Herramientas

Cómo afecta el AI Act a tu pyme: qué te obliga ya (y qué no)

«Han retrasado el AI Act» es el titular más malinterpretado del año. Lo que de verdad te "obliga etiquetar tu chatbot" y formar a tu equipo sigue en pie y la AESIA ya puede sancionarlo. Qué aplica y qué no, sin alarmismo

Gonzalo
Gonzalo· Fundador
· 5 min de lectura
IA ACT

Leíste el titular —«la UE retrasa el AI Act a 2027»— y respiraste tranquilo: nada que hacer hasta dentro de dos años. Ese suspiro es, precisamente, el error que te puede costar caro.

El aplazamiento es real, pero cubre solo una parte del Reglamento que la mayoría de las pymes no toca nunca. Lo que de verdad obliga a tu negocio —avisar de que tu chatbot es una IA, formar a tu equipo— no se ha movido ni un día, es exigible ya, y la autoridad española, la AESIA, puede sancionarlo. De hecho, dentro de tres semanas, el 2 de agosto de 2026, entran en vigor las obligaciones de transparencia que afectan a casi cualquier empresa que use IA con sus clientes.

Esta guía te explica, en cristiano y sin alarmismo, qué te obliga el AI Act hoy y qué no. Un aviso de partida por honestidad: no somos abogados. Esto te da el mapa; la interpretación vinculante para tu caso concreto la hace tu asesor legal, y la referencia oficial son las guías de la AESIA.

«Han retrasado el AI Act»: por qué ese titular te puede costar caro

Aclaremos qué pasó de verdad. La Comisión Europea propuso a finales de 2025 el llamado Digital Omnibus, un paquete para simplificar la normativa digital, y su efecto principal sobre el AI Act es aplazar las obligaciones de los sistemas de alto riesgo. El Parlamento Europeo lo aprobó el 16 de junio de 2026 y el Consejo le dio el visto bueno final el 29 de junio.

Pero «aplazar» no es «eximir», y aquí está la trampa. Lo único que se mueve son los sistemas de alto riesgo del Anexo III —selección de personal, scoring crediticio, biometría, educación—, que pasan de agosto de 2026 a diciembre de 2027, y la IA integrada en productos regulados, que va a agosto de 2028. Todo lo demás sigue su calendario original.

El calendario del AI Act para tu pyme Qué aplica y cuándo, tras el Digital Omnibus Feb 2025 Prohibiciones y alfabetización en IA EN VIGOR Ago 2025 Modelos GPAI y régimen de sanciones EN VIGOR 2 Ago 2026 Transparencia: etiquetar chatbots y deepfakes CLAVE · a 3 semanas 2 Dic 2026 Marca de agua y veto a la nudificación NUEVO 2 Dic 2027 Alto riesgo: RRHH, scoring, biometría APLAZADO (era ago 2026) 2 Ago 2028 IA en productos regulados (Anexo I) APLAZADO

Hay un matiz jurídico que conviene tener presente: mientras el Digital Omnibus no se publique en el Diario Oficial de la UE —previsto para este julio, antes del 2 de agosto—, la ley que vincula es el Reglamento en su redacción original. Construir tu calendario sobre un aplazamiento que aún no está publicado es un riesgo evitable. Y para lo que te afecta como pyme, da igual: eso no se aplaza.

Lo que de verdad te obliga hoy si usas IA, aunque seas una pyme

El Reglamento no obliga solo a quien fabrica la IA, sino también a quien la usa en su actividad, lo que llama «responsable del despliegue». Y esa es tu empresa si tienes un chatbot, generas contenido con IA o usas ChatGPT en el día a día. La buena noticia es que tus obligaciones, siendo usuario y no fabricante, son pocas y concretas.

Obligación A quién Desde
Formar al equipo (alfabetización) Toda empresa que usa IA Feb 2025 (ya)
No usar sistemas prohibidos Todos Feb 2025 (ya)
Etiquetar chatbot y contenido IA Quien usa chatbots o genera contenido 2 ago 2026
Régimen de alto riesgo Solo RRHH, scoring, biometría… 2 dic 2027 (aplazado)

En la práctica son tres cosas. Formar a tu plantilla en el uso de IA y dejarlo documentado, algo exigible desde febrero de 2025 (si no lo has hecho, llevas más de un año en falta). Avisar de que un cliente está hablando con una IA y marcar el contenido que generes con ella, desde el 2 de agosto de 2026. Y no usar los sistemas prohibidos. Poco más, si eres una pyme de servicios normal.

¿Tu pyme entra en «alto riesgo» o no? Spoiler: casi seguro que no

Todo el ruido regulatorio gira en torno al «alto riesgo», así que conviene saber si te toca, porque probablemente no. El Anexo III define el alto riesgo por el uso, y son casos concretos: cribar currículums, decidir contrataciones o despidos con IA, hacer scoring crediticio de personas, biometría, o IA en educación e infraestructuras críticas.

MÍNIMO
Usas ChatGPT para redactar, un chatbot de atención o un CRM con sugerencias → no es alto riesgo. Estás en transparencia y alfabetización, y ya está.
ALTO
Usas IA para cribar candidatos, decidir contrataciones o hacer scoring de clientes → sí es alto riesgo. Tienes hasta diciembre de 2027, pero empieza ya a prepararte.
NADA
No usas IA con clientes ni para decisiones → riesgo mínimo, sin requisitos extra más allá de no usar lo prohibido.

Si estás en alto riesgo, el aplazamiento a diciembre de 2027 te da aire, pero no lo malinterpretes como vacaciones: montar el expediente técnico, la gestión de riesgos y la supervisión humana que exige ese régimen lleva meses, no semanas. El tiempo que ganas se aprovecha, no se ignora.

Qué hacer ya, sin gastarte una fortuna

Lo tranquilizador es que cumplir con lo que te toca como pyme cuesta una tarde, no una consultoría cara. Cuatro pasos.

1
Haz inventario de tus IA
Apunta qué herramientas de IA usa tu empresa y para qué. Sin este mapa no puedes saber qué te aplica.
2
Forma a tu equipo y déjalo por escrito
Una formación básica en uso responsable de IA, con registro de asistencia. Es la obligación que más empresas incumplen sin saberlo.
3
Etiqueta tu chatbot y tu contenido IA
Un aviso de que se habla con una IA, y marcar imágenes o textos generados. Antes del 2 de agosto de 2026.
4
Comprueba si algún uso es alto riesgo
Sobre todo en RRHH o scoring. Si lo es, planifica el cumplimiento con vistas a diciembre de 2027.

Un apunte a tu favor: el Reglamento trata a las pymes con proporcionalidad. Los requisitos de documentación se adaptan a tu tamaño y tienes acceso prioritario a los «sandboxes» regulatorios, entornos supervisados para probar sistemas. No estás sujeto a la misma carga que una multinacional.

La AESIA ya puede sancionar: qué riesgo corres de verdad

Conviene no confundir «sin alarmismo» con «sin consecuencias». La AESIA, la autoridad española que supervisa esto, tiene competencias de inspección y sanción sobre las obligaciones que están en vigor. Una denuncia de un cliente que detecta un chatbot que no se identifica, o de un empleado sin formación, puede abrir un expediente desde el primer día.

No esperes a 2027, porque 2027 no es tu fecha límite. La tuya fue febrero de 2025 para la formación, y es el 2 de agosto de 2026 para la transparencia. Dedica una tarde: lista tus herramientas de IA, forma a tu equipo y documéntalo, pon una línea en tu chatbot que diga que es un bot, y comprueba si algo de lo que haces entra en alto riesgo. Con eso cierras la mayor parte de tu exposición por el precio de una tarde. El riesgo real no es que el AI Act sea duro con las pymes —es proporcionado y casi todas estáis en el tramo suave—, sino creerse un titular a medias y no hacer nada. Y, de nuevo, la nota honesta: esto es el mapa; la interpretación vinculante para tu caso la firma tu asesor legal, y las guías de la AESIA son la fuente que conviene vigilar.

Fuentes

Enlaces a las fuentes originales en las que se apoya esta noticia. Contrasta cada dato en su origen.

EtiquetasRegulación

Seguir leyendo