Cumplimiento legal: AI Act y RGPD

El AI Act en 60 segundos

El Reglamento (UE) 2024/1689 sobre IA entró en vigor el 1 de agosto de 2024. Aplicación plena para PYMES: 2 de agosto de 2026. Si tienes IA en tu empresa (chatbot, agente, automatización con LLM), te afecta.

Clasificación de riesgo: las 4 categorías

1. Prohibidos

Sistemas que NO puedes usar nunca: puntuación social tipo China, IA que manipula psicológicamente, biometría en tiempo real en espacios públicos sin orden judicial, etc. Sancionable con hasta 35 M€ o 7% facturación global.

Casi seguro NO te afecta si eres una PYME normal.

2. Alto riesgo

Sistemas que afectan a decisiones importantes sobre personas:

• Selección de personal (filtrar CVs con IA)
• Scoring crediticio
• Diagnóstico médico asistido
• Acceso a educación
• Decisiones de seguros
• Justicia y aplicación de la ley

Sancionable hasta 15 M€ o 3% facturación. Obliga a: documentación técnica completa, FRIA, supervisión humana, registro CE, transparencia.

3. Riesgo limitado

Chatbots, agentes conversacionales, generadores de contenido. La mayoría de implementaciones en PYMES están aquí. Obligaciones básicas:

• Informar al usuario de que interactúa con IA
• Marcar contenido generado por IA (deepfakes, imágenes sintéticas)
• Política de IA empresarial visible

Sancionable hasta 7,5 M€ o 1,5% facturación.Cumplimiento práctico: un párrafo en tu chatbot, un texto en tu política web. Asequible.

4. Riesgo mínimo

Filtros de spam, IA en videojuegos, autocompletado. Cero obligaciones específicas. Solo aplica RGPD si maneja datos personales.

RGPD: lo que se cruza con IA

El RGPD lleva 8 años en vigor pero la mayoría de PYMES siguen sin tener bien estos 4 puntos cuando usan IA:

• Base de licitud: ¿con qué legitimación procesas datos? (consentimiento, contrato, interés legítimo)
• Transferencia internacional: si usas Claude (Anthropic, US), GPT (OpenAI, US) o Gemini (Google, US), hay transferencia. Necesitas cláusulas tipo + evaluación
• Decisiones automatizadas (Art. 22): si tu IA decide sin intervención humana sobre una persona, hay obligaciones extra
• Derecho a explicación: si tu IA hace recomendaciones a clientes, deben poder pedir explicación de por qué

Plan de cumplimiento mínimo (1-2 días de trabajo)

1. Inventario de sistemas IA: lista cada uso de IA en tu empresa (chatbot web, automatización de emails, ChatGPT Plus que usa tu equipo, etc.)
2. Clasifica cada uno según las 4 categorías de arriba
3. Política de IA empresarial: 1-2 páginas que diga qué usas, para qué y cómo proteges datos
4. Informa a usuarios: aviso visible en chatbots, generadores, agentes
5. Registro de actividades de tratamiento (RAT): actualiza el RAT del RGPD añadiendo los sistemas IA
6. Cláusulas contractuales: verifica que tu acuerdo con Anthropic/OpenAI/Google incluye los DPA y SCC

Lo que NO necesitas (todavía)

• Marcado CE de tu IA (solo si es alto riesgo)
• Pagar a una consultora 15.000€ por una FRIA (solo si tu sistema es de alto riesgo)
• Auditoría externa anual (no es obligatorio para PYMES con riesgo limitado)

Recursos

• Servicio llave en mano: Cumplimiento AI Act para empresas en España
• Guía gratuita PDF: Descarga la plantilla AI Act
• Pillar profundo: Ley IA para PYMES — guía completa

Has llegado al final del curso

Si llegaste aquí: enhorabuena. Eres una de las pocas personas que de verdad sabe cómo implementar IA en una PYME. Tienes:

• Conocimiento de los 4 tipos de IA y cuál encaja en cada caso (Día 1)
• Una matriz de procesos automatizables priorizados (Día 2)
• Decisión técnica fundamentada sobre stack (Día 3)
• Plan de implementación de 2 semanas (Día 4)
• ROI calculado sin trampas (Día 5)
• Plan de adopción del equipo (Día 6)
• Cumplimiento legal mínimo cubierto (Día 7)