AI Act: obligaciones GPAI para PYMES antes de agosto

Español 7 min de lectura
eu-ai-act compliance gpai

Guía pillar → Para el resumen completo de las obligaciones del EU AI Act para PyMEs (Art. 4, 5, 26, 27, 50, sanciones, calendario), consulta nuestra guía pillar EU AI Act para PyMEs.

Hoy es 22 de abril de 2026. En poco más de tres meses, el 2 de agosto de 2026, termina el periodo de gracia para todos los modelos de IA de propósito general (GPAI) que estaban en el mercado europeo antes de agosto de 2025. El Reglamento (UE) 2024/1689 – el AI Act – se aplicará íntegramente a los grandes modelos de lenguaje que cualquier PYME española usa a diario: ChatGPT, Claude, Gemini, Mistral Large. Si despliega alguno de ellos en su actividad profesional, ya no es un usuario pasivo. Es un "desplegador" (deployer) en términos del AI Act, y los desplegadores tienen obligaciones concretas.

El tejido PYME lo ha ignorado en gran medida. En nuestro trabajo con clientes en España y el resto de la UE, menos del 15 por ciento ha documentado formalmente sus obligaciones como desplegador. La mayoría apuesta a que la AEPD y las autoridades de vigilancia del mercado irán primero a por las grandes empresas. Es una apuesta arriesgada: el AI Act se engrana con el RGPD, y los topes sancionadores (hasta 35 millones de euros o el 7 por ciento del volumen anual global) llegan a las autoridades nacionales vía el artículo 99.

Qué exige el AI Act

Las obligaciones centrales para GPAI están en el artículo 53 del Reglamento. Los proveedores de modelos de IA de propósito general deben:

  • Mantener documentación técnica actualizada del modelo (art. 53.1.a): datos de entrenamiento, métodos de evaluación, consumo energético.
  • Poner información a disposición de los proveedores intermedios (art. 53.1.b) para que cumplan sus propias obligaciones.
  • Implantar una política de cumplimiento del derecho de autor de la UE (art. 53.1.c), con respeto de las exclusiones TDM del art. 4.3 de la Directiva DSM.
  • Publicar un resumen suficientemente detallado de los datos de entrenamiento (art. 53.1.d).

Para los modelos con "riesgo sistémico" (art. 55) – los modelos frontera por encima de 10^25 FLOPs de cómputo de entrenamiento – se añaden red-teaming, reporte de incidentes y ciberseguridad. El Código de Buenas Prácticas del art. 56 (versión 2.0, marzo 2026) concreta estos deberes.

Más pertinente para el día a día de una PYME es el artículo 50: quien publique contenido generado por IA (texto, imagen, audio) debe etiquetarlo como tal cuando se asemeje a "personas, lugares o hechos reales" (cláusula deepfake). Las salidas de texto sintético también deben marcarse de forma legible por máquina como generadas por IA.

Proveedor vs. desplegador

El AI Act distingue nítidamente entre dos papeles, y ese corte decide todo:

  • Proveedor (art. 3.3) es quien desarrolla el sistema de IA o lo pone en el mercado bajo su propio nombre. En el caso de GPT-4 es OpenAI. En el de Llama 3.3 es Meta. Para el 99 por ciento de las PYMES españolas, no es su empresa.
  • Desplegador (art. 3.4) es quien utiliza un sistema de IA bajo su propia autoridad. Es el bufete de Barcelona que redacta correspondencia con Claude. Es el comercio electrónico de Valencia que genera descripciones de producto con GPT-4. Es usted.

Las obligaciones del desplegador son más ligeras que las del proveedor, pero son reales. Y desde el 2 de agosto de 2026 se aplican también a aplicaciones basadas en GPAI que ya estaban en uso antes de agosto de 2025.

Las obligaciones del desplegador en detalle

Cuatro deberes que toda PYME que use modelos de lenguaje debe implantar sin margen:

  1. Transparencia hacia los usuarios (art. 50.1 y 50.4). Los clientes que hablan con su chatbot de IA deben saberlo. Los candidatos cuyas solicitudes son pre-filtradas por una herramienta de IA deben saberlo. Los textos generados por IA en su web necesitan aviso.
  1. Supervisión humana (art. 26.2). Tiene que haber una persona física competente y formada que supervise la salida de la IA. Para sistemas de alto riesgo es un requisito duro; para despliegues GPAI en niveles de riesgo inferiores se deduce del deber general de diligencia y del marco laboral español.
  1. Evaluación de impacto relativa a la protección de datos (EIPD). En cuanto fluyen datos personales al modelo – nombres de empleados, fichas de clientes, datos de salud – el art. 35 RGPD exige una EIPD. No es estrictamente obligación del AI Act, pero la AEPD y las autoridades europeas leen ambos textos en conjunto. Sin EIPD, tiene dos infracciones en lugar de una.
  1. Registro (art. 26.6). Los registros generados automáticamente deben conservarse al menos seis meses cuando el desplegador los controla. Con las API en la nube habitualmente no los controla: OpenAI conserva logs según su política, no la suya. Ese hueco es un problema de cumplimiento.

Por qué los LLMs locales son la respuesta de cumplimiento más sencilla

Aquí aparece la oportunidad estratégica. La sentencia Schrems II del TJUE (C-311/18) dejó claro que transferir datos personales a Estados Unidos sin garantías adicionales es incompatible con el RGPD. El Marco de Privacidad UE-EE. UU. de 2023 ha desactivado formalmente el problema, pero noyb y otras ONG ya han presentado impugnaciones. Construir hoy sobre OpenAI es una apuesta política sobre si ese marco sobrevive.

Añada encima el AI Act. Al usar un modelo en la nube hereda dependencias del proveedor upstream: su documentación técnica, su resumen de datos de entrenamiento, su reporte de incidentes. Debe referenciar esos documentos en sus propios registros como desplegador. Con OpenAI: suerte.

Ejecutar un modelo local resuelve ambos problemas de una vez. Llama 3.3 (70.000 millones de parámetros) funciona sobre un Mac Studio M3 Ultra con 192 GB de memoria unificada a 15-25 tokens por segundo – suficiente para uso productivo. Qwen 2.5-72B y DeepSeek-V3 son alternativas comparables. Los pesos están disponibles abiertamente, las model cards están documentadas y la inferencia ocurre en su sala de servidores en Madrid, Barcelona o Málaga. Sin cuestión Schrems II. Sin logs en Microsoft Azure. Sin depender del próximo cambio de política de OpenAI.

El ahorro en deberes de desplegador es sustancial: la EIPD se vuelve trivial (sin transferencia a terceros países), los logs están en su hardware, las obligaciones de transparencia se cumplen de punta a punta. Traslada la carga de cumplimiento del ámbito jurídico al técnico, y ahí resulta más manejable.

Los detalles de implementación están en nuestra guía de soberanía del dato.

Qué hacer antes del 2 de agosto de 2026

Tres meses bastan si empieza ya. Nuestra hoja de ruta mínima para una PYME española típica de 20-200 personas:

  1. Inventario (hasta finales de abril). Liste cada servicio de IA que se usa en su empresa. Incluya el shadow IT – su plantilla usa ChatGPT en cuentas personales, y usted lo sabe. Clasifique cada uso por nivel de riesgo según el anexo III.
  1. EIPD y registros de desplegador (mayo). Para cada uso con datos personales, una EIPD. Para cada despliegue, una ficha breve de desplegador: finalidad, flujos de datos, persona responsable, supervisión humana.
  1. Despliegue de transparencia (junio). Etiquetas en la web, en el chatbot, en los textos generados. Ficha informativa para empleados. Formación (el art. 4 AI Act exige "alfabetización en IA"). Nuestros programas de formación cubren ese bloque obligatorio.
  1. Corte estratégico (julio). Decida qué casos de uso mueve a casa. Un piloto con Llama 3.3 sobre hardware dedicado, RAG conectado a su base de conocimiento. La mayoría de despachos y asesorías con los que trabajamos atienden a 20 usuarios con un Mac Studio. Buena parte de la inversión encaja en las líneas del Kit Digital y del Kit Consulting.
  1. Fecha de corte 2 de agosto de 2026. Desde ese día el régimen es exigible. Las sanciones se vuelven prácticamente relevantes en el segundo año.

Si no puede montar todo esto en paralelo a la operativa, para eso estamos. Empiece con un proyecto piloto – 14 días, tarifa cerrada, decisión go/no-go al final.