El AI Act de la Unión Europea es el primer reglamento del mundo que pone orden a la inteligencia artificial. Suena a algo lejano, propio de grandes tecnológicas, pero te afecta si tu equipo usa ChatGPT para redactar, un chatbot para atender clientes o una herramienta que clasifica correos. Esta guía explica qué es el AI Act, a quién aplica y qué te obliga de verdad, sin jerga jurídica y pensada para una empresa pequeña.
Conviene aclararlo desde el principio: este es un artículo informativo de gobernanza, no asesoramiento jurídico. El objetivo es que entiendas el mapa antes de gastar un euro o una hora en cumplimiento que quizá no necesitas.
Qué es el AI Act y por qué existe
El AI Act es el nombre coloquial del Reglamento (UE) 2024/1689. Es una norma europea de aplicación directa: no necesita que cada país la copie para que rija. España publica su propia ley para designar a las autoridades que vigilan y para fijar las multas, pero el contenido de fondo —qué tienes que cumplir— ya está en el reglamento europeo, que se aplica por fases desde 2024.
La idea de la norma es simple. No regula la IA por lo que es, sino por el riesgo que genera su uso. Un filtro de spam y un sistema que decide quién accede a un crédito son ambos IA, pero el segundo puede arruinar la vida de una persona y el primero no. La ley los trata de forma muy distinta. Esa lógica de "a más riesgo, más obligaciones" es la columna vertebral de todo.
A quién aplica: probablemente, a ti
El AI Act no distingue por tamaño de empresa. Aplica a quien desarrolla IA (proveedor) y, sobre todo para la mayoría de pymes, a quien la usa en su actividad (lo que la norma llama responsable del despliegue o deployer).
Aquí está el malentendido más común. Muchas empresas creen que la ley es para quien "fabrica" inteligencia artificial. Falso. Si tu empresa usa una herramienta de IA de un tercero, eres deployer y tienes obligaciones propias, aunque no hayas escrito una sola línea de código. Y casi cualquier negocio hoy usa IA: en marketing, en atención al cliente, en análisis de datos. Por eso vale la pena entender qué es exactamente un agente de IA antes de asumir que esto no va contigo.
Los cuatro niveles de riesgo, en lenguaje claro
El corazón del AI Act son cuatro categorías. Saber en cuál cae cada herramienta que usas te dice exactamente qué te toca hacer.
| Nivel de riesgo | Qué incluye | Qué exige |
|---|---|---|
| Inaceptable (prohibido) | Manipulación, puntuación social, ciertos usos biométricos. | Vetado. No se puede usar bajo ningún concepto. |
| Alto riesgo | IA en selección de personal, concesión de crédito, biometría, infraestructuras críticas, educación. | Documentación, supervisión humana, gestión de riesgos. Carga pesada. |
| Riesgo limitado | Chatbots, generadores de texto o imagen que interactúan con personas. | Transparencia: avisar de que es IA y etiquetar lo generado. |
| Riesgo mínimo | La inmensa mayoría: filtros, recomendadores, asistentes de oficina. | Sin obligaciones específicas (más allá de las generales). |
La buena noticia para una pyme: la mayoría de tus usos caen en riesgo limitado o mínimo. Rara vez una empresa pequeña opera un sistema de alto riesgo del listado europeo. Eso significa que el grueso de la norma —la parte que da miedo, la de documentación técnica y auditorías— probablemente no es para ti.
Qué obliga YA y qué se aplazó
El calendario del AI Act ha generado mucho ruido, y una parte de ese ruido es peligrosa porque transmite una falsa sensación de tregua. Vamos a separar lo vigente de lo aplazado.
En mayo de 2026, la Unión Europea acordó aplazar las obligaciones de los sistemas de alto riesgo del 2 de agosto de 2026 al 2 de diciembre de 2027. El 16 de junio de 2026, el Parlamento Europeo aprobó ese acuerdo (el llamado Digital Omnibus); falta solo la confirmación formal del Consejo y su publicación oficial. Es un dato de actualidad relevante, pero hay que leer la letra pequeña.
El aplazamiento no te libera. Lo que se movió a diciembre de 2027 es el alto riesgo, que casi nunca es lo que usa una pyme. Lo que tú sí usas —chatbots, generadores de contenido, asistentes— sigue regulado y con fechas vivas.
Tres cosas son exigibles ya o el 2 de agosto de 2026, y ninguna se aplazó:
- No incurrir en prácticas prohibidas (Art. 5) — vigente desde febrero de 2025. Manipulación, puntuación social y ciertos usos biométricos están vetados.
- Formar al equipo (Art. 4) — vigente desde febrero de 2025. Quien use IA en tu empresa tiene que entender sus límites, y debes poder demostrarlo.
- Transparencia (Art. 50) — entra el 2 de agosto de 2026. Si tienes un chatbot, debe quedar claro que no es una persona; el contenido generado por IA se etiqueta.
Si quieres el detalle de esta distinción, lo desarrollamos en nuestro análisis de lo que NO se aplazó del AI Act y sigue siendo obligatorio en agosto de 2026, y del contexto del aplazamiento en qué pasa con tu pyme tras el aplazamiento del deadline.
Las multas y quién vigila en España
España replica los topes del reglamento europeo, no los rebaja. Las prácticas prohibidas pueden costar hasta 35 millones de euros o el 7% de la facturación mundial, lo que sea mayor. Para otras infracciones, los topes bajan a 15 millones (3%) y 7,5 millones (1%). Son cifras pensadas para grandes operadores, pero la norma sí introduce una graduación más favorable a pymes y startups y descuentos por pago voluntario.
La autoridad que vigila es, por defecto, la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con competencias repartidas con la AEPD, el Banco de España y otros reguladores según el caso. Habrá también una ventanilla para denunciar incumplimientos. Conviene recordar que la ley española aún está en tramitación parlamentaria: el texto puede afinarse antes de aprobarse.
El primer paso no es legal: es saber qué IA tienes
Llega la parte práctica, y es la que más se ignora. Antes de hablar de cumplimiento, formación o transparencia, hay una pregunta que casi ninguna empresa pequeña sabe responder: ¿qué herramientas de IA se están usando aquí dentro?
La respuesta honesta suele ser "no lo sé del todo". Hay una IA oficial (la que la dirección aprobó) y una shadow AI: las herramientas que los empleados usan por su cuenta, con datos de la empresa, sin que nadie lo registre. Sin ese inventario, cualquier decisión de cumplimiento parte de una foto incompleta. No puedes formar sobre lo que no sabes que usas, ni clasificar el riesgo de un sistema que ni figura en tus listas.
Por eso, en Ailitica defendemos que el cumplimiento del AI Act empieza por un inventario, no por un dictamen. Es barato, rápido y revela el 80% de lo que importa. Es la misma lógica del diagnóstico antes de implementar IA que aplicamos a cualquier proyecto: primero ver, después decidir. Y encaja con la idea de una gobernanza de IA para empresas pequeñas que cabe en dos páginas, no en un manual de ochenta.
Regla de oro: no necesitas un proyecto enorme de compliance. Necesitas cerrar por escrito un puñado de cosas —inventario, clasificación de riesgo, dos o tres avisos de transparencia y una sesión de formación firmada— y revisar el alto riesgo de cara a diciembre de 2027.
Cómo empezar esta semana, sin abrir un proyecto
Si te llevas una sola idea de esta guía, que sea esta: el AI Act es manejable para una pyme si lo abordas por orden. Primero el inventario, luego la clasificación por riesgo, después las tres obligaciones vivas. Nada de esto requiere un departamento legal, aunque sí conviene que un asesor jurídico valide las decisiones sensibles antes de firmarlas. Para entender por dónde se empieza de verdad, sirve nuestra guía de cómo empezar con IA en tu empresa sin convertirlo en un proyecto eterno.
Para profundizar en el texto oficial, la fuente de referencia es el portal del AI Act de la Unión Europea, que mantiene el reglamento y su calendario actualizados.