AI Act europeo para pymes: qué es, qué obliga y cómo afecta a tu empresa

Respuesta directa: El AI Act es la primera regulación mundial específica sobre inteligencia artificial. Afecta a cualquier empresa que use sistemas de IA en su actividad. Las obligaciones más relevantes para pymes incluyen: garantizar la formación en IA de los empleados (art. 4), supervisar humanamente los sistemas de alto riesgo (art. 26) e informar a las personas cuando interactúan con sistemas de IA (art. 50). Los plazos d e aplicación son progresivos desde febrero de 2025.

El Reglamento (UE) 2024/1689 (AI Act), publicado en el Diario Oficial de la UE el 12 de julio de 2024, entró en vigor el 1 de agosto de 2024. Muchas empresas creen que es una norma para grandes tecnológicas. La realidad es que afecta a cualquier organización que use sistemas de IA en su actividad cotidiana.

Plazos de aplicación progresiva

Fecha	Qué entra en vigor
1 agosto 2024	AI Act en vigor — entrada en vigor oficial del reglamento
2 febrero 2025	Prohibiciones — sistemas de IA de riesgo inaceptable quedan prohibidos
2 agosto 2026	Alto riesgo (infraestructuras críticas) — obligaciones para sistemas del Anexo I
2 agosto 2027	Plena aplicación — todos los sistemas de alto riesgo del Anexo III

Provider vs. deployer: por qué afecta a las pymes que usan IA

El AI Act distingue dos roles: el provider (proveedor) desarrolla y pone en el mercado el sistema de IA; el deployer (usuario) lo utiliza en su actividad. Para las pymes, la clave está en el segundo rol.

¿Eres deployer del AI Act? Sí, si en tu empresa se usa IA para contratar personal, atender clientes de forma automatizada, analizar información sensible o tomar decisiones que afectan a personas. El uso de herramientas como ChatGPT, Copilot o sistemas de RRHH con IA ya te sitúa en el ámbito del reglamento.

Qué obliga el AI Act a las empresas que usan IA (deployers)

Artículo 4 — Obligación de formación en IA (AI literacy)

El art. 4 del AI Act es la obligación más inmediata: el deployer debe garantizar que sus empleados tengan el nivel suficiente de competencia, formación y autorización para operar los sistemas de IA de forma adecuada. Aplica desde el inicio de la aplicación progresiva y no requiere que el sistema sea de alto riesgo.

Artículo 26 — Obligaciones para sistemas de alto riesgo

Para los deployers de sistemas de IA de alto riesgo, el art. 26 del AI Act añade: supervisión humana de las decisiones del sistema, uso conforme al manual del proveedor y conservación de registros. Aplica especialmente en RRHH y servicios financieros.

Artículo 50 — Transparencia ante las personas que interactúan con IA

El art. 50 del AI Act obliga a informar a las personas cuando están interactuando con un sistema de IA (chatbots, asistentes virtuales), salvo que sea evidente por el contexto.

Qué sistemas de IA son de alto riesgo según el Anexo III

Gestión de recursos humanos

Sistemas de cribado automático de CVs, evaluación de rendimiento, asignación de tareas o toma de decisiones sobre promoción o despido. Si tu empresa usa herramientas de RRHH con IA, es muy probable que entren en esta categoría.

Acceso a servicios esenciales

Sistemas de puntuación crediticia, evaluación de solvencia o elegibilidad para seguros. Aplica especialmente a empresas del sector financiero o asegurador.

Educación y formación profesional

Sistemas que evalúan el rendimiento académico o laboral, determinan el acceso a programas formativos o asignan calificaciones de forma automatizada.

AI Act y RGPD: dos normativas que se aplican de forma simultánea

El AI Act y el RGPD son normativas complementarias: cuando un sistema de IA procesa datos personales, ambos reglamentos aplican simultáneamente. El CEPD ha publicado una declaración específica sobre la relación entre ambas normativas.

📚 Curso de Iniciación en IA Responsable y Cumplimiento Normativo

Duración: 50 horas, 100% online
Contenido: Qué es la IA · herramientas prácticas · ética y sesgos · RGPD aplicado a la IA · AI Act completo (arts . 4, 26, 50 y Anexo III)
Prerrequisitos: Sin conocimientos técnicos ni jurídicos previos
Bonificación: Bonificable a través de FUNDAE — puede ser gratuito para la empresa

→ Ver ficha completa del curso

📋 Marco normativo de referencia

AI Act (arts. 4, 6, 26, 50 y Anexo III) — eur-lex.europa.eu
RGPD — eur-lex.europa.eu
Comisión Europea — Hoja de ruta AI Act — digital-strategy.ec.europa.eu
AEPD — Nota técnica AI Act / RGPD — aepd.es
CEPD — Declaración sobre el AI Act — edpb.europa.eu

Preguntas frecuentes

¿El AI Act solo afecta a empresas que desarrollan IA?

No. Afecta a ambas, con obligaciones distintas. El AI Act distingue entre providers (desarrolladores) y deployers (usuarios). Para la mayoría de pymes, el rol relevante es el de deployer. Si tu empresa usa herramientas de IA, ya tiene obligaciones.

¿Cuáles son los plazos del AI Act que ya están en vigor?

Las prohibiciones de sistemas de riesgo inaceptable son aplicables desde el 2 de febrero de 2025. La obligación de formación del art. 4 también está en aplicación desde esa fecha. Las obligaciones completas para sistemas de alto riesgo del Anexo III serán exigibles desde el 2 de agosto de 2027.

¿Qué diferencia hay entre el AI Act y el RGPD?

El RGPD regula el tratamiento de datos personales; el AI Act regula los sistemas de inteligencia artificial. Cuando un sistema de IA procesa datos personales, ambas normativas aplican de forma simultánea y acumulativa.

¿Qué pasa si mi empresa usa un sistema de IA de alto riesgo sin cumplir el AI Act?

El AI Act prevé sanciones de hasta 15 millones de euros o el 3% del volumen de negocio global para infracciones relacionadas con sistemas de alto riesgo. Además, el incumplimiento puede generar responsabilidad civil frente a las personas afectadas.

¿Tu empresa sabe si el AI Act le afecta?

Si quieres verificarlo y cómo prepararte, podemos acompañarte. Contacta con nuestro equipo o visita formacion.datagestion.net.

Ver el Curso de IA Responsable