Cumplimiento normativo
El Reglamento Europeo de Inteligencia Artificial, el AI Act, es la primera ley integral de IA del mundo, y es de obligado cumplimiento. Te ayudamos a saber si te afecta, a clasificar tus sistemas por nivel de riesgo y a cumplir las obligaciones que te correspondan, dentro del plazo.
Auditores jefe de ISO 42001 e ISO 27001 (CISA, CISSP, CISM), con experiencia en gobierno de la IA.
El calendario
El AI Act entró en vigor en 2024 y se aplica por fases. Algunas obligaciones ya rigen, otras llegan pronto. Y hay una reforma en marcha que mueve los plazos de los sistemas de alto riesgo, así que conviene mirar tu caso con calma y con quien siga la actualidad de cerca.
Situación a junio de 2026
Desde feb 2025
Ya rigen las prohibiciones de los usos de IA inaceptables y las obligaciones de alfabetización en IA de tu plantilla.
Desde ago 2025
Ya aplican las reglas de gobernanza y las obligaciones para los modelos de IA de propósito general.
Ago 2026
Llega la mayoría de obligaciones restantes, entre ellas la transparencia: avisar de que es IA y etiquetar el contenido que genera.
Lo más cercanoEl alto riesgo está en revisión: una reforma europea, el Omnibus, propone retrasar las obligaciones de los sistemas de alto riesgo más allá de 2026. El acuerdo es provisional y solo tendrá efecto cuando se publique de forma oficial; hasta entonces, el calendario original sigue vigente.
La consecuencia para ti: esperar a que se aclaren las fechas es un riesgo. El inventario y la clasificación de tus sistemas se pueden hacer ya, y son la base para cumplir cuando toque, muevan o no los plazos.
El enfoque
El AI Act no trata igual a toda la inteligencia artificial. Clasifica cada sistema según el riesgo que supone para las personas, y cuanto mayor es el riesgo, más estrictas son las obligaciones. Saber en qué nivel cae cada uno de tus sistemas es el primer paso.
Inaceptable
Usos vetados por atentar contra derechos fundamentales. No se pueden usar, sin excepción.
Alto
IA en áreas sensibles como empleo, biometría o educación. Obligaciones estrictas de gestión, documentación y supervisión.
Limitado
IA que interactúa con personas o genera contenido. Debe avisar de que es IA y etiquetar lo que produce.
Mínimo
La mayoría de aplicaciones de IA. Sin requisitos específicos, más allá de las buenas prácticas.
La mayor parte del esfuerzo se concentra en los sistemas de alto riesgo. Por eso lo primero que hacemos es clasificar: para que dediques recursos solo donde la ley de verdad lo exige.
A quién obliga
La ley reparte las obligaciones según tu papel con cada sistema de IA. Una misma organización puede ser varias cosas a la vez, según el sistema del que hablemos.
El reparto importa porque las obligaciones no son las mismas para quien fabrica la IA que para quien solo la usa. El análisis de aplicabilidad aclara qué eres y qué te toca en cada caso.
Servicio
Inventario de sistemas de IA: qué inteligencia artificial usas o desarrollas, propia o de terceros, y para qué.
Clasificación por riesgo: en qué nivel cae cada sistema, que es lo que determina las obligaciones que te aplican.
Análisis de obligaciones por rol: qué te toca como proveedor, implementador o importador de cada sistema.
Plan de adecuación con plazos: qué hacer y cuándo, teniendo en cuenta el calendario por fases y su evolución.
Gestión de riesgo y documentación de los sistemas de alto riesgo: lo que la ley exige demostrar.
Apoyo con ISO 42001: si quieres, montamos sobre la adecuación un sistema de gestión certificable de IA.
Método
Identificamos todos los sistemas de IA que usas o desarrollas, propios o de terceros.
Determinamos el nivel de riesgo de cada uno y tu rol, para saber qué obligaciones aplican.
Hoja de ruta priorizada por riesgo y plazo, centrada en lo que la ley de verdad exige.
Gestión de riesgo, documentación y evidencia, con apoyo de ISO 42001 si lo quieres.
Sinergias
El AI Act es la ley, lo que estás obligado a cumplir. ISO 42001 es la norma certificable que te ayuda a demostrarlo con un sistema de gestión ordenado. No son lo mismo y la norma no sustituye a la ley en los sistemas de alto riesgo, pero cubre buena parte de su gobernanza, así que montar las dos a la vez te ahorra trabajo: lo que documentas para una sirve para la otra. Y cuando toca comprobar que esa IA resiste de verdad, entra nuestro pentest de IA y LLM, que la ataca como lo haría un adversario real.
Lo que nos diferencia: somos auditores jefe de ISO 42001 e ISO 27001, así que entendemos la ley y el método como un solo sistema. Te ayudamos a cumplir el AI Act y, si quieres, a certificarlo con ISO 42001, sin duplicar el esfuerzo.
Dudas
Es el Reglamento Europeo de Inteligencia Artificial, la primera ley integral de IA del mundo. Entró en vigor en 2024 y es de obligado cumplimiento. Clasifica los sistemas de IA según el riesgo que suponen para las personas e impone obligaciones proporcionales: cuanto mayor es el riesgo, más estrictas. Se aplica por fases a lo largo de varios años.
Ya lo es en parte. Las prácticas prohibidas y la alfabetización en IA rigen desde febrero de 2025, y las reglas de los modelos de propósito general desde agosto de 2025. La mayoría de obligaciones restantes, incluida la transparencia, llegan en agosto de 2026. Las de los sistemas de alto riesgo están en revisión por una reforma europea que podría retrasarlas, pero hasta que se publique de forma oficial sigue vigente el calendario original.
El alto riesgo se define sobre todo por el uso: IA en áreas sensibles como el empleo (selección, evaluación), la biometría, la educación, la infraestructura crítica o ciertos productos regulados. La clasificación tiene matices, por eso el inventario y el análisis de cada sistema son el primer paso: separan lo que es de alto riesgo, con obligaciones estrictas, de lo que no.
Puede afectarte, sí. La ley distingue entre quien desarrolla la IA (proveedor) y quien la usa (implementador), y ambos tienen obligaciones, aunque distintas. Si usas IA de terceros en áreas sensibles, como herramientas de selección de personal, tienes responsabilidades propias. El análisis de aplicabilidad aclara qué papel tienes y qué te toca.
El AI Act es la ley de obligado cumplimiento; ISO 42001 es la norma certificable que te ayuda a demostrar que gobiernas tu IA con rigor. La norma cubre buena parte de la gobernanza que el AI Act exige, así que implantarla te deja gran parte del camino hecho, aunque no basta por sí sola para el alto riesgo. Montar las dos a la vez ahorra trabajo.
Las sanciones del AI Act son elevadas: pueden llegar a varios millones de euros o a un porcentaje de la facturación anual, y son mayores cuanto más grave es la infracción, con los importes más altos para los usos prohibidos. Más allá de la multa, usar IA en áreas sensibles sin cumplir es un riesgo reputacional y legal que conviene cerrar a tiempo.
En toda España. Gran parte de la adecuación es documental y de análisis, así que trabajamos contigo estés donde estés. Si prefieres cercanía, estamos en Tudela, Navarra.
¿Hablamos?
Cuéntanos qué inteligencia artificial usas o desarrollas. En una primera conversación te decimos si el AI Act te afecta, en qué nivel de riesgo caen tus sistemas y por dónde empezar.
Ponte en contacto