ACTUALIDAD

Reglamento Europeo de Inteligencia Artificial (EU AI Act)

02/06/2026

NOTICIAS

Implicaciones para la gobernanza corporativa, el cumplimiento normativo y la supervisión de riesgos en Europa y América Latina

Resumen Ejecutivo

El 26 de mayo de 2026, el Consejo de Ministros de España aprobó en segunda vuelta el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la Inteligencia Artificial, dando paso a uno de los primeros desarrollos legislativos nacionales completos del Reglamento Europeo de Inteligencia Artificial (EU AI Act — Reglamento UE 2024/1689). Este hecho consolida a España como referente en la gobernanza de IA dentro de la Unión Europea y establece un marco de obligaciones con impacto directo en la alta dirección de las organizaciones.

El presente paper analiza las implicaciones del EU AI Act y su transposición española desde una perspectiva de gobernanza corporativa, cumplimiento normativo y gestión de riesgos — las tres dimensiones que definen la responsabilidad del Directorio, el CEO y los equipos de Compliance ante esta nueva realidad regulatoria. En servicios financieros esta exigencia es ya tangible: la IA dejó de ser un asunto tecnológico el día en que tuvo supervisor propio. Atlas aborda esta transición desde el corredor Iberia–Latinoamérica, donde el efecto extraterritorial del Reglamento y el avance de las regulaciones locales se refuerzan mutuamente.

No se trata de un ejercicio tecnológico: se trata de un cambio en las reglas del juego para la toma de decisiones corporativas. Las organizaciones que integren la gobernanza de IA en sus marcos de control interno y gestión de riesgos tendrán ventaja competitiva. Las que esperen, enfrentarán remediación costosa y exposición sancionatoria.

Sanción máxima por infracciones graves

0 M€

Del volumen de negocio anual global

0 %

Países bajo un solo marco vinculante

1.- Contexto Regulatorio

1.1.- El EU AI Act: arquitectura del reglamento

El Reglamento (UE) 2024/1689 — conocido como EU AI Act — entró en vigor el 1 de agosto de 2024 como el primer marco regulatorio supranacional integral y vinculante en materia de inteligencia artificial. A diferencia de iniciativas anteriores en China (regulaciones sectoriales desde 2021), Estados Unidos (Executive Order sin carácter vinculante) o Canadá (Directiva de Sistemas Automatizados), el EU AI Act establece un régimen único que aplica uniformemente a 27 Estados miembros con efecto extraterritorial global.

Su arquitectura se organiza en torno a cuatro niveles de riesgo que determinan las obligaciones de cumplimiento:

Nivel de Riesgo	Ejemplos	Obligación regulatoria
Inaceptable	Scoring social, biometría masiva en tiempo real, manipulación subliminal	Prohibición absoluta. Sanción de hasta €35M o 7% de la facturación global.
Alto	Evaluación crediticia, selección de personal, infraestructura crítica, salud	Requisitos integrales: gestión de riesgos, gobernanza de datos, documentación técnica, supervisión humana, exactitud, robustez y ciberseguridad.
Limitado	Chatbots, deepfakes, sistemas generativos (GenAI)	Obligaciones de transparencia: informar al usuario que interactúa con IA y etiquetar contenido generado.
Mínimo	Filtros de spam, IA en videojuegos, recomendaciones básicas	Sin obligaciones específicas. Se recomienda adoptar códigos de conducta voluntarios.

Estos niveles no aplican todos a la vez. El Reglamento sigue un calendario escalonado: las prohibiciones y la obligación de alfabetización en IA rigen desde el 2 de febrero de 2025; las obligaciones de los modelos de propósito general (GPAI) y el régimen de gobernanza, desde el 2 de agosto de 2025; y el grueso de las obligaciones de alto riesgo, desde el 2 de agosto de 2026 — a pocas semanas de la fecha de este documento.

Anclar la hoja de ruta a estas fechas es lo que convierte el cumplimiento en una prioridad inmediata y no en un proyecto abierto.1

1.2 La Ley española: ejecución nacional del marco europeo

Si bien el EU AI Act es directamente aplicable en toda la UE, delega en los Estados miembros la designación de autoridades competentes, la articulación de mecanismos de ejecución y el régimen sancionador nacional. La ley aprobada por España cumple esta función y consolida el papel de la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) como autoridad nacional de referencia. No obstante, la supervisión se ejerce de forma compartida: junto a la AESIA, la Agencia Española de Protección de Datos (AEPD), el Consejo General del Poder Judicial (CGPJ), el Banco de España y la CNMV asumen competencias en sus respectivos ámbitos. Para las entidades financieras esto es determinante: la gobernanza de la IA queda bajo el radar directo de su supervisor sectorial.

El proyecto de ley ha sido revisado por el Consejo General del Poder Judicial y otros órganos consultivos. Mantiene las horquillas sancionatorias entre €6.000 para infracciones leves y €35 millones para las más graves, alineándose con el techo previsto en el reglamento europeo. Ahora inicia su trámite parlamentario en el Congreso y el Senado antes de su promulgación definitiva y publicación en el BOE.

2.- Las 10 Obligaciones Inmediatas

Antes de la promulgación definitiva de la ley nacional, el EU AI Act ya genera obligaciones directas. La siguiente matriz sintetiza los 10 ejes de cumplimiento que toda organización debe tener activos o en proceso de implementación:

Nº	Obligación	Alcance y descripción
01	Inventario de sistemas IA	Mapear todos los sistemas de IA utilizados, desarrollados o integrados en la organización, incluyendo herramientas de terceros y soluciones embebidas.
02	Clasificación de riesgos	Categorizar cada sistema conforme al marco de riesgo del Reglamento: inaceptable, alto, limitado o mínimo.
03	Detección de usos prohibidos	Identificar y eliminar cualquier aplicación de IA en categorías de riesgo inaceptable (scoring social, biometría masiva en tiempo real, manipulación subliminal).
04	Gobernanza interna de IA	Establecer políticas, roles, procesos de aprobación y líneas de responsabilidad específicas para sistemas de IA.
05	Documentación y trazabilidad	Mantener registros técnicos, evidencias de cumplimiento y trazabilidad completa de decisiones automatizadas.
06	Supervisión humana efectiva	Implementar protocolos de intervención humana en sistemas de alto riesgo que toman decisiones con impacto directo en personas.
07	Evaluaciones de impacto	Realizar Evaluaciones de Impacto extendidas a IA (EIPD-IA) cuando afecten derechos fundamentales o involucren tratamiento masivo de datos personales.
08	Alfabetización en IA	Formación obligatoria para equipos directivos, técnicos, jurídicos y de negocio sobre riesgos, responsabilidades y límites de los sistemas de IA.
09	Revisión contractual	Auditar contratos con proveedores, integradores y desarrolladores de IA para incluir cláusulas de cumplimiento, responsabilidad y derecho de auditoría.
10	Coordinación normativa	Articular el programa de IA compliance con RGPD/GDPR, ciberseguridad, propiedad intelectual, protección al consumidor y responsabilidad civil.

3.- Impacto en la Gobernanza Corporativa

El EU AI Act no es solo una regulación tecnológica: redefine las responsabilidades de la alta dirección. Los Directorios, Comités de Auditoría y órganos de gobierno corporativo deben incorporar la gobernanza de IA como un eje estratégico de supervisión, al mismo nivel que la gestión de riesgos financieros, la ciberseguridad y el cumplimiento antisoborno.

3.1 Preguntas que debe formular el Directorio

¿Tenemos un inventario completo de todos los sistemas de IA operativos en la organización?
¿Hemos clasificado cada sistema por nivel de riesgo conforme al EU AI Act?
¿Existe una política de gobernanza de IA aprobada y en vigor?
¿Quién responde ante el Directorio por el cumplimiento del EU AI Act?
¿Los contratos con proveedores de IA incluyen cláusulas de cumplimiento, transparencia y derecho de auditoría?
¿Se han realizado evaluaciones de impacto en derechos fundamentales?
¿El plan de formación en IA cubre a la alta dirección, no solo al equipo técnico?
¿Sabemos qué herramientas de IA generativa utilizan ya nuestros empleados sin control corporativo (shadow AI)?

3.2 El principio rector: gobernar, no solo prohibir

El reglamento no busca frenar la innovación sino disciplinarla. El reto para las organizaciones es implantar modelos de cumplimiento proporcionales, útiles y adaptados al riesgo real de cada sistema de IA, sin convertir la innovación en burocracia improductiva. Esto requiere un enfoque de gobernanza basado en riesgo, alineado con marcos reconocidos como COSO ERM, ISO 42001 (gestión de sistemas de IA) y las Tres Líneas del IIA.

Las organizaciones que integren la gobernanza de IA como una extensión natural de su marco de control interno — no como un proyecto aislado de TI — serán las que conviertan el cumplimiento regulatorio en ventaja competitiva.

4. Régimen Sancionador y Efecto Extraterritorial

El régimen sancionador del EU AI Act establece tres escalones que reflejan la gravedad de las infracciones y están diseñados para que ninguna organización pueda externalizar el costo del incumplimiento — si bien, para la mayoría de organizaciones, el escalón más probable no es el máximo de €35M sino el de €15M o el 3% de la facturación por incumplir las obligaciones de los sistemas de alto riesgo:

Tipo de infracción	Sanción máxima	Alcance
Prácticas prohibidas	€35 millones o 7% de la facturación anual global	Uso de sistemas IA de riesgo inaceptable
Incumplimiento de obligaciones	€15 millones o 3% de la facturación anual global	Sistemas de alto riesgo sin cumplir requisitos del Reglamento
Información incorrecta	€7,5 millones o 1% de la facturación anual global	Suministro de datos incorrectos a autoridades supervisoras

4.1 Efecto extraterritorial: el alcance es global

El EU AI Act aplica a cualquier organización que provea sistemas de IA en el mercado de la UE o cuyos sistemas afecten a personas dentro de la UE, independientemente de dónde esté domiciliada la entidad. Esto incluye expresamente a empresas de terceros países con filiales europeas, proveedores tecnológicos que sirvan a clientes en la UE, o compañías que procesen datos de ciudadanos europeos. En la práctica, los proveedores establecidos fuera de la UE deben designar un representante autorizado en territorio europeo — una obligación concreta, y a menudo pasada por alto, que afecta de lleno a las organizaciones latinoamericanas con sistemas en el mercado europeo.

Para organizaciones multinacionales con presencia en la Península Ibérica, este efecto extraterritorial convierte al EU AI Act en una regulación de referencia que debe integrarse en sus marcos de cumplimiento corporativo global, de la misma forma que el RGPD transformó la gestión de datos personales a escala mundial.

5. Implicaciones para América Latina

Si bien el EU AI Act es una regulación europea, su efecto extraterritorial y la creciente interconectividad de los mercados hacen que su impacto se extienda significativamente a América Latina. Las organizaciones latinoamericanas deben considerar al menos tres dimensiones de exposición:

Exposición directa

Empresas con filiales en España, Portugal u otros Estados miembros; compañías que provean sistemas o servicios de IA a clientes europeos; organizaciones que procesen datos de ciudadanos de la UE. En todos estos casos, el EU AI Act aplica con independencia del domicilio de la matriz.

Exposición indirecta por cadena de valor

Proveedores tecnológicos latinoamericanos que desarrollen, integren o mantengan componentes de IA para empresas sujetas al EU AI Act deberán cumplir con los requisitos de documentación, trazabilidad y transparencia que sus clientes europeos les exigirán contractualmente.

Convergencia regulatoria

La región avanza hacia marcos regulatorios propios. Brasil aprobó su Marco Legal de IA en el Senado en 2024 y lo mantiene en tramitación en la Cámara de Diputados (aún no está en vigor); Chile y Colombia tienen proyectos legislativos en trámite avanzado; México trabaja en una estrategia nacional de IA con componente regulatorio. Ecuador y Perú, si bien aún no cuentan con legislación específica, verán acelerada la presión regulatoria en los próximos 12 a 24 meses. Las organizaciones que se anticipen al estándar europeo estarán mejor posicionadas cuando las regulaciones locales cristalicen.

El vacío regulatorio en América Latina no equivale a impunidad. Las empresas con nexo europeo ya están bajo el alcance del EU AI Act hoy. Y cuando las regulaciones locales lleguen — que llegarán — las organizaciones sin marcos de gobernanza de IA enfrentarán costos de remediación significativamente mayores que el de la implementación anticipada.

6. Hoja de Ruta: Marco de Implementación

La implementación efectiva de un programa de gobernanza de IA alineado al EU AI Act requiere un enfoque progresivo, estructurado en cuatro fases que permitan avanzar de forma sostenible sin paralizar la operación:

Fase	Horizonte	Acciones clave
1	INMEDIATO (0–30 días) Diagnóstico y visibilidad	Inventario de sistemas IA activos • Mapa de exposición UE • Identificación de usos de alto riesgo y prohibidos • Evaluación de cadena de proveedores tecnológicos
2	CORTO PLAZO (1–3 meses) Clasificación y gobernanza	Clasificación formal por nivel de riesgo • Política interna de IA • Protocolos de supervisión humana • Revisión y actualización de contratos con proveedores • Designación de responsable de IA compliance
3	MEDIANO PLAZO (3–6 meses) Cumplimiento y formación	Programa de alfabetización IA (directivos, legales, técnicos) • Evaluaciones de impacto (EIPD-IA) • Integración con RGPD y ciberseguridad • Sistema de documentación técnica y evidencias
4	SOSTENIBLE (6+ meses) Madurez y monitoreo	Revisión periódica del inventario y clasificación • Programa de IA trustworthy • KPIs de cumplimiento IA • Monitoreo de evolución regulatoria local e internacional

7. Conclusión

El EU AI Act marca un punto de inflexión en la relación entre tecnología y gobernanza corporativa. Por primera vez, un marco regulatorio supranacional exige que las organizaciones gobiernen sus sistemas de inteligencia artificial con el mismo rigor que aplican a sus controles financieros, su cumplimiento antisoborno o su protección de datos.

La aprobación de la ley española no es un evento aislado: es la señal de que los mecanismos de ejecución y sanción están activándose en toda Europa. Las organizaciones — europeas e internacionales — que comiencen hoy a construir sus marcos de gobernanza de IA no solo cumplirán con la regulación: convertirán ese cumplimiento en un activo estratégico que genera confianza, diferenciación y resiliencia.

En Atlas Value Management, acompañamos a la alta dirección, Comités de Auditoría y áreas de Compliance en el diseño e implementación de marcos de gobernanza de IA alineados al EU AI Act — desde el diagnóstico inicial hasta la certificación de madurez. Nuestro enfoque combina experiencia en forensic, auditoría interna, control interno y cumplimiento normativo con conocimiento profundo del ecosistema regulatorio europeo y latinoamericano.

AtlasVM

Firma de consultoría estratégica y de operaciones independiente, orientada a facilitar la transformación empresarial.

Compartir en:

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
cookielawinfo-checkbox-necessary	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otros".
cookielawinfo-checkbox-performance	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
CookieLawInfoConsent	1 year	Registra el estado del botón predeterminado de la categoría correspondiente y el estado de CCPA. Funciona solo en coordinación con la cookie principal.
elementor	never	Esta cookie es utilizada por el tema de WordPress del sitio web. Permite al propietario del sitio web implementar o cambiar el contenido del sitio web en tiempo real.
viewed_cookie_policy	1 year	La cookie está configurada por el complemento de consentimiento de cookies de GDPR para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Cookie	Duración	Descripción
_ga	2 years	La cookie _ga, instalada por Google Analytics, calcula los datos de visitantes, sesiones y campañas y también realiza un seguimiento del uso del sitio para el informe analítico del sitio. La cookie almacena información de forma anónima y asigna un número generado aleatoriamente para reconocer a visitantes únicos.
_ga_8H20C6DRNL	2 years	Esta cookie es instalada por Google Analytics.