Lo esencial del AI Act para que tu empresa sepa qué debe cumplir y en qué plazos
La inteligencia artificial (IA) ha dejado de ser ciencia ficción para convertirse en una herramienta clave en la competitividad de pymes y autónomos en España. y queremos informarte sobre cómo puede afectarte. Si buscas una guía de adaptación práctica, consulta nuestro Manual del AI Act para pymes.
Desde el uso de ChatGPT para generar textos hasta el software que recomienda productos en tu ecommerce, la IA está en todas partes.
Pero, como toda tecnología poderosa, necesita reglas. Por eso llega la Ley IA (oficialmente Reglamento (UE) 2024/1689), la primera normativa integral mundial para regular la IA.
Si utilizas cualquier sistema de IA en tu actividad profesional, esta ley te afecta directamente, aunque solo seas "usuario" de herramientas creadas por otros. Olvídate de la etiqueta de “ley para gigantes tecnológicos”; debes adaptar tu pyme para evitar multas que son realmente serias.
El objetivo de la ley es asegurar que la innovación sea segura, fiable y respete los derechos fundamentales.
El Contexto legal del AI Act: ¿Por qué afecta a las empresas en España?
La Ley IA busca proteger la seguridad, la salud y los derechos fundamentales de las personas. Para ello, establece un marco legal armonizado en la Unión Europea basado en un enfoque de riesgos.
Esto significa que las obligaciones que debe cumplir tu empresa dependen del potencial de daño que puede causar la IA que utilizas.
La normativa clasifica los sistemas en cuatro niveles
- Riesgo inaceptable (prohibida): Sistemas que violan los valores de la UE o amenazan derechos fundamentales, como la "puntuación social" o el reconocimiento facial en espacios públicos (salvo contadas excepciones para la aplicación de la ley). Lo más probable es que tu pyme no maneje este tipo de sistemas.
- Riesgo alto: Requieren cumplimiento de requisitos muy estrictos. Aquí está la mayor parte de las obligaciones para las pymes.
- Riesgo limitado: Solo exigen obligaciones de transparencia. Aquí encajan la mayoría de chatbots o herramientas de generación de contenido (como deepfakes)
- Riesgo mínimo o nulo: Sistemas que se pueden usar libremente (ej. filtros de spam o videojuegos)
Importante: Desde 2025, el Artículo 4 de la ley obliga a las empresas a garantizar la alfabetización en IA de su personal. Esto significa que tus empleados deben tener formación básica para usar estas herramientas de forma segura.
El peligro real: ¿Qué es un sistema de IA de Alto Riesgo?
El gran foco del AI Act recae en los sistemas de Alto Riesgo, que son aquellos que pueden tener consecuencias perjudiciales importantes para la vida, la salud, la seguridad o los derechos fundamentales de las personas.
Un sistema se clasifica como de Alto Riesgo si es un componente de seguridad de un producto (ej. maquinaria o dispositivos médicos) o si se utiliza en áreas críticas que impactan directamente a las personas.
Ejemplos de Alto Riesgo en la pyme y el autónomo de España:
- Recursos Humanos: Si utilizas IA para filtrar currículums (CVs), seleccionar candidatos, o tomar decisiones sobre ascensos o despidos, estás usando IA de Alto Riesgo. Si este software introduce sesgos, puede generar discriminación.
- Finanzas: La IA utilizada para evaluar la solvencia o calificación crediticia de personas físicas.
- Educación: Sistemas utilizados para determinar el acceso o la asignación de personas a centros educativos o para evaluar a estudiantes en contextos educativos formales.
La clave: la vigilancia humana. Si usas IA de Alto Riesgo, la ley te exige supervisión humana (Human Oversight)
Si usas IA de Alto Riesgo, la ley te exige supervisión humana (Human Oversight). Esto implica que las decisiones automatizadas no se aceptan sin más; deben ser revisadas manualmente, y tienes que tener un protocolo que defina qué se revisa y cómo. Además, la ley requiere establecer un sistema de gestión de riesgos y asegurar la alta calidad de los datos utilizados para el entrenamiento, evitando sesgos que puedan conducir a la discriminación.
La Ley IA y los Modelos de Propósito General (GPAI)
Desde el 2 de agosto de 2025, los modelos de IA de Propósito General (como ChatGPT, Gemini o Claude) ya están bajo regulación estricta. Las pymes deben verificar que sus proveedores cumplen con:
- Transparencia de contenido: Se mantienen las obligaciones de transparencia para el riesgo limitado, como indicar claramente que el usuario está interactuando con un chatbot (IA) o si un contenido (texto, imagen, deepfake) ha sido generado o manipulado artificialmente.
- Respeto al Copyright: Los proveedores de estos modelos deben establecer una política para el cumplimiento de la ley de derechos de autor de la UE y publicar un resumen detallado de los datos protegidos utilizados para el entrenamiento de los modelos.
- Riesgo sistémico: Los modelos GPAI más potentes (que suponen un riesgo sistémico) se enfrentan a obligaciones más estrictas en materia de ciberseguridad, evaluación de riesgos y notificación de incidentes.
La cuenta atrás ha comenzado. Conoce algunas de las fechas clave del AI Act.
Fechas clave del AI Act que debes marcar en el calendario
El Reglamento (UE) 2024/1689 entró en vigor el 1 de agosto de 2024. Pero el cumplimiento es progresivo, y la parte peligrosa ya está aquí:
| Fecha clave | Estado de la obligación |
| 2 DE FEBRERO DE 2025 | EN VIGOR: Prohibición de sistemas de riesgo inaceptable. |
| 2 DE AGOSTO DE 2025 | EN VIGOR: Obligaciones para modelos GPAI y gobernanza. |
| 2 DE AGOSTO DE 2026 | Aplicación total del régimen sancionador y normas de transparencia para la mayoría de sistemas. |
| 2 DE AGOSTO DE 2027 | Aplicación plena para sistemas de alto riesgo integrados en productos regulados. |
Ojo con las multas: Las sanciones son elevadas, pero la Ley IA tiene una consideración especial con las pymes para no asfixiar la innovación. En caso de multa, para una pyme o startup se tendrá en cuenta el importe menor entre la cuantía fija y el porcentaje de facturación.
- Incumplimiento de las prácticas prohibidas o de la calidad de datos de alto riesgo: Hasta 35 millones de euros o el 7% del volumen de negocio (el menor de ambos para pymes).
- Incumplimiento de las obligaciones de alto riesgo no prohibidas (como la supervisión humana o la documentación): Pueden llegar a 15 millones de euros o el 3 % del volumen de negocio anual global.
Tu hoja de ruta: Cumplir es demostrar que cumples
No se trata de dejar de usar la IA; la clave para tu pyme en España es la responsabilidad proactiva y la documentación. Es decir, debes ser capaz de demostrar que cumples.
Para ayudarte a navegar en este entorno legal ya activo, hemos elaborado nuestro checklist basado en las últimas directrices de la AESIA y el AI Act. Evalúa si tu Política de Uso de IA y tu registro de herramientas cumplen con la legalidad vigente.
¿Qué aborda nuestro checklist? Desde la Política de Uso de IA, que permite definir internamente qué herramientas de IA se pueden usar, para qué fines y establecer buenas prácticas para minimizar riesgos, hasta el registro de herramientas de IA, que liste todas las herramientas usadas (ChatGPT, Copilot, Canva, etc.), identificando cada tarea, para canalizar el nivel de riesgo (bajo, medio o alto).
