AI Act 2025: qué obligaciones tiene tu empresa ya
El AI Act (Reglamento UE 2024/1689) entró en vigor el 1 de agosto de 2024. Desde el 2 de agosto de 2025, las prohibiciones para sistemas de riesgo inaceptable son vinculantes. A partir del 2 de agosto de 2026, entran en vigor las obligaciones para sistemas de alto riesgo. Si tu empresa usa IA en RRHH, atención al cliente o procesos de decisión automatizada, ya estás en el alcance.
¿A qué empresas afecta?
El AI Act aplica a cualquier organización que despliegue o use sistemas de IA en la UE, independientemente de dónde esté la empresa proveedora. Esto incluye el uso interno de modelos como GPT-4o, Claude o Gemini en procesos que afecten a personas.
Los sistemas clasificados como de alto riesgo incluyen, entre otros:
- IA usada en selección y evaluación de candidatos
- Sistemas de toma de decisiones crediticias
- IA en infraestructuras críticas
- Herramientas de evaluación del rendimiento laboral
Las 5 obligaciones clave para operadores
Si tu empresa usa (no fabrica) sistemas de IA de alto riesgo, eres un operador y tienes estas obligaciones principales:
Documenta los riesgos identificados y las medidas de mitigación adoptadas para cada sistema de IA de alto riesgo.
Los sistemas de alto riesgo deben tener mecanismos que permitan a personas competentes supervisar, intervenir y desactivar el sistema.
Conserva logs automáticos de la actividad del sistema de IA durante al menos 6 meses (más en infraestructuras críticas).
Los usuarios deben saber cuándo interactúan con un sistema de IA y poder solicitar explicaciones sobre decisiones automatizadas que les afecten.
Los incidentes graves o las vulnerabilidades deben notificarse a la autoridad nacional competente.
¿Qué necesitas tener documentado?
Para una auditoría del AI Act, tu organización debe poder acreditar:
- Inventario de sistemas de IA desplegados y su clasificación de riesgo
- Contratos con los proveedores de IA que incluyan obligaciones de transparencia
- Logs de actividad de los sistemas de IA con trazabilidad de usuario y acción
- Procedimientos de supervisión humana documentados
- Registro de incidentes y respuestas
Cómo coordinat.io te ayuda a cumplir
coordinat.io registra automáticamente toda la actividad de IA de tu organización: quién envió qué, cuándo, a qué modelo, con qué resultado. El log es completo, exportable en CSV y conservado según el plan que elijas (hasta 1 año en Premium).
Además, los informes de compliance exportables incluyen el resumen de eventos DLP, uso por usuario y modelo, y estadísticas de presupuesto — exactamente la documentación que necesitarás en una inspección.
En menos de 30 minutos puedes tener coordinat.io activo y empezar a generar el registro de actividad de IA que exige la normativa.
Empieza gratis — 30 días