AI Act en la práctica: lo que toda pyme española debe saber en 2026
El Reglamento del Parlamento Europeo y del Consejo (UE) 2024/1689 sobre la inteligencia artificial, conocido como AI Act, entró en vigor el 1 de agosto de 2024. En 2026 se activan sus obligaciones clave para todas las empresas que despliegan IA o trabajan con ella. Las multas alcanzan hasta 35 millones de EUR o el 7 % de la facturación mundial (lo que sea mayor). Para las pymes españolas, el AI Act supone obligaciones concretas que la mayoría de las empresas aún desconoce. Repasemos qué hay que saber realmente, sin jerga jurídica.
Por qué el AI Act también afecta a las empresas más pequeñas
Mito extendido: “El AI Act es para OpenAI y las grandes empresas de IA, no nos afecta.” La realidad es lo contrario. El AI Act distingue tres roles:
- Providers: desarrolladores/proveedores de sistemas de IA (OpenAI, Anthropic, también empresas de software españolas)
- Deployers: empresas que utilizan la IA (su departamento de RRHH con un asistente de IA)
- Importers / distributors: empresas que distribuyen IA
Si en su empresa utilizan ChatGPT, Claude, Microsoft Copilot, Gemini o un sistema de RRHH/CRM con funcionalidad IA, son deployer. Y los deployers tienen obligaciones, especialmente para los sistemas de IA de alto riesgo.
4 niveles de riesgo de los sistemas de IA: qué pertenece a cada uno
El AI Act clasifica los sistemas de IA en 4 categorías según el riesgo.
Nivel 1: Riesgo inaceptable (prohibido)
Qué entra aquí: Scoring social de ciudadanos (modelo chino), técnicas de manipulación subliminal, reconocimiento de emociones en el lugar de trabajo (!), categorización biométrica por raza/opiniones políticas, biometría remota en tiempo real en espacios públicos.
Qué significa para una pyme: No puede desplegar un sistema de IA que:
- Detecte el estado emocional de los empleados en open-space (aunque quisiera)
- Evalúe a los empleados según opiniones políticas
- Cree publicidad manipuladora basada en grupos vulnerables (niños, personas con depresión)
Vigencia: Desde el 2 de febrero de 2025.
Nivel 2: Alto riesgo
Qué entra aquí (relevante para pyme):
- IA en RRHH: cribado de CV, evaluación de desempeño, decisiones de contratación/promoción
- IA en créditos / credit scoring
- IA en evaluación de notas educativas
- IA en decisiones sobre prestaciones sociales
- IA en infraestructura crítica (energía, agua)
Qué significa para una pyme: Si utiliza IA para precribar CV automáticamente, debe:
- Tener supervisión humana (una persona debe estar en el loop antes de cada decisión importante)
- Registrar la operación (log)
- Informar a los candidatos de que se utiliza IA
- Tener un risk management system (DPIA + AI risk assessment)
- Asegurar la calidad de los datos de entrenamiento (no bias)
Vigencia: Ola principal el 2 de agosto de 2026.
Nivel 3: Riesgo limitado: transparencia
Qué entra aquí:
- Chatbots (deben identificarse como IA)
- Deepfake: imágenes/vídeos generados deben estar etiquetados
- Sistemas de IA que reconocen emociones/biometría (fuera de los casos de alto riesgo)
Qué significa para una pyme: Si tiene un chatbot de IA en la web, debe indicar claramente “Está hablando con un asistente de IA”. Si utiliza IA para crear fotografías de marketing (deepfake-like), deben estar etiquetadas.
Vigencia: 2 de agosto de 2026.
Nivel 4: Riesgo mínimo (la mayor parte de la IA)
Qué entra aquí: Filtros de spam, IA en juegos, algoritmos de recomendación, asistente de IA en editor de texto, categorización automática de facturas, anomalías en el cash flow, modelos predictivos de stock.
Qué significa para una pyme: Ninguna obligación más allá del RGPD. Se puede usar sin restricciones. Pero también aquí es bueno tener una política interna de IA.
Supervisión humana: qué significa realmente
“Human in the loop” es un concepto clave en el AI Act. No basta con que la IA proponga una decisión y el humano haga clic en OK. Debe garantizarse:
- Capacidad del humano para entender el output de la IA (nada de caja negra)
- Capacidad de intervenir: sobreescribir, anular, detener
- Formación de las personas que trabajan con la IA
- Documentación del proceso: quién, cuándo, cómo controlaba
Ejemplo concreto: En la empresa, para reclutamiento, utiliza IA para evaluar CV. A los candidatos con baja puntuación no les puede enviar automáticamente el rechazo. Cada CV debe verlo el HR manager, que tiene la posibilidad de revertir la evaluación de la IA.
6 casos de uso concretos de IA en la pyme y su clasificación
| Caso de uso | Nivel de riesgo | Obligaciones |
|---|---|---|
| Categorización de facturas (OCR + IA) | Mínimo | Ninguna (solo RGPD) |
| Chatbot en la web | Limitado | Transparencia |
| IA en CRM: scoring de leads | Mínimo | Ninguna especial |
| IA para cribado de CV en reclutamiento | Alto | Supervisión humana + DPIA + log + información |
| IA para evaluación de desempeño de empleados | Alto | Supervisión humana + DPIA + log |
| ChatGPT/Claude para redacción de textos | Mínimo | Política interna de IA |
Consejo: Si no está seguro de la clasificación, use una prueba sencilla: “¿La IA toma una decisión que afecta directamente al trabajo, carrera, finanzas o derechos fundamentales de una persona concreta?” Si sí, probablemente alto riesgo.
Política práctica de IA para pyme: el mínimo que necesita en 2026
Toda empresa que use IA (y en 2026 será cada una) debería tener una breve política interna de IA. Contenido recomendado:
- Lista de herramientas de IA aprobadas (whitelist)
- Prohibición de introducir datos sensibles / de clientes en IA públicas (ChatGPT free), solo en versiones enterprise con DPA
- Regla de transparencia: el contenido generado por IA debe estar etiquetado
- Revisión humana antes de publicar / enviar al cliente
- Lista de casos de uso de IA con clasificación de riesgo (actualizar cada 6 meses)
- Formación al menos una vez al año
- Contacto: quién en la empresa responde preguntas sobre IA (DPO o responsable delegado)
Modulario ofrece funciones de IA (categorización de documentos, anomalías, asistente) al nivel de riesgo mínimo y limitado con plena transparencia y supervisión humana. Más en la página sobre IA y en la documentación de seguridad.
Sanciones: cuánto le puede costar
El AI Act define 3 niveles de multas:
| Infracción | Máximo | Para quién |
|---|---|---|
| Uso de prácticas de IA prohibidas | 35 M EUR / 7 % de facturación | Todos |
| Incumplimiento de obligaciones en IA de alto riesgo | 15 M EUR / 3 % de facturación | Providers, deployers |
| Suministro de información falsa al regulador | 7,5 M EUR / 1 % de facturación | Todos |
Para una pyme suena abstracto, pero los reguladores confirman que multarán de forma proporcional: la multa típica para una pyme española se espera en el rango de 10.000 a 100.000 EUR, lo cual es liquidador para una empresa de 20 personas.
Checklist para la pyme española en 2026
- Realice una auditoría de todas las herramientas de IA que usan los empleados en la empresa (incluidas las en la sombra)
- Clasifique cada una según el nivel de riesgo
- Redacte una política de IA de 1 página y comuníquela al equipo
- Bloquee el acceso a herramientas de IA públicas (ChatGPT free) para datos sensibles
- Actualice la documentación RGPD: DPIA para el uso de IA
- En reclutamiento / RRHH con IA: implante un proceso formal de supervisión humana
- Etiquete los chatbots y el contenido generado por IA en la web
- Añada formación sobre IA al onboarding
Conclusión
El AI Act no es una amenaza existencial para la pyme española, es un marco que protege a clientes y empleados del mal uso de la IA. La mayoría de los usos de IA en pymes (OCR, categorización, asistentes de texto) entra en el riesgo mínimo y no exige más que una política interna y formación. Las áreas de riesgo (RRHH, scoring) requieren supervisión humana y documentación.
¿Utiliza IA y quiere asegurarse de cumplir con el AI Act? Vea cómo aborda Modulario la IA o reserve una consulta gratuita de 30 minutos. Repasaremos juntos su stack de IA y le prepararemos un checklist de cumplimiento a medida.