días para el 2 de agosto de 2026, la fecha de aplicación plena del Reglamento europeo de IA.
Lo más importante

El 2 de agosto de 2026 el Reglamento europeo de IA (AI Act) pasa a ser plenamente aplicable: las obligaciones de los sistemas de alto riesgo y las de transparencia son exigibles, y en España la AESIA ejerce ya la supervisión con el régimen sancionador sobre la mesa. La buena noticia: si tu pyme usa IA de terceros (no la fabrica), el grueso del cumplimiento se resuelve en una semana de trabajo ordenado. Aquí tienes el plan, día a día.

Ya te contamos qué es el AI Act y qué aplica de verdad a una pyme (si no lo has leído, empieza por ahí). Este artículo es la otra mitad: qué cambia exactamente ese día, qué es realista esperar de las inspecciones y qué hacer esta misma semana si lo tienes pendiente.

Qué cambia exactamente el 2 de agosto

El Reglamento (UE) 2024/1689 entró en vigor en agosto de 2024, pero se aplica por fases. Las prohibiciones y la alfabetización en IA rigen desde febrero de 2025; las reglas para los grandes modelos de propósito general, desde agosto de 2025. Lo que ocurre el 2 de agosto de 2026 es el salto grande:

  • Aplicación plena de las obligaciones de alto riesgo (Anexo III): IA en selección de personal, scoring crediticio, biometría, educación… Quien use o provea estos sistemas debe cumplir ya todo el paquete.
  • Transparencia exigible (art. 50): los chatbots deben decir que son una IA, el contenido generado por IA debe poder identificarse y los deepfakes deben etiquetarse.
  • Supervisión operativa: los Estados miembros deben tener designadas y funcionando sus autoridades de vigilancia. En España esa autoridad es la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), que a partir de esa fecha ejerce la supervisión y puede actuar frente a incumplimientos. La ley española que termina de desarrollar el régimen sancionador sigue su tramitación — pero ojo: el Reglamento europeo aplica directamente, no necesita ley española para obligarte.

¿Van a llover inspecciones el día 3? Seamos honestos

No es lo realista, y no te vamos a vender miedo. La experiencia con el RGPD en 2018 apunta a cómo empezará esto: por denuncias (un cliente molesto, un competidor, un exempleado), por sectores sensibles y por casos evidentes — el ejemplo de libro: un chatbot que se hace pasar por una persona.

Lo que sí se acaba el 2 de agosto es el "esto no lo mira nadie". Ya hay autoridad con poderes, cauce para denunciar y multas definidas. Y hay un detalle que las pymes suelen pasar por alto: la denuncia es gratis para quien la pone. No hace falta que te toque una campaña de inspección; basta un cliente enfadado.

Las multas, en 10 segundos

Incumplimiento Multa máxima
Usar prácticas prohibidas (puntuación social, IA manipuladora…) Hasta 35 M€ o el 7% de la facturación global
Incumplir obligaciones de alto riesgo o transparencia Hasta 15 M€ o el 3%
Dar información falsa a las autoridades Hasta 7,5 M€ o el 1%

La letra pequeña que importa: para pymes se aplica la menor de las dos cuantías, precisamente para no comprometer su viabilidad. No es una exención — es una graduación. El riesgo real de una pyme con los deberes básicos hechos es bajísimo.

El plan exprés: 7 días, uno a uno

Si usas IA de terceros (chatbot, generadores de contenido, IA dentro de tu CRM o tus herramientas) y no has hecho nada todavía, esto se arregla en una semana de trabajo ordenado:

  1. Días 1–2 · Inventario. Lista simple: qué herramientas con IA usáis, para qué y quién las maneja. Incluye las "invisibles" (la IA que viene dentro del CRM, del email marketing, del editor de fotos). No puedes cumplir lo que no sabes que tienes.
  2. Día 3 · Clasifica. Con la lista delante: ¿algo prohibido? (fuera, ya). ¿Algo de alto riesgo — IA para cribar CVs, dar crédito, biometría? (eso necesita revisión seria, márcalo). ¿Lo demás? Casi seguro transparencia o riesgo mínimo.
  3. Día 4 · Transparencia. Tu chatbot debe decir que es una IA; tu contenido generado por IA, poder identificarse. Es la obligación que más pymes tocan y la más barata de cumplir. En nuestra propia web lo tienes en directo: nuestra asistente de soporte se presenta como "Nora · Asistente IA" en el chat y firma sus correos como asistente de IA. Eso es el artículo 50 cumplido en la práctica.
  4. Día 5 · Formación básica. La alfabetización en IA (obligatoria ya desde febrero de 2025): una sesión interna de 1–2 horas — qué usamos, para qué sirve, qué límites tiene, qué no se le puede meter (datos de clientes, por ejemplo) — y un guion corto por escrito.
  5. Día 6 · Proveedores. Repasa quién te da la IA: ¿tienen documentación? ¿contrato de encargo de datos si tratan datos personales? ¿dónde procesan? Con que lo tengas localizado y apuntado, ya vas por delante.
  6. Día 7 · Documenta. Junta lo anterior en un registro de una o dos páginas: herramientas, clasificación, medidas tomadas, formación dada, fecha. Lo que no está documentado, ante una inspección, no existe.

¿Y si usas algún sistema de alto riesgo? Entonces una semana no basta: el paquete de obligaciones es serio (supervisión humana, registros, evaluación) y ahí sí conviene ayuda profesional ya.

Aviso: este artículo es divulgación para orientarte, no asesoramiento legal vinculante. El AI Act tiene matices y tu situación concreta puede variar. Para el detalle de tus obligaciones, consulta con un abogado o con un delegado de protección de datos (DPO).

Y después del 2 de agosto, ¿qué?

El AI Act no se "termina" ese día. Quedan fases posteriores (en 2027 entran las reglas para la IA de alto riesgo embebida en productos regulados) y, sobre todo, empieza la vida normal de la norma: la IA que incorpores mañana también tendrá que pasar por tu inventario. Nuestro consejo práctico: convierte el registro del día 7 en un documento vivo — cada herramienta nueva de IA que entre en la empresa, una línea más. Cinco minutos por herramienta y siempre estarás al día.

¿Llegas justo al 2 de agosto?

Te hacemos la revisión exprés: inventario, en qué casilla cae cada uso de IA de tu pyme, y la transparencia puesta en orden. Sin alarmismo y sin venderte cumplimiento que no necesitas.

Pedir la revisión exprés →

Preguntas frecuentes

¿Qué pasa exactamente el 2 de agosto de 2026?

El Reglamento europeo de IA pasa a ser plenamente aplicable: las obligaciones de los sistemas de alto riesgo (Anexo III) y las de transparencia son exigibles, y los Estados deben tener a sus autoridades de supervisión operativas. En España esa autoridad es la AESIA.

¿Van a empezar las inspecciones masivas el día 3 de agosto?

No es lo realista. Lo esperable, como pasó con el RGPD: denuncias, sectores sensibles y casos evidentes (por ejemplo, un chatbot que se hace pasar por humano). Lo que cambia es que el "no pasa nada" se acaba: ya hay autoridad con poderes y multas definidas.

¿Estoy a tiempo si empiezo hoy?

Para la mayoría de pymes, sí. Si usas IA de terceros, el grueso se resuelve en más o menos una semana: inventario, transparencia, formación básica y un registro documentado.

¿Qué es la AESIA?

La Agencia Española de Supervisión de la Inteligencia Artificial: la autoridad designada en España para supervisar el cumplimiento del Reglamento europeo de IA. Con la aplicación plena del 2 de agosto de 2026, ejerce la supervisión y puede actuar frente a incumplimientos.

¿Qué multa puede caerle a una pyme?

Los tramos: hasta 35 M€ o el 7% por prácticas prohibidas; hasta 15 M€ o el 3% por incumplir obligaciones (incluida la transparencia); hasta 7,5 M€ o el 1% por información falsa. Para pymes se aplica la menor de las dos cuantías, y con el checklist básico hecho el riesgo real es bajísimo.

¿Esto es asesoramiento legal?

No. Es divulgación para orientarte. Para tu caso concreto, consulta con un abogado o con un delegado de protección de datos (DPO).