El 1 de agosto de 2026 entró en vigor el primer bloque de obligaciones del Reglamento Europeo de Inteligencia Artificial (EU AI Act) para los sistemas de alto riesgo. España ha sido uno de los primeros países en transponer la directiva a su ordenamiento jurídico, con la publicación del Real Decreto de desarrollo en mayo de 2026. Esto significa que, si tu pyme utiliza o planea utilizar inteligencia artificial, la regulación ya te afecta.
En este artículo —que complementa nuestra guía práctica de esta mañana sobre IA para equipos comerciales— analizamos qué dice exactamente la regulación española, qué obligaciones tienen las pymes, qué plazos manejar y cómo cumplir sin necesidad de un departamento legal.
Porque la regulación no es un obstáculo: es el marco que da seguridad jurídica a tu inversión en IA.
Qué regula el EU AI Act y cómo afecta a España
El Reglamento Europeo de Inteligencia Artificial (Reglamento 2024/1689) clasifica los sistemas de IA por nivel de riesgo: mínimo, limitado, alto y prohibido. La mayoría de los usos que una pyme hace de la IA —chatbots, asistentes comerciales, herramientas de marketing, automatización de procesos internos— entran en la categoría de riesgo mínimo o limitado, lo que implica obligaciones ligeras de transparencia.
El riesgo alto aplica a sistemas que afectan derechos fundamentales: contratación laboral, evaluación crediticia, acceso a prestaciones públicas, sistemas biométricos. Si tu pyme no opera en esos ámbitos —y la mayoría no lo hace— las obligaciones son muy asumibles.
España, mediante el Real Decreto 428/2026, de 15 de mayo, ha designado a la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) como autoridad nacional de supervisión, y ha creado un procedimiento simplificado para pymes que reduce la carga documental al 40% de lo que se exige a grandes empresas. Esta es una diferencia importante con otros países europeos: España ha apostado por facilitar el cumplimiento a las pequeñas y medianas empresas.
Obligaciones de las pymes por tamaño y uso de IA
La regulación distingue tres escenarios para las pymes españolas, según el tipo de IA que utilicen:
Escenario 1: Usas herramientas de IA estándar (riesgo mínimo o limitado). Es el caso más común: ChatGPT, herramientas de automatización, asistentes virtuales, análisis de datos. Tus obligaciones son:
Informar a los usuarios de que están interactuando con un sistema de IA (solo si es un chatbot o asistente conversacional).
No generar contenido engañoso o deepfakes sin etiquetar.
Documentar brevemente qué sistemas usas y para qué (un formulario de una página, no un expediente).
Escenario 2: Desarrollas o adaptas sistemas de IA para tu empresa (riesgo limitado). Si tu pyme entrena modelos propios o adapta modelos preentrenados con tus datos, añades obligaciones de:
Transparencia: informar del uso de datos de entrenamiento.
Gobernanza de datos: saber qué datos usaste y cómo los trataste.
Registro en el sandbox regulatorio de la SEDIA (gratuito, trámite online de 20 minutos).
Escenario 3: Usas IA para procesos de alto riesgo (contratación, créditos, prestaciones). Aquí las obligaciones son más exigentes, aunque España ha creado una ventanilla única para pymes que simplifica la documentación:
Evaluación de conformidad (versión simplificada para pymes).
Sistema de gestión de riesgos documentado.
Supervisión humana continua.
Registro obligatorio en la base de datos europea.
Según la SEDIA, menos del 5% de las pymes españolas que usan IA operan en el escenario 3. La inmensa mayoría está en los escenarios 1 o 2, con obligaciones muy asumibles.
Calendario de obligaciones 2026-2027
Estas son las fechas clave que toda pyme debe conocer:
Agosto 2026: Entrada en vigor de obligaciones para sistemas de alto riesgo (evaluación de conformidad, registro). Si tu pyme usa IA para selección de personal o evaluación crediticia, tienes que estar en regla desde esta fecha.
Febrero 2027: Obligaciones de transparencia para sistemas de riesgo limitado. Incluye la mayoría de chatbots, asistentes virtuales y herramientas de automatización conversacional.
Agosto 2027: Plazo completo para sistemas de riesgo mínimo (la mayoría de las pymes). Las obligaciones se limitan a buenas prácticas y registro voluntario en el sandbox.
Diferencia clave: A diferencia de otras regulaciones europeas donde las pymes tenían menos plazo, el EU AI Act otorga 12 meses adicionales a las pymes para adaptarse, y la transposición española añade 6 meses más para empresas de menos de 50 empleados. Esto significa que la mayoría de las pymes tienen hasta agosto de 2027 para cumplir completamente.
Sanciones: cuánto arriesgas si no cumples
Las sanciones por incumplimiento del EU AI Act son significativas, pero conviene ponerlas en contexto:
Sistemas prohibidos: hasta 35.000.000 € o el 7% del volumen de negocio anual global. Aplican a sistemas de manipulación conductual, puntuación social y reconocimiento masivo de emociones. Ninguna pyme española usa estos sistemas.
Alto riesgo sin cumplir: hasta 15.000.000 € o el 3% del volumen de negocio.
Transparencia (riesgo limitado): hasta 7.500.000 € o el 1% del volumen de negocio.
Pymes: España ha establecido un régimen sancionador progresivo que reduce las sanciones al 40% para empresas de menos de 50 empleados durante los primeros 12 meses de aplicación, siempre que demuestren que están en proceso de adaptación.
En la práctica, la SEDIA ha comunicado que su prioridad durante 2026-2027 no es sancionar, sino acompañar y asesorar a las pymes en la adaptación. Las inspecciones se centrarán en sistemas de alto riesgo de grandes empresas y en denuncias fundadas.
Cinco pasos para cumplir con la regulación sin estrés
Si tu pyme usa inteligencia artificial —aunque sea solo ChatGPT—, estos pasos te garantizan estar en regla sin invertir semanas de trabajo:
1. Haz un inventario de tus sistemas de IA. Lista todo lo que uses: ChatGPT, herramientas de automatización, asistentes virtuales, modelos de análisis de datos. No importa si son gratuitos o de pago. El primer paso es saber qué tienes.
2. Clasifica el nivel de riesgo de cada sistema. Usa la herramienta de autodiagnóstico de la SEDIA (gratuita, online, 10 minutos). Te dirá si estás en riesgo mínimo, limitado o alto. El 90% de las pymes estarán en riesgo mínimo o limitado.
3. Documenta lo básico. Para cada sistema, guarda una ficha breve: nombre, proveedor, qué hace, qué datos usa, desde cuándo. No necesitas un expediente legal. Una hoja de cálculo con 5 columnas es suficiente.
4. Revisa tus contratos con proveedores de IA. Asegúrate de que tus proveedores (OpenAI, Anthropic, Google, etc.) cumplen con el EU AI Act. Todos los grandes proveedores ya han publicado sus declaraciones de conformidad. Si usas una herramienta de un proveedor pequeño, pídele su declaración por escrito.
5. Establece un proceso de revisión anual. La regulación no es un evento único. Marca en el calendario una revisión anual de tu inventario de IA para actualizarlo con nuevos sistemas o cambios en los existentes.
En WTG AI asesoramos a pymes españolas en el cumplimiento normativo de IA, desde el inventario inicial hasta la documentación completa. Agenda tu diagnóstico gratuito en nuestra web y descubre si tu empresa está al día con la regulación.
Artículos relacionados
Últimos artículos
IA práctica para crecer cada semana
Recibe artículos y insights sobre automatización, agentes y crecimiento con IA aplicados a negocio. Contenido breve, accionable y relevante para tu sector.
