El Reglamento (UE) 2024/1689, conocido como AI Act o ley de inteligencia artificial, es la primera regulación integral sobre IA del mundo. Entró en vigor el 1 de agosto de 2024 y sus obligaciones se están activando de forma escalonada hasta 2027. Si tu empresa usa ChatGPT, Copilot, Claude o cualquier herramienta de IA generativa, ya estás dentro de su ámbito de aplicación.
Esta guía explica qué exige el AI Act a una pyme española, cuándo se activan las obligaciones y por dónde empezar sin gastarse el presupuesto en consultoras.
¿Qué es el AI Act y a quién afecta?
El AI Act clasifica los sistemas de inteligencia artificial según su nivel de riesgo y establece obligaciones proporcionales. Afecta a cualquier empresa establecida en la UE que use, despliegue o ponga en servicio sistemas de IA, independientemente de su tamaño. No existe una exención general para pymes, aunque la proporcionalidad está reconocida en varios artículos del reglamento.
El ámbito es amplio: ChatGPT para redactar presupuestos, Copilot para analizar hojas de cálculo, un chatbot de atención al cliente, o cualquier herramienta que tome decisiones basadas en datos de empleados o clientes.
Las cuatro categorías de riesgo
El AI Act organiza los sistemas de IA en cuatro niveles de riesgo, con obligaciones distintas para cada uno:
1. Riesgo mínimo: la mayoría de las herramientas de IA generativa
Redacción de textos, búsqueda, traducción, generación de código, filtros de spam. La obligación principal es el Artículo 4: alfabetización en IA. Todos los empleados que usen estas herramientas deben recibir formación básica sobre cómo funcionan, sus limitaciones y los riesgos de privacidad. La formación debe quedar documentada.
2. Riesgo limitado: chatbots y sistemas conversacionales
Chatbots de atención al cliente, asistentes virtuales que interactúan con personas. Se añade el Artículo 50.1: obligación de informar al usuario de que está hablando con una IA, no con una persona humana.
3. Alto riesgo: lo que define el Anexo III
Aquí entran los sistemas que afectan a decisiones importantes sobre personas. En el contexto de una pyme típica, los más relevantes son:
- RRHH: software que criba CVs, evalúa el rendimiento o toma decisiones de contratación basadas en IA
- Scoring crediticio: herramientas que evalúan la solvencia de clientes
- Biometría: reconocimiento facial o de voz para control de acceso
Para sistemas de alto riesgo, las obligaciones incluyen Arts. 4, 26, 27 y 49: formación obligatoria, responsable interno de IA designado, evaluación de impacto (DPIA), supervisión humana de cada decisión y registro en la base de datos de la UE.
4. Riesgo inaceptable: sistemas prohibidos
El Artículo 5 prohíbe sin excepciones: manipulación subliminal, social scoring gubernamental, biometría masiva no autorizada y, especialmente relevante para entornos laborales, la detección de emociones de empleados en el puesto de trabajo. Ninguna herramienta que analice el estado emocional de un trabajador puede ser usada legalmente en la UE desde agosto de 2024.
Los plazos que debes tener en cuenta
El AI Act no entra en vigor todo de golpe. Este es el calendario de aplicación:
- Agosto 2024: Entrada en vigor. Comienza a contar el período transitorio.
- Febrero 2025: Prohibiciones del Artículo 5 completamente aplicables. Si usas detección de emociones en empleados, estás fuera de la ley desde esta fecha.
- Agosto 2025: Obligaciones de gobernanza y alfabetización (Art. 4) para todos los sistemas de IA.
- 2026: Normas para sistemas de propósito general (GPAIs) como los modelos fundacionales.
- 2027: Plena aplicación de las obligaciones para sistemas de alto riesgo del Anexo III.
La obligación que más afecta a las pymes: el Artículo 4
El Artículo 4 del AI Act establece que los proveedores y desplegadores de sistemas de IA deben garantizar que su personal tiene suficiente alfabetización en IA. En términos prácticos, esto significa:
- Formación documentada para cada empleado que use IA en su trabajo
- Los empleados deben entender las limitaciones del sistema, los riesgos de privacidad y cuándo intervenir
- Certificados de formación que incluyan temario, asistente nominado y fecha
- Registro actualizable si el empleado cambia de herramienta o rol
No es una formación de 8 horas. Puede ser un módulo de 45 minutos bien diseñado, con un test de comprensión. Lo que importa es que quede registrado y sea verificable.
La responsabilidad interna: el Artículo 26
Para cualquier empresa que use sistemas de alto riesgo, el Artículo 26 exige la designación de un responsable interno de IA con autoridad real para supervisar el cumplimiento, escalar incidentes y actuar como punto de contacto ante la AESIA. En una pyme, esta función puede asumirla el director de operaciones o el responsable de cumplimiento, sin necesidad de contratar a nadie nuevo.
Qué pasa si no cumples
El AI Act prevé multas de hasta:
- 35 millones de euros o el 7% de la facturación mundial por incumplimiento de las prohibiciones del Art. 5
- 15 millones de euros o el 3% por incumplimiento de otras obligaciones
- 7,5 millones o el 1,5% por proporcionar información incorrecta a las autoridades
Para una pyme, el porcentaje sobre facturación hace que las multas sean proporcionales, pero la supervisión por parte de la AESIA y las obligaciones de notificación de incidentes siguen siendo reales.
Por dónde empezar: un plan de acción en cuatro pasos
- Inventario: Lista todas las herramientas de IA que usa tu equipo, incluyendo las no autorizadas (shadow AI). ChatGPT personal, Copilot del contable, el chatbot del CRM. Todo.
- Clasificación: Para cada herramienta, determina la categoría de riesgo según el uso que haces. La mayoría serán riesgo mínimo o limitado.
- Formación: Diseña un módulo básico de Art. 4 para todo el equipo. Documenta quién lo completó y cuándo.
- Políticas: Define qué herramientas están permitidas, cuáles requieren aviso y cuáles están bloqueadas. Comunícalo formalmente.
El AI Act no pide perfección inmediata. Pide evidencia de que la empresa está trabajando en ello: un inventario actualizado, formación documentada y políticas escritas son el punto de partida mínimo aceptable.
Si quieres una solución que automatice todo esto (inventario, formación, políticas y registro de incidentes), eso es exactamente lo que hace delfosgov. Empieza con el dashboard gratuito o lee cómo funciona la extensión de navegador.