Qué es la Ley IA y cómo afecta a pymes
La inteligencia artificial (IA) ha dejado de ser ciencia ficción para convertirse en una herramienta clave en la competitividad de pymes y autónomos en España. Desde el uso de ChatGPT para generar textos hasta el software que recomienda productos en tu ecommerce, la IA está en todas partes.
Pero, como toda tecnología poderosa, necesita reglas. Por eso llega la Ley IA (oficialmente Reglamento (UE) 2024/1689), la primera normativa integral mundial para regular la IA.
Si utilizas cualquier sistema de IA en tu actividad profesional, esta ley te afecta directamente, aunque solo seas "usuario" de herramientas creadas por otros. Olvídate de la etiqueta de “ley para gigantes tecnológicos”; debes adaptar tu pyme para evitar multas que son realmente serias. El objetivo de la ley es asegurar que la innovación sea segura, fiable y respete los derechos fundamentales.
El Contexto legal del AI Act: ¿Por qué afecta a las empresas en España?
La Ley IA busca proteger la seguridad, la salud y los derechos fundamentales de las personas. Para ello, establece un marco legal armonizado en la Unión Europea basado en un enfoque de riesgos. Esto significa que las obligaciones que debe cumplir tu empresa dependen del potencial de daño que puede causar la IA que utilizas.
La normativa clasifica los sistemas en cuatro niveles
- Riesgo inaceptable (prohibida): Sistemas que violan los valores de la UE o amenazan derechos fundamentales, como la "puntuación social" o el reconocimiento facial en espacios públicos (salvo contadas excepciones para la aplicación de la ley). Lo más probable es que tu pyme no maneje este tipo de sistemas.
- Riesgo alto: Requieren cumplimiento de requisitos muy estrictos. Aquí está la mayor parte de las obligaciones para las pymes.
- Riesgo limitado: Solo exigen obligaciones de transparencia. Aquí encajan la mayoría de chatbots o herramientas de generación de contenido (como deepfakes)
- Riesgo mínimo o nulo: Sistemas que se pueden usar libremente (ej. filtros de spam o videojuegos)
El peligro real: ¿Qué es un sistema de IA de Alto Riesgo?
El gran foco del AI Act recae en los sistemas de Alto Riesgo, que son aquellos que pueden tener consecuencias perjudiciales importantes para la vida, la salud, la seguridad o los derechos fundamentales de las personas.
Un sistema se clasifica como de Alto Riesgo si es un componente de seguridad de un producto (ej. maquinaria o dispositivos médicos) o si se utiliza en áreas críticas que impactan directamente a las personas.
¿Cumple mi empresa con la Ley IA? Te mandamos el checklist para que puedas averiguarlo, con recomendaciones para adecuar su uso a la nueva normativa española y europea.
Ejemplos de Alto Riesgo en la pyme y el autónomo de España:
- Recursos Humanos: Si utilizas IA para filtrar currículums (CVs), seleccionar candidatos, o tomar decisiones sobre ascensos o despidos, estás usando IA de Alto Riesgo. Si este software introduce sesgos, puede generar discriminación.
- Finanzas: La IA utilizada para evaluar la solvencia o calificación crediticia de personas físicas.
- Educación: Sistemas utilizados para determinar el acceso o la asignación de personas a centros educativos o para evaluar a estudiantes en contextos educativos formales.
La clave: la vigilancia humana. Si usas IA de Alto Riesgo, la ley te exige supervisión humana (Human Oversight)
¿Qué significa esta revisión humana? implica que las decisiones automatizadas no se aceptan sin más; deben ser revisadas manualmente, y tienes que tener un protocolo que defina qué se revisa y cómo. Además, la ley requiere establecer un sistema de gestión de riesgos y asegurar la alta calidad de los datos utilizados para el entrenamiento, evitando sesgos que puedan conducir a la discriminación.
La cuenta atrás ha comenzado.
Fechas clave del AI Act que debes marcar en el calendario
El Reglamento (UE) 2024/1689 entró en vigor el 1 de agosto de 2024. Pero el cumplimiento es progresivo, y la parte peligrosa ya está aquí.
| Fecha clave | ¿Qué significa para ti? |
| 1 de noviembre de 2024 | Comienzan a aplicarse las obligaciones de transparencia. Tienes que informar si estás interactuando con una IA (chatbots) y si el contenido (texto, imagen, vídeo) ha sido generado o manipulado artificialmente (salvo excepciones). |
| 1 de agosto de 2025 | Comienzan a aplicarse las normas relativas a las sanciones por infracciones. A partir de aquí, si incumples las obligaciones ya aplicables (como las de transparencia), tu pyme puede ser multada. |
| 1 de agosto de 2026 | Aplicación plena de la mayoría de las disposiciones, incluidas las relativas a los sistemas de Alto Riesgo. |
Ojo con las multas: Las sanciones por incumplir prácticas prohibidas o requisitos de calidad de datos de Alto Riesgo pueden ascender hasta los 30 millones de euros o el 6 % de tu volumen de negocio total anual. Otras infracciones, como la falta de documentación o transparencia, pueden llegar a 20 millones de euros o el 4%.
Aunque se tengan en cuenta los intereses de los proveedores a pequeña escala (pymes y startups) para reducir la carga de cumplimiento, esto no te exime de la responsabilidad. Es decir, la pyme puede ser multada por incumplir la Ley IA, aunque la cuantía sea más proporcional a su tamaño.
Tu hoja de ruta: Cumplir es demostrar que cumples
No se trata de dejar de usar la IA; la clave para tu pyme en España es la responsabilidad proactiva y la documentación. Es decir, debes ser capaz de demostrar que cumples.
Para ayudarte a navegar la Ley IA, hemos elaborado un checklist basado en las directrices de gestión y cumplimiento del AI Act. Este decálogo te ayudará a evaluar y documentar tu postura legal en relación con la IA que utilizas en tu negocio.
¿Qué aborda nuestro checklist? Desde la Política de Uso de IA, que permite definir internamente qué herramientas de IA se pueden usar, para qué fines y establecer buenas prácticas para minimizar riesgos, hasta el registro de herramientas de IA, que liste todas las herramientas usadas (ChatGPT, Copilot, Canva, etc.), identificando cada tarea, para canalizar el nivel de riesgo (bajo, medio o alto).
