Logo Ley IA PYMESLey IA PYMES

Guía completa · Página pilar

La guía del AI Act para PYMES, explicada en lenguaje de negocio

Todo el Reglamento (UE) 2024/1689 sin jerga incomprensible: qué es, a quién obliga, qué tienes que hacer, cuándo y qué pasa si no lo haces. Pensado para una PYME que usa IA y no tiene un departamento legal a mano.

Qué es el AI Act (sin tecnicismos)

El «AI Act» es como se conoce popularmente al Reglamento (UE) 2024/1689, la primera norma integral del mundo que regula la inteligencia artificial. Entró en vigor el 1 de agosto de 2024 y se aplica de forma directa en toda España, igual que el RGPD: no necesita una ley española que lo «traduzca» para ser obligatorio.

Su idea central es sencilla: en lugar de prohibir o permitir la IA en bloque, la regula según el riesgo de cada uso. Un filtro de spam y un sistema que decide a quién contratas no pueden tener las mismas reglas. Por eso el Reglamento ordena los usos en una pirámide de riesgo y exige más cuanto mayor es el impacto sobre las personas.

Para una PYME, traducido a lenguaje de negocio: el AI Act no te dice «no uses IA», te dice «si usas IA, hazlo con cabeza, forma a tu gente y deja constancia de que sabes lo que haces». La mayoría de las obligaciones para una empresa pequeña son de organización y documentación, no de ingeniería.

A quién obliga (probablemente, a ti)

El Reglamento distingue varios papeles, pero a una PYME le interesan sobre todo dos:

  • Proveedor: quien desarrolla un sistema de IA o lo pone en el mercado con su nombre. Es el papel de quien crea producto con IA.
  • Responsable del despliegue (deployer): cualquier empresa que usa un sistema de IA en su actividad profesional. Aquí entra la inmensa mayoría de PYMES.

La clave que muchos pasan por alto: usar IA de terceros no te exime. Si tu equipo trabaja con ChatGPT, Microsoft 365 Copilot, Google Gemini, Notion AI, un asistente de soporte o una herramienta de selección de personal, tu empresa es responsable del despliegue y, por tanto, sujeto obligado. No importa que la IA la haya creado otro ni que la licencia sea gratuita.

Los cuatro niveles de riesgo

El corazón del AI Act es esta clasificación. Saber en qué nivel cae cada herramienta que usas te dice qué tienes que hacer:

  • Riesgo inaceptable (prohibido): usos vetados por atentar contra derechos fundamentales, como el «social scoring», la manipulación subliminal o ciertos usos de reconocimiento facial. Están prohibidos desde febrero de 2025 y son los que acarrean las multas más altas.
  • Alto riesgo: IA en ámbitos sensibles como selección de personal, concesión de crédito, educación, infraestructuras críticas o componentes de seguridad de productos. Exige gestión de riesgos, documentación técnica, supervisión humana y registros. Es el nivel con más carga.
  • Riesgo limitado: chatbots, asistentes generativos y generación de contenido. La obligación principal es de transparencia: avisar de que se está interactuando con una IA y etiquetar el contenido sintético. Aquí cae buena parte del uso cotidiano de una PYME.
  • Riesgo mínimo: la mayoría de aplicaciones (filtros de spam, recomendadores básicos, videojuegos). Sin obligaciones específicas más allá de las buenas prácticas.

La consecuencia práctica: la mayoría de PYMES operan en riesgo limitado o mínimo, donde cumplir es asumible. El problema surge cuando, sin saberlo, se usa una herramienta de alto riesgo (por ejemplo, scoring automático de candidatos) creyendo que es un uso «normal». Por eso el primer paso siempre es clasificar el riesgo de lo que ya usas.

Tus obligaciones reales como PYME

Dejando la teoría, esto es lo que una empresa pequeña que usa IA tiene que tener encima de la mesa:

  • Formación en IA (Artículo 4): garantizar un nivel suficiente de alfabetización en IA de la plantilla, proporcional a su rol. Es exigible desde el 2 de febrero de 2025 y la carga de la prueba es tuya. Lo desarrollamos en la guía del Artículo 4.
  • Política interna de uso de IA: un documento que diga qué se puede y qué no, qué información jamás se introduce en una IA y qué usos requieren revisión humana.
  • Inventario y clasificación: una lista de las herramientas de IA en uso, con su finalidad y su nivel de riesgo. Es lo primero que pide una inspección.
  • Transparencia: avisar cuando un cliente interactúa con un chatbot y etiquetar el contenido generado por IA cuando proceda.
  • Protección de datos: el AI Act convive con el RGPD. Introducir datos de clientes en una IA no contratada puede ser una infracción independiente. Lo vemos en el caso práctico de empleados que usan ChatGPT para redactar contratos.

Plazos: qué es exigible y cuándo

El AI Act no entró en vigor de golpe, sino por fases, de lo más urgente a lo más complejo:

  • 2 de febrero de 2025: prohibiciones de usos inaceptables y obligación de alfabetización en IA (Artículo 4).
  • 2 de agosto de 2025: normas de gobernanza, obligaciones de los modelos de IA de propósito general y régimen sancionador.
  • 2 de agosto de 2026: aplicación general del grueso del Reglamento, incluidas obligaciones para muchos sistemas de alto riesgo.
  • 2 de agosto de 2027: obligaciones para sistemas de alto riesgo embebidos en productos ya regulados por otra normativa.

Mensaje para una PYME: no esperes a 2026. La formación y las prohibiciones ya son obligatorias, y preparar la documentación con tiempo es mucho más barato que reaccionar ante un requerimiento. Tienes el detalle en la guía de plazos del AI Act.

AESIA y sanciones: qué pasa si no cumples

En España, la autoridad que vigila el AI Act es la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en A Coruña. Puede requerir documentación, inspeccionar, exigir medidas correctoras, ordenar la retirada de un sistema y proponer sanciones. Una actuación puede empezar de oficio, por la reclamación de un afectado o tras un incidente.

El régimen de multas tiene tres tramos: hasta 35 M€ o el 7% de la facturación mundial por usar prácticas prohibidas; hasta 15 M€ o el 3% por incumplir las obligaciones de los sistemas de alto riesgo; y hasta 7,5 M€ o el 1% por dar información incompleta o engañosa a la autoridad. Para PYMES y startups se aplica el menor de los dos importes, pero las cuantías pueden comprometer la viabilidad del negocio. Lo desarrollamos en la guía de sanciones de la AESIA.

Cómo cumplir, paso a paso

Si tu PYME parte de cero, este es un orden razonable para no agobiarte y avanzar de forma defendible:

  1. Inventaría qué herramientas de IA usáis y para qué.
  2. Clasifica el riesgo de cada una (prohibido, alto, limitado, mínimo).
  3. Forma a la plantilla según el Artículo 4 y documenta esa formación.
  4. Aprueba una política de uso de IA y comunícala a todo el equipo.
  5. Refuerza los sistemas de alto riesgo con supervisión humana, registros y evaluaciones.
  6. Revisa cada año el inventario y la formación, y al incorporar herramientas nuevas.

Si quieres saber por dónde empiezas exactamente en tu caso, el diagnóstico gratuito te dice qué obligaciones tienes según las herramientas que ya usas.

ChatGPT y los modelos de propósito general

Una parte del Reglamento se ocupa específicamente de los modelos de IA de propósito general (GPAI): los grandes modelos que están detrás de herramientas como ChatGPT, Gemini o Copilot. Esas obligaciones recaen principalmente sobre quien desarrolla el modelo (OpenAI, Google, Microsoft, etc.), no sobre la PYME que lo usa. Es importante entenderlo porque evita un miedo habitual: tu empresa no tiene que auditar el modelo de OpenAI ni elaborar su documentación técnica.

Lo que sí te corresponde a ti como usuario profesional es el uso responsable: elegir una versión con garantías adecuadas, no introducir información que no debes, supervisar los resultados y formar a tu equipo. Dicho de otro modo, la responsabilidad del modelo es del fabricante; la responsabilidad de cómo lo usas en tu negocio es tuya. Esa frontera es la que más confusión genera y la que conviene tener clara desde el primer día.

El matiz cambia si tu empresa hace algo más que usar la herramienta «de serie»: si afinas un modelo con tus propios datos, lo integras en un producto que vendes a terceros o construyes sobre él un sistema que toma decisiones sensibles, puedes pasar de simple usuario a proveedor o a responsable de un sistema de alto riesgo, con obligaciones mayores. Por eso, antes de «productizar» la IA, conviene una revisión jurídica específica.

Qué cambia según tu sector

El AI Act es horizontal —se aplica a todos—, pero el nivel de exigencia depende mucho de para qué uses la IA. Algunos ejemplos en lenguaje de PYME:

  • Recursos humanos: cribar currículos, puntuar candidatos o decidir promociones con IA es alto riesgo. Aquí la supervisión humana, la información a las personas y la documentación son obligatorias, no opcionales.
  • Marketing y ventas: generar textos, imágenes o campañas con IA suele ser riesgo limitado. La obligación clave es la transparencia: etiquetar el contenido sintético y avisar cuando un cliente habla con un chatbot.
  • Atención al cliente: los asistentes y chatbots deben dejar claro que son una IA. Además, hay que vigilar qué datos del cliente se procesan y dónde acaban.
  • Finanzas y crédito: el scoring para conceder o denegar financiación es un uso de alto riesgo, con requisitos reforzados de explicabilidad y supervisión.
  • Sanidad y servicios profesionales: el uso de IA con datos de salud o en decisiones que afectan a derechos exige especial cautela y, a menudo, evaluaciones de impacto. Lo vemos en la guía de IA para clínicas y sanidad.

Cinco mitos que cuestan caros

Buena parte de los incumplimientos no nacen de mala fe, sino de ideas equivocadas que se repiten. Conviene desmontarlas:

  • «Como la IA es de otro, yo no respondo». Falso: si la usas para trabajar, eres responsable del despliegue.
  • «Es gratis, así que no cuenta». La gratuidad no reduce tus obligaciones; muchas veces agrava el riesgo con tus datos.
  • «Esto es para grandes empresas». El AI Act se aplica también a las PYMES; lo que cambia es la proporción del esfuerzo, no la obligación.
  • «Ya cumplo el RGPD, con eso basta». Son normas distintas y complementarias: puedes cumplir una e incumplir la otra.
  • «Aún queda mucho para 2026». La formación y las prohibiciones ya son exigibles; esperar solo encarece la adaptación.

En resumen

El AI Act no es un muro infranqueable para una PYME: es un marco que premia el orden y la diligencia. Si usas IA —y casi todas las empresas ya lo hacen—, tu trabajo se reduce a tres ideas que se repiten a lo largo de esta guía: saber qué usas, formar a tu gente y dejar constancia de que lo haces con cabeza. La mayoría de las obligaciones para una empresa pequeña son organizativas y asumibles, sobre todo si se abordan con tiempo en lugar de esperar a un requerimiento de la AESIA.

La diferencia entre una empresa preparada y una expuesta no está en tener un departamento legal enorme, sino en haber dedicado unas horas a inventariar, formar y documentar. Esta guía es el mapa; si quieres recorrer el camino acompañado, podemos hacerlo contigo, desde la formación bonificable hasta la auditoría completa y el asesoramiento jurídico especializado.

Cómo te ayudamos a cumplir el AI Act

Formación AI Act (FUNDAE)

Cumple el Artículo 4 con formación trazable y bonificable.

Saber más

Auditoría y cumplimiento

Inventario, clasificación de riesgo y plan de acción.

Saber más

Asesoramiento jurídico IA

Gabinete especializado en IA, deeptech y AESIA.

Saber más

¿Quieres saber qué obligaciones del AI Act tiene tu empresa?

Diagnóstico gratuitoHablar con el equipo

Preguntas frecuentes sobre el AI Act

Es el Reglamento (UE) 2024/1689, la primera ley integral del mundo sobre inteligencia artificial. Clasifica los usos de la IA por su nivel de riesgo y obliga a quienes la desarrollan y a quienes la usan profesionalmente —incluidas las PYMES— a cumplir una serie de obligaciones proporcionales a ese riesgo.

Sigue profundizando

Todos los recursosLey de IA por ciudadNuestra metodología

¿Cómo de expuesta está tu empresa al AI Act?

Diagnóstico 60s