AI Act por sector: qué te toca según tu negocio.
El Reglamento Europeo de IA aplica distinto según el sector y el uso. Industria, salud, finanzas, RRHH, educación, justicia y consumo. Qué clasifica cada caso, qué tienes que hacer y los plazos reales 2025-2027.
Actualizado mayo 2026
AI Act 2026: un reglamento, siete sectores con riesgo distinto.
El AI Act (Reglamento Europeo de Inteligencia Artificial 2024/1689) clasifica los sistemas de IA en cuatro categorías de riesgo: prohibido, alto riesgo, riesgo limitado (transparencia) y mínimo riesgo. Lo importante para pymes: el sector y el uso concreto determinan la categoría, no la tecnología en abstracto.
Calendario clave: febrero 2025 prohibiciones (manipulación, scoring social, ciertos casos vigilancia biométrica), agosto 2025 obligaciones modelos GPAI (los Llamas/GPTs y derivados), agosto 2026 obligaciones alto riesgo en muchos sectores, agosto 2027 alto riesgo en productos regulados sectoriales (sanidad, automoción).
En esta guía repasamos lo que toca a tu sector concreto, con el matiz de pyme: muchas pymes no usarán sistemas de alto riesgo, pero sí tendrán que cumplir transparencia y deber de información. Y casi todas usarán modelos GPAI (ChatGPT, Claude, Gemini, Copilot) que tienen requisitos propios. Ver también AI Act pymes 2026 y GDPR LLMs configurar bien.
Tres bloques donde alto riesgo aparece más
Salud y dispositivos médicos
IA en diagnóstico, ayuda a decisión clínica, dispositivos médicos software. Alto riesgo casi sistemáticamente. Requiere marcado CE, gestión riesgos ISO 14971, base datos UE, autoridad notificada.
RRHH y selección personal
IA para cribado CV, ranking candidatos, evaluación desempeño, asignación tareas. Alto riesgo claro si la decisión afecta al trabajador. Requiere evaluación impacto, registro, transparencia al candidato.
Crédito, seguros, finanzas
Scoring crediticio, tarificación seguros vida y salud, decisiones financieras automatizadas. Alto riesgo. Requiere transparencia, posibilidad de revisión humana, no discriminación demostrable.
Qué tienes que hacer según tu vertical.
1. Industria y manufactura. IA visual control calidad, mantenimiento predictivo, optimización producción. Mayoría riesgo limitado o mínimo. Atención: si la IA controla seguridad de máquina (Directiva Máquinas), se considera componente de seguridad y entra en alto riesgo. Marcado CE.
2. Salud privada (clínicas, laboratorios, farmacéutica). Software ayuda diagnóstico, lectura imagen médica, triaje. Alto riesgo sistemático. Sumar requisitos MDR/IVDR (dispositivos médicos). Si solo usas IA para gestión administrativa interna (citas, facturación), riesgo mínimo.
3. Servicios financieros (bancos, fintech, seguros). Scoring crédito, evaluación riesgo seguros vida, detección fraude. Alto riesgo. Sumar regulación sectorial (PSD2, DORA, Solvencia II). Si solo usas IA para marketing o reporting interno, riesgo mínimo.
4. RRHH (selección, evaluación). ATS con cribado IA, evaluación desempeño, scoring promociones, ordenación turnos. Alto riesgo si afecta al trabajador. Si IA solo asiste y la decisión es 100% humana documentable, baja a transparencia (riesgo limitado).
5. Educación. IA evaluación alumnos, admisión, detección plagio con consecuencias. Alto riesgo si afecta acceso o calificación. Material formativo personalizado o tutor virtual asistente: riesgo limitado con transparencia.
6. Justicia y administración pública. Asistente jurídico que prepara borrador para abogado, sin decisión final automática: riesgo limitado. Sistema que toma decisión administrativa automática (multa, sanción): alto riesgo o prohibido según caso.
7. Consumo y retail. Recomendación producto, asistente compra, chatbot atención. Mayoría riesgo mínimo o limitado (deber de transparencia: avisar que hablas con IA). Si usas reconocimiento emocional en tienda: prohibido.
Cómo afrontar AI Act sin pánico ni inacción
Mes 1 · Inventario de IA
Listar todos los usos de IA en la empresa: chatbots, herramientas internas con IA generativa, modelos en producción, plugins, APIs. Sin inventario no se puede clasificar nada.
Mes 2 · Clasificación por riesgo
Por cada uso identificado: ¿prohibido? ¿alto riesgo? ¿riesgo limitado? ¿mínimo? Aplicar matriz AI Act + sector específico. En pymes industriales o de servicios, la mayoría cae en mínimo/limitado.
Mes 3 · Transparencia y deber de información
Para sistemas riesgo limitado: avisar usuario que hay IA (chatbot, asistente). Política de IA pública. Actualizar política de privacidad si tratamiento datos personales con IA.
Mes 4-6 · Compliance alto riesgo (si aplica)
Solo si tienes uso alto riesgo: documentación técnica, registro UE, evaluación conformidad, gestión riesgos, supervisión humana, calidad datos, logging. Asesoramiento legal especializado obligatorio.
Mes 7-12 · Modelos GPAI y proveedores
Si usas ChatGPT, Claude, Gemini, Copilot: revisar términos de uso, política tratamiento datos del proveedor, evaluación impacto si datos personales o profesionales sensibles. Ver <a href="/blog/gdpr-llms-configurar-bien" class="text-magnetia-red underline">GDPR LLMs</a>.
Lo que la pyme se cree del AI Act y no es cierto
"Es solo para las grandes plataformas, no me toca"
Falso. Toca a quien usa, desarrolla o pone en mercado IA en territorio UE. Pyme que usa ChatGPT con datos clientes está afectada, aunque sea uso mínimo. La cuestión es cuánto, no si.
"Tengo hasta 2027 para preocuparme"
Falso para muchos casos. Prohibiciones desde febrero 2025. GPAI desde agosto 2025. Alto riesgo desde agosto 2026 en muchos sectores. Esperar a 2027 sale caro.
"Las multas son altísimas pero no me las van a poner"
Las multas pueden alcanzar el 7% facturación global o 35M€. AESIA empezará inspecciones en 2026. Casos publicitados serán los primeros. No depende solo de tu tamaño, también de la naturaleza del incumplimiento.
"Si uso ChatGPT, el proveedor se encarga del compliance"
Falso. OpenAI cumple sus obligaciones (proveedor GPAI). Tú como deployer tienes las tuyas: transparencia al usuario, evaluación impacto, supervisión humana, no usar para casos prohibidos.
"Es lo mismo que el RGPD, ya estoy cubierto"
Falso. RGPD trata datos personales. AI Act trata sistemas IA. Hay solapamiento pero son obligaciones distintas. Una empresa puede cumplir RGPD y no cumplir AI Act. Hay que mirar ambos.
Dudas que nos hacéis llegar
¿Necesitas saber qué te toca en AI Act para tu sector concreto?
Auditoría de uso IA + clasificación riesgo + plan compliance realista para pyme. Sin alarmismo, sin minimización, lo que realmente toca hacer.