El EU AI Act (Reglamento (UE) 2024/1689) es la primera ley integral de IA del mundo. Entró en vigor el 1 de agosto de 2024 y se aplica por fases: prohíbe de plano algunas prácticas de IA, impone obligaciones estrictas a los sistemas de «alto riesgo» y exige transparencia siempre que las personas interactúan con una IA o ven contenido generado por IA. En 2026, el «Digital Omnibus sobre IA» desplazó varios plazos, así que este es el panorama actualizado: qué cubre el reglamento, quién debe cumplir y para cuándo, las sanciones y qué significa para un sitio web corriente.
El AI Act es un reglamento de tipo seguridad de producto para los sistemas de IA comercializados en el mercado de la UE o cuya salida se utiliza en la UE. No regula «la IA» como tecnología — regula usos concretos según el riesgo. Cuanto mayor es el riesgo para la salud, la seguridad o los derechos fundamentales, más pesadas son las obligaciones. La mayoría de la IA cotidiana (filtros de spam, widgets de recomendación, correctores ortográficos, funciones de IA en herramientas de productividad) es de riesgo mínimo y no recibe ninguna obligación nueva.
Todo el reglamento gira en torno a esta clasificación:
El reglamento entró en vigor el 1 de agosto de 2024 e iba a aplicarse casi en su totalidad el 2 de agosto de 2026. En noviembre de 2025 la Comisión propuso el «Digital Omnibus sobre IA» para simplificarlo y escalonarlo; el Parlamento lo respaldó el 16 de junio de 2026 y el Consejo dio su aprobación final el 29 de junio de 2026. Las fechas clave ahora:
Las obligaciones se asignan por roles en la cadena de valor: proveedores (que desarrollan un sistema de IA o lo comercializan en el mercado de la UE con su propio nombre), desplegadores (que usan un sistema de IA profesionalmente), además de importadores y distribuidores. El alcance es extraterritorial — un SaaS estadounidense o británico cuya salida de IA se utiliza dentro de la UE está dentro del ámbito. Las pymes reciben ciertos alivios: documentación simplificada, acceso prioritario a los sandboxes y multas limitadas al menor de los dos importes en lugar del mayor.
Para la mayoría de las empresas, los primeros puntos de contacto reales son las normas de transparencia que se aplican a partir de agosto de 2026 — afectan a lo que los visitantes ven en su sitio:
La estructura de multas es deliberadamente similar a la del RGPD: hasta 35 millones de euros o el 7 % de la facturación anual mundial (la cifra que sea mayor) por prácticas prohibidas; hasta 15 millones de euros o el 3 % por la mayoría de las demás infracciones, incluidas las obligaciones de alto riesgo y GPAI; hasta 7,5 millones de euros o el 1 % por facilitar información incorrecta o engañosa a las autoridades. Para las pymes, cada tope es el menor de los dos importes. La aplicación se reparte entre las autoridades nacionales de vigilancia del mercado y, para los modelos GPAI, la Oficina de IA de la UE.
Beacon ya analiza lo que los motores de búsqueda y los rastreadores de IA ven realmente en su sitio web — políticas de robots.txt, contenido renderizado, datos estructurados y avisos de transparencia. Sobre esa base estamos construyendo un escaneo de preparación para el AI Act: una comprobación automatizada de las señales de transparencia visibles para sus visitantes (divulgación de chatbots, etiquetado de contenido de IA, marcado legible por máquina y metadatos relacionados) con una lista de correcciones priorizada. No será asesoramiento jurídico — pero le mostrará, en concreto, qué expone hoy su sitio y qué corregir primero.
Sí. Como el RGPD, tiene alcance extraterritorial: si comercializa un sistema de IA en el mercado de la UE o la salida del sistema se utiliza en la UE, está dentro del ámbito, con independencia de dónde esté establecida su empresa.
Prohibiciones y alfabetización en IA desde el 2 de febrero de 2025; obligaciones de los modelos GPAI desde el 2 de agosto de 2025; obligaciones de transparencia y sanciones a partir del 2 de agosto de 2026. Tras el Digital Omnibus de 2026, las obligaciones de alto riesgo se aplazaron al 2 de diciembre de 2027 (casos de uso del anexo III) y al 2 de agosto de 2028 (IA integrada en productos del anexo I).
Si publica imágenes, audio o vídeo generados o manipulados por IA (deepfakes), sí — deben etiquetarse, y los medios sintéticos deberían llevar marcado legible por máquina. Los chatbots de IA deben revelar que son IA. Los textos escritos por IA sobre asuntos de interés público deben revelarse, salvo que un editor humano asuma la responsabilidad.
Las responsabilidades se reparten por roles. El proveedor del modelo (p. ej. OpenAI) asume las obligaciones de proveedor GPAI; usted, como desplegador que pone un chatbot en su sitio o publica contenido de IA, asume las obligaciones de transparencia del lado del desplegador frente a sus visitantes.
No. Generar textos de marketing con IA es riesgo mínimo/limitado — perfectamente legal. El reglamento solo exige transparencia en casos concretos (deepfakes, textos de interés público, chatbots) y prohíbe una breve lista de prácticas dañinas sin relación con el marketing normal.
Inventaríe dónde toca la IA su sitio (chatbot, imágenes/textos generados), añada avisos y etiquetas de IA claros, revise su marcado de medios sintéticos e informe a su equipo. Después, no pierda de vista el 2 de diciembre de 2027 si usa IA en contratación u otras áreas del anexo III.
Seis afirmaciones — responda con sinceridad. Sus respuestas se quedan en su navegador.
Ejecute ahora el escaneo de visibilidad gratuito de Beacon. Las comprobaciones de preparación para el AI Act llegarán pronto a Beacon.