Castilla y León tiene un tejido empresarial formado mayoritariamente por pymes y micropymes. Industria agroalimentaria en Burgos y Aranda de Duero, automoción en Valladolid, turismo y patrimonio en Salamanca y Segovia, tecnología agraria en Zamora y León. Todas estas empresas, grandes o pequeñas, están incorporando herramientas de inteligencia artificial a sus flujos de trabajo. Y todas están dentro del ámbito de aplicación del Reglamento (UE) 2024/1689, el AI Act europeo.
Esta guía está escrita específicamente para empresas de Castilla y León: qué les afecta, qué casos de uso tienen mayor riesgo en sus sectores y qué pasos deben dar para cumplir la ley de IA.
¿Por qué Castilla y León debería preocuparse por el AI Act?
La respuesta corta: porque ya usa IA, aunque no lo llame así. Una empresa de logística en Burgos que usa software de planificación de rutas con optimización automática está usando IA. Un despacho jurídico en Valladolid que usa ChatGPT para redactar contratos está usando IA. Una empresa de RRHH en León que filtra CVs con un ATS que incorpora scoring automático está usando IA de alto riesgo según el Anexo III del reglamento.
El AI Act no distingue entre empresa grande y pyme. Distingue entre tipos de uso y sus impactos potenciales. Una pyme de 20 personas que usa una herramienta de evaluación de desempeño basada en IA tiene las mismas obligaciones en ese punto concreto que una multinacional.
Sectores clave en Castilla y León y su relación con el AI Act
Industria agroalimentaria (Burgos, Aranda, Arévalo)
El sector agroalimentario de la región utiliza IA crecientemente para control de calidad visual (visión artificial), predicción de demanda y gestión de inventarios. Los sistemas de visión artificial en líneas de producción pueden clasificarse como alto riesgo si afectan a decisiones sobre empleados (Art. 26). Los sistemas de predicción de demanda o gestión de stocks son generalmente de riesgo mínimo.
La obligación más inmediata: formación (Art. 4) para los operarios que interactúan con sistemas de IA y auditoría de proveedores para saber si el software de control de calidad incorpora IA y de qué tipo.
Automoción y proveedores (Valladolid, Palencia)
Los proveedores de primer y segundo nivel de automoción de Castilla y León están integrados en cadenas de suministro de OEMs europeos que ya están exigiendo evidencias de cumplimiento del AI Act a sus proveedores. Si tu empresa fabrica piezas para Renault, Stellantis o Volkswagen y usas IA en cualquier parte del proceso, es probable que en 2025 o 2026 empieces a recibir cuestionarios de cumplimiento de tus clientes.
Para estos proveedores, el cumplimiento del AI Act no es solo una obligación legal: es un requisito comercial que puede afectar a contratos.
Turismo y hostelería (Salamanca, Ávila, Segovia, Soria)
El uso de chatbots de atención al cliente, herramientas de revenue management con IA y sistemas de personalización de ofertas está creciendo en el sector turístico de la región. Los chatbots de atención al cliente caen bajo el Artículo 50.1: obligación de informar al usuario de que está interactuando con una IA, no con una persona. Un simple aviso en el inicio de la conversación cumple este requisito.
Servicios profesionales (despachos, gestorías, consultoras)
Los despachos de abogados, gestorías y consultoras de la región son algunos de los usuarios más activos de IA generativa. Redacción de documentos, análisis de contratos, búsqueda jurídica. En general, estos usos son de riesgo mínimo o limitado. Pero si el despacho usa IA para evaluar la solvencia de un cliente (scoring crediticio) o para análisis de riesgo financiero, puede estar en el territorio del Anexo III.
Shadow AI: el problema más común en las pymes castellanas
La shadow AI es el uso de herramientas de IA no autorizadas ni supervisadas por la empresa. En una pyme de 15 personas en Burgos, el panorama típico es este: tres empleados usan ChatGPT con su cuenta personal, uno usa Gemini, otro usa DeepSeek porque "es más rápido", y nadie sabe qué datos están metiendo en cada herramienta.
El problema no es el uso en sí: es que si un empleado introduce datos personales de clientes, información financiera confidencial o datos de empleados en una herramienta de IA no supervisada, la empresa está incumpliendo el RGPD y, desde 2025, también el Art. 4 del AI Act.
Detectar la shadow AI en tu organización es el primer paso. La mayoría de pymes de la región no tienen herramientas para hacerlo: los logs de uso de ChatGPT no llegan al departamento de TI, y muchas empresas ni siquiera tienen un responsable de seguridad dedicado.
Pasos específicos para pymes de Castilla y León
Paso 1: Inventario de IA (una semana)
Pregunta a cada persona del equipo qué herramientas de IA usa y para qué. Crea una hoja de cálculo con: herramienta, departamento, tipo de datos que introduce, si tiene cuenta de empresa o personal. Este inventario es el punto de partida del dossier AESIA.
Paso 2: Política de uso de IA (dos días)
Define qué herramientas están permitidas (ChatGPT con cuenta empresa, Copilot 365), cuáles requieren aviso interno (herramientas no auditadas pero de uso documentado) y cuáles están bloqueadas (herramientas con servidores fuera del EEE sin DPA, herramientas de evaluación de empleados sin conformidad Art. 26). Comunica la política por escrito.
Paso 3: Formación Art. 4 (dos semanas)
Diseña o contrata un módulo de formación básico de 45-60 minutos que cubra: qué es la IA y cómo funciona a nivel básico, qué no debe introducirse en una IA (datos personales, datos financieros, secretos comerciales), cómo reconocer los errores y sesgos de la IA, y los derechos de los clientes y empleados. Documenta quién lo completó.
Paso 4: Responsable interno de IA
Designa formalmente a una persona como responsable de IA (puede ser el responsable de calidad, el director de operaciones o el responsable de TI si existe). Esta persona gestiona el inventario, es el punto de contacto ante la AESIA y toma las decisiones sobre incidentes.
Una pyme de Burgos de 12 personas que hace esto tiene, en cuatro semanas y sin contratar a nadie externo, el nivel de cumplimiento mínimo que la AESIA exige en 2025. No es complejo. Es organizativo.
Recursos disponibles en Castilla y León
La Junta de Castilla y León, a través de ADE (Agencia de Innovación, Financiación e Internacionalización Empresarial), tiene líneas de apoyo a la digitalización de pymes que pueden financiar parcialmente proyectos de gobernanza de IA. El programa Kit Digital (aunque en su versión actual no cubre específicamente AI Act) tiene segmentos aplicables a la implementación de herramientas de seguridad digital.
Las Cámaras de Comercio de Burgos y Valladolid han organizado sesiones informativas sobre el AI Act en 2024 y 2025. Contactar con ellas es un primer paso gratuito para entender las obligaciones específicas de tu sector.
Si tienes una empresa en Burgos, Valladolid, Salamanca o cualquier provincia de Castilla y León y quieres empezar a controlar el uso de IA de tu equipo hoy mismo, el dashboard de delfosgov está disponible sin instalación de servidor.