Skip to content
· 12 min de lectura

Regulación y certificaciones de IA en Alemania y Europa: lo que las empresas deben saber en 2026

El EU AI Act ya está en vigor, con plazos de cumplimiento importantes en 2026 y 2027. Esto es lo que exige la normativa, qué certificaciones importan y qué debe hacer su empresa ahora.

AIBusiness StrategySecurity
Compartir

El EU AI Act es el primer marco legal integral del mundo para la inteligencia artificial. Entró en vigor el 1 de agosto de 2024 y sus obligaciones se despliegan en fases hasta 2027. Su aplicación depende de si su empresa desarrolla, implementa, distribuye o utiliza sistemas de IA en Europa, de la categoría de riesgo del sistema y de si el resultado de la IA se emplea dentro de la UE.

Las primeras prohibiciones ya están activas. Los requisitos para sistemas de IA de alto riesgo entran en plena vigencia en agosto de 2026. Las multas pueden alcanzar hasta 35 millones de euros o el 7 % de la facturación anual global, según cuál sea mayor.

Los datos hablan por sí solos: más del 40 % de las empresas alemanas ya utilizan IA, pero solo el 23 % de las organizaciones europeas se consideran bien preparadas para la gobernanza de la IA. A continuación se detalla lo que establece la normativa, qué certificaciones conviene perseguir y qué acciones concretas debe tomar ahora.

El EU AI Act: estructura y calendario

El EU AI Act adopta un enfoque basado en el riesgo. No todos los sistemas de IA reciben el mismo trato: cuanto mayor es el riesgo que el sistema representa para la salud, la seguridad o los derechos fundamentales, más estrictas son las normas aplicables.

Fechas clave

FechaQué entra en vigor
1 de agosto de 2024El EU AI Act entra en vigor
2 de febrero de 2025Prohibición de prácticas de IA no permitidas (puntuación social, vigilancia biométrica en tiempo real, manipulación)
2 de agosto de 2025Se aplican las normas para modelos de IA de uso general (GPAI), incluidas las obligaciones de transparencia y derechos de autor
2 de agosto de 2026Las obligaciones para sistemas de IA de alto riesgo entran en plena vigencia: evaluaciones de conformidad, gestión de riesgos y supervisión humana requeridas
2 de agosto de 2027Plena aplicación de todas las disposiciones restantes, incluidos los sistemas de IA integrados en productos regulados

El plazo de agosto de 2026 es el más crítico para la mayoría de las empresas: en esa fecha entra en vigor el grueso de las obligaciones de cumplimiento para los sistemas de IA de alto riesgo. Nota: el paquete de enmiendas AI Digital Omnibus de la Comisión Europea (en debate durante 2026) propone eximir a los sistemas de alto riesgo del Anexo III ya en el mercado del plazo de agosto de 2026, salvo que sufran cambios de diseño significativos, lo que podría retrasar parte de la aplicación hasta finales de 2027. La propuesta sigue en discusión, por lo que conviene planificar conforme al calendario original.

Categorías de riesgo: qué implica cada una

El EU AI Act clasifica los sistemas de IA en cuatro niveles de riesgo. Las obligaciones de cumplimiento dependen íntegramente de la categoría en la que se encuadre el sistema.

Riesgo inaceptable (prohibido)

Las siguientes prácticas de IA están prohibidas desde febrero de 2025:

  • Puntuación social por parte de gobiernos o empresas privadas
  • Identificación biométrica remota en tiempo real en espacios públicos (con excepciones muy limitadas para las fuerzas del orden)
  • Técnicas de manipulación subliminal que causen daño
  • Explotación de vulnerabilidades de grupos específicos (edad, discapacidad)
  • Predicción policial basada exclusivamente en perfiles
  • Reconocimiento de emociones en entornos laborales e instituciones educativas
  • Recopilación masiva e indiscriminada de imágenes faciales de internet o circuitos de videovigilancia para crear bases de datos

Alto riesgo

Los sistemas de IA en estos ámbitos están sujetos a los requisitos más estrictos: evaluaciones de conformidad, documentación, supervisión humana y seguimiento continuo:

  • Infraestructuras críticas: gestión de energía, transporte, agua e infraestructura digital
  • Educación: sistemas que determinan el acceso a la enseñanza o evalúan al alumnado
  • Empleo: herramientas de selección de personal, cribado de currículos, evaluación del desempeño y decisiones de promoción
  • Servicios esenciales: puntuación crediticia, fijación de primas de seguros y acceso a prestaciones públicas
  • Aplicación de la ley: herramientas de evaluación de riesgos, polígrafos y valoración de pruebas
  • Migración y control fronterizo: tramitación de visados y solicitudes de asilo
  • Justicia y democracia: sistemas de apoyo a decisiones judiciales

Riesgo limitado (obligaciones de transparencia)

Los sistemas de IA que interactúan directamente con personas deben informar de que son IA. Esto incluye chatbots, contenido generado por IA y deepfakes. Los usuarios deben saber que están interactuando con un sistema de IA, y el contenido generado o manipulado por IA ha de etiquetarse como tal.

Riesgo mínimo

La mayoría de las aplicaciones de IA pertenecen a esta categoría: filtros de spam, herramientas de diseño asistido por IA, motores de recomendación y gestión de inventario. No existen obligaciones específicas en el EU AI Act, aunque se fomentan los códigos de conducta voluntarios.

Qué exige realmente el cumplimiento de alto riesgo

Si su sistema de IA está clasificado como de alto riesgo, esto es lo que debe tener implantado antes de agosto de 2026:

  • Sistema de gestión de riesgos: identificación, análisis y mitigación continua de riesgos durante todo el ciclo de vida del sistema
  • Gobernanza de datos: los conjuntos de datos de entrenamiento, validación y prueba deben cumplir criterios de calidad; la detección y mitigación de sesgos son obligatorias
  • Documentación técnica: registros detallados sobre el propósito, la arquitectura, el proceso de entrenamiento, las métricas de rendimiento y las limitaciones conocidas del sistema
  • Registro y trazabilidad: registro automático de las operaciones del sistema para posibilitar la trazabilidad y el análisis posterior a incidentes
  • Transparencia: instrucciones claras para los implementadores, incluidos el uso previsto, los niveles de rendimiento y los riesgos conocidos
  • Supervisión humana: mecanismos que permitan a los operadores humanos supervisar, intervenir y anular las decisiones de la IA
  • Exactitud, solidez y ciberseguridad: los sistemas deben funcionar de manera constante y ser resistentes frente a ataques adversariales y manipulación de datos

Para los proveedores que comercializan sistemas de IA de alto riesgo en el mercado de la UE, se exige una evaluación de conformidad antes de la implementación. Según el ámbito, esta evaluación puede realizarla el propio proveedor o un organismo notificado (auditor externo).

Modelos de IA de uso general (GPAI)

Desde agosto de 2025, los proveedores de modelos de IA de uso general, incluidos los grandes modelos de lenguaje, deben cumplir requisitos de transparencia:

  • Documentación técnica que describa las capacidades y limitaciones del modelo
  • Cumplimiento en materia de derechos de autor: un resumen suficientemente detallado del contenido de los datos de entrenamiento, conforme al derecho de autor de la UE
  • Transparencia descendente: facilitar información que permita a los implementadores cumplir sus propias obligaciones

Los modelos GPAI clasificados como de riesgo sistémico (generalmente aquellos entrenados con más de 10^25 FLOPs) tienen obligaciones adicionales: pruebas adversariales, notificación de incidentes, medidas de ciberseguridad e informes de consumo energético.

El papel de Alemania y la aplicación nacional

Al tratarse de un Reglamento de la UE, el AI Act se aplica directamente en todos los Estados miembros sin necesidad de transposición nacional. No obstante, cada país debe designar autoridades nacionales competentes para la vigilancia del mercado y la aplicación de la normativa.

Alemania incumplió el plazo original de agosto de 2025 para designar dichas autoridades. En febrero de 2026, el Gobierno federal aprobó la KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG), el proyecto de ley nacional de implementación que establece la estructura regulatoria. Actualmente se tramita en el Bundestag.

  • BNetzA (Bundesnetzagentur): designada como principal autoridad alemana de vigilancia del mercado de la IA, coordinando la aplicación entre sectores
  • BSI (Bundesamt für Sicherheit in der Informationstechnik): responsable de los aspectos de ciberseguridad de los sistemas de IA, con publicación de normas técnicas y orientaciones
  • BfDI (Bundesbeauftragter für den Datenschutz): interviene cuando los sistemas de IA tratan datos personales, garantizando la alineación con el GDPR
  • Reguladores sectoriales: BaFin (servicios financieros), BAuA (seguridad laboral) y otros supervisan la IA dentro de sus respectivos ámbitos

La BNetzA ha establecido también un AI Service Desk (operativo desde julio de 2025) que ofrece asesoramiento gratuito y accesible para empresas, especialmente pymes, que naveguen por el cumplimiento del EU AI Act.

Alemania también ha participado activamente en el desarrollo de normas de IA a través de DIN y DKE (los organismos alemanes de normalización), contribuyendo a las normas armonizadas europeas que definirán los criterios de cumplimiento del AI Act. El BSI ha publicado el marco QUAIDAL: 143 métricas de calidad para evaluar los datos de entrenamiento de IA.

Certificaciones y normas clave

Aunque el EU AI Act no impone certificaciones específicas, varias normas se consolidan como la vía práctica para demostrar el cumplimiento.

ISO/IEC 42001: Sistema de gestión de IA

Publicada en diciembre de 2023, es la primera norma internacional para sistemas de gestión de IA. Ofrece un marco estructurado para que las organizaciones gestionen los riesgos, la gobernanza y el desarrollo responsable de la IA. Puede compararse con ISO 27001 aplicada a la IA: un estándar de sistema de gestión certificable que cubre aproximadamente entre el 70 y el 80 % de los requisitos del EU AI Act para sistemas de alto riesgo.

  • Qué cubre: política de IA, evaluación de riesgos, roles y responsabilidades, gestión de datos, evaluación del desempeño y mejora continua
  • Quién debería obtenerla: cualquier organización que desarrolle o implemente sistemas de IA, especialmente las que operan en categorías de alto riesgo según el EU AI Act
  • Certificación: disponible a través de organismos de certificación acreditados; las auditorías siguen la misma estructura que ISO 27001 (Etapa 1 y Etapa 2)

Otras normas relevantes

NormaEnfoqueEstado
ISO/IEC 42001Sistema de gestión de IA (certificable)Publicada
ISO/IEC 23894Gestión del riesgo de IAPublicada
ISO/IEC 38507Gobernanza de la IA en organizacionesPublicada
ISO/IEC 25059Modelo de calidad de sistemas de IAPublicada
CEN/CENELEC JTC 21Normas armonizadas de la UE para el cumplimiento del AI ActEn desarrollo
ISO/IEC TR 24027Sesgo en sistemas de IAPublicada
ISO/IEC 42005Evaluación del impacto de sistemas de IAPublicada

Las normas armonizadas CEN/CENELEC son especialmente relevantes. Una vez publicadas, crearán una «presunción de conformidad»: si su sistema de IA cumple dichas normas, se presume que cumple los requisitos correspondientes del EU AI Act. Se esperan a lo largo de 2025 y 2026.

Sanciones por incumplimiento

El EU AI Act establece un régimen de sanciones escalonado que se calibra según la gravedad de la infracción:

InfracciónMulta máxima
Prácticas de IA prohibidas35 millones de euros o el 7 % de la facturación anual global
Infracciones de sistemas de IA de alto riesgo15 millones de euros o el 3 % de la facturación anual global
Proporcionar información incorrecta a las autoridades7,5 millones de euros o el 1 % de la facturación anual global

Para pymes y startups, las multas están limitadas al umbral inferior de manera proporcional. No obstante, el daño reputacional derivado del incumplimiento puede ser el mayor riesgo empresarial, especialmente en contextos B2B donde los clientes exigirán cada vez más a sus proveedores pruebas de cumplimiento en materia de IA.

GDPR y AI Act: dónde coinciden

Si su sistema de IA trata datos personales, y la mayoría lo hacen, debe cumplir tanto el GDPR como el AI Act. Son complementarios, no contrapuestos:

  • El GDPR regula la recogida, el tratamiento y el almacenamiento de datos personales, incluidos los datos de entrenamiento de modelos de IA
  • El AI Act regula el propio sistema de IA: su diseño, pruebas, implementación y seguimiento continuo
  • Las Evaluaciones de Impacto sobre la Protección de Datos (EIPD) del GDPR se alinean estrechamente con las evaluaciones de riesgo del AI Act para sistemas de alto riesgo
  • La toma de decisiones automatizada del artículo 22 del GDPR ya reconoce el derecho de las personas a impugnar decisiones adoptadas por IA; el AI Act añade requisitos técnicos sobre esta base

Las organizaciones con procesos de GDPR maduros parten con ventaja. Los marcos de documentación, evaluación de impacto y gobernanza presentan un solapamiento significativo.

Pasos prácticos: qué hacer ahora

Tanto si su empresa es una startup que implementa un chatbot como si es una gran organización que gestiona evaluaciones crediticias con IA, este es un plan de acción concreto:

1. Inventaríe sus sistemas de IA

Mapee todos los sistemas de IA que su organización desarrolla, implementa o utiliza. Incluya herramientas de IA de terceros (puntuación en CRM, plataformas de selección de personal, analítica). Clasifique cada uno según las categorías de riesgo del EU AI Act.

2. Determine su rol

El AI Act distingue entre proveedores (quienes desarrollan o comercializan sistemas de IA) y implementadores (quienes los utilizan). Las obligaciones difieren significativamente según el rol. Usar una herramienta de IA de terceros le convierte en implementador, pero aun así existen obligaciones de transparencia, supervisión y seguimiento.

3. Análisis de brechas frente a los requisitos de alto riesgo

Para los sistemas de IA de alto riesgo, evalúe su situación actual frente a los siete requisitos fundamentales: gestión de riesgos, gobernanza de datos, documentación, registro, transparencia, supervisión humana y solidez. Identifique las brechas y priorice la remediación.

4. Implante una gobernanza de IA

Establezca un marco de gobernanza de IA: políticas, roles y procesos para gestionar los sistemas de IA de forma responsable. ISO/IEC 42001 proporciona una estructura lista para usar. Incluso sin buscar la certificación, el marco ofrece una base de referencia sólida y defendible.

5. Prepárese para las evaluaciones de conformidad

Si provee sistemas de IA de alto riesgo, comience ahora a preparar la documentación técnica, los protocolos de prueba y los sistemas de gestión de la calidad. El proceso de evaluación de conformidad exige evidencia de cumplimiento en las siete áreas de requisitos.

6. Forme a sus equipos

El AI Act exige expresamente que el personal involucrado en sistemas de IA tenga suficiente alfabetización en IA. El artículo 4 lo impone. Invierta en formación para desarrolladores, gestores de producto, equipos de cumplimiento y directivos.

Impacto en el sitio web y los productos

Si su sitio web utiliza funciones impulsadas por IA (chatbots, motores de personalización, sistemas de recomendación, generación automatizada de contenido), probablemente quede sujeto, como mínimo, a los requisitos de transparencia de riesgo limitado.

  • Los chatbots con IA deben informar de que son sistemas de IA antes de que comience la interacción
  • El contenido generado por IA en su sitio web debe etiquetarse como tal cuando pueda confundirse con contenido creado por personas
  • Los sistemas de personalización y perfilado pueden activar obligaciones del GDPR y del AI Act según su impacto en los usuarios
  • Los formularios y sistemas de puntuación con IA (puntuación de leads, comprobaciones de elegibilidad) deben evaluarse para determinar su clasificación de riesgo

Una política de divulgación de IA clara ofrece a los usuarios información comprensible antes de que comience la interacción, etiqueta el contenido generado donde sea necesario y demuestra a los reguladores que la transparencia se incorporó al flujo de trabajo desde el diseño.

Próximos pasos

La regulación de la IA en Europa no se detiene. El marco está establecido, los plazos son firmes y los mecanismos de aplicación se están poniendo en marcha. Las empresas que traten esto como un problema de 2027 se encontrarán corriendo contra el tiempo: el plazo de agosto de 2026 para los sistemas de alto riesgo está a solo unos meses.

webvise desarrolla productos digitales con el cumplimiento normativo como parte del diseño. Ya sea para evaluar las funciones de IA de su sitio web conforme al EU AI Act, implementar mecanismos de divulgación adecuados o realizar una auditoría técnica completa de su presencia digital, póngase en contacto para obtener ayuda práctica en la navegación por los requisitos regulatorios.

Las prácticas de webvise están alineadas con las normas ISO 27001 e ISO 42001.