Mascota Jacar — leyendo contigo Un portátil cuyos ojos siguen el cursor mientras lees.
Inteligencia Artificial Startup

«EU AI Act 2026: checklist técnica para CTOs españoles»

12 min de lectura 23 lecturas
«EU AI Act 2026: checklist técnica para CTOs españoles»
Índice de contenidos
  1. Puntos clave
  2. Calendario: qué entra en vigor el 2 de agosto de 2026
  3. Clasificación: ¿tu sistema es alto riesgo, GPAI, o mínimo?
  4. Obligaciones por categoría — checklist
  5. Documentación técnica exigible (Anexo IV)
  6. Transparencia (Art. 50): qué etiquetas obliga
  7. Sanciones y régimen aplicable a GPAI
  8. Plantilla descargable y cómo usarla

Puntos clave

  • 2 de agosto de 2026 activa Anexo III (alto riesgo), Artículo 50 (transparencia), las facultades sancionadoras de la Comisión sobre GPAI y el régimen general de sanciones — fecha sin prórroga oficial confirmada.
  • El primer paso es clasificar cada sistema en uno de cuatro buckets: prohibido / alto riesgo / GPAI / mínimo. La clasificación condiciona el resto.
  • Un sistema de alto riesgo exige expediente técnico (Anexo IV), gestión de calidad, supervisión humana documentada, conservación de logs y declaración UE de conformidad antes de salir al mercado.
  • Transparencia (Art. 50) aplica también a sistemas que no son alto riesgo: chatbots etiquetados como tales, contenido sintético marcado, deepfakes identificados, sistemas que clasifican o emocionan al usuario notificados.
  • Las sanciones llegan al 7 % de la facturación mundial para prácticas prohibidas y al 3 % para incumplimiento de obligaciones de alto riesgo. Para GPAI, hasta 15 millones de euros o el 3 % de la facturación.

Calendario: qué entra en vigor el 2 de agosto de 2026

El Reglamento (UE) 2024/1689 ya está en vigor desde el 1 de agosto de 2024, pero su aplicación es escalonada. Las fechas clave para un CTO en 2026:

  • 2 de febrero de 2025 (ya pasada): prácticas prohibidas (Art. 5) y obligaciones de alfabetización en IA (Art. 4).
  • 2 de agosto de 2025 (ya pasada): obligaciones para modelos de propósito general (GPAI), gobernanza, autoridades nacionales notificadas.
  • 2 de agosto de 2026: aplicación general — Anexo III (sistemas de alto riesgo no incluidos en legislación sectorial), Artículo 50 (transparencia), facultades sancionadoras de la Comisión sobre GPAI, régimen general de sanciones del Capítulo XII.
  • 2 de agosto de 2027: alto riesgo “incrustado” en productos regulados sectorialmente (Anexo I).

La Comisión ha mantenido la fecha del 2 de agosto de 2026 frente a la presión de la industria por una prórroga; las consultas de la AI Office dan por sentado el calendario actual.

Clasificación: ¿tu sistema es alto riesgo, GPAI, o mínimo?

Una vez al año el equipo de plataforma debe inventariar TODOS los sistemas de IA en uso o desarrollo y aplicar este árbol de decisión:

  1. ¿Es práctica prohibida (Art. 5)? Manipulación cognitiva por subliminal, scoring social, identificación biométrica en tiempo real en espacio público fuera de excepciones, predicción de criminalidad por perfilado, scraping facial indiscriminado, inferencia emocional en trabajo o educación. Si sí: STOP — no se puede ofrecer en la UE.
  2. ¿Es GPAI? Modelo entrenable con autonomía amplia, integrable en sistemas downstream (típicamente LLMs y modelos multimodales). Si sí: obligaciones del Capítulo V (documentación, copyright, ficha técnica). Si además es “de riesgo sistémico” (cómputo de entrenamiento ≥10²⁵ FLOP), obligaciones reforzadas.
  3. ¿Es alto riesgo (Anexo III)? Identificación biométrica remota, infraestructuras críticas, educación/formación con efecto en acceso, empleo (selección, evaluación), servicios esenciales privados (crédito, seguros), aplicación de la ley, migración y asilo, justicia y procesos democráticos.
  4. ¿Es uno de los sistemas del Anexo I integrado en producto? (productos sanitarios, juguetes, ascensores, etc.) — sigue régimen sectorial pero hereda obligaciones AI Act adicionales.
  5. Cualquier otro caso: bucket de riesgo mínimo. Sólo aplica el Art. 50 si encaja en sus supuestos.

Obligaciones por categoría — checklist

Alto riesgo (Anexo III):

  • Sistema de gestión de calidad documentado.
  • Datos de entrenamiento, validación y prueba con políticas de gobernanza (Art. 10).
  • Documentación técnica completa (Anexo IV) actualizada antes de comercializar.
  • Logs automáticos durante el ciclo de vida (Art. 12) — retención mínima 6 meses, en muchos casos más.
  • Transparencia frente al usuario y instrucciones de uso.
  • Supervisión humana efectiva — no es un disclaimer en la documentación, es un humano con capacidad real de intervención.
  • Robustez, precisión y ciberseguridad (Art. 15) — incluye tests adversariales documentados.
  • Evaluación de conformidad (interna o por organismo notificado según anexo aplicable).
  • Declaración UE de conformidad y marcado CE.
  • Inscripción en la base de datos UE (Art. 71).

GPAI (no de riesgo sistémico):

  • Documentación técnica del modelo y datos de entrenamiento (Art. 53.1).
  • Política de cumplimiento de copyright (Art. 53.1.c).
  • Resumen detallado de los datos de entrenamiento siguiendo plantilla AI Office.
  • Cooperación con autoridad cuando se solicite.

GPAI con riesgo sistémico:

  • Lo anterior más evaluación del modelo, gestión de riesgos sistémicos, reporte de incidentes graves a la AI Office, ciberseguridad reforzada.

Riesgo mínimo:

  • Sólo Art. 50 si aplica. Adhesión voluntaria al código de prácticas recomendable.

Documentación técnica exigible (Anexo IV)

Para alto riesgo, el expediente debe incluir como mínimo:

  • Descripción general del sistema, su propósito previsto y entornos en los que se va a desplegar.
  • Especificaciones de diseño: arquitectura, decisiones algorítmicas, métricas de optimización.
  • Información sobre los datos: procedencia, etiquetado, sesgos detectados y mitigaciones.
  • Procesos de monitorización y mantenimiento posventa.
  • Métricas de rendimiento por subgrupo demográfico cuando aplique.
  • Logs y trazabilidad de versiones.
  • Evaluación de riesgos y plan de mitigación — actualizado, no estático.

Mantenemos este expediente como un repositorio Git monorepo con un model_card.yaml por sistema, validado en CI con un schema. La estructura es la misma para auditoría interna y eventual auditoría externa por organismo notificado.

Transparencia (Art. 50): qué etiquetas obliga

Aunque el sistema no sea de alto riesgo, el Art. 50 puede aplicar:

  • Sistemas que interactúan con personas físicas (chatbots, asistentes): el usuario debe saber que está interactuando con IA — salvo que sea evidente por el contexto.
  • Contenido sintético (texto, imagen, audio, vídeo) generado o manipulado por IA: debe estar marcado de forma técnicamente verificable. C2PA, watermarks invisibles y metadatos firmados son las opciones técnicas habituales.
  • Deepfakes: divulgación clara de que el contenido ha sido generado o manipulado artificialmente.
  • Sistemas de reconocimiento de emociones o categorización biométrica: notificación a las personas afectadas.

Cumplir el Art. 50 técnicamente no es opcional: la marca debe ser detectable por máquina, no sólo un texto en una nota legal.

Sanciones y régimen aplicable a GPAI

Los topes:

  • Prácticas prohibidas (Art. 5): hasta 35 millones de euros o el 7 % de la facturación mundial total del ejercicio anterior — la cifra mayor de las dos.
  • Otras infracciones del AI Act: hasta 15 millones de euros o el 3 % de la facturación mundial.
  • Información incorrecta o engañosa a autoridades: hasta 7,5 millones o el 1 %.
  • GPAI: hasta 15 millones o el 3 %, ejecutadas por la Comisión (no por la autoridad nacional).

España designó como autoridad nacional al AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en A Coruña, en operación desde 2025. Para sectores específicos puede coexistir con la AEPD (datos personales) y otros reguladores.

Plantilla descargable y cómo usarla

Plantilla en PDF descargable: un único formulario con los siete bloques de comprobación, espacio para evidencias por requisito y sección de gaps con responsable y fecha objetivo.

Cómo usarla:

  1. Inventaríe sus sistemas IA en una hoja única antes de abrir la plantilla.
  2. Clasifique cada uno en el bucket aplicable (paso anterior).
  3. Para cada alto riesgo o GPAI, abra una copia de la plantilla y compleméntela con el equipo legal, de producto y de plataforma.
  4. Establezca un calendario de revisión trimestral del expediente.
  5. Publique internamente la lista de sistemas con su estado de cumplimiento — la transparencia interna es la primera defensa frente a auditorías.

Para profundizar en gobernanza operativa de agentes IA, ver agentes en empresa: gobernanza y, en clave histórica, primeras regulaciones de IA generativa.

Las fuentes oficiales de referencia son artificialintelligenceact.eu[1] (texto consolidado y herramientas explorativas), el AI Act Service Desk de la Comisión[2] y la guía AEPD sobre IA generativa y RGPD[3] (intersección con protección de datos personales).

¿Te ha resultado útil?
[Total: 0 · Media: 0]
Post Views: 23
  1. artificialintelligenceact.eu
  2. AI Act Service Desk de la Comisión
  3. guía AEPD sobre IA generativa y RGPD

Escrito por

CEO - Jacar Systems

Apasionado de la tecnología, la infraestructura cloud y la inteligencia artificial. Escribe sobre DevOps, IA, plataformas y software desde Madrid.

444 Artículos 51K Lecturas Rating

Entradas relacionadas