- El EU AI Act es el primer reglamento mundial integral sobre inteligencia artificial. Está vigente desde agosto de 2024 con aplicación escalonada.
- El 2 de agosto de 2026 entran en vigor las obligaciones para sistemas de IA de alto riesgo: la fecha que más afecta a empresas que ya usan IA.
- Las sanciones pueden alcanzar los 35 millones de euros o el 7% de la facturación global, lo que sea mayor. Las PYMES tienen multas reducidas pero no exentas.
- La mayoría de PYMES no usan sistemas de alto riesgo, pero sí tienen obligaciones de transparencia, AI literacy y documentación.
- Tres acciones que puedes hacer esta semana: inventariar tus sistemas IA, clasificarlos por riesgo y formar a tu equipo en AI literacy.
Qué es exactamente el EU AI Act
El Reglamento (UE) 2024/1689, conocido como EU AI Act o Ley Europea de Inteligencia Artificial, es la primera norma integral del mundo que regula el desarrollo, comercialización y uso de sistemas de inteligencia artificial. Fue publicado en el Diario Oficial de la Unión Europea el 12 de julio de 2024 y entró en vigor el 1 de agosto de 2024.
A diferencia de regular la tecnología en sí, el reglamento clasifica los usos de la IA en cuatro niveles de riesgo: inaceptable (prohibido), alto, limitado y mínimo. Las obligaciones crecen con el nivel de riesgo. Una herramienta como ChatGPT puede ser uso de «riesgo mínimo» si la usa un copywriter, o de «alto riesgo» si filtra CVs en un proceso de selección.
Lo importante: el reglamento aplica al «deployer», no solo al desarrollador. Esto significa que si tu PYME usa una herramienta de IA de terceros (Salesforce Einstein, HubSpot AI, una solución de RPA con IA, ChatGPT empresarial), tienes obligaciones aunque no hayas construido la IA.
El calendario de aplicación: dónde estamos
El AI Act se aplica de forma escalonada para dar tiempo a empresas y administraciones a adaptarse. Estas son las fechas clave:
| Fecha | Qué entra en vigor | Estado |
|---|---|---|
| 1 ago 2024 | Entrada en vigor del reglamento | Cumplido |
| 2 feb 2025 | Prohibiciones (riesgo inaceptable) + AI literacy | Cumplido |
| 2 ago 2025 | Gobernanza, GPAI (modelos como GPT, Claude), sanciones | Cumplido |
| 2 ago 2026 | Obligaciones para sistemas de alto riesgo | Próxima ← AQUÍ |
| 2 ago 2027 | Obligaciones completas (sistemas de IA integrados en productos regulados) | Pendiente |
Fuente: Reglamento (UE) 2024/1689, artículos 113 y siguientes.
Las 7 obligaciones que entran el 2 de agosto de 2026
Estas obligaciones aplican a empresas que desarrollan o usan sistemas de IA clasificados como de «alto riesgo». Identificar si tu caso encaja es el primer paso (volvemos a esto más abajo).
Sistema de gestión de riesgos
Debes implementar un proceso continuo y documentado para identificar, evaluar y mitigar los riesgos del sistema de IA a lo largo de su ciclo de vida. No es un documento de una vez: hay que revisarlo periódicamente.
Gobernanza y calidad de datos
Los datasets usados para entrenar, validar y probar el modelo deben ser representativos, relevantes y libres de sesgos en la medida de lo posible. Aplica también a empresas que afinan modelos con datos propios.
Documentación técnica
Hay que mantener documentación técnica que demuestre el cumplimiento, incluyendo descripción del sistema, propósito, capacidades, limitaciones y métricas de rendimiento. Debe estar lista antes de poner el sistema en el mercado.
Registro automático de eventos (logging)
El sistema debe registrar automáticamente eventos relevantes durante su operación (logs) para permitir trazabilidad. Equivalente a «audit trail» — tienes que poder explicar a posteriori por qué el sistema tomó una decisión.
Transparencia con el usuario
El usuario final (cliente, paciente, candidato) debe poder saber que está interactuando con un sistema de IA y entender cómo influye en decisiones que le afectan. Instrucciones de uso claras y accesibles.
Supervisión humana efectiva
Tiene que existir un humano capaz de monitorizar el sistema y, sobre todo, intervenir si es necesario. La supervisión debe ser real, no formal: la persona debe entender cómo funciona el sistema y poder detenerlo.
Precisión, robustez y ciberseguridad
El sistema debe alcanzar niveles apropiados de precisión y resistir intentos de manipulación (adversarial attacks, prompt injection en LLM, envenenamiento de datos). Hay que documentar las métricas de precisión.
¿A qué PYMES afecta realmente?
Aquí está el matiz importante: la mayoría de PYMES no usan sistemas de IA de «alto riesgo». El listado de alto riesgo está en el Anexo III del reglamento e incluye casos como:
- IA en infraestructuras críticas (agua, gas, electricidad, tráfico)
- IA en educación: corrección automatizada, admisión, evaluación de aprendizaje
- IA en RRHH: filtrado de CVs, evaluación de empleados, decisiones de promoción o despido
- IA en servicios públicos esenciales y prestaciones sociales
- IA en aplicación de la ley, gestión de migración y fronteras
- IA en justicia y procesos democráticos
- IA biométrica para identificación remota
- IA en componentes de seguridad de productos regulados (médica, automoción)
Si tu PYME usa ChatGPT para escribir emails, automatización marketing con segmentación básica, agentes IA en atención al cliente sin tomar decisiones legalmente vinculantes, o automatización de procesos administrativos rutinarios: no estás en alto riesgo. Tienes obligaciones generales (transparencia, AI literacy) pero no las 7 anteriores.
Si tu PYME hace una de estas cosas, sí estás afectada y necesitas auditoría legal:
- Software de RRHH que filtra candidatos automáticamente (incluso ATS con scoring IA)
- Software educativo con corrección o evaluación automatizada
- Solución sanitaria con IA en diagnóstico, triaje o priorización de pacientes
- Sistemas de scoring crediticio o evaluación de solvencia
- Cualquier sistema de IA que tome decisiones automatizadas vinculantes para personas
Sanciones: cuánto puede costar incumplir
El régimen sancionador del AI Act es de los más severos de la regulación europea, comparable al RGPD pero con multas superiores en los tramos altos:
Hasta 35M€ o 7% de la facturación global anual (lo que sea mayor) por uso de IA prohibida (sistemas de riesgo inaceptable).
Hasta 15M€ o 3% de la facturación global por incumplimiento de obligaciones de alto riesgo.
Hasta 7,5M€ o 1% de la facturación global por información incorrecta a autoridades.
Para PYMES y startups el reglamento prevé sanciones reducidas proporcionalmente, pero no exenciones. La cifra final dependerá del tamaño de la empresa y de criterios de gravedad e intencionalidad.
Qué hacer ahora: 5 acciones para esta semana
- Inventaria tus sistemas de IA. Lista todo lo que usas: ChatGPT empresarial, automatizaciones con IA, herramientas SaaS con módulos de IA (HubSpot, Salesforce, n8n con agentes), software propio. Si no lo tienes en una hoja, no existe para gestionarlo.
- Clasifica el riesgo de cada sistema. Usa el Anexo III como referencia. Cada sistema → uno de los 4 niveles. La mayoría caerán en «riesgo limitado» o «mínimo».
- Forma a tu equipo en AI literacy. Esta obligación ya entró en febrero de 2025 y aplica a TODAS las empresas que usan IA, no solo alto riesgo. La gente que usa la herramienta debe entender cómo funciona y sus límites.
- Implementa transparencia con tus clientes. Si tu chatbot o tu sistema de atención al cliente usa IA, el cliente debe poder saberlo. Una línea clara en el footer del chat o en el aviso de privacidad suele bastar.
- Si tienes alto riesgo: consulta abogado. Las 7 obligaciones de arriba son técnicas y necesitan asesoramiento jurídico personalizado, no un artículo de blog. Empieza la conversación con tu asesor antes de junio.
Preguntas sobre el AI Act
¿Si uso ChatGPT empresarial mi PYME está afectada por el AI Act?
Sí, pero probablemente con obligaciones leves. ChatGPT es un modelo GPAI (General Purpose AI). Como deployer tienes obligación de AI literacy (formar a tu equipo) y de transparencia con clientes si lo usas en interacciones con ellos. No tienes las 7 obligaciones del alto riesgo a menos que lo uses para casos de uso del Anexo III.
¿El AI Act aplica si mi empresa está en España pero usa una IA de Estados Unidos?
Sí. El reglamento tiene aplicación extraterritorial: aplica si el sistema se usa en la Unión Europea, independientemente de dónde esté el desarrollador. Si tu PYME está en España y usa cualquier sistema de IA, estás bajo AI Act.
¿Cómo se castiga el incumplimiento en España? ¿Quién es la autoridad competente?
España fue el primer Estado miembro en designar autoridad: la Agencia Española de Supervisión de Inteligencia Artificial (AESIA), con sede en La Coruña. Iniciará inspecciones a partir del 2 de agosto de 2026 en relación a sistemas de alto riesgo. Para otros aspectos colabora con AEPD (datos), CNMC (competencia) y Ministerio de Sanidad cuando corresponda.
¿Qué pasa si construyo un agente IA propio con n8n o LangChain?
Pasas a ser «provider» del sistema, con obligaciones mayores que un simple deployer. Si el agente entra en categoría de alto riesgo, las 7 obligaciones aplican íntegramente. Para PYMES que construyen agentes la recomendación es: documentar el caso de uso desde el día 1, mantener logs, y revisar el Anexo III antes de pasar a producción.
¿La AI literacy obligatoria ya está en vigor? ¿Qué tiene que hacer mi empresa?
Sí, en vigor desde el 2 de febrero de 2025. Las empresas que usan IA tienen que asegurar que el personal involucrado tiene formación suficiente para entender capacidades y límites de los sistemas. No hay un formato obligatorio: puede ser formación interna, cursos externos, materiales documentados. Lo importante es poder demostrarlo si llega una inspección.
¿Tengo que poner un aviso de «esto es IA» en mi chatbot?
Sí, es una obligación de transparencia que ya aplica desde agosto de 2025 para todos los sistemas que interactúan con personas. El usuario debe poder identificar que está hablando con una IA. La forma habitual: una línea en el header del chat («Asistente IA») o un primer mensaje del bot identificándose.
¿El AI Act afecta a los contenidos generados con IA (texto, imagen, vídeo)?
Sí. El contenido sintético generado por IA debe estar marcado como tal en formato legible por máquinas. Para imágenes, vídeo y audio «deepfake» la obligación es más explícita. Para texto generado, aplica si el contenido se publica con apariencia de información oficial o periodística sin supervisión humana. Esto es relevante si publicas posts auto-generados sin revisión.
¿Hay sandbox regulatorio para PYMES en España?
Sí. España lanzó en 2023 el primer sandbox de IA de Europa y la AESIA lo está expandiendo. Permite a PYMES y startups probar sistemas de IA bajo supervisión, sin todas las obligaciones de alto riesgo durante el periodo de prueba. La convocatoria se publica anualmente.
Auditamos tu stack de IA y te decimos qué te aplica
Inventario, clasificación de riesgo y plan de cumplimiento del AI Act adaptado a tu caso. Sesión técnica de 60 minutos sin compromiso.
Pedir auditoría AI Act →