AI Act para pymes 2026: obligaciones y plazos

Muchos equipos escuchan “AI Act” y lo traducen como una amenaza abstracta: más burocracia, más fricción y menos margen para probar cosas. En la práctica, el impacto para una pyme depende mucho de qué sistema usa, para qué proceso lo despliega y qué papel ocupa frente a esa solución. No es lo mismo probar un asistente interno para responder preguntas sobre procedimientos que poner en producción un sistema que influye en selección de personal, scoring, admisión o acceso a servicios.

La pregunta útil no es “¿nos aplica el AI Act?” como si fuera un sí o un no. Si despliegas IA en la UE, la respuesta práctica suele ser que sí te afecta en algún grado. La pregunta correcta es otra: qué parte del marco te toca de verdad, qué controles mínimos necesitas y qué deberías dejar resuelto antes de pasar de piloto a producción.

Qué dicen las fuentes oficiales del AI Act y por qué importa leerlas

El texto base es el Reglamento (UE) 2024/1689 en EUR-Lex, que fija la arquitectura del AI Act. Además, la propia Comisión Europea mantiene una página práctica sobre navegación y calendario de aplicación del AI Act que resume qué obligaciones entran en vigor en cada fecha. Para una pyme, esta segunda fuente suele ser muy útil porque traduce el calendario regulatorio a decisiones de implantación más concretas.

La consecuencia práctica es importante: no todo entra en vigor a la vez. Eso permite trabajar con criterio y priorizar. Pero también impide la excusa de “ya lo veremos cuando aplique todo”, porque algunas obligaciones y prohibiciones relevantes ya están activas y otras afectan a proveedores y deployers mucho antes de agosto de 2026.

Checklist práctico: qué tener preparado antes del 2 de agosto de 2026

El 2 de agosto de 2026 entra en aplicación plena el grueso del Reglamento (UE) 2024/1689, incluidas las obligaciones para sistemas de alto riesgo del Anexo III. Si usas o despliegas IA en procesos que puedan tocar decisiones sobre personas (RRHH, scoring, admisión, vigilancia biométrica, crédito, educación), esta es la lista mínima de evidencias que una pyme debe poder enseñar en caso de requerimiento:

1. 1Inventario escrito de todos los sistemas de IA en uso, con proveedor, finalidad, datos que consumen, usuarios internos y proceso impactado.
2. 2Clasificación de riesgo documentada para cada sistema: prohibido, alto riesgo, riesgo limitado o mínimo. Justificación razonada.
3. 3Prueba de alfabetización en IA para todo el personal que usa los sistemas (art. 4). Mínimo: una formación interna documentada cada 12 meses, con lista de asistentes y materiales.
4. 4Para sistemas de alto riesgo: documentación técnica del proveedor (conforme al Anexo IV), evaluación de impacto y registro de supervisión humana aplicada.
5. 5Para modelos GPAI (GPT-4, Claude, Gemini, Llama…): contrato o T&C que evidencie qué uso está autorizado, qué datos se envían y cómo se protegen.
6. 6Procedimiento escrito de supervisión humana: qué salida revisa una persona, qué decisiones no quedan automatizadas, cómo se escala una incidencia.
7. 7Registro de incidencias graves (a notificar a la autoridad nacional en ≤15 días para sistemas de alto riesgo).
8. 8Política interna sobre uso de IA generativa por parte del personal (qué se puede subir, qué no, cómo se marca el contenido generado).

Cumplir esta lista no significa ser un despacho jurídico especializado: significa tener el mínimo probatorio por si el Supervisor Digital Español (la autoridad competente para sistemas de IA en España según la Estrategia Nacional 2024) o cualquier inspector RGPD pide explicaciones.

Sanciones: qué multas prevé el AI Act y a quién aplican

El artículo 99 del Reglamento fija tres tramos de sanción, con el matiz clave de que la cifra se calcula como "la mayor" entre el importe fijo o el porcentaje de la facturación mundial anual del ejercicio anterior:

El mismo artículo establece que para pymes y startups se aplica "la menor" de las dos cuantías, no la mayor. Esto limita el impacto económico para empresas pequeñas pero no exime de cumplir — el régimen sancionador empieza el 2 de agosto de 2026 (sancionable desde entonces, no retroactivo).

Qué papel ocupa realmente una pyme cuando usa IA

Una pyme rara vez está entrenando un modelo fundacional desde cero. Lo más habitual es que compre, configure o despliegue una solución de terceros. Eso no elimina su responsabilidad. En el lenguaje del reglamento, tu empresa puede ser usuaria, deployer, integradora o incluso proveedora de una capa adicional si empaqueta la solución para clientes o empleados con reglas y decisiones propias.

• Si compras un copilot o un sistema documental a un proveedor, sigues necesitando entender límites, fuentes, supervisión y tratamiento de datos.
• Si integras varias piezas y construyes un flujo nuevo sobre ellas, ya no eres solo “comprador”: estás definiendo un sistema y un proceso de uso.
• Si el sistema afecta a decisiones sobre personas, derechos o acceso a servicios, la revisión debe ser más intensa desde el diseño.
• Si el caso de uso solo ayuda a buscar información interna o redactar borradores, el esfuerzo suele estar más en gobierno, alfabetización y control de uso que en requisitos de alto riesgo.

No todas las pymes están en alto riesgo, pero eso no significa barra libre

La mayoría de consultas que recibimos en pyme giran alrededor de copilots internos, análisis documental, automatización de reporting, forecasting o asistentes que ayudan a equipos comerciales y de soporte. Muchos de esos casos no encajan en el nivel más exigente del reglamento. Aun así, siguen necesitando una revisión seria sobre para qué se usa la IA, quién valida la salida y qué daños puede generar un fallo.

• Un asistente interno sobre procedimientos suele exigir más claridad de fuentes, permisos y supervisión que un expediente formal de alto riesgo.
• Un sistema que puntúa candidatos, ayuda a decidir sobre admisión, crédito o acceso a servicios ya entra en una zona mucho más delicada.
• Un flujo que redacta automáticamente respuestas al cliente puede no ser alto riesgo, pero sí generar problemas reputacionales, legales o de privacidad si nadie controla el contexto y el dato usado.
• Si el proveedor no te explica bien el sistema, ya tienes una señal de riesgo operativo aunque el caso de uso sobre el papel parezca inocuo.

Controles mínimos que una pyme sí debería tener antes de producción

La tentación habitual es pasar de cero a un marco sobredimensionado. No hace falta. Lo que sí hace falta es un conjunto mínimo de controles que permita saber qué sistema existe, para qué sirve, qué datos usa y quién responde cuando falla.

1. 1Inventario de casos de uso: un registro simple con nombre del sistema, objetivo, usuarios, datos que consume y proceso que afecta.
2. 2Clasificación inicial del caso: qué impacto tiene, si toca decisiones sensibles y si exige supervisión reforzada.
3. 3Supervisión humana definida: qué salida revisa una persona, qué acciones nunca quedan automatizadas y cómo se escalada una incidencia.
4. 4Alfabetización en IA: formación básica para quienes lo usan, especialmente sobre límites, errores frecuentes, uso de prompts y tratamiento de información sensible.
5. 5Documentación del proveedor: condiciones de uso, cambios de versión, límites conocidos, controles, logs y compromisos contractuales.
6. 6Trazabilidad mínima: qué datos alimentan al sistema, qué corpus documental usa, qué prompts relevantes intervienen y cómo se resuelve una salida incorrecta.

En proyectos de gobierno del dato y calidad solemos aterrizar estos controles en artefactos muy concretos: un inventario vivo, un modelo de ownership, un checklist por caso y una pauta de revisión antes de producción. Eso suele ser más útil que empezar por una política corporativa larguísima que nadie lee.

Qué deberías pedir a tu proveedor antes de confiar en su IA

• Qué parte del sistema es configurable y qué parte funciona como caja negra.
• Qué documentación ofrece sobre limitaciones, tipos de error y cambios de versión.
• Cómo se tratan los datos de entrada, si se retienen y con qué fines.
• Qué mecanismos existen para logs, auditoría, trazabilidad y revisión posterior.
• Qué nivel de soporte da si el sistema genera una salida incorrecta o sesgada.
• Qué obligaciones asume contractualmente y cuáles deja en manos del cliente como deployer o usuario.

Una pyme no necesita convertirse en auditora técnica profunda del modelo, pero sí debe evitar comprar una promesa vaga. Si el proveedor no puede explicar con claridad qué datos usa, qué no conviene hacer con el sistema y qué parte de la responsabilidad te traslada, el riesgo no es solo regulatorio: también es operativo.

AI Act, RGPD y seguridad: tres frentes distintos que se pisan

Un error común es tratar AI Act y RGPD como si fueran sinónimos. No lo son. El AI Act se centra en riesgos, usos y obligaciones del sistema de IA; el RGPD en el tratamiento de datos personales; y el frente de seguridad en accesos, permisos, segregación y exposición de información. Se conectan, pero no sustituyen uno al otro.

Si tu caso pasa por un asistente interno alimentado con documentación empresarial, conviene cruzar este artículo con RGPD en un copilot interno o sistema RAG y con cuándo tiene sentido un copilot de IA para empresas. Ahí aparece la parte operativa que muchas veces se subestima: permisos, corpus documental, roles y límites de uso.

Un plan realista de 30 días para una pyme

1. 1Semana 1: inventario rápido de casos de uso actuales y previstos, con responsables y sistemas implicados.
2. 2Semana 2: clasificación de riesgo e impacto, revisión de proveedores y definición de supervisión humana.
3. 3Semana 3: checklist de controles mínimos, alfabetización básica del equipo y decisión sobre qué casos pueden pasar a producción.
4. 4Semana 4: plan de remediación para vacíos detectados y gobierno ligero para mantener el inventario vivo.

Ese enfoque suele ser suficientemente serio sin convertirse en un programa infinito. Lo importante es que cada caso de uso tenga dueño, criterios de supervisión y una revisión proporcionada a su impacto. Para una pyme, la desproporción es tan mala como la dejadez: tanto paraliza un marco desmedido como daña un despliegue sin control.

Errores frecuentes que vemos en pymes

• Pensar que el AI Act solo afecta a quien entrena grandes modelos.
• Asumir que comprar a un proveedor conocido resuelve automáticamente todo el cumplimiento.
• Lanzar un piloto útil y extenderlo a varios equipos sin redefinir permisos, ownership y trazabilidad.
• Hablar de regulación sin revisar también formación, prompts, datos de entrada y supervisión real.
• Posponer la alfabetización en IA para más adelante, justo cuando la herramienta ya la usa media empresa.

Si te interesa profundizar, en seguridad de datos e ia en empresa: guía rgpd exploramos este tema en detalle.

Si te interesa profundizar, en ai act y datos: calidad y trazabilidad exigidas exploramos este tema en detalle.

Preguntas frecuentes sobre AI Act para pymes

¿Si usamos un copilot interno ya estamos en alto riesgo?

No necesariamente. Depende del proceso afectado, del impacto de la salida y del rol que juega la IA en la decisión. Un copilot interno sobre procedimientos puede estar lejos del alto riesgo, pero sigue necesitando controles, permisos y supervisión.

¿Basta con que el proveedor diga que cumple?

No. Ayuda, pero no basta. Tu empresa sigue siendo responsable de cómo despliega el sistema, qué datos le da, qué decisiones automatiza y cómo supervisa el resultado.

¿Hace falta un comité formal para empezar?

En una pyme normalmente no. Hace falta más bien ownership claro, inventario vivo, criterio de revisión y una forma simple de escalar casos delicados a legal, compliance o seguridad cuando corresponde.

¿Cuál es la prioridad más útil si hoy no hay nada hecho?

Inventariar casos de uso y decidir cuáles pueden seguir avanzando con controles ligeros y cuáles necesitan una revisión más seria. Sin ese mapa, cualquier conversación sobre AI Act es demasiado abstracta.