AI Act explicado para pymes: qué cambia y cuándo

Si tu empresa usa ChatGPT, tiene un chatbot en la web o cualquier herramienta con IA, estás dentro del ámbito del Reglamento Europeo de Inteligencia Artificial (AI Act). Esta guía explica en lenguaje claro qué trae, a quién afecta y qué hacer para estar en regla sin convertirlo en un drama.

Qué es el AI Act

El Reglamento (UE) 2024/1689 —conocido como AI Act— es la primera regulación integral de la inteligencia artificial en el mundo. Entró en vigor en agosto de 2024 y su aplicación es escalonada entre 2025 y 2027.

Su objetivo: que la IA usada en la Unión Europea sea segura, transparente, trazable, no discriminatoria y respetuosa con los derechos fundamentales.

A quién se aplica

A toda empresa o entidad que desarrolle sistemas de IA, los despliegue en su actividad (incluidas pymes y autónomos) o los importe o distribuya.

Ojo a la clave: ser «usuario» cuenta. Si tu empresa utiliza ChatGPT corporativo, un chatbot entrenado o cualquier sistema con IA para prestar servicios, estás en el ámbito del Reglamento.

Las 4 categorías de riesgo

Qué tiene que hacer una pyme «típica»

Una pyme que usa IA (no la desarrolla) debe:

1. Hacer inventario

Listar todos los sistemas de IA usados: ChatGPT, chatbot web, filtros inteligentes, recomendador en e-commerce, asistente de contenido, herramientas de terceros que incorporan IA.

2. Clasificarlos por riesgo

Lo habitual en una pyme es que todos sean de riesgo limitado o mínimo. Pero hay que comprobarlo caso por caso.

3. Informar a quien corresponda

Tus clientes tienen derecho a saber cuándo interactúan con un sistema de IA. El aviso debe ser claro: «Estás chateando con un asistente virtual», «Este texto ha sido redactado con ayuda de IA».

4. Formar al equipo

Políticas internas claras sobre qué se puede pedir a la IA y qué no. Por ejemplo: no meter datos personales ni confidenciales de clientes en ChatGPT público.

5. Documentar y registrar incidentes

Protocolo para detectar, registrar y responder ante problemas derivados del uso de IA.

6. Supervisión humana en sistemas sensibles

Si tu IA toma decisiones con impacto (precios agresivos, selección de personal, scoring), siempre debe haber revisión humana.

Plazos clave

• Feb 2025
  Prohibiciones de sistemas de riesgo inaceptable + obligación de formación en alfabetización IA al personal.
• Ago 2025
  Obligaciones para IA de propósito general (modelos grandes tipo GPT, Claude, Gemini).
• Ago 2026
  Aplicación plena de gran parte del Reglamento. Fecha clave para la mayoría de pymes.
• Ago 2027
  Obligaciones completas para sistemas de alto riesgo integrados en productos regulados.

Errores típicos que vemos

• «Esto es solo para Google y OpenAI»Se aplica también al que usa IA, no solo a quien la desarrolla.
• «Somos muy pequeños, a nosotros no nos mirarán»La carga proporcional para pymes es menor, pero existe. Y los clientes medianos empiezan a pedir evidencia de cumplimiento.
• «Con tener el RGPD ya está»El RGPD trata de datos personales. El AI Act trata de sistemas de IA. Son complementarios: hay que cumplir los dos.
• «Ya me ocuparé cuando sea obligatorio»Ordenar la casa lleva 1-3 meses. Los controles y las exigencias comerciales llegan antes que la fecha oficial.

Sanciones

• Hasta 35 millones de euros o el 7% de facturación global (por sistemas prohibidos).
• Hasta 15 millones de euros o el 3% (por incumplimiento de obligaciones de alto riesgo).
• Para pymes las sanciones se modulan, pero no desaparecen. El daño reputacional puede ser incluso más relevante.

Qué hacemos en H2TIC

En nuestro servicio de Consultoría y Gobierno IA / AI Act acompañamos a pymes en: inventario de sistemas, clasificación de riesgo, políticas internas, formación al equipo y documentación para auditorías. Financiable con Kit Consulting si tu empresa tiene entre 10 y 250 empleados.