El Reglamento (UE) 2024/1689 de Inteligencia Artificial —conocido como EU AI Act— es el primer marco jurídico integral del mundo para la inteligencia artificial. Entró en vigor el 1 de agosto de 2024 y sus obligaciones se aplican de forma escalonada hasta agosto de 2026. Para las administraciones públicas españolas, no es una opción: es ley.
Esta guía explica qué implica el AI Act para los organismos públicos que ya usan IA o planean adoptarla, con qué plazos, y cómo prepararse sin paralizar la transformación digital.
Para contexto sobre el estado general de la IA en el sector público, consulta nuestra guía sobre inteligencia artificial en la administración pública española.
¿Por qué el AI Act afecta especialmente al sector público?
Las administraciones públicas son, por definición, los actores con mayor impacto sobre los derechos de los ciudadanos. Un algoritmo que determina el acceso a una prestación social, gestiona multas de tráfico o prioriza expedientes de extranjería afecta a derechos fundamentales de forma directa.
Por eso el AI Act trata a las administraciones públicas como operadores de sistemas de IA —con las obligaciones más estrictas del reglamento— incluso cuando no desarrollan los sistemas, sino que los compran o contratan a terceros.
El principio es claro: quien decide usar un sistema de IA es responsable de que cumpla el reglamento, independientemente de quién lo haya creado.
El sistema de clasificación de riesgos
El AI Act clasifica los sistemas de IA en cuatro categorías según el riesgo que representan:
| Categoría | Ejemplos en sector público | Régimen |
|---|---|---|
| Riesgo inaceptable | Puntuación social de ciudadanos, manipulación subliminal | Prohibidos |
| Riesgo alto | Decisiones sobre prestaciones sociales, selección de personal, gestión migratoria, sistemas biométricos | Requisitos estrictos: evaluación de conformidad, registro, supervisión humana |
| Riesgo limitado | Chatbots de atención ciudadana, sistemas de recomendación informativa | Obligación de transparencia |
| Riesgo mínimo | Filtros de spam en el correo institucional, clasificación de documentos internos | Sin obligaciones específicas |
¿En qué categoría entra un chatbot de atención ciudadana?
Los chatbots para administraciones públicas que informan al ciudadano sin tomar decisiones vinculantes son de riesgo limitado. La obligación principal es la transparencia: el ciudadano debe saber en todo momento que está hablando con IA, no con una persona.
Esta identificación debe ser activa y clara: no basta con incluirla en los términos y condiciones. Debe aparecer al inicio de cada interacción.
Sistemas de riesgo alto: obligaciones detalladas
Si tu organismo usa IA para tomar decisiones que afectan directamente a los derechos o situación de los ciudadanos, estás ante un sistema de riesgo alto. Las obligaciones son:
1. Evaluación de conformidad
Antes de poner en servicio un sistema de riesgo alto, el operador (la administración) debe verificar que el proveedor ha completado la evaluación de conformidad correspondiente. Para la mayoría de casos, esto implica revisar que el proveedor dispone de:
- Documentación técnica del sistema (art. 11 AI Act)
- Registro de eventos (log) automático (art. 12)
- Instrucciones de uso para el operador (art. 13)
- Mecanismos de supervisión humana documentados (art. 14)
2. Registro en la base de datos europea
Los sistemas de riesgo alto deben registrarse en la base de datos europea de sistemas de IA mantenida por la Comisión Europea. Para los sistemas utilizados por autoridades públicas, el registro es obligatorio antes de su puesta en servicio.
3. Supervisión humana obligatoria
El art. 14 establece que los sistemas de riesgo alto deben diseñarse de modo que permitan a personas físicas supervisar su funcionamiento y, cuando sea necesario, anular, ignorar o corregir sus decisiones.
Esto tiene implicaciones prácticas:
- Ninguna decisión administrativa vinculante puede adoptarse exclusivamente por IA sin revisión humana
- El funcionario responsable debe poder entender por qué el sistema ha tomado una determinada decisión
- Debe existir un procedimiento documentado para impugnar decisiones asistidas por IA
4. Evaluación de impacto sobre derechos fundamentales
Antes de desplegar un sistema de IA de riesgo alto, las entidades públicas deben realizar una Evaluación de Impacto sobre los Derechos Fundamentales (FRIA, por sus siglas en inglés). Esta evaluación debe:
- Identificar qué derechos fundamentales puede afectar el sistema
- Describir las medidas adoptadas para mitigar esos riesgos
- Consultar con los interesados pertinentes
- Notificar a las autoridades de vigilancia del mercado antes del despliegue
Plazos de aplicación del AI Act
| Obligación | Fecha de aplicación |
|---|---|
| Prohibición de sistemas de riesgo inaceptable | 2 de febrero de 2025 |
| Obligaciones para proveedores de modelos GPAI | 2 de agosto de 2025 |
| Obligaciones para sistemas de riesgo alto (sector público) | 2 de agosto de 2026 |
| Plena aplicación del reglamento | 2 de agosto de 2027 |
Atención: Los sistemas desplegados antes de agosto de 2026 tienen un período transitorio, pero deben cumplir las obligaciones cuando sean sustancialmente modificados o actualizados.
El AI Act y el Esquema Nacional de Seguridad
El AI Act y el Esquema Nacional de Seguridad (ENS) se superponen en varios puntos. La relación práctica es:
- El ENS regula cómo se protege la información tratada por los sistemas de IA
- El AI Act regula cómo se desarrollan, despliegan y supervisan esos sistemas
No son alternativos: un sistema de IA puede cumplir el ENS y no el AI Act, o viceversa. Ambos marcos deben cumplirse simultáneamente.
Cómo prepararse: hoja de ruta para administraciones
Fase 1: Inventario (antes de diciembre de 2025)
- Identificar todos los sistemas de IA en uso o en proceso de adquisición
- Clasificar cada sistema según la taxonomía de riesgo del AI Act
- Documentar el proveedor, el caso de uso y los datos tratados
Fase 2: Análisis de brechas (primer trimestre de 2026)
- Para cada sistema de riesgo alto: verificar que el proveedor ha completado la evaluación de conformidad
- Identificar qué sistemas requieren registro en la base de datos europea
- Revisar contratos con proveedores para asegurar que incluyen las obligaciones del AI Act
Fase 3: Implementación (segundo trimestre de 2026)
- Completar las evaluaciones de impacto sobre derechos fundamentales
- Establecer procedimientos de supervisión humana
- Registrar los sistemas de riesgo alto en la base de datos europea
- Formar al personal implicado en el uso de sistemas de IA
Fase 4: Mantenimiento continuo
- Monitorizar el rendimiento de los sistemas
- Mantener actualizado el registro de sistemas
- Revisar anualmente las evaluaciones de impacto
Sanciones
El AI Act prevé sanciones económicas significativas, pero para las administraciones públicas el riesgo principal es de otro tipo: responsabilidad por vulneración de derechos fundamentales y obligación de suspensión del sistema hasta resolver el incumplimiento.
La AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), creada por la Ley 40/2024, es la autoridad nacional de supervisión del AI Act en España. Puede realizar inspecciones, imponer medidas cautelares y ordenar la retirada de sistemas.
Preguntas frecuentes
¿Se aplica el AI Act a un chatbot de FAQs sin IA generativa? Si el sistema responde exclusivamente mediante un árbol de decisión y no toma ninguna decisión que afecte a derechos del ciudadano, puede estar fuera del ámbito de aplicación del AI Act. Consulta con tu DPO.
¿Los proveedores de chatbot deben tener certificación específica? No existe aún una certificación obligatoria para sistemas de riesgo limitado. Para riesgo alto, el proveedor debe haber completado una evaluación de conformidad antes de comercializar el sistema.
¿Qué pasa con los sistemas que ya estaban en uso antes del AI Act? Los sistemas desplegados antes de agosto de 2026 tienen hasta agosto de 2030 para adaptarse, salvo que sean "sustancialmente modificados", en cuyo caso las obligaciones aplican de inmediato.
Para integrar el AI Act con el ENS y el RGPD en una visión unificada, consulta la guía de compliance de IA en el sector público.
Si tu organismo requiere máxima soberanía del dato, consulta también nuestra guía sobre el LLM soberano para la administración pública.
Si estás evaluando implantar un asistente virtual en tu ayuntamiento, asegúrate de que el proveedor puede acreditar el cumplimiento del AI Act antes de firmar cualquier contrato. También te puede interesar nuestra guía sobre cómo contratar un asistente virtual para tu ayuntamiento.
¿Quieres saber cómo Agento aborda el cumplimiento del AI Act? Solicita una demo y te explicamos nuestro modelo de responsabilidad compartida.