IA responsable para PYMES: guía legal AI Act 2026 paso a paso

Por /

Si tu empresa usa ChatGPT, Copilot, un chatbot de atención al cliente o cualquier otra herramienta de inteligencia artificial, ya estás dentro del ámbito de aplicación del AI Act europeo. No importa si eres autónomo, tienes tres empleados o cien. El reglamento aplica a cualquier empresa que opere en la Unión Europea, sin umbral mínimo de tamaño.

La buena noticia es que para la mayoría de PYMES, cumplir el AI Act no requiere contratar un equipo legal ni gastarse una fortuna. Requiere entender qué herramientas usas, para qué las usas, y documentarlo de forma básica. Esta guía te explica exactamente qué hacer, en qué orden, y antes de qué fechas.

Qué es el AI Act y por qué afecta a tu PYME

El AI Act (Reglamento de Inteligencia Artificial de la UE) es la primera ley del mundo que regula de forma integral el desarrollo y uso de sistemas de inteligencia artificial. Fue publicado en el Diario Oficial de la UE en julio de 2024 y entró en vigor de forma progresiva desde agosto de 2024. Es de aplicación directa en todos los estados miembros, incluida España, sin necesidad de transposición al derecho nacional.

La lógica del reglamento es sencilla: clasifica los sistemas de IA según el riesgo que representan para las personas. A mayor riesgo, mayores obligaciones. Y eso afecta tanto a las empresas que desarrollan IA (proveedores) como a las que la usan en su negocio (operadores). Si usas ChatGPT en tu empresa, eres operador. Tienes obligaciones.

Las fechas clave que debes tener en la agenda

El AI Act no entró en vigor todo de golpe. Tiene un calendario de aplicación progresivo que es importante conocer para saber qué tienes que hacer y cuándo:

  • Febrero de 2025 (ya en vigor): Prohibición de sistemas de IA de riesgo inaceptable. Desde esta fecha, están directamente prohibidos en la UE los sistemas de puntuación social de personas, el reconocimiento facial en tiempo real en espacios públicos sin excepciones justificadas, y los sistemas que manipulan subliminalmente a personas.
  • Agosto de 2025 (ya en vigor): Obligaciones para modelos de IA de uso general (GPT-4, Gemini, Claude). Principalmente afecta a los proveedores de estos modelos, no a las PYMES que los usan como usuarios finales.
  • 2 de agosto de 2026 (fecha crítica para la mayoría de empresas): Entran en vigor las obligaciones de transparencia, formación básica del personal y gobernanza de IA para todos los operadores, incluidas las PYMES. Las autoridades nacionales quedan facultadas para realizar inspecciones y aplicar sanciones desde esta fecha.
  • 2 de diciembre de 2027: Obligaciones completas para sistemas de IA de alto riesgo del Anexo III (RRHH, scoring crediticio, infraestructuras críticas). Este plazo fue aplazado desde agosto de 2026 por el acuerdo del Digital Omnibus de mayo de 2026, dando más tiempo a las empresas para prepararse.

Resumen práctico: el 2 de agosto de 2026 ya tienes que tener hecho el inventario de IA de tu empresa, formado a tu equipo en uso básico y responsable de IA, y documentado cómo tomas decisiones con IA que afectan a personas. Para los usos más complejos (selección de personal con IA, scoring de clientes), tienes hasta diciembre de 2027, pero conviene empezar antes.

Cómo clasifica el AI Act los sistemas de IA: el sistema de cuatro niveles

Nivel 1: Riesgo inaceptable (sistemas prohibidos)

Estos sistemas están directamente prohibidos en la UE desde febrero de 2025. Como PYME, lo que debes saber es que no puedes usar ni contratar servicios que los usen:

  • Sistemas de puntuación social de personas (que califiquen el comportamiento de ciudadanos para acceder a servicios)
  • Reconocimiento facial en tiempo real en espacios públicos sin autorización judicial explícita
  • Sistemas que explotan vulnerabilidades de grupos vulnerables como menores o personas mayores
  • IA que manipula subliminalmente comportamientos sin que la persona lo sepa
  • Inferencia de emociones de empleados en el entorno laboral o de estudiantes en entornos educativos
  • Clasificación biométrica de personas según características sensibles como origen étnico u orientación sexual

Nivel 2: Alto riesgo

Son los sistemas con mayor impacto potencial en los derechos de las personas. Para una PYME, los más relevantes son:

  • IA en procesos de selección y contratación de personal (filtrado automático de CVs, evaluación de candidatos mediante algoritmos)
  • Scoring crediticio o evaluación de solvencia de clientes mediante IA sin supervisión humana
  • IA en acceso a servicios esenciales como educación, salud o vivienda
  • Sistemas biométricos de identificación

Si usas alguno de estos, desde diciembre de 2027 debes cumplir obligaciones específicas: sistema de gestión de riesgos, gobernanza de datos, supervisión humana obligatoria, documentación técnica y registro en la base de datos de la UE.

Nivel 3: Riesgo limitado (obligaciones de transparencia)

Aquí entra la mayoría de PYMES que usan chatbots o asistentes virtuales. Si tienes un chatbot de atención al cliente, un asistente de IA que interactúa con personas, o un sistema que genera contenido que puede confundirse con real, tienes la obligación de informar a los usuarios de que están interactuando con una IA.

En términos prácticos: si tienes un chatbot en tu web o en WhatsApp, el cliente debe saber desde el primer momento que está hablando con un bot y no con una persona. Si usas IA para generar imágenes o vídeos de personas reales, debes indicar que son generados por IA.

Nivel 4: Riesgo mínimo

La mayoría de herramientas de productividad caen aquí: ChatGPT para redactar textos, Canva con IA para diseño, herramientas de análisis de datos, correctores ortográficos con IA. No tienen obligaciones específicas bajo el AI Act, aunque sí aplican otras normativas como el RGPD si manejas datos personales de clientes o empleados.

Cómo hacer el inventario de IA de tu empresa: plantilla práctica

El primer paso para cumplir lel AI Act es saber qué sistemas de IA usas. Parece obvio, pero muchas empresas no tienen ni idea de cuántas herramientas de IA están usando porque las han ido incorporando de forma orgánica, sin un proceso centralizado. Un empleado usa ChatGPT. Otro tiene Copilot en el ordenador. El departamento de ventas usa un CRM con scoring automático. Y nadie tiene una lista.

Para hacer el inventario, repasa estas categorías en tu empresa:

  • Herramientas de productividad con IA: ChatGPT, Copilot, Claude, Gemini, Notion IA, etc.
  • Software de atención al cliente con IA: chatbots web, automatizaciones de WhatsApp, respuestas automáticas en email.
  • Software de RRHH con IA: herramientas de selección de personal, evaluación de desempeño, gestión de nóminas con automatización.
  • Software de ventas y marketing con IA: CRM con scoring de leads, plataformas de email marketing con personalización automática, herramientas de precios dinámicos.
  • Software de operaciones con IA: predicción de demanda, gestion de stock, mantenimiento predictivo.
  • Cualquier herramienta de terceros que use IA para tomar decisiones que afecten a tu empresa o a tus clientes.

Para cada herramienta que identifiques, documenta en una hoja de cálculo: nombre de la herramienta, proveedor, para qué la usas exactamente, qué tipo de datos introduce tu empresa (¿datos personales de empleados o clientes?), qué decisiones influye (¿solo recomendaciones o también decisiones automáticas?), y quién en tu empresa la usa.

Este inventario no tiene que ser un documento de 50 páginas. Una hoja de Excel con esas columnas es suficiente para una PYME. Lo importante es tenerlo y actualizarlo cada vez que incorporas una nueva herramienta.

Las obligaciones concretas para tu PYME antes del 2 de agosto de 2026

1. Formación básica del equipo en uso de IA

El AI Act exige que las personas que usen sistemas de IA en tu empresa tengan un nivel suficiente de «alfabetización en IA». No pide un máster ni una certificación. Pide que entiendan qué hace la herramienta, cuáles son sus limitaciones, y cómo supervisar su output antes de usarlo.

En la práctica: organiza una sesión de 2 horas con tu equipo donde expliques qué herramientas de IA usáis, para qué, y qué deben revisar antes de usar el resultado de la IA con un cliente o en una decisión de negocio. Deja constancia de esa formación: fecha, lista de asistentes, contenido. Con eso cumples la obligación básica de formación.

2. Transparencia con los usuarios que interactúan con IA

Si interactúas con clientes mediante IA de forma directa, debes informarles. Para un chatbot: indica en el primer mensaje que es un asistente automático. Para contenido generado por IA que se publique como si fuera humano: añade una nota. Para correos automatizados con IA: no pasa nada por no indicarlo si son correos comerciales estándar, siempre que no sean conversaciones que el cliente crea que son personales y escritas por una persona específica.

3. Supervisión humana en decisiones que afectan a personas

Si la IA influye en una decisión que afecta a una persona concreta (un empleado, un cliente, un proveedor), debe haber un humano que revise y tome la decisión final. La IA puede recomendar, analizar o filtrar. Pero no puede decidir de forma completamente autónoma en casos con impacto real en derechos o intereses de personas sin que ningún humano lo haya revisado.

Ejemplo concreto: si usas IA para hacer una primera criba de CVs, un responsable humano debe revisar los candidatos descartados antes de confirmar la decisión. No vale con aceptar el output del algoritmo sin revisión alguna.

4. Política de uso de IA para empleados

No es un requisito explícito del AI Act para todas las PYMES, pero es muy recomendable y en caso de inspección demuestra que la empresa actúa con diligencia. Un documento breve que establezca cómo se puede y no se puede usar la IA en tu empresa protege tanto al negocio como al empleado.

Una política de uso de IA para empleados de PYME debe cubrir como mínimo cuatro puntos: qué herramientas están aprobadas para uso profesional en la empresa; qué tipo de información no se puede introducir en herramientas de IA externas (datos personales de clientes, información financiera confidencial, datos de empleados); cómo deben revisar el output antes de usarlo con clientes; y a quién reportar si encuentran un comportamiento inesperado de alguna herramienta.

Un documento de una página con estas cuatro secciones, firmado por cada empleado que usa IA en su trabajo, es suficiente para demostrar diligencia en caso de inspección.

Las sanciones reales: qué pasa si no cumples

El AI Act establece tres niveles de sanción, y aquí es donde muchas PYMES se asustan innecesariamente. Las multas máximas están pensadas para empresas tecnológicas grandes que desarrollan y despliegan sistemas de IA a escala. No para una PYME que usa ChatGPT para redactar emails.

  • Hasta 35 millones EUR o el 7% de la facturación global anual: por usar sistemas de IA prohibidos (puntuación social, reconocimiento facial no autorizado, manipulación subliminal). Una PYME con 2 millones de facturación que incurriera en esta infracción se enfrentaría a un máximo teórico de 140.000 EUR.
  • Hasta 15 millones EUR o el 3% de la facturación global anual: por incumplir obligaciones de sistemas de alto riesgo (usar IA en RRHH o scoring crediticio sin supervisión humana documentada, sin gestión de riesgos). Una PYME con 2 millones de facturación: máximo 60.000 EUR.
  • Hasta 7,5 millones EUR o el 1% de la facturación global anual: por incumplir obligaciones de transparencia (no informar que es un bot, no etiquetar contenido generado por IA cuando es obligatorio). Una PYME con 2 millones de facturación: máximo 20.000 EUR.

El AI Act prevé expresamente sanciones proporcionales para PYMEs. Las autoridades deben tener en cuenta el tamaño de la empresa, su capacidad económica y si la infracción fue intencionada o por desconocimiento. Las primeras inspecciones en 2026 y 2027 probablemente sean de carácter orientativo para las empresas más pequeñas, salvo infracciones graves o deliberadas.

Pero hay algo que puede pasar antes que las multas: las autoridades pueden ordenar que dejes de usar un sistema de IA no conforme, lo que puede paralizar parte de tu operativa. Si tu atención al cliente, tu selección de personal o tu sistema de precios depende de esa herramienta, el impacto puede ser mayor que la propia multa. Por eso es importante cumplir, independientemente del importe de las sanciones.

Cómo comunicar a tus clientes el uso de IA: transparencia que genera confianza

La transparencia sobre el uso de IA no es solo una obligación legal: es una oportunidad de diferenciación. Los clientes valoran cada vez más saber cómo se toman las decisiones que les afectan, y las empresas que lo comunican bien generan más confianza que las que no dicen nada.

Chatbot de atención al cliente

El primer mensaje del bot debe identificarse como asistente automático. Algo tan sencillo como: «Hola, soy el asistente virtual de [nombre del negocio]. Puedo ayudarte con [tipos de consultas]. Si prefieres hablar con una persona, escríbeme ‘humano’.» Es legal, es claro, y en la práctica no reduce las conversiones. Los clientes no se van porque hablen con un bot: se van cuando el bot no resuelve su problema.

Emails generados con IA

Para emails comerciales estándar (newsletters, promociones), no hay obligación de indicar que se usó IA para redactarlos, igual que no se indica que se usó Word o un corrector ortográfico. Solo debes indicarlo si el email pretende ser una comunicación personal y el destinatario podría creer razonablemente que fue escrita por una persona específica cuando en realidad es completamente automatizada.

Contenido generado por IA en redes sociales y web

Para imágenes o vídeos que representen a personas reales generados por IA (deepfakes), la obligación de etiquetar es clara. Para textos, artículos o posts generados con IA, no hay obligación legal de indicarlo, aunque algunas plataformas como LinkedIn lo están empezando a pedir de forma voluntaria.

Decisiones automáticas que afectan a clientes

Si usas IA para tomar decisiones sobre tus clientes (aprobar o rechazar una solicitud, calcular un precio personalizado, segmentar para acceder a determinadas ofertas), debes informarles de que existe esa lógica automatizada y darles la posibilidad de solicitar revisión humana. Esto también lo exige el RGPD, que sigue vigente y complementa el AI Act.

Checklist: qué debe tener hecho tu PYME antes del 2 de agosto de 2026

  • Inventario completo de todas las herramientas de IA que usa la empresa, con descripción del uso y los datos que manejan
  • Clasificación de cada herramienta según el nivel de riesgo del AI Act (prohibido, alto, limitado, mínimo)
  • Formación básica del equipo en uso responsable de IA, con registro de asistencia y fecha
  • Política de uso de IA para empleados firmada por todos los que usan herramientas de IA en su trabajo
  • Identificación clara de chatbots y asistentes automáticos como tales en todos los canales de cliente
  • Proceso de supervisación humana definido por escrito para cualquier decisión que afecte a personas y esté influenciada por IA
  • Revisión de contratos con proveedores de IA para verificar que incluyen cláusula de procesamiento de datos conforme al RGPD.

El marco simplificado para PYMEs: facilidades que debes conocer

El AI Act incluye un marco simplificado para PYMEs y microempresas. Tras el Digital Omnibus de mayo de 2026, ese marco se amplía a empresas de hasta 750 empleados y 150 millones de euros de facturación. Las ventajas concretas son documentación técnica simplificada con plantillas estándar, acceso prioritario a los sandboxes regulatorios para probar sistemas de IA antes de desplegarlos, multas reducidas que tienen en cuenta la capacidad económica de la empresa, y asesoramiento gratuito de las autoridades competentes para el cumplimiento.

En España, la autoridad competente para el AI Act es la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña. Su web tiene guías y recursos específicos para PYMEs. Si tienes dudas sobre si alguna de tus herramientas cae en el nivel de alto riesgo, puedes consultar directamente con ellos antes de que entren en vigor las sanciones.

Preguntas frecuentes

¿Aplica el AI Act si solo uso ChatGPT para redactar textos internos?

Para usos internos de baja repercusión (redactar emails, resumir documentos, ayudar con tareas de oficina), las obligaciones son mínimas: básicamente que el equipo entienda qué está usando y supervise el output. No hay documentación compleja ni registro obligatorio para estos casos. Lo que sí aplica siempre, y esto es RGPD más que AI Act, es no introducir datos personales de clientes o empleados en herramientas de IA externas sin un acuerdo de tratamiento de datos con el proveedor.

¿Qué pasa con los datos de mis clientes que introduzco en ChatGPT?

Aquí aplica principalmente el RGPD. Si introduces datos personales de clientes en ChatGPT u otra herramienta de IA externa, necesitas tener firmado un acuerdo de tratamiento de datos (DPA) con OpenAI o el proveedor, y ese proveedor debe cumplir el RGPD. ChatGPT Team y Enterprise incluyen este acuerdo. ChatGPT Free y Plus no lo incluyen por defecto. Revisa antes de subir cualquier dato de cliente: nombre, email, teléfono, historial de compras o cualquier otro dato personal.

¿Tengo que registrar mis sistemas de IA en algún registro oficial?

Solo si usas sistemas de alto riesgo del Anexo III del AI Act: IA en selección de personal, scoring crediticio, etc. Para esos casos, a partir de diciembre de 2027 habrá un registro de la UE donde deben inscribirse. Para el resto de usos habituales en PYMEs (herramientas de productividad, chatbots de servicio al cliente, generación de contenido), no hay registro oficial obligatorio.

¿Necesito contratar a un especialista en cumplimiento del AI Act?

Para la mayoría de PYMEs que usan herramientas de IA de riesgo mínimo o limitado, no. Con hacer el inventario, formar al equipo, documentar básicamente cómo usáis la IA y identificar vuestros chatbots como bots, es suficiente. Si usáis IA en RRHH, scoring de clientes o decisiones automáticas que afectan significativamente a personas, sí conviene una consulta con un abogado especializado en tecnología o directamente con la AESIA, que ofrece asesoramiento gratuito para PYMEs.

¿El AI Act reemplaza al RGPD?

No. Son normas complementarias que coexisten. El RGPD protege los datos personales; el AI Act regula los sistemas de IA. Puedes cumplir Uno y no el otro. Lo más habitual es que si ya cumples correctamente el RGPD en el uso de tus herramientas de IA, tengas gran parte del camino hecho para el AI Act también, porque muchas obligaciones se solapan: transparencia con las personas afectadas, supervisión humana de decisiones automatizadas, y derechos de los afectados para pedir explicación o revisión.

1 comentario en “IA responsable para PYMES: guía legal AI Act 2026 paso a paso”

  1. Pingback: Cómo Automatizar tu Facturación con IA y Software: Guía 2026

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio