El Reglamento Europeo de IA (AI Act) llega a su fecha clave el 2 de agosto de 2026. Pero antes de que cunda el pánico: para la mayoría de pymes, cumplir se reduce a tres cosas — inventariar qué IA usas, cumplir la transparencia (avisar de que algo es IA) y dar a tu equipo una formación básica. Las obligaciones pesadas son para los sistemas de "alto riesgo", que casi ninguna pyme utiliza. Lo importante es saber en qué grupo estás.
Estas semanas verás muchos titulares con cifras de multa enormes y fechas límite. Como pasó con el RGPD y el DNI, hay una parte de verdad y una parte de alarma. Vamos a separarlas: qué es el AI Act, qué te aplica de verdad a tu pyme, y un checklist claro para llegar tranquilo al 2 de agosto.
Qué es el AI Act y por qué el 2 de agosto de 2026
El AI Act (Reglamento (UE) 2024/1689) es la primera ley integral de inteligencia artificial de la Unión Europea. No se aplica de golpe: entra por fases.
- Desde febrero de 2025: prohibidas las prácticas de IA de "riesgo inaceptable".
- Desde agosto de 2025: reglas para la IA de propósito general (los grandes modelos tipo ChatGPT o Gemini) y el régimen de sanciones.
- 2 de agosto de 2026: aplicación plena de las obligaciones para los sistemas de alto riesgo y de las obligaciones de transparencia. Esta es la fecha que están mirando las empresas ahora.
Y un punto clave: la norma distingue entre quién desarrolla la IA (el "proveedor") y quién la usa (el "responsable del despliegue"). La mayoría de pymes solo usa IA de otros — un chatbot, un generador de textos, una IA dentro de su CRM — así que sois responsables del despliegue, con obligaciones mucho más ligeras que el que fabrica el modelo.
Los 4 niveles de riesgo: ¿dónde cae tu pyme?
El AI Act clasifica los usos de IA por riesgo. Encontrar tu casilla es el 80% del trabajo:
| Nivel | Ejemplos | ¿Qué implica para ti? |
|---|---|---|
| Prohibido | Puntuación social, IA manipuladora, reconocimiento de emociones en el trabajo | Prohibido para todos (ya desde feb. 2025). No lo uses. |
| Alto riesgo | IA para cribar CVs / seleccionar personal, scoring crediticio, biometría, ciertos usos en sanidad o educación | Solo si usas uno de estos → obligaciones serias (supervisión humana, registros, evaluación). |
| Transparencia (riesgo limitado) | Chatbots, textos/imágenes generados por IA, deepfakes | Muy probablemente SÍ → avisar/etiquetar que es IA. |
| Riesgo mínimo | Filtros de spam, IA en videojuegos, la mayoría de usos cotidianos | Sin obligaciones específicas del AI Act. |
La inmensa mayoría de pymes se mueve entre transparencia y riesgo mínimo. El "alto riesgo" —lo que da miedo en los titulares— solo aplica si usas IA para decidir sobre personas (contratar, dar crédito) o para biometría.
El checklist para una pyme normal
Si tu pyme usa IA "del montón" (chatbot, generadores de contenido, IA en herramientas que ya tienes), esto es lo que conviene tener listo:
- Inventaría la IA que usas. Haz una lista simple: qué herramientas con IA usáis, para qué y quién las maneja. No puedes cumplir lo que no sabes que tienes.
- Cumple la transparencia. Si tienes un chatbot, deja claro que quien responde es una IA. Si publicas contenido generado por IA (textos, imágenes), indícalo. Es sencillo y es lo que más aplica.
- Comprueba si usas algún sistema de alto riesgo. ¿IA para cribar candidatos, para dar crédito, biometría? Si es que sí, ahí hay obligaciones serias: revísalo con detalle (o con ayuda).
- Nada de prácticas prohibidas. Ya están prohibidas desde 2025 (puntuación social, IA manipuladora, reconocimiento de emociones del personal…).
- Alfabetización en IA. Obligación ya en vigor: las personas que usan IA en tu empresa deben tener formación suficiente para usarla con criterio. Se cumple con una formación interna razonable.
- Documenta. Un pequeño registro de qué IA usas, para qué y qué medidas tomas. Lo que no está documentado, ante una inspección, no existe.
Lo que probablemente NO te aplica
Para bajar el ruido: si eres una pyme que usa IA de terceros, no tienes que hacer la evaluación de conformidad ni la documentación técnica pesada de los sistemas de alto riesgo (eso es del que fabrica el sistema), ni las obligaciones de proveedor de modelos de propósito general (eso es de OpenAI, Google o Anthropic, no tuyo). No pagues por "cumplimiento" que no necesitas.
Las multas, en su justa medida
Sí, las cifras existen: hasta 35 M€ o el 7% de la facturación por usar prácticas prohibidas; hasta 15 M€ o el 3% por incumplir obligaciones de alto riesgo o transparencia; hasta 7,5 M€ o el 1% por dar información falsa a las autoridades. Ahora la letra pequeña que los titulares omiten: para pymes se aplica la cifra menor de las dos, para no comprometer su viabilidad. Y el riesgo real de una pyme que hace el checklist básico es bajísimo.
Aviso: este artículo es divulgación para orientarte, no asesoramiento legal vinculante. El AI Act tiene matices y tu situación concreta puede variar. Para el detalle de tus obligaciones, consulta con un abogado o con un delegado de protección de datos (DPO).
El error más común: dejarlo para el último día (o pasar del tema)
Hay dos extremos que evitar. Uno es ignorarlo —"a mí no me aplica"— sin haber mirado siquiera en qué casilla estás. El otro es el pánico: contratar auditorías carísimas de "alto riesgo" cuando tu uso es un simple chatbot. Lo sensato está en medio: mira tu caso, haz el checklist, y dedica el esfuerzo donde de verdad toca.
Cómo te ayuda MSM Consulting
En MSM Consulting trabajamos con IA para pymes todos los días —de hecho, montamos nuestros propios procesos AI-First— así que hablamos el idioma de la norma y el del negocio. Te ayudamos a:
- Inventariar qué IA usas y en qué casilla de riesgo cae cada uso.
- Poner en orden la transparencia (avisos en chatbots, etiquetado de contenido IA) sin romper la experiencia.
- Montar una formación de alfabetización en IA para tu equipo.
- Y, si usas algún sistema de alto riesgo, señalarte qué necesita revisión seria.
Lo hacemos desde Málaga, con criterio y sin venderte humo ni miedo.
¿Usas IA y no sabes si te afecta el AI Act?
Te hacemos una revisión rápida: en qué casilla cae tu pyme, qué te aplica de verdad y qué puedes ignorar. Sin alarmismo.
Revisar mi caso →Preguntas frecuentes
Sí, como usuario ("responsable del despliegue") tienes obligaciones ligeras: sobre todo transparencia —avisar de que se habla con una IA o etiquetar el contenido generado por IA— y que tu equipo tenga formación básica. Las obligaciones pesadas son para los sistemas de alto riesgo, que la mayoría de pymes no usa.
Entra en aplicación plena la parte de sistemas de IA de alto riesgo (Anexo III) y las obligaciones de transparencia. Las prácticas prohibidas y las reglas de la IA de propósito general ya estaban en vigor desde 2025.
Sí, algo sencillo: dejar claro al usuario que está hablando con una inteligencia artificial y no con una persona. Se cumple con un aviso claro en el propio chat.
En teoría sí (hasta 15 M€ o el 3% por incumplir alto riesgo o transparencia; 35 M€ o el 7% por prácticas prohibidas), pero para pymes se aplica la cifra menor de las dos. El riesgo real baja muchísimo cumpliendo el checklist básico.
La obligación (ya en vigor) de que quienes usan IA en tu empresa tengan formación suficiente para usarla con criterio y entender sus límites. Se cumple con una formación interna razonable.
No. Es divulgación para orientarte. Para tu caso concreto, consulta con un abogado o con un delegado de protección de datos (DPO).