Cuando se habla del EU AI Act, la mayoria de artículos se centran en grandes corporaciones, sistemas de alto riesgo y proveedores de modelos de IA. Pero la mayoria de las obligaciones también aplican a PYMEs. Especialmente el artículo 4, que exige alfabetizacion en IA para toda la plantilla y que ya esta en vigor desde febrero de 2025.
Este artículo esta pensado para ti si diriges una empresa de 5 a 250 empleados, usas herramientas de IA (aunque sea ChatGPT o un CRM con funciones de IA), y necesitas saber que tienes que hacer para cumplir sin gastar una fortuna.
Afecta el EU AI Act a mi PYME?
Si. Con matices, pero si.
El EU AI Act aplica a tres perfiles:
- Proveedores de sistemas de IA (los que los desarrollan o los ponen en el mercado).
- Implementadores (deployers): los que usan sistemas de IA en su actividad profesional. Esto incluye a cualquier empresa que use herramientas con IA.
- Importadores y distribuidores de sistemas de IA.
Si tu empresa usa un chatbot para atencion al cliente, un sistema de scoring para leads, una herramienta de IA para generar contenido, un filtro automatizado de CVs o cualquier herramienta que use modelos de lenguaje, vision artificial o aprendizaje automático, eres un implementador y tienes obligaciones.
Buena noticia para PYMEs: La Comision Europea ha comprometido medidas de apoyo especificas: documentación técnica simplificada, canales de consulta dedicados, sandbox regulatorios y formación adaptada. Pero eso no te exime de cumplir. Solo facilita el proceso.
Que cuenta como sistema de IA
El EU AI Act define "sistema de IA" de forma amplia: un sistema basado en máquina que opera con distintos niveles de autonomia, que puede adaptarse tras su despliegue y que, a partir de los datos que recibe, genera resultados como predicciones, contenido, recomendaciones o decisiones que pueden influir en entornos fisicos o virtuales.
En la practica, esto incluye:
| Herramienta | Es sistema de IA? | Ejemplo de uso en PYME |
|---|---|---|
| ChatGPT / Claude / Gemini | Si | Generar emails, resumir documentos, atencion al cliente |
| CRM con lead scoring (HubSpot, Salesforce) | Si | Clasificar leads por probabilidad de cierre |
| Filtro automatizado de CVs | Si (alto riesgo) | Preseleccionar candidatos automáticamente |
| Herramientas de marketing con IA (Jasper, Copy.ai) | Si | Generar copys, segmentar audiencias |
| Excel con formulas | No | Calculos y filtros manuales |
| GitHub Copilot / asistentes de código | Si | Generar y revisar código automáticamente |
| Sistema de videovigilancia con reconocimiento facial | Si (alto riesgo) | Control de acceso biometrico |
Clasifica tus sistemas por nivel de riesgo
El EU AI Act clasifica los sistemas de IA en cuatro niveles de riesgo. Tus obligaciones dependen de donde caigan los sistemas que usas:
Riesgo inaceptable (prohibido)
Scoring social, manipulación subliminal, reconocimiento de emociones en el trabajo/escuela, vigilancia biometrica masiva en tiempo real. Tu PYME probablemente no usa ninguno de estos. Si lo hace, debe dejar de hacerlo inmediatamente.
Alto riesgo
Filtrado automatizado de CVs, scoring crediticio, sistemas de IA en sanidad, educación, administracion de justicia, control de infraestructuras criticas. Si usas IA para tomar o influir en decisiones sobre personas, revisa el Anexo III del reglamento. Hay obligaciones pesadas: evaluación de conformidad, documentación técnica, supervision humana, registro en la base de datos de la UE.
Riesgo limitado (obligaciones de transparencia)
Chatbots, generacion de contenido con IA, deepfakes. La obligación principal es informar al usuario de que esta interactuando con una IA o de que el contenido ha sido generado por IA. Si tu chatbot atiende clientes, deben saber que hablan con una máquina.
Riesgo minimo
Filtros de spam, recomendaciones de productos, asistentes de código para uso interno. Sin obligaciones especificas mas alla del artículo 4 (alfabetizacion). La mayoria de usos de IA en PYMEs caen aqui.
La clave: incluso si todos tus sistemas son de riesgo minimo, el artículo 4 te obliga a garantizar que tu personal tiene un nivel suficiente de alfabetizacion en IA. Esto aplica desde febrero de 2025.
Obligaciones que ya estan en vigor
Desde el 2 de febrero de 2025, dos obligaciones aplican a todas las empresas:
Artículo 4: Alfabetizacion en IA
Debes garantizar que todas las personas que trabajan con sistemas de IA en tu organización tienen un nivel suficiente de conocimiento sobre como funcionan estos sistemas, sus limitaciones, riesgos y oportunidades. Esto incluye:
- Empleados que usan herramientas de IA en su trabajo diario.
- Directivos que toman decisiones sobre la adopcion de IA.
- Personal de IT que gestiona o integra sistemas de IA.
No se específica un formato concreto de formación, pero debe ser demostrable. Es decir, si un inspector te lo pide, tienes que poder demostrar que has formado a tu equipo.
FUNDAE cubre el 100%. La formación en IA para empresas se puede bonificar a traves de FUNDAE. Para la mayoria de PYMEs, el coste real es 0 EUR. Los créditos FUNDAE no usados caducan a final de ano, asi que es dinero que pierdes si no lo aprovechas. Nuestro curso de Aplicación Segura de IA en la Empresa cumple con los requisitos del artículo 4 y se gestiona integramente a traves de FUNDAE.
Artículo 5: Practicas prohibidas
Desde agosto de 2025, esta prohibido usar sistemas de IA para:
- Manipulacion subliminal que cause dano.
- Explotacion de vulnerabilidades de grupos específicos (edad, discapacidad).
- Scoring social por parte de autoridades publicas.
- Vigilancia biometrica masiva en tiempo real en espacios publicos (con excepciones de seguridad).
La mayoria de PYMEs no usan estos sistemas. Pero conviene revisarlo: si usas reconocimiento facial para control de acceso a tus oficinas, podria caer en una zona gris.
Lo que viene en agosto de 2026
El 2 de agosto de 2026 es el gran deadline. Entran en vigor las obligaciones para sistemas de alto riesgo:
- Sistema de gestión de riesgos para cada sistema de IA de alto riesgo.
- Gobernanza de datos (calidad, representatividad, ausencia de sesgos).
- Documentacion técnica completa.
- Registro automático de actividades (logging).
- Transparencia e información al usuario.
- Supervision humana efectiva.
- Precision, robustez y ciberseguridad.
- Evaluacion de conformidad y marcado CE (para proveedores).
- Registro en la base de datos pública de la UE.
Si eres implementador (usas sistemas de alto riesgo pero no los desarrollas), tus obligaciones son mas ligeras pero reales: supervision humana, uso conforme a las instrucciones del proveedor, monitorización y notificación de incidentes.
35M €
Multa maxima por prácticas prohibidas (Art. 5) o el 7% de la facturación global
15M €
Multa maxima por incumplir obligaciones de alto riesgo o el 3% de la facturación global
7,5M €
Multa maxima por proporcionar información incorrecta o el 1% de la facturación global
Para PYMEs y startups, las multas se aplican con la cifra menor (porcentaje de facturación), lo que reduce el impacto economico. Pero no lo elimina. Una multa del 3% de la facturación anual tiene un impacto serio para una PYME.
Plan de accion en 7 pasos
Esto es lo que recomendamos a las PYMEs que trabajan con nosotros:
Haz un inventario de todos los sistemas de IA que usas
Incluye herramientas SaaS, plugins, APIs y cualquier componente que use IA. No olvides los usos informales: empleados usando ChatGPT por su cuenta, por ejemplo. Documenta para que se usa cada uno y quien lo usa.
Clasifica cada sistema por nivel de riesgo
Usa la tabla del Anexo III del reglamento como referencia. Si tienes dudas, la Comision Europea ofrece un AI Act Compliance Checker gratuito para PYMEs.
Forma a tu equipo (Art. 4) - URGENTE
Esto ya deberia estar hecho. Si no lo has hecho, es lo primero. Una formación de 10 horas cubre los fundamentos. FUNDAE lo cubre al 100%. No tienes excusa.
Crea una politica de uso de IA
Documenta que herramientas de IA estan aprobadas, para que se pueden usar, que datos se pueden introducir y cuales no, y quien es responsable de supervisar su uso. No necesita ser un documento de 50 paginas. 2-3 paginas claras son suficientes.
Implementa transparencia en sistemas de interacción
Si usas chatbots, deben informar al usuario de que hablan con una IA. Si generas contenido con IA (imagenes, textos, audio), debes etiquetarlo. Esto es obligatorio para sistemas de riesgo limitado.
Revisa tus proveedores de IA
Si usas sistemas de alto riesgo proporcionados por terceros, verifica que el proveedor cumple con sus obligaciones (marcado CE, documentación técnica, evaluación de conformidad). Tu responsabilidad como implementador incluye usar el sistema conforme a las instrucciones del proveedor.
Documenta todo
El cumplimiento se demuestra con documentación. Guarda registros de la formación realizada, el inventario de sistemas, las clasificaciones de riesgo, la politica de uso y cualquier evaluación que hagas. Si llega una inspeccion, esto es lo que te pediran.
Cuanto cuesta cumplir
Depende de la complejidad de tu uso de IA, pero para una PYME tipica:
| Accion | Coste estimado | Notas |
|---|---|---|
| Formación Art. 4 (10h por persona) | 0 EUR | Con crédito FUNDAE. Sin FUNDAE: 75 EUR/persona |
| Inventario y clasificación de sistemas | 0 - 500 EUR | Puede hacerse internamente con guia |
| Politica de uso de IA | 0 - 1.000 EUR | Template + adaptacion. Mas barato que empezar de cero |
| Transparencia en chatbots/contenido | 0 - 200 EUR | Cambios menores en la interfaz |
| Assessment completo (si usas alto riesgo) | 1.500 - 5.000 EUR | Consultoria externa recomendada |
Para la inmensa mayoria de PYMEs que solo usan IA de riesgo minimo o limitado, el coste de cumplimiento es minimo: formación (gratis con FUNDAE), politica de uso (un documento) y transparencia (un aviso en el chatbot). Si además necesitas certificaciones de ciberseguridad como ISO 27001 o ENS, puedes integrar el cumplimiento del AI Act en el mismo proyecto. No hay excusa para no hacerlo.
Errores comunes que cometen las PYMEs
- "El AI Act no me afecta porque soy pequeno." Falso. El artículo 4 aplica a todas las empresas que usen IA, independientemente de su tamano.
- "Ya usamos IA de forma segura, no necesitamos formación." La obligación no es usar IA de forma segura. Es demostrar que tu plantilla tiene un nivel suficiente de alfabetizacion. Sin formación documentada, no puedes demostrarlo.
- "Mis empleados usan ChatGPT por su cuenta, eso no cuenta." Si un empleado usa IA en el contexto laboral, la empresa es responsable. Shadow AI es un riesgo regulatorio real.
- "Puedo esperar a agosto de 2026." El artículo 4 ya esta en vigor. Y prepararse para las obligaciones de alto riesgo (si aplican) lleva meses. No es algo que se hace en dos semanas.
- "FUNDAE es complicado y no merece la pena." Nosotros gestionamos toda la tramitacion FUNDAE. El proceso para la empresa es cero esfuerzo. Y el ahorro es del 100%.
Formación EU AI Act para PYMEs
Cumple con el Artículo 4 por 0 EUR
Nuestro curso de Aplicación Segura de IA en la Empresa cubre los requisitos del artículo 4: como funciona la IA, riesgos, limitaciones, uso responsable y marco legal. 10 horas, 100% bonificable por FUNDAE. Gestionamos toda la tramitacion.
Ver Curso Aplicación Segura de IA →Tu equipo necesita formacion en IA segura
El EU AI Act exige alfabetizacion IA para toda la plantilla desde agosto 2026. Nuestros cursos cubren compliance, agentes IA y gobernanza. FUNDAE puede subvencionar el 100% del coste.
