El EU AI Act (Reglamento UE 2024/1689) Anexo III es plenamente exigible desde agosto 2026. Las pymes españolas que usan IA en marketing, RRHH o gestión documental tienen hasta 90 días para cumplir. Multas: hasta 7 % de la facturación anual.
El EU AI Act es la primera regulación integral de inteligencia artificial del mundo. Entró en vigor parcialmente en agosto 2024 (prohibiciones) y febrero 2025 (modelos de propósito general). El gran hito que afecta directamente a la mayoría de pymes españolas es agosto 2026: las obligaciones del Anexo III (sistemas de alto riesgo) son plenamente exigibles. Si tu empresa usa IA para selección de personal, scoring crediticio, gestión educativa, infraestructuras críticas, control de fronteras o aplicaciones legales — estás en el alcance del Anexo III. Si usas IA solo para marketing (chatbot web, generador de contenido, scoring de leads), probablemente estés en riesgo limitado, pero igualmente debes documentar uso y transparencia.
¿Qué obligaciones aplica el EU AI Act a una pyme española?
Las obligaciones se distribuyen según la categoría del sistema de IA. La clasificación es vinculante y los criterios están detallados en los anexos del Reglamento:
- Prohibidos (art. 5): manipulación cognitivo-conductual subliminal, explotación de vulnerabilidades, social scoring genérico, identificación biométrica masiva en espacios públicos en tiempo real (con excepciones). Si tu pyme usa alguno de estos, debe eliminarlo.
- Alto riesgo (Anexo III): educación, empleo (CV-screening, evaluación de rendimiento), servicios esenciales (sanitario, financiero), aplicación de la ley, control de fronteras, justicia, infraestructuras críticas. Obligaciones: sistema de gestión del riesgo, datos de entrenamiento de calidad, documentación técnica, registros automáticos, transparencia al usuario, supervisión humana, robustez, evaluación de conformidad, marcado CE.
- Riesgo limitado: chatbots, generadores de contenido (text/image/audio/video), sistemas de reconocimiento emocional, deepfakes. Obligación principal: transparencia (el usuario debe saber que interactúa con IA).
- Mínimo / nulo: filtros antispam, recomendadores de productos, IA en videojuegos. Sin obligaciones específicas, pero recomendado documentar uso.
El 80 % de pymes españolas usuarias de IA cae en riesgo limitado (chatbots de atención cliente, generación de contenido, scoring) — pero siguen estando en el alcance, y deben cumplir con la transparencia obligatoria.
¿Cuánto cuesta cumplir el AI Act en una pyme española en 2026?
Para una pyme de 20–200 empleados con 1–3 sistemas de IA en producción (chatbot, scoring, RAG), el coste realista de cumplimiento en formato proyecto llave en mano:
| Concepto | Pyme 20–50 emp (1–2 sistemas IA) | Pyme 50–200 emp (2–4 sistemas IA) |
|---|---|---|
| Auditoría inicial e inventario | 2.500–4.000 € | 4.000–7.000 € |
| Clasificación por riesgo y gap analysis | 3.000–5.500 € | 5.500–9.000 € |
| Remediation plan + políticas + procedimientos | 4.500–7.500 € | 7.500–13.000 € |
| Implantación controles técnicos + transparencia | 2.500–4.500 € | 4.500–8.000 € |
| Formación obligatoria al equipo (8 h) | 1.500–2.500 € | 2.500–4.500 € |
| ISO 42001 light (gobernanza IA · opcional) | 5.000–8.500 € | 8.500–14.000 € |
| Total proyecto 90 días (con ISO 42001) | 19.000–32.500 € | 32.500–55.500 € |
| Total proyecto 90 días (sin ISO 42001) | 14.000–24.000 € | 24.000–41.500 € |
| Mantenimiento año 2 | 2.500–5.000 €/año | 5.000–9.000 €/año |
El bono Kit Consulting de Red.es (Orden TDF/38/2026) subvenciona hasta 24.000 € en la asesoría estratégica. Una pyme Segmento A o B puede usar ese bono para cubrir totalmente las fases 1–3 (auditoría, clasificación, remediation plan).
¿Qué sistemas de IA están dentro del Anexo III alto riesgo?
El Anexo III lista 8 ámbitos de alto riesgo. La pyme española debe revisarlos uno a uno y declarar si tiene sistemas en cada uno:
- Biometría e identificación: reconocimiento facial, autenticación biométrica, categorización por rasgos biométricos.
- Infraestructuras críticas: gestión y operación de tráfico, agua, gas, energía, suministros esenciales.
- Educación y formación profesional: admisión, evaluación de resultados, asignación de instituciones.
- Empleo, gestión de trabajadores: contratación, screening de CV, asignación de tareas, evaluación de rendimiento, decisiones disciplinarias.
- Acceso a servicios esenciales: scoring crediticio, fijación de primas de seguro, evaluación para servicios públicos.
- Aplicación de la ley: análisis de riesgo predictivo, evaluación de fiabilidad de pruebas, perfilado.
- Migración, asilo y control de fronteras: análisis de fiabilidad de solicitudes, identificación.
- Justicia y procesos democráticos: investigación legal, interpretación de hechos, influencia en elecciones o referéndums.
Si una pyme tiene un sistema de CV-screening automatizado, está dentro del Anexo III (punto 4) y debe cumplir todas las obligaciones de alto riesgo. Si solo usa filtros de spam y chatbots de marketing, está en riesgo limitado.
Caso real: consultora de 18 empleados implanta cumplimiento AI Act en 90 días
Una consultora boutique de 18 empleados con sede en Madrid tenía dos sistemas de IA en producción: (1) un chatbot RAG entrenado con la documentación de cada cliente para respuestas internas, y (2) un scoring de leads comerciales basado en machine learning. Ninguno estaba documentado conforme al AI Act y la dirección no sabía si tenía obligaciones del Anexo III.
Proyecto implantado en 12 semanas (3 meses) con presupuesto cerrado de 18.000 € (8.000 € cubiertos por Kit Consulting). Entregables:
- Inventario de los 2 sistemas IA con ficha técnica completa (proveedor, modelo, datos de entrenamiento, uso real).
- Clasificación: chatbot RAG = riesgo limitado (transparencia obligatoria); scoring leads = riesgo limitado (no Anexo III porque no afecta a contratación ni servicios esenciales).
- Política de uso de IA aprobada por dirección y comunicada al equipo (incluye prohibiciones y supervisión humana).
- Aviso de transparencia en el chatbot ("estás interactuando con una IA generativa").
- Documento de evaluación de impacto sobre derechos fundamentales (FRIA, voluntario para riesgo limitado pero buenas prácticas).
- ISO 42001 light: sistema de gestión de IA documentado, sin certificación externa pero alineado.
- Formación 8h a 14 empleados (los 4 directivos por separado).
- Procedimientos: gestión de incidentes IA, mejora continua, supervisión humana.
La consultora pasó de un riesgo regulatorio alto (potencial sanción 7 % facturación = 250.000 €) a estar conforme. Adicionalmente, ganó dos contratos nuevos donde el cliente exigía proveedor con compliance IA documentado.
¿Qué pasos sigue un proyecto de compliance AI Act en 90 días?
- Día 1–10: kickoff, designación de responsable interno IA, inventario completo de sistemas IA en producción y en desarrollo.
- Día 10–25: clasificación por riesgo según anexos del Reglamento. Análisis de cada sistema en sus 5 dimensiones (datos, modelo, uso, usuarios, decisiones).
- Día 25–40: gap analysis vs requisitos por categoría. Redacción de remediation plan priorizado por riesgo.
- Día 40–60: redacción de políticas de uso, procedimientos de supervisión humana, evaluación de impacto sobre derechos fundamentales (FRIA), avisos de transparencia.
- Día 60–75: implantación de controles técnicos (logging, registros automáticos, control de versiones modelos, supervisión humana operativa).
- Día 75–85: formación obligatoria a todo el personal (8 horas mínimo) y específica a directivos y desarrolladores.
- Día 85–90: cierre, auditoría interna, documentación final, comunicación de cumplimiento a la dirección.
FAQ
¿Mi pyme está obligada por el EU AI Act si solo uso ChatGPT y Copilot?
Sí, en parte. ChatGPT y Copilot son modelos fundacionales (GPAI — General Purpose AI), regulados por el AI Act desde febrero 2025. Como usuario, no tienes las obligaciones de los proveedores (OpenAI, Microsoft), pero debes documentar el uso, garantizar la transparencia ante tu equipo y aplicar políticas internas si el uso afecta a decisiones laborales o decisiones que impacten a clientes.
¿Tengo que registrarme en AESIA o en alguna base de datos?
Solo los proveedores y los responsables de sistemas de alto riesgo (Anexo III) deben registrarse en la base de datos UE (EUDAMED para IA). Una pyme usuaria normal no tiene obligación de registro pero debe poder demostrar el cumplimiento ante una inspección. AESIA (Agencia Española de Supervisión de IA, con sede en A Coruña) es la autoridad competente en España y publica guías técnicas regulares.
¿Multas reales se han impuesto ya por incumplimiento del AI Act?
A 2026 todavía hay periodo de adaptación; la mayoría de autoridades europeas no han impuesto sanciones todavía, pero las inspecciones han comenzado. Las multas máximas son: 35 M€ o 7 % facturación por sistemas prohibidos; 15 M€ o 3 % por incumplimiento Anexo III alto riesgo; 7,5 M€ o 1,5 % por suministrar información incorrecta. Para pyme: la sanción tope es 1,5 % del menor (volumen de negocio o cifra absoluta).
¿Es compatible con RGPD el AI Act?
Sí, son complementarios. El RGPD protege el dato personal; el AI Act protege la integridad del sistema de decisión automatizada. Un sistema de scoring de empleados puede estar conforme RGPD (base jurídica, transparencia, derechos) y, simultáneamente, ser un sistema Anexo III del AI Act (obligaciones de robustez, supervisión humana). Hay que cumplir ambos.
¿Qué es ISO 42001 y necesito implantarla?
ISO 42001 (2023) es el primer estándar internacional de sistema de gestión de IA. Su objetivo es garantizar gobernanza, ética y mejora continua en el uso de IA en una organización. No es obligatoria, pero sí es la forma más eficiente de demostrar compliance AI Act a terceros (clientes, inversores, auditores). En 2026 hay muy pocas empresas certificadas en España; ser de las primeras es ventaja competitiva.
¿Pueden usar IA generativa los empleados sin que la empresa cumpla AI Act?
No legalmente. Si los empleados usan ChatGPT, Copilot o Gemini en el trabajo, la empresa debe tener una política de uso documentada, formación a empleados, controles de datos confidenciales (no subir información sensible a IA pública) y registro de sistemas IA en uso. Sin esto, un incidente (filtración de datos, decisión discriminatoria) expone a la empresa a sanciones RGPD + AI Act.
Mini-glosario
- AI Act: Reglamento UE 2024/1689 sobre inteligencia artificial.
- Anexo III: lista de sistemas de IA considerados de alto riesgo.
- GPAI: General Purpose AI · IA de propósito general (ChatGPT, Copilot, Claude, Gemini).
- FRIA: Fundamental Rights Impact Assessment · evaluación de impacto sobre derechos fundamentales.
- AESIA: Agencia Española de Supervisión de IA (A Coruña).
- ISO 42001: estándar internacional de gestión de IA.
- Riesgo limitado: categoría AI Act para sistemas como chatbots, generadores de contenido. Obligación principal: transparencia.
- Supervisión humana: requisito Anexo III · persona física debe poder intervenir y revertir decisiones de la IA.
Fuentes oficiales
- EUR-Lex · Reglamento UE 2024/1689 EU AI Act
- AESIA · Agencia Española Supervisión IA
- Comisión Europea · AI Act overview
- ISO 42001:2023 · AI Management System
- AEPD · Agencia Española Protección de Datos
- Red.es · Kit Consulting
Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs.
¿Necesitas cumplir AI Act en 90 días?
Compliance EU AI Act llave en mano
Auditoría + gap analysis + remediation + ISO 42001 light en 12 semanas. Cofinanciable Kit Consulting.
Agendar sesión →