El AI Act no distingue por tamaño de empresa: si utilizas o desarrollas sistemas de IA clasificados como de alto riesgo, las obligaciones se aplican. Sin embargo, el reglamento incluye medidas específicas para facilitar el cumplimiento de las PYMES. La clave está en entender qué rol juegas en la cadena de valor de la IA.
Tu rol determina tus obligaciones
Proveedor (desarrollador)
Quien diseña y desarrolla el sistema de IA, o lo hace desarrollar, y lo comercializa o pone en servicio bajo su propio nombre o marca.
Obligaciones principales: evaluación de conformidad, documentación técnica, marcado CE, monitorización post-comercialización.
Deployer (usuario profesional)
Quien utiliza un sistema de IA en su actividad profesional (no como consumidor final).
Obligaciones principales: uso conforme a instrucciones, supervisión humana, informar a empleados y afectados.
La mayoría de PYMES son deployers
Si tu empresa utiliza:
- ChatGPT o Claude para atención al cliente
- Herramientas de IA para screening de CV
- Sistemas de scoring crediticio de un proveedor
- Chatbots comerciales integrados en tu web
Eres un deployer, no un proveedor. Tus obligaciones son significativamente menores.
Obligaciones para PYMES como deployers
Sistemas de alto riesgo
| Obligación | Detalle | |------------|---------| | Uso conforme | Utilizar el sistema según las instrucciones del proveedor | | Supervisión humana | Designar personas competentes para supervisar el funcionamiento | | Datos de entrada | Asegurar que los datos que introduces son relevantes y apropiados | | Monitorización | Vigilar el funcionamiento y reportar incidentes al proveedor | | EIPD | Realizar evaluación de impacto si tratas datos personales (Art. 35 RGPD) | | Informar afectados | Comunicar a empleados y usuarios que están siendo evaluados por IA | | Conservar logs | Mantener registros generados automáticamente durante al menos 6 meses |
Sistemas de riesgo limitado
| Obligación | Detalle | |------------|---------| | Transparencia | Informar que el usuario interactúa con IA (chatbot, asistente virtual) | | Etiquetado | Marcar contenido generado por IA si se publica públicamente |
Sistemas de riesgo mínimo
Sin obligaciones específicas del AI Act. La mayoría de herramientas de productividad (traducción, corrección ortográfica, generación de código) entran aquí.
Exenciones y facilidades para PYMES
El AI Act incluye varias disposiciones pro-PYMES:
Sandboxes regulatorios
Los Estados miembros deben crear sandboxes regulatorios de IA donde las PYMES pueden probar sus sistemas en un entorno controlado con orientación de las autoridades. España tiene previsto crear su sandbox a través de la Agencia Española de Supervisión de IA (AESIA).
Tasas reducidas
Las tasas de evaluación de conformidad deben ser proporcionadas al tamaño de la empresa. Los organismos notificados deben tener en cuenta los intereses específicos de las PYMES.
Documentación simplificada
Para PYMES, la documentación técnica puede seguir un formato simplificado que la Comisión Europea definirá mediante actos delegados.
Formación gratuita
La AESIA y el INCIBE proporcionarán materiales de orientación y formación específicos para PYMES.
Casos prácticos para PYMES españolas
Caso 1: E-commerce con chatbot
Situación: Tienda online que usa un chatbot de IA para atención al cliente. Clasificación: Riesgo limitado (transparencia). Obligaciones: Informar al usuario de que habla con una IA. Incluir un disclaimer visible. Coste estimado: Mínimo (cambio de texto en la interfaz).
Caso 2: Consultora con IA para screening de CV
Situación: Consultora de RRHH que utiliza un sistema de IA para filtrar candidaturas. Clasificación: Alto riesgo (empleo y gestión de trabajadores). Obligaciones: Supervisión humana en la decisión final, informar a candidatos, conservar logs, EIPD, uso conforme a instrucciones del proveedor. Coste estimado: Medio (procesos internos, formación, documentación).
Caso 3: Fintech con scoring crediticio
Situación: Empresa fintech que desarrolla un modelo propio de scoring crediticio. Clasificación: Alto riesgo (acceso a servicios financieros). Obligaciones: Evaluación de conformidad completa (como proveedor), documentación técnica, marcado CE, monitorización post-comercialización. Coste estimado: Alto (requiere inversión significativa en compliance).
Caso 4: Agencia de marketing con IA generativa
Situación: Agencia que usa IA para generar textos e imágenes publicitarias. Clasificación: Riesgo limitado (transparencia) si el contenido se publica. Obligaciones: Etiquetar contenido generado por IA cuando sea publicado. Coste estimado: Mínimo (watermarking o etiquetado en publicaciones).
Plan de acción para PYMES
Paso 1: Inventario de sistemas de IA (ahora)
Lista todos los sistemas de IA que utiliza tu empresa:
- Herramientas de productividad (GPT, Claude, Copilot)
- Chatbots en tu web
- Sistemas de análisis de datos
- Herramientas de marketing automatizado
- Cualquier software que utilice ML/IA
Paso 2: Clasificación de riesgo (ahora)
Para cada sistema, determina:
- ¿Eres proveedor o deployer?
- ¿En qué nivel de riesgo está?
- ¿Qué obligaciones aplican?
Paso 3: Documentación (antes de agosto 2026)
- Documentar el uso de cada sistema
- Designar supervisores humanos para sistemas de alto riesgo
- Actualizar política de privacidad si la IA trata datos personales
- Preparar información para empleados y usuarios afectados
Paso 4: Formación (continuo)
- Formar a empleados sobre uso responsable de IA
- Capacitar a supervisores humanos designados
- Mantenerse actualizado sobre orientaciones de la AESIA
Recursos en España
- AESIA (Agencia Española de Supervisión de IA): autoridad nacional de supervisión
- INCIBE: orientación para PYMES sobre IA y ciberseguridad
- ONTSI: Observatorio Nacional de Tecnología y Sociedad, estudios sobre adopción de IA
- Programa Kit Digital: posibles ayudas para compliance IA
Cómo WarDek te ayuda con el AI Act
WarDek incluye un módulo de evaluación AI Act que analiza tu sitio web:
- Detección de chatbots: identifica si tienes sistemas conversacionales de IA
- Verificación de transparencia: comprueba si informas a los usuarios
- Puntuación AI Act: nivel de cumplimiento con recomendaciones
- Integración multi-framework: AI Act + RGPD + NIS2 en un solo escaneo
Escanea tu sitio web gratis con WarDek — OWASP, NIS2, RGPD, AI Act en un solo escaneo.