- El Reglamento Europeo de IA (AI Act) se aplica plenamente el 2 de agosto de 2026. Faltan menos de 3 meses.
- Afecta a cualquier pyme que use sistemas de IA, no solo a quien los fabrica. Si tienes un chatbot, un generador de copy o automatización con ChatGPT en tu web, te aplica.
- Hay 4 niveles de riesgo. La mayoría de pymes están en "riesgo limitado" o "mínimo": obligaciones manejables si se preparan ahora.
- Multas reales de hasta 35 M€ o el 7% de la facturación global. A las pymes se les aplica el porcentaje, no la cifra absoluta, pero el riesgo existe.
- España fue el primer país con autoridad supervisora propia: AESIA, con sede en A Coruña, ya operativa.
El 2 de agosto de 2026 entra en aplicación general el Reglamento (UE) 2024/1689 sobre Inteligencia Artificial, conocido como AI Act. Es la primera regulación integral de IA del mundo y, contra lo que muchos creen, no obliga solo a OpenAI, Google o Anthropic: cualquier pyme española que use IA en su día a día tiene deberes que cumplir. En esta guía te explicamos en términos claros qué exige el AI Act a una pyme, qué multas hay sobre la mesa y qué pasos concretos tienes que dar antes de agosto para llegar tranquilo.
Qué es el AI Act y a quién obliga realmente
El AI Act es un reglamento europeo (no una directiva), lo que significa que se aplica de forma directa en los 27 estados miembros sin necesidad de trasposición. Su objetivo es clasificar los sistemas de IA según el riesgo que suponen para las personas y exigir obligaciones proporcionales a ese riesgo.
El error más común entre pymes es pensar que solo afecta a los proveedores de modelos. La realidad es que el reglamento distingue cuatro roles:
- Proveedor
- Quien crea el modelo de IA (OpenAI, Google, Anthropic). Asume el grueso de obligaciones técnicas y documentales.
- Implementador (deployer)
- Cualquier empresa que usa un sistema de IA en su actividad profesional. Aquí entras tú si tienes un chatbot, herramientas de IA en marketing o automatizaciones con ChatGPT.
- Importador y distribuidor
- Quien introduce o distribuye en la UE un sistema desarrollado fuera. Aplica sobre todo a integradores y resellers.
- Persona afectada
- Cualquier ciudadano cuyos datos o decisiones interactúen con un sistema de IA. Tiene derechos reforzados.
El calendario de aplicación en una mirada
El AI Act se aplica por fases. Lo que muchos pasan por alto es que partes del reglamento llevan en vigor desde 2025:
- 2 de febrero de 2025 — Entran en vigor las prohibiciones (sistemas de IA de riesgo inaceptable: scoring social, manipulación cognitiva, biometría masiva en espacios públicos) y la obligación de alfabetización en IA para empresas que la usen.
- 2 de agosto de 2025 — Obligaciones específicas para proveedores de modelos GPAI (General-Purpose AI: GPT, Claude, Gemini, Llama).
- 2 de agosto de 2026 — Aplicación plena del reglamento. Esta es la fecha clave para pymes implementadoras.
- 2 de agosto de 2027 — Plazo extendido para sistemas de IA de alto riesgo integrados en productos regulados (sanitarios, automoción, etc.).
Las 4 categorías de riesgo: ¿en cuál encaja tu pyme?
La parte práctica para una pyme es identificar en qué categoría caen sus usos de IA. Casi todos los usos cotidianos (marketing, atención al cliente, productividad) están en las dos categorías inferiores:
Riesgo inaceptable (prohibido)
Sistemas que vulneran derechos fundamentales: scoring social tipo China, manipulación subliminal, reconocimiento de emociones en el trabajo o aulas, biometría masiva en espacios públicos. Una pyme normal no toca esto. Si lo tocas, no se trata de cumplir — se trata de dejar de hacerlo.
Alto riesgo
Sistemas en sectores críticos: contratación de personal, educación, créditos bancarios, justicia, infraestructuras críticas, dispositivos médicos. Una pyme que use IA para filtrar CVs en su proceso de selección entra aquí. Obligaciones: evaluación de conformidad, gestión de riesgos, documentación técnica y supervisión humana.
Riesgo limitado (transparencia)
Chatbots de atención al cliente, generadores de imagen, deepfakes legítimos, contenido generado por IA. Aquí encajan la mayoría de pymes. La obligación principal es informar claramente al usuario de que está interactuando con una IA y etiquetar el contenido generado.
Riesgo mínimo
Filtros de spam, recomendadores de productos sencillos, generación de borradores de texto interno. Sin obligaciones específicas más allá de buenas prácticas voluntarias.
Multas reales: cuánto te puede costar un descuido
El reglamento establece tres tramos de sanciones según la gravedad. Lo importante para pymes es el matiz: el reglamento aplica el porcentaje sobre facturación o la cifra absoluta, lo que sea menor. Para una pyme con 500.000 € de facturación, eso significa que la sanción real es muy inferior al titular del Boletín Oficial:
| Tipo de incumplimiento | Sanción máxima (la mayor) | Aplicado a pyme con 500 k€ facturación |
|---|---|---|
| Prácticas prohibidas (riesgo inaceptable) | 35 M€ o 7% facturación global | Hasta 35.000 € |
| Incumplir obligaciones de alto riesgo | 15 M€ o 3% facturación global | Hasta 15.000 € |
| Incumplir transparencia (chatbots, contenido IA) | 7,5 M€ o 1% facturación global | Hasta 5.000 € |
| Información incorrecta a autoridades | 7,5 M€ o 1% facturación global | Hasta 5.000 € |
Las sanciones se calculan según la gravedad, la duración del incumplimiento y, sobre todo, si hay cooperación con la autoridad supervisora. Para una pyme que actúe de buena fe y se ponga al día, el riesgo real es de aviso y subsanación, no de multa fulminante.
Lo que tu pyme tiene que hacer antes del 2 de agosto de 2026
Aquí está el plan accionable. No necesitas un consultor legal a 200 €/hora — necesitas hacer 5 cosas con orden:
- Inventario de IA: lista todos los sistemas de IA que usa tu negocio. Chatbot en la web, ChatGPT para escribir copy, Midjourney para imágenes, herramientas de email marketing con IA, automatizaciones tipo Zapier con módulos de IA. Sin inventario, no puedes clasificar.
- Clasifica cada uso por riesgo según las 4 categorías. Si dudas, asume el escalón superior y consulta. Las dudas razonables se resuelven con un correo a AESIA, no son sancionables si actúas de buena fe.
- Aplica transparencia básica a chatbots y contenido generado: nota visible al usuario, mención en política de privacidad, etiquetado de imágenes generadas por IA en redes sociales y web. Es lo más sencillo y lo más fácil de incumplir por descuido.
- Alfabetización del equipo: el reglamento exige que las personas que usan IA en tu empresa tengan formación básica adecuada. Una sesión interna de 2 horas con material de la propia AESIA cubre el mínimo.
- Política interna de IA escrita: 2-3 páginas con qué herramientas se usan, qué datos pueden meterse (y cuáles no, sobre todo personales o sensibles), quién valida los outputs antes de publicar, qué hacer si la herramienta falla. Sirve como prueba de diligencia ante cualquier inspección.
AESIA y los sandboxes regulatorios: la ventaja oculta para pymes
España fue el primer país de la UE en crear su autoridad supervisora de IA: la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña. Para una pyme, esto tiene dos implicaciones prácticas:
- Sandboxes regulatorios: AESIA habilita entornos controlados donde una pyme puede probar un caso de uso de IA con supervisión de la autoridad. Si el sandbox dice "esto es alto riesgo, pero así puedes hacerlo", te llevas una guía oficial. Acceso prioritario para pymes y startups.
- Tasas reducidas y documentación simplificada: para evaluaciones de conformidad cuando aplica, las pymes pagan tasas menores y pueden presentar documentación técnica simplificada.
El AI Act no es solo palo: para pymes que quieran usar IA con cabeza, abre una ventana para hacerlo con cobertura legal. Quien lo aproveche en los próximos 12 meses se posiciona mejor que la competencia que llegará tarde.
Preguntas frecuentes
¿El AI Act obliga a una pyme que solo usa ChatGPT para escribir emails?
Sí, pero en la categoría más leve: riesgo mínimo. No hay obligaciones específicas más allá de buenas prácticas. Eso sí, si publicas contenido generado por IA en la web o redes sociales como si fuera humano, la obligación de transparencia te aplica.
¿Tengo que registrar mi empresa en algún sitio antes del 2 agosto?
No, salvo que uses sistemas de alto riesgo. La mayoría de pymes no necesitan registro. AESIA mantendrá registros públicos para sistemas de alto riesgo y proveedores de GPAI, no para implementadores de bajo riesgo.
¿El AI Act se aplica a una web que no es de la UE pero vende a clientes europeos?
Sí, igual que el RGPD. El reglamento tiene efecto extraterritorial: si tu sistema de IA produce efectos en personas dentro de la UE, te aplica aunque tu sede esté fuera.
¿Qué pasa si uso un chatbot en mi web y no aviso al usuario?
Es un incumplimiento de la obligación de transparencia. Sanción máxima de 7,5 M€ o 1% de facturación global, lo que sea menor. Para una pyme media, una primera infracción suele resolverse con apercibimiento y plazo para subsanar, no con multa máxima.
¿Hay una guía oficial que pueda leer para mi caso?
Sí. AESIA publica guías sectoriales en su web y la Comisión Europea mantiene un portal con FAQs y herramientas de autoevaluación en castellano. Empieza por ahí antes de pagar consultoría.
Conclusión: prepara hoy, no en julio
El AI Act no es una amenaza para una pyme bien organizada — es una oportunidad para profesionalizar el uso de IA, evitar sorpresas y diferenciarse de competidores que llegarán tarde. Los 5 pasos que hemos visto (inventario, clasificación, transparencia, formación y política interna) los puede hacer cualquier negocio con 1-2 jornadas de trabajo bien dirigidas.
En ilerNetwork ayudamos a pymes de Lleida y Catalunya a auditar el uso de IA en su web y operativa, y a documentar el cumplimiento de forma proporcional al tamaño del negocio. Si quieres una revisión rápida de tu situación, escríbenos o háblanos por WhatsApp.