Guía pillar → Para el resumen completo de las obligaciones del EU AI Act para PyMEs (Art. 4, 5, 26, 27, 50, sanciones, calendario), consulta nuestra guía pillar EU AI Act para PyMEs.
El 2 de agosto de 2026 ya no es una fecha lejana. A partir de ese día, las autoridades nacionales (en España, AESIA) obtienen las competencias de supervisión y ejecución, y son exigibles las obligaciones de operador que ya aplican: la alfabetización en IA (Art. 4) y la transparencia (Art. 50), para cualquier empresa que use sistemas de IA en Europa.
Actualización (Digital Omnibus, mayo de 2026): Las obligaciones para sistemas de alto riesgo (Anexo III, p. ej. RR. HH. o scoring de crédito) se han aplazado al 2 de diciembre de 2027, y el Anexo I (productos regulados) al 2 de agosto de 2028. Por eso, lo exigible en agosto de 2026 es sobre todo el Art. 4 y el Art. 50, además de las competencias de supervisión de las autoridades.
No se trata solo de grandes tecnológicas ni de desarrolladores de IA. Según nuestra interpretación del reglamento, afecta a cualquier negocio que use IA internamente: ya sea un servicio en la nube como ChatGPT, un modelo de lenguaje local o una herramienta de clasificación automática de documentos.
Para la mayoría de las pymes, esto es terreno desconocido. Si hasta ahora ha utilizado IA sin preocuparse demasiado por la documentación, ha llegado el momento de actuar. Este artículo resume los pasos concretos que deben completarse antes de agosto de 2026 y explica cómo kAIra entrega el paquete de cumplimiento completo, listo para usar.
¿A quién afecta exactamente?
El EU AI Act distingue entre proveedores (empresas que desarrollan y comercializan IA) y operadores (empresas que usan IA en sus operaciones). Si su empresa utiliza un modelo de lenguaje, una herramienta de automatización documental o un sistema de clasificación, usted es un operador bajo el reglamento. Esto aplica tanto si usa IA en la nube como si usa una solución local como kAIra.
Las microempresas tampoco están exentas. El alcance de las obligaciones varía según la clase de riesgo del sistema desplegado, pero ninguna empresa que use IA queda completamente fuera del marco regulatorio.
Cinco obligaciones clave del operador antes de agosto de 2026
1. Garantizar la competencia en IA dentro del equipo (Art. 4)
Esta obligación ya está en vigor desde el 2 de febrero de 2025. Los empleados que usan sistemas de IA deben tener una comprensión básica y documentada de cómo funcionan esos sistemas, dónde pueden fallar y cuáles son sus límites. No se requiere una certificación técnica, pero sí una incorporación estructurada. El proyecto piloto de kAIra incluye una jornada de formación para usuarios clave diseñada específicamente para este requisito.
2. Determinar la clase de riesgo de cada sistema de IA
No todos los sistemas de IA conllevan el mismo riesgo. Según nuestra interpretación, el reglamento distingue tres niveles:
- Riesgo mínimo: Resúmenes automáticos, traducción, búsqueda RAG, actas de reuniones, plantillas de documentos. Las obligaciones son las más ligeras.
- Riesgo limitado (Art. 50): Chatbots y sistemas de IA que interactúan directamente con usuarios. La etiqueta de transparencia es obligatoria.
- Alto riesgo (Anexo III): IA usada en decisiones de RRHH, scoring de crédito, análisis biométrico o contextos críticos para la seguridad. Aplican los requisitos más exigentes, incluyendo una evaluación de derechos fundamentales.
Para herramientas típicas de kAIra como WikiHub, MailForge, Textus o la búsqueda documental, el nivel de riesgo mínimo es el apropiado en la mayoría de los casos de uso, según nuestra interpretación. TalentLens para decisiones de RRHH puede caer en la categoría de alto riesgo dependiendo del uso concreto.
3. Designar supervisión humana y documentarla (Art. 26.2)
Para cada sistema de IA en uso, debe designarse una persona responsable: alguien que supervise los resultados, pueda intervenir y pueda suspender el funcionamiento si es necesario. Esta designación debe estar documentada. ¿Quién supervisa qué sistema, con qué autoridad y en qué circunstancias?
4. Garantizar transparencia hacia empleados y usuarios finales (Art. 26.7 / Art. 50)
Los empleados cuyo trabajo es influenciado o evaluado por un sistema de IA deben ser informados de ello. Cuando los contenidos generados por IA van dirigidos a destinatarios externos, deben identificarse como tal. En la práctica, esto significa incluir avisos en los correos, actas o informes generados automáticamente, identificando claramente la intervención de IA.
5. Registrar las operaciones y notificar incidentes graves (Art. 26.5)
Los fallos graves que causen daños deben notificarse a la autoridad nacional de vigilancia del mercado correspondiente. Para ello se necesitan registros operativos que muestren qué modelo produjo qué resultado en qué momento. La obligación de documentación es continua, no puntual.
Lo que muchas pymes subestiman: la carga de documentación
El reglamento no solo define lo que hay que hacer, sino que exige que el cumplimiento esté documentado de forma demostrable. Las grandes empresas tienen departamentos jurídicos y de cumplimiento para gestionar esto. Para un negocio con 20 o 50 empleados, partir de cero supone una carga de trabajo considerable.
Ese es el problema práctico: las obligaciones son claras, pero cumplirlas requiere conocimientos y tiempo que raramente están disponibles de forma interna.
El paquete de cumplimiento de kAIra: pre-rellenado y listo para usar
Como parte del proyecto piloto de kAIra, Freshlab crea para cada cliente un paquete de documentación DOCX completo que cubre todos los documentos obligatorios para operadores conformes con el EU AI Act. El paquete incluye:
- Resumen: Introducción al EU AI Act, cronología, distribución de roles (Proveedor / Operador)
- Clasificación de riesgos: Lista de verificación para prácticas prohibidas (Art. 5), alto riesgo (Anexo III) y riesgo limitado (Art. 50)
- Fichas técnicas de modelos: Gemma 4, Nomic Embeddings, Whisper con información de licencias e instrucciones de uso específicas para kAIra
- Obligaciones del operador: Lista de verificación por clase de riesgo: competencia en IA, registros, supervisión humana y derechos fundamentales
- Manual de operaciones: Despliegue, flujo de datos, inferencia del modelo, registros, respuesta a incidentes
- Avisos de transparencia: Plantillas de aviso para usuarios (Art. 50), etiquetado de contenido generado por IA
- Contrato piloto: Hardware, duración, responsabilidades
- Acuerdo de tratamiento de datos (DPA): RGPD Art. 28, Freshlab como encargado del tratamiento, cliente como responsable
Campos como nombre de la empresa, responsable de IA, delegado de protección de datos, clase de riesgo, nombres de modelos y URL de despliegue se rellenan automáticamente a partir del perfil del cliente. Lo que queda es completar en una sola pasada los datos específicos de la empresa.
La clase de riesgo se configura una vez en el Config Manager y se aplica automáticamente a todos los documentos. Para la mayoría de los casos de uso de pymes, el nivel de riesgo mínimo o limitado es el apropiado, lo que reduce considerablemente la carga de cumplimiento global.
Por qué la IA local simplifica el cumplimiento
La IA en la nube y la IA local no solo difieren en privacidad, sino también en complejidad regulatoria. Al usar un servicio en la nube como ChatGPT Enterprise o Google Vertex AI, usted debe elaborar toda la documentación de operador por su cuenta, ya que el proveedor en la nube solo suministra los detalles del modelo. Toda la obligación de documentación recae sobre usted.
Con un modelo open-source local (Gemma 4, Llama 3.3, Mistral), las obligaciones del proveedor permanecen en el desarrollador del modelo. Usted usa el modelo tal cual y no necesita realizar sus propias evaluaciones de conformidad. El paquete pre-rellenado de Freshlab elimina la necesidad de una investigación interna exhaustiva.
Esta es además una ventaja directamente relevante para la soberanía de datos: los datos de la empresa no salen de sus instalaciones, lo que simplifica tanto el cumplimiento del RGPD como el del EU AI Act.
Tres pasos a dar antes del verano
Con independencia de si ya usa kAIra o está evaluando opciones, hay tres cosas que deben hacerse antes del plazo.
Primero: inventario de sistemas de IA. ¿Qué aplicaciones usa hoy que se apoyen en un modelo de lenguaje? Eso incluye IA integrada en software existente.
Segundo: evaluar la clase de riesgo de cada uno. ¿El sistema procesa datos personales? ¿Influye en decisiones? ¿Su resultado llega a destinatarios externos?
Tercero: asignar responsabilidades internas. ¿Quién es el responsable de IA? ¿Quién asume la supervisión humana de cada sistema?
Si aún no tiene un sistema de IA en producción, tiene la oportunidad de empezar siendo conforme desde el primer día. El proyecto piloto de Freshlab incluye la instalación completa, la formación y el paquete de cumplimiento, para que pueda estar online en dos semanas cumpliendo simultáneamente con los requisitos regulatorios.
Contacte con nosotros antes de que el plazo de agosto quede demasiado cerca: Solicitar el proyecto piloto.
También puede acceder al Kit Digital para financiar parte del proyecto a través de los fondos de digitalización para pymes españolas.
Este artículo tiene carácter puramente informativo y no constituye asesoramiento jurídico. Para orientación vinculante sobre el cumplimiento del EU AI Act, recomendamos consultar a un asesor legal especializado.