← Volver al blog

Obligaciones del AI Act para PYMEs: guía práctica para cumplir antes del 2 de agosto de 2026

Qué obligaciones impone realmente el AI Act a una PYME española, cómo aplicarlas paso a paso y qué hacer primero. Lista operativa por tipo de obligación, plazos y errores frecuentes.

Obligaciones del AI Act para PYMEs: guía práctica para cumplir antes del 2 de agosto de 2026

La mayoría de los artículos sobre el AI Act explican qué dice el Reglamento. Esta guía explica qué tiene que hacer una PYME, en qué orden y con qué documentos. Sin tecnicismos innecesarios y con la mirada puesta en la realidad de una empresa de 5 a 250 empleados.

Si tu empresa usa cualquier herramienta con IA —ChatGPT en el día a día, un CRM con funciones de IA, un software de selección, un chatbot en la web— el Reglamento (UE) 2024/1689 te aplica. Y el grueso de obligaciones empieza el 2 de agosto de 2026.

Una idea que cambia todo: tú no eres "proveedor", eres "desplegador"

El primer error de las PYMEs es pensar que el AI Act solo afecta a las empresas que desarrollan IA. No es así.

El Reglamento distingue dos figuras:

  • Proveedor (provider). Quien desarrolla un sistema de IA o lo introduce en el mercado bajo su nombre. Por ejemplo: OpenAI, Anthropic, Factorial cuando comercializa su módulo de selección.
  • Desplegador (deployer). Quien usa un sistema de IA bajo su responsabilidad en su actividad profesional. Es decir, casi cualquier PYME.

Si compras un software con IA y lo usas en tu empresa, eres desplegador, y tienes obligaciones propias. No te las "pasa" tu proveedor: son tuyas.

Esa es la base sobre la que se construye todo lo demás.

Las obligaciones, ordenadas por urgencia

El Reglamento contiene decenas de artículos, pero las obligaciones operativas que afectan a una PYME se resumen en cuatro bloques. Los presentamos en orden de plazo real para que sepas qué hacer primero.

Bloque 1 — Lo que ya está en vigor (no es opcional)

Alfabetización en IA (Art. 4). Aplicable desde el 2 de febrero de 2025. Toda persona de tu organización que use, supervise o tome decisiones sobre sistemas de IA debe tener un nivel suficiente de competencia. Esto incluye al equipo que usa ChatGPT, al responsable que decide qué herramienta contratar, y al personal de IT que la integra.

¿Qué se considera "suficiente"? El Reglamento no fija horas. La AESIA y el Comité Europeo de IA han publicado orientaciones que apuntan a una formación adaptada al rol y al riesgo del sistema. En la práctica, una formación de 6-10 horas que cubra qué es la IA, qué herramientas usáis, sus limitaciones, qué datos se pueden o no introducir y los riesgos legales es suficiente para la inmensa mayoría de PYMEs.

Prohibiciones (Art. 5). También en vigor. Sistemas como manipulación subliminal, scoring social o reconocimiento de emociones en el lugar de trabajo o en aulas están directamente prohibidos. Las multas llegan hasta 35 millones de euros o el 7% de la facturación. Casi ninguna PYME usa estos sistemas, pero merece la pena revisar especialmente si tu software de RRHH o de productividad incluye análisis emocional.

Bloque 2 — Lo que llega el 2 de agosto de 2026

Aquí está el cuerpo principal del Reglamento para los desplegadores: las obligaciones del Artículo 26 cuando alguno de tus sistemas es de alto riesgo (los listados en el Anexo III).

Las nueve obligaciones operativas del Art. 26, traducidas a lo que tienes que hacer:

  1. Usar el sistema según las instrucciones del proveedor. Te tienen que entregar las instrucciones de uso (Art. 13). Si no las tienes, pídelas.
  2. Asignar supervisión humana competente. Una persona con formación, autoridad y tiempo asignado para revisar las decisiones del sistema. Documenta quién es y qué formación tiene.
  3. Garantizar datos de entrada pertinentes y representativos. Tú controlas qué datos alimentas al sistema, no el proveedor. Si tu CRM con IA puntúa leads, tú decides qué información se introduce.
  4. Monitorizar el funcionamiento. Detectar incidentes y desviaciones. En la práctica, una revisión periódica documentada.
  5. Conservar los registros (logs) que el sistema genere automáticamente, durante al menos seis meses.
  6. Informar a los trabajadores y a sus representantes antes de poner en servicio un sistema de alto riesgo en el lugar de trabajo.
  7. Realizar la evaluación de impacto en derechos fundamentales (FRIA, Art. 27) si eres organismo público o prestas servicios de interés público (educación, sanidad, banca, seguros).
  8. Informar a las personas afectadas de que están sometidas a un sistema de IA de alto riesgo.
  9. Cooperar con las autoridades (AESIA en España).

Si ningún sistema tuyo es de alto riesgo, este bloque se simplifica enormemente. Por eso el primer paso siempre es la clasificación (lo vemos abajo).

Bloque 3 — Transparencia (Art. 50): aplica casi siempre

Aunque tus sistemas no sean de alto riesgo, hay tres obligaciones de transparencia que aplican a casi cualquier PYME desde el 2 de agosto de 2026:

  • Si interactúas con clientes a través de un chatbot o asistente de IA, debes avisar de que están interactuando con una IA (salvo que sea evidente).
  • Si publicas contenido generado por IA —imágenes, audio, vídeo, texto sobre asuntos de interés público—, debes etiquetarlo como tal.
  • Si usas IA generativa para producir deepfakes, debe quedar claro que la imagen o audio está generado o manipulado artificialmente.

La sanción por incumplir transparencia llega hasta 15 millones de euros o el 3% de la facturación.

Bloque 4 — Lo que ya tenías (RGPD y derecho laboral)

Mucha gente olvida que el AI Act se suma al RGPD, no lo sustituye. Si tu sistema de IA trata datos personales —y casi todos lo hacen— sigues necesitando:

  • Base de licitud para el tratamiento.
  • Información a los interesados.
  • Evaluación de impacto en protección de datos (EIPD) cuando proceda.
  • Cumplimiento del Art. 22 RGPD sobre decisiones automatizadas.

Y en el ámbito laboral, el Art. 64.4.d del Estatuto de los Trabajadores (modificado por la Ley Rider) ya obliga a informar a los representantes sobre los algoritmos que afectan a las decisiones laborales. Tratamos esto en detalle en esta guía sobre informar a empleados del uso de IA.

Cómo aplicar la ley de IA en tu PYME, paso a paso

Estas son las seis fases ordenadas. Una PYME bien organizada puede completar las cuatro primeras en 4-6 semanas dedicando tiempo razonable.

Fase 1 — Inventario de sistemas (semana 1)

Antes de cumplir nada, tienes que saber qué usas. Crea una hoja de cálculo con una fila por cada herramienta de IA y estas columnas mínimas:

  • Herramienta (nombre comercial)
  • Proveedor
  • Departamento que la usa
  • Caso de uso concreto ("evaluar candidatos en primera criba", no "RRHH en general")
  • Persona responsable dentro de la empresa
  • ¿Trata datos personales?
  • ¿Hay cláusula de IA en el contrato con el proveedor?

Incluye herramientas "no oficiales": ChatGPT, Claude, Copilot, Midjourney que tus empleados usan por su cuenta. La mayoría de incumplimientos vienen de uso no controlado.

Fase 2 — Clasificación de riesgo (semanas 1-2)

Para cada herramienta del inventario, determina su nivel de riesgo según los cuatro niveles del Reglamento:

  • Inaceptable → prohibido. Quítalo.
  • Alto riesgo → obligaciones del Bloque 2.
  • Riesgo limitado → obligaciones de transparencia.
  • Riesgo mínimo → solo Art. 4 (alfabetización).

La clasificación de "alto riesgo" se determina mirando si el caso de uso entra en alguno de los 8 dominios del Anexo III: biometría, infraestructuras críticas, educación, empleo, servicios esenciales (banca, seguros), aplicación de la ley, migración, justicia y procesos democráticos.

Si dudas, asume que sí entra hasta que puedas demostrar lo contrario. La carga de la prueba está en ti como desplegador.

Fase 3 — Formación del equipo (semanas 2-4)

El Art. 4 ya está en vigor. Diseña una formación interna o contrata una externa. Para una PYME estándar:

  • 2 horas de fundamentos: qué es la IA, cómo funcionan los modelos generativos, qué es y qué no es la IA.
  • 2 horas de las herramientas concretas que usáis.
  • 2 horas de riesgos legales: RGPD, AI Act, propiedad intelectual, secretos empresariales.
  • 1-2 horas de política interna y casos prácticos.

FUNDAE cubre el 100% del coste para PYMEs. Documenta la formación: lista de asistentes, contenidos, fecha. Es lo que pediría un inspector.

Fase 4 — Política interna de uso de IA (semanas 3-5)

Un documento de 4-8 páginas que defina:

  • Qué herramientas están aprobadas y para qué casos de uso.
  • Qué datos se pueden y no se pueden introducir en herramientas de IA. Por defecto: nunca datos personales sensibles, nunca información confidencial de clientes sin consentimiento, nunca código propietario crítico en herramientas no licenciadas.
  • Quién supervisa cada sistema de alto riesgo, si los hay.
  • Cómo se reporta un incidente (fallo del sistema, output incorrecto que afecta a una decisión).
  • Procedimiento de revisión de proveedores antes de incorporar nuevas herramientas.

Comunica la política a todo el equipo. La política sin difusión y formación no vale.

Fase 5 — Documentación de proveedores (semanas 4-6)

Si tienes sistemas de alto riesgo, tienes que pedir a tus proveedores:

  • La declaración UE de conformidad del sistema (Art. 47).
  • Las instrucciones de uso (Art. 13) que cumplan los requisitos del Reglamento.
  • Información sobre los datos de entrenamiento, las medidas de transparencia, los mecanismos de supervisión humana integrados.
  • Su política de gestión de incidentes.

Si un proveedor no puede entregarte esto antes del 2 de agosto de 2026, considera seriamente migrar. El riesgo es tuyo, no suyo.

Fase 6 — Operación y mantenimiento (continuo desde agosto 2026)

Una vez todo está montado, el cumplimiento es operativo:

  • Revisión trimestral del inventario y de las clasificaciones.
  • Conservación de logs durante al menos 6 meses.
  • Reporte de incidentes graves a las autoridades en plazo (Art. 73, generalmente 15 días).
  • Actualización de la política cuando incorporas nuevas herramientas o cambian las existentes.
  • Formación de refresco anual y para nuevas incorporaciones.

Errores frecuentes que hemos visto en PYMEs españolas

"Como solo usamos ChatGPT, no nos aplica." Falso. Aunque ChatGPT por sí mismo es de riesgo limitado (transparencia), cómo lo uses puede convertirlo en alto riesgo. Si lo usas para puntuar candidatos a un puesto, entras en el Anexo III dominio 4 (empleo). El uso final manda, no la herramienta.

"Esto es como el RGPD, ya nos pondremos cuando empiecen las multas." El Reglamento prevé un rodaje, pero las multas son administrativas y no requieren denuncia previa: una inspección rutinaria de la AESIA puede iniciar el expediente. Y a diferencia del RGPD, las multas se acumulan: puedes tener un expediente AI Act y otro RGPD por el mismo sistema.

"Mi gestoría me dirá lo que tengo que hacer." Pocas gestorías están preparadas para asesorar sobre AI Act todavía. Lo razonable es que la gestoría te ayude con los aspectos contables y laborales, pero la clasificación de sistemas y la política interna las hace tu equipo (o un especialista en IA y compliance).

"Vamos a esperar a que esté el reglamento español." El AI Act es un reglamento europeo, directamente aplicable. El reglamento español complementa, pero no condiciona la entrada en vigor. Esperar es perder tiempo de preparación.

"Como somos pequeños, no nos van a inspeccionar." Es cierto que la AESIA priorizará casos sistémicos al principio. Pero el riesgo más realista para una PYME no es la inspección de oficio, sino la denuncia: un candidato rechazado, un empleado despedido, un cliente perjudicado. Esos casos sí terminan en expediente.

Plazos clave para tener en el calendario

  • 2 febrero 2025 ✅ — Art. 4 (alfabetización) y prohibiciones del Art. 5 en vigor.
  • 2 agosto 2025 ✅ — Obligaciones para proveedores de modelos de propósito general (GPAI).
  • 2 agosto 2026 — Bloque grande: alto riesgo del Anexo III, transparencia, sandboxes nacionales.
  • 2 agosto 2027 — Aplicación completa del Reglamento.

Los plazos no son indicativos: son fechas de exigibilidad plena.

Cómo saber qué obligaciones aplican exactamente a tu empresa

Cada PYME tiene una combinación distinta de herramientas y casos de uso. La diferencia entre "tres obligaciones de transparencia" y "el bloque completo del Art. 26" depende de detalles concretos del uso.

CumpleConIA tiene un test gratuito de 2 minutos que analiza las herramientas y casos de uso de tu empresa, las clasifica según los criterios del Reglamento y te entrega la lista exacta de obligaciones que te aplican.

→ Comprobar qué obligaciones tiene mi empresa

Sin registro ni tarjeta. 10 preguntas y un plan de acción priorizado.

La buena noticia

El AI Act es exigente, pero no es complejo en su aplicación a la mayoría de PYMEs. Una empresa de 30 empleados que use ChatGPT, un software de selección y un chatbot puede estar en cumplimiento en 5-6 semanas con dedicación moderada y unos pocos miles de euros (si externaliza la formación y la consultoría, gran parte cubierta por FUNDAE).

Lo que no funciona es esperar a julio de 2026 para empezar. Quien empiece tarde improvisará bajo presión, y eso es exactamente lo que la AESIA va a detectar primero.

Esta información es orientativa y no constituye asesoramiento jurídico. Consulte con un profesional cualificado para una evaluación vinculante de su situación concreta.

¿Tu empresa cumple con la Ley de IA?

Compruébalo gratis en 2 minutos con nuestro checker.

Comprobar cumplimiento →