Cómo cumplir el AI Act siendo PYME: guía paso a paso 2026

Por qué una PYME tiene que cumplir el AI Act (aunque no haya programado IA)

El AI Act no se aplica solo a las empresas que desarrollan IA. Se aplica también a cualquier empresa que la use dentro de la UE. Si tu PYME paga una suscripción a ChatGPT, tiene Copilot integrado en Microsoft 365, usa un CRM con scoring automático, un email marketing con optimización de envío, un ATS con ranking de candidatos o un chatbot en la web, eres deployer del sistema y el Reglamento ya aplica.

El malentendido más extendido en España en 2026 es asumir que solo los desarrolladores de IA están obligados. La realidad es la contraria: el 95% de las obligaciones que verá una PYME son de deployer (empresa usuaria), no de provider (desarrollador). Quien usa el sistema tiene obligaciones independientes y propias, distintas de las del fabricante.

La consecuencia práctica: una gestoría con 5 empleados que usa ChatGPT Plus para redactar correos a clientes tiene obligación de formar al equipo (Art. 4), publicar política interna y verificar que no introduce datos personales sensibles en el sistema sin base jurídica.

El calendario que importa: 2 de febrero 2025, 2 de agosto 2025, 2 de agosto 2026

El AI Act no es una norma futura. Lleva meses aplicándose por tramos. Desde el 2 de febrero de 2025 son exigibles las prohibiciones del Art. 5 (vigilancia biométrica masiva, scoring social, manipulación cognitiva) y la obligación de alfabetización IA del Art. 4. Cualquier PYME que no haya formado a su equipo está ya en incumplimiento, aunque las inspecciones masivas no hayan empezado.

Desde el 2 de agosto de 2025 son exigibles las obligaciones para modelos de IA de propósito general (GPAI) y la gobernanza europea completa. Es lo que afecta a quien usa ChatGPT, Claude, Gemini o Copilot dentro de la UE.

El 2 de agosto de 2026 entra en vigor todo lo demás: obligaciones de alto riesgo del Anexo III, régimen sancionador completo del Art. 99 y capacidad operativa plena de la AESIA. Los primeros expedientes sancionadores españoles llegarán previsiblemente entre septiembre y diciembre de 2026.

Hoja de ruta de cumplimiento en 4 a 6 semanas

Para una PYME típica de 10 a 50 empleados sin sistemas de alto riesgo, el cumplimiento del AI Act se puede completar en 4 a 6 semanas con dedicación interna razonable y sin coste externo elevado.

Semana 1 y 2: inventario de sistemas IA + clasificación por riesgo. 6 a 8 horas internas. El inventario lo hace habitualmente IT o quien gestione las suscripciones SaaS. La clasificación requiere comparar contra el Anexo III, lo que puede acelerarse con un wizard automatizado.

Semana 3 y 4: formación del equipo y publicación de la política interna. 10 a 15 horas internas (preparar curso) + 2 a 4 horas por empleado (recibir formación). La política la redacta dirección con asesoría legal puntual o se parte de una plantilla validada.

Semana 5 y 6: avisos de transparencia en chatbot y contenido generado + registro de decisiones automatizadas. 4 a 6 horas internas + intervención del equipo técnico para añadir los avisos en producto. En PYMEs sin chatbot esta fase es trivial.

Errores caros que cometen las PYMEs en 2026

Tres errores que aparecen una y otra vez en las primeras consultorías AI Act realizadas en España y que conviene evitar desde el principio.

• Subestimar el inventario inicial. Una PYME típica usa entre 4 y 12 sistemas con IA, no 1 o 2. Si el inventario queda corto, todo el cumplimiento se hace sobre un perímetro falso.
• Confundir formación con alfabetización IA. Un workshop genérico de 'cómo usar ChatGPT' no cumple el Art. 4. La formación debe estar adaptada al puesto, vinculada a las herramientas reales y registrada por escrito.
• Esperar al verano de 2026 para empezar. La documentación se acumula con el tiempo. Si en septiembre llega una inspección y los logs solo cubren los últimos 30 días, la AESIA lo interpreta como cumplimiento aparente, no real.

Coste realista del cumplimiento para una PYME española

Una PYME que ejecute el cumplimiento internamente puede cubrirlo con 25 a 40 horas de trabajo distribuidas en 4 a 6 semanas. A coste interno de 30 a 50 €/hora, son entre 750 y 2.000 euros internos.

Si la PYME contrata consultoría jurídica externa para los pasos básicos, el rango típico en España en 2026 va de 2.500 a 6.000 euros, dependiendo del número de sistemas IA y la complejidad sectorial. Si la PYME tiene sistemas de alto riesgo (RRHH, salud, finanzas), el coste sube fácilmente a 8.000-15.000 euros.

Las herramientas automatizadas de cumplimiento (como las plataformas tipo AI Comply) reducen ese coste a un rango de 49 a 199 euros mensuales o pago único, automatizando el inventario, la clasificación por wizard, la generación de política interna y el seguimiento del registro. La diferencia respecto a consultoría tradicional puede alcanzar el 80-90% de ahorro.

Cuándo conviene apoyarse en una herramienta automatizada

Si la PYME tiene un solo sistema IA crítico y dispone de equipo legal interno, cumplir manualmente es viable. Si tiene 5 o más sistemas con IA invisible, el inventario y la clasificación manual se vuelven inasumibles en tiempo y propensos a error.

Una herramienta automatizada cubre los pasos repetibles: inventario por SaaS, clasificación automática contra Anexo III, generación de política interna a partir de plantilla, registro de formación y seguimiento del calendario hasta agosto 2026. Lo que NO automatiza es el criterio interno sobre qué decisiones automatizadas son aceptables en el negocio.

La combinación habitual y eficiente: herramienta automatizada para los pasos sistemáticos + 4 a 8 horas de consultoría puntual para validar lo dudoso. Coste total entre 500 y 1.500 euros para la mayoría de PYMEs.

Conclusión: cumplir antes de agosto 2026 es viable

El AI Act no es una norma diseñada para asfixiar PYMEs. La cláusula 99.6 ajusta las multas a las pequeñas empresas, las obligaciones se concentran en lo razonable (inventario, formación, transparencia, política interna), y el grueso del trabajo se puede ejecutar en 4 a 6 semanas.

Lo que sí es inviable es ignorar la norma o posponerla. Las inspecciones AESIA empezarán en otoño de 2026, las primeras sanciones se publicarán al cierre del año, y a partir de ahí el coste de no haber cumplido será evidente. Empezar antes del verano de 2026 es la decisión más rentable.