Ley de IA de la UE / Obligaciones
La lista de acciones concreta, en orden, organizada por tu rol y tu nivel de riesgo, con estimaciones de esfuerzo honestas. Para la mayoría de las pequeñas empresas que solo usan herramientas de IA, es una lista corta y alcanzable, no un programa de cumplimiento.
De un vistazo
Una herramienta rápida para escanear, no la explicación completa, que viene más abajo. La mayoría de las pequeñas empresas solo necesitan la columna de responsable del despliegue, y sobre todo las filas de riesgo mínimo y limitado.
| Nivel de riesgo | Si usas IA (responsable del despliegue) | Si construyes IA (proveedor) |
|---|---|---|
| Riesgo mínimo | Sin deberes específicos más allá de la buena práctica general. | Sin deberes específicos más allá de la seguridad normal del producto. |
| Riesgo limitado | Mantén el aviso de IA del proveedor; etiqueta el contenido generado por IA que publiques. | Incorpora el aviso de IA; para la IA generativa, marca las salidas como legibles por máquina. |
| Alto riesgo | Usa según las instrucciones del proveedor, mantén una supervisión humana competente, vigila y notifica los problemas, conserva los registros al menos seis meses, e informa a las personas afectadas. | Documentación técnica y evaluación formal de conformidad (desde el 2 de diciembre de 2027, pendiente de publicación). |
| Prohibido | Prohibido por completo: no lo despliegues. | Prohibido por completo: no lo construyas ni lo vendas. |
Los responsables del despliegue del sector privado no tienen deber de registro en la base de datos de la UE; ese recae en los proveedores de sistemas de alto riesgo y en los organismos públicos.
¿No sabes qué columna eres? Comprueba primero si te afectaSi usas IA (la mayoría de las pymes)
Casi toda pequeña empresa es responsable del despliegue. En realidad solo hay dos cosas que saber, y una ya está vigente.
Se aplica a cualquier sistema de IA que tu personal use en el trabajo, no solo a los de alto riesgo. En la práctica, para una empresa pequeña, significa una comprensión básica de lo que las herramientas pueden y no pueden hacer (su tendencia a inventar, los sesgos y el riesgo de exposición de datos), algo de orientación interna escrita o informal sobre un uso adecuado, y no confiar a ciegas en las salidas para decisiones importantes. Con honestidad: todavía no hay un mecanismo de multa específico, y las potestades formales de ejecución solo se activan desde el 2 de agosto de 2026, pero el deber legal de fondo ya existe hoy.
Tu proveedor de IA, como proveedor, tiene que asegurarse de que los usuarios sepan que tratan con IA y etiquetar el contenido generado por IA. Tu tarea es no quitar ni ocultar el aviso que el proveedor incorporó en un chatbot de cara al cliente. Y si publicas contenido de imagen, audio o vídeo generado o manipulado por IA, el aviso para las personas de que 'esto se generó con IA' recae en ti, como quien difunde el contenido, no en el proveedor de IA. Esta fecha está confirmada y no aplazada.
Si construyes IA (menos pymes)
Casi seguro que no eres túLa mayoría puede saltarse esta parte. Si construyes o vendes un producto de IA, esta es su forma.
Llevan sobre todo las mismas reglas de transparencia que los responsables del despliegue, y además, para los sistemas de IA generativa, el deber de marcar las salidas para que se reconozcan como generadas por máquina.
La documentación técnica, la evaluación formal de conformidad (una verificación independiente de que el sistema cumple las reglas) y el registro en la base de datos de la UE solo se aplican si tu producto es una de las ocho categorías de alto riesgo definidas. Esas obligaciones no aprietan hasta el 2 de diciembre de 2027 (o el 2 de agosto de 2028 para la IA integrada en productos ya regulados), y ese aplazamiento está pendiente de publicación oficial.
Si proporcionas un modelo de IA de propósito general, algo que no es habitual en una pyme, hay deberes aparte sobre documentación, resúmenes de los datos de entrenamiento y una política de derechos de autor, en vigor desde agosto de 2025.
Cuánto esfuerzo, con honestidad
El trabajo no está repartido por igual. Para la mayoría de las pymes cae en los dos niveles de abajo, que son de verdad ligeros.
Alivio para las empresas más pequeñas
Las empresas más pequeñas tienen ventajas reales y concretas. Las pymes y startups tienen acceso prioritario (y a menudo gratuito) a los espacios de pruebas regulatorios nacionales, tasas reducidas de evaluación de conformidad y una plantilla de documentación técnica simplificada pensada específicamente para las pequeñas y microempresas.
Las sanciones también están escaladas. Para una pequeña empresa, una multa se calcula usando la menor de las dos cifras, la cantidad fija en euros o el porcentaje de facturación, lo contrario de la regla que se aplica a las grandes empresas.
El Ómnibus Digital de 2026 propone extender parte de este alivio (documentación simplificada y una consideración especial al fijar las sanciones) a una nueva banda más amplia de 'pequeña empresa de mediana capitalización': hasta 750 empleados y una facturación de hasta 150 millones de euros. Forma parte del texto del ómnibus aún no publicado, así que trátalo como propuesto, no como ley asentada.
Un punto de partida realista
Haz el diagnóstico para obtener tus obligaciones reales en vez de las generales. Unos cinco minutos.
Cubre qué herramientas puede usar el personal y las reglas básicas de qué sí y qué no. Para la mayoría de los equipos pequeños, esto por sí solo cubre en buena parte el deber de alfabetización en IA.
Asegúrate de que cualquier chatbot o contenido generado por IA lleve un aviso visible de 'estás interactuando con IA' o 'esto se generó con IA' antes del 2 de agosto de 2026.
El diagnóstico convierte esta guía general en tu lista de acciones personal en unos cinco minutos. Gratis, 12 preguntas, sin necesidad de cuenta.
Si usas IA en el trabajo, asegúrate de que el personal entienda los límites de las herramientas (el deber de alfabetización en IA, en vigor desde febrero de 2025), y prevé comprobar que cualquier IA de cara al cliente esté claramente avisada antes del 2 de agosto de 2026. Para la mayoría de las pymes, una nota interna breve y una revisión rápida de tus herramientas de proveedor lo cubren.
No. El reglamento no obliga a las pymes a nombrar a un 'responsable de IA' ni un equivalente del delegado de protección de datos. Lo que espera es que quienes usan la IA la entiendan y que alguien sea responsable de un uso sensato. En un equipo pequeño puede ser sencillamente un propietario o un responsable.
El proveedor, como proveedor, es responsable de incorporar el aviso de 'estás hablando con una IA'. Tu deber como responsable del despliegue es no quitarlo ni ocultarlo. Si además publicas contenido generado por IA por tu cuenta, avisar de que es generado por IA es responsabilidad tuya.
Para la mayoría de las pequeñas empresas que solo usan herramientas de IA, casi nada más allá de un poco de tiempo: escribir una nota interna breve y comprobar que tus herramientas avisan del uso de IA. Los costes reales solo aparecen si construyes IA de alto riesgo, algo que afecta a muy pocas pymes. Para una cifra específica de tu caso, haz el diagnóstico o reserva una llamada.
Los deberes ya vigentes, como la alfabetización en IA, son obligaciones legales reales, aunque no se han impuesto multas por falta de alfabetización a mediados de 2026 y las potestades formales de ejecución solo se activan desde el 2 de agosto de 2026. Las sanciones para las pymes se escalan a la menor de las dos cifras. Hacer un poco ahora sale mucho más barato que ponerse al día bajo presión.
Hablemos
Cuéntanos qué necesitas y te diremos exactamente cómo podemos ayudar. Si no encaja, te ahorramos el tiempo.
Esta página es información general, no asesoramiento legal. Para una respuesta específica de tu empresa, haz el diagnóstico o reserva una llamada.