumplir el AI Act?

Cualquier organización que desarrolle, comercialice o use sistemas de IA dentro del mercado UE, independientemente de dónde esté establecida. Incluye proveedores, importadores, distribuidores y responsables del despliegue. El tamaño no exime, aunque pymes, startups y small mid-caps tienen techos de sanción más bajos.

¿Qué se considera un sistema de IA de alto riesgo?

Los sistemas listados en el Anexo III: IA usada en empleo y gestión de trabajadores, educación, infraestructuras críticas, acceso a servicios esenciales, aplicación de la ley, migración, justicia y procesos democráticos. También los del Anexo I, integrados como componentes de seguridad de productos regulados.

¿Mi ATS es de alto riesgo según el AI Act?

Sí, si toma o asiste decisiones en filtrado de candidatos, scoring, evaluación de desempeño, asignación de tareas o terminación de contratos. El Anexo III, punto 4, clasifica explícitamente estos sistemas como High-Risk. Las obligaciones aplican desde el 2 de diciembre de 2027 tras el Omnibus.

¿Qué pasa si no cumples el AI Act?

Tres tramos: hasta 35 M€ o 7% de la facturación por sistemas prohibidos; hasta 15 M€ o 3% por incumplir obligaciones High-Risk; hasta 7,5 M€ o 1% por información incorrecta a autoridades. Se aplica la cantidad mayor, salvo para pymes, startups y SMCs, donde se aplica la menor (Art. 99.6).

¿Quién supervisa el AI Act en España?

AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), creada por el Real Decreto 729/2023 y operativa desde 2024. Coordina con AEPD, CNMC e INCIBE para casos que toquen privacidad, competencia o ciberseguridad.

¿Cómo se relaciona el AI Act con el RGPD?

Son normas complementarias. El RGPD regula el tratamiento de datos personales; el AI Act regula el sistema de IA en sí. Un sistema High-Risk que trate datos personales debe cumplir ambos. La AEPD ha publicado orientaciones específicas sobre esta intersección.

¿El Omnibus debilita el AI Act?

No. Da más tiempo, pero mantiene la arquitectura. Las obligaciones, los requisitos técnicos y las sanciones se conservan. Lo que cambia es el calendario de aplicación de los sistemas High-Risk y algunos ajustes técnicos. Para las empresas, significa más tiempo para preparar el cumplimiento, no menos exigencia cuando llegue.

Fuentes y referencias

Marco regulatorio: Reglamento (UE) 2024/1689, EUR-Lex · Comisión Europea, AI Act overview · Consejo de la UE, acuerdo provisional Digital Omnibus on AI (7 mayo 2026) · Parlamento Europeo, Legislative Train Schedule, Digital Omnibus on AI.

Autoridades supervisoras: AESIA, Agencia Española de Supervisión de la Inteligencia Artificial · BOE, Real Decreto 729/2023 · AEPD, orientaciones sobre IA y protección de datos.