¿Qué es el AI Act y por qué afecta a tu pyme?
El Reglamento de Inteligencia Artificial de la Unión Europea (Reglamento UE 2024/1689) es la primera norma integral del mundo que regula el uso de sistemas de IA. Aprobado en 2024, su aplicación es progresiva y el 2 de agosto de 2026 será plenamente obligatorio para una enorme cantidad de empresas españolas, incluidas pymes que no se consideran tecnológicas.
Si tu empresa utiliza un software que filtra currículums, un chatbot de atención al cliente, un sistema de mantenimiento predictivo o una herramienta de análisis de crédito, estás dentro del ámbito de aplicación. No importa que hayas comprado la solución a un tercero: la responsabilidad última recae sobre quien la implanta.
Sectores obligados por el AI Act en España
- Industria y fabricación: mantenimiento predictivo, control de calidad automatizado, robótica colaborativa.
- Salud y farmacia: diagnóstico por imagen, triaje automatizado, expedientes clínicos inteligentes.
- Banca y seguros: scoring crediticio, detección de fraude, perfilado de clientes.
- Recursos humanos: filtrado de CV, monitorización de productividad, análisis de emociones.
- Retail y ecommerce: recomendaciones personalizadas, precios dinámicos, chatbots de venta.
- Transporte y logística: optimización de rutas, vehículos autónomos, reconocimiento de matrículas.
- Energía y utilities: gestión inteligente de redes, contadores con IA.
- Marketing y publicidad: segmentación automatizada, generación de contenidos.
- Servicios jurídicos y cumplimiento: herramientas de revisión contractual, análisis de riesgos.
Incluso las asesorías, gestorías o agencias que utilicen IA generativa para redactar informes quedan sujetas a las obligaciones de transparencia del artículo 50.
Los cuatro niveles de riesgo: del mínimo al inaceptable
Riesgo inaceptable (prohibido desde febrero de 2025)
Sistemas de puntuación social, reconocimiento de emociones en el trabajo, manipulación subliminal e identificación biométrica en tiempo real en espacios públicos. La sanción: hasta 35 millones de euros o el 7 % de la facturación mundial.
Riesgo alto (la categoría que más afecta a las pymes)
IA usada en selección de personal, concesión de créditos, diagnóstico médico, infraestructuras críticas, educación y aplicación de la ley. Requieren evaluación de conformidad, gestión documentada del riesgo, supervisión humana efectiva y registro en una base de datos europea.
Riesgo limitado (transparencia obligatoria)
Chatbots, deepfakes y sistemas que interactúan directamente con personas. Obligación: informar al usuario de que está tratando con una IA. Sanciones de hasta 7,5 millones.
Riesgo mínimo
Filtros de spam, videojuegos con IA, herramientas de productividad sin impacto significativo. Sin obligaciones adicionales.
Si no estás seguro de cómo clasificar tus sistemas, nuestro Diagnóstico Express gratuito de 45 minutos te asigna el nivel de riesgo de cada uno y te entrega un plan de acción con inicio en menos de 48h hábiles.
Plazos de cumplimiento que debes marcar en rojo
• 2 de febrero de 2025: prohibición efectiva de prácticas de riesgo inaceptable.
• 2 de agosto de 2025: obligaciones para modelos de IA de propósito general.
• 2 de agosto de 2026: fecha límite para todos los sistemas de alto riesgo del anexo III.
• 2 de agosto de 2027: ampliación para ciertos sistemas en legislación sectorial.
Sanciones: el coste de no cumplir
- Prácticas prohibidas: hasta 35 millones de euros o el 7 % del volumen de negocio mundial anual.
- Incumplimiento de sistemas de alto riesgo: hasta 15 millones o el 3 %.
- Información incorrecta o engañosa: hasta 7,5 millones o el 1,5 %.
Qué hacer hoy mismo para prepararte
1. Inventaría todos tus sistemas de IA aunque los hayas comprado a terceros.
2. Clasifícalos por nivel de riesgo con ayuda de un consultor especializado.
3. Implanta un sistema de gestión de riesgos documentado.
4. Revisa los avisos de transparencia: cualquier chatbot debe identificarse como IA.
5. Solicita un diagnóstico de cumplimiento antes de que la autoridad te lo exija.
¿El AI Act se aplica a empresas de menos de 50 empleados?
Sí. El tamaño no es un criterio de exclusión. Si usas un sistema de IA de alto riesgo, las obligaciones son las mismas que para una multinacional.
¿Qué sectores están más expuestos a las sanciones del AI Act?
Aquellos que utilizan IA para decisiones que afectan a personas: empleo, crédito, sanidad, seguros y transporte.
¿Cuándo exactamente debo tener todo listo para cumplir el AI Act?
El 2 de agosto de 2026 es la fecha clave para los sistemas de alto riesgo. No hay periodo de gracia.
¿Necesito un DPO si uso IA de alto riesgo?
No automáticamente por el AI Act, pero la combinación con el RGPD puede hacer obligatorio un DPO si el tratamiento de datos personales es a gran escala.
¿Puedo externalizar el cumplimiento del AI Act?
Puedes externalizar la consultoría y la documentación, pero la responsabilidad última sigue siendo de tu empresa como implementadora del sistema.
¿Hay ayudas para adaptar mi pyme al AI Act?
Actualmente no existen subvenciones específicas del AI Act, pero algunas comunidades autónomas incluyen bonificaciones para digitalización.