EU AI Act y chatbots: guía completa de cumplimiento para 2026

Qué es el EU AI Act y por qué afecta a tu chatbot

El Reglamento (UE) 2024/1689, conocido como EU AI Act, es la primera legislación integral del mundo que regula la inteligencia artificial. Entró en vigor el 1 de agosto de 2024 y establece un marco de obligaciones graduales que culminan en agosto de 2026, cuando las disposiciones sobre sistemas de IA de alto riesgo serán plenamente aplicables.

Si tu empresa opera un chatbot con inteligencia artificial — ya sea de atención al cliente, ventas, soporte técnico o cualquier otra función — este reglamento te afecta directamente. No importa si el chatbot está construido sobre GPT-4, Claude, Gemini o un modelo open-source: si interactúa con personas en la Unión Europea, cae bajo el ámbito del EU AI Act.

El reglamento clasifica los sistemas de IA según su nivel de riesgo: inaceptable, alto, limitado y mínimo. Los chatbots empresariales caen principalmente en las categorías de riesgo limitado y, en algunos casos, alto riesgo, dependiendo del sector y la función que desempeñen. Un chatbot de e-commerce que recomienda productos tiene obligaciones diferentes a uno que gestiona reclamaciones de seguros o proporciona asesoramiento financiero.

Los artículos clave que aplican a chatbots

Artículo 5: Prácticas prohibidas

El Artículo 5 define las prácticas de IA absolutamente prohibidas en la UE. Para chatbots, las más relevantes son la manipulación subliminal (técnicas que operan por debajo del umbral de consciencia del usuario para distorsionar su comportamiento) y la explotación de vulnerabilidades de grupos específicos. Un chatbot que utilice dark patterns conversacionales para presionar a usuarios vulnerables podría caer en esta categoría.

Artículo 9: Sistema de gestión de riesgos

Todo sistema de IA de alto riesgo debe implementar un sistema de gestión de riesgos continuo a lo largo de todo su ciclo de vida. Esto incluye identificar y analizar los riesgos conocidos y previsibles, estimar y evaluar los riesgos que puedan surgir cuando el sistema se usa conforme a su finalidad prevista, y adoptar medidas de gestión de riesgos adecuadas.

Para chatbots, esto se traduce en auditorías periódicas de seguridad que identifiquen vectores de ataque como prompt injection, filtración de datos personales y generación de contenido dañino. No basta con hacer una revisión al lanzamiento: el Artículo 9 exige un proceso continuo.

Artículo 10: Datos y gobernanza de datos

Los conjuntos de datos de entrenamiento, validación y prueba deben estar sujetos a prácticas de gobernanza adecuadas. Para chatbots, esto implica documentar los datos utilizados para fine-tuning, asegurar que no contengan sesgos discriminatorios y mantener trazabilidad sobre las fuentes de datos. Si tu chatbot ha sido entrenado con datos de clientes, necesitas demostrar que el tratamiento cumple tanto con el RGPD como con el EU AI Act.

Artículo 13: Transparencia e información al usuario

Los sistemas de IA de alto riesgo deben diseñarse de manera que su funcionamiento sea suficientemente transparente para que los operadores puedan interpretar el resultado del sistema y utilizarlo adecuadamente. En la práctica, tu chatbot debe proporcionar información clara sobre sus capacidades, limitaciones y el grado de precisión que puede esperarse.

Artículo 14: Supervisión humana

Los sistemas de IA de alto riesgo deben poder ser supervisados de manera efectiva por personas físicas durante su período de utilización. Para chatbots, esto significa implementar mecanismos de escalación a agentes humanos, sistemas de monitorización de conversaciones y la capacidad de intervenir o detener el sistema cuando sea necesario.

Artículo 15: Precisión, robustez y ciberseguridad

Este artículo exige que los sistemas de IA de alto riesgo alcancen un nivel adecuado de precisión, robustez y ciberseguridad. Para chatbots, la ciberseguridad es especialmente relevante: deben ser resistentes a ataques de prompt injection, intentos de jailbreak y técnicas de extracción de datos. Aquí es donde las auditorías de seguridad basadas en OWASP LLM Top 10 se vuelven imprescindibles.

Artículo 50: Obligaciones de transparencia

Incluso los chatbots que no califican como alto riesgo tienen obligaciones bajo el Artículo 50. Este artículo establece que los proveedores deben garantizar que los sistemas de IA diseñados para interactuar directamente con personas físicas se diseñen de manera que las personas sean informadas de que están interactuando con un sistema de IA. Es decir: tu chatbot debe identificarse como tal. Sin excepciones.

Calendario de aplicación: los plazos que importan

El EU AI Act no se aplica de golpe. Sigue un calendario escalonado:

• Febrero 2025: Entran en vigor las disposiciones sobre alfabetización en IA (Art. 4)
• Agosto 2025: Se prohíben las prácticas de IA inaceptables (Art. 5) y se aplican las normas sobre modelos de IA de uso general
• Agosto 2026: Se aplican todas las obligaciones para sistemas de IA de alto riesgo (Arts. 9-15, 50)
• Agosto 2027: Obligaciones para sistemas de IA integrados en productos regulados

Para la mayoría de empresas con chatbots, la fecha clave es agosto de 2026. Quedan menos de 6 meses. Si aún no has empezado a evaluar el cumplimiento de tu chatbot, el tiempo apremia.

AESIA: la autoridad española de supervisión

En España, la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) es el organismo designado para supervisar el cumplimiento del EU AI Act. Creada por el Real Decreto 729/2023, la AESIA tiene competencia para inspeccionar, sancionar e imponer medidas correctivas a cualquier empresa que opere sistemas de IA en territorio español.

La AESIA ya ha comenzado a establecer su estructura operativa y se espera que inicie actividades de supervisión activa a lo largo de 2026. Las empresas que demuestren proactividad en el cumplimiento — mediante certificaciones de conformidad y auditorías documentadas — estarán significativamente mejor posicionadas ante posibles inspecciones.

Régimen sancionador: lo que está en juego

El régimen de multas del EU AI Act es el más agresivo de cualquier regulación tecnológica europea hasta la fecha, superando incluso al RGPD:

• Nivel 1 (Art. 5 — prácticas prohibidas): hasta 35M€ o 7% de facturación global anual
• Nivel 2 (Arts. 9-15 — obligaciones de alto riesgo): hasta 15M€ o 3% de facturación global anual
• Nivel 3 (Art. 50 — transparencia): hasta 7,5M€ o 1% de facturación global anual

Se aplica siempre la cantidad que sea mayor. Para una empresa con 100M€ de facturación, una infracción de Nivel 2 podría suponer una multa de hasta 15M€ (el 3% de 100M€ es 3M€, pero el mínimo es 15M€). Para una empresa con 600M€, la multa de Nivel 2 sería de hasta 18M€ (3% de 600M€).

7 pasos prácticos para cumplir con el EU AI Act

1. Clasificar tu chatbot según el nivel de riesgo

Determina si tu chatbot cae en la categoría de alto riesgo (Anexo III del reglamento) o riesgo limitado. Chatbots en sectores como seguros, banca, salud, empleo o educación tienen alta probabilidad de ser considerados alto riesgo.

2. Realizar una auditoría de seguridad inicial

Evalúa tu chatbot frente a las 5 vulnerabilidades más críticas utilizando la metodología OWASP LLM Top 10. Identifica vectores de ataque reales, no teóricos. Una auditoría gratuita en Ercel puede darte un diagnóstico inicial en minutos.

3. Documentar el sistema de gestión de riesgos

Crea documentación formal que describa los riesgos identificados, las medidas de mitigación implementadas y el proceso de revisión continua. Esta documentación será tu primera línea de defensa ante una inspección de la AESIA.

4. Implementar mecanismos de transparencia

Asegúrate de que tu chatbot se identifica como IA desde el primer mensaje. Documenta las limitaciones del sistema y hazlas accesibles a los usuarios.

5. Establecer supervisión humana

Implementa escalación a agentes humanos, dashboards de monitorización y alertas automatizadas para conversaciones problemáticas.

6. Asegurar la gobernanza de datos

Documenta las fuentes de datos de entrenamiento, implementa controles de sesgo y asegura la trazabilidad. Alinea tu tratamiento de datos con el RGPD.

7. Obtener una certificación de conformidad

Una certificación de conformidad IA es la evidencia documental más sólida de que tu empresa ha actuado con diligencia. Incluye puntuación de seguridad, matriz de cumplimiento por artículo, plan de remediación priorizado y evidencias de las pruebas realizadas.

No esperes a agosto de 2026

La experiencia con el RGPD demostró que las empresas que esperaron al último momento pagaron un precio significativo — no solo en multas, sino en costes de adaptación urgente, reputación y oportunidades perdidas. Con el EU AI Act, el patrón se repetirá, pero con multas potencialmente mayores.

El primer paso es entender dónde estás. Una auditoría de seguridad de tu chatbot te dará una fotografía clara de tu nivel de cumplimiento actual y un mapa de ruta para llegar donde necesitas estar antes de agosto de 2026.