Qué es el EU AI Act y cuándo te afecta
El EU AI Act es el Reglamento (UE) 2024/1689, el primer marco legal del mundo que regula la inteligencia artificial de forma horizontal. Entró en vigor el 1 de agosto de 2024 y se aplica de forma escalonada, no de golpe.
El calendario que importa para tus proyectos de automatización:
- 2 de febrero de 2025: aplicables las prohibiciones (prácticas de riesgo inaceptable) y las obligaciones de alfabetización en IA del personal.
- 2 de agosto de 2025: obligaciones para los modelos de IA de propósito general (GPAI).
- 2 de agosto de 2026: aplicación general, incluido el alto riesgo del Anexo III. Esta es la fecha clave para la mayoría de workflows empresariales.
- 2 de agosto de 2027: sistemas de alto riesgo embebidos en productos regulados del Anexo I.
El reglamento distingue dos roles: el proveedor, que desarrolla o pone en el mercado el sistema de IA, y el deployer (usuario profesional), que lo utiliza bajo su responsabilidad. La mayoría de empresas que automatizan procesos actúan como deployers, y eso cambia qué obligaciones les tocan.
Los cuatro niveles de riesgo, aplicados a procesos reales
El EU AI Act clasifica los sistemas por el riesgo de su uso, no por la potencia del modelo. Hay cuatro niveles:
- Riesgo inaceptable (prohibido): social scoring, manipulación subliminal y ciertos usos biométricos. No se pueden desplegar en la UE.
- Alto riesgo (Anexo III): empleo y gestión de trabajadores (cribado de candidaturas, decisiones de promoción o despido, asignación de tareas por algoritmo), acceso a servicios esenciales, educación, biometría… Obligaciones plenas.
- Riesgo limitado: obligación de transparencia. Un chatbot debe identificarse como IA.
- Riesgo mínimo: el resto. Buenas prácticas, sin obligaciones específicas.
Lo más útil es verlo sobre procesos concretos. Cuatro workflows habituales y su nivel:
Cribado de CV en RRHH
Un workflow que usa IA para filtrar o puntuar candidaturas decide sobre el acceso al empleo de personas. Es Anexo III: alto riesgo, con todas las obligaciones del proveedor y del deployer.
Scoring crediticio
Conceder o denegar acceso a un servicio esencial mediante IA afecta de forma relevante a la persona. Alto riesgo: exige supervisión humana, gestión de riesgos y trazabilidad.
Chatbot interno
Un asistente conversacional que orienta a empleados es de riesgo limitado. Única obligación material: identificarse como IA ante quien lo usa.
OCR de facturas
Extraer y clasificar datos de facturas no decide sobre personas. Riesgo mínimo: buenas prácticas, sin obligaciones específicas del reglamento.
La regla mental: si la IA decide sobre personas en un ámbito sensible, sube a alto riesgo. Si la IA solo procesa documentos o prepara borradores que valida una persona, el riesgo regulatorio baja drásticamente porque la decisión sigue siendo humana.
Qué significa esto para tus automatizaciones BPM
Cuando un workflow usa IA para decidir sobre personas —filtrar candidatos, evaluar empleados, conceder o denegar algo relevante— probablemente entra en alto riesgo. Y el alto riesgo reparte obligaciones entre dos roles:
- Proveedor del sistema: gestión de riesgos, gobernanza de datos, documentación técnica, logging, supervisión humana por diseño, y garantías de exactitud, robustez y ciberseguridad.
- Deployer / usuario: uso conforme a las instrucciones, supervisión humana efectiva, monitorización del funcionamiento y conservación de los logs.
El matiz que cambia el proyecto: si la IA solo extrae o clasifica documentos, o redacta borradores que valida una persona, la decisión es humana y el riesgo regulatorio baja muchísimo. Por eso el diseño del proceso —no el modelo— determina tu exposición.
Esta es exactamente la lógica de los agentes de IA gobernados dentro del BPM: la IA propone, ejecuta tareas acotadas y deja rastro; la persona decide en los puntos sensibles.
Obligaciones si eres deployer de un sistema de alto riesgo
La mayoría de empresas son deployers, no proveedores. Estas son las obligaciones que el reglamento te asigna en ese rol cuando el sistema es de alto riesgo:
- Uso conforme: utilizar el sistema según las instrucciones de uso del proveedor, sin desviarlo a finalidades para las que no fue evaluado.
- Supervisión humana efectiva: designar a personas con competencia y autoridad reales para revisar, anular o no aplicar la salida de la IA. No basta un «aprobar» automático.
- Monitorización: vigilar el funcionamiento e informar al proveedor y a la autoridad de incidentes graves o riesgos detectados.
- Conservación de logs: guardar los registros generados automáticamente por el sistema durante el periodo aplicable, para poder reconstruir qué decidió y por qué.
- Información a los afectados: cuando proceda, informar a las personas de que están sujetas a un sistema de IA de alto riesgo.
Casi todas estas obligaciones tienen el mismo común denominador: supervisión humana y registro auditable. Y ahí es donde el BPM marca la diferencia.
Cómo cumplir con un BPM gobernado
La tesis de Dokuflex es directa: el BPM gobernado no es un complemento del cumplimiento, es el mecanismo de cumplimiento. Cuando la IA vive dentro de un proceso modelado, las obligaciones del EU AI Act dejan de ser documentos y pasan a ser propiedades del workflow.
| Exigencia del EU AI Act | Cómo lo resuelve el BPM gobernado |
|---|---|
| Supervisión humana | Human-in-the-loop nativo: la IA propone, una persona valida en los pasos que afectan a personas antes de que el proceso avance. |
| Conservación de logs | Log auditable por cada ejecución: entrada, salida del modelo, usuario que validó y marca temporal. |
| Documentación y gobernanza | Versionado del proceso: cada cambio del workflow y de sus reglas queda registrado y es reconstruible. |
| Trazabilidad del modelo | Registro de qué modelo decidió qué, con qué nivel de confianza y qué fuentes utilizó en cada paso. |
El mismo principio gobierna la IA documental: si quieres ver cómo se aplica a un LLM corporativo con datos en la UE, lee LLM y RAG dentro de Dokuflex bajo RGPD europeo, donde la trazabilidad y la cita de fuente cumplen la misma función probatoria.
Checklist de 6 puntos para tu workflow con IA
Antes de la aplicación general del 2 de agosto de 2026, revisa cada automatización con IA contra estos seis puntos:
- ¿Sobre qué decide? Si influye en decisiones relevantes sobre personas (empleo, crédito, servicios esenciales), trátalo como candidato a alto riesgo.
- ¿Hay supervisión humana real? Asegura un punto de validación humana con autoridad para anular la salida de la IA.
- ¿Se registran las decisiones? Cada ejecución debe dejar un log con entrada, salida, modelo y persona responsable.
- ¿Está versionado el proceso? Los cambios en reglas y flujos deben quedar trazados y ser reconstruibles.
- ¿Eres transparente? Si es un chatbot o un sistema que interactúa con personas, debe identificarse como IA.
- ¿Tienes documentado el rol? Define si actúas como proveedor o deployer y documenta las obligaciones que asumes en cada workflow.
Preguntas frecuentes
¿Mi workflow con IA es de alto riesgo según el EU AI Act? +
Depende de para qué decide la IA. Si el workflow usa IA para decidir sobre personas en ámbitos del Anexo III (cribar candidaturas, decisiones de promoción o despido, asignar tareas por algoritmo, acceso a servicios esenciales, scoring crediticio, educación o biometría), probablemente es de alto riesgo. Si la IA solo extrae o clasifica documentos o redacta borradores que valida una persona, el riesgo baja drásticamente porque la decisión sigue siendo humana.
¿Cuándo se aplica el EU AI Act? +
El Reglamento (UE) 2024/1689 entró en vigor el 1 de agosto de 2024 con aplicación escalonada: las prohibiciones y la alfabetización en IA se aplican desde el 2 de febrero de 2025; las obligaciones para modelos de IA de propósito general (GPAI) desde el 2 de agosto de 2025; la aplicación general, incluido el alto riesgo del Anexo III, el 2 de agosto de 2026; y los sistemas de alto riesgo embebidos en productos regulados del Anexo I hasta el 2 de agosto de 2027.
¿Qué obligaciones tengo como deployer (usuario) de un sistema de IA de alto riesgo? +
Como deployer debes usar el sistema conforme a las instrucciones del proveedor, garantizar supervisión humana efectiva, monitorizar el funcionamiento y conservar los logs generados automáticamente durante el periodo aplicable. El proveedor, por su parte, asume la gestión de riesgos, la gobernanza de datos, la documentación técnica, el logging, la exactitud, la robustez y la ciberseguridad del sistema.
¿Un OCR de facturas o un chatbot interno son de alto riesgo? +
No. Un OCR que extrae datos de facturas es típicamente de riesgo mínimo: no decide sobre personas. Un chatbot interno es de riesgo limitado y solo tiene una obligación de transparencia: debe identificarse como IA ante el usuario. El alto riesgo aparece cuando la IA influye en decisiones relevantes sobre personas, como cribar candidaturas o conceder o denegar un crédito.
¿Cómo ayuda un BPM gobernado a cumplir el EU AI Act? +
El BPM gobernado es el mecanismo de cumplimiento. Aporta human-in-the-loop nativo para que una persona valide cualquier decisión que afecte a personas, un log auditable por cada ejecución, versionado del proceso y trazabilidad de qué modelo decidió qué y con qué nivel de confianza. Esto cubre las exigencias de supervisión humana, conservación de logs y documentación que el reglamento pide tanto al proveedor como al deployer.
¿Cuáles son las sanciones por incumplir el EU AI Act? +
El reglamento prevé multas de hasta 35 millones de euros o el 7% de la facturación global anual por prácticas prohibidas, y de hasta 15 millones de euros o el 3% por incumplimiento de otras obligaciones, aplicándose la cuantía más alta. Por eso conviene clasificar cada workflow con IA y documentar las medidas de gobernanza antes de la aplicación general en agosto de 2026.
Convierte el EU AI Act en una propiedad de tus procesos
Reservamos una sesión guiada de 60 minutos para revisar tus workflows con IA, clasificar su nivel de riesgo y ver cómo el BPM gobernado de Dokuflex aporta human-in-the-loop, logs auditables y versionado del proceso.