AI Act y startups en España: lo que tienes que tener resuelto antes del 2 de agosto de 2026

No utilizar la IA en 2026 es como no utilizar la luz eléctrica en 1878. En PASSAS lo sabemos desde hace tiempo: recuerdo los papers sobre la aplicación de BERT a la justicia predictiva ya en 2019, o aquella polémica en Bruselas con COMPAS y las acusaciones al sistema de estar sesgado. Han pasado apenas 7 años y parece que hubieran pasado 70. Ahora ya no nos preocupan los sesgos de los algoritmos de reincidencia sino cómo la IA está cambiando prácticamente todos los aspectos de nuestra vida. El AI Act nació con ese propósito, y nosotros llevamos tiempo preparándonos para ayudarte a navegar lo que viene.

En este artículo voy a asesorar a founders, startups y empresas que están desarrollando LLMs o implementando soluciones de IA en su negocio sobre los riesgos regulatorios que deben mitigar con carácter inmediato. Aunque el AI Act lleva en vigor desde agosto de 2024, el próximo 2 de agosto de 2026 se avecina un temporal cuyo impacto será semejante al que vivimos hace 10 años con la entrada en vigor del GDPR.

Como siempre en PASSAS, te damos las mejores herramientas para que entiendas tu situación. Y siendo completamente sincero: en este caso concreto es muy probable que nos necesites, y más vale saberlo antes del 2 de agosto que después.

Lo que ya está en vigor

El AI Act (Reglamento (UE) 2024/1689, del Parlamento Europeo y del Consejo, de 13 de junio de 2024) entró en vigor el 2 de agosto de 2024. Si te apetece leerlo o pasárselo a la IA para que te lo resuma, te dejo el enlace aquí.

Sus efectos no son inmediatos: es un reglamento de aplicación progresiva, con hitos generalmente cada 2 de agosto. De aquí en adelante podemos declarar cada 2 de agosto como el día oficial del AI Act, que celebraremos con el auditor tomando un mojito en la playa.

Te paso los hitos y te explico qué significa cada uno:

• 2 de agosto de 2024: Entrada en vigor. La AI Act nace, pero como todo recién nacido aún no sabe hacer nada.
• 2 de febrero de 2025: La AI Act dice sus primeras palabras: prohibición de prácticas de IA de riesgo inaceptable (artículo 5) y obligación de alfabetización en IA para todos los operadores (artículo 4). En paralelo, surgió la burbuja de cursos de formación en IA que seguramente ya hayas visto en LinkedIn.
• 2 de agosto de 2025: El AI Act da sus primeros pasos: estructura institucional de la UE (Oficina de IA, Consejo de IA, Foro Consultivo) y autoridades nacionales. Entran también en vigor el régimen sancionador —con multas de hasta 35 millones de euros— y las obligaciones específicas para providers de modelos GPAI (Inteligencia Artificial de Propósito General): documentación técnica, transparencia, cumplimiento de copyright y adhesión al Código de Conducta de la Oficina de IA.
• 2 de agosto de 2026: Este verano el AI Act empieza a correr a una velocidad sin precedentes.

Lo que entra el 2 de agosto de 2026

Lo que te interesa. Omitimos las obligaciones para los Estados porque ya sabemos lo que hay.

Aquí hablamos de nuevas obligaciones tanto para providers (incluidos providers accidentales y GPAI) como para deployers. Si estos términos te suenan a chino, en este mismo artículo te explico las diferencias. Las hemos agrupado en tres áreas: transparencia; FRIA (evaluación de impacto en derechos fundamentales); y sistemas de IA de alto riesgo.

• Obligaciones de transparencia (artículo 50): Identificación obligatoria de las IAs en interacción directa con usuarios, marcado de contenido sintético, información clara sobre exposición a sistemas de reconocimiento de emociones o categorización biométrica, y obligación de revelar el origen artificial del contenido manipulado o generado por IA sobre asuntos de interés público: los llamados deepfakes.
• FRIA (artículo 27): Evaluación de impacto en derechos fundamentales obligatoria para todos los deployers de IA de alto riesgo antes del primer despliegue del sistema.
• IA de alto riesgo (Anexo III): Sistema de gestión de riesgos, gobernanza de datos, documentación técnica completa, registro obligatorio en la base de datos pública de la UE y supervisión humana real (no nominal) sobre las decisiones del sistema.

Además, la Oficina de IA de la Comisión Europea activará plenamente su capacidad ejecutiva a partir del 2 de agosto de 2026, pudiendo ejercer potestad sancionadora sobre los modelos GPAI, cuyas obligaciones ya están vigentes desde agosto de 2025.

Una nota sobre el Ómnibus Digital: En marzo de 2026, el Parlamento Europeo y el Consejo adoptaron sus mandatos de negociación sobre la propuesta de la Comisión de retrasar algunas obligaciones de alto riesgo. Si el Ómnibus prospera, ciertas obligaciones del Anexo III podrían desplazarse. Lo que no se mueve bajo ningún escenario: las prohibiciones del artículo 5 (en vigor desde febrero de 2025), las obligaciones de transparencia del artículo 50 y la alfabetización en IA del artículo 4. Si usas IA en tu empresa, tienes obligaciones ahora. Prepararse asumiendo que el Ómnibus llegará a tiempo y en los términos propuestos es un error de planificación: los procesos legislativos europeos no se ajustan a calendarios de compliance. La fecha operativa sigue siendo el 2 de agosto de 2026.

Provider, deployer y provider accidental — una distinción que a partir de agosto no puedes permitirte ignorar

A partir del 2 de agosto de 2026 no basta con que estos términos te suenen: es imprescindible que tengas meridianamente claro lo que significan y, sobre todo, que conozcas la figura del "provider accidental", que es la que más quebraderos de cabeza genera y la que más cambia la forma de ver todo este entramado regulatorio. Ninguno de estos conceptos es una posición estática: son roles en relación a un sistema de IA concreto.

• Provider (proveedor de IA): Eres provider si desarrollas, encargas el desarrollo u ofreces un sistema de IA bajo tu propia marca. No importa si lo ofreces a cambio de pago o de forma gratuita: basta con hacer alguna de estas tres cosas.
• Deployer (responsable de despliegue): Eres deployer si utilizas un sistema de IA para tus propias operaciones en un entorno profesional bajo tu propia autoridad. Si usas IA para trabajar, eres deployer.
• Provider accidental (crees que eres deployer pero en realidad eres provider): El rol más peligroso. Está regulado en el artículo 25 del AI Act y es la forma más rápida de exponer tu negocio a un riesgo regulatorio que no estabas gestionando.

Riesgos a vigilar para no pasar de deployer a provider accidental sin darte cuenta

Si utilizas sistemas de IA y te consideras deployer, vigila que tu empresa no hace ninguna de estas tres cosas en el sistema de IA. Si la hace, asumes obligaciones de provider sin haberlo decidido:

• Rebranding del sistema: Si compras un sistema de IA y lo rebautizas con el nombre de tu empresa, el AI Act te considera provider.
• Modificación sustancial: Si entrenas el sistema con datos significativamente diferentes a los previstos por el fabricante, o modificas los umbrales de decisión más allá de las instrucciones del provider, también pasas a ser provider.
• Cambio de finalidad: Si usas el sistema para un propósito distinto al previsto en el manual de instrucciones del provider, te conviertes en provider. Ejemplo clásico: usar una IA de detección de fraude para evaluar solvencias.

En definitiva: si no respetas el manual de instrucciones del provider, te conviertes en provider accidental. Y a menos que estés dispuesto a certificar normas ISO, elaborar documentación técnica conforme al Anexo IV y relacionarte con la Oficina de IA o con tu autoridad nacional de forma continuada, te recomendamos que no cruces esa línea sin saberlo.

Obligaciones reforzadas para IA de alto riesgo

Este punto lo desarrollaremos en profundidad en artículos posteriores, pero para lo que te interesa ahora: la clave no está en el "qué" (qué sistema usas) sino en el "para qué" (qué decisiones condiciona). Si deseas ampliar información sobre el sistema de riesgos, la guía de DG CONNECT de la Comisión Europea es exhaustiva aunque densa.

Cuestionario rápido. Si produces (provider) o utilizas (deployer) IA para al menos una de estas finalidades, estás en la categoría de alto riesgo:

• Asistir a un vehículo.
• Corregir exámenes o evaluar a estudiantes con efectos sobre su currículum.
• Cirugía asistida.
• Selección y gestión de personal.
• Evaluar la solvencia de una persona.
• Identificar personas con datos biométricos.
• Elaborar pruebas periciales judiciales o policiales.
• Instrucción de expedientes administrativos con efectos sobre personas, incluidos los de extranjería, visado y asilo.
• Asistir a controles policiales y de fronteras.
• Elaborar resoluciones judiciales de cualquier tipo.
• Asistir en procesos electorales o democráticos.

Son de alto riesgo las IAs con efecto real o potencial sobre los derechos de las personas o su seguridad. Si tu sistema puede utilizarse para alguna de estas finalidades, tus obligaciones (tanto como provider como deployer) están reforzadas. Lo desarrollamos en detalle en los artículos de esta serie.

Tres escenarios a modo de ejemplo

• Escenario A, HR Tech: Has adquirido un LLM externo para cribar CVs. Eres deployer de alto riesgo → obligaciones completas a partir del 2 de agosto de 2026, incluyendo FRIA obligatoria antes del primer uso.
• Escenario B, LegalTech SaaS: Vendes un SaaS de revisión de contratos y has incorporado ChatGPT con RAG para el análisis documental. Eres deployer de riesgo limitado → tu obligación principal es informar al usuario de que está interactuando con IA. No necesitas un abogado para esto.
• Escenario C, FinTech: Estás desarrollando una API bajo tu propia marca para implementar un modelo de scoring crediticio que venderás a entidades financieras. Eres provider de alto riesgo → obligaciones reforzadas por las dos condiciones simultáneamente.

Cómo saber si necesitas o no abogado

Te lo digo sin rodeos. Si eres deployer de riesgo mínimo o limitado, no me necesitas. Tienes que informar a tus usuarios de que interactúan con IA y formar a tus empleados en su uso, pero no necesitas pagar una consulta para saber eso.

Donde sí nos vas a necesitar:

• Eres provider: independientemente del nivel de riesgo. La documentación técnica, la evaluación de conformidad, el registro y, en su caso, el marcado CE no son trámites que se deleguen en una plantilla descargada de internet. Estamos a meses de que lo que hoy es una irregularidad se convierta en una infracción exigible. En PASSAS ofrecemos AI Compliance for Providers en precio cerrado, tanto para sistemas de riesgo limitado como para sistemas de alto riesgo.
• Eres deployer de alto riesgo: la FRIA es obligatoria antes del primer uso del sistema (artículo 27), no después de que la AESIA abra un expediente. Su ausencia expone al deployer a sanciones de hasta 15 millones de euros o el 3% de la facturación global. Ofrecemos la FRIA como servicio independiente o integrada con la DPIA si el sistema procesa datos personales, que en la práctica es casi siempre.
• No tienes claro en qué categoría estás: si después de leer esto no sabes si eres deployer de alto riesgo, provider o provider accidental, esa ambigüedad tiene un precio: agenda una videoconsulta (90€, IVA incluido, descontables del encargo) y en una sesión te decimos exactamente dónde estás y qué tienes que resolver.

Preguntas frecuentes

¿El AI Act me afecta si solo uso ChatGPT o herramientas de terceros?
Sí. Usar una herramienta de IA desarrollada por otro no te exime de obligaciones: te convierte en deployer. Como deployer tienes que cumplir las obligaciones de transparencia del artículo 50 desde el 2 de agosto de 2026 (informar a los usuarios cuando interactúan con IA, etiquetar contenido sintético). Y si usas esa herramienta para decisiones de alto riesgo (filtrar CVs, scoring crediticio, evaluación de rendimiento), tienes además las obligaciones del artículo 26: supervisión humana real, conservación de logs, uso conforme a las instrucciones del proveedor y notificación de incidentes graves. La pregunta relevante no es si usas IA propia o ajena, sino para qué la usas y sobre quién impacta.

¿Cómo sé si mi sistema de IA es de alto riesgo?
El punto de partida es el Anexo III del Reglamento, que lista los ámbitos donde un sistema de IA se considera de alto riesgo: selección y evaluación de personal, acceso a servicios financieros (scoring crediticio, seguros), educación, infraestructuras críticas, biometría, administración de justicia y aplicación de la ley. Si tu sistema toma o condiciona decisiones en alguno de estos ámbitos sobre personas físicas, es probable que sea de alto riesgo. El matiz importante: no basta con que el ámbito encaje; el sistema tiene que incidir de forma significativa en el resultado. Un chatbot de soporte en un banco no es de alto riesgo en la mayoría de casos, depende de sus capacidades concretas y de si condiciona decisiones sobre el usuario. Un sistema que decide si un cliente es apto para un préstamo, sí. La clasificación tiene consecuencias económicas y legales serias; conviene hacerla con criterio jurídico antes de agosto.

¿Qué diferencia hay entre provider y deployer en el AI Act?
El provider es quien desarrolla el sistema y lo pone en el mercado bajo su nombre. El deployer es quien usa ese sistema en un contexto profesional. La distinción importa porque las obligaciones son asimétricas: el provider carga con la documentación técnica del Anexo IV, la evaluación de conformidad, el marcado CE, el registro en la base de datos de la UE y la monitorización poscomercialización. El deployer tiene obligaciones más ligeras pero no triviales: supervisión humana, conservación de logs, uso dentro de los límites del proveedor e información a los afectados. El error más frecuente y más caro es no detectar que has cruzado de deployer a provider. Si has hecho fine-tuning de un modelo sobre datos propios para un caso de uso específico, probablemente ya eres provider, con todo lo que eso implica.

¿Qué pasa si el Ómnibus Digital retrasa las obligaciones de alto riesgo?
La propuesta de la Comisión plantea aplazar algunas obligaciones para sistemas de alto riesgo del Anexo III. En marzo de 2026, el Parlamento Europeo y el Consejo adoptaron sus mandatos de negociación: hay voluntad política de algún aplazamiento, pero el texto final no está cerrado. Lo que no está sobre la mesa en ningún escenario: las prohibiciones del artículo 5, las obligaciones de transparencia del artículo 50 ni la alfabetización en IA del artículo 4. Prepararse asumiendo que el Ómnibus llegará a tiempo y en los términos propuestos es un error de planificación. La fecha operativa es el 2 de agosto de 2026.

¿Cuánto cuesta cumplir el AI Act para una startup?
Depende de tu rol y tu nivel de riesgo. Un deployer de riesgo mínimo o limitado tiene un coste de compliance bajo: revisión contractual con tus proveedores de IA, cláusulas de transparencia y política interna de uso. Un deployer de alto riesgo necesita además FRIA, supervisión humana documentada y conservación de logs. Un provider de alto riesgo afronta el coste más elevado: documentación técnica completa conforme al Anexo IV, evaluación de conformidad, marcado CE y registro. Las estimaciones del mercado para providers de alto riesgo oscilan entre 200.000€ y 500.000€ en costes iniciales, más entre 80.000€ y 150.000€ anuales de mantenimiento para grandes corporaciones. En PASSAS trabajamos con precio cerrado publicado y orientado a empresas tecnológicas. El primer paso útil es clasificar exactamente en qué categoría estás antes de presupuestar nada.

¿La AESIA ya está sancionando incumplimientos del AI Act?
La AESIA está operativa desde 2023 y ha sido de las más activas en Europa: ha publicado 16 guías de compliance, tiene un sandbox regulatorio en marcha y coordina con la AEPD, que en paralelo ha abierto 147 investigaciones en materia de IA usando el RGPD como palanca. En esta fase inicial la prioridad es identificar prácticas problemáticas y orientar antes que sancionar. Pero esa postura no es indefinida: a partir de agosto de 2026 el marco sancionador del AI Act es plenamente exigible, con multas de hasta 15 millones de euros o el 3% de la facturación global por incumplimiento de obligaciones de alto riesgo. España no es un regulador de perfil bajo en este ámbito. Quien espere a ver la primera sanción para reaccionar llegará tarde.