AI Act 2026 y pymes españolas: qué tienes que cumplir si usas IA.
El Reglamento Europeo de Inteligencia Artificial ya está en vigor por fases. Si tu pyme usa ChatGPT, automatizaciones con IA o cualquier modelo generativo, hay obligaciones concretas que se aplican desde 2025 y otras que entran en 2026. Resumen técnico sin floritura.
Actualizado mayo 2026
El primer reglamento del mundo que regula la IA por nivel de riesgo.
El Reglamento (UE) 2024/1689, conocido como AI Act, es la primera norma horizontal del planeta que regula los sistemas de IA según el riesgo que generan para los derechos fundamentales. Se aprobó en julio de 2024 y se aplica por fases hasta agosto de 2027. Afecta a cualquier empresa que desarrolle, distribuya o use un sistema de IA dentro de la UE, independientemente de su tamaño.
La buena noticia para pymes: la mayoría de los usos típicos (un chatbot de atención al cliente, una automatización con IA generativa, un OCR de facturas) caen en categorías de riesgo limitado o mínimo, con obligaciones manejables. La mala: hay obligaciones documentales y de transparencia que mucha pyme no está cumpliendo y que ya son exigibles.
En España la autoridad de supervisión es la AESIA (Agencia Española de Supervisión de la IA), con sede en A Coruña. Las multas pueden llegar a 35 millones de euros o el 7% de la facturación global. Para pymes los importes se modulan, pero no desaparecen.
Lo que está directamente prohibido desde febrero de 2025.
Riesgo inaceptable son los usos que la UE considera incompatibles con derechos fundamentales. Están prohibidos sin excepciones desde el 2 de febrero de 2025. Una pyme normal no se cruza con esto, pero conviene saberlo para descartar.
Incluye: social scoring (puntuar personas por comportamiento social), manipulación cognitiva subliminal, identificación biométrica remota en tiempo real en espacios públicos, predicción de delitos basada únicamente en perfilado, scraping masivo de caras de internet para bases de datos de reconocimiento facial, y reconocimiento de emociones en el trabajo o centros educativos.
Si tu pyme tiene un sistema de scoring de empleados con IA basado en cámaras o micros, o un sistema que clasifica clientes por raza/religión/orientación inferida, párate ya. Es categoría prohibida y la multa máxima son 35 millones o el 7% de facturación.
Sistemas con obligaciones fuertes desde agosto de 2026
Donde más pymes pueden caer sin darse cuenta. Aplica desde el 2 de agosto de 2026.
Selección de personal con IA
Cualquier sistema que ayude a filtrar CVs, puntuar candidatos o evaluar desempeño laboral. Si tu ATS o tu agencia usa IA para cribar candidatos, eres usuario de alto riesgo: necesitas evaluación, registro y supervisión humana.
Acceso a crédito y seguros
Si tu pyme valora solvencia o riesgo de impago con IA (incluye un modelo propio entrenado o un servicio tercero), es alto riesgo. Obligación de evaluación de impacto, transparencia con el cliente y derecho a revisión humana.
Educación y evaluación de alumnos
Centros que usen IA para corregir exámenes, asignar plazas o detectar fraude. Academia, formación profesional o universitaria caen aquí si la decisión final está influida materialmente por la IA.
Donde caen la mayoría de chatbots y asistentes de IA de pymes.
Riesgo limitado es el nivel donde caen los usos típicos de IA en pymes: un chatbot de atención al cliente, un asistente que responde emails, un copiloto interno para redactar propuestas, una automatización con Claude o GPT que genera contenido. La obligación principal es transparencia: el usuario tiene que saber que está hablando con una IA y no con una persona.
En la práctica significa: aviso visible en el chat ("Soy un asistente de IA"), etiqueta clara en contenido generado por IA cuando se publique (imágenes, audio, vídeo o texto que pueda confundirse con humano), y marcado técnico (watermarking) en deepfakes desde agosto de 2026.
Si tu pyme usa IA para responder reseñas, generar artículos de blog o crear creatividades publicitarias, conviene revisar dos cosas: el aviso al usuario final cuando interactúe directamente con la IA, y el etiquetado del contenido si pudiera engañar sobre su origen.
Lo que toda pyme que use IA debería tener guardado
Inventario de sistemas de IA
Lista interna de cada herramienta IA que usas (ChatGPT, Claude, Copilot, n8n con IA, chatbot del CRM…) con responsable, finalidad, datos que procesa y proveedor. Es el primer documento que te pide AESIA si hay inspección.
Análisis de nivel de riesgo por sistema
Para cada herramienta del inventario, en qué nivel del AI Act cae (mínimo, limitado, alto, inaceptable) y por qué. 1-2 párrafos por sistema bastan en la mayoría de pymes.
Política interna de uso de IA
Documento corto (2-4 páginas) que diga: qué herramientas IA están aprobadas, qué datos NO se pueden meter (clientes, salud, financieros), cómo etiquetar contenido generado y a quién consultar dudas. Coordínalo con tu RGPD/DPO.
Registro de incidentes
Si una IA del inventario falla, alucina o genera daño (response equivocada a cliente, contenido erróneo publicado…), se anota. La obligación de notificar incidentes graves es solo para alto riesgo, pero el registro interno es buena práctica para todos.
Cláusulas contractuales con proveedores IA
En contratos con Anthropic, OpenAI, Azure, Hugging Face o tu integrador, debe figurar: residencia de datos, política de retención (preferentemente zero data retention), DPA RGPD y compromiso del proveedor con el AI Act.
Qué hacer YA en tu pyme.
Inventario en 2 horas
Reúne al equipo, lista todas las herramientas IA en uso (incluidas las que compraron departamentos sin pasar por IT). Es habitual encontrar 8-15 sistemas en pymes que se creían usar "solo ChatGPT".
Clasificar por riesgo
Para cada herramienta, dictamen rápido sobre el nivel AI Act. Si tienes dudas en alguno (típicamente sistemas de selección, scoring o evaluación), pide opinión legal antes de seguir usándolo.
Política interna y formación
Redacta una política corta y forma al equipo en 1 hora: qué se puede y qué no, cómo etiquetar contenido, qué hacer si la IA falla. Mejor 30 personas que entienden las reglas que 300 páginas que nadie lee.
Auditoría de proveedores
Revisa los contratos de tus proveedores IA: DPA RGPD, residencia europea de datos, compromiso AI Act. Si usas la API de OpenAI estándar para datos personales sin "zero data retention" activado, eso es un agujero.
Dudas que nos hacéis llegar
¿Quieres saber si tu pyme cumple el AI Act?
Auditoría rápida en 4 horas: inventariamos tus sistemas IA actuales, los clasificamos por nivel AI Act, te entregamos política interna lista para firmar y plan de acción priorizado para llegar al 2 de agosto de 2026 cumpliendo. Compatible con auditoría RGPD existente.