← volver al blog

Ley de IA europea para pymes: qué te afecta de verdad

Ley de IA europea para pymes: qué te afecta de verdad

Ley de IA europea para pymes explicada sin jerga: qué es el AI Act, el calendario actualizado tras el Digital Omnibus, a quién afecta y una plantilla de política interna lista.

Oyes que hay una ley europea de IA, que hay una fecha límite en agosto, que hay multas millonarias. Y como tienes un negocio pequeño que usa ChatGPT o Gemini para tareas del día a día, te preguntas: ¿esto va conmigo, o es cosa de las grandes tecnológicas?

Esta guía responde eso sin jerga legal, con el calendario actualizado tras el último ajuste de la UE. Qué es la ley de IA europea, qué fechas importan de verdad ahora, a qué empresas afecta, qué te pide según cómo uses la IA, y una plantilla de política interna que puedes copiar y adaptar en una tarde. Spoiler honesto: si eres usuario de IA generalista y no la usas para decidir a quién contratas o a quién das un crédito, lo que te toca es mucho menos de lo que asustan los titulares, y encima tienes más margen del que se decía hace unos meses.

TL;DR
  • La ley de IA europea (el "AI Act", Reglamento UE 2024/1689) se aplica por fases, no de golpe. En junio de 2026 la UE aprobó un ajuste de calendario (el "Digital Omnibus") que retrasa las obligaciones más duras.
  • Lo que sigue igual: prohibiciones y alfabetización en IA desde febrero de 2025, obligaciones de los grandes modelos desde agosto de 2025, y transparencia (avisar cuando algo es IA) desde agosto de 2026.
  • Lo que se retrasó: las obligaciones de los sistemas de alto riesgo pasan de agosto de 2026 a diciembre de 2027 (y las de producto regulado, a agosto de 2028).
  • No clasifica a las empresas, clasifica los usos de la IA por nivel de riesgo: prohibido, alto riesgo, riesgo limitado (la mayoría de pymes) y riesgo mínimo.
  • Si usas IA generalista (ChatGPT, Gemini) para redactar, resumir o responder, estás casi siempre en "riesgo limitado": lo que te toca es transparencia y formar mínimamente a quien la usa, nada del calendario de alto riesgo.

¿Qué es la ley de IA europea y desde cuándo se aplica?

La ley de IA europea, conocida como AI Act, es el Reglamento (UE) 2024/1689: la primera norma del mundo que regula de forma general el uso de la inteligencia artificial. Entró en vigor el 1 de agosto de 2024 y se aplica de forma escalonada, no de golpe. Su objetivo es que la IA que se usa en Europa sea segura, transparente y respetuosa con los derechos de las personas.

Al ser un reglamento europeo, se aplica directamente en España sin necesidad de una ley nacional que lo transponga. Puedes consultar el texto oficial en el portal de la Comisión Europea sobre el AI Act.

¿Qué fechas del calendario me afectan?

El AI Act no tiene una única fecha de arranque, tiene un calendario por fases, y ese calendario se ajustó en junio de 2026. Estas son las fechas actualizadas:

  • Agosto de 2024: entra en vigor el reglamento.
  • Febrero de 2025: empiezan a aplicarse las prohibiciones (los usos de IA considerados inaceptables) y la obligación de alfabetización en IA: las empresas deben asegurarse de que quien usa IA tenga un mínimo de formación para hacerlo con criterio. Esta fecha no se ha movido.
  • Agosto de 2025: entran las obligaciones para los modelos de IA de propósito general (los grandes modelos como los que hay detrás de ChatGPT o Gemini, obligación que recae en sus fabricantes, no en ti) y se activa el régimen sancionador. Tampoco se ha movido.
  • Agosto de 2026: entra en aplicación la obligación de transparencia del artículo 50 (avisar cuando algo es IA: chatbots, contenido generado que podría confundirse con real). Esta fecha sigue igual.
  • Diciembre de 2027: entran las obligaciones para los sistemas de IA de alto riesgo del Anexo III (selección de personal, evaluación de empleados, concesión de crédito y similares). Esta fecha se retrasó desde agosto de 2026.
  • Agosto de 2028: entran las obligaciones para los sistemas de alto riesgo integrados en productos regulados (Anexo I, como dispositivos médicos). También retrasada.

La lectura práctica: si tu negocio usa IA generalista para tareas de apoyo, lo único de este calendario que te toca de verdad es la transparencia de agosto de 2026. El resto (alto riesgo) solo te afecta si usas IA para decisiones importantes sobre personas, y ahí tienes más margen del que se decía hace unos meses.

¿Qué es el "Digital Omnibus" y por qué cambió el calendario?

El Digital Omnibus es un ajuste al calendario del AI Act, no una nueva ley ni un cambio en el contenido del reglamento. Lo aprobó el Parlamento Europeo el 16 de junio de 2026 y el Consejo de la UE el 29 de junio de 2026.

Lo que hace es dar más tiempo para las obligaciones más pesadas de implementar (los sistemas de alto riesgo), reconociendo que tanto la UE como las empresas necesitaban margen para tener listas las normas técnicas y los sistemas de certificación. No toca lo que ya estaba en marcha: las prohibiciones, la alfabetización en IA, las obligaciones de los grandes modelos ni la transparencia siguen exactamente igual que antes.

Si tienes algún material, formación o argumentario comercial que hablaba de "agosto de 2026" como la gran fecha límite para todo, merece una revisión: ese deadline sigue existiendo, pero solo para transparencia. El de alto riesgo ahora es diciembre de 2027.

¿A qué empresas afecta la ley de IA?

La ley no clasifica a las empresas por tamaño ni por sector, clasifica los usos de la IA por su nivel de riesgo. La misma peluquería puede tener un uso de riesgo mínimo (redactar posts) y no tener ninguno de alto riesgo. Lo que determina tus obligaciones es para qué usas la IA, no quién eres.

Hay cuatro niveles:

  • Riesgo inaceptable (prohibido). Usos vetados por completo, como los sistemas de puntuación social de personas o la manipulación del comportamiento. Casi ninguna pyme se acerca a esto.
  • Alto riesgo. Sistemas que afectan a decisiones importantes sobre personas: filtrar currículums en una selección de personal, evaluar a empleados, decidir la concesión de un crédito, ciertos usos en educación o sanidad. Aquí sí hay obligaciones serias.
  • Riesgo limitado. El nivel donde está la inmensa mayoría de pymes: usar IA generalista para redactar, resumir, traducir o atender consultas. La obligación principal es de transparencia.
  • Riesgo mínimo. Usos sin apenas implicaciones, como un filtro de spam. Sin obligaciones específicas.

¿Qué me pide la ley si solo uso ChatGPT o Gemini en mi negocio?

Si usas IA generalista para tareas de apoyo (escribir textos, resumir, traducir, preparar borradores), estás en riesgo limitado y lo que te toca se resume en dos cosas.

Transparencia. Si un cliente interactúa con un sistema de IA creyendo que habla con una persona (por ejemplo, un chatbot de atención), debes dejar claro que es una IA. Y el contenido generado por IA que pueda confundirse con real (imágenes, audio, vídeo) debe poder identificarse como tal en los casos que marca la norma.

Alfabetización en IA. Debes procurar que tú y quien use IA en tu negocio tengáis un nivel básico de conocimiento para usarla con criterio: entender que se puede equivocar, saber qué datos no meter, revisar los resultados. No es un curso oficial ni un certificado, es diligencia razonable.

Eso es casi todo lo que te pide el AI Act como usuario de IA generalista. El resto de la carga de protección de datos (qué puedes meter, cómo, qué contar a tus clientes) viene del RGPD, y lo tienes desarrollado paso a paso en nuestra guía de IA y protección de datos para autónomos y pymes.

¿Cuándo paso a estar en "alto riesgo"?

Pasas a alto riesgo cuando usas IA para tomar o apoyar decisiones que afectan de forma significativa a personas. Los casos más habituales en un negocio pequeño:

  • Usar IA para filtrar o puntuar candidatos en un proceso de selección.
  • Usar IA para evaluar el desempeño de tus empleados.
  • Usar IA para decidir el acceso a un servicio con impacto real (financiación, seguros).

En estos casos aparecen obligaciones reales: supervisión humana, documentación, control de sesgos, información a las personas afectadas. Con el calendario ajustado, esas obligaciones entran en aplicación en diciembre de 2027, no en agosto de 2026. Tienes margen, pero si tu negocio va por ahí, aprovéchalo para prepararte con calma, no para no hacer nada: es el momento de asesorarte en serio.

¿Qué multas hay y son realistas para una pyme?

El AI Act prevé multas de hasta 35 millones de euros o el 7% de la facturación mundial para las infracciones más graves (usar IA prohibida), y de hasta 15 millones o el 3% para el incumplimiento de otras obligaciones. Esas cifras, igual que en el RGPD, están pensadas para las grandes.

El propio reglamento contempla que para las pymes y startups los importes se ajusten a una escala proporcionada, tomando el menor de los valores posibles. Traducido: el riesgo real para un negocio pequeño no son los millones del titular, pero el régimen sancionador está activo y la mejor defensa es la misma de siempre, poder demostrar que actuaste con diligencia. Y eso se demuestra con una política interna sencilla, que es justo lo que viene ahora.

Plantilla de política de uso de IA (lista para adaptar)

Para una pyme, lo más eficaz no es un documento largo y genérico, es una política clara de una a tres páginas que la gente pueda leer y cumplir. Copia esta estructura, rellena lo que va entre corchetes y guárdala firmada por cada persona que use IA en tu negocio.

1. Objetivo. Esta política establece cómo se usa la inteligencia artificial en [nombre del negocio] para proteger los datos de clientes, cumplir la normativa y usar la IA con criterio.

2. Alcance. Aplica a todas las personas que usan herramientas de IA en su trabajo para [nombre del negocio], sean empleados, socios o colaboradores.

3. Herramientas permitidas. Solo se pueden usar las herramientas de esta lista: [ChatGPT, Gemini, ...], y con la configuración indicada (entrenamiento con datos desactivado). Cualquier herramienta nueva debe aprobarse antes de usarse.

4. Usos prohibidos. No se usa la IA para tomar decisiones automáticas sobre personas (contratar, despedir, evaluar, conceder crédito) sin supervisión. No se usa para nada ilegal ni para generar contenido engañoso.

5. Reglas de datos. No se introducen en una IA nombres, teléfonos, emails, DNIs ni datos de salud o bancarios de clientes sin anonimizar antes. Los datos sensibles no se meten nunca.

6. Supervisión humana. Todo resultado de una IA se revisa antes de usarlo, enviarlo o publicarlo. La IA propone, una persona decide.

7. Seguridad y privacidad. Las cuentas de IA son personales y no se comparten. Se usa la configuración que no reutiliza los datos para entrenamiento.

8. Formación y responsabilidades. Cada persona que use IA recibe una explicación básica de estas reglas. [Nombre del responsable] resuelve las dudas.

9. Incidentes y sanciones. Cualquier error o uso indebido se comunica a [responsable] cuanto antes. El incumplimiento de esta política puede tener consecuencias disciplinarias.

10. Revisión. Esta política se revisa al menos una vez al año, y antes si cambian las herramientas o la normativa. Última actualización: [fecha].

Aceptación: He leído y acepto esta política de uso de IA. Nombre, fecha y firma.

Con eso, un anexo con la lista de herramientas aprobadas y la firma de cada persona, tienes cubierto lo esencial y una prueba de diligencia si algún día te la piden.

Preguntas frecuentes

¿La ley de IA europea afecta a autónomos y pequeñas empresas?+

Sí, pero según el uso que hagas de la IA, no por tu tamaño. Si usas IA generalista para tareas de apoyo (redactar, resumir, traducir), estás en riesgo limitado y solo te toca transparencia y una alfabetización básica. Las obligaciones serias son para usos de alto riesgo, como filtrar candidatos o evaluar empleados con IA.

¿Qué pasa en agosto de 2026 con la ley de IA?+

Entra en aplicación la obligación de transparencia del artículo 50: avisar cuando algo es IA (chatbots, contenido generado que podría confundirse con real). Las obligaciones de los sistemas de alto riesgo, que antes también estaban previstas para agosto de 2026, se retrasaron a diciembre de 2027 con el ajuste del "Digital Omnibus" aprobado en junio de 2026.

¿Necesito un abogado para cumplir la ley de IA en mi negocio?+

Para un uso normal de IA generalista, no. Con una política interna sencilla, la configuración correcta de tus herramientas y revisar los resultados antes de usarlos, cubres lo esencial. Solo necesitas asesoramiento específico si usas IA para decisiones de alto riesgo sobre personas.

¿La ley de IA y el RGPD son lo mismo?+

No. El RGPD regula el tratamiento de datos personales (qué puedes hacer con los datos de tus clientes). El AI Act regula el uso de la inteligencia artificial en sí. Se complementan: cuando usas IA con datos de clientes, te aplican los dos a la vez.

¿Tengo que avisar a mis clientes de que uso IA?+

En algunos casos sí, por transparencia: si interactúan con un chatbot creyendo que es una persona, o si generas contenido que podría confundirse con real. Para el uso interno de apoyo suele bastar con reflejarlo en tu política de privacidad.


La ley de IA europea no es un muro pensado para frenar a los negocios pequeños, es un marco que, para la mayoría de pymes usuarias de IA generalista, se resume en tres cosas: transparencia, formar mínimamente a quien la usa y tener una política interna sencilla. El criterio pesa más que el miedo, y cumplir lo básico cuesta una tarde.

Si quieres ir un paso más allá, en sinodo tenemos instrucciones ya probadas para usar la IA en tareas concretas de tu negocio, con estas precauciones ya incorporadas. Las pide y las vota la propia comunidad. Empieza aquí.

Compartir
WhatsAppLinkedInXEmail