3 min read

Obligaciones del AI Act para empresas en 2026: qué revisar ya

Guía práctica para empresas que quieren revisar sus obligaciones bajo el AI Act en 2026: inventario de sistemas, riesgos, proveedores, documentación y gobernanza.

El AI Act ya no es una norma lejana para departamentos jurídicos. En 2026 muchas empresas van a tener que demostrar que entienden qué sistemas de inteligencia artificial usan, con qué finalidad, quién los proporciona y qué riesgos generan.

La primera obligación práctica no es rellenar documentos. Es saber qué IA se está usando realmente en la empresa.

1. Inventario de sistemas de IA

El punto de partida debe ser un inventario interno. No basta con listar herramientas evidentes como ChatGPT, Copilot o generadores de imagen. También conviene revisar:

  • Herramientas de selección de personal.
  • Software de scoring, clasificación o priorización.
  • Automatizaciones en atención al cliente.
  • Sistemas de analítica predictiva.
  • Herramientas de ciberseguridad con decisión automatizada.
  • Plataformas de marketing que perfilan usuarios.
  • Soluciones SaaS que incorporan IA aunque no se vendan como producto de IA.

Para cada sistema conviene documentar proveedor, finalidad, usuarios internos, datos tratados, nivel de autonomía y posibles efectos sobre personas.

2. Identificar el papel de la empresa

Una empresa puede actuar como proveedora, deployer o usuaria de un sistema de IA. Esta distinción importa porque las obligaciones no son iguales.

Una pyme que usa una herramienta externa para redactar textos no tiene el mismo rol que una empresa que desarrolla un modelo propio para tomar decisiones sobre clientes, empleados o usuarios.

La revisión debe contestar al menos estas preguntas:

  • ¿La empresa desarrolla IA o solo usa herramientas de terceros?
  • ¿La IA toma decisiones o solo asiste a una persona?
  • ¿Hay impacto sobre derechos, empleo, crédito, salud, educación o acceso a servicios?
  • ¿Se tratan datos personales?
  • ¿Hay usuarios o clientes expuestos al resultado?

3. Clasificar riesgos

El AI Act trabaja con categorías de riesgo. No todos los usos de IA requieren el mismo esfuerzo, pero algunos pueden exigir controles importantes.

Conviene separar:

  • Usos prohibidos o especialmente sensibles.
  • Sistemas de alto riesgo.
  • Sistemas con obligaciones de transparencia.
  • Usos internos de bajo riesgo.

La clasificación no debe hacerse solo por el nombre de la herramienta. Hay que mirar el caso de uso concreto. Una misma tecnología puede ser poco relevante en un contexto y crítica en otro.

4. Revisar contratos y proveedores

Muchas empresas usarán IA mediante proveedores externos. Eso no elimina la responsabilidad interna. Hay que revisar:

  • Condiciones del servicio.
  • Tratamiento de datos personales.
  • Uso de datos para entrenamiento.
  • Ubicación de proveedores y subencargados.
  • Garantías de seguridad.
  • Documentación técnica disponible.
  • Posibilidad de auditoría o trazabilidad.

Si un proveedor no permite entender mínimamente cómo se usa la IA, puede generar un riesgo jurídico y operativo.

5. Documentación mínima

La empresa debería poder demostrar que ha actuado con diligencia. Para usos relevantes de IA, la documentación mínima puede incluir:

  • Inventario de sistemas.
  • Evaluación de finalidad y riesgos.
  • Base jurídica si hay datos personales.
  • Política interna de uso de IA.
  • Procedimiento de validación de herramientas.
  • Registro de proveedores.
  • Medidas de supervisión humana.
  • Plan de respuesta ante incidencias.

No se trata de crear burocracia artificial. Se trata de tener pruebas razonables si hay una inspección, reclamación, incidente o conflicto con cliente.

6. Formación interna

Una parte importante del riesgo no está en la herramienta, sino en cómo la usa el equipo. Un trabajador puede introducir datos personales, secretos comerciales o información de clientes en una herramienta de IA sin mala fe.

Por eso conviene formar al menos a:

  • Dirección.
  • Equipos comerciales.
  • Marketing.
  • Recursos humanos.
  • IT y ciberseguridad.
  • Personas que usen IA generativa con información de clientes.

La formación debe ser práctica: qué se puede introducir, qué no, cómo revisar resultados, cómo citar o documentar el uso y cuándo pedir validación legal.

7. Relación con RGPD y compliance

El AI Act no sustituye al RGPD. Si la IA trata datos personales, sigue siendo necesario revisar información, base jurídica, encargados, transferencias, seguridad y derechos de las personas.

Además, si la IA afecta a procesos relevantes de negocio, puede entrar en el mapa de compliance de la empresa. No es solo tecnología: es gobierno del riesgo.

Conclusión

La empresa que quiera prepararse para el AI Act en 2026 debería empezar por un diagnóstico sencillo pero serio:

  • ¿Qué IA usamos?
  • ¿Para qué?
  • ¿Con qué datos?
  • ¿Quién decide?
  • ¿Qué impacto tiene?
  • ¿Qué proveedor hay detrás?
  • ¿Qué documentación podemos enseñar?

Una auditoría legal de IA permite ordenar estos puntos y priorizar medidas sin paralizar la actividad.

Para revisar un caso concreto, puede plantearse una consulta o auditoría inicial desde /contacto/.

Servicios relacionados

Published by: