IA de alto riesgo en PYMEs: qué es, cómo te afecta y qué hacer

"IA de alto riesgo" suena a algo que solo afecta a grandes corporaciones, bancos o tecnológicas. La realidad es la contraria: la mayoría de los sistemas de IA de alto riesgo según el Reglamento (UE) 2024/1689 son herramientas comunes que usan PYMEs españolas todos los días: software de selección, sistemas de scoring crediticio, plataformas de e-learning, herramientas de evaluación del rendimiento.

Este artículo explica qué es exactamente la IA de alto riesgo, cómo afecta a una PYME en términos concretos —qué cambia en tu día a día— y qué hacer antes del 2 de agosto de 2026, fecha en la que se vuelven plenamente exigibles las obligaciones más estrictas del Reglamento.

Qué es la IA de alto riesgo, en una frase

Según el AI Act, un sistema de IA es de alto riesgo cuando se utiliza en uno de los ocho dominios listados en el Anexo III del Reglamento, y no cae en una de las excepciones del Artículo 6.3.

La idea de fondo es esta: la peligrosidad no la determina la tecnología que usa el sistema, sino el uso final que se le da. Una integración sencilla con la API de OpenAI puede ser de alto riesgo si decide a quién contratas, mientras que un modelo de Machine Learning sofisticado para detectar fraude técnico puede no serlo.

Lo que importa es para qué se usa la IA, sobre quién impacta la decisión, y qué consecuencias tiene esa decisión para esa persona.

Los 8 dominios, traducidos a PYMEs

El Anexo III enumera ocho áreas. Las repasamos rápido y, sobre todo, vemos cuáles afectan en la práctica a PYMEs españolas. Hemos ordenado los dominios por frecuencia de aparición real en empresas de 5 a 250 empleados.

1. Empleo, gestión de trabajadores y selección. El que más afecta a PYMEs. Filtrar CVs, puntuar candidatos, evaluar empleados, asignar tareas según rendimiento, supervisar productividad. Si tu software de RRHH tiene "matching" de candidatos o evaluaciones automatizadas, estás aquí.

2. Acceso a servicios esenciales. Scoring crediticio, evaluación de riesgo en seguros, triaje sanitario. Afecta a fintech, asesorías financieras, mediadores de seguros, clínicas privadas, residencias.

3. Educación y formación profesional. Determinar admisión a un curso, evaluar exámenes, detectar fraude en exámenes online (proctoring). Afecta a academias, escuelas de negocios, plataformas de e-learning, formación bonificada por FUNDAE.

4. Biometría. Identificación o categorización biométrica remota, reconocimiento de emociones (cuando no esté directamente prohibido). Afecta a empresas de seguridad, retail con control de accesos avanzado, eventos.

5. Infraestructuras críticas. Energía, agua, gas, transporte. PYMEs proveedoras de las grandes utilities pueden caer aquí.

6. Aplicación de la ley. Cuerpos de seguridad y empresas privadas que les suministran tecnología. Poco habitual en PYMEs.

7. Migración y control fronterizo. Administraciones y contratistas. No suele aplicar a PYMEs.

8. Justicia y procesos democráticos. Legaltech con análisis judicial automatizado, agencias de campañas políticas con microtargeting. Sí afecta a algunas PYMEs muy específicas.

Para una PYME estándar, los dominios 1, 2 y 3 concentran el 95% de los casos. La guía detallada con ejemplos comerciales por dominio está en el artículo del Anexo III.

Cómo afecta la ley de IA a las PYMEs en la práctica

Ir al texto del Reglamento da una idea abstracta. Lo que importa es cómo cambia tu día a día. Esto es lo que pasa concretamente cuando una PYME tiene un sistema de IA de alto riesgo:

Cambia quién puede usar el sistema. No basta con contratar el software y dárselo al equipo. Tienes que designar formalmente a una persona con autoridad y formación suficiente para supervisar el sistema. Esa persona tiene que poder revisar y, si procede, anular las decisiones de la IA. Sin esa figura, no puedes operar el sistema.

Cambian los contratos con tus proveedores. El proveedor del software tiene que entregarte la declaración UE de conformidad y unas instrucciones de uso que cumplan con el Art. 13. Si tu software de RRHH no te entrega esto antes del 2 de agosto de 2026, tienes un problema: no puedes seguir usándolo legalmente.

Cambia tu relación con los empleados o candidatos. Si usas IA de alto riesgo en RRHH, tienes que informar a los representantes de los trabajadores antes de poner el sistema en marcha, informar individualmente a cada persona afectada (candidato, empleado evaluado), y permitir el derecho a explicación de las decisiones individuales (Art. 86). En la práctica, eso significa que un candidato rechazado puede pedirte la lógica de la decisión y tienes que poder dársela.

Cambian tus obligaciones de documentación. Conservar logs durante al menos seis meses, monitorizar el funcionamiento, reportar incidentes graves a la AESIA en plazo (generalmente 15 días). No es testimonial: si te llega una inspección, te van a pedir esos registros.

Cambia tu exposición a sanciones. Las infracciones intermedias del Art. 99.4 (incumplir obligaciones del desplegador en sistemas de alto riesgo) pueden llegar hasta 15 millones de euros o el 3% de la facturación global. Para una PYME que factura 4 millones, ese 3% son 120.000 euros, sin contar la posible orden de desconectar el sistema.

Cambia el riesgo procesal. Las decisiones tomadas por sistemas de alto riesgo sin las garantías del Art. 26 pueden ser impugnadas con probabilidad alta de éxito. Un candidato rechazado, un empleado despedido o un cliente al que se ha denegado un servicio puede llevar el caso a la jurisdicción social o civil con argumentos sólidos.

Escenarios reales: ¿esto que tengo es alto riesgo?

La pregunta más práctica que recibe CumpleConIA es siempre la misma: "tengo este software, ¿es alto riesgo o no?". Estos son los escenarios más frecuentes en PYMEs españolas.

Escenario 1 — Consultoría de 25 empleados con software de selección

Usan Factorial con módulo de IA para hacer una primera criba de currículos antes de las entrevistas humanas. La IA puntúa candidatos según ajuste con la oferta.

Veredicto: alto riesgo. Anexo III dominio 4 (empleo) — selección con IA.

Qué tienen que hacer: asignar a una persona de RRHH como supervisor humano con autoridad para anular el filtro, informar a los representantes de los trabajadores, informar a cada candidato de que se está usando un sistema de IA, conservar logs de las decisiones, pedir a Factorial la documentación del Art. 13 y la declaración de conformidad.

Escenario 2 — E-commerce con chatbot de atención al cliente

PYME de 12 empleados con tienda online. Usan un chatbot de IA generativa integrado para responder dudas de clientes y procesar devoluciones simples.

Veredicto: riesgo limitado, no alto riesgo. La obligación principal es el Art. 50: avisar al usuario de que está hablando con una IA.

Qué tienen que hacer: un mensaje claro al iniciar la conversación ("Hola, soy un asistente automático con IA...") y formación al equipo sobre los límites del chatbot.

Escenario 3 — Asesoría con uso intensivo de ChatGPT

Asesoría laboral de 8 empleados que usan ChatGPT y Claude para redactar contratos, calcular nóminas complejas, contestar consultas de clientes.

Veredicto: depende del uso final. Como herramienta de productividad personal con revisión humana íntegra del output, es de riesgo mínimo. Si la usaran para evaluar la solvencia de un cliente o tomar decisiones automatizadas sobre las personas, entrarían en alto riesgo.

Qué tienen que hacer: formación del equipo (Art. 4), política interna sobre qué datos no introducir (datos personales de clientes, secretos profesionales), y comprobar que la versión que usan tiene un acuerdo que impide entrenamiento con sus prompts.

Escenario 4 — Mediador de seguros con IA de scoring

Mediador de seguros de 18 empleados con una plataforma del proveedor que usa IA para sugerir primas según perfil de riesgo del cliente.

Veredicto: alto riesgo. Anexo III dominio 5 (servicios esenciales) — evaluación de riesgo y precios en seguros de vida y salud.

Qué tienen que hacer: todo el bloque del Art. 26. Especialmente delicado: el cliente tiene derecho a explicación de la prima propuesta. Si el proveedor no te entrega la lógica del modelo, no puedes cumplir.

Escenario 5 — Academia online con proctoring

Academia de oposiciones de 35 empleados con plataforma propia de cursos online. Usan proctoring con IA para detectar comportamientos anómalos durante los exámenes.

Veredicto: alto riesgo. Anexo III dominio 3 (educación) — detección de comportamientos prohibidos en exámenes.

Qué tienen que hacer: información clara a los alumnos antes del examen, supervisión humana de cualquier alerta del sistema (no se puede suspender por una alerta automática), conservación de logs, evaluación de impacto en protección de datos por el RGPD, y en algunos casos FRIA (Art. 27) si el servicio se considera de interés público.

Escenario 6 — Despacho de abogados con legaltech

Despacho de 14 abogados que usa vLex con IA para búsqueda de jurisprudencia y redacción asistida.

Veredicto: depende del uso. Si solo se usa para búsqueda y la decisión jurídica final la toma íntegramente el abogado, puede entrar en la excepción del Art. 6.3.b (mero soporte que no sustituye la evaluación humana). Si se automatiza la redacción de escritos sin revisión, sube a alto riesgo.

Qué tienen que hacer: documentar por escrito que la herramienta es de mero soporte, política interna de revisión obligatoria de todo output antes de presentarlo a clientes o tribunales, y registro en la base de datos UE si aplican la excepción (Art. 6.4).

Escenario 7 — Empresa de marketing con IA de segmentación

Agencia de 10 personas que usa HubSpot con IA para segmentar audiencias y personalizar campañas de email marketing B2B.

Veredicto: riesgo mínimo. La segmentación de marketing comercial general no entra en el Anexo III.

Qué tienen que hacer: Art. 4 (formación), cumplimiento del RGPD para los datos personales tratados, y si publican contenido generado por IA, etiquetarlo cuando aplique (Art. 50).

Lo que NO es alto riesgo (aunque suene a que sí)

Hay varios casos que generan confusión:

• Filtros antispam del correo: no es alto riesgo, aunque "decida" qué entra y qué no.
• Recomendaciones de productos en e-commerce: riesgo mínimo, aunque "perfile" al cliente.
• Asistentes de código (Copilot, Cursor) usados internamente por desarrolladores: riesgo mínimo.
• OCR con IA para procesar facturas: riesgo mínimo.
• Traducción automática (DeepL, Google Translate): riesgo mínimo.
• Resumen automático de reuniones (Otter, Fireflies): riesgo mínimo, aunque hay obligación de informar a los participantes.

La línea divisoria suele ser: ¿la IA toma o influye sustancialmente en una decisión que afecta significativamente a una persona en uno de los 8 dominios? Si no, no es alto riesgo.

Qué hacer si tienes un sistema de alto riesgo: los 7 pasos

Si después de leer los escenarios sospechas que tienes al menos un sistema de alto riesgo, esta es la secuencia mínima de acciones para cumplir antes del 2 de agosto de 2026.

1. Confirma la clasificación por escrito. Documenta por qué consideras que el sistema es de alto riesgo, qué dominio del Anexo III aplica, y si te apoyas en alguna excepción del Art. 6.3. Esa documentación es lo primero que pediría una inspección.

2. Pide la documentación al proveedor. Declaración UE de conformidad, instrucciones de uso del Art. 13, información sobre datos de entrenamiento, mecanismos de supervisión humana integrados, política de incidentes. Si no te lo entregan en plazo razonable, planifica migración a otro proveedor.

3. Designa supervisor humano. Una persona con formación, autoridad y tiempo asignado. Por escrito, con firma, archivado.

4. Forma al equipo. Art. 4. Mínimo 6-10 horas, documentadas.

5. Crea la política interna. Quién puede usar el sistema, con qué datos, qué hacer ante un fallo, cómo se reportan incidentes.

6. Informa a empleados, candidatos, clientes según corresponda. Si es un sistema de RRHH, además a los representantes de los trabajadores.

7. Configura los logs y la monitorización. Conservación mínima de 6 meses. Revisión periódica documentada.

Estos siete pasos son la versión condensada. La versión operativa completa, con plazos por fase, está en esta guía práctica de obligaciones del AI Act.

Cuánto cuesta cumplir (para que tengas una idea de la magnitud)

Para una PYME estándar con un único sistema de alto riesgo (típicamente RRHH), los costes orientativos son:

• Formación del equipo: 1.500-3.000 € externalizada, gran parte cubierta por FUNDAE.
• Consultoría de clasificación y política interna: 2.000-5.000 € si la externalizas.
• Adaptación de software (puede que ninguna si tu proveedor cumple, o cambio de proveedor): 0 a varios miles.
• Tiempo interno del equipo: 60-100 horas durante 4-6 semanas.

Total: entre 5.000 y 15.000 € en el peor caso. Frente a una sanción que puede llegar al 3% de la facturación, la matemática es clara.

Qué pasa si no haces nada

El riesgo real para una PYME no es que la AESIA llegue a tu puerta de oficio en agosto de 2026. Lo que va a pasar es esto:

• Un candidato rechazado que sospecha del sistema te denuncia. La denuncia llega a la inspección de trabajo o a la AESIA.
• Un empleado evaluado por un sistema de productividad lo recurre y la jurisdicción social pide la lógica del algoritmo, los logs y la información que se le dio.
• Un cliente al que se le ha denegado un crédito o un seguro pide la explicación amparándose en el Art. 86 del Reglamento y el Art. 22 del RGPD.
• Un proveedor que no cumple te traslada el problema en forma de cláusula contractual: te exige garantías y, si no se las das, rescinde.

Todos estos casos terminan, en el mejor escenario, con un requerimiento. En el peor, con un expediente sancionador acumulado del AI Act y el RGPD.

Cómo saber en 2 minutos si tu PYME tiene IA de alto riesgo

CumpleConIA tiene un test gratuito de 10 preguntas que analiza qué herramientas de IA usa tu empresa y las clasifica según los 8 dominios del Anexo III. Si tienes algún sistema de alto riesgo, te dice cuál y qué obligaciones concretas activan.

→ Comprobar si mi empresa tiene IA de alto riesgo

Sin registro ni tarjeta. Resultado inmediato y plan de acción priorizado.

Lo importante

La conclusión operativa tras analizar cientos de casos de PYMEs es esta: la mayoría tiene al menos un sistema de alto riesgo y no lo sabe. Suele ser el software de RRHH. Las que se enteran ahora tienen tres meses para preparar la documentación, la formación y la política interna sin agobios. Las que se enteran en julio de 2026 lo van a hacer mal.

El AI Act no es un golpe puntual: es un cambio estructural en cómo las empresas usan la IA en Europa. Llegar al 2 de agosto con los deberes hechos te ahorra el coste, el riesgo procesal y, sobre todo, la mala publicidad de ser uno de los primeros casos sancionados.

---

Esta información es orientativa y no constituye asesoramiento jurídico. Consulte con un profesional cualificado para una evaluación vinculante de su situación concreta.