AI Act en agosto de 2026: ¿sabes qué sistemas utiliza realmente tu empresa?

¿Tu empresa utiliza un chatbot para atender a clientes?

¿Has implantado una herramienta que filtra candidatos, analiza entrevistas o recomienda contrataciones?

¿Utilizas inteligencia artificial para evaluar la solvencia de una persona, detectar fraude o decidir si puede acceder a un servicio?

¿Generas imágenes, vídeos, textos o voces mediante IA?

Si la respuesta a alguna de estas preguntas es sí, el AI Act ya no es una cuestión lejana. Conviene revisar qué sistemas utiliza tu empresa y qué obligaciones pueden afectarle.

1. Qué cambia en agosto de 2026

El AI Act no empieza a aplicarse de golpe. Sus obligaciones entran en vigor de forma progresiva.

Desde febrero de 2025 ya se aplican las prohibiciones sobre determinados usos de la inteligencia artificial y las obligaciones relacionadas con la alfabetización en IA dentro de las organizaciones.

El 2 de agosto de 2026 comienza otra fase relevante. Desde esa fecha serán aplicables, entre otras, determinadas obligaciones de transparencia para sistemas que interactúan con personas.

Por ejemplo, cuando un cliente habla con un chatbot, debe poder saber que está interactuando con una IA, salvo que resulte evidente por el contexto.

También existen obligaciones para determinados contenidos generados o manipulados artificialmente. El texto del Digital Omnibus aprobado por el Parlamento Europeo prevé un plazo hasta el 2 de diciembre de 2026 para aplicar algunas obligaciones técnicas de marcado de contenidos generados mediante IA.

El calendario de los sistemas de alto riesgo también está cambiando. En junio de 2026, el Parlamento Europeo aprobó el aplazamiento de sus principales obligaciones. En la fecha de este artículo, todavía falta la adopción formal del Consejo.

En sencillo: agosto de 2026 sigue siendo importante, pero ya no debe presentarse como la fecha en la que entra en aplicación todo el régimen de alto riesgo.

2. Qué sistemas pueden estar afectados

No toda herramienta que utiliza inteligencia artificial es un sistema de alto riesgo.

Un asistente que resume reuniones internas no tiene, en principio, el mismo impacto que un sistema que decide quién consigue un empleo, un préstamo o una prestación.

Entre los usos que requieren especial atención se encuentran:

• Sistemas de selección, evaluación o gestión de trabajadores.
• Sistemas utilizados para evaluar la solvencia de personas.
• Herramientas de reconocimiento de emociones o categorización biométrica.
• Sistemas que generan o manipulan imágenes, vídeos, audios o textos.
• Chatbots y asistentes que interactúan directamente con clientes.

Pensemos en una entidad financiera que utiliza un sistema para analizar ingresos, deudas e historial de pagos y recomendar si concede un crédito. Su finalidad puede situarlo dentro de los sistemas de alto riesgo.

En cambio, un chatbot que únicamente responde preguntas frecuentes estará normalmente sujeto a obligaciones más limitadas, principalmente de transparencia.

El nombre comercial del producto no determina su clasificación. Lo importante es qué hace realmente dentro del proceso.

3. Cómo prepararse

El primer paso no es redactar una política de inteligencia artificial. Es saber qué está utilizando realmente la empresa.

Cuando analizo un sistema, empiezo por cinco preguntas:

1. ¿Para qué se utiliza?
2. ¿Qué datos procesa?
3. ¿Qué decisión toma o recomienda?
4. ¿Quién puede verse afectado?
5. ¿Qué proveedor y qué área interna lo controlan?

Con esa información se puede elaborar un inventario y clasificar cada caso de uso.

También debe aclararse el papel de la empresa. No es lo mismo desarrollar y comercializar un sistema que comprarlo para utilizarlo dentro de un proceso propio.

Legal y Compliance deben participar, pero no pueden hacerlo solos. Necesitan trabajar con IT, Seguridad, Compras, Recursos Humanos, Riesgos y las áreas de negocio.

Un sistema de IA no se entiende revisando únicamente el contrato. Hay que ver cómo funciona en la práctica.

4. Cómo cumplir

En los sistemas sujetos a transparencia, las medidas deben ser claras y visibles.

Si una persona habla con un chatbot, debe saberlo. Si se publica un contenido artificial que puede confundirse con contenido real, puede ser necesario identificarlo. Si se utiliza reconocimiento de emociones o categorización biométrica, habrá que informar a las personas afectadas y revisar si el uso es legalmente admisible.

Para los sistemas de alto riesgo, el cumplimiento será más amplio:

• Identificar y gestionar los riesgos.
• Controlar la calidad y procedencia de los datos.
• Mantener registros y trazabilidad.
• Establecer una supervisión humana efectiva.
• Comprobar la precisión, robustez y ciberseguridad del sistema.

También habrá que revisar los contratos con los proveedores. La empresa debe recibir información suficiente sobre el funcionamiento del sistema, sus limitaciones, sus actualizaciones y los incidentes que puedan afectarlo.

Comprar una herramienta conocida no significa que el proveedor se ocupe de todas las obligaciones.

5. Cómo saber que estás cumpliendo

Cumplir no consiste únicamente en tener una política aprobada.

La empresa debe poder demostrar:

• Por qué ha clasificado el sistema de una determinada manera.
• Qué riesgos ha identificado.
• Qué controles ha implantado.
• Quién supervisa su funcionamiento.
• Qué información ha recibido del proveedor.
• Cómo detecta cambios, errores o incidentes.

Las evidencias pueden incluir análisis de riesgos, documentación técnica, contratos, capturas de los avisos, logs, pruebas de funcionamiento, actas de aprobación, formación y revisiones periódicas.

La pregunta no es solo si existe un control. La pregunta es si puedes probar que funciona.

6. Conclusiones

El posible aplazamiento de algunas obligaciones no elimina el trabajo pendiente.

Las empresas deben aprovechar este periodo para conocer sus sistemas, entender cómo se utilizan y establecer controles proporcionados a su impacto.

Mi enfoque es sencillo: comprender el sistema, analizar el riesgo, definir medidas que puedan aplicarse y conservar evidencia de su cumplimiento.

El cumplimiento del AI Act no debe quedarse en una política. Tiene que trasladarse al producto, a los contratos, a los sistemas tecnológicos y a la forma en la que las personas toman y supervisan las decisiones.