IA Empresarial

EU AI Act para PYMEs: qué hacer antes de 2026

8 min de lectura FluctIA
EU AI Act para PYMEs: qué hacer antes de 2026

EU AI Act para PYMEs: qué hacer antes de 2026

El EU AI Act ya está en vigor y las sanciones llegan en 2026

El Reglamento Europeo de Inteligencia Artificial —conocido como EU AI Act— entró en vigor en agosto de 2024. No es una propuesta ni un borrador: es legislación vinculante. Las primeras prohibiciones absolutas aplicaron en febrero de 2025 y el grueso de las obligaciones para empresas usuarias de IA será exigible a partir de agosto de 2026. Quedan meses, no años.

El error más extendido entre directivos de PYMEs españolas es pensar que esta norma solo afecta a Google, Microsoft o a startups que desarrollan modelos propios. Es un error con consecuencias económicas reales. Si tu empresa usa ChatGPT para redactar contratos, Copilot para analizar datos de clientes o un chatbot en tu web para atender consultas, ya eres un usuario de sistemas de IA sujeto a obligaciones legales.

La Agencia Española de Protección de Datos (AEPD) ha dejado claro que actuará como autoridad de supervisión coordinada con la futura Agencia Española de Supervisión de la IA (AESIA), actualmente en proceso de constitución. El marco sancionador está activado.

Los 4 niveles de riesgo del EU AI Act: dónde encaja tu PYME

El AI Act clasifica los sistemas de IA en cuatro categorías según el riesgo que generan. Entender en cuál opera tu empresa es el primer paso obligatorio.

Riesgo inaceptable: prohibido desde febrero de 2025

Sistemas de puntuación social ciudadana, manipulación subliminal, reconocimiento de emociones en entornos laborales o educativos sin base legal, y biometría en tiempo real en espacios públicos. Ninguna PYME debería estar usando estos sistemas. Si lo hace, la infracción ya es exigible.

Riesgo alto: obligaciones estrictas de documentación y supervisión

Aquí es donde muchas PYMEs se sorprenden. Son sistemas de alto riesgo los que intervienen en: selección de personal (filtrado de CVs con IA), concesión de crédito, evaluación de solvencia, gestión de infraestructuras críticas o toma de decisiones con impacto significativo sobre personas. Si usas una herramienta de IA para cribar candidatos o evaluar riesgos de clientes, estás en esta categoría. Las obligaciones incluyen registro del sistema, evaluación de conformidad, supervisión humana documentada y gestión de riesgos.

Riesgo limitado: obligaciones de transparencia

Chatbots de atención al cliente, generadores de contenido, asistentes de texto. La mayoría de las PYMEs que usan IA operan aquí. La obligación principal es informar al usuario de que está interactuando con un sistema de IA. Parece sencillo, pero la mayoría de los chatbots desplegados en webs españolas no cumplen este requisito.

Riesgo mínimo: sin obligaciones específicas

Filtros de spam, sistemas de recomendación de contenido editorial, videojuegos con IA. Son de uso libre sin requisitos adicionales bajo el AI Act, aunque siguen sujetos al RGPD si procesan datos personales.

Conclusión práctica: la mayoría de las PYMEs españolas operan en riesgo limitado o alto. Ninguna está exenta de obligaciones.

El cruce inevitable con el RGPD

El EU AI Act no deroga ni sustituye al RGPD: se superpone. Cuando un sistema de IA procesa datos personales —y casi todos lo hacen—, se aplican ambas normativas simultáneamente. Esto genera obligaciones dobles que muchas empresas no han contemplado:

  • Base jurídica para el tratamiento automatizado: el artículo 22 del RGPD exige base legal explícita para decisiones automatizadas con efectos significativos sobre personas.
  • Evaluación de Impacto (EIPD): si el sistema de IA procesa datos a gran escala o toma decisiones automatizadas, es obligatoria antes del despliegue.
  • Registro de Actividades de Tratamiento (RAT): debe incluir los sistemas de IA como herramientas de tratamiento.
  • Derechos del interesado: los usuarios tienen derecho a explicación cuando una decisión se toma mediante IA.

La AEPD ha publicado guías específicas sobre IA y protección de datos y ha iniciado procedimientos sancionadores en sectores como banca, seguros y recursos humanos. La coordinación entre AEPD y AESIA será el mecanismo de supervisión principal en España.

Checklist de 8 puntos para cumplir el EU AI Act antes de 2026

Este checklist está diseñado para directivos de PYMEs que necesitan un punto de partida concreto, no un manual de 300 páginas.

1. Inventario de sistemas de IA en uso

Documenta todas las herramientas de IA que usa tu empresa: ChatGPT, Copilot, herramientas de marketing automatizado, chatbots, software de RRHH con scoring, etc. Incluye las que usan tus empleados por iniciativa propia aunque no sean corporativas.

2. Clasificación de riesgo de cada sistema

Para cada herramienta del inventario, determina su categoría según los criterios del AI Act. Si interviene en decisiones sobre personas (contratación, crédito, atención médica), presupón riesgo alto hasta que puedas descartarlo.

3. Revisión de contratos con proveedores de IA

Los proveedores como Microsoft (Copilot), OpenAI o Google tienen obligaciones propias bajo el AI Act como proveedores de modelos de propósito general. Verifica que sus contratos incluyen cláusulas de conformidad y que te facilitan la documentación técnica necesaria para cumplir tus obligaciones como usuario.

4. Implementación de avisos de transparencia

Si tienes un chatbot en tu web o usas IA para generar comunicaciones, añade un aviso claro y visible. No basta con mencionarlo en la política de privacidad: debe ser perceptible en el momento de la interacción.

5. Protocolo de supervisión humana

Para sistemas de riesgo alto, documenta cómo un humano revisa y puede anular las decisiones de la IA. Este protocolo debe existir por escrito, no solo en la práctica.

6. Actualización del RAT y la política de privacidad

Incorpora los sistemas de IA a tu Registro de Actividades de Tratamiento. Actualiza tu política de privacidad para mencionar el uso de IA en el tratamiento de datos personales y la base jurídica que lo sustenta.

7. Formación básica del equipo

El AI Act exige que las personas que operan sistemas de IA tengan un nivel de alfabetización en IA suficiente para su función. No es necesaria formación técnica profunda, pero sí conciencia de los límites y riesgos de las herramientas que usan.

8. Designación de un responsable interno de IA

No es obligatorio un cargo específico, pero sí que alguien en la organización sea responsable de mantener el inventario, coordinar con el DPO si existe, y gestionar incidencias relacionadas con IA. En PYMEs pequeñas puede ser el mismo responsable de protección de datos.

Las sanciones: números que conviene conocer

El régimen sancionador del EU AI Act es más severo que el del RGPD en sus tramos máximos:

  • Uso de sistemas de IA prohibidos: hasta 35 millones de euros o el 7% de la facturación global anual, la cifra que sea mayor.
  • Incumplimiento de obligaciones para sistemas de alto riesgo: hasta 15 millones de euros o el 3% de la facturación global.
  • Información incorrecta a autoridades: hasta 7,5 millones de euros o el 1% de la facturación global.

Para una PYME con 5 millones de euros de facturación, el 7% son 350.000 euros. No es una cifra teórica: es el límite legal aplicable desde agosto de 2026. Las sanciones del RGPD se acumularían adicionalmente si hay infracción paralela en protección de datos.

El cumplimiento del EU AI Act no es un gasto de compliance: es una inversión en continuidad de negocio y en confianza de clientes y socios.

Cómo FluctIA ayuda a tu empresa a cumplir el AI Act

En FluctIA trabajamos exclusivamente con PYMEs españolas y hemos incorporado la auditoría de compliance del EU AI Act como parte integral de nuestro Diagnóstico Empresarial de IA. No se trata de añadir una capa burocrática a tu operación: se trata de identificar qué herramientas de IA usas, cómo las usas y qué ajustes concretos necesitas para operar con seguridad jurídica.

El proceso incluye el inventario de sistemas, la clasificación de riesgo, la revisión de contratos con proveedores y la redacción de los avisos y protocolos necesarios. Todo adaptado a la realidad operativa de una empresa de entre 5 y 250 empleados, sin la complejidad ni el coste de una consultoría legal de gran empresa.

Si quieres saber exactamente qué obligaciones tiene tu empresa bajo el EU AI Act y el RGPD, solicita una primera consulta gratuita y lo analizamos juntos sin compromiso.

Conclusión: el tiempo de preparación es ahora

Agosto de 2026 parece lejano. No lo es. Las evaluaciones de impacto, la actualización de contratos con proveedores, la formación del equipo y la documentación de protocolos llevan tiempo. Las empresas que empiecen en 2025 llegarán preparadas. Las que esperen a 2026 llegarán tarde, con riesgo de sanción desde el primer día de exigibilidad.

El EU AI Act no es una amenaza para las PYMEs que usan IA de forma responsable: es un marco que, bien gestionado, se convierte en ventaja competitiva frente a competidores que operan en la informalidad. La confianza de clientes, socios y empleados en el uso ético de la IA es un activo real y medible.

¿Quieres aplicar esto en tu PYME?

Reserva una primera consulta gratuita y diseñamos juntos tu roadmap de IA en 14 días.

Solicita nuestros servicios
Volver al blog

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *