BEACON Guía

El Reglamento de IA de la UE (AI Act), explicado.

El EU AI Act (Reglamento (UE) 2024/1689) es la primera ley integral de IA del mundo. Entró en vigor el 1 de agosto de 2024 y se aplica por fases: prohíbe de plano algunas prácticas de IA, impone obligaciones estrictas a los sistemas de «alto riesgo» y exige transparencia siempre que las personas interactúan con una IA o ven contenido generado por IA. En 2026, el «Digital Omnibus sobre IA» desplazó varios plazos, así que este es el panorama actualizado: qué cubre el reglamento, quién debe cumplir y para cuándo, las sanciones y qué significa para un sitio web corriente.

Empezar gratis Ejecutar una comprobación gratuita
Basado en el riesgo, no generalizadoCuatro niveles: prácticas prohibidas, sistemas de alto riesgo, riesgo limitado (obligaciones de transparencia) y riesgo mínimo — la mayoría de la IA cae en el último nivel, sin nuevas obligaciones.
Calendario por fasesProhibiciones y obligaciones de alfabetización en IA desde febrero de 2025; normas para la IA de propósito general (GPAI) desde agosto de 2025; obligaciones de transparencia a partir de agosto de 2026; obligaciones de alto riesgo ahora aplazadas a diciembre de 2027 / agosto de 2028.
Alcance extraterritorialSe aplica a proveedores y desplegadores de fuera de la UE siempre que la salida del sistema de IA se utilice en la UE — como el RGPD, no necesita una oficina en la UE para estar dentro del ámbito.
Prohibiciones tajantesPuntuación social, técnicas manipuladoras, extracción no selectiva de imágenes faciales, reconocimiento de emociones en el trabajo y la escuela (con excepciones muy limitadas) — prohibidos desde febrero de 2025.
Transparencia para sitios webLos chatbots deben revelar que son IA; el contenido generado y manipulado por IA (deepfakes) debe etiquetarse, con marcado legible por máquina para los medios sintéticos.
Multas a escala del RGPDHasta 35 M€ o el 7 % de la facturación global por prácticas prohibidas; hasta 15 M€ o el 3 % por la mayoría de las demás infracciones; hasta 7,5 M€ o el 1 % por facilitar información engañosa.
Los cuatro niveles de riesgo de un vistazo
Riesgo inaceptable
Prohibido
Alto riesgo
Obligaciones estrictas + registro
Riesgo limitado
Obligaciones de transparencia
Riesgo mínimo
Sin nuevas obligaciones
Multas máximas
Prácticas prohibidas€35M / 7%
La mayoría de las demás infracciones€15M / 3%
Información engañosa a las autoridades€7.5M / 1%
de la facturación anual mundial (la que sea mayor)
El calendario — actualizado tras el Ómnibus Digital de 2026
1.8.2024Entrada en vigor
2.2.2025Prohibiciones + alfabetización en IA
2.8.2025Reglas de modelos GPAI
2.8.2026Transparencia + sancionesHoy
2.12.2026Nuevas prohibiciones de contenido
2.12.2027Alto riesgo — anexo III
2.8.2028Alto riesgo — anexo I

Qué es el AI Act (y qué no es)

El AI Act es un reglamento de tipo seguridad de producto para los sistemas de IA comercializados en el mercado de la UE o cuya salida se utiliza en la UE. No regula «la IA» como tecnología — regula usos concretos según el riesgo. Cuanto mayor es el riesgo para la salud, la seguridad o los derechos fundamentales, más pesadas son las obligaciones. La mayoría de la IA cotidiana (filtros de spam, widgets de recomendación, correctores ortográficos, funciones de IA en herramientas de productividad) es de riesgo mínimo y no recibe ninguna obligación nueva.

Los cuatro niveles de riesgo

Todo el reglamento gira en torno a esta clasificación:

  • Riesgo inaceptable — prohibido de plano desde el 2 de febrero de 2025: puntuación social, técnicas de explotación o manipulación, extracción no selectiva de imágenes faciales, reconocimiento de emociones en lugares de trabajo y escuelas (excepciones de seguridad muy limitadas), categorización biométrica para inferir atributos sensibles e identificación biométrica remota en tiempo real en espacios públicos con fines policiales (excepciones limitadas). A partir del 2 de diciembre de 2026, la enmienda de 2026 también prohíbe expresamente los sistemas de IA que generan imágenes íntimas no consentidas o CSAM.
  • Alto riesgo — permitido pero estrictamente regulado: IA usada como componente de seguridad de productos regulados (anexo I — maquinaria, productos sanitarios, ascensores…) o en casos de uso sensibles (anexo III — selección de personal y gestión de trabajadores, calificación educativa, scoring crediticio, servicios esenciales, fuerzas del orden, migración, justicia). Las obligaciones incluyen gestión de riesgos, gobernanza de datos, documentación técnica, registro de actividad, supervisión humana, pruebas de exactitud/robustez e inscripción en una base de datos de la UE.
  • Riesgo limitado — obligaciones de transparencia (artículo 50): informar a las personas cuando interactúan con un sistema de IA (chatbots), etiquetar el contenido de imagen/audio/vídeo generado o manipulado por IA (deepfakes), marcar el contenido sintético de forma legible por máquina y revelar los textos generados por IA publicados para informar al público sobre asuntos de interés público.
  • Riesgo mínimo — todo lo demás: sin nuevas obligaciones; se fomentan códigos de conducta voluntarios.

El calendario en 2026 — actualizado tras el Digital Omnibus

El reglamento entró en vigor el 1 de agosto de 2024 e iba a aplicarse casi en su totalidad el 2 de agosto de 2026. En noviembre de 2025 la Comisión propuso el «Digital Omnibus sobre IA» para simplificarlo y escalonarlo; el Parlamento lo respaldó el 16 de junio de 2026 y el Consejo dio su aprobación final el 29 de junio de 2026. Las fechas clave ahora:

  • 2 de febrero de 2025 — se aplican las prohibiciones de prácticas de riesgo inaceptable y las obligaciones de alfabetización en IA.
  • 2 de agosto de 2025 — obligaciones para los proveedores de modelos de IA de propósito general (GPAI) (documentación técnica, política de derechos de autor, resúmenes de datos de entrenamiento; obligaciones adicionales para modelos de riesgo sistémico), además de la Oficina de IA de la UE (EU AI Office) y las estructuras de gobernanza.
  • 2 de agosto de 2026 — el reglamento pasa a ser de aplicación general: obligaciones de transparencia (artículo 50), sanciones y la mayoría de las disposiciones restantes. El marcado legible por máquina del contenido sintético tiene un periodo de gracia hasta el 2 de diciembre de 2026 para los sistemas ya comercializados antes del 2 de agosto de 2026.
  • 2 de diciembre de 2026 — se aplican las nuevas prohibiciones a la IA que genera imágenes íntimas no consentidas y CSAM.
  • 2 de diciembre de 2027 — obligaciones de alto riesgo para los casos de uso del anexo III (selección de personal, scoring crediticio, educación…) — aplazadas 16 meses respecto a la fecha original de agosto de 2026.
  • 2 de agosto de 2028 — obligaciones de alto riesgo para la IA integrada en productos del anexo I (productos sanitarios, maquinaria…) — aplazadas un año respecto a agosto de 2027. Los sandboxes regulatorios nacionales deben estar listos para el 2 de agosto de 2027.

Quién debe cumplir

Las obligaciones se asignan por roles en la cadena de valor: proveedores (que desarrollan un sistema de IA o lo comercializan en el mercado de la UE con su propio nombre), desplegadores (que usan un sistema de IA profesionalmente), además de importadores y distribuidores. El alcance es extraterritorial — un SaaS estadounidense o británico cuya salida de IA se utiliza dentro de la UE está dentro del ámbito. Las pymes reciben ciertos alivios: documentación simplificada, acceso prioritario a los sandboxes y multas limitadas al menor de los dos importes en lugar del mayor.

Qué significa el AI Act para su sitio web

Para la mayoría de las empresas, los primeros puntos de contacto reales son las normas de transparencia que se aplican a partir de agosto de 2026 — afectan a lo que los visitantes ven en su sitio:

  • Los chatbots y asistentes de IA de su sitio deben dejar claro que el visitante habla con una máquina (salvo que sea obvio por el contexto).
  • Las imágenes, el audio y el vídeo generados o manipulados por IA (deepfakes) que publique deben etiquetarse de forma visible como generados o manipulados artificialmente.
  • Los medios sintéticos deberían llevar marcado legible por máquina (p. ej. metadatos/marca de agua) — la obligación de marcado para los sistemas anteriores a agosto de 2026 se aplica desde el 2 de diciembre de 2026.
  • Los textos escritos por IA publicados para informar al público sobre asuntos de interés público deben revelarse como generados por IA, salvo que hayan pasado una revisión editorial humana con asunción de responsabilidad.
  • Si usa IA en contratación, crédito u otros casos de uso del anexo III, prepárese para el régimen de alto riesgo que se aplica desde el 2 de diciembre de 2027.
  • Alfabetización en IA: las organizaciones que usan IA profesionalmente deben tomar medidas para que el personal entienda los sistemas que opera.

Sanciones

La estructura de multas es deliberadamente similar a la del RGPD: hasta 35 millones de euros o el 7 % de la facturación anual mundial (la cifra que sea mayor) por prácticas prohibidas; hasta 15 millones de euros o el 3 % por la mayoría de las demás infracciones, incluidas las obligaciones de alto riesgo y GPAI; hasta 7,5 millones de euros o el 1 % por facilitar información incorrecta o engañosa a las autoridades. Para las pymes, cada tope es el menor de los dos importes. La aplicación se reparte entre las autoridades nacionales de vigilancia del mercado y, para los modelos GPAI, la Oficina de IA de la UE.

Cómo encaja Beacon

Beacon ya analiza lo que los motores de búsqueda y los rastreadores de IA ven realmente en su sitio web — políticas de robots.txt, contenido renderizado, datos estructurados y avisos de transparencia. Sobre esa base estamos construyendo un escaneo de preparación para el AI Act: una comprobación automatizada de las señales de transparencia visibles para sus visitantes (divulgación de chatbots, etiquetado de contenido de IA, marcado legible por máquina y metadatos relacionados) con una lista de correcciones priorizada. No será asesoramiento jurídico — pero le mostrará, en concreto, qué expone hoy su sitio y qué corregir primero.

FAQ

¿Se aplica el EU AI Act a empresas de fuera de la UE?

Sí. Como el RGPD, tiene alcance extraterritorial: si comercializa un sistema de IA en el mercado de la UE o la salida del sistema se utiliza en la UE, está dentro del ámbito, con independencia de dónde esté establecida su empresa.

¿Cuándo se aplican realmente las obligaciones principales?

Prohibiciones y alfabetización en IA desde el 2 de febrero de 2025; obligaciones de los modelos GPAI desde el 2 de agosto de 2025; obligaciones de transparencia y sanciones a partir del 2 de agosto de 2026. Tras el Digital Omnibus de 2026, las obligaciones de alto riesgo se aplazaron al 2 de diciembre de 2027 (casos de uso del anexo III) y al 2 de agosto de 2028 (IA integrada en productos del anexo I).

¿Tengo que etiquetar el contenido generado por IA en mi web?

Si publica imágenes, audio o vídeo generados o manipulados por IA (deepfakes), sí — deben etiquetarse, y los medios sintéticos deberían llevar marcado legible por máquina. Los chatbots de IA deben revelar que son IA. Los textos escritos por IA sobre asuntos de interés público deben revelarse, salvo que un editor humano asuma la responsabilidad.

¿Es responsable ChatGPT o mi proveedor de IA en mi lugar?

Las responsabilidades se reparten por roles. El proveedor del modelo (p. ej. OpenAI) asume las obligaciones de proveedor GPAI; usted, como desplegador que pone un chatbot en su sitio o publica contenido de IA, asume las obligaciones de transparencia del lado del desplegador frente a sus visitantes.

¿Está prohibido usar IA para SEO o marketing de contenidos?

No. Generar textos de marketing con IA es riesgo mínimo/limitado — perfectamente legal. El reglamento solo exige transparencia en casos concretos (deepfakes, textos de interés público, chatbots) y prohíbe una breve lista de prácticas dañinas sin relación con el marketing normal.

¿Qué debería hacer ahora mismo el propietario de un sitio web?

Inventaríe dónde toca la IA su sitio (chatbot, imágenes/textos generados), añada avisos y etiquetas de IA claros, revise su marcado de medios sintéticos e informe a su equipo. Después, no pierda de vista el 2 de diciembre de 2027 si usa IA en contratación u otras áreas del anexo III.

Autoevaluación rápida: ¿dónde está usted?

Seis afirmaciones — responda con sinceridad. Sus respuestas se quedan en su navegador.

Los visitantes saben cuándo chatean con una IA (o no tenemos chat de IA).
Las imágenes, audio o vídeo generados por IA están visiblemente etiquetados (o no publicamos ninguno).
Los artículos escritos por IA sobre asuntos de interés público se divulgan o pasan revisión humana.
Hemos comprobado que ningún uso de IA es una práctica prohibida (art. 5).
Sabemos si algún uso de IA entra en el alto riesgo del anexo III.
Nuestro equipo ha recibido formación básica en IA.
0/6 respondidasObtener mi escaneo gratuitoLa cuenta gratuita de Beacon incluye el escaneo de señales y la checklist interactiva — sin tarjeta.

Compruebe gratis qué expone hoy su sitio web

Ejecute ahora el escaneo de visibilidad gratuito de Beacon. Las comprobaciones de preparación para el AI Act llegarán pronto a Beacon.

Empezar gratis Ejecutar una comprobación gratuita