AI Act 2026 aplicado a pymes guía práctica española.
En agosto de 2026 entra en plena aplicación el Reglamento Europeo de Inteligencia Artificial. Esta guía traduce el texto legal a obligaciones reales para pymes españolas: categorías, obligaciones por caso, sanciones, hoja de ruta y plantillas. Sin humo y sin charla de "transformación digital".
Magnetia · diagnósticos AI Act para pymes
Qué es el AI Act y por qué tu pyme tiene que entenderlo (aunque sea breve).
El AI Act (Reglamento UE 2024/1689) es la primera norma europea integral que regula la inteligencia artificial. Entró en vigor en agosto de 2024, con aplicación escalonada: prohibiciones desde febrero 2025, obligaciones para modelos de propósito general desde agosto 2025, y aplicación plena para casos de alto riesgo y obligaciones de transparencia desde agosto 2026.
La buena noticia: para 9 de cada 10 pymes B2B españolas, las obligaciones reales son ligeras. La inmensa mayoría de casos de uso pyme (chatbot atención cliente, redacción asistida, automatización admin, análisis interno) entran en categorías de "riesgo limitado" o "mínimo" con obligaciones manejables: transparencia, política de uso, formación.
La mala noticia: hay casos concretos que sí entran en "alto riesgo" y muchas pymes no se dan cuenta. IA para selección de personal, evaluación de empleados, scoring crediticio, evaluación educativa o diagnóstico médico tiene obligaciones serias (gestión de riesgo, calidad de datos, transparencia, supervisión humana, ciberseguridad, registro). Si tu pyme aplica IA a esto, hay trabajo serio que hacer antes de agosto 2026.
Esta guía cubre lo que necesitas saber operativamente: qué categoría se aplica a tu caso, qué obligaciones reales tienes, qué sanciones existen, hoja de ruta de cumplimiento y plantillas concretas. Si después de leer esto quieres ayuda concreta, ofrecemos diagnóstico AI Act gratuito de 45 min.
Cómo clasifica el AI Act tus sistemas IA
El AI Act clasifica los sistemas IA en 4 categorías de riesgo: inaceptable (prohibido), alto riesgo (obligaciones serias), riesgo limitado (transparencia) y riesgo mínimo (sin obligaciones específicas).
Riesgo inaceptable (prohibido): social scoring por entidades públicas, manipulación cognitiva subliminal, explotación de vulnerabilidades (edad, discapacidad), reconocimiento facial en tiempo real en espacios públicos (con excepciones), categorización biométrica por raza/religión/orientación sexual, predictive policing por características personales, reconocimiento de emociones en trabajo y escuela (con excepciones médicas). Tu pyme no debería estar haciendo nada de esto.
Alto riesgo: IA usada en infraestructuras críticas, formación educativa, selección y gestión de empleados, acceso a servicios esenciales (incluido scoring crediticio), aplicación de la ley, gestión migratoria y administración de justicia. Si tu pyme usa IA para filtrar CVs, evaluar empleados, scoring crediticio, evaluar estudiantes o diagnóstico médico asistido, entras aquí. Obligaciones serias.
Riesgo limitado: chatbots conversacionales con clientes, sistemas de generación de contenido (deepfakes, contenido manipulado), sistemas de reconocimiento de emociones en contextos no laborales. Obligación principal: transparencia (informar al usuario que interactúa con IA, etiquetar contenido generado).
Riesgo mínimo: la inmensa mayoría de casos pyme. Asistente IA interno, redacción asistida, automatización admin (OCR + categorización), análisis de datos. Sin obligaciones específicas más allá de buenas prácticas voluntarias (códigos de conducta).
Para 9 de cada 10 pymes B2B españolas, los casos de uso entran en riesgo limitado o mínimo. Si tu pyme aplica IA a alguno de los casos de alto riesgo mencionados, hay trabajo serio. Detalle del articulado en AI Act pymes 2026.
Qué tienes que hacer si tu pyme entra en alto riesgo
Si tu pyme usa IA para selección de personal, evaluación empleados, scoring crediticio, evaluación estudiantes o diagnóstico médico asistido, las obligaciones son serias. Resumen operativo:
1) Sistema de gestión de riesgos: identificar y mitigar riesgos durante todo el ciclo de vida (diseño, desarrollo, despliegue, operación). Documento vivo, no checklist puntual. Requiere designar responsable interno (en pymes suele ser CTO, CIO o directivo de área).
2) Gobernanza de datos: datos de entrenamiento, validación y testing deben ser representativos, libres de errores y respetar protección de datos personales. Si compraste un modelo a un proveedor, exigir documentación de gobernanza al proveedor.
3) Documentación técnica: especificación completa del sistema (arquitectura, datos, capacidades, limitaciones, métricas de rendimiento). Requerida antes del despliegue. Plantilla mínima de 15-25 páginas según complejidad.
4) Trazabilidad y logging: registros automáticos de eventos durante operación. Para auditoría posterior. Retención mínima determinada por uso (típicamente 6 meses a varios años).
5) Transparencia con usuarios: información clara sobre capacidades, limitaciones e instrucciones de uso. Manual de usuario obligatorio.
6) Supervisión humana: el sistema debe permitir supervisión humana efectiva. En selección de personal, la decisión final debe ser humana, no automatizada por IA.
7) Robustez, precisión y ciberseguridad: requisitos técnicos verificables. Auditoría de ciberseguridad recomendada antes del despliegue.
8) Registro UE: para algunos sistemas de alto riesgo, inscripción en base de datos UE pública. Aplicable a sistemas listados en Anexo III del AI Act.
Coste orientativo de cumplimiento alto riesgo para pyme: 15.000-50.000 € de proyecto inicial + 4.000-12.000 €/año de mantenimiento (auditorías, actualizaciones de gestión de riesgo, formación continua). No es opcional si el caso encaja.
Qué tienes que hacer si tu pyme entra en riesgo limitado
Si tu pyme tiene chatbot conversacional con clientes, sistemas de generación de contenido (vídeos generados, imágenes manipuladas) o sistemas de reconocimiento de emociones en contexto no laboral, entras en riesgo limitado. Obligaciones manejables:
1) Transparencia en chatbots: informar al usuario de que interactúa con un sistema IA, no con humano. Aviso explícito al iniciar la conversación o en lugar visible. No basta con texto pequeño en pie de página: tiene que ser claro al inicio.
2) Etiquetado de contenido generado: imágenes, vídeos o audio generados por IA deben etiquetarse como tal. Aplica a contenido que pueda confundirse con contenido auténtico (deepfakes, voces sintéticas). Para texto generado y propósitos editoriales/informativos, no aplica obligación de etiquetado.
3) Información sobre uso: usuarios afectados deben poder saber que sus datos pueden estar siendo procesados por sistema IA (relación con RGPD).
Coste orientativo de cumplimiento riesgo limitado: 500-2.500 € de proyecto inicial (banner chatbot, plantillas de aviso, política interna) + mantenimiento mínimo. Esto sí puedes resolver con un proveedor sin complicarse.
Ejemplo concreto pyme: chatbot de atención al cliente en web. Cumplir AI Act riesgo limitado supone: 1) banner al inicio de la conversación "estás hablando con un asistente IA, si necesitas hablar con persona humana escribe AGENTE", 2) opción real de handoff a humano, 3) actualización de la política de privacidad con mención al uso de IA en atención cliente, 4) registro interno de fechas y propósito del despliegue.
Pasos concretos para llegar a agosto 2026 cumpliendo
Asumiendo que entras en riesgo limitado (caso más común en pyme B2B).
Inventario de sistemas IA (semana 1)
Listar todos los sistemas IA en uso en tu pyme: ChatGPT/Claude del equipo, chatbot web, herramientas con IA embebida (CRM, gestor email, ATS), agentes custom, RAG. Documento simple con: sistema, proveedor, dato procesado, decisión apoyada, audiencia.
Clasificación por riesgo (semana 2)
Para cada sistema del inventario, clasificar en una de las 4 categorías. Si encaja en inaceptable, parar uso. Si encaja en alto riesgo, iniciar proyecto serio de cumplimiento. Si encaja en riesgo limitado o mínimo, planificar acciones específicas.
Política de uso IA documentada (semana 3-4)
Documento de 3-5 páginas que el equipo lee al onboarding y firma. Cubre: qué herramientas autorizadas, qué casos prohibidos, qué datos pueden entrar en IA, qué outputs requieren revisión humana, contacto interno responsable.
Transparencia operativa (mes 2)
Implementar avisos en chatbots, actualizar política de privacidad, etiquetar contenido generado donde aplique, formar al equipo en comunicación con clientes sobre uso de IA. Documentar todo con fecha y responsable.
Trazabilidad básica (mes 2-3)
Sistema mínimo de logging para casos relevantes: qué prompt se envió, qué se devolvió, quién lo consumió, cuándo. No requiere herramienta carísima — en muchos casos basta con políticas internas y revisión cada trimestre.
Formación al equipo (mes 3)
Sesión de 1-2 horas para todo el equipo sobre uso responsable de IA: qué pueden y no pueden hacer, dónde está la política, a quién acudir si tienen duda. Repetir anualmente. Incluye onboarding de nuevos empleados.
Revisión semestral (continuo)
Cada 6 meses: revisar inventario (han salido nuevos sistemas IA), revisar política (actualizar a casos reales), revisar trazabilidad (hay incidentes que aprender), refrescar formación. AI Act no es proyecto puntual, es ciclo continuo.
Qué pasa si no cumples (y por qué importa)
Las sanciones del AI Act se calculan en función de la gravedad y el tamaño de la empresa. Hay 3 niveles:
Sanciones por uso de IA prohibida (riesgo inaceptable): hasta 35 millones de € o 7% de facturación mundial anual, la cantidad mayor. Aplicable a uso de sistemas IA prohibidos (social scoring, manipulación, etc.).
Sanciones por incumplimiento de obligaciones de alto riesgo: hasta 15 millones de € o 3% de facturación mundial anual. Aplicable a incumplimientos de gobernanza de datos, gestión de riesgo, documentación, supervisión humana, etc.
Sanciones por información incorrecta a autoridades: hasta 7,5 millones de € o 1% de facturación mundial anual. Aplicable a información engañosa, incompleta o tardía a autoridades de supervisión.
Para pyme española la sanción real probable es lejana del máximo, pero el coste reputacional de una sanción pública AI Act es alto. Más importante: el AI Act introduce la posibilidad de que autoridades nacionales (la AESIA en España, junto con AEPD) exijan auditorías, suspender uso de sistemas o exigir modificaciones. Ese trastorno operativo en pyme puede ser muy doloroso.
La AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) es la autoridad nacional para AI Act en España. Sede en A Coruña. Coordinada con AEPD para casos donde se mezcla AI Act y RGPD (la mayoría de casos pyme). Detalle en qué es la AEPD.
Cómo encajan AI Act y RGPD (y dónde se solapan)
AI Act y RGPD son normas distintas que se complementan. RGPD regula el tratamiento de datos personales (consentimiento, base legal, derechos del afectado). AI Act regula los sistemas IA (categorías de riesgo, obligaciones operativas). En la práctica se solapan mucho.
Ejemplo: un chatbot que atiende clientes y aprende de las conversaciones. RGPD aplica al tratamiento de datos personales en la conversación (consentimiento, base legal, derecho de supresión). AI Act aplica a la transparencia del sistema (informar al usuario, etiquetar contenido). Ambos a la vez.
Obligación práctica para pyme: tu Registro de Actividades de Tratamiento (RAT) bajo RGPD debe incluir mención al uso de sistemas IA en cada actividad donde aplique. Tu política de privacidad debe explicar que se usa IA en atención cliente (si aplica), en selección de personal (si aplica), en marketing automatizado (si aplica).
Para datos personales sensibles (sanidad, religión, ideología, orientación sexual, biometría), el AI Act es especialmente estricto y se suma al RGPD. Tratar estos datos con IA requiere bases legales especialmente cuidadas y, en muchos casos, evaluaciones de impacto (DPIA) reforzadas. Si tu pyme está en sanidad, RRHH con datos sensibles o servicios financieros, hay trabajo serio. Detalle en RGPD pyme 2026 práctico.
Qué dice el AI Act sobre Claude, GPT, Gemini
El AI Act dedica un capítulo específico a modelos de propósito general (GPAI): los grandes modelos de lenguaje como Claude, GPT, Gemini, Llama. Las obligaciones aquí recaen en los proveedores (Anthropic, OpenAI, Google, Meta), no en los usuarios pyme.
Los proveedores GPAI deben: 1) publicar documentación técnica sobre el modelo, 2) compartir información con desarrolladores que construyen sobre el modelo, 3) cumplir política de copyright y publicar resumen del corpus de entrenamiento, 4) para modelos de "riesgo sistémico" (los más potentes, definidos por capacidad de cómputo), evaluación de modelo, mitigación de riesgos sistémicos, ciberseguridad reforzada y reporte de incidentes.
Lo relevante para tu pyme: los proveedores ya están cumpliendo. Claude (Anthropic), GPT (OpenAI), Gemini (Google) publican documentación, ofrecen DPAs en planes empresa, cumplen obligaciones GPAI. Si usas estos modelos vía plan Enterprise o for Work, heredas su cumplimiento del lado proveedor.
Lo que tu pyme tiene que hacer: asegurarse de usar planes empresa con DPA firmado (no plan personal ni gratuito), exigir documentación de cumplimiento al proveedor si te la pide auditor, y aplicar las obligaciones del AI Act que recaen en ti como deployer/user (transparencia con tus usuarios, política de uso interna, formación). Detalle en ChatGPT Team vs Claude for Work.
Cómo se aplica AI Act a casos típicos pyme española
Caso 1 · Pyme con chatbot atención cliente: categoría riesgo limitado. Obligaciones: aviso al inicio de conversación ("estás hablando con asistente IA"), opción real de handoff a humano, actualización política privacidad, registro interno. Coste de cumplimiento: 500-1.500 €.
Caso 2 · Pyme con redacción asistida IA: categoría riesgo mínimo. Obligaciones: política de uso interna (qué herramientas autorizadas, qué datos pueden entrar), formación al equipo, revisión humana de outputs a cliente. No requiere aviso público específico. Coste: 1.000-3.000 €.
Caso 3 · Pyme con filtrado automático de CVs: categoría alto riesgo. Obligaciones: sistema de gestión de riesgos, gobernanza de datos de entrenamiento, documentación técnica, trazabilidad, supervisión humana en decisión final, registro UE. Coste: 15.000-50.000 € + mantenimiento anual. Alternativa real: parar el uso de IA en filtrado de CVs y mantener proceso humano si no quieres asumir cumplimiento alto riesgo.
Caso 4 · Pyme con scoring crediticio interno con IA: alto riesgo. Mismas obligaciones que caso 3. En este sector (financiero) hay además regulación sectorial específica. Coste y complejidad serios.
Caso 5 · Pyme con generación de vídeos sintéticos para marketing: riesgo limitado. Obligación de etiquetar contenido generado como tal. Es la práctica habitual responsable en marketing 2026. Coste: mínimo.
Caso 6 · Pyme con RAG sobre base de conocimiento interna: riesgo mínimo (uso interno, sin afectación a derechos de terceros). Obligaciones: política interna, formación, revisión humana de outputs sensibles. Detalle en sistema RAG paso a paso.
Lo que vemos fallar en pymes que se preparan para AI Act
Pensar que el AI Act no aplica porque "no hacemos IA"
Si tu equipo usa ChatGPT, Claude, Copilot 365 o cualquier herramienta con IA embebida (CRM con scoring, ATS con filtrado, email automation con behavioral), el AI Act aplica como deployer. Inventariar es paso 1 no opcional.
Tratar AI Act como proyecto puntual
AI Act no se cumple una vez. Se cumple en ciclo continuo: inventario, clasificación, política, transparencia, trazabilidad, formación, revisión semestral. Tratarlo como checklist puntual lleva a incumplimiento a 6-12 meses cuando salen sistemas IA nuevos sin clasificar.
Asumir riesgo limitado sin clasificar caso
La inmensa mayoría de pymes entran en riesgo limitado/mínimo. Pero hay casos concretos (selección personal, scoring crediticio, evaluación estudiantes, diagnóstico médico) que sí entran en alto riesgo. Clasificar caso por caso es no negociable.
Confundir AI Act con RGPD
Son normas distintas que se complementan. Cumplir RGPD no implica cumplir AI Act. Hay obligaciones AI Act que no derivan de RGPD (transparencia chatbot, etiquetado contenido generado). Y hay obligaciones RGPD que no derivan de AI Act (consentimiento, derechos del afectado).
Externalizar el cumplimiento al proveedor de IA
El proveedor (Anthropic, OpenAI, Google) cumple su parte (GPAI). Tu pyme tiene obligaciones propias como deployer/user que el proveedor no puede cumplir por ti: transparencia con tus usuarios, política interna, formación, trazabilidad de uso.
No documentar nada
En caso de inspección o incidente, no tener documentación es el peor escenario. Política de uso, inventario IA, registro de formación, trazabilidad básica. Documentos simples pero existentes. La documentación es tu mejor defensa.
Esperar a "ver qué hace la AESIA"
La AESIA está operativa desde 2024 y empezará a actuar en serio desde agosto 2026. Esperar a la primera inspección para preparar es tarde. Cumplir lo básico antes de agosto 2026 es trabajo de 3-6 meses para pyme típica con apoyo externo.
No formar al equipo
El equipo que usa IA a diario debe saber qué pueden y no pueden hacer, qué obligaciones de transparencia aplica, dónde está la política, a quién acudir si tienen duda. Sin formación, la política existe sólo en papel y la trazabilidad es ficción.
Dudas que nos hacéis llegar
¿Tu pyme está preparada para AI Act en agosto 2026?
Reunión con Marcos o Jorge: hacemos inventario rápido, clasificamos casos, identificamos si hay algún caso de alto riesgo y te decimos qué pasos concretos tienes que dar antes de agosto 2026. Sin venderte humo legal.