PL | ES | EN

AI Act para empresas

Te ayudamos a desplegar la IA conforme a la ley para proteger el negocio, al consejo de administración y el ritmo de desarrollo de los productos.

AI Act para empresas

Marcas con las que hemos trabajado

1koszyk
Adresowo
AnyPark
Atomstore
Autopay
Baselinker
BMG Goworowski
Booksy
Booste
Bratna
Cashbene
Codility
DPay
EasySend
Fenalabs
Fenige
FiberPay
Happy Birds

ámbito del AI Act: roles, riesgo y sanciones

El AI Act actúa con efecto extraterritorial: si un sistema de IA opera en el mercado de la UE o sus resultados se utilizan en la UE, la regulación puede aplicarse con independencia del país de domicilio de la entidad.

Proveedor (provider)

Crea o encarga la creación de un sistema de IA y lo introduce en el mercado bajo su propia marca.

Mayor alcance de obligaciones y de documentación.

Responsable del despliegue (deployer)

Utiliza el sistema de IA en su actividad profesional y responde por la forma de uso operativo.

Clave: supervisión humana, monitorización, evaluación de impacto sobre los derechos fundamentales (FRIA) en los casos exigidos.

Importador / Distribuidor

Introduce en la UE sistemas de IA de fuera de la Unión o los sigue distribuyendo.

Requiere control de la cadena de suministro y de la documentación del fabricante.

Quien ajusta el modelo (fine-tuner)

Adapta el modelo de IA a un uso empresarial concreto.

En la práctica puede asumir el estatus de proveedor de un nuevo sistema.

Si tu sistema de IA elabora perfiles de personas físicas y entra en el anexo III, es automáticamente high-risk. No es posible acogerse a la excepción del art. 6, apartado 3, que suaviza las obligaciones para otros sistemas.

Prohibido

Prácticas inadmisibles (p. ej. puntuación social, manipulación subliminal, parte de los usos de la biometría).

Consecuencia: retirada inmediata y las sanciones económicas más altas.

High-risk

Sistemas que afectan a los derechos fundamentales, a la seguridad o a decisiones relevantes sobre las personas.

Consecuencia: paquete completo de requisitos del art. 8-17 y evaluación de la conformidad.

Limited-risk

Chatbots, deepfake, sistemas generativos y otros ámbitos de transparencia.

Consecuencia: obligaciones informativas y etiquetado de contenido de IA.

Miniatura

Sin obligaciones sectoriales dedicadas más allá de las competencias en IA y las buenas prácticas de gobernanza.

Consecuencia: principios básicos de control y formación de los usuarios.

Sanciones: qué riesgo asumen el consejo de administración y la sociedad

  • Hasta 35 mill. EUR o el 7% del volumen de negocios global - por prácticas prohibidas.
  • Hasta 15 mill. EUR o el 3% del volumen de negocios global - por incumplimientos de los requisitos de los sistemas high-risk.
  • Hasta 20 mill. EUR o el 4% del volumen de negocios global - entre otros, por incumplimientos de las obligaciones de transparencia.

Estado normativo / material: 19 de febrero de 2026.

clasificación de riesgo y GPAI

La clasificación determina el presupuesto, el ritmo de implantación y el nivel de responsabilidad de la organización. El mayor coste es una cualificación errónea del sistema.

Prohibido

Detectamos prácticas que hay que retirar del uso para no incurrir en una infracción directa del art. 5.

High-risk

Mapeamos el sistema con los requisitos del art. 8-17: evaluación de la conformidad, registros, supervisión humana y control de calidad.

Limited-risk

Diseñamos la transparencia para chatbots, contenidos sintéticos e interfaces que interactúan con el usuario.

Miniatura

Construimos un modelo de gobernanza ligero: registro de IA, reglas de uso y mecanismo de notificación de incidentes y de uso no autorizado de IA.

Checklist de transparencia

Chatbot

El usuario tiene que saber que se está comunicando con una IA.

Deepfake / contenido sintético

Los contenidos requieren un etiquetado claro y reglas de publicación.

Etiquetado de contenido de IA

Para los contenidos generados por IA preparamos estándares técnicos y operativos de etiquetado.

implantación del AI Act: etapas 0-9

Trabajamos en 10 etapas. Cada una concluye con un documento que se puede mostrar al regulador, al auditor y al consejo de administración.

Etapa 0

Aplicabilidad y roles

Verificamos si la organización está sujeta al AI Act y en qué rol: hacemos un inventario de sistemas de IA, cualificamos los usos y asignamos los roles regulatorios.

Como resultado, el registro de sistemas de IA y la ficha de cualificación de la organización.

Etapa 1

Clasificación y prácticas prohibidas

Determinamos el nivel de riesgo de cada sistema de IA y eliminamos las prácticas prohibidas: analizamos el anexo III, verificamos el art. 5, cualificamos la elaboración de perfiles y mapeamos las obligaciones de transparencia.

Como resultado, el dictamen de clasificación, la matriz de categorías de riesgo y el informe de estado de GPAI.

Etapa 2

Obligaciones high-risk

Construimos el cumplimiento de los sistemas de alto riesgo: implantamos la gestión del riesgo, la gobernanza de los datos, la documentación técnica, la supervisión humana, la ciberseguridad y la evaluación de la conformidad.

Como resultado, el paquete de cumplimiento high-risk y la ruta de la declaración UE.

Etapa 3

GPAI

Implantamos las obligaciones para los modelos de uso general (GPAI) y sus integradores: documentación según los anexos XI/XII, política de derechos de autor, resumen de los datos de entrenamiento y, en caso de riesgo sistémico, también evaluaciones y notificación de incidentes.

Como resultado, el paquete de cumplimiento GPAI.

Etapa 4

Transparencia

Implantamos los avisos exigidos para los usuarios y los destinatarios de contenido de IA: diseñamos información para chatbots y deepfake, el estándar de etiquetado de contenido de IA y los procedimientos de publicación.

Como resultado, el paquete de avisos de transparencia y la especificación de etiquetado de contenido.

Etapa 5

Gobernanza de la IA y evaluación de impacto

Definimos la responsabilidad interna y el modelo de gobernanza de IA: nombramos a la persona o comité de IA, redactamos políticas de uso y compras, verificamos a los proveedores y, donde lo exige la ley, preparamos la evaluación de impacto sobre los derechos fundamentales (FRIA).

Como resultado, el modelo de gobernanza de IA y el informe de evaluación de impacto (FRIA).

Etapa 6

Integración regulatoria

Conectamos el AI Act con las obligaciones sectoriales y de ciberseguridad existentes: lo integramos con RGPD, DORA, NIS2, MiCA/PSD2/AML y CRA/DSA y ordenamos una única lista de tareas de cumplimiento.

Como resultado, la matriz regulatoria y el plan de mantenimiento del cumplimiento.

Etapa 7

AI literacy

Construimos las competencias de los equipos conforme al art. 4 del AI Act: preparamos una matriz de formaciones para el consejo de administración, el área de cumplimiento, el equipo técnico, RR. HH., ventas y toda la organización.

Como resultado, el programa de competencias en IA, el registro de formaciones y los certificados.

Etapa 8

Monitorización e incidentes después de la implantación

Mantenemos el cumplimiento tras la puesta en producción del sistema: ejecutamos monitorización continua, procedimiento de notificación de incidentes, informes trimestrales y evaluación del impacto de los cambios.

Como resultado, el plan de monitorización post-implantación y el procedimiento de notificación de incidentes.

Etapa 9

Auditoría y ventaja competitiva

Pasamos de una lista de obligaciones a una ventaja sostenida en ventas y verificación de socios: preparamos la disposición ante inspecciones, el plan de auditoría, soporte a la certificación y materiales que generan confianza en la IA.

Como resultado, el informe de auditoría anual de IA y el paquete de evidencias de cumplimiento.

calendario del AI Act

Al planificar el presupuesto y las prioridades cuentan las fechas concretas. A continuación, los hitos que más a menudo determinan el orden del proyecto de implantación.

2 de febrero de 2025

Inicio de la prohibición de prácticas inadmisibles (art. 5) y de la obligación de alfabetización en IA (art. 4).

2 de agosto de 2025

Entrada en vigor de las obligaciones para los proveedores de GPAI y puesta en marcha de los mecanismos de supervisión.

2 de agosto de 2026

Hito clave: amplio conjunto de obligaciones para sistemas high-risk y de transparencia, además de la plena aplicación de la normativa.

2 de agosto de 2027

Obligaciones adicionales para sistemas high-risk del anexo I y cierre de las disposiciones transitorias para los modelos de uso general (GPAI).

31 de diciembre de 2030

Plazo final para determinados sistemas de IA a gran escala del anexo X.

Estado normativo / material: 19 de febrero de 2026.

integración del AI Act con otras regulaciones

Una única implantación coherente que cubra varias regulaciones es más barata y segura que llevar proyectos de cumplimiento por separado.

AI Act + RGPD

Combinamos la evaluación de riesgos de IA con la evaluación de impacto en la protección de datos (DPIA), la elaboración de perfiles y el art. 22 RGPD para evitar contradicciones entre la protección de la privacidad y la gobernanza de la IA.

AI Act + DORA

Integramos los sistemas de IA en la gestión del riesgo de TI, las pruebas de resiliencia y los planes de continuidad operativa.

AI Act + NIS2

Sincronizamos la ciberseguridad, la gestión de la cadena de suministro y la notificación de incidentes.

AI Act + MiCA / PSD2 / AML

Para los fintech clasificamos la IA en los procesos de evaluación del riesgo del cliente, prevención del blanqueo de capitales (AML/KYC) y detección del fraude como potencialmente high-risk.

AI Act + CRA / DSA

Ordenamos los requisitos de ciberseguridad del producto y de transparencia algorítmica en los canales de plataforma.

gobernanza de la IA y competencias del equipo

Una implantación eficaz del AI Act requiere una estructura de decisión estable, políticas operativas y un plan de formación para toda la organización.

Estructura de responsabilidad

  • Persona o comité de IA a nivel del consejo de administración
  • Reparto claro de responsabilidades para decisiones de producto, jurídicas y de seguridad
  • Reporte regular de los riesgos de IA al consejo de administración

Paquete de políticas

  • Política de gobernanza de IA
  • Reglas de uso aceptable de IA
  • Política de adquisición de sistemas de IA
  • Modelo de evaluación de proveedores de IA

Evaluación de proveedores de IA

  1. Evaluación del rol del proveedor y reparto de responsabilidades en el AI Act
  2. Verificación de la documentación técnica, registros y supervisión humana
  3. Evaluación contractual (SLA, propiedad intelectual, responsabilidad, cláusulas de incidentes)
  4. Decisión de puesta en marcha o rechazo y monitorización tras la implantación

Si ya tienes políticas, las integramos en un único modelo operativo y ordenamos la documentación para una inspección del regulador.

Reserva una cualificación del proyecto

Contacta sobre AI Act

En la primera conversación determinaremos en qué fase estás: diagnóstico, implantación para sistemas de alto riesgo o mantenimiento del cumplimiento tras el lanzamiento.

El servicio en materia de AI Act lo dirige:

Tomasz Klecor

Tomasz Klecor

Socio Director

Navegador FinTech. Jurista.

+48 797 711 924
info@legalgeek.pl

Describe la fase del proyecto

Indica si necesitas un diagnóstico de AI Act, un proyecto de implantación para sistemas de alto riesgo o un modelo de monitorización y auditoría anual.

Tus datos serán tratados conforme a nuestra política de privacidad.