EU AI Act agosto 2026: qué obligaciones reales tiene una PYME española antes del deadline

A 2 meses y medio del enforcement total, la mayoría de PYMEs españolas no sabe ni a qué categoría de riesgo pertenece su uso de IA. Esta guía pone orden con plazos, obligaciones y un plan operativo de 90 días.

TL;DR

• Qué es: el EU AI Act (Reglamento UE 2024/1689) es la primera norma europea integral que clasifica los sistemas de IA por riesgo y exige obligaciones concretas a quien los desarrolla y a quien los usa.
• Cuándo entra en vigor el bloque crítico: el 2 de agosto de 2026 entra en plena aplicación la parte que afecta a la mayoría de empresas (sistemas high-risk del Anexo III, modelos GPAI, Article 50 de transparencia).
• Multas máximas: hasta 35 millones de euros o el 7% de la facturación global anual (la cifra más alta de las dos) por prácticas prohibidas; hasta 15 M€ o 3% por incumplimientos de high-risk.
• A quién afecta: a cualquier empresa que despliegue, distribuya o use IA dentro de la UE, incluidas PYMEs y autónomos profesionales. Aplica de forma extra-territorial, como GDPR.
• Qué hacer: inventariar usos de IA, clasificar por categoría de riesgo, documentar, formar al equipo (Article 4 AI literacy ya está en vigor desde febrero 2025) y preparar etiquetado de contenido generado.
• Plazo: quedan 2-3 meses operativos para llegar listo al 2 de agosto. Un plan de 90 días bien estructurado es suficiente para la mayoría de PYMEs no-high-risk.
• Por dónde empezar: con un inventario simple de "qué herramientas IA usa cada departamento" antes de hablar de gobernanza formal. El 80% del compliance de una PYME se resuelve documentando y formando.

Por qué este post existe ahora

Una mañana de mayo de 2026, el director general de una empresa española de 60 personas recibe un correo de su responsable de seguridad: "Asunto: EU AI Act — necesitamos hablar antes del verano". En el cuerpo del email hay tres preguntas que el director no sabe responder. ¿Está su empresa "usando" sistemas de IA en el sentido del Reglamento? ¿Alguno entra en la categoría high-risk del Anexo III? ¿Quién, exactamente, ha formado al equipo en AI literacy según el Article 4?

Esa escena se repite estas semanas en miles de despachos de dirección en España. El 76% de las PYMEs españolas usa IA semanalmente, pero solo el 8% tiene soluciones formalmente implementadas (Wolters Kluwer y BBVA Research, 2026). Es decir: casi todas las empresas tienen exposición regulatoria, casi ninguna tiene gobernanza. Y el deadline del 2 de agosto de 2026 no es prorrogable según los textos oficiales publicados por la Comisión Europea.

Este artículo aclara qué obligaciones reales tiene una PYME española antes del deadline, qué se puede ignorar sin riesgo, y qué hay que tener documentado encima de la mesa el 2 de agosto.

Qué es el EU AI Act en lenguaje claro

El EU AI Act es un reglamento europeo que clasifica los sistemas de IA por nivel de riesgo y exige a cada empresa que los usa, distribuye o desarrolla un conjunto proporcional de obligaciones. No es una guía de buenas prácticas: es derecho directamente aplicable en España desde su entrada en vigor, sin necesidad de transposición.

A diferencia de GDPR, que regula el dato personal, el AI Act regula el sistema (modelo, aplicación, proveedor, usuario). La consecuencia práctica para una PYME es que ya no basta con "tener el GDPR controlado": ahora hay que demostrar también que el uso de IA está clasificado, documentado y, si toca, supervisado por un humano formado.

El Reglamento usa cuatro categorías de riesgo: prohibido, alto, limitado y mínimo. La mayoría de PYMEs españolas opera con sistemas de riesgo mínimo o limitado. Pero hay sectores enteros que, sin ser conscientes, ya están operando en alto riesgo por el simple hecho de usar IA en empleo, crédito, seguros o control de calidad industrial.

Tabla de deadlines: qué entra en vigor cuándo

La fecha que decide el calendario operativo de la mayoría de empresas es la del 2 de agosto de 2026. Es el punto a partir del cual la Comisión Europea y las autoridades nacionales (en España, el órgano supervisor designado) pueden empezar a abrir expedientes sancionadores con plena fuerza contra incumplimientos materiales.

Las 4 categorías de riesgo y dónde cae tu IA

El Anexo III es la pieza que más PYMEs malinterpretan. Lista 8 ámbitos en los que cualquier sistema IA se considera automáticamente de alto riesgo: biometría, infraestructura crítica, educación y formación profesional, empleo y RRHH, acceso a servicios privados esenciales (crédito, seguros), servicios públicos, law enforcement, migración y asilo, y administración de justicia y procesos democráticos.

Si una asesoría laboral usa una herramienta IA para clasificar candidatos en una bolsa de empleo de un cliente, está operando en high-risk aunque no lo haya formalizado. Si un despacho de seguros usa scoring automatizado para fijar primas, también. La mayoría de directores no son conscientes de esto hasta que un cliente, un auditor o un consejo lo señala.

Las 7 obligaciones reales que una PYME debe tener listas antes del 2 de agosto

A continuación las 7 obligaciones que, según los textos publicados por la Comisión Europea, tiene cualquier PYME española que opere con IA en territorio UE.

1. AI literacy del personal (Article 4) — ya en vigor

Desde el 2 de febrero de 2025, toda empresa que despliegue o use sistemas IA debe garantizar que su personal tiene "un nivel adecuado de AI literacy" teniendo en cuenta el contexto de uso, los sistemas concretos, y las personas afectadas por ellos.

Esto no significa contratar un máster. Significa documentar que el equipo ha recibido formación específica sobre qué hacen los sistemas que usan, qué limitaciones tienen, qué datos no se pueden meter, qué decisiones no se pueden delegar a la IA. Una formación de 4-6 horas con materiales registrados y firma de asistencia cumple el estándar mínimo razonable para una PYME no-high-risk.

2. Inventario y clasificación de sistemas IA

Antes del 2 de agosto, una PYME debe poder responder por escrito a tres preguntas: qué sistemas IA usa, en qué procesos, y en qué categoría de riesgo del Reglamento están. El inventario debe incluir herramientas SaaS (ChatGPT corporativo, Copilot, Gemini, Claude), agentes desarrollados a medida, plataformas integradas en el CRM o el ERP, y herramientas que usen IA "embebida" aunque no se anuncien como tales (ej. funciones de filtros en email, scoring en CRM).

Una hoja de cálculo bien estructurada vale para una PYME de 1-50 personas. Por encima de eso, se recomienda una herramienta de inventario centralizado.

3. Transparencia y etiquetado del contenido generado (Article 50)

A partir del 2 de agosto, todo contenido generado o significativamente alterado por IA que se distribuya públicamente o se envíe a un cliente debe estar etiquetado de forma que el destinatario sepa que es generado o asistido por IA. Esto aplica a textos, imágenes, vídeos y audio.

En términos prácticos: si una empresa envía un newsletter cuyas piezas se han redactado con un LLM, tiene que etiquetarlo. Si genera imágenes con IA para campañas, lo mismo. Si usa avatares sintéticos en vídeos corporativos o en formación interna, tiene que indicarlo.

Las herramientas que generan deep fakes o imitaciones realistas de personas tienen obligación reforzada. La mayoría de PYMEs no opera ahí, pero conviene revisar si el equipo de marketing usa generadores avanzados de vídeo con personas sintéticas.

4. Política interna de uso de IA y registro de decisiones

El Reglamento exige que el deployer (la empresa que usa el sistema) mantenga registros adecuados de cómo se usan los sistemas IA, especialmente en high-risk. Para PYMEs no-high-risk, una política interna escrita ya cumple el estándar mínimo: documento de 4-8 páginas que define qué herramientas están aprobadas, qué datos están prohibidos, qué decisiones no se pueden delegar, y a quién acudir ante un incidente.

Esta política protege también frente a GDPR. Un empleado que pega datos sensibles de clientes en una IA pública sin política firmada es un incidente legal serio.

5. Supervisión humana de las decisiones sensibles

Para sistemas que toman o ayudan a tomar decisiones que afectan a personas (contratación, despido, crédito, seguro, acceso a servicios), el Reglamento exige supervisión humana efectiva. Eso significa que un humano debe poder entender la decisión, anularla y dejar registro de por qué lo hace.

En PYME: si se usa IA en cualquier paso del proceso de selección de personal, hay que documentar el procedimiento de revisión humana antes del 2 de agosto.

6. Logging y trazabilidad

Para sistemas de high-risk hay obligación formal de mantener logs. Para sistemas de riesgo limitado, no es obligatorio, pero es la forma más eficiente de demostrar diligencia ante un eventual incidente. Las plataformas IA corporativas que se desplieguen en 2026 deberían incluir trazabilidad por usuario y por sesión por defecto.

7. Gestión contractual con proveedores IA

Cada PYME debe revisar las cláusulas de sus contratos con proveedores SaaS de IA (ChatGPT Enterprise, Copilot, Claude for Work, Gemini, plataformas privadas) y asegurarse de que el proveedor declara compliance con el AI Act, ubicación de datos, retención y subprocesadores. Si un proveedor no quiere firmar adenda contractual de compliance con AI Act, ese es un riesgo que el director general necesita conocer antes del verano.

¿Cómo aterrizar todo esto en una PYME sin equipo legal interno?

La mayoría de PYMEs no tiene un compliance officer dedicado ni un departamento legal capaz de redactar políticas IA desde cero. Hay tres caminos razonables: apoyarse en el despacho legal externo que ya lleva GDPR, contratar un consultor IA especializado en compliance europeo, o adoptar una plataforma IA privada que incorpore controles AI Act por diseño. Un análisis comparado de estas vías está disponible en el artículo sobre cómo externalizar la implementación de IA en tu empresa sin contratar ingenieros. Para una segunda opinión específica sobre el plan de compliance de una empresa concreta, puede solicitarse una revisión editorial vía el formulario de consulta a la red de expertos del medio.

ROI dual: cuánto cuesta cumplir vs cuánto cuesta no cumplir

Coste de no cumplir

Para una PYME con 5 millones de facturación anual, la multa máxima por incumplimiento high-risk es de 150.000 €. La autoridad supervisora aplica el principio de proporcionalidad: las primeras sanciones en 2026-2027 previsiblemente se concentren en casos llamativos (no-PYME), pero el riesgo real para una PYME es la reputación frente a clientes B2B que sí estarán auditando a sus proveedores. Un cliente Fortune 500 puede dejar de trabajar con un proveedor que no demuestre compliance básica.

Coste de cumplir

Una PYME no-high-risk puede cumplir el AI Act con una inversión de orden de magnitud entre 5.000 € y 15.000 € en año 1. Una PYME high-risk (asesorías que hacen scoring, fabricantes que usan IA en QC, despachos de seguros automatizando primas) puede multiplicar por 3-5 esta cifra.

Casos reales anonimizados

Asesoría fiscal de aprox. 25 personas (Madrid, abril 2026). La firma usaba ChatGPT del plan ChatGPT Plus individual para preparar resúmenes de consultas vinculantes y para redactar primeros borradores de informes a clientes. Una revisión interna en abril detectó que el output IA se enviaba al cliente sin etiquetar y, en algunos casos, incluía datos personales de terceros mencionados en consultas. Tuvieron que parar el uso de ChatGPT individual, migrar a una plataforma IA con trazabilidad por usuario, redactar política interna, formar a 18 abogados y juristas en AI literacy y añadir disclaimers de "documento elaborado con asistencia de IA, revisado por profesional" en los entregables. Plazo de ejecución: 7 semanas. Coste estimado: 11.000 € de proyecto + 380 €/mes.

Fabricante industrial de aprox. 80 personas (Cataluña, marzo 2026). Usaba un sistema de visión por computador para control de calidad en línea de producción. El sistema clasifica producto OK/NOK y dispara descartes automáticos. En revisión interna se identificó que el caso entra en el Anexo III como sistema de IA usado en control de calidad en sector regulado (componentes para automoción, sujetos a normativa específica). Esto lo coloca en categoría high-risk y obliga a iniciar conformity assessment y registro UE 4 meses antes del deadline de agosto 2026. La empresa contrató consultoría especializada para preparar la documentación técnica, definir gestión de riesgo y supervisión humana, e implementar logging compatible con el Reglamento. Proyecto en marcha, finalización prevista finales julio 2026.

Ambos casos comparten patrón: el problema no era que la empresa "no supiera" que existe el AI Act. Era que no se había hecho el inventario de qué sistemas IA estaban activos y en qué categoría caían.

Cómo empezar el compliance en 90 días: checklist práctico

Para una PYME que arranca en mayo y quiere llegar lista al 2 de agosto, la secuencia más eficiente es esta.

1. Semana 1-2: inventario. Hoja de cálculo con todos los sistemas IA en uso, departamento, dato de entrada, dato de salida, decisión que toman, proveedor. Implicar a IT, RRHH, ventas, marketing, operaciones, finanzas.
2. Semana 3: clasificación de riesgo. Mapear cada sistema contra Anexo III. Marcar los que entran en high-risk (si los hay) en rojo. Marcar los que entran en Article 50 (chatbots, generadores) en naranja.
3. Semana 4-5: política interna y formación. Redactar política IA de 4-8 páginas. Sesión formativa AI literacy de 4-6 horas para todo el equipo que usa IA. Firma de asistencia y registro.
4. Semana 6-7: revisión contractual. Adendas de compliance AI Act con proveedores SaaS. Revisión de subprocesadores y ubicación de datos. Identificar dependencias críticas.
5. Semana 8-9: etiquetado y supervisión humana. Implementar disclaimers de contenido IA en outputs externos (newsletters, informes, materiales marketing). Definir procedimientos de supervisión humana para decisiones sensibles.
6. Semana 10-11: logging y trazabilidad. Si la PYME tiene high-risk o quiere prepararse de cara a auditorías de clientes B2B grandes, plataforma centralizada con trazabilidad. Si solo riesgo limitado, basta con que los proveedores SaaS expongan logs por usuario.
7. Semana 12: auditoría interna ligera. Revisión del paquete completo, identificación de gaps, plan de cierre de gaps para Q3-Q4 2026.

A día 90, una PYME estándar debería tener: inventario firmado, política interna activa, registros de formación, contratos revisados, etiquetado en producción y un dossier compliance que entregar a quien lo pida.

Cuándo necesitas ayuda externa para esto

Hay tres perfiles típicos de proveedor que ayudan a una PYME a llegar al 2 de agosto: despacho legal especializado en GDPR/AI Act, consultor IA con conocimiento de compliance europeo, y proveedor de plataforma IA privada que incorpora controles AI Act por diseño. Cada uno cubre una parte del problema:

• El despacho legal redacta políticas, adendas contractuales y procedimientos. No despliega infraestructura.
• El consultor IA mapea sistemas, clasifica riesgo, forma al equipo y diseña gobernanza operativa. Puede implementar herramientas básicas, pero no es su core.
• El proveedor de plataforma IA privada resuelve la pieza técnica: centralización, trazabilidad por usuario, gestión de modelos, datos en Europa, control de coste por departamento, logging integrado. El cliente sigue necesitando política y formación, pero la parte técnica ya viene "compliant by design".

Para una PYME pequeña (1-30 personas) sin uso intensivo de IA, basta con despacho legal + formación externa. Para una PYME media (30-150 personas) con uso intensivo o caótico de IA, la solución más eficiente suele ser combinar plataforma IA privada + consultor que monte la pieza de gobernanza. Hay consultorías especializadas en este segundo perfil que ofrecen plataformas IA privadas con compliance EU AI Act integrado — Cortex by Javadex es una de las opciones disponibles en España para PYME, con despliegue en 1 mes, datos en Europa y compliance GDPR + ENS de partida.

Para una revisión específica del plan de compliance de una empresa concreta, el formulario de consulta a la red de expertos del medio deriva al consultor adecuado según el sector y el tamaño de la organización.

Errores comunes que cometen las PYMEs antes del deadline

Error 1: pensar que "como usamos ChatGPT del CEO en su cuenta personal, no aplica". Aplica. Si el output se usa en el contexto comercial de la empresa, la empresa es deployer en términos del Reglamento. La cuenta personal del CEO no es un escudo legal.

Error 2: confundir AI Act con GDPR y pensar que "ya está cubierto". Son normativas complementarias, no solapadas. GDPR protege el dato, AI Act protege la decisión IA. Una empresa puede estar perfectamente con GDPR e incumplir AI Act por no haber clasificado sus sistemas.

Error 3: esperar a tener "incidente" para actuar. El AI Act es preventivo. Las multas no requieren daño material: requieren incumplimiento documental o procedimental.

Error 4: contratar al primer consultor que envía un email "AI Act compliance" sin verificar background. El sector se ha llenado de actores que han pivotado de GDPR a AI Act en seis meses. Pedir referencias específicas en AI Act, no genéricas en compliance.

Error 5: pensar que el deadline se va a retrasar. La Comisión Europea ha confirmado en mayo de 2026 que no hay prórroga prevista. Operar con la hipótesis de que se cumple.

FAQ

¿Aplica el EU AI Act a empresas de menos de 50 personas?

Sí, aplica igual a empresas pequeñas y autónomos profesionales que despliegan o usan sistemas IA en su actividad económica. El Reglamento prevé "alivios proporcionales" para PYMEs en algunos requisitos formales (sandboxes regulatorios, plazos de adaptación), pero no exime. Una empresa de 8 personas que usa IA en selección de personal está en high-risk igual que una de 8.000.

¿Qué es exactamente "high-risk" según el AI Act?

Es la categoría de mayor riesgo permitido: sistemas que pueden impactar significativamente en derechos fundamentales. El Anexo III lista 8 ámbitos: biometría, infraestructura crítica, educación y formación profesional, empleo y selección, acceso a servicios privados esenciales (crédito, seguros), servicios y prestaciones públicas, law enforcement, gestión de migración y asilo, y administración de justicia. Si tu sistema IA opera en uno de esos ámbitos, está en high-risk salvo excepciones muy acotadas del propio Reglamento.

Mi CEO solo usa ChatGPT individual para redactar emails. ¿Tenemos exposición?

Sí, mínima pero real. La empresa es deployer en cuanto el output se usa en contexto profesional. La exposición principal es Article 4 (AI literacy) y política interna. Una formación básica al equipo y una política de uso ya cubren el grueso.

Mi PYME factura 5 M€. ¿Cuánto sería una multa realista?

Por debajo de los topes máximos. Las autoridades aplican proporcionalidad. Una multa por incumplimiento documental en PYME se ha visto en otros reglamentos europeos entre 5.000 € y 50.000 € en primera infracción. El riesgo material mayor para PYME no es la multa, sino la pérdida de contratos B2B con clientes grandes que auditan compliance del proveedor.

¿Cómo demuestro "AI literacy" del Article 4 si me preguntan?

Con cuatro evidencias mínimas: material formativo entregado, lista de asistencia firmada, evaluación corta al final de la sesión, y política interna donde se referencia la formación como parte del onboarding. No se exige certificación oficial. Sí se exige que sea adecuada al contexto: una asesoría que usa IA en consultas legales necesita formación más profunda que una empresa que usa IA solo para redactar newsletters.

¿Sirven los servicios cloud americanos (ChatGPT Enterprise, Copilot, Claude) para AI Act?

Sirven con matices. Los grandes proveedores americanos están publicando documentación específica de compliance AI Act y firman adendas contractuales. Sin embargo, dos puntos a vigilar: (1) ubicación de los datos — algunos planes empresariales ya ofrecen procesamiento en data centers europeos, otros no; (2) flujo de datos transfronterizo y posibles tensiones con GDPR (DPF y similares). Para sectores sensibles o datos confidenciales, muchas PYMEs están migrando a plataformas IA con datos 100% en Europa.

Si arrancamos hoy, ¿llegamos al 2 de agosto?

Sí, una PYME no-high-risk llega con holgura con un plan de 90 días bien ejecutado. Una PYME high-risk con sistemas no documentados tiene una ventana ajustada y conviene priorizar el conformity assessment desde la semana 1.

¿Qué pasa si la UE retrasa el deadline después del 2 de agosto?

La Comisión Europea ha desmentido formalmente cualquier prórroga en sus comunicaciones de mayo de 2026. Operar bajo la hipótesis de prórroga es asumir riesgo evitable. Si finalmente hubiese ajustes técnicos en algún subconjunto del Reglamento, la inversión en inventario, formación y política nunca es trabajo perdido: forma parte del estándar mínimo de cualquier sistema de gobernanza IA que las grandes empresas ya exigen a sus proveedores B2B.

Voces externas

La European Commission, en su comunicación oficial sobre la entrada en aplicación del Reglamento, recuerda que "los Estados miembros deben designar autoridades competentes para la supervisión del Reglamento y aplicar las sanciones de forma proporcional, efectiva y disuasoria" (Comisión Europea, 2026). En España, la designación recae en una autoridad supervisora ya operativa, con criterio de proporcionalidad expreso hacia PYMEs en las primeras fases de aplicación.

Según Javier Santos Criado, consultor de IA en Javadex, "la mayoría de PYMEs españolas no necesita reinventar nada para cumplir el AI Act — necesita documentar lo que ya hace y formar a su equipo. El 80% del compliance es inventariar y poner por escrito lo que la empresa ya está haciendo de facto". Su recomendación para directores de PYME es priorizar el inventario y la formación antes que la inversión técnica, salvo cuando el sistema entra en high-risk.

Posts Relacionados

• Asistente IA privado con tu marca para PYME española: guía 2026 — cómo encaja la soberanía de datos con AI Act.
• Externalizar la implementación de IA en tu empresa sin contratar ingenieros — 5 modelos de proveedor para llegar al deadline.
• Cuánto cuesta implementar IA en una PYME española: precios reales por tipo de proyecto — referencia de inversión para combinar con compliance.
• Mejores plataformas IA privadas para empresa en España 2026 — comparativa de plataformas con compliance integrado.

En Resumen

• El EU AI Act entra en plena aplicación el 2 de agosto de 2026 para sistemas high-risk del Anexo III, Article 50 de transparencia y conformity assessments.
• Las multas máximas alcanzan 35 millones de euros o el 7% de la facturación global anual para prácticas prohibidas, y hasta 15 M€ o 3% para incumplimientos high-risk.
• El Article 4 (AI literacy) ya está en vigor desde febrero de 2025: toda empresa que use IA debe garantizar formación adecuada del personal y documentarla.
• Las 4 categorías de riesgo son prohibido, alto, limitado y mínimo. La mayoría de PYMEs opera en riesgo mínimo o limitado, pero sectores como empleo, crédito, seguros y control de calidad industrial entran en high-risk automáticamente.
• Para una PYME no-high-risk, las 7 obligaciones mínimas son: AI literacy, inventario y clasificación, etiquetado de contenido generado (Article 50), política interna, supervisión humana, trazabilidad y gestión contractual con proveedores.
• El coste de cumplir para una PYME de 30-80 personas oscila entre 7.000 € y 25.000 € año 1; el coste de no cumplir va de la sanción económica al daño reputacional con clientes B2B grandes.
• Un plan de 90 días bien ejecutado (inventario, clasificación, política, formación, contratos, etiquetado, auditoría interna) es suficiente para llegar listo al 2 de agosto en la mayoría de PYMEs españolas.