La AI Act no es solo un tema para los proveedores de modelos y las grandes empresas tecnológicas. También afecta a las empresas habituales que usan IA en la comunicación con los clientes, en RR. HH., en los flujos de trabajo internos, en el marketing y en los procesos de decisión.
El primer paso práctico no es un informe jurídico de 80 páginas. Es un registro de IA, es decir, una lista de herramientas, finalidades, datos, responsables, proveedores, riesgos, registro de actividad y revisión humana. Sin esa lista, una empresa a menudo ni siquiera sabe qué debe evaluar.
Este artículo no es asesoramiento jurídico. Es una lista de comprobación técnica y organizativa para la dirección, TI y los responsables de producto.
Cronología que conviene conocer
La AI Act entró en vigor el 1 de agosto de 2024, pero sus obligaciones se aplican de forma escalonada. Las prácticas prohibidas y las obligaciones de alfabetización en IA se aplican desde el 2 de febrero de 2025. Las normas para los modelos de IA de uso general se aplican desde el 2 de agosto de 2025. Las normas de transparencia, incluidos los requisitos relevantes para los chatbots y determinados contenidos generados por IA, se aplican a partir del 2 de agosto de 2026.
Tras el acuerdo político del 7 de mayo de 2026, se espera que las obligaciones para determinados sistemas de alto riesgo, incluidos los casos de uso en el empleo, se apliquen a partir del 2 de diciembre de 2027. Se espera que los sistemas de alto riesgo integrados en productos regulados sigan el 2 de agosto de 2028. Estas prórrogas no son motivo para posponer un registro de IA, la formación del personal o las medidas de transparencia que una empresa ya necesita.
Qué usos de IA revisar primero
Empiece donde la IA habla con personas, trata datos personales o puede influir en una decisión.
Áreas típicas:
- chatbot en el sitio web o en la aplicación,
- IA en la atención al cliente,
- cribado de CV, clasificación de candidaturas o gestión de trabajadores,
- agente interno con acceso a CRM, ERP, correo electrónico o documentos,
- contenido de marketing generado, imágenes, voz o vídeo,
- puntuación de clientes, prioridades, riesgos o acceso a un servicio.
RR. HH. merece especial atención. Si utiliza IA en la contratación o el empleo, lea nuestro artículo sobre la AI Act y la IA de alto riesgo en RR. HH..
El registro de IA como mínimo
| Elemento | Qué registrar |
|---|
| Nombre de la herramienta | por ejemplo, chatbot web, agente de CRM, cribado de RR. HH. |
| Responsable | responsable de negocio y responsable técnico |
| Finalidad | qué hace la herramienta y por qué |
| Datos | entradas, datos personales, datos sensibles, fuentes |
| Proveedor | solución propia, SaaS, proveedor de API, proveedor de modelo |
| Usuarios | empleados, clientes, candidatos, socios |
| Riesgo | bajo, medio, alto y por qué |
| Revisión humana | dónde una persona comprueba o aprueba el resultado |
| Transparencia | cómo se informa al usuario |
| Registro de actividad | qué se registra y durante cuánto tiempo |
| Estado | idea, piloto, producción, desactivado |
Un registro de IA es útil incluso más allá del cumplimiento normativo. La dirección puede ver dónde se duplica la IA, dónde pueden filtrarse datos y dónde faltan controles técnicos.
Controles técnicos para un flujo de trabajo de IA
Hágase estas preguntas para cada flujo de trabajo interno de IA:
- ¿Tiene la herramienta un responsable claro?
- ¿Están documentados la finalidad y el alcance?
- ¿Sabemos qué datos trata?
- ¿Se informa al usuario cuando interactúa con IA o cuando la IA contribuye de forma sustancial al resultado?
- ¿Están los permisos limitados al mínimo?
- ¿Se registran las entradas, las salidas, las herramientas y las decisiones?
- ¿Puede una persona detener o modificar un resultado arriesgado?
- ¿Existe un proceso para incidentes?
- ¿Puede el proveedor facilitar documentación?
- ¿Tiene la empresa normas para el contenido generado?
Con software propio, estos controles pueden diseñarse desde el principio. Con herramientas SaaS, hay que preguntar qué puede ofrecer realmente el proveedor.
Qué hacer en los primeros 30 días
- Inventaríe todas las herramientas de IA de la empresa.
- Asigne un responsable a cada herramienta.
- Divida los casos de uso por riesgo.
- Marque la IA utilizada en la interacción con clientes, en RR. HH. y en las decisiones.
- Revise los proveedores y los datos.
- Someta a aprobación las acciones de agente arriesgadas.
- Añada un registro de actividad básico.
- Prepare normas para el contenido generado.
- Forme a los usuarios en el uso seguro de la IA.
- Elija un flujo de trabajo para reforzar primero.
En qué puede ayudar RISE
RISE no actúa como asesor jurídico. Nuestro valor está en la implementación técnica de estas reglas. Construimos registros de IA, registro de actividad, flujos de trabajo de aprobación, gestión de roles e integraciones seguras. También auditamos las herramientas existentes y diseñamos pilotos de menor riesgo.
El cumplimiento sin implementación se queda en un documento. La implementación sin gobernanza es un riesgo. Una empresa necesita ambas cosas. Si desea inventariar sus herramientas de IA y añadir controles técnicos, empiece con la automatización con IA o contáctenos.
Fuentes
FAQ
¿Se aplica la AI Act a las empresas que solo usan IA?
Sí. Según el caso de uso, los implementadores o usuarios de sistemas de IA también pueden tener obligaciones. El alcance depende de la finalidad y la categoría de riesgo.
¿Son los agentes de IA una categoría aparte?
Según el AI Act Service Desk, los agentes de IA no son una categoría aparte. Las normas dependen de lo que hace el agente y de la categoría de riesgo en la que entra el caso de uso.
¿Debe etiquetarse un chatbot como IA?
Los sistemas que interactúan con personas físicas necesitan transparencia. Las normas pertinentes se aplican a partir del 2 de agosto de 2026. La redacción y el formato exactos dependen de la implementación.
¿Es esto asesoramiento jurídico?
No. Es una lista de comprobación técnica y organizativa. Para una evaluación jurídica, recurra a un abogado o a un especialista en cumplimiento normativo.