El AI Act ya está aquí: Qué significa para tu pyme y cómo adaptarte
Desde agosto de 2024, la Unión Europea ha marcado un antes y un después en el uso de la IA, con la entrada en vigor del Reglamento AI Act, o más concretamente Reglamento (UE) 2024/1689, que se conoce popularmente como la Ley IA.
¿Te suena haber escuchado la “ley para gigantes tecnológicos”? Pues nada más lejos de la realidad: la nueva Ley IA afecta directamente al día a día de cualquier pyme o autónomo que utilice, desarrolle o simplemente gestione herramientas de Inteligencia Artificial.
Y las multas por incumplimiento son importantes.
¿Te preocupa cómo adaptar tu pyme a la nueva Ley IA? Te damos todas las claves para cumplir la normativa del reglamento de inteligencia artificial de la Unión Europea.
¿Qué es realmente el AI Act y por qué afecta a tu pyme?
La nueva Ley de Inteligencia Artificial, o AI Act, nace para que la IA no sea el salvaje oeste digital. La idea es que sirva para proteger a las personas frente a usos de IA con riesgos, asegurando la transparencia y promoviendo la competitividad en toda la UE.
Si tienes una pyme, quizás pienses que esto solo afecta a las grandes tecnológicas. Pero también debes contemplar la normativa IA para pequeñas empresas, vigilando su correcto cumplimiento.
¿Usas chatbots, creas o analizas contenidos con IA, usas herramientas para calificar currículums o crear imágenes por IA? Entonces, sí: te afecta.
Se trata de una normativa que busca proteger y regular, no perseguir o sancionar. Es decir, su objetivo es que la innovación sea segura y fiable.
En este sentido, la UE es pionera en establecer una regulación que servirá de marco legal para los países miembros, e incluso para el resto del mundo.
La nueva Ley de Inteligencia Artificial, o AI Act, nace para que la IA no sea el salvaje oeste digital, protegiendo a las personas frente a usos de IA con riesgos.
¿Cuándo debo aplicar este Reglamento (UE) 2024/1689 en España? Fechas clave para tu empresa
Lo cierto es que esta normativa ya ha entrado en vigor el año pasado, es decir, ya debe cumplirse. Ahora bien, las obligaciones llegan de forma progresiva, para que las empresas tengan tiempo de adaptarse.
La Ley de IA de la UE entró en vigor el 1 de agosto de 2024. Esto significa que, como reglamento, se convirtió en ley vinculante en esa fecha.
La ley establece que la mayoría de las disposiciones se aplicarán plenamente veinticuatro meses tras la entrada en vigor del Reglamento, es decir, el 1 de agosto de 2026.
Pero aquí entra la verdadera cuestión… Algunas partes de la ley deben aplicarse ya y te contamos algunos de los requisitos de la AI Act para empresas en España.
Por ejemplo, desde el 1 de noviembre de 2024, comenzaron a aplicarse las normas relativas a las Autoridades Notificantes y Organismos Notificados, vamos la parte administrativa.
También se aplican las obligaciones de transparencia, que incluyen la obligación de informar a las personas cuando interactúan con un sistema de IA o cuando un contenido ha sido generado artificialmente, si puede inducir a error o confusión.
El punto importante viene en agosto del 2025. Más concretamente, a partir de los doce meses tras la entrada en vigor del Reglamento, es decir, el 1 de agosto de 2025, momento en que comenzaron a aplicarse las normas relativas a las sanciones por infracciones.
Sí, desde agosto del 2025 ya pueden sancionar a tu empresa si no cumple con las obligaciones de la AI Act España.
Vamos, que aunque la aplicación general es en agosto de 2026, algunas obligaciones clave, especialmente las relacionadas con la transparencia y el marco de supervisión ya son aplicables y pueden ser sancionables.
¿A quién afecta el reglamento europeo de IA? ¿Solo a los que crean las inteligencias artificiales? Spoiler: No
Algunas obligaciones clave, especialmente las relacionadas con la transparencia y el marco de supervisión, ya son aplicables y pueden ser sancionables.
La ley afecta a las pymes de España como proveedores y/o usuarios
Aquí va la verdad: el AI Act se aplica aunque solo uses IA creada por otros.
Es decir, si usas ChatGPT para, por ejemplo, crear contenidos para tu blog, esta ley también te afecta. No aplica a IA militar ni a usos personales o domésticos. Pero sí si es para tu actividad profesional, sea como autónomo o empresa.
De hecho, hay varios roles profesionales que te indico a continuación:
- Proveedores de IA: Si desarrollas o comercializas IA.
- Usuarios de IA: Si utilizas cualquier sistema de IA en tu actividad profesional, aunque sea una herramienta de terceros.
- Importadores/Distribuidores de IA: Si vendes IA fabricada fuera de la UE o la revendes aquí.
- Representantes autorizados en IA: Para proveedores extracomunitarios.
El AI Act te aplica aunque solo uses IA creada por otros, si es para tu actividad profesional, sea como autónomo o empresa.
Algunos ejemplos de inteligencia artificial usada por empresas que se deben ajustar a la normativa
| Caso | Descripción | Riesgo | Requisitos |
|---|---|---|---|
| Usar IA para filtrar CV | Responsabilidad por el cumplimiento de la ley al utilizar software de filtrado de CV con IA. | Alto | Evaluar sesgo, documentar procesos, supervisión humana, registro completo de decisiones. |
| Usar IA en un chatbot automatizado | Obligación de informar al interlocutor que está conversando con IA y etiquetar contenido generado. | Limitado | Informar al usuario de la IA, etiquetar el contenido generado. |
| Ecommerce con recomendaciones de productos | Uso de IA para recomendaciones personalizadas según el historial de compras del cliente. | Limitado | Informar que las recomendaciones provienen de un sistema automatizado. |
| Asesorías contables con IA para informes financieros | Uso de IA para analizar facturas, detectar anomalías y hacer predicciones de flujo de caja. | Mínimo o limitado | Garantizar que no haya sesgos o errores críticos con consecuencias legales o fiscales. |
| Academias online con IA para adaptar contenido | Uso de IA para adaptar ejercicios y contenido según el nivel del estudiante. | Alto (en contextos educativos formales), Limitado (en contextos no reglados) | Aplicar el principio de transparencia en contextos no reglados. |
Tipos de IA según el riesgo, atendiendo al Reglamento europeo
Antes de pensar en multas, inspecciones o informes, hazte esta pregunta: ¿Qué tipo de inteligencia artificial estás usando en tu pyme?
El nuevo Reglamento de IA europeo (AI Act) divide los sistemas en cuatro niveles de riesgo que establecen las obligaciones, responsabilidades y posibles infracciones.
1. De riesgo inaceptable (prohibida)
Son palabras mayores. Son los sistemas que la UE considera que atentan contra los derechos fundamentales protegidos por la Constitución, que garantizan la libertad, igualdad y dignidad humana (derecho a la vida, a la igualdad y dignidad…)
Hablamos de, por ejemplo, de sistemas de “puntuación social” (como hacía la serie Black Mirror) o la IA de reconocimiento facial en espacios públicos. Simplemente está prohibida.
¿Este tipo de IA te afecta como pyme? Lo más probable es que no, a no ser que uses herramientas de terceros que sean poco transparentes. Por eso siempre debes confiar en software certificado y de calidad.
2. De riesgo alto (mucho cuidado)
Aquí entran los sistemas que pueden afectar directamente a la vida de las personas: su salud, sus derechos o su seguridad. Y. aunque no lo creas, en una pyme esto ocurre más a menudo de lo que crees.
Ya hemos hablado de ello, si usas IA para cribar currículums automáticamente, estás usando IA de riesgo alto y tiene que ser supervisado con lupa.
Otros usos con IA de alto riesgo están en las herramientas que calculan riesgo de crédito o fraude o en la IA que interviene en procesos médicos, educativos o legales.
¿Qué hay que hacer en estos casos?
- Esta IA precisa de supervisión humana.
- Documentar su funcionamiento y mantener una trazabilidad.
- Evaluar sus sesgos y su impacto.
¡Ojo! No vale con “compré esta herramienta así”. Si la usas tú, eres tú el responsable.
3. De riesgo limitado (Transparencia ante todo)
Esta categoría incluye herramientas muy comunes en el día a día de las pymes. Es donde seguramente se encuentre tu empresa y el tipo de “IA” que debes contemplar mayoritariamente.
Aquí es donde entran la mayoría de chatbots, asistentes virtuales, generadores de “deepfakes” (video, audio o imagen manipulado digitalmente para parecer que una persona está diciendo o haciendo algo)
¿Cómo adaptarse a la AI Act? En primer lugar, en estos casos debes avisar siempre al usuario que está ante una máquina o contenido generado con IA.
¿Qué obligaciones debes seguir frente al uso de la IA en riesgo limitado?
Toma nota. Son tareas sencillas, pero importantes, que permiten diferenciar el contenido automatizado del contenido “humano”.
- Tienes que avisar claramente a los usuarios que están hablando con una máquina.
- Si el contenido ha sido generado por IA (texto, vídeo, voz…), debe quedar claro. Ejemplo: “Esta imagen fue generada con IA” o “Este vídeo es simulado con IA”
4. De riesgo mínimo o nulo (uso libre, pero siempre con cabeza)
Hablamos de los filtros de spam en el correo, correctores automáticos, asistentes de redacción, juegos, entretenimiento…
¿Cómo cumplir la ley de inteligencia artificial? Este tipo de herramientas no exigen obligaciones legales bajo la AI Act, pero sí hace una serie de recomendaciones o buenas prácticas que se centran en la transparencia:
- Evitar sesgos o errores que puedan afectar a los usuarios.
- Ser transparente con los datos que se usan.
- No hacer pasar la IA por personas reales.
Recuerda que el mayor de los riesgos es tu reputación como empresa y la fiabilidad de lo que dices y muestras.
Resumimos…
| Tipo de IA | Descripción | Obligaciones |
|---|---|---|
| Riesgo inaceptable (prohibida) | Sistemas que atentan contra los derechos fundamentales, como la puntuación social o el reconocimiento facial en espacios públicos. | Prohibido, no aplicable a la mayoría de las pymes. |
| Riesgo alto (mucho cuidado) | Sistemas que afectan directamente la salud, los derechos o la seguridad de las personas, como IA para cribar currículums, riesgo de crédito o fraude, procesos médicos, educativos o legales. | Supervisión humana, documentación, trazabilidad, evaluación de sesgos e impacto. |
| Riesgo limitado (transparencia ante todo) | Herramientas comunes como chatbots, asistentes virtuales, y generadores de "deepfakes". | Avisar al usuario que está interactuando con una IA, etiquetar contenido generado por IA (texto, imagen, vídeo, voz). |
| Riesgo mínimo o nulo (uso libre, pero siempre con cabeza) | Herramientas como filtros de spam, correctores automáticos, asistentes de redacción, juegos, entretenimiento. | No exige obligaciones legales, pero se recomienda evitar sesgos, ser transparente con los datos y no hacer pasar la IA por personas reales. |
Multas o sanciones por incumplimiento de la normativa
Ignorar la ley de inteligencia artificial para pymes puede costarte mucho dinero y hablamos de cantidades desorbitantes: Hasta 30 millones de euros o el 6 % de tu facturación anual.
Y no hablamos solo de grandes corporaciones, también de pequeñas y medianas empresas, que pueden ser sancionadas si usan IA sin cumplir las reglas, especialmente si:
- Afectan a personas en procesos críticos (como contratar, puntuar, excluir o diagnosticar).
- No informan de forma clara de que están usando IA.
- No documentan lo que hace su sistema.
La ley establece sanciones según el grado de gravedad y tiene en cuenta el tamaño, pero cuidado, eso no significa que el pequeño se libre de la sanción.
Simplemente, las multas pueden ser proporcionales a tu volumen. Pero sanción sigue habiendo, si hay negligencia o falta de diligencia.
La clave: No es solo cumplir… es demostrar que cumples
