Ley de IA de la UE

El Reglamento de IA de la UE, en lenguaje claro

Una ley europea sobre cómo se puede construir y usar la IA, en vigor desde agosto de 2024 y con aplicación escalonada hasta 2028. Si diriges una pequeña empresa, tus obligaciones casi con seguridad son modestas y manejables. Aquí tienes qué es, a quién afecta y qué hacer de verdad.

Qué es

Un marco de reglas para la IA basado en el riesgo

El Reglamento de IA de la UE es una única norma europea que regula cómo se pueden construir, vender y usar los sistemas de IA en toda la UE. Al ser un reglamento y no una directiva, se aplica de forma directa en cada país miembro, sin necesidad de leyes nacionales que lo trasladen.

Ordena la IA según lo arriesgado que sea el uso, no según la tecnología en sí. La mayoría de las herramientas cotidianas tienen obligaciones ligeras o ninguna, un número reducido de usos sensibles tiene obligaciones reales, y una lista corta está prohibida por completo. Cuanto mayor es el impacto posible sobre las personas, más exigentes son las reglas.

Si te sirve de referencia, piensa en cómo funcionó el RGPD para los datos personales: un marco único en toda la UE, basado en el riesgo, que también alcanza a empresas de fuera de la UE cuando sirven a personas dentro de ella. El Reglamento de IA sigue la misma lógica para la IA.

A quién afecta

A casi cualquier empresa que toque la IA

Si tu empresa construye o vende un producto de IA, o simplemente usa herramientas de IA en el trabajo, casi con seguridad estás dentro de su alcance de algún modo. Eso incluye ChatGPT o Copilot en los portátiles de tu equipo, una función de IA dentro de la herramienta de un proveedor, o una herramienta de contratación o de soporte con IA por debajo.

Se aplica independientemente de dónde tenga su sede tu empresa. Si tienes clientes o usuarios en la UE, el reglamento puede alcanzarte incluso sin oficina en la UE. Lo que cambia de una empresa a otra no es si se aplica, sino cuánto te exige.

Averigua dónde está tu empresa

Los cuatro niveles de riesgo

De mínimo a prohibido

El reglamento ordena la IA en cuatro niveles. La mayoría de las herramientas del día a día están en los dos de abajo. Los dos de arriba son estrechos y en general no afectan a las pequeñas empresas.

  • Prohibido

    Una lista corta prohibida por completo, incluida la puntuación social por cualquier organización (pública o privada) y el reconocimiento de emociones en el trabajo. No es una cuestión de cumplimiento: simplemente no se hacen.

  • Alto riesgo

    Un conjunto definido de usos sensibles, como la IA que criba candidaturas de empleo o evalúa la solvencia. Hay obligaciones reales, pero alcanzan a una minoría de empresas y no son exigibles hasta diciembre de 2027 (pendiente de publicación oficial).

  • Riesgo limitado

    Herramientas que interactúan con personas o generan contenido, como chatbots y texto o imágenes escritos por IA. Tienen un solo deber, la transparencia, para que se avise a las personas de que tratan con IA. Se aplica desde agosto de 2026.

  • Riesgo mínimo

    La mayoría de las herramientas cotidianas: filtros de spam, autocompletado, analítica. En la práctica, sin regulación más allá de las reglas de seguridad que ya se aplican a cualquier software.

Mira en qué nivel cae tu IA

¿No sabes dónde estás?

Responde 12 preguntas cortas y obtén al instante, en lenguaje claro, una lectura de tu exposición, tus obligaciones y tu mayor brecha. Gratis, unos cinco minutos, sin necesidad de cuenta.

Haz el diagnóstico gratuito

Qué tienes que hacer

Para la mayoría de las pymes, horas y no meses

  • Mantén al personal alfabetizado en IA

    Si tu equipo usa IA en el trabajo, tienes que asegurarte de que tenga una comprensión básica de lo que las herramientas pueden y no pueden hacer. Es un deber en vigor desde febrero de 2025, y para un equipo pequeño una nota interna breve de orientación suele bastar.

  • Sé transparente sobre la IA

    Desde agosto de 2026, si tienes un chatbot de cara al cliente o publicas contenido generado por IA, tienes que dejarlo claro a quien lo ve. A menudo esto solo significa no ocultar un aviso que tu proveedor ya incluye.

  • Documentación más exigente, solo si construyes IA de alto riesgo

    La gestión formal de riesgos, la documentación técnica y las verificaciones independientes solo se aplican al pequeño número de empresas que construyen productos de IA de alto riesgo, y no hasta diciembre de 2027.

Para la mayoría de las pequeñas empresas que solo usan herramientas de IA, esto es una lista corta y alcanzable, no un programa de cumplimiento.

Consigue tus obligaciones, no la lista general

Cómo está la situación

Parte ya es ley, parte sigue en movimiento

Partes del reglamento ya están en vigor y son exigibles hoy, incluidas las prácticas prohibidas y las reglas para los modelos de IA de propósito general. Una pieza importante, el calendario de la IA de alto riesgo, se está retrasando mediante un paquete de reforma de la UE conocido como Ómnibus Digital, que el Parlamento y el Consejo de la UE confirmaron en junio de 2026, y del que solo queda pendiente la publicación oficial.

Mantenemos esta página al día conforme cambia el panorama. Para las fechas exactas y el estado completo de la reforma, la página de fechas clave es la fuente de referencia.

Ver la cronología completa y su estado
  1. 1 de agosto de 2024en vigor

    El Reglamento de IA entra en vigor

  2. 2 de febrero de 2025en vigor

    Se aplican las prácticas de IA prohibidas y el deber de alfabetización en IA

  3. 2 de agosto de 2026confirmado

    Se aplican los deberes de transparencia (chatbots y contenido generado por IA)

  4. 2 de diciembre de 2027pendiente de publicación

    Se aplican los sistemas de alto riesgo autónomos (las ocho categorías de alto riesgo)

Con sentido de la proporción

Esto no tiene por qué ser una emergencia

El reglamento es deliberadamente más suave con las empresas pequeñas. La ley de la UE incorpora plantillas de documentación simplificadas, tasas reducidas y acceso prioritario a los espacios de pruebas regulatorios para pymes y startups.

Las sanciones también están escaladas. Para una pequeña empresa, una multa se calcula usando la menor de las dos cifras, la cantidad fija en euros o el porcentaje de facturación, lo contrario de la regla que se aplica a las grandes empresas.

El objetivo no es convencerte de que esto no es nada. Es mostrarte que se puede conocer y hacer. Empieza por averiguar dónde estás.

Preguntas frecuentes

  • ¿El Reglamento de IA de la UE se aplica a mi pequeña empresa?

    Casi con seguridad, de alguna forma. Si tu equipo usa herramientas de IA en el trabajo, o construyes o vendes algo con IA dentro, y tienes clientes o usuarios en la UE, el reglamento se aplica. Para la mayoría de las pequeñas empresas que solo usan herramientas de IA, las obligaciones son ligeras. El diagnóstico te dice exactamente cuáles te tocan.

  • ¿Qué pasa si no hago nada sobre esto?

    Los deberes que ya están vigentes, como la alfabetización en IA, son obligaciones legales reales aunque hasta ahora no se hayan impuesto multas por ellos. Lo más cercano en el tiempo para la mayoría de las pymes son los deberes de transparencia desde agosto de 2026, y para unas pocas, las reglas de alto riesgo más adelante. Hacer un poco ahora, como una nota interna breve de uso de IA, sale mucho más barato que ponerse al día bajo presión.

  • ¿Esto es básicamente el RGPD otra vez, pero para la IA?

    La forma es parecida: una única ley en toda la UE, basada en el riesgo, que también alcanza a empresas de fuera de la UE que sirven a personas dentro de ella. Pero el Reglamento de IA trata de cómo se construyen y usan los sistemas de IA, no de los datos personales como tales, y sus obligaciones escalan según lo arriesgado que sea el uso.

  • Mi empresa no tiene sede en la UE. ¿Se aplica igualmente?

    Puede aplicarse. El reglamento te alcanza si pones un sistema de IA en el mercado de la UE, o si la salida de tu IA la usan personas en la UE, estés donde estés. Una empresa del Reino Unido o de EE. UU. con clientes en la UE suele estar dentro de su alcance. Si no tienes ningún vínculo con la UE, trátalo como buena práctica y no como un deber legal.

  • ¿Cuánto se tarda de verdad en cumplir?

    Para una pequeña empresa que solo usa herramientas de IA, los pasos centrales son cuestión de horas: escribir una nota interna breve de uso de IA y comprobar que cualquier IA de cara al cliente esté bien etiquetada. Construir IA de alto riesgo es un proyecto mayor, pero eso afecta a muy pocas pymes. El diagnóstico te da una lista realista y personal.

Hablemos

Treinta minutos. Cero compromiso.

Cuéntanos qué necesitas y te diremos exactamente cómo podemos ayudar. Si no encaja, te ahorramos el tiempo.

Reservar consultoría

Denise & Ricardo

Equipo Sekit

  • 30 min · Google Meet
  • cal.com/denise-moreno-sekit

Esta página es información general, no asesoramiento legal. Para una respuesta específica de tu empresa, haz el diagnóstico o reserva una llamada.