Cuando se habla del EU AI Act, la mayoria de articulos se centran en grandes corporaciones, sistemas de alto riesgo y proveedores de modelos de IA. Pero la realidad es que la mayoria de las obligaciones tambien aplican a PYMEs. Especialmente el articulo 4, que exige alfabetizacion en IA para toda la plantilla y que ya esta en vigor desde febrero de 2025.
Este articulo esta pensado para ti si diriges una empresa de 5 a 250 empleados, usas herramientas de IA (aunque sea ChatGPT o un CRM con funciones de IA), y necesitas saber que tienes que hacer para cumplir sin gastar una fortuna.
Afecta el EU AI Act a mi PYME?
Si. Con matices, pero si.
El EU AI Act aplica a tres perfiles:
- Proveedores de sistemas de IA (los que los desarrollan o los ponen en el mercado).
- Implementadores (deployers): los que usan sistemas de IA en su actividad profesional. Esto incluye a cualquier empresa que use herramientas con IA.
- Importadores y distribuidores de sistemas de IA.
Si tu empresa usa un chatbot para atencion al cliente, un sistema de scoring para leads, una herramienta de IA para generar contenido, un filtro automatizado de CVs o cualquier herramienta que use modelos de lenguaje, vision artificial o aprendizaje automatico, eres un implementador y tienes obligaciones.
Buena noticia para PYMEs: La Comision Europea ha comprometido medidas de apoyo especificas: documentacion tecnica simplificada, canales de consulta dedicados, sandbox regulatorios y formacion adaptada. Pero eso no te exime de cumplir. Solo facilita el proceso.
Que cuenta como sistema de IA
El EU AI Act define "sistema de IA" de forma amplia: un sistema basado en maquina que opera con distintos niveles de autonomia, que puede adaptarse tras su despliegue y que, a partir de los datos que recibe, genera resultados como predicciones, contenido, recomendaciones o decisiones que pueden influir en entornos fisicos o virtuales.
En la practica, esto incluye:
| Herramienta | Es sistema de IA? | Ejemplo de uso en PYME |
|---|---|---|
| ChatGPT / Claude / Gemini | Si | Generar emails, resumir documentos, atencion al cliente |
| CRM con lead scoring (HubSpot, Salesforce) | Si | Clasificar leads por probabilidad de cierre |
| Filtro automatizado de CVs | Si (alto riesgo) | Preseleccionar candidatos automaticamente |
| Herramientas de marketing con IA (Jasper, Copy.ai) | Si | Generar copys, segmentar audiencias |
| Excel con formulas | No | Calculos y filtros manuales |
| GitHub Copilot / asistentes de codigo | Si | Generar y revisar codigo automaticamente |
| Sistema de videovigilancia con reconocimiento facial | Si (alto riesgo) | Control de acceso biometrico |
Clasifica tus sistemas por nivel de riesgo
El EU AI Act clasifica los sistemas de IA en cuatro niveles de riesgo. Tus obligaciones dependen de donde caigan los sistemas que usas:
Riesgo inaceptable (prohibido)
Scoring social, manipulacion subliminal, reconocimiento de emociones en el trabajo/escuela, vigilancia biometrica masiva en tiempo real. Tu PYME probablemente no usa ninguno de estos. Si lo hace, debe dejar de hacerlo inmediatamente.
Alto riesgo
Filtrado automatizado de CVs, scoring crediticio, sistemas de IA en sanidad, educacion, administracion de justicia, control de infraestructuras criticas. Si usas IA para tomar o influir en decisiones sobre personas, revisa el Anexo III del reglamento. Hay obligaciones pesadas: evaluacion de conformidad, documentacion tecnica, supervision humana, registro en la base de datos de la UE.
Riesgo limitado (obligaciones de transparencia)
Chatbots, generacion de contenido con IA, deepfakes. La obligacion principal es informar al usuario de que esta interactuando con una IA o de que el contenido ha sido generado por IA. Si tu chatbot atiende clientes, deben saber que hablan con una maquina.
Riesgo minimo
Filtros de spam, recomendaciones de productos, asistentes de codigo para uso interno. Sin obligaciones especificas mas alla del articulo 4 (alfabetizacion). La mayoria de usos de IA en PYMEs caen aqui.
La clave: incluso si todos tus sistemas son de riesgo minimo, el articulo 4 te obliga a garantizar que tu personal tiene un nivel suficiente de alfabetizacion en IA. Esto aplica desde febrero de 2025.
Obligaciones que ya estan en vigor
Desde el 2 de febrero de 2025, dos obligaciones aplican a todas las empresas:
Articulo 4: Alfabetizacion en IA
Debes garantizar que todas las personas que trabajan con sistemas de IA en tu organizacion tienen un nivel suficiente de conocimiento sobre como funcionan estos sistemas, sus limitaciones, riesgos y oportunidades. Esto incluye:
- Empleados que usan herramientas de IA en su trabajo diario.
- Directivos que toman decisiones sobre la adopcion de IA.
- Personal de IT que gestiona o integra sistemas de IA.
No se especifica un formato concreto de formacion, pero debe ser demostrable. Es decir, si un inspector te lo pide, tienes que poder demostrar que has formado a tu equipo.
FUNDAE cubre el 100%. La formacion en IA para empresas se puede bonificar a traves de FUNDAE. Para la mayoria de PYMEs, el coste real es 0 EUR. Los creditos FUNDAE no usados caducan a final de ano, asi que es dinero que pierdes si no lo aprovechas. Nuestro curso de Aplicaci贸n Segura de IA en la Empresa cumple con los requisitos del articulo 4 y se gestiona integramente a traves de FUNDAE.
Articulo 5: Practicas prohibidas
Desde agosto de 2025, esta prohibido usar sistemas de IA para:
- Manipulacion subliminal que cause dano.
- Explotacion de vulnerabilidades de grupos especificos (edad, discapacidad).
- Scoring social por parte de autoridades publicas.
- Vigilancia biometrica masiva en tiempo real en espacios publicos (con excepciones de seguridad).
La mayoria de PYMEs no usan estos sistemas. Pero conviene revisarlo: si usas reconocimiento facial para control de acceso a tus oficinas, podria caer en una zona gris.
Lo que viene en agosto de 2026
El 2 de agosto de 2026 es el gran deadline. Entran en vigor las obligaciones para sistemas de alto riesgo:
- Sistema de gestion de riesgos para cada sistema de IA de alto riesgo.
- Gobernanza de datos (calidad, representatividad, ausencia de sesgos).
- Documentacion tecnica completa.
- Registro automatico de actividades (logging).
- Transparencia e informacion al usuario.
- Supervision humana efectiva.
- Precision, robustez y ciberseguridad.
- Evaluacion de conformidad y marcado CE (para proveedores).
- Registro en la base de datos publica de la UE.
Si eres implementador (usas sistemas de alto riesgo pero no los desarrollas), tus obligaciones son mas ligeras pero reales: supervision humana, uso conforme a las instrucciones del proveedor, monitorizacion y notificacion de incidentes.
35M €
Multa maxima por practicas prohibidas (Art. 5) o el 7% de la facturacion global
15M €
Multa maxima por incumplir obligaciones de alto riesgo o el 3% de la facturacion global
7,5M €
Multa maxima por proporcionar informacion incorrecta o el 1% de la facturacion global
Para PYMEs y startups, las multas se aplican con la cifra menor (porcentaje de facturacion), lo que reduce el impacto economico. Pero no lo elimina. Una multa del 3% de la facturacion anual puede ser devastadora para una PYME.
Plan de accion en 7 pasos
Esto es lo que recomendamos a las PYMEs que trabajan con nosotros:
Haz un inventario de todos los sistemas de IA que usas
Incluye herramientas SaaS, plugins, APIs y cualquier componente que use IA. No olvides los usos informales: empleados usando ChatGPT por su cuenta, por ejemplo. Documenta para que se usa cada uno y quien lo usa.
Clasifica cada sistema por nivel de riesgo
Usa la tabla del Anexo III del reglamento como referencia. Si tienes dudas, la Comision Europea ofrece un AI Act Compliance Checker gratuito para PYMEs.
Forma a tu equipo (Art. 4) - URGENTE
Esto ya deberia estar hecho. Si no lo has hecho, es lo primero. Una formacion de 10 horas cubre los fundamentos. FUNDAE lo cubre al 100%. No tienes excusa.
Crea una politica de uso de IA
Documenta que herramientas de IA estan aprobadas, para que se pueden usar, que datos se pueden introducir y cuales no, y quien es responsable de supervisar su uso. No necesita ser un documento de 50 paginas. 2-3 paginas claras son suficientes.
Implementa transparencia en sistemas de interaccion
Si usas chatbots, deben informar al usuario de que hablan con una IA. Si generas contenido con IA (imagenes, textos, audio), debes etiquetarlo. Esto es obligatorio para sistemas de riesgo limitado.
Revisa tus proveedores de IA
Si usas sistemas de alto riesgo proporcionados por terceros, verifica que el proveedor cumple con sus obligaciones (marcado CE, documentacion tecnica, evaluacion de conformidad). Tu responsabilidad como implementador incluye usar el sistema conforme a las instrucciones del proveedor.
Documenta todo
El cumplimiento se demuestra con documentacion. Guarda registros de la formacion realizada, el inventario de sistemas, las clasificaciones de riesgo, la politica de uso y cualquier evaluacion que hagas. Si llega una inspeccion, esto es lo que te pediran.
Cuanto cuesta cumplir
Depende de la complejidad de tu uso de IA, pero para una PYME tipica:
| Accion | Coste estimado | Notas |
|---|---|---|
| Formacion Art. 4 (10h por persona) | 0 EUR | Con credito FUNDAE. Sin FUNDAE: 75 EUR/persona |
| Inventario y clasificacion de sistemas | 0 - 500 EUR | Puede hacerse internamente con guia |
| Politica de uso de IA | 0 - 1.000 EUR | Template + adaptacion. Mas barato que empezar de cero |
| Transparencia en chatbots/contenido | 0 - 200 EUR | Cambios menores en la interfaz |
| Assessment completo (si usas alto riesgo) | 1.500 - 5.000 EUR | Consultoria externa recomendada |
Para la inmensa mayoria de PYMEs que solo usan IA de riesgo minimo o limitado, el coste de cumplimiento es minimo: formacion (gratis con FUNDAE), politica de uso (un documento) y transparencia (un aviso en el chatbot). Si ademas necesitas certificaciones de ciberseguridad como ISO 27001 o ENS, puedes integrar el cumplimiento del AI Act en el mismo proyecto. No hay excusa para no hacerlo.
Errores comunes que cometen las PYMEs
- "El AI Act no me afecta porque soy pequeno." Falso. El articulo 4 aplica a todas las empresas que usen IA, independientemente de su tamano.
- "Ya usamos IA de forma segura, no necesitamos formacion." La obligacion no es usar IA de forma segura. Es demostrar que tu plantilla tiene un nivel suficiente de alfabetizacion. Sin formacion documentada, no puedes demostrarlo.
- "Mis empleados usan ChatGPT por su cuenta, eso no cuenta." Si un empleado usa IA en el contexto laboral, la empresa es responsable. Shadow AI es un riesgo regulatorio real.
- "Puedo esperar a agosto de 2026." El articulo 4 ya esta en vigor. Y prepararse para las obligaciones de alto riesgo (si aplican) lleva meses. No es algo que se hace en dos semanas.
- "FUNDAE es complicado y no merece la pena." Nosotros gestionamos toda la tramitacion FUNDAE. El proceso para la empresa es cero esfuerzo. Y el ahorro es del 100%.
Formacion EU AI Act para PYMEs
Cumple con el Articulo 4 por 0 EUR
Nuestro curso de Aplicaci贸n Segura de IA en la Empresa cubre los requisitos del articulo 4: como funciona la IA, riesgos, limitaciones, uso responsable y marco legal. 10 horas, 100% bonificable por FUNDAE. Gestionamos toda la tramitacion.
Ver Curso Aplicaci贸n Segura de IA →