¿Qué es el AI Act y a qué PYMEs aplica?

El AI Act es el Reglamento (UE) 2024/1689, la primera regulación integral del mundo sobre inteligencia artificial. Aplica a cualquier PYME española que desarrolle, comercialice o simplemente use sistemas de IA en su actividad profesional, incluido el uso de herramientas tan comunes como ChatGPT, Copilot, software de RRHH con IA, chatbots o recomendadores. Más del 90% de PYMEs españolas están afectadas, aunque la mayoría aún no lo sabe.

¿Qué tiene que hacer una PYME para cumplir el AI Act?

Cinco pasos básicos: inventariar todas las herramientas de IA en uso (incluido el shadow AI), clasificar cada una según los cuatro niveles de riesgo del Reglamento, formar al equipo según el Artículo 4 (ya en vigor), redactar una política interna de uso de IA, y pedir documentación a los proveedores si hay sistemas de alto riesgo. Una PYME estándar lo completa en 4-6 semanas con dedicación moderada.

¿Cuándo entra en vigor el AI Act para PYMEs?

Por fases. Las prohibiciones del Artículo 5 y la alfabetización del Artículo 4 ya están en vigor desde el 2 de febrero de 2025. El bloque principal de obligaciones para sistemas de alto riesgo y transparencia entra el 2 de agosto de 2026. La aplicación completa llega en agosto de 2027. Existe una propuesta de retraso a diciembre de 2027 (Digital Omnibus), pero la fecha vigente sigue siendo 2026.

¿Qué pasa si mi PYME no cumple el AI Act?

Las multas del Artículo 99 llegan hasta 35 millones de euros o el 7% de la facturación global por prácticas prohibidas, hasta 15 millones o el 3% por incumplir obligaciones del deployer y hasta 7,5 millones o el 1,5% por información incorrecta. Para PYMEs aplica un principio de proporcionalidad, pero un 3% de una facturación de 3 millones son 90.000 euros. Y las sanciones se pueden acumular con las del RGPD.

¿Soy proveedor o desplegador del AI Act?

La inmensa mayoría de PYMEs españolas son desplegadores (deployers): empresas que usan sistemas de IA bajo su responsabilidad en su actividad profesional. Los proveedores son quienes desarrollan los sistemas (OpenAI, Anthropic, Factorial, etc.). Pero una PYME puede convertirse en provider sin saberlo si hace fine-tuning de un modelo, lo rebrandea o lo integra en un caso de uso de alto riesgo (Art. 25).

¿Cuánto cuesta cumplir el AI Act en una PYME?

Para una PYME estándar (5-50 empleados) que solo usa IA generativa y algún SaaS con IA, el cumplimiento operativo cuesta entre 0 y 3.000 euros si se hace internamente y se aprovecha FUNDAE para la formación. Si hay sistemas de alto riesgo (RRHH, scoring, biometría), el coste sube por la documentación adicional. Lo crítico no es el dinero sino el tiempo: empezar 4-6 semanas antes del plazo evita el sobrecoste de la prisa.

← Volver al blog

10 de abril de 2026

AI Act PYMEs España: guía completa 2026 | CumpleConIA

Guía completa del AI Act para PYMEs españolas: niveles de riesgo, obligaciones, sanciones y plan operativo paso a paso para el 2 de agosto de 2026.

AI Act y PYMEs en España: todo lo que debes hacer antes del 2 de agosto de 2026

Si diriges una PYME en España y usas cualquier herramienta con inteligencia artificial — aunque sea solo ChatGPT, un CRM con funciones de IA o un chatbot en tu web — el EU AI Act te afecta. Y el plazo para cumplir con las obligaciones principales es el 2 de agosto de 2026.

Este artículo es la guía completa: qué es el AI Act, cómo clasifica los sistemas por riesgo, qué obligaciones tienes según tu caso, qué multas afrontas si no cumples, y el plan operativo paso a paso para llegar preparado. Sin tecnicismos innecesarios y con la mirada puesta en una empresa de 5 a 250 empleados.

Cómo encaja una PYME en el AI Act

El Reglamento (UE) 2024/1689 no solo afecta a quienes desarrollan IA, sino también a quienes la usan. Si tu empresa utiliza herramientas con IA en su actividad profesional, eres lo que el Reglamento llama un "responsable del despliegue" (deployer) y tienes obligaciones legales propias.

Según datos del Ministerio de Industria, en España hay casi 3 millones de PYMEs. Más del 90% usa alguna forma de IA: chatbots, marketing automatizado, filtros de CV, recomendadores, asistentes de código. La mayoría no sabe que el AI Act les aplica directamente, sin esperar a ninguna ley española de desarrollo (es un Reglamento, no una Directiva).

Para una explicación completa del Reglamento, su origen y su lógica general, ver la guía sobre qué es el AI Act. Para entender si tu empresa es provider o deployer (y por qué importa), la guía sobre provider vs deployer del AI Act.

Los 4 niveles de riesgo del AI Act

El AI Act clasifica los sistemas de IA en cuatro niveles. Tus obligaciones dependen de en qué nivel caen las herramientas que usas:

Nivel	Qué incluye	Obligaciones operativas
Inaceptable (Art. 5)	Scoring social, manipulación subliminal, reconocimiento de emociones en trabajo o aulas, predicción individual de delitos	Prohibido. Multa hasta 35M€ o 7% facturación
Alto riesgo (Anexo III)	Selección de personal, scoring crediticio, software médico, biometría, infraestructuras críticas	Bloque pleno del Art. 26 + documentación + supervisión humana
Riesgo limitado (Art. 50)	Chatbots, IA generativa (ChatGPT, Claude, Gemini), deepfakes	Transparencia: avisar al usuario de que es IA
Riesgo mínimo	Filtros de spam, recomendadores, asistentes de código	Solo Art. 4 (alfabetización del equipo)

La clave es que no es la tecnología la que determina el nivel, sino la finalidad. ChatGPT en sí es riesgo limitado, pero si lo usas para puntuar candidatos a un puesto se convierte en alto riesgo (entra en el Anexo III dominio 4).

Riesgo inaceptable. Sistemas directamente prohibidos. Ninguna PYME típica usa estos sistemas, pero merece la pena revisar si algún software de RRHH o productividad incluye reconocimiento de emociones.

Alto riesgo. Aquí se concentra la mayoría de obligaciones operativas. Si usas software con IA para selección de personal (Factorial, Workday, Bizneo, ATS con scoring), evaluación crediticia, scoring de clientes, software médico diagnóstico, biometría o infraestructuras críticas, estás en alto riesgo.

Riesgo limitado. Sistemas que interactúan directamente con personas o generan contenido. Tu obligación principal es la transparencia: el usuario debe saber que está interactuando con una IA o que el contenido ha sido generado por IA. Más detalle en la guía sobre el AI Act y ChatGPT en la empresa.

Riesgo mínimo. Sin obligaciones específicas más allá del Art. 4.

Lo que ya deberías haber hecho (Artículo 4)

El Artículo 4 del AI Act sobre alfabetización en IA está en vigor desde el 2 de febrero de 2025. Si tu empresa usa IA y no has formado a tus empleados, ya estás en incumplimiento.

¿Qué exige? Que todas las personas que trabajan con sistemas de IA en tu organización tengan un nivel suficiente de conocimiento sobre cómo funcionan estos sistemas, sus limitaciones, riesgos y oportunidades. Esto incluye:

Empleados que usan herramientas de IA en su día a día.
Directivos que toman decisiones sobre adopción de IA.
Personal de IT que gestiona o integra sistemas de IA.

No necesitas una formación de 200 horas. Una formación de 6-10 horas que cubra qué es la IA, cómo funcionan las herramientas que usáis, qué riesgos tienen y qué datos se pueden o no introducir es suficiente para la inmensa mayoría de PYMEs. Además, FUNDAE cubre el 100% del coste de estas formaciones para PYMEs.

Documenta la formación: lista de asistentes, contenidos impartidos, fecha. Es lo primero que pediría un inspector.

Qué tienes que hacer antes del 2 de agosto de 2026

Si tu empresa usa sistemas de IA de alto riesgo, estas son tus obligaciones como deployer según el Artículo 26:

Usar el sistema según las instrucciones del provider. Te tienen que entregar las instrucciones de uso (Art. 13). Si no las tienes, pídelas.
Asignar supervisión humana competente. Una persona con formación, autoridad y tiempo asignado para revisar las decisiones del sistema.
Garantizar datos de entrada pertinentes y representativos. Tú controlas qué datos alimentas al sistema, no el proveedor.
Monitorizar el funcionamiento. Detectar incidentes y desviaciones, con revisión periódica documentada.
Conservar los logs que el sistema genere automáticamente durante al menos seis meses.
Informar a los trabajadores y a sus representantes antes de poner en servicio un sistema de alto riesgo en el lugar de trabajo.
Realizar la evaluación de impacto en derechos fundamentales (FRIA) si eres organismo público o prestas servicios de interés público.
Informar a las personas afectadas de que están sometidas a un sistema de IA de alto riesgo.
Cooperar con las autoridades (AESIA en España).

El detalle operativo de cada obligación está en la guía práctica de obligaciones del AI Act para PYMEs.

Si ningún sistema tuyo es de alto riesgo, este bloque se simplifica enormemente. Por eso el primer paso siempre es la clasificación.

Casos típicos por sector

Gestoría o asesoría

Suele usar ChatGPT Enterprise para redacción de borradores, software de gestión documental con IA, y posiblemente un módulo de IA en su programa contable. Casi siempre es solo deployer de sistemas que no son alto riesgo, salvo que el módulo de "compliance fiscal" entre en algún uso de scoring. Obligaciones reales: Art. 4 (formación), política interna, transparencia si publica contenido generado por IA.

E-commerce / retail

Usa recomendadores de productos, IA para personalización, posiblemente chatbots de atención al cliente. Los recomendadores comerciales estándar no son de alto riesgo. Obligaciones: Art. 4, transparencia del chatbot (avisar de que es IA), RGPD si hay perfilado.

Empresa con departamento de RRHH digitalizado

Si usa un ATS con scoring de candidatos, software de evaluación del desempeño con IA o herramientas de criba automática de CVs, está usando alto riesgo (Anexo III dominio 4). Obligaciones completas del Art. 26 + información a empleados y a sus representantes. Tratado en detalle en la guía sobre AI Act en RRHH y filtrado de CVs.

Clínica o centro sanitario

Software médico de apoyo al diagnóstico, análisis de imagen o priorización clínica con IA es alto riesgo y además se solapa con el Reglamento de Productos Sanitarios (MDR/IVDR). Obligaciones completas del Art. 26.

Empresa de servicios profesionales que ha construido un chatbot propio

Si ha integrado la API de GPT, Claude o Gemini en un producto propio, puede haberse convertido en provider del producto (Art. 25.1.c), no solo deployer. Tiene que cumplir las obligaciones de provider.

Las sanciones: no son teóricas

El régimen sancionador del AI Act es el más severo de la regulación tecnológica europea. El Artículo 99 establece tres niveles de multas:

Tipo de infracción	Multa máxima
Prácticas prohibidas del Art. 5	35 M€ o 7% facturación global
Incumplir obligaciones de provider/deployer (Art. 16, 26)	15 M€ o 3% facturación global
Información incorrecta a las autoridades	7,5 M€ o 1,5% facturación global

Para PYMEs el reglamento establece que las sanciones se calculan de forma proporcional al tamaño de la empresa. Pero proporcional no significa simbólica: un 3% de una facturación de 2 millones son 60.000 euros. Y además, las autoridades pueden ordenar la desconexión del sistema de IA. Más detalle en la guía sobre las multas del AI Act.

Importante: las sanciones del AI Act se pueden acumular con las del RGPD si el mismo sistema trata datos personales. Un sistema de selección de personal que infringe ambos puede llevar a dos expedientes paralelos.

El plan operativo en 5 fases

Esta es la ruta mínima para una PYME estándar. Tiempo total: 4-6 semanas con dedicación moderada.

Fase 1 — Inventario (semana 1)

Una hoja de cálculo con una fila por cada herramienta de IA y estas columnas mínimas: nombre, proveedor, departamento que la usa, caso de uso concreto, persona responsable, si trata datos personales, si hay cláusula de IA en el contrato. Incluye herramientas "no oficiales" que tus empleados usen por su cuenta (ChatGPT, Claude, Copilot, Midjourney). La mayoría de incumplimientos vienen del uso no controlado.

Fase 2 — Clasificación de riesgo (semanas 1-2)

Para cada herramienta del inventario, determina su nivel de riesgo según los cuatro niveles del Reglamento. Si dudas si entra en el Anexo III, asume que sí entra hasta que puedas demostrar lo contrario. La carga de la prueba está en ti como deployer.

Fase 3 — Formación del equipo (semanas 2-4)

El Art. 4 ya está en vigor. Diseña una formación interna o contrata una externa. 6-10 horas adaptadas al rol. FUNDAE cubre el 100% del coste.

Fase 4 — Política interna de uso de IA (semanas 3-5)

Un documento de 4-8 páginas que defina qué herramientas están aprobadas, qué datos se pueden introducir y cuáles no, quién supervisa cada sistema, cómo se reporta un incidente y el procedimiento de revisión de proveedores antes de incorporar nuevas herramientas.

Fase 5 — Documentación de proveedores (semanas 4-6)

Si tienes sistemas de alto riesgo, pide a tus proveedores: declaración UE de conformidad (Art. 47), instrucciones de uso (Art. 13), información sobre datos de entrenamiento, mecanismos de supervisión humana y política de gestión de incidentes. Si un proveedor no puede entregarte esto antes del 2 de agosto de 2026, considera seriamente migrar.

España ya se está preparando

España ha sido uno de los países más proactivos de la UE en la implementación del AI Act. La AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en A Coruña, fue creada en 2023 — antes incluso de que se aprobara formalmente el Reglamento.

AESIA ha publicado 16 guías prácticas resultantes de su sandbox regulatorio, una iniciativa pionera en Europa. Estas guías cubren desde la evaluación de conformidad hasta la gestión de riesgos, transparencia, supervisión humana y gobernanza de datos. A partir del 2 de agosto de 2026, AESIA tendrá plenas competencias sancionadoras. Más detalle en la guía sobre qué es AESIA y cómo afecta a tu PYME.

Además, España ha presentado un Anteproyecto de Ley para el Buen Uso y la Gobernanza de la IA que complementará el Reglamento europeo a nivel nacional, pero el grueso de obligaciones es el del propio AI Act.

Errores frecuentes en PYMEs españolas

"Como solo usamos ChatGPT, no nos aplica." Falso. Aunque ChatGPT es de riesgo limitado, cómo lo uses puede convertirlo en alto riesgo (Art. 25). Y el Art. 4 aplica desde febrero de 2025 al uso de cualquier IA.

"Esto es como el RGPD, ya nos pondremos cuando empiecen las multas." Las multas son administrativas y no requieren denuncia previa. Una inspección rutinaria de AESIA puede iniciar el expediente, y las sanciones pueden acumularse con las del RGPD.

"Mi gestoría me dirá lo que tengo que hacer." Pocas gestorías están preparadas para asesorar sobre AI Act todavía. La clasificación de sistemas y la política interna las hace tu equipo (o un especialista en compliance).

"Como somos pequeños no nos van a inspeccionar." El riesgo más realista para una PYME no es la inspección de oficio sino la denuncia: un candidato rechazado, un empleado despedido, un cliente perjudicado.

"Vamos a esperar al Digital Omnibus por si retrasan el AI Act." Estrategia arriesgada. La fecha vigente sigue siendo agosto de 2026. Planificar con la fecha real es la única estrategia razonable.

Tu plan operativo personalizado en 2 minutos

Las cinco fases del plan operativo aplican a todas las PYMEs, pero el contenido cambia mucho según las herramientas que uses, tu sector y tu tamaño. Una asesoría de 8 personas con ChatGPT y un software contable no tiene el mismo plan que un e-commerce de 40 con recomendador, chatbot y ATS.

✦ Test gratuito

Genera tu plan de cumplimiento personalizado

CumpleConIA toma tu situación concreta y la convierte en un plan priorizado por fases con plazos, responsables y documentación a generar para cada sistema. 10 preguntas adaptadas a tu PYME.

Generar mi plan de cumplimiento del AI Act

Sin registro · Sin tarjeta · 100% gratis · Resultados en 2 minutos

Calendario completo de plazos

Fecha	Qué entra en vigor
2 feb 2025 ✅	Art. 4 (alfabetización) + prohibiciones del Art. 5
2 ago 2025 ✅	Obligaciones para proveedores de modelos GPAI
2 ago 2026	Alto riesgo del Anexo III + transparencia + sandboxes nacionales
2 ago 2027	Aplicación completa del Reglamento

Los plazos no son indicativos: son fechas de exigibilidad plena. Más sobre el plazo principal en la guía del 2 de agosto de 2026.

No esperes a julio

La tentación es dejarlo para el último momento. Pero hacer un inventario de sistemas, clasificar riesgos, documentar políticas, formar al equipo y pedir documentación a proveedores lleva tiempo. Las empresas que empiecen ahora llegarán preparadas. Las que esperen a julio estarán improvisando bajo presión, y eso es exactamente lo que las autoridades van a detectar primero.

El AI Act es exigente, pero no es complejo en su aplicación a la mayoría de PYMEs. Una empresa de 30 empleados que use ChatGPT, un software de selección y un chatbot puede estar en cumplimiento en 5-6 semanas. La fuente oficial es artificialintelligenceact.eu y el texto consolidado del Reglamento está en EUR-Lex.

Esta información es orientativa y no constituye asesoramiento jurídico. Consulte con un profesional cualificado para una evaluación vinculante de su situación.