Reglamento UE 2024/1689 · Update mayo 2026

Obligaciones del EU AI Act para PyMEs en España (2026): guía completa

La «ley IA» (Reglamento UE 2024/1689) afecta a toda PyME que despliegue, comercialice o utilice sistemas de IA, también si solo usa ChatGPT, Copilot o Gemini. Esta guía resume las cinco obligaciones aplicables, el calendario hasta 2028, el régimen sancionador de AESIA y los pasos concretos para cumplir. Actualizada al Digital Omnibus del 7 de mayo de 2026.

Aplicable a todas las PyMEs Sin importar el sector Supervisión AESIA desde 2 de agosto de 2026 Sanciones hasta 35 millones de euros o 7 % CNG RGPD y LOPDGDD aplican en paralelo
Hablar con un experto Ver las 5 obligaciones
Reglamento (UE) 2024/1689 · AI Act · En vigor desde 1 de agosto de 2024

Qué es el EU AI Act y por qué afecta a su PyME

El Reglamento (UE) 2024/1689 sobre Inteligencia Artificial, conocido como EU AI Act, es la primera regulación horizontal del mundo sobre IA. Entró en vigor el 1 de agosto de 2024 y se aplica de forma directa en todos los Estados miembros, sin necesidad de transposición. En España, la autoridad nacional es la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial). El Reglamento clasifica los sistemas de IA por nivel de riesgo (prohibido, alto, limitado, mínimo) e impone obligaciones diferenciadas a proveedores (quien desarrolla o comercializa) y responsables del despliegue o deployers (quien usa el sistema profesionalmente). La inmensa mayoría de las PyMEs son deployers. El Digital Omnibus del 7 de mayo de 2026 ha simplificado algunas obligaciones, pero ha mantenido el calendario.

Las cinco obligaciones

Qué exige el AI Act a una PyME, por artículo

Cada PyME debe revisar estos cinco bloques. El alcance concreto depende del rol (proveedor o deployer) y del tipo de sistemas de IA que use. La mayoría de las PyMEs españolas son deployers de sistemas de propósito general (asistentes en la nube) o de sistemas de alto riesgo verticales (RR. HH., scoring, sanidad).

Art. 4 · Alfabetización

Promover la alfabetización en IA del personal

Toda empresa que utilice o despliegue sistemas de IA debe adoptar medidas para que su personal y cualquier persona que actúe en su nombre tenga un nivel suficiente de comprensión sobre la IA.

  • Formación documentada con materiales propios o de terceros
  • Cobertura del marco legal, riesgos, RGPD aplicado a IA
  • Evidencia auditable por persona ante una inspección
  • Tras el Omnibus, es deber de medios, no de resultado
Aplicable desde2 de febrero de 2025 · Supervisión AESIA desde 2 de agosto de 2026
Art. 5 · Prohibiciones

No utilizar sistemas de IA prohibidos

El Art. 5 prohíbe directamente, también a las PyMEs, una lista cerrada de usos por considerarse inaceptables para los derechos fundamentales.

  • Puntuación social de personas físicas
  • Reconocimiento de emociones en el trabajo o la educación
  • Categorización biométrica para deducir raza, ideología, religión, orientación sexual
  • Identificación biométrica remota en tiempo real en espacios públicos
  • Técnicas subliminales o explotación de vulnerabilidades
Aplicable desde2 de febrero de 2025 · Sanción hasta 35 millones de euros o 7 % CNG mundial
Art. 26 · Deployer

Obligaciones del responsable del despliegue

Si su PyME utiliza profesionalmente un sistema de IA de alto riesgo (RR. HH., scoring, seguros, educación, infraestructuras), asume el rol de deployer y debe cumplir el Art. 26.

  • Seguir las instrucciones de uso del proveedor
  • Asignar supervisión humana a personal con competencia y autoridad
  • Controlar la pertinencia de los datos de entrada
  • Conservar los logs generados durante al menos seis meses
  • Notificar incidentes graves al proveedor y a AESIA
  • Informar a los representantes de los trabajadores antes de poner el sistema en servicio
Aplicable desdeAnexo III: 2 de diciembre de 2027 · Anexo I: 2 de agosto de 2028
Art. 27 · FRIA

Evaluación de impacto en derechos fundamentales

Determinados deployers (entidades públicas, prestadores de servicios públicos, banca, seguros) deben evaluar el impacto sobre derechos fundamentales antes del despliegue de un sistema de alto riesgo.

  • Descripción de los procesos donde se usará el sistema
  • Período de uso y frecuencia previstos
  • Categorías de personas afectadas
  • Riesgos específicos sobre derechos fundamentales
  • Medidas de supervisión humana y mitigación
  • Notificación del resultado a la autoridad de vigilancia
Aplicable desde2 de diciembre de 2027 (Anexo III, sectores cubiertos)
Art. 50 · Transparencia

Informar al usuario de que hay IA detrás

El Art. 50 impone obligaciones de transparencia hacia las personas físicas que interactúan con sistemas de IA o con contenido generado por IA.

  • Aviso claro al usuario cuando habla con un chatbot
  • Etiquetado legible por máquina del contenido sintético (imagen, audio, vídeo, texto)
  • Etiquetado explícito de deepfakes y manipulaciones
  • Información a las personas expuestas a sistemas de reconocimiento de emociones permitidos
Aplicable desde2 de agosto de 2026 · Sanción hasta 15 millones de euros o 3 % CNG mundial
RGPD · LOPDGDD

El RGPD sigue aplicando en paralelo

El AI Act no sustituye al RGPD. Cualquier sistema de IA que trate datos personales debe cumplir, además, el Reglamento (UE) 2016/679 y la LOPDGDD.

  • Base jurídica para el tratamiento (Art. 6 RGPD)
  • Información a los interesados (Art. 13 a 14)
  • Evaluación de impacto en protección de datos (EIPD, Art. 35) si procede
  • Verificación de transferencias internacionales para asistentes en la nube
  • Procedimiento de minimización conforme a las directrices de la AEPD
AutoridadAEPD · Sanciones hasta 20 millones de euros o 4 % CNG mundial

Calendario

Cuándo se aplica cada obligación

El Reglamento entra en vigor de forma escalonada. Las fechas relevantes para una PyME española son cinco.

1 ago 2024
Entrada en vigor del Reglamento.El AI Act es ley aplicable en toda la Unión Europea. Empieza a contar el calendario.
2 feb 2025
Prácticas prohibidas (Art. 5) y alfabetización (Art. 4) aplicables.Cualquier PyME que use software con análisis de emociones en el trabajo o puntuación social debe retirarlo. La formación documentada es ya exigible.
2 ago 2025
Obligaciones para modelos GPAI aplicables.Recaen sobre los proveedores de modelos de propósito general (OpenAI, Anthropic, Google, Mistral). Las PyMEs deployers no asumen estas obligaciones, pero conviene conocerlas.
2 ago 2026
Competencias de supervisión de AESIA y transparencia (Art. 50).Las autoridades nacionales obtienen las competencias de supervisión y ejecución, también sobre el Art. 4, y empiezan a aplicar las obligaciones de transparencia del Art. 50. Esta fecha no ha sido aplazada por el Digital Omnibus. Las obligaciones de alto riesgo NO arrancan en esta fecha.
2 dic 2027
Sistemas de alto riesgo del Anexo III aplicables.Tras el Digital Omnibus, las obligaciones para sistemas de alto riesgo autónomos (RR. HH., scoring, educación, etc.), incluidos el Art. 26 (deployer) y el Art. 27 (FRIA), se aplican desde esta fecha.
2 ago 2028
Sistemas de alto riesgo del Anexo I aplicables.Sistemas de IA integrados en productos sujetos a regulación sectorial (juguetes, dispositivos médicos, vehículos, ascensores) entran plenamente en el ámbito de aplicación.

Régimen sancionador

Cuánto puede costar incumplir (Art. 99)

El régimen del Art. 99 establece tres tramos según la gravedad del incumplimiento. Para PyMEs y startups, el Art. 99.6 prevé una graduación que tiene en cuenta el tamaño y el volumen de negocio. La autoridad competente en España es AESIA, con sede en A Coruña.

35 M € o el 7 % del volumen de negocios anual mundial del ejercicio anterior, el importe que sea superior Prácticas prohibidas (Art. 5)
15 M € o el 3 % del CNG mundial, el importe que sea superior Determinadas obligaciones de proveedores y deployers (Art. 16, 26, 50)
7,5 M € o el 1 % del CNG mundial, el importe que sea superior Información incorrecta a una autoridad
PyME El Art. 99.6 obliga a AESIA a graduar la sanción teniendo en cuenta el tamaño y el volumen de negocio de la PyME o startup Cláusula de proporcionalidad

El Art. 4 (alfabetización en IA) no tiene una sanción específica en el Reglamento: su régimen sancionador se remite a cada Estado miembro. Los tramos del Art. 99 se aplican a otras obligaciones.

Pasos para cumplir

Cómo cumplir el AI Act paso a paso

Una PyME que parta de cero puede cubrir el grueso del Reglamento en seis a doce semanas, en paralelo a su operativa normal.

Paso 1

Inventario de sistemas de IA

Liste todos los sistemas de IA que se utilizan en la empresa, también los implícitos: ChatGPT en el navegador, Copilot en Office 365, traductores automáticos, asistentes de RR. HH., scoring de proveedores, chatbots web.

Paso 2

Clasificación por riesgo

Para cada sistema, identifique si es prohibido (Art. 5), de alto riesgo (Anexo III), de riesgo limitado (chatbot, generación de contenido) o mínimo. Esto determina las obligaciones aplicables.

Paso 3

Formación documentada del personal

Despliegue la formación del Art. 4 con evidencia auditable por persona. Es la obligación más temprana (desde febrero de 2025) y la base sobre la que se construye el resto del cumplimiento.

Paso 4

Directiva interna sobre uso de IA

Apruebe un documento corto (dos a cuatro páginas) que defina qué herramientas están autorizadas, qué datos pueden introducirse, quién supervisa y qué pasa con la Shadow-AI. Comuníquelo formalmente.

Paso 5

Transparencia hacia clientes

Si la PyME usa chatbots o publica contenido generado por IA, prepare los avisos y el etiquetado del Art. 50 antes del 2 de agosto de 2026.

Paso 6

FRIA y registros si procede

Solo si la PyME es entidad pública, presta servicios públicos, opera en banca o seguros, y despliega sistemas de alto riesgo. Documente la FRIA y conserve los logs durante al menos seis meses.

Preguntas frecuentes

Dudas habituales sobre la ley IA y las PyMEs

¿Qué es la ley IA y cómo afecta a las PyMEs en España?
La «ley IA» es el Reglamento (UE) 2024/1689, conocido como EU AI Act. Aplica directamente en España desde el 1 de agosto de 2024, con entrada progresiva: las prácticas prohibidas (Art. 5) y la alfabetización en IA (Art. 4) son aplicables desde el 2 de febrero de 2025, las obligaciones para modelos GPAI desde el 2 de agosto de 2025, y la supervisión activa por parte de AESIA desde el 2 de agosto de 2026. Las obligaciones para sistemas de alto riesgo, tras el acuerdo del Digital Omnibus de mayo de 2026, se aplican a partir del 2 de diciembre de 2027 (Anexo III) y del 2 de agosto de 2028 (Anexo I). Afecta a cualquier PyME que despliegue, comercialice o utilice sistemas de IA, sin importar el sector: comercio, sanidad, servicios profesionales, industria, RR. HH. o administración.
¿Cuáles son las obligaciones del EU AI Act para una PyME?
Una PyME tiene cinco grupos de obligaciones según su rol y los sistemas de IA que utilice. Art. 4: promover la alfabetización en IA de su personal. Art. 5: no usar sistemas de IA prohibidos. Art. 26: cumplir las instrucciones del proveedor cuando se despliegan sistemas de alto riesgo, mantener registros, asignar supervisión humana competente. Art. 50: informar a los usuarios cuando interactúan con un chatbot, etiquetar contenido generado por IA. Art. 27: realizar una FRIA si se despliegan sistemas de alto riesgo en sectores sensibles.
Mi PyME solo usa ChatGPT, ¿también estoy afectado?
Sí. El uso de asistentes de IA generalistas en la nube (ChatGPT, Copilot, Gemini, Claude) implica como mínimo dos obligaciones del Reglamento: el deber de medios para promover la alfabetización en IA del personal (Art. 4) y, si los chatbots interactúan con clientes, el deber de informar de que están hablando con una IA y de etiquetar el contenido generado (Art. 50). Además, el RGPD sigue aplicando: los datos introducidos en un asistente de nube pública pueden constituir transferencia internacional, lo que exige verificar la base jurídica y el contrato del proveedor.
¿Qué sanciones contempla el EU AI Act?
El régimen sancionador del Art. 99 establece tres tramos: hasta 35 millones de euros o el 7 % del volumen de negocios anual mundial por incumplir las prácticas prohibidas del Art. 5; hasta 15 millones o el 3 % por incumplir determinadas obligaciones de proveedores y responsables del despliegue (Art. 16, 26 y 50, entre otros); hasta 7,5 millones o el 1 % por suministrar información incorrecta a una autoridad. El Reglamento no fija una sanción específica para el Art. 4 (alfabetización), que se remite a cada Estado miembro. Para PyMEs y startups, el Art. 99.6 prevé que las multas se gradúen teniendo en cuenta su tamaño y el volumen de negocio. En España, la autoridad sancionadora es AESIA.
¿Cuándo empieza realmente la supervisión activa en España?
El calendario es escalonado. Prácticas prohibidas y alfabetización en IA son exigibles desde el 2 de febrero de 2025. Obligaciones para modelos GPAI desde el 2 de agosto de 2025. El 2 de agosto de 2026, las autoridades nacionales (en España, AESIA) obtienen las competencias de supervisión y ejecución, también sobre el Art. 4. Tras el acuerdo político del Digital Omnibus del 7 de mayo de 2026 (pendiente de adopción formal), las obligaciones para sistemas de alto riesgo se aplazan: Anexo III (sistemas autónomos) al 2 de diciembre de 2027 y Anexo I (productos regulados) al 2 de agosto de 2028.
¿Qué es la alfabetización en IA del Art. 4 y cómo se cumple?
El Art. 4 obliga a proveedores y responsables del despliegue a adoptar medidas para promover un nivel suficiente de alfabetización en IA de su personal. Tras el Digital Omnibus del 7 de mayo de 2026 está formulado como deber de medios, no como obligación de resultado. Se cumple con una formación documentada que cubra el marco legal, los riesgos del uso, el RGPD aplicado a IA, la transparencia y las prácticas prohibidas. Freshlab ofrece una formación llave en mano por 20 € por participante con certificado y dossier firmado criptográficamente como evidencia ante una inspección. Más en Formación Art. 4 RIA.
¿Qué prácticas de IA están prohibidas para una PyME (Art. 5)?
El Art. 5 prohíbe, también a las PyMEs: puntuación social de personas físicas, reconocimiento de emociones en el trabajo y la educación (salvo razones médicas o de seguridad), categorización biométrica para deducir raza, ideología, orientación sexual, religión o afiliación sindical, sistemas que explotan vulnerabilidades por edad o discapacidad, técnicas subliminales para distorsionar el comportamiento, identificación biométrica remota en tiempo real en espacios públicos. Una PyME que use software de RR. HH. con análisis de emociones por vídeo o voz incumple el Art. 5 desde el 2 de febrero de 2025.
¿Qué obligaciones tiene un responsable del despliegue (deployer) en el Art. 26?
Si su PyME despliega un sistema de IA de alto riesgo (RR. HH., scoring crediticio, seguros, educación, infraestructura crítica, justicia), el Art. 26 exige: seguir las instrucciones de uso del proveedor, encargar la supervisión humana a personas con la competencia y autoridad necesarias, controlar los datos de entrada cuando sean relevantes, conservar los logs generados durante al menos seis meses, informar al proveedor y al mercado de incidentes graves, notificar a las personas naturales afectadas por una decisión basada en IA de alto riesgo. En el ámbito laboral, además, informar a los representantes de los trabajadores antes de poner el sistema en servicio.
¿Cuándo es obligatoria una evaluación de impacto en derechos fundamentales (FRIA, Art. 27)?
El Art. 27 obliga a los responsables del despliegue que sean entidades de Derecho público, prestadores de servicios públicos y operadores privados de sectores sensibles (banca, seguros) a realizar una FRIA antes de poner en servicio un sistema de IA de alto riesgo. La FRIA describe los procesos de despliegue, el período de uso, las categorías de personas afectadas, los riesgos específicos sobre derechos fundamentales y las medidas de supervisión humana. El resultado se notifica a la autoridad de vigilancia. Una PyME que preste servicios para una administración pública o un banco puede tener que apoyar al cliente en la elaboración de su FRIA.
¿Qué obligaciones de transparencia tengo (Art. 50)?
El Art. 50 exige cuatro tipos de transparencia, aplicables desde el 2 de agosto de 2026. Si su web o app utiliza un chatbot que interactúa con personas físicas, debe informar de forma clara que están hablando con una IA. El contenido generado por IA (imágenes, audio, vídeo, texto significativo) debe estar marcado como tal de forma legible por máquina y, cuando proceda, también para el usuario. Los deepfakes deben etiquetarse explícitamente como contenido manipulado. Cuando se utilice un sistema de reconocimiento de emociones o categorización biométrica permitido, hay que informar a las personas expuestas.
¿Cómo encaja la IA local con el cumplimiento del AI Act?
Una infraestructura de IA local (LLM on-premise) no exime del cumplimiento del Reglamento, pero simplifica varios bloques. RGPD: al no transferir datos personales a un proveedor de nube extracomunitario, no hay base jurídica que justificar para una transferencia internacional. Art. 4: la formación es la misma, sea cloud o local. Art. 50: aplica igualmente al chatbot, sea local o no. Las ventajas reales de la IA local frente al AI Act son la trazabilidad completa de los datos de entrada, los logs íntegros bajo su control, la ausencia de Shadow-AI con datos sensibles, y la compatibilidad con la LOPDGDD y los criterios de la AEPD para datos especialmente protegidos. Más en ¿Qué es la IA Local?.
¿Qué pasa con los modelos GPAI si los uso en mi PyME?
Las obligaciones GPAI del Art. 53 y siguientes (documentación técnica, política de cumplimiento del derecho de autor, resumen del corpus de entrenamiento) recaen sobre el proveedor del modelo, no sobre la PyME que lo usa. Como deployer de una herramienta basada en GPAI (por ejemplo, ChatGPT, Copilot, Mistral), su responsabilidad es la de cualquier deployer: Art. 4, Art. 50 y RGPD. Si su PyME integra un modelo GPAI en un producto que comercializa, asume entonces obligaciones de proveedor sobre ese producto.

Siguientes pasos

Recursos para cumplir el AI Act en su PyME

Soluciones llave en mano que cubren los bloques más urgentes del Reglamento.

Formación Art. 4 RIA

Plataforma online con certificado y dossier firmado. 20 € por participante, sin permanencia.

IA Local en su empresa

LLM on-premise. Trazabilidad completa, sin transferencias internacionales, RGPD por diseño.

Proyecto Piloto IA

Despliegue de infraestructura local en 4 a 6 semanas, con directiva interna incluida.

Kit Digital y subvenciones

Categorías que pueden financiar parte del cumplimiento del AI Act en su PyME.

Blog Freshlab

Análisis actualizado del Reglamento, Digital Omnibus y casos prácticos para PyMEs.

Consulta gratuita

30 minutos con un experto en cumplimiento del AI Act adaptado al perfil de su PyME.

Empiece por la obligación más urgente: la formación del Art. 4

Es exigible desde febrero de 2025, es la obligación con plazo más corto y a la vez la base documental sobre la que se construye el resto del cumplimiento. Una formación documentada con dossier firmado cubre el deber de medios frente a AESIA y reduce el riesgo de responsabilidad civil por uso indebido de la IA.

Ver la formación Art. 4 RIA Hablar con un experto