Saltar al contenido principal

Obligaciones del Reglamento de IA para empresas que usan IA

El Reglamento (UE) 2024/1689, conocido como Reglamento de IA o AI Act, no solo afecta a quienes desarrollan inteligencia artificial: también impone obligaciones a las empresas que la usan en su día a día, aunque solo sea un chatbot de atención al cliente o una herramienta de generación de contenido.

¿Qué es un "deployer" y por qué te afecta?

El Reglamento distingue entre proveedores, que desarrollan o comercializan sistemas de IA, y deployers (responsables del despliegue), que los usan bajo su propia autoridad dentro de una actividad profesional. La inmensa mayoría de las pymes y autónomos que usan herramientas como ChatGPT, Copilot, Gemini o un chatbot de terceros son deployers, no proveedores.

Ser deployer no depende del tamaño de la empresa ni del sector. Si tu equipo usa una herramienta de IA para redactar textos, clasificar currículums, generar imágenes o atender consultas de clientes, tu empresa tiene obligaciones propias bajo el Reglamento, aunque no hayas construido ni entrenado ningún modelo.

El 2 de agosto de 2026: la fecha que no se ha movido

El 2 de agosto de 2026 es la fecha en la que se activan dos bloques de obligaciones que aplican a cualquier deployer, con independencia del nivel de riesgo del sistema que use. El primero es el artículo 4, sobre alfabetización en IA: a partir de esa fecha, las autoridades de mercado de cada país pueden supervisar y sancionar su incumplimiento. El segundo es el artículo 50, sobre transparencia, es decir, la obligación de informar cuando una persona interactúa con un chatbot o recibe contenido generado por IA.

Dentro del artículo 50, la sub-obligación de marcar técnicamente (watermarking) el contenido sintético tiene un periodo de gracia hasta diciembre de 2026, pero el resto de deberes de transparencia, como avisar del chatbot o etiquetar el contenido, se exige desde el 2 de agosto.

Qué aplazó el Digital Omnibus (y qué no)

En junio de 2026, el paquete conocido como Digital Omnibus retrasó los plazos de las obligaciones de alto riesgo: los sistemas del anexo III, por ejemplo herramientas de selección de personal o de scoring crediticio, pasan a diciembre de 2027, y los productos regulados del anexo I pasan a agosto de 2028.

Ese aplazamiento no toca ni el artículo 4 ni el artículo 50. Si tu empresa usa un chatbot, genera contenido con IA o simplemente tiene personal operando estas herramientas, las obligaciones de agosto de 2026 siguen en pie exactamente igual que antes del Omnibus. Es un error frecuente pensar que el aplazamiento cubre toda la norma, cuando en realidad solo cubre la parte de alto riesgo.

¿No sabes qué riesgo tiene tu empresa?

Antes de seguir, comprueba en 2 minutos si tu empresa usa un sistema de riesgo prohibido, alto, limitado o mínimo, y qué obligaciones concretas te aplican.

Las tres piezas de documentación que debes tener

Independientemente del tamaño de tu empresa, hay tres documentos que un inspector, un cliente corporativo o tu propio seguro de responsabilidad civil pueden pedirte a partir de agosto de 2026.

Puedes generar los tres documentos, junto con la clasificación de riesgo de cada sistema, en la plataforma de GDPR.Direct. Generar mi documentación del Reglamento de IA →

Qué pasa si no cumples: las sanciones

Obligación Sanción máxima Qué evidencia se pide
Artículo 50 (transparencia) Hasta 15 millones de euros o el 3% de la facturación mundial anual, lo que sea mayor Avisos de chatbot, etiquetas de contenido generado, registro documental
Artículo 4 (alfabetización) No tiene una multa específica en el artículo 99, pero está sujeto a supervisión Evidencia de formación del personal; usable en procedimientos de protección de datos o de responsabilidad civil

En la práctica, el riesgo económico directo más alto viene del artículo 50, pero el artículo 4 no es papel mojado: una autoridad de protección de datos o un juez pueden usar la falta de alfabetización en IA como prueba de negligencia en otro procedimiento, aunque no exista una multa dedicada.

Sigue leyendo

Preguntas frecuentes

¿Desde cuándo son obligatorios el artículo 4 y el artículo 50?

Ambos aplican desde el 2 de agosto de 2026, sin que el aplazamiento del Digital Omnibus los afecte. La única excepción es la sub-obligación de watermarking del artículo 50, que tiene un periodo de gracia hasta diciembre de 2026.

¿El aplazamiento de 2026 significa que puedo esperar?

No, para las obligaciones de deployer del artículo 4 y el artículo 50. El aplazamiento solo afecta a los sistemas de alto riesgo del anexo III, que pasan a diciembre de 2027, y a los productos regulados del anexo I, que pasan a agosto de 2028.

¿Qué pasa si mi empresa es pequeña o autónoma?

El Reglamento no exime a pymes ni a autónomos por su tamaño. Las obligaciones de transparencia y alfabetización en IA aplican igual, aunque su implementación práctica puede ser más sencilla que en una gran corporación.

¿Necesito un abogado para cumplir?

Puedes preparar el registro, la política de uso y los avisos de transparencia tú mismo con el test de esta web y GDPR.Direct. Para casos de riesgo alto o dudas complejas, conviene contar con asesoramiento legal especializado.

Contenido orientativo; no constituye asesoramiento jurídico.

Vuelve al inicio o revisa qué sistemas usa tu empresa con el test de cumplimiento.