the art of being legal


AI Act 2026: qué debe revisar una empresa de IT antes de lanzar un sistema de IA en España

ai checklist conesa legal
AI Act 2026: qué debe revisar una empresa de IT antes de lanzar un sistema de IA en España
27:57

Una empresa tecnológica puede lanzar una herramienta de IA al mercado español y descubrir después que no sabe responder a preguntas básicas: qué rol tiene bajo el AI Act, si su sistema es de alto riesgo, qué datos ha usado para entrenar o ajustar el modelo, qué información debe dar al cliente, qué supervisión humana existe o quién responde si el sistema genera una decisión incorrecta.

Artículo escrito por

Josep Conesa Sagrera

Abogado laboralista

Josep Conesa es abogado laboralista y habla tanto español como inglés. Además, cuenta con un máster en Derecho Europeo y Derechos Fundamentales. Con más de 25 años de experiencia. Estaremos encantados de ayudarte legalmente, siempre que sea posible, en tu propio idioma.

Ver perfil profesional

El Reglamento Europeo de Inteligencia Artificial, conocido como AI Act, ya no es una norma lejana. Entró en vigor el 1 de agosto de 2024 y su aplicación se está desplegando por fases. Las prohibiciones y obligaciones de alfabetización en IA comenzaron a aplicarse desde el 2 de febrero de 2025; las reglas de gobernanza y las obligaciones para modelos de propósito general empezaron a aplicarse desde el 2 de agosto de 2025; y el marco general de aplicación se sitúa en 2026, con calendarios específicos para determinados sistemas de alto riesgo.

Para una startup, SaaS, healthtech, fintech, marketplace, legaltech o empresa que integra IA en sus procesos, la revisión legal debe empezar antes del lanzamiento. No basta con comprobar que el producto funciona técnicamente. Hay que poder demostrar que el sistema ha sido clasificado, documentado, probado, explicado y gobernado de forma adecuada.

 

¿Qué es el AI Act y por qué afecta a empresas tecnológicas en España?

El AI Act es el primer marco jurídico integral de la Unión Europea sobre inteligencia artificial. Su lógica principal es clasificar los sistemas de IA según el riesgo que pueden generar para la seguridad, la salud, los derechos fundamentales y otros intereses protegidos. La Comisión Europea resume el enfoque en cuatro niveles: riesgo inaceptable, alto riesgo, riesgo de transparencia y riesgo mínimo o bajo.

Para una empresa tecnológica, esto significa que la obligación legal no depende solo de “usar IA”. Depende de qué hace el sistema, en qué sector se utiliza, a quién afecta, qué decisiones apoya y qué grado de control tiene la empresa sobre el desarrollo, integración o despliegue.

Un chatbot de soporte al cliente no plantea el mismo nivel de riesgo que una herramienta de selección de personal, un sistema de scoring crediticio, una solución médica, un sistema biométrico o un modelo que influye en el acceso a servicios esenciales.

 

Antes de lanzar un sistema de IA, ¿qué debe revisar una empresa?

La revisión debe empezar por un inventario claro. Muchas empresas no tienen un solo “producto IA”, sino varios usos dispersos: IA generativa en atención al cliente, scoring interno, recomendadores, análisis de CV, automatización documental, modelos predictivos, APIs de terceros, agentes de IA conectados a herramientas internas o funcionalidades integradas en un SaaS.

Pregunta de control Por qué importa
¿Qué sistema de IA se va a lanzar? Permite delimitar el producto, sus funciones y sus límites.
¿La empresa desarrolla, integra o solo utiliza IA de un tercero? Determina si puede ser proveedor, responsable del despliegue, distribuidor u otro operador.
¿El sistema toma decisiones o solo recomienda? Afecta al nivel de riesgo, a la supervisión humana y al RGPD.
¿Afecta a empleo, crédito, educación, salud, servicios esenciales o biometría? Puede activar la categoría de alto riesgo.
¿Se usan datos personales? Exige revisar base jurídica, transparencia, minimización, seguridad y posible evaluación de impacto.
¿El usuario sabe que interactúa con IA? Puede haber obligaciones de transparencia.
¿Se genera contenido sintético, deepfake o texto informativo? Puede exigir identificación o etiquetado del contenido generado.
¿Hay trazabilidad técnica? La empresa debe poder explicar pruebas, logs, errores, cambios y controles.
¿Los contratos con clientes y proveedores cubren IA? Reparte responsabilidades, garantías, uso de datos, auditoría y limitaciones.

 

Paso 1: identificar el rol de la empresa bajo el AI Act

El primer error es pensar que todas las empresas tienen las mismas obligaciones. El AI Act distingue entre varios operadores, y las obligaciones cambian según el rol. Una empresa puede ser proveedor de un sistema de IA, responsable del despliegue, importador, distribuidor o fabricante de producto, según su intervención en la cadena de valor.

Rol práctico Ejemplo en una empresa tecnológica Riesgo jurídico
Proveedor Desarrolla y comercializa un sistema de IA bajo su nombre o marca. Asume obligaciones de diseño, documentación, evaluación y conformidad si aplica.
Responsable del despliegue Usa una herramienta de IA en su actividad profesional. Debe usarla conforme a instrucciones, supervisar y cumplir obligaciones de uso.
Integrador Incorpora IA de un tercero en su propio SaaS o plataforma. Puede asumir obligaciones si modifica finalidad, marca o funcionamiento.
Distribuidor Comercializa un sistema de IA de otro proveedor en la UE. Debe revisar información, documentación y cumplimiento básico.
Cliente empresarial Contrata una solución de IA para procesos internos. Debe exigir garantías contractuales y documentación suficiente.

Una startup que usa una API de un tercero para crear un producto propio no debería quedarse en la idea de que “la IA es del proveedor externo”. Si el producto final se vende bajo su marca, con una finalidad definida por la startup y con decisiones que afectan a usuarios, clientes o trabajadores, la responsabilidad puede desplazarse o compartirse.

 

Paso 2: clasificar el sistema según el nivel de riesgo

La clasificación es el núcleo de la revisión. El AI Act prohíbe determinadas prácticas por considerarlas de riesgo inaceptable. La Comisión Europea menciona, entre otras, la manipulación o engaño dañino mediante IA, la explotación de vulnerabilidades, el social scoring, ciertos usos de predicción de delitos, el scraping indiscriminado para crear bases de datos de reconocimiento facial, el reconocimiento de emociones en lugares de trabajo y centros educativos, determinadas categorizaciones biométricas y el uso de identificación biométrica remota en tiempo real por fuerzas de seguridad en espacios públicos, con excepciones estrictas.

También existen sistemas de alto riesgo. La Comisión incluye como ejemplos herramientas de IA usadas en empleo y gestión de trabajadores, acceso a educación, infraestructuras críticas, acceso a servicios esenciales, determinados usos biométricos, migración, justicia, procesos democráticos o productos regulados como ciertos dispositivos médicos o maquinaria.

Nivel de riesgo Ejemplo tecnológico Qué debe hacer la empresa
Riesgo inaceptable Sistema que manipula de forma dañina o explota vulnerabilidades. No lanzar. Revisar diseño y finalidad.
Alto riesgo IA para selección de personal, scoring crediticio, salud, educación o servicios esenciales. Preparar gestión de riesgos, documentación, supervisión humana, datos, logs, ciberseguridad y conformidad.
Riesgo de transparencia Chatbot, deepfake, contenido sintético, IA generativa visible para usuarios. Informar al usuario, etiquetar cuando proceda y documentar el funcionamiento.
Riesgo mínimo o bajo Filtros internos, recomendadores de bajo impacto, asistentes sin efectos relevantes. Mantener gobernanza básica, seguridad, privacidad y control contractual.

 

Paso 3: revisar si el sistema puede ser de alto riesgo

Para una empresa tecnológica, la pregunta no debe ser “¿mi sistema es IA?”, sino “¿mi sistema entra en un uso de alto riesgo?”. La diferencia es decisiva.

Los sistemas de alto riesgo están sujetos a obligaciones más estrictas antes de su comercialización o puesta en servicio. La Comisión Europea destaca obligaciones como evaluación y mitigación de riesgos, calidad de datos, registro de actividad, documentación técnica, información clara al responsable del despliegue, supervisión humana, robustez, ciberseguridad y precisión.

Casos donde una empresa tech debe tener especial cuidado

Caso de uso Por qué puede ser sensible
IA para selección de personal Puede afectar al acceso al empleo y generar discriminación.
IA para evaluar rendimiento de trabajadores Impacta en condiciones laborales y decisiones empresariales.
Scoring de clientes o usuarios Puede afectar al acceso a servicios, financiación o condiciones contractuales.
IA sanitaria o healthtech Puede afectar a salud, diagnóstico, triaje o recomendaciones clínicas.
IA en educación Puede condicionar acceso, evaluación o trayectoria formativa.
Sistemas biométricos Pueden afectar identidad, privacidad y derechos fundamentales.
IA para compliance o fraude Puede generar falsos positivos con consecuencias jurídicas o económicas.
Agentes de IA con acciones autónomas Pueden ejecutar tareas, enviar comunicaciones o modificar sistemas sin intervención inmediata.

 

Paso 4: comprobar las fechas de aplicación relevantes

El calendario importa porque algunas obligaciones ya son aplicables y otras se despliegan por fases. Según la Comisión Europea, el AI Act entró en vigor el 1 de agosto de 2024, las prohibiciones y la alfabetización en IA se aplican desde el 2 de febrero de 2025, las reglas de gobernanza y de modelos de propósito general desde el 2 de agosto de 2025, y el marco general desde el 2 de agosto de 2026.

La propia Comisión también ha indicado una actualización del calendario para ciertos sistemas de alto riesgo: los sistemas utilizados en determinadas áreas de alto riesgo, como biometría, infraestructuras críticas, educación, empleo, migración, asilo y control fronterizo, pasarían a aplicar desde el 2 de diciembre de 2027, mientras que los sistemas integrados en productos como ascensores o juguetes tendrían plazo hasta el 2 de agosto de 2028, en el contexto del paquete de simplificación del AI Act.

Fecha Qué revisar
1 de agosto de 2024 Entrada en vigor del AI Act.
2 de febrero de 2025 Prohibiciones de prácticas de IA y obligación de alfabetización en IA.
2 de agosto de 2025 Gobernanza y obligaciones para modelos de IA de propósito general.
2 de agosto de 2026 Aplicación general del AI Act, con reglas específicas por categoría.
2 de diciembre de 2027 Calendario indicado por la Comisión para determinadas áreas de alto riesgo.
2 de agosto de 2028 Calendario indicado para ciertos sistemas de alto riesgo integrados en productos regulados.

La conclusión práctica es clara: esperar al último momento es una mala estrategia. La documentación, las pruebas, los contratos y la gobernanza no se preparan en una semana.

 

Paso 5: revisar los datos personales y el RGPD

El AI Act no sustituye al RGPD. Si el sistema de IA trata datos personales, la empresa debe revisar también la base jurídica, el deber de información, la minimización de datos, la conservación, la seguridad, las transferencias internacionales, los derechos de los interesados y la relación con encargados de tratamiento.

En sistemas de IA que evalúan aspectos personales, perfilan usuarios o pueden producir efectos relevantes sobre personas físicas, puede ser necesaria una evaluación de impacto en protección de datos. El artículo 35 del RGPD exige una evaluación de impacto cuando un tratamiento, especialmente mediante nuevas tecnologías, pueda implicar alto riesgo para los derechos y libertades de las personas, y menciona expresamente la evaluación sistemática y extensa de aspectos personales basada en tratamiento automatizado, incluida la elaboración de perfiles, cuando produzca efectos jurídicos o afecte significativamente a la persona.

Pregunta RGPD Riesgo que controla
¿Qué datos personales usa el sistema? Evita tratamientos excesivos o no identificados.
¿Hay datos sensibles? Aumenta el nivel de riesgo y las exigencias legales.
¿Cuál es la base jurídica? Sin base jurídica, el tratamiento puede ser ilícito.
¿Se usan datos para entrenamiento, fine-tuning o evaluación? Debe informarse y justificarse correctamente.
¿Hay decisiones automatizadas relevantes? Puede activar garantías adicionales.
¿Se transfiere información fuera del EEE? Exige revisar garantías de transferencia internacional.
¿El proveedor usa los datos del cliente para mejorar su modelo? Debe regularse en contrato y política de privacidad.

 

Paso 6: documentar la finalidad y los límites del sistema

Una empresa debe poder explicar para qué sirve su sistema de IA y para qué no debe utilizarse. Esta delimitación no es solo técnica; también es legal y comercial.

Por ejemplo, una herramienta que resume documentos no debería presentarse como una herramienta que decide automáticamente la viabilidad jurídica de una reclamación. Un asistente de RR. HH. no debería convertirse, sin control, en un filtro de selección de candidatos. Un chatbot de atención al cliente no debería generar compromisos contractuales sin revisión.

Elemento Qué documentar
Finalidad prevista Qué problema resuelve el sistema.
Usuarios previstos Quién puede usarlo y con qué perfil.
Contexto de uso Sector, país, idioma, clientes y límites.
Usos prohibidos Qué no debe hacer el usuario con el sistema.
Nivel de autonomía Si recomienda, prioriza, genera contenido o ejecuta acciones.
Supervisión humana Quién revisa y cuándo puede intervenir.
Escalado Cuándo se deriva a una persona o equipo responsable.

 

Paso 7: preparar la documentación técnica y legal

La documentación será una de las diferencias entre una empresa preparada y una empresa expuesta. No sirve una carpeta genérica con una política de privacidad y unas condiciones de uso copiadas de otro producto. La documentación debe conectar el sistema real con sus riesgos reales.

Documento Para qué sirve
Inventario de sistemas de IA Identifica todos los usos internos y externos de IA.
Ficha de clasificación de riesgo Justifica si el sistema es mínimo, transparencia, alto riesgo o prohibido.
Evaluación de impacto AI Act Analiza riesgos para derechos, seguridad, discriminación y uso indebido.
Evaluación de impacto RGPD Evalúa riesgos de protección de datos cuando proceda.
Documentación técnica Explica arquitectura, datos, modelo, métricas, pruebas y límites.
Registro de pruebas Acredita testeo, validación, sesgos, errores y medidas correctoras.
Política de supervisión humana Define intervención, revisión y responsabilidad interna.
Procedimiento de incidentes Establece cómo detectar, escalar y corregir fallos.
Contratos con proveedores Regula datos, seguridad, subprocesadores, IA generativa y responsabilidades.
Información para clientes y usuarios Explica de forma clara el uso de IA y sus límites.

 

Paso 8: revisar obligaciones de transparencia

El AI Act introduce obligaciones específicas de transparencia para ciertos sistemas. La Comisión Europea menciona que los usuarios deben ser informados cuando interactúan con sistemas como chatbots, y que determinados contenidos generados por IA, como deepfakes o contenidos publicados para informar al público sobre asuntos de interés público, deben identificarse o etiquetarse de forma clara cuando proceda.

Para una empresa tecnológica, la transparencia no debe verse como un aviso decorativo. Debe estar integrada en el diseño del producto, en los términos de uso, en la interfaz, en la política de privacidad, en las instrucciones para clientes empresariales y en los flujos donde el usuario pueda verse afectado.

Situación Medida práctica
Chatbot de atención al cliente Informar de que el usuario interactúa con IA.
Generación de imágenes, voz o vídeo Evaluar obligaciones de marcado, etiquetado o advertencia.
Deepfakes o contenido sintético realista Revisar riesgos de imagen, honor, consentimiento y transparencia.
IA que asiste en decisiones empresariales Informar al cliente del alcance, límites y supervisión necesaria.
Texto generado para informar al público Revisar obligaciones de identificación del contenido generado.

 

Paso 9: revisar contratos con clientes, proveedores e inversores

Una empresa tecnológica no solo debe cumplir internamente. También debe poder trasladar garantías a clientes, inversores, partners y proveedores. El contrato debe dejar claro qué hace el sistema, qué no hace, qué datos se usan, qué controles existen y quién responde en cada escenario.

Contrato Cláusulas que conviene revisar
Contrato SaaS B2B Uso permitido, límites de IA, responsabilidad, SLA, auditoría y seguridad.
DPA / contrato de encargado Tratamiento de datos, subencargados, transferencias y uso para entrenamiento.
Contrato con proveedor de IA Garantías de cumplimiento, documentación, seguridad, trazabilidad y cambios.
Condiciones de uso Prohibiciones, uso responsable, contenidos generados, suspensión y abusos.
Contrato enterprise Requisitos de auditoría, logs, reporting, incidentes, indemnidad y soporte.
Pacto de socios / inversión Titularidad de software, propiedad intelectual, compliance y due diligence.

 

Paso 10: establecer gobernanza interna de IA

El AI Act exige mirar más allá del producto. Una empresa debe controlar cómo se diseña, compra, prueba, utiliza y actualiza la IA. Esto afecta a dirección, legal, protección de datos, seguridad, producto, ingeniería, ventas y recursos humanos.

La Comisión Europea también destaca la obligación de alfabetización en IA, aplicable desde febrero de 2025. Esto exige que las organizaciones no solo tengan políticas, sino que las personas que usan o gestionan sistemas de IA comprendan sus riesgos, límites y responsabilidades.

Área interna Responsabilidad
Dirección Aprobar política de IA y tolerancia al riesgo.
Legal / compliance Clasificar sistemas, contratos, evidencias y obligaciones.
DPO / privacidad Revisar RGPD, evaluaciones de impacto y derechos de usuarios.
Seguridad Revisar accesos, logs, incidentes, proveedores y ciberseguridad.
Producto Integrar transparencia, límites y supervisión en la interfaz.
Ingeniería Documentar arquitectura, pruebas, datasets, cambios y rendimiento.
RR. HH. Formar equipos y controlar usos de IA en empleo y gestión laboral.
Ventas Evitar promesas comerciales que el sistema no pueda sostener legalmente.

 

Diagrama: revisión legal antes de lanzar un sistema de IA en España

sistema de ia

 

Checklist legal antes del lanzamiento

Área Pregunta Estado
Inventario ¿Existe una ficha del sistema de IA? Pendiente / Revisado
Rol ¿La empresa sabe si es proveedor, desplegador o integrador? Pendiente / Revisado
Riesgo ¿Se ha clasificado el sistema según el AI Act? Pendiente / Revisado
Prohibiciones ¿Se ha descartado que entre en una práctica prohibida? Pendiente / Revisado
Alto riesgo ¿Se ha revisado si afecta a empleo, salud, educación, biometría, crédito o servicios esenciales? Pendiente / Revisado
Transparencia ¿El usuario sabe cuándo interactúa con IA? Pendiente / Revisado
RGPD ¿Se ha revisado base jurídica, información, minimización y seguridad? Pendiente / Revisado
EIPD ¿Se ha valorado si hace falta evaluación de impacto de protección de datos? Pendiente / Revisado
Datos ¿Se sabe qué datos se usan para entrenar, ajustar, probar o explotar el sistema? Pendiente / Revisado
Proveedores ¿Los contratos regulan uso de datos, subencargados, cambios y auditoría? Pendiente / Revisado
Seguridad ¿Hay controles de acceso, logs, incidentes y ciberseguridad? Pendiente / Revisado
Supervisión humana ¿Existe intervención humana real y documentada cuando procede? Pendiente / Revisado
Documentación ¿Hay documentación técnica y legal suficiente? Pendiente / Revisado
Formación ¿Los equipos han recibido formación sobre uso responsable de IA? Pendiente / Revisado
Post-lanzamiento ¿Hay monitorización, revisión de errores e incidentes? Pendiente / Revisado

 

¿Qué papel tiene AESIA en España?

España creó la Agencia Española de Supervisión de Inteligencia Artificial mediante el Real Decreto 729/2023, de 22 de agosto. El BOE configura la AESIA como una agencia estatal con personalidad jurídica pública, patrimonio propio y autonomía de gestión.

El estatuto de la Agencia prevé funciones de supervisión y, en su caso, sanción de sistemas de inteligencia artificial para reducir riesgos sobre integridad, intimidad, igualdad de trato, no discriminación y otros derechos fundamentales. También incluye funciones de concienciación, formación, asesoramiento y apoyo al desarrollo responsable de la IA.

Para una empresa tecnológica, esto confirma que la supervisión de IA en España no será solo una cuestión europea. También habrá interlocución, criterios, guías, actuaciones y posible control nacional.

 

Errores frecuentes antes de lanzar IA

  1. Lanzar el producto sin clasificar el sistema por nivel de riesgo.
  2. Pensar que usar una API de un tercero elimina la responsabilidad propia.
  3. No revisar si el caso de uso afecta a empleo, crédito, salud, educación o servicios esenciales.
  4. No informar al usuario de que está interactuando con IA.
  5. No revisar si el contenido generado debe etiquetarse.
  6. Usar datos personales para entrenar o ajustar modelos sin base jurídica clara.
  7. No firmar contratos adecuados con proveedores de IA.
  8. No tener logs, trazabilidad ni documentación técnica.
  9. No prever supervisión humana real.
  10. Vender el sistema como “automático” sin explicar límites, errores o intervención humana.
  11. No formar a equipos comerciales, producto y soporte.
  12. No preparar documentación para clientes enterprise, inversores o auditorías.

 

Tabla de prioridad para una empresa tecnológica

Prioridad Acción Cuándo hacerlo
Alta Inventario de sistemas de IA Antes de lanzar o integrar cualquier funcionalidad.
Alta Clasificación de riesgo AI Act Antes de comercializar.
Alta Revisión RGPD y datos personales Antes de tratar datos reales.
Alta Contratos con proveedores de IA Antes de conectar APIs o procesar datos de clientes.
Alta Transparencia para usuarios Antes de publicar la interfaz.
Media Evaluación de impacto AI Act Si hay riesgo relevante o sector sensible.
Media Evaluación de impacto RGPD Si hay alto riesgo para derechos y libertades.
Media Política interna de IA Antes de escalar el uso interno.
Media Formación de equipos Antes de que ventas, soporte o RR. HH. usen IA.
Media Auditoría post-lanzamiento Tras el despliegue y en cada cambio relevante.

 

Conclusión

El AI Act obliga a las empresas tecnológicas a cambiar la forma de lanzar productos de IA. La revisión legal ya no puede llegar al final, cuando el producto está diseñado, vendido y conectado a datos reales. Debe formar parte del ciclo de desarrollo.

Antes de lanzar un sistema de IA en España, una empresa debe saber qué rol tiene, qué nivel de riesgo asume, qué datos trata, qué debe informar al usuario, qué contratos necesita, qué documentación puede enseñar y cómo va a controlar el sistema después del lanzamiento.

En Conesa Legal asesoramos a empresas tecnológicas, startups y compañías que integran inteligencia artificial en sus productos o procesos internos. Revisamos el encaje del sistema bajo el AI Act, su relación con la asesoría en protección de datos, el compliance empresarial, los contratos con proveedores y clientes desde una asesoría mercantil, la implantación del canal de denuncias y la due diligence previa a operaciones o inversiones.

Explíquenos su caso y revisaremos qué necesita su empresa antes de lanzar o escalar un sistema de inteligencia artificial en España.

 

Preguntas frecuentes sobre AI Act 2026 para empresas tecnológicas

¿El AI Act se aplica a cualquier empresa que use inteligencia artificial?

No todas las empresas tendrán las mismas obligaciones. El nivel de exigencia depende del rol de la empresa, del tipo de sistema, del sector y del riesgo que genere. No es lo mismo usar IA para filtrar spam que usarla para seleccionar personal, evaluar crédito o apoyar decisiones sanitarias.

¿Una startup que usa una API de IA externa también puede tener obligaciones?

Sí. Aunque el modelo sea de un tercero, la startup puede asumir obligaciones si integra la IA en su producto, define la finalidad, la comercializa bajo su marca o la utiliza para afectar a clientes, usuarios o trabajadores.

¿Qué sistemas de IA son de alto riesgo?

Pueden ser de alto riesgo, entre otros, sistemas usados en empleo, educación, infraestructuras críticas, acceso a servicios esenciales, determinados usos biométricos, migración, justicia o productos regulados. Cada caso debe analizarse según la finalidad real del sistema.

¿Cuándo se aplica el AI Act?

El AI Act entró en vigor el 1 de agosto de 2024. Algunas obligaciones ya son aplicables desde 2025 y el marco general se despliega en 2026, con calendarios específicos para determinados sistemas de alto riesgo.

¿El AI Act sustituye al RGPD?

No. Si el sistema trata datos personales, la empresa debe cumplir también el RGPD. En muchos proyectos de IA, la revisión de protección de datos será tan importante como la revisión del AI Act.

¿Qué documentación debe preparar una empresa antes de lanzar IA?

Como mínimo, conviene preparar inventario del sistema, clasificación de riesgo, documentación técnica, revisión de datos, contratos con proveedores, información al usuario, política de supervisión humana, logs, pruebas y procedimiento de incidentes.

¿Quién supervisa el AI Act en España?

España creó la Agencia Española de Supervisión de Inteligencia Artificial, AESIA, mediante el Real Decreto 729/2023. Su estatuto prevé funciones de supervisión, certificación, formación, concienciación y apoyo al uso responsable de la IA.

 

Sigue leyendo

 

Fuentes principales

¿Va a lanzar o escalar un sistema de IA en España?

Revisamos el encaje legal de su producto antes de que se convierta en un problema comercial, contractual o regulatorio. En una primera conversación identificamos su rol bajo el AI Act, el nivel de riesgo y los siguientes pasos prioritarios.

  • Rol de su empresa: proveedor, integrador o responsable del despliegue.
  • Clasificación de riesgo del sistema y hoja de ruta documental.
  • Encaje combinado AI Act, RGPD y contratos con clientes y proveedores.

Nueva llamada a la acción

Fecha de publicación: 9 julio 2026

Última actualización: 9 julio 2026