Ley de IA de la UE / ¿Me afecta?

¿El Reglamento de IA te afecta?

Lo deciden tres cosas: tu rol, dónde están tus usuarios y lo arriesgado que sea tu uso de la IA. Esta página te lleva por las tres para que te ubiques. Te da la imagen general; el diagnóstico gratuito te da una personal.

Dos roles

¿Proveedor o responsable del despliegue?

El reglamento te trata de forma distinta según lo que hagas con la IA. Casi todas las pequeñas empresas caen en el más ligero de los dos roles.

  • Proveedor

    Construyes o vendes IA

    Desarrollas un sistema o un modelo de IA, o pones tu nombre en uno y lo pones en el mercado. Los proveedores cargan con los deberes más exigentes de diseño y documentación. Muy pocas pequeñas empresas son proveedores.

  • Responsable del despliegue

    Usas IA en tu trabajo

    Usas un sistema de IA en el marco de tu actividad, ya sea una función de IA dentro de la herramienta de un proveedor o tu equipo usando ChatGPT o Copilot. Esto abarca a casi cualquier pyme, y sus deberes son más ligeros que los del proveedor.

La mayoría de las pequeñas empresas son responsables del despliegue, no proveedores. Si ese es tu caso, el resto de esta página es sobre todo tranquilizador.

Jurisdicción

A quién cubre de verdad

El reglamento llega más allá de las fronteras de la UE, con la misma lógica que el RGPD. Estás dentro de su alcance si pones un sistema de IA en el mercado de la UE, lo pones en servicio en la UE, o si la salida de tu sistema de IA la usan personas en la UE, estés donde estés establecido legalmente.

Así, una empresa sin oficina ni personal en la UE puede quedar cubierta solo porque su producto con IA lo usan clientes dentro de la UE. Los proveedores de fuera de la UE que ponen sistemas en el mercado de la UE suelen tener además que nombrar a un representante establecido en la UE.

Ejemplo práctico: una empresa del Reino Unido o de EE. UU.

Una empresa solo del Reino Unido o solo de EE. UU. que vende un producto con IA a clientes en la UE está muy probablemente dentro del alcance, aunque no tenga ninguna oficina ni empleado en la UE. Si no tienes ningún usuario ni cliente en la UE, trátalo como buena práctica y no como un deber legal.

Qué no está cubierto

Las exenciones reales (y una trampa habitual)

Algunas cosas sí quedan fuera del reglamento. Una de ellas se malinterpreta mucho, así que conviene ser preciso.

  • El uso personal no es uso empresarial

    La exención de uso personal es para una persona que usa la IA en su vida privada, no para una empresa. Si tus empleados usan una herramienta de IA como parte de su trabajo, aunque sea una herramienta puramente interna sin visibilidad para el cliente, eso es uso como responsable del despliegue y está dentro del alcance. Como mínimo, activa el deber de alfabetización en IA.

  • El código abierto, en sentido estricto

    Los sistemas de IA libres y de código abierto quedan en gran parte excluidos, salvo que el sistema sea de alto riesgo, sea una de las prácticas prohibidas, o sea un modelo de propósito general con riesgo sistémico. Para la mayoría de las herramientas de código abierto del día a día, la exclusión aplica.

  • Investigación y desarrollo

    La IA construida y probada solo para investigación, antes de ponerla en el mercado o en servicio, queda fuera del reglamento. Los deberes aparecen cuando de verdad la lanzas o la despliegas.

Los cuatro niveles de riesgo

De mínimo a prohibido

El reglamento ordena la IA según lo arriesgado que sea el uso, no según la tecnología. La mayoría de las herramientas del día a día están en los dos niveles de abajo. Los dos de arriba son estrechos y en general no alcanzan a las pequeñas empresas. Aquí tienes la imagen completa, con un ejemplo de cada uno.

  • Prohibido

    Una lista corta prohibida por completo, incluida la puntuación social por cualquier organización (pública o privada) y el reconocimiento de emociones en el trabajo. No es una cuestión de cumplimiento: simplemente no se hacen.

    Por ejemplo: una herramienta que vigila las emociones del personal para puntuar su rendimiento.

  • Alto riesgo

    Un conjunto definido de usos sensibles, como la IA que criba candidaturas de empleo o evalúa la solvencia. Hay obligaciones reales, pero alcanzan a una minoría de empresas y no son exigibles hasta diciembre de 2027 (pendiente de publicación oficial).

    Por ejemplo: una herramienta de IA que criba y ordena candidaturas.

  • Riesgo limitado

    Herramientas que interactúan con personas o generan contenido, como chatbots y texto o imágenes escritos por IA. Tienen un solo deber, la transparencia, para que se avise a las personas de que tratan con IA. Se aplica desde agosto de 2026.

    Por ejemplo: un chatbot de atención al cliente en tu web.

  • Riesgo mínimo

    La mayoría de las herramientas cotidianas: filtros de spam, autocompletado, analítica. En la práctica, sin regulación más allá de las reglas de seguridad que ya se aplican a cualquier software.

    Por ejemplo: el filtro de spam y el autocompletado que ya trae tu correo.

Una comprobación rápida

El caso más común, paso a paso

Toma la situación que reconocerá la mayoría: tu equipo usa ChatGPT o Microsoft Copilot en el trabajo. Esto es lo que significa de verdad bajo el reglamento.

  1. Eres responsable del despliegue, no proveedor. Usas la herramienta; no la construiste.

  2. El sistema es de riesgo mínimo o limitado, no de alto riesgo. Los asistentes de propósito general usados para el trabajo cotidiano no están en la lista de alto riesgo.

  3. Ya tienes un deber vigente: desde febrero de 2025, tienes que asegurarte de que el personal tenga una comprensión básica de lo que la herramienta puede y no puede hacer, sus límites, y por qué no debe confiar a ciegas en su salida para decisiones importantes.

  4. Para un equipo pequeño, una nota interna breve sobre un uso sensato de la IA suele bastar. Esa es toda la obligación para la mayoría de las pymes en esta situación.

Siguiente: qué tienes que hacer de verdad

¿Quieres una lectura personal en vez de una general?

Responde 12 preguntas cortas y obtén al instante un informe en lenguaje claro: tu rol, tu nivel de riesgo y la única obligación que más te importa. Gratis, unos cinco minutos, sin necesidad de cuenta.

Haz el diagnóstico gratuito

Preguntas frecuentes

  • ¿Soy proveedor o responsable del despliegue bajo el Reglamento de IA?

    Si construyes o vendes un sistema o modelo de IA, eres proveedor. Si usas IA en el marco de tu actividad, incluida una función de IA de un proveedor o tu equipo usando ChatGPT o Copilot, eres responsable del despliegue. La mayoría de las pequeñas empresas están en este segundo rol, el más ligero de los dos.

  • Solo usamos ChatGPT y Copilot en el trabajo. ¿Eso cuenta de verdad?

    Sí. Usar herramientas de IA como parte de tu trabajo te convierte en responsable del despliegue, así que estás dentro del alcance. Para los asistentes de propósito general, el deber principal es la alfabetización en IA: asegurarte de que el personal entiende lo que las herramientas pueden y no pueden hacer. Es una obligación breve y práctica para la mayoría de los equipos.

  • Somos una empresa del Reino Unido o de EE. UU. con clientes en la UE. ¿Estamos dentro del alcance?

    Muy probablemente. El reglamento te alcanza si pones un sistema de IA en el mercado de la UE o si la salida de tu IA la usan personas en la UE, estés donde estés. Una empresa con clientes en la UE pero sin oficina allí suele estar dentro. Sin ningún vínculo con la UE, trátalo como buena práctica.

  • ¿Qué cuenta de verdad como IA de alto riesgo?

    Una lista definida de usos sensibles, como la IA que criba candidaturas de empleo, evalúa la solvencia, o se usa en educación, servicios esenciales, aplicación de la ley o migración. Las herramientas de trabajo cotidianas casi nunca están en ella. Las reglas de alto riesgo autónomo no se aplican hasta el 2 de diciembre de 2027, y esa fecha está pendiente de publicación oficial.

  • ¿Estamos exentos si no construimos IA nosotros mismos?

    No. Usar IA igualmente te convierte en responsable del despliegue, con deberes propios, aunque más ligeros que los de quien la construye. La exención de uso personal cubre a una persona en su vida privada, no al personal que usa IA en el trabajo. Si tu equipo usa herramientas de IA, estás dentro del alcance.

Hablemos

Treinta minutos. Cero compromiso.

Cuéntanos qué necesitas y te diremos exactamente cómo podemos ayudar. Si no encaja, te ahorramos el tiempo.

Reservar consultoría

Denise & Ricardo

Equipo Sekit

  • 30 min · Google Meet
  • cal.com/denise-moreno-sekit

Esta página es información general, no asesoramiento legal. Para una respuesta específica de tu empresa, haz el diagnóstico o reserva una llamada.