Ley IA para PYMES: guía completa + checklist 2026

Disclaimer importante: Este artículo es divulgativo, escrito desde una perspectiva técnica de implementación. No constituye asesoría legal. Para casos concretos consulta con un abogado colegiado especializado en derecho digital.

Si tu pyme usa inteligencia artificial en cualquier forma —chatbots, automatización, análisis de datos, recomendaciones—, el Reglamento de IA (AI Act) te afecta directamente.

Publicado el 12 de julio de 2024 en el DOUE y en vigor desde el 1 de agosto de 2024, el AI Act es la regulación tecnológica europea más relevante en años. Las primeras obligaciones (sistemas prohibidos y alfabetización en IA) son aplicables desde el 2 de febrero de 2025. Las obligaciones de sistemas de alto riesgo entran en vigor el 2 de agosto de 2026.

Esta guía te muestra:

• Qué es el AI Act y cómo te afecta
• Qué sistemas necesitan cumplimiento
• Cómo implementarlo en 30 días
• Checklist práctico para tu empresa
• Sanciones reales por incumplimiento

El Reglamento (UE) 2024/1689, conocido como AI Act, establece un marco legal armonizado para desarrollar, desplegar y usar sistemas de IA de forma responsable en toda la UE.

En 3 puntos clave:

1. Categoriza los sistemas de IA por nivel de riesgo
2. Exige transparencia sobre cómo funcionan
3. Responsabiliza a empresas por decisiones automatizadas

Funciona como el RGPD, pero para sistemas de IA en lugar de datos personales.

La pirámide de riesgo

El reglamento clasifica los sistemas de IA en 4 niveles:

🔴 RIESGO INACEPTABLE (prohibidos):

• Vigilancia biométrica masiva en espacios públicos
• Sistemas que manipulan comportamiento causando daño
• Social scoring de personas por autoridades públicas
• Reconocimiento de emociones en el trabajo o la educación

La mayoría de pymes no toca estas categorías.

🟠 RIESGO ALTO (cumplimiento estricto):

• IA en RR.HH. para selección, evaluación o despido
• Scoring crediticio
• Sistemas biométricos de identificación
• IA en infraestructuras críticas, educación, justicia

🟡 RIESGO LIMITADO (cumplimiento moderado):

• Chatbots de atención al cliente
• Sistemas de recomendación (productos, contenidos)
• Generadores de contenido (IA generativa)
• Deepfakes (con obligación de etiquetado)

🟢 RIESGO MÍNIMO (sin requisitos específicos):

• Filtros de spam
• Correctores ortográficos
• IA en videojuegos

Si tu pyme usa cualquiera de estos, aplica algún nivel de cumplimiento:

🟡 Riesgo limitado (la mayoría de pymes)

1. Transparencia: informar al usuario que interactúa con un sistema de IA. Ejemplo: "Este chat está impulsado por IA".
2. Documentación: registrar cómo funciona el sistema, qué datos usa y los cambios o actualizaciones.
3. Monitoreo: revisión periódica para detectar fallos o sesgos.
4. Política de privacidad actualizada: qué datos se recogen, con quién se comparten, plazos de conservación.

🟠 Riesgo alto (RR.HH., scoring, biometría…)

Además de todo lo anterior:

5. Evaluación de impacto en derechos fundamentales (FRIA): análisis exhaustivo de riesgos, identificación de discriminación potencial y plan de mitigación.
6. Testing riguroso: probar el sistema con datos reales, verificar ausencia de sesgos discriminatorios, documentar resultados.
7. Supervisión humana significativa: una persona humana debe poder intervenir, revisar y revertir decisiones del sistema, especialmente las que afectan a derechos.
8. Trazabilidad y registros: logs detallados de uso, decisiones tomadas y datos de entrada/salida, conservados durante el plazo legal.
9. Información al afectado: derecho del usuario a saber que se ha aplicado IA en una decisión que le afecta y a solicitar revisión humana.

Fase 1 — Auditoría (Semana 1)

Objetivo: saber qué sistemas tienes y qué nivel de riesgo aplican.

• ☐ Lista todos los sistemas que usan IA (chatbots, automatizaciones, análisis de datos, IA generativa, etc.)
• ☐ Categoriza cada uno por nivel de riesgo (usa la tabla anterior)
• ☐ Identifica quién los opera y para qué
• ☐ Documenta el responsable (propietario interno) de cada sistema

Plantillas disponibles bajo solicitud — escríbenos a través del formulario de contacto.

Fase 2 — Documentación (Semana 2)

Objetivo: tener evidencia de cumplimiento.

• ☐ Crear registro interno de sistemas de IA
• ☐ Para cada sistema, documentar: nombre, proveedor, descripción funcional, datos que usa, operador interno, fecha de implementación, cambios realizados
• ☐ Crear y publicar una política de uso de IA en tu organización

Fase 3 — Transparencia (Semana 3)

Objetivo: avisar a usuarios e interesados.

• ☐ Si tienes chatbot: añadir disclaimer visible "Impulsado por IA"
• ☐ Si usas recomendaciones automatizadas: avisar "Recomendaciones personalizadas"
• ☐ Si analizas datos de clientes con IA: actualizar política de privacidad
• ☐ Crear FAQ pública: "Cómo usamos IA en nuestra empresa"

Fase 4 — Monitoreo (Semana 4)

Objetivo: detectar problemas antes de que causen daño.

• ☐ Definir métricas de seguimiento (precisión, falsos positivos, sesgos detectados)
• ☐ Crear proceso de revisión mensual
• ☐ Documentar incidencias (si las hay) en un registro accesible
• ☐ Crear plan de respuesta ante problemas (rollback, comunicación, etc.)

Caso 1 — Agencia de marketing con chatbot

Situación: chatbot en la web atendiendo dudas y captando leads.

Cumplimiento aplicable:

• ✅ Aviso visible: "Este chat es impulsado por IA"
• ✅ Documentación interna del funcionamiento
• ✅ Revisión periódica de respuestas (sesgos, errores)
• ✅ Conservar registro de conversaciones según política

Coste de implementación: bajo (es procedimental, no técnico).

Caso 2 — Empresa que filtra candidatos con IA

Situación: software que analiza CVs automáticamente.

Cumplimiento aplicable (RIESGO ALTO):

• ✅ Supervisión humana obligatoria: un recruiter revisa los candidatos seleccionados/descartados
• ✅ Documentación exhaustiva del algoritmo y datos de entrenamiento
• ✅ Test de sesgos (género, edad, origen, etc.)
• ✅ Aviso a candidatos de que se usa IA
• ✅ Derecho del candidato a solicitar revisión humana

Coste de implementación: medio-alto (procesos + documentación + testing).

Caso 3 — Entidad que evalúa solicitudes de crédito

Situación: software que decide automáticamente sobre créditos.

Cumplimiento aplicable (RIESGO ALTO):

• ✅ Todo lo anterior, más:
• ✅ Evaluación de impacto en derechos fundamentales (FRIA)
• ✅ Test de sesgo riguroso y documentado
• ✅ Intervención humana significativa en cada decisión
• ✅ Explicación al cliente del motivo de rechazo
• ✅ Derecho a apelar ante un humano

Coste de implementación: alto (consultoría especializada + abogado colegiado).

El AI Act prevé sanciones graduadas según la infracción. Estos son los importes máximos reales (Art. 99 del Reglamento):

Para pymes y startups el reglamento prevé que se aplique la cuantía MENOR de las dos opciones (no la mayor), suavizando el impacto.

Cuándo empiezan las inspecciones reales:

• Sistemas prohibidos: aplicable desde 2 feb 2025 (ya en vigor)
• Sistemas de propósito general (GPAI): 2 ago 2025
• Sistemas de alto riesgo: 2 ago 2026
• Resto del reglamento plenamente aplicable: 2 ago 2026

En España, la AESIA (Agencia Española de Supervisión de Inteligencia Artificial) es la autoridad competente.

Responde sí o no:

• ☐ ¿Has documentado todos tus sistemas de IA?
• ☐ ¿Avisas a usuarios cuando interactúan con IA?
• ☐ ¿Tu política de privacidad está actualizada para incluir IA?
• ☐ ¿Hay alguien revisando regularmente que el sistema funciona bien?
• ☐ ¿Guardas registro de cambios y actualizaciones?
• ☐ Si hay decisiones automáticas con impacto, ¿las revisa un humano?

Si has respondido NO a 2 o más preguntas, necesitas un proceso de cumplimiento.

Opción 1 — Hazlo tú (DIY)

• Tiempo: 20-40 horas distribuidas en 4 semanas
• Coste: solo el tiempo del equipo interno
• Riesgo: medio (puede pasarse por alto algún punto)

Opción 2 — Consultoría técnica de cumplimiento

• Tiempo: 2-3 semanas
• Coste: solicita presupuesto personalizado según el tamaño y la complejidad
• Riesgo: bajo (un equipo experto detecta lagunas)

Opción 3 — Auditoría completa + implementación

• Tiempo: 4-6 semanas
• Coste: solicita presupuesto personalizado
• Riesgo: muy bajo (cobertura técnica + asesoramiento legal de partner colegiado)

Mi recomendación para pymes: Opción 2. Suele costar menos que la sanción mínima posible y aporta cobertura técnica documentada.

• 📋 Plantillas de auditoría y política de IA: disponibles bajo solicitud — pídelas a través del formulario de contacto
• 📄 Texto oficial del Reglamento: Reglamento (UE) 2024/1689
• 🏛️ AESIA: agencia española competente — aesia.gob.es
• 📚 AEPD (privacidad y datos): aepd.es
• 🔗 Más información en nuestra página de cumplimiento AI Act

El AI Act ya está en vigor. Las obligaciones de sistemas prohibidos son aplicables desde febrero de 2025. Las de alto riesgo entran en agosto de 2026.

Si actúas ahora:

• ✅ Evitas sanciones futuras
• ✅ Ganas confianza de clientes (sello de cumplimiento)
• ✅ Te adelantas a la competencia
• ✅ Reduces la presión cuando lleguen las inspecciones

Si esperas:

• ❌ Riesgo de sanción cuando lleguen las inspecciones de alto riesgo (a partir de ago 2026)
• ❌ Procesos a contracorriente para "ponerse al día"
• ❌ Posible pérdida de confianza si hay incidente público

Si tu pyme usa IA pero no tienes claro cómo encajar el cumplimiento, contáctanos para una conversación inicial sin compromiso.

Ofrecemos:

• Auditoría técnica de cumplimiento
• Implementación de políticas y procesos internos
• Monitoreo continuo
• Coordinación con asesoría legal especializada (partner colegiado)

Solicita una consulta gratuita →

Última actualización: mayo 2026. Próxima revisión prevista: octubre 2026 (cuando empiecen a aplicarse las obligaciones de sistemas de alto riesgo).