Cómo preparar tu empresa para el AI Act antes del 2 de agosto de 2026
El 2 de agosto de 2026 es la fecha en que el AI Act entra en plena aplicación para los sistemas de alto riesgo. A partir de ese momento, la AESIA tendrá potestad sancionadora completa. Este artículo es un checklist práctico para que tu empresa esté preparada.
Checklist de preparación
1. Inventario de sistemas de IA
El primer paso es identificar todos los sistemas de IA que tu empresa desarrolla, despliega o utiliza:
- Sistemas propios desarrollados internamente
- Sistemas de terceros integrados en tus procesos
- APIs de IA que consumes (GPT, Claude, Gemini, etc.)
- Herramientas de automatización con componentes de IA
- Sistemas heredados que podrían clasificarse como IA
2. Clasificación de riesgo
Para cada sistema identificado, determina su nivel de riesgo según el Anexo III del AI Act:
- ¿Se usa en infraestructuras críticas (energía, transporte, agua)?
- ¿Interviene en educación o formación profesional?
- ¿Se usa en empleo, selección de personal o gestión de trabajadores?
- ¿Afecta al acceso a servicios esenciales (crédito, seguros, servicios públicos)?
- ¿Se usa en aplicación de la ley o control migratorio?
- ¿Interviene en la administración de justicia?
3. Documentación técnica
Para sistemas de alto riesgo, prepara la documentación requerida por el Art. 11:
- Descripción general del sistema y su finalidad prevista
- Elementos del diseño y la lógica del sistema
- Datos de entrenamiento, validación y prueba utilizados
- Métricas de rendimiento y limitaciones conocidas
- Medidas de supervisión humana implementadas
- Instrucciones de uso para el desplegador
4. Sistema de gestión de riesgos
Implementa un proceso continuo (Art. 9) que incluya:
- Identificación y análisis de riesgos conocidos y previsibles
- Estimación y evaluación de riesgos residuales
- Medidas de mitigación adoptadas
- Pruebas para verificar la eficacia de las medidas
- Revisión periódica del sistema de gestión
5. Gobernanza de datos
Verifica que tus datos de entrenamiento cumplen el Art. 10:
- Criterios de calidad documentados
- Representatividad verificada (ausencia de sesgos discriminatorios)
- Procedimientos de limpieza y preparación documentados
- Análisis de posibles deficiencias y medidas correctoras
6. Transparencia y supervisión humana
Asegura que:
- Los usuarios saben que interactúan con un sistema de IA
- Existe documentación clara sobre las capacidades y limitaciones
- Hay mecanismos para que un humano pueda intervenir o detener el sistema
- Los registros de actividad son accesibles y comprensibles
7. Registro en la base de datos de la UE
Los sistemas de alto riesgo deben registrarse en la base de datos europea antes de su comercialización (Art. 71). Prepara la información requerida con antelación.
Calendario recomendado
| Plazo | Acción |
|---|---|
| Inmediato | Inventario completo de sistemas de IA |
| Junio 2026 | Clasificación de riesgo completada |
| Julio 2026 | Documentación técnica preparada |
| Julio 2026 | Sistema de gestión de riesgos operativo |
| 1 agosto 2026 | Registro en base de datos UE |
| 2 agosto 2026 | Plena aplicación — todo en cumplimiento |
Errores frecuentes
- Pensar que no te afecta: si usas IA en cualquier forma profesional en la UE, el AI Act te aplica
- Confiar en que el proveedor cumple por ti: el desplegador tiene obligaciones propias
- Dejar la documentación para el final: es un proceso iterativo que requiere tiempo
- Ignorar los sistemas heredados: un sistema antiguo con componentes de IA también está sujeto
- No coordinar con el DPO: las obligaciones del AI Act y del RGPD se solapan
¿Cómo te ayuda LEXUR?
LEXUR automatiza gran parte de este proceso. Con el Modo Architect, describes tu sistema y obtienes su clasificación de riesgo y obligaciones en minutos. Con el Modo Audit, subes tu documentación existente y recibes un informe detallado de cumplimiento con remediaciones priorizadas. Sin sustituir al asesor jurídico, pero acelerando semanas de trabajo manual.
Este artículo tiene carácter informativo y no constituye asesoramiento jurídico. La fecha del 2 de agosto de 2026 para la plena aplicación de las obligaciones de alto riesgo es firme según el texto publicado del reglamento. Consulta con un profesional cualificado para tu caso concreto.
Preguntas frecuentes
¿Cuál es el primer paso para preparar una empresa para el AI Act?
El primer paso es elaborar un inventario completo de todos los sistemas de IA que la empresa desarrolla, despliega o utiliza: sistemas propios, sistemas de terceros integrados en los procesos, APIs de IA que se consumen (como GPT, Claude o Gemini), herramientas de automatización con componentes de IA y sistemas heredados que puedan clasificarse como IA.
¿Tiene obligaciones la empresa si solo usa IA de un proveedor externo?
Sí. Aunque el proveedor cumpla sus propias obligaciones, el desplegador —quien usa la IA en su actividad profesional— tiene obligaciones propias bajo el AI Act, como garantizar la supervisión humana, informar a los usuarios y conservar los registros de actividad. Confiar en que el proveedor cumple por ti es uno de los errores más frecuentes.
¿Qué documentación técnica exige el AI Act para sistemas de alto riesgo?
El Art. 11 exige una descripción general del sistema y su finalidad prevista, los elementos del diseño y la lógica del sistema, los datos de entrenamiento, validación y prueba utilizados, las métricas de rendimiento y limitaciones conocidas, las medidas de supervisión humana implementadas y las instrucciones de uso para el desplegador.
¿Qué ocurre el 2 de agosto de 2026?
El 2 de agosto de 2026 el AI Act entra en plena aplicación para los sistemas de alto riesgo y la AESIA adquiere potestad sancionadora completa. A partir de esa fecha, todos los sistemas afectados deben estar clasificados, documentados, con gestión de riesgos operativa y registrados en la base de datos de la UE.