AI Act y PYMEs en España: todo lo que debes hacer antes del 2 de agosto de 2026

Si diriges una PYME en España y usas cualquier herramienta con inteligencia artificial — aunque sea solo ChatGPT, un CRM con funciones de IA, o un chatbot en tu web — el EU AI Act te afecta. Y el plazo para cumplir con las obligaciones principales es el 2 de agosto de 2026.

Este artículo es tu guía práctica: qué es el AI Act, qué obligaciones tienes según tu caso, y qué pasos concretos dar para estar preparado. Sin tecnicismos innecesarios.

Qué es el AI Act y por qué te importa

El Reglamento (UE) 2024/1689, conocido como AI Act o Ley de Inteligencia Artificial, es la primera regulación integral sobre IA del mundo. Entró en vigor el 1 de agosto de 2024 y se aplica de forma progresiva.

Lo más importante que debes saber: no solo afecta a quienes desarrollan IA, sino también a quienes la usan. Si tu empresa utiliza herramientas con IA en su actividad profesional, eres lo que el reglamento llama un "responsable del despliegue" (deployer), y tienes obligaciones legales.

Según datos del Ministerio de Industria, en España hay casi 3 millones de PYMEs. El 90% usa alguna forma de IA: chatbots, herramientas de marketing automatizado, filtros de CV, sistemas de recomendación, asistentes de código. La mayoría no sabe que el AI Act les aplica.

Los 4 niveles de riesgo del AI Act

El AI Act clasifica los sistemas de IA en cuatro niveles de riesgo. Tus obligaciones dependen de en qué nivel caen las herramientas que usas:

Riesgo inaceptable (prohibido). Sistemas que están directamente prohibidos: puntuación social por parte de gobiernos, manipulación subliminal, reconocimiento facial masivo sin consentimiento. Ninguna PYME típica usa estos sistemas, así que probablemente no te afecta.

Alto riesgo. Aquí es donde la mayoría de las obligaciones se concentran. Son sistemas de IA usados en áreas críticas como selección de personal y RRHH (filtrar CVs, evaluar candidatos, supervisar rendimiento de empleados), evaluación crediticia y scoring financiero, educación y formación (evaluar estudiantes, determinar acceso), e infraestructuras críticas. Si usas herramientas como Factorial, Workday, LinkedIn Recruiter con IA, o cualquier sistema que puntúe o clasifique personas para tomar decisiones sobre ellas, estás en alto riesgo.

Riesgo limitado. Sistemas que interactúan directamente con personas o generan contenido. Esto incluye chatbots de atención al cliente, herramientas de IA generativa como ChatGPT, Copilot, Claude o Gemini, y sistemas que generan imágenes, audio o vídeo con IA. Tu obligación principal es la transparencia: el usuario debe saber que está interactuando con una IA o que el contenido ha sido generado por IA.

Riesgo mínimo. Filtros de spam, recomendaciones de productos, asistentes de código internos, herramientas de marketing con IA para segmentación. No tienen obligaciones específicas más allá del Artículo 4 que mencionamos a continuación.

Lo que ya deberías haber hecho (Artículo 4)

El Artículo 4 del AI Act sobre alfabetización en IA está en vigor desde el 2 de febrero de 2025. Esto significa que si tu empresa usa IA y no has formado a tus empleados, ya estás en incumplimiento.

¿Qué exige? Que todas las personas que trabajan con sistemas de IA en tu organización tengan un nivel suficiente de conocimiento sobre cómo funcionan estos sistemas, sus limitaciones, riesgos y oportunidades. Esto incluye a los empleados que usan herramientas de IA en su trabajo diario, a los directivos que toman decisiones sobre la adopción de IA, y al personal de IT que gestiona o integra sistemas de IA.

No necesitas una formación de 200 horas. Una formación básica de 8-10 horas que cubra qué es la IA, cómo funcionan las herramientas que usáis, qué riesgos tienen, y qué datos se pueden y no se pueden introducir es suficiente. Además, FUNDAE (la Fundación Estatal para la Formación en el Empleo) cubre el 100% del coste de estas formaciones para PYMEs.

Qué tienes que hacer antes del 2 de agosto de 2026

Si tu empresa usa sistemas de IA de alto riesgo, estas son tus obligaciones como desplegador según el Artículo 26:

1. Inventariar tus sistemas de IA. Haz una lista de todas las herramientas con IA que usáis: software de RRHH, CRM, chatbots, herramientas de marketing, asistentes de IA. Incluye las que usan los empleados por su cuenta (ChatGPT, por ejemplo). No puedes cumplir con lo que no has identificado.

2. Clasificar el riesgo de cada uno. Usa los criterios del Anexo III del AI Act para determinar si cada sistema es de alto riesgo, riesgo limitado o riesgo mínimo.

3. Asegurar supervisión humana. Los sistemas de alto riesgo deben tener supervisión por personas con la competencia, formación y autoridad necesarias. No puedes dejar que un algoritmo tome decisiones sobre personas sin que un humano pueda revisar y corregir.

4. Conservar registros. Debes guardar los registros que generan automáticamente tus sistemas de IA de alto riesgo durante al menos seis meses.

5. Pedir documentación a tus proveedores. Como desplegador, necesitas verificar que tus proveedores de software cumplen con sus obligaciones. Pregúntales: ¿su sistema está clasificado como de alto riesgo? ¿Tienen documentación técnica del Anexo IV? ¿Qué mecanismos de supervisión humana ofrecen?

6. Informar a los trabajadores. Si usas IA de alto riesgo en el lugar de trabajo, debes informar a los representantes de los trabajadores y a los trabajadores afectados.

7. Crear una política interna de uso de IA. Un documento que defina qué herramientas están aprobadas, qué datos se pueden introducir, quién supervisa, y cuál es el protocolo si algo sale mal.

Las sanciones: no son teóricas

El régimen sancionador del AI Act es el más severo de la regulación tecnológica europea. El Artículo 99 establece tres niveles de multas:

Hasta 35 millones de euros o el 7% de la facturación global por prácticas de IA prohibidas. Hasta 15 millones de euros o el 3% por incumplir las obligaciones de desplegador o las reglas de transparencia. Hasta 7,5 millones de euros o el 1,5% por proporcionar información incorrecta a las autoridades.

Para PYMEs, el reglamento establece que las sanciones se calculan de forma proporcional al tamaño de la empresa. Pero proporcional no significa simbólica: un 3% de la facturación de una PYME que factura 2 millones de euros son 60.000 euros. Y además, las autoridades pueden ordenar la desconexión del sistema de IA.

España ya se está preparando

España ha sido uno de los países más proactivos de la UE en la implementación del AI Act. La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) ha publicado 16 guías prácticas resultantes de su sandbox regulatorio, una iniciativa pionera en Europa. Estas guías cubren desde la evaluación de conformidad hasta la gestión de riesgos, transparencia, supervisión humana y gobernanza de datos.

Además, España ha presentado un Anteproyecto de Ley para el Buen Uso y la Gobernanza de la IA que complementará el reglamento europeo a nivel nacional.

Cómo saber si tu empresa cumple

Si después de leer esto no estás seguro de cuál es tu situación, hemos creado un test gratuito de 2 minutos que analiza las herramientas que usa tu empresa, clasifica su nivel de riesgo según los criterios del AI Act, y te da un plan de acción personalizado con los pasos que debes seguir.

No requiere registro ni tarjeta. Solo 10 preguntas sencillas.

→ Comprobar si mi empresa cumple

Calendario de plazos

Para que tengas claro qué aplica y cuándo:

Febrero 2025 (ya en vigor): Prohibiciones de prácticas de IA inaceptables y obligación de alfabetización en IA (Artículo 4).

Agosto 2025 (ya en vigor): Obligaciones para proveedores de modelos de IA de propósito general.

2 de agosto de 2026: Obligaciones para sistemas de IA de alto riesgo del Anexo III, requisitos de transparencia, y obligación de establecer sandboxes regulatorios nacionales.

Agosto 2027: Aplicación completa de todas las disposiciones restantes.

No esperes a julio

La tentación es dejarlo para el último momento. Pero hacer un inventario de sistemas, clasificar riesgos, documentar políticas, formar al equipo y pedir documentación a proveedores lleva tiempo. Las empresas que empiecen ahora llegarán preparadas. Las que esperen a julio estarán improvisando bajo presión, y eso es exactamente lo que las autoridades van a detectar primero.

---

Esta información es orientativa y no constituye asesoramiento jurídico. Consulte con un profesional cualificado para una evaluación vinculante de su situación.