Hard2bit

Reglamento (UE) 2024/1689 · AESIA · GPAI · Alto riesgo · Anexo III

Cumplimiento EU AI Act

Programa completo de cumplimiento del Reglamento (UE) 2024/1689: clasificación de sistemas, gestión de riesgos art. 9, data governance, documentación técnica, transparencia y supervisión humana, testing técnico art. 15, monitorización post-mercado y AI literacy. Hard2bit cubre la parte técnico-organizativa; coordinamos la jurídica con vuestro legal.

Agendar reunión · 30 min Ver calendario de aplicación
Reg. (UE) 2024/1689 Clasificación de sistemas Gestión riesgos art. 9 Testing art. 15 AI literacy art. 4 ISO/IEC 42001 compatible Coordinación jurídica

Resumen ejecutivo

El EU AI Act es la primera regulación horizontal del mundo sobre inteligencia artificial. Las prácticas prohibidas y la obligación de alfabetización en IA aplican desde febrero de 2025. Las obligaciones de modelos de uso general (GPAI) y régimen sancionador desde agosto de 2025. El bloque grande, alto riesgo, aplica desde agosto de 2026. El que llegue tarde se encuentra con un marco operativo nuevo, multas potenciales de hasta 35 millones o 7% de facturación y, cada vez más, clientes enterprise exigiendo evidencia de cumplimiento como condición de procurement.

Lo bueno: comparado con NIS2 o DORA, el EU AI Act tiene una estructura razonablemente abordable si se aborda con método. La pieza fundacional es la clasificación correcta de cada sistema IA. A partir de ahí, las obligaciones se descomponen en bloques estandarizables: gobierno, riesgos, datos, documentación, transparencia, supervisión humana, testing técnico, vigilancia post-mercado. Nuestro departamento GRC, con experiencia probada en NIS2, DORA, ENS, ISO 27001 y RGPD, aplica el mismo método riguroso al EU AI Act.

Clasificación es la pieza fundacional

Equivocarse por debajo expone a multas. Equivocarse por arriba aplica obligaciones costosas que no toca. Es la decisión más importante del programa.

GRC + técnico + coordinación legal

Cubrimos clasificación, gobierno, riesgos, testing técnico art. 15 y operación. La parte jurídica (representación AESIA, defensa en sanciones) la coordinamos con vuestro legal.

Compatible con ISO/IEC 42001

El sistema de gestión AIMS de ISO 42001 es el marco operativo natural para sostener cumplimiento EU AI Act. Implantar uno apoya el otro.

Calendario de aplicación

Las obligaciones del EU AI Act entran en aplicación de forma escalonada. Saber qué aplica cuándo es clave para priorizar el programa correctamente.

2 FEB
2025

Prácticas prohibidas + alfabetización en IA

Aplica el catálogo de prácticas prohibidas del art. 5 (manipulación subliminal, scoring social, biometría en tiempo real en espacios públicos con excepciones, etc.) y la obligación de alfabetización en IA del art. 4 para personal que opera o desarrolla sistemas IA. Cualquier organización con personal usando o desarrollando IA YA debería tener un plan de AI literacy en marcha.

2 AGO
2025

GPAI + gobernanza + régimen sancionador

Aplican las obligaciones de modelos de propósito general (GPAI, arts. 51-55), incluida la categoría de GPAI con riesgo sistémico. La gobernanza completa (Oficina IA, AESIA en España, autoridades sectoriales) y el régimen sancionador entran plenamente en vigor.

2 AGO
2026

Alto riesgo (mayoría) + obligaciones generales

Aplica el bloque grande: alto riesgo del Anexo III, obligaciones de proveedores, responsables del despliegue, importadores, distribuidores, representantes autorizados, registros en la base de datos UE, evaluación de conformidad y marcado CE. La mayor parte del programa de cumplimiento debe estar operativo en esta fecha.

2 AGO
2027

Alto riesgo Anexo I (productos regulados)

Aplica el alto riesgo del Anexo I: sistemas IA integrados en productos ya regulados por legislación sectorial (maquinaria, dispositivos médicos, vehículos, etc.). Final del calendario de aplicación; a partir de aquí régimen plenamente operativo.

Fuente: Reglamento (UE) 2024/1689, art. 113 (entrada en vigor y aplicación escalonada). Sujeto a actos delegados y de ejecución posteriores.

Clasificación de sistemas IA por nivel de riesgo

El reglamento define cinco categorías. La clasificación correcta es la primera decisión y la más importante del programa.

Categoría 1 · Prohibido (art. 5)

Sistemas no permitidos en la UE

Manipulación subliminal con perjuicio; explotación de vulnerabilidades (edad, discapacidad, situación socioeconómica); scoring social por autoridades públicas; predicción policial individualizada solo por perfilado; raspado masivo de imágenes faciales para reconocimiento; biometría en tiempo real en espacios públicos por fuerzas de seguridad (con excepciones tasadas); inferencia de emociones en trabajo y educación (salvo motivos médicos o de seguridad). Multa hasta 35M o 7%.

Categoría 2 · Alto riesgo (Anexo I + III)

El grueso del programa

Dos vías. Anexo I: sistemas IA integrados en productos regulados por legislación sectorial (maquinaria, dispositivos médicos, juguetes, vehículos, ascensores). Anexo III: ocho áreas (biometría, infraestructura crítica, educación, empleo, servicios esenciales, fuerzas de seguridad, migración y fronteras, justicia y procesos democráticos). Obligaciones completas: art. 9 a 15 + evaluación de conformidad + marcado CE + registro en base de datos UE. Multa hasta 15M o 3%.

Categoría 3 · GPAI (art. 51-55)

Modelos de propósito general

Modelos base entrenados con grandes volúmenes de datos para usos generales (GPT-4 class, Claude, Gemini, Llama, Mistral grandes). Obligaciones de documentación técnica, política de cumplimiento de copyright, resumen del corpus de entrenamiento, transparencia con integradores downstream. Subcategoría: GPAI con riesgo sistémico (umbral compute > 10^25 FLOPs): obligaciones reforzadas, evaluación adversarial, notificación de incidentes graves a la Oficina IA.

Categoría 4 · Riesgo limitado (art. 50)

Obligaciones de transparencia

Chatbots: informar al usuario que interactúa con una IA. Sistemas que generan contenido sintético (deepfakes, imagen y vídeo): marcar el contenido como generado artificialmente en formato legible por máquina. Sistemas de reconocimiento de emociones o categorización biométrica fuera de alto riesgo: informar a la persona expuesta. Categoría con obligaciones limitadas pero presentes; no se puede ignorar.

Categoría 5 · Riesgo mínimo

El resto (la gran mayoría)

Filtros antispam, recomendadores no críticos, agentes de soporte interno sin acceso a sistemas críticos, IA en videojuegos, etc. Sin obligaciones regulatorias específicas. Se recomienda código de conducta voluntario y alineación con marcos de referencia (NIST AI RMF, ISO/IEC 42001) por buenas prácticas y para anticipar futuras categorizaciones.

Obligaciones por categoría · resumen práctico

Mapeo simplificado de obligaciones técnico-organizativas por categoría. Tras la clasificación, este es el plan de trabajo.

Obligación Alto riesgo GPAI Limitado
Sistema de gestión de riesgos (art. 9) Obligatorio completo Política equivalente
Data governance y calidad (art. 10) Obligatorio (training/test/val) Resumen + política copyright
Documentación técnica (art. 11 + Anexo IV) Obligatorio completo Doc. técnica + ficha modelo Mínima
Sistema de logs (art. 12) Obligatorio (trazabilidad) Aplicable a sistémico
Transparencia hacia usuarios (art. 13/50) Obligatorio Hacia integradores downstream Obligatorio art. 50
Supervisión humana (art. 14) Obligatorio (HITL)
Precisión, robustez, ciberseguridad (art. 15) Obligatorio + testing Obligatorio + red team (sistémico)
Sistema de gestión de calidad (art. 17) Obligatorio (proveedor) Política equivalente
Evaluación de conformidad + marcado CE Obligatorio (proveedor)
Registro en base de datos UE (art. 49) Obligatorio (proveedor)
Monitorización post-mercado (art. 72) Obligatorio Aplicable a sistémico
Notificación de incidentes graves (art. 73/55) Obligatorio (alto riesgo) Obligatorio (sistémico)
FRIA · evaluación impacto derechos (art. 27) Sector público / esenciales
AI literacy (art. 4) Personal afectado Personal afectado Personal afectado

Resumen orientativo. El alcance exacto depende del rol del cliente (proveedor, responsable del despliegue, importador, distribuidor) y de la categoría concreta dentro del Anexo III.

Qué cubre Hard2bit y qué coordinamos con vuestro legal

Política de honestidad: el programa EU AI Act es técnico-organizativo + jurídico. Hard2bit cubre la parte técnico-organizativa con experiencia probada en marcos análogos (NIS2, DORA, ENS, ISO 27001, RGPD). La parte jurídica pura la coordinamos con vuestro legal o con el bufete que designéis. Esta separación de roles está documentada por contrato.

Lo que sí hacemos

Bloque técnico-organizativo

  • Inventario y clasificación técnica de sistemas IA
  • Sistema de gestión de riesgos (art. 9) implantado y operado
  • Data governance y calidad de datos (art. 10)
  • Documentación técnica (art. 11 + Anexo IV)
  • Sistema de logs y trazabilidad (art. 12)
  • Mecanismos de transparencia (art. 13 + 50)
  • Supervisión humana operativa (art. 14)
  • Testing técnico art. 15 (precisión, robustez, ciberseguridad)
  • Sistema de gestión de calidad (art. 17)
  • Procedimientos de monitorización post-mercado (art. 72)
  • Procedimientos de notificación de incidentes graves (art. 73 / 55)
  • Programa de AI literacy (art. 4) + materiales formativos
  • Políticas internas, comité IA, asignación de roles
  • Compatibilidad con ISO/IEC 42001 si se busca certificación

Lo que coordinamos con vuestro legal

Bloque jurídico puro

  • Designación de representante autorizado en UE (art. 22)
  • Declaración UE de conformidad (firma)
  • Trámites ante AESIA y autoridades sectoriales (CNMV, AEPD, etc.)
  • Defensa jurídica en caso de inspección o sanción
  • Cláusulas contractuales B2B y B2C derivadas del cumplimiento
  • Asesoramiento legal puro sobre interpretación del reglamento
  • Acciones administrativas o judiciales relacionadas

Si no tienes legal interno especializado en IA y necesitas referencias, te podemos sugerir bufetes con los que ya hemos coordinado en proyectos análogos. Sin acuerdo comercial entre Hard2bit y esos bufetes.

Cómo entregamos el programa

Cinco fases. La primera es siempre el diagnóstico inicial: condiciona el resto del programa y permite cerrar precio firme sin estimaciones.

1. Diagnóstico inicial (3-5 semanas)

Inventario de sistemas IA en la organización (proveedor, responsable del despliegue o ambos por sistema), clasificación de cada uno, mapa de obligaciones aplicables, gap analysis frente al estado actual y roadmap priorizado a 6/12/24 meses. Entregable cerrado para que cliente pueda decidir alcance del programa completo.

2. Gobierno + AI literacy (4-6 semanas)

Comité IA, política IA, asignación de roles (responsable IA, responsable de modelos, responsable de riesgos), registro interno de sistemas IA, programa de AI literacy obligatorio art. 4 con materiales y formación al personal afectado. Bloque que puede arrancar en paralelo a otros sin dependencia técnica.

3. Cumplimiento técnico (8-16 semanas)

Sistema gestión riesgos art. 9, data governance art. 10, documentación técnica art. 11, logs art. 12, transparencia art. 13/50, supervisión humana art. 14, testing técnico art. 15 (incluye red teaming adversarial para alto riesgo y GPAI sistémico).

4. Operación + monitorización (continuo)

Vigilancia post-mercado, procedimiento de notificación de incidentes graves, revisión periódica del sistema de riesgos, actualización del registro, soporte para nuevos sistemas IA que entran al alcance, coordinación con legal del cliente para trámites externos.

5. Evidencia y auditor (a demanda)

Cuando el cliente recibe inspección de AESIA / autoridad sectorial, o cuando solicita evaluación de conformidad para alto riesgo, preparamos el dossier de evidencia, acompañamos al inspector/evaluador, redactamos respuestas técnicas. La parte jurídica de la inspección la lleva vuestro legal.

Sectores prioritarios · Anexo III

Las ocho áreas del Anexo III definen la mayoría del alto riesgo. Si vuestro sistema IA opera en alguna, alta probabilidad de caer en alto riesgo.

Biometría

Identificación biométrica remota, categorización biométrica, reconocimiento de emociones (con matices).

Infraestructura crítica

Sistemas IA usados como componentes de seguridad en gestión y operación de infraestructura digital, tráfico vial, suministro de agua, gas, calefacción, electricidad.

Educación y formación profesional

Acceso a centros educativos, evaluación de aprendizajes, asignación de niveles, supervisión durante pruebas.

Empleo, gestión de personal

Selección y reclutamiento, decisiones sobre promoción/terminación/asignación de tareas, monitorización del rendimiento.

Servicios esenciales públicos y privados

Acceso a prestaciones sociales, scoring de crédito, fijación de primas de seguros de vida y salud, despacho de servicios de emergencia.

Fuerzas de seguridad

Evaluación de riesgo de víctimas, detectores de mentiras (con condiciones), evaluación de pruebas, perfilado en investigación, predicción de delincuencia individualizada (con restricciones).

Migración, asilo y control fronterizo

Detectores de mentiras, evaluación de riesgo de migración, examen de solicitudes de asilo, identificación biométrica.

Justicia y procesos democráticos

Asistencia a autoridades judiciales en interpretación y aplicación del derecho, sistemas que influyen en resultado de elecciones o comportamiento de voto.

Multas y consecuencias del incumplimiento

Régimen sancionador (arts. 99-101) aplicable desde 2 de agosto de 2025. Tres tramos según infracción.

Tramo 1 · más alto

35 M€

o 7% facturación global

Por usar prácticas prohibidas (art. 5). Se aplica el importe mayor de los dos. Sancionable por autoridad nacional o sectorial.

Tramo 2 · intermedio

15 M€

o 3% facturación global

Por incumplir obligaciones de alto riesgo, de GPAI o de transparencia. También se aplica el importe mayor.

Tramo 3 · menor

7,5 M€

o 1% facturación global

Por suministrar información incorrecta, incompleta o engañosa a autoridades. Riesgo presente incluso en respuestas a requerimientos rutinarios.

Más allá de la sanción económica, el riesgo reputacional y comercial es alto. Durante 2026-2027 los clientes enterprise empezarán a exigir evidencia de cumplimiento EU AI Act como condición de procurement, igual que ocurrió con GDPR en 2018-2019. La empresa que llega tarde se queda fuera de RFPs.

Cuándo encaja y cuándo no

Encaja muy bien

Cuándo merece la pena

  • Organización con sistemas IA en producción o pre-producción
  • Sector con probabilidad alta de Anexo III (banca, sanidad, RRHH, AAPP, infraestructura)
  • Proveedor B2B de IA con clientes enterprise que pedirán evidencia
  • Empresas con personal usando o desarrollando IA (AI literacy ya aplicable)
  • Buscáis certificación ISO/IEC 42001 como base
  • Operáis o vendéis modelos de propósito general (GPAI)
  • Cliente enterprise os exige evidencia de cumplimiento

Encaja menos

Cuándo no es lo primero

  • No tenéis aún ningún sistema IA desplegado ni planeado en 12 meses: consultoría puntual basta
  • Solo usáis SaaS de IA de terceros sin desarrollar nada: obligaciones limitadas, foco en AI literacy + due diligence de proveedores
  • Necesitáis solo el bloque jurídico (representación, defensa): mejor ir directo a un despacho especializado
  • Vuestro RGPD aún no está consolidado: orden lógico distinto, primero RGPD

Objeciones que escuchamos y cómo las contestamos

«Esto es regulación, lo lleva nuestro bufete»

Los bufetes cubren bien la parte jurídica pura. Pero el EU AI Act exige también un programa técnico-organizativo permanente (gestión de riesgos, datos, documentación técnica, logs, testing, monitorización post-mercado). Esa parte rara vez está dentro del scope de un bufete. Trabajamos en coordinación: nosotros la parte técnica y de gestión, ellos la jurídica.

«Ya tenemos RGPD y CISO. ¿No es suficiente?»

El RGPD cubre tratamiento de datos personales y, en parte, decisiones automatizadas (art. 22). El EU AI Act regula los sistemas IA completos: incluso sin datos personales, hay obligaciones (transparencia, robustez, supervisión humana, etc.). El CISO cubre la ciberseguridad técnica pero raramente el ciclo completo de gobierno IA. Son complementarios; no se sustituyen entre sí.

«Solo usamos GPT-4 / Claude. No desarrollamos IA»

Si lo usáis como herramienta interna sin construir un sistema IA propio, las obligaciones son limitadas pero existen: AI literacy del personal afectado (art. 4) aplica YA desde febrero 2025, due diligence del proveedor GPAI, y si lo integráis en flujos críticos podríais convertiros en 'responsable del despliegue' de un sistema alto riesgo con obligaciones derivadas.

«Aún hay tiempo, agosto 2026 está lejos»

Para alto riesgo en agosto 2026 sí, pero febrero 2025 (prácticas prohibidas + AI literacy) y agosto 2025 (GPAI + régimen sancionador) ya aplican. Adicionalmente, el roadmap típico de cumplimiento es 12-24 meses; empezar en H1 2026 es razonable, en H2 2026 ya empezamos a ir tarde para alto riesgo.

«Las multas son disuasorias pero, ¿AESIA va a actuar?»

Es la pregunta razonable. Realidad: 2025-2026 será probablemente fase de aprendizaje y casos ejemplarizantes. Pero el verdadero riesgo no es solo la multa: es el riesgo de procurement (clientes enterprise empiezan a exigirlo), de reputación si hay incidente público, y de contagio cuando se suma a RGPD ya consolidado.

«Cuesta mucho dinero»

Comparado con el riesgo de multa (hasta 35M o 7%), un programa de 35-90 mil euros para cumplimiento alto riesgo de 1-3 sistemas es ratio razonable. Y se amortiza: la documentación técnica que genera sirve también para ISO/IEC 42001, RGPD art. 22 y futuros clientes enterprise que pidan evidencia. No es coste hundido, es base operativa.

Cómo medimos el avance del programa

Seis indicadores compartidos en comité IA mensual.

% sistemas IA inventariados

Indicador maestro. Sin inventario no hay clasificación ni cumplimiento. Objetivo: 100% en 90 días.

% sistemas correctamente clasificados

Clasificación revisada y validada por GRC + legal. Objetivo: 100% sistemas en producción.

% obligaciones aplicables cubiertas

Por sistema y categoría. Calculado contra el mapa de obligaciones del diagnóstico. Objetivo: 100% pre-agosto 2026 para alto riesgo.

% personal afectado con AI literacy completada

Art. 4 ya aplicable. Objetivo: 100% personal que opera o desarrolla con IA.

Incidentes graves notificados en plazo

Para alto riesgo y GPAI sistémico. Objetivo: 100% en plazo regulatorio. Cero retrasos.

Revisión del sistema de riesgos en plazo

Art. 9 exige revisión continua. Objetivo: revisión documentada mínima cada 6 meses + tras cambio sustancial.

Glosario EU AI Act

Sistema de IA

Sistema basado en máquina diseñado para operar con distintos niveles de autonomía y que, para objetivos explícitos o implícitos, infiere de la entrada cómo generar salidas (definición art. 3.1).

GPAI

General-Purpose AI Model. Modelo IA entrenado con grandes volúmenes de datos para usos generales (GPT, Claude, Gemini, Llama, Mistral grandes). Obligaciones arts. 51-55.

GPAI riesgo sistémico

Subcategoría GPAI por capacidad o uso. Umbral inicial: compute > 10^25 FLOPs. Obligaciones reforzadas + notificación de incidentes graves.

Anexo III

Lista de 8 áreas de uso de alto riesgo: biometría, infraestructura crítica, educación, empleo, servicios esenciales, fuerzas de seguridad, migración y fronteras, justicia.

FRIA

Fundamental Rights Impact Assessment (art. 27). Evaluación de impacto sobre derechos fundamentales obligatoria para alto riesgo en sector público o servicios esenciales.

AESIA

Agencia Española de Supervisión de la Inteligencia Artificial. Autoridad nacional designada para España. Sancionadora junto a autoridades sectoriales (AEPD, CNMV, etc.).

Oficina IA

AI Office. Órgano de la Comisión Europea para gobernanza GPAI y coordinación entre Estados miembros.

Responsable del despliegue

Deployer. Persona física o jurídica que usa un sistema IA bajo su autoridad. Obligaciones específicas en arts. 26-27 cuando es alto riesgo.

Proveedor

Provider. Quien desarrolla un sistema IA o GPAI y lo pone en el mercado bajo su nombre o marca. Obligaciones más amplias.

Marcado CE

Marca de conformidad de la UE. Obligatoria en sistemas IA alto riesgo del Anexo I tras evaluación de conformidad.

AI literacy

Alfabetización en IA (art. 4). Obligación de garantizar nivel suficiente de conocimiento IA en personal que opera o desarrolla sistemas IA. Aplicable desde 2-feb-2025.

ISO/IEC 42001

AIMS · AI Management System. Estándar internacional que sirve como marco operativo para sostener cumplimiento EU AI Act.

Servicios relacionados en Hard2bit

Seguridad IA (consultoría)

Gobierno IA, ISO/IEC 42001, política de uso aceptable, threat modeling de agentes. Complementa el programa EU AI Act.

Ver AI Security →

Auditoría de agentes IA y MCP

Red teaming técnico art. 15: precisión, robustez y ciberseguridad. Evidencia directa para inspector AESIA.

Auditar agente IA →

NormexAI · plataforma de cumplimiento

Plataforma SaaS de gestión documental de cumplimiento. Apta para sostener inventario y evidencia EU AI Act.

Ver NormexAI →

ISO/IEC 27001

Marco SGSI; ISO 42001 hereda del 27001. Si tienes 27001 implantado, el salto a 42001 es razonable.

Certificar ISO 27001 →

Adecuación RGPD

Solapamiento parcial con EU AI Act en decisiones automatizadas (art. 22) y DPIA (art. 35 RGPD vs FRIA art. 27 AI Act).

Adecuar RGPD →

Adecuación NIS2

Si sois infraestructura crítica, NIS2 + EU AI Act se solapan. Programa coordinado evita doble esfuerzo.

Cumplir NIS2 →

Adecuación DORA

Sector financiero: DORA + EU AI Act. Coordinamos cumplimientos para evitar duplicidades de documentación y testing.

Cumplir DORA →

Auditoría integral

Cuando EU AI Act es parte de un alcance más amplio que incluye infraestructura, identidad y procesos.

Ver auditoría integral →

Respuesta a incidentes

Procedimiento de notificación de incidentes graves (art. 73 alto riesgo / art. 55 GPAI sistémico) requiere capacidad IR real.

Activar respuesta IR →

Preguntas frecuentes

¿Qué es exactamente el EU AI Act y a quién aplica?

El Reglamento (UE) 2024/1689 sobre inteligencia artificial es la primera regulación horizontal del mundo para sistemas de IA. Aplica a cualquier organización que ponga en el mercado europeo o use sistemas de IA: proveedores (quien desarrolla y comercializa), responsables del despliegue (quien lo usa en su organización), importadores y distribuidores. Aplica también a proveedores de fuera de la UE si su sistema o sus salidas se usan en la UE. La clasificación por nivel de riesgo es la pieza central: prohibidos, alto riesgo, GPAI, riesgo limitado y mínimo. Cada nivel tiene obligaciones distintas y fechas de aplicación distintas.

¿Cuándo aplican las obligaciones? ¿Estamos a tiempo?

Calendario escalonado: 2 de febrero de 2025 prácticas prohibidas y obligación de alfabetización en IA (art. 4) ya aplican. 2 de agosto de 2025 obligaciones de modelos de uso general (GPAI), gobernanza y régimen sancionador. 2 de agosto de 2026 alto riesgo entra en aplicación general, junto con la mayoría de obligaciones de proveedores y responsables del despliegue. 2 de agosto de 2027 alto riesgo de sistemas de seguridad de productos (Anexo I) y otros casos residuales. El año 2026 es el de mayor exigencia de cumplimiento; preparar el programa en H1 2026 da margen razonable. Después se pasa a régimen reactivo bajo presión de la AESIA o autoridad sectorial.

¿Mi sistema de IA es de 'alto riesgo'? ¿Cómo lo sé?

Hay dos vías al alto riesgo. Anexo I (sistemas de seguridad de productos regulados por legislación específica: maquinaria, juguetes, dispositivos médicos, vehículos, ascensores, equipos de protección, etc.). Anexo III (ocho áreas de uso): biometría, infraestructura crítica, educación y formación profesional, empleo (selección, evaluación, asignación de tareas), acceso a servicios esenciales públicos y privados, fuerzas de seguridad, migración y control fronterizo, justicia y procesos democráticos. La clasificación correcta es la decisión fundacional del programa: equivocarse hacia abajo expone a multas; equivocarse hacia arriba aplica obligaciones innecesariamente costosas. Lo hacemos como primera fase del proyecto.

¿Qué hace exactamente vuestro programa de cumplimiento?

Cinco bloques. Diagnóstico y clasificación: inventario de sistemas IA en la organización, clasificación de cada uno (prohibido / alto riesgo / GPAI / limitado / mínimo) y mapa de obligaciones aplicables. Gobierno: políticas, asignación de roles, comité IA, registro interno de sistemas IA. Riesgos (art. 9): sistema de gestión de riesgos documentado, evaluación continua, mitigaciones. Cumplimiento técnico: data governance (art. 10), documentación técnica (art. 11), logs (art. 12), transparencia (art. 13), supervisión humana (art. 14), precisión, robustez y ciberseguridad (art. 15). Operación continua: monitorización post-mercado, gestión de incidentes graves (art. 73 GPAI / proveedor), reporting a AESIA, evidencia para auditor.

¿Qué hacéis vosotros y qué NO hacéis?

Hacemos: clasificación técnica de sistemas, sistema de gestión de riesgos art. 9, data governance art. 10, documentación técnica art. 11, sistema de logs art. 12, mecanismos de transparencia y human-oversight (arts. 13 y 14), testing técnico art. 15 (precisión, robustez y ciberseguridad — incluye red teaming adversarial), monitorización post-mercado, procedimientos de notificación de incidentes graves, formación AI literacy (art. 4), políticas internas y gobierno. No hacemos: representación legal ante AESIA, defensa jurídica en sanciones, conformidad notarial de declaraciones, asesoramiento jurídico puro. Para eso coordinamos con el departamento legal del cliente o con el bufete que designe. Sí redactamos la documentación técnica que ese bufete necesitará firmar.

¿Cuánto cuesta y cuánto dura?

Depende del número y criticidad de sistemas IA. Diagnóstico inicial (inventario + clasificación + mapa de obligaciones + roadmap) con 2-5 sistemas: 3-5 semanas, 8-18 mil euros. Programa completo de implantación para alto riesgo con 1-3 sistemas: 12-24 semanas, 1-2 consultores GRC + 1 técnico, 35-90 mil euros. Programa GPAI o multi-sistema enterprise: 24-40 semanas, 50-160 mil euros. La operación continua (revisión periódica, nuevos sistemas, reporting) se gestiona como suscripción mensual o se transfiere al equipo interno con formación. Antes de presupuestar hacemos diagnóstico inicial para dimensionar.

¿Cómo encaja con ISO/IEC 42001? ¿Y con RGPD?

ISO/IEC 42001 (Artificial Intelligence Management System, AIMS) es el marco operativo natural para sostener cumplimiento EU AI Act: el sistema de gestión cubre la mayoría de obligaciones organizativas (gobierno, riesgos, mejora continua) y los anexos cubren controles técnicos. Implantar 42001 no certifica EU AI Act pero genera la base de la evidencia. Con RGPD hay solapamiento parcial: el art. 22 RGPD (decisiones automatizadas) sigue aplicando cuando el sistema IA decide sobre personas; la DPIA del RGPD se complementa con la evaluación de impacto sobre derechos fundamentales (FRIA) del art. 27 EU AI Act para sistemas de alto riesgo en sector público o servicios esenciales. Las dos coexisten, no se sustituyen.

Somos proveedores de un sistema usado en Europa pero estamos fuera de la UE. ¿Aplica?

Sí. El reglamento aplica extraterritorialmente cuando: el sistema de IA se pone en el mercado de la UE (independientemente de dónde se desarrolle), el responsable del despliegue está establecido en la UE, o las salidas del sistema se usan en la UE. La organización debe designar un representante autorizado en la UE (art. 22) para los sistemas de alto riesgo de su catálogo. Coordinamos con vuestro legal counsel internacional para la designación; la parte técnica y de gestión del programa la cubrimos directamente.

Las multas son altas. ¿Cuál es el riesgo real?

Tres tramos. Hasta 35 millones de euros o 7% de la facturación mundial total del ejercicio anterior por usar prácticas prohibidas (art. 5). Hasta 15 millones o 3% por incumplir obligaciones de alto riesgo, GPAI o de transparencia. Hasta 7,5 millones o 1% por información incorrecta a autoridades. La autoridad nacional (en España, AESIA) y autoridades sectoriales (CNMV, AEPD, etc.) pueden imponer estas sanciones. Más allá de la multa, el riesgo reputacional y comercial es alto: clientes enterprise empezarán a exigir evidencia de cumplimiento como condición de procurement durante 2026-2027.

¿Cómo arrancamos un proyecto en Hard2bit?

Llamada de 30 minutos para entender el contexto (qué sistemas IA tenéis o estáis desplegando, posición en la cadena: proveedor, responsable del despliegue o ambos, sector, recursos GRC actuales). Si tiene sentido, walkthrough técnico-organizativo de 2 horas con product/ingeniería + Compliance/DPO. Con eso proponemos diagnóstico inicial (3-5 semanas) con propuesta firme tras el diagnóstico. Sin compromisos hasta firma. Si vemos que la organización aún no tiene sistemas IA en producción o está en fase muy temprana, recomendamos consultoría puntual de orientación en lugar de programa completo.

¿Tu organización está lista para EU AI Act?

Llamada de 30 minutos para entender vuestros sistemas IA, sector y posición. Diagnóstico inicial de 3-5 semanas con propuesta firme tras el diagnóstico. Sin compromisos hasta firma. Coordinación con vuestro legal o referencias de bufetes especializados si lo necesitáis.

Agendar reunión · 30 min Contactar