Compliance
EU AI Act e IA privada: qué deben hacer las PYMEs españolas antes de agosto de 2026
El Digital Omnibus de mayo de 2026 movió el deadline del alto riesgo del AI Act a diciembre de 2027, pero el 2 de agosto de 2026 sigue siendo una fecha real. Qué hacer en los próximos 60-90 días y cómo encaja la IA privada con la soberanía de datos europea.
2 de junio de 2026·17 min·Equipo Editorial IA para Empresas B2B
📅 Actualizado: 2 de junio de 2026 · Próxima revisión: julio 2026
A junio de 2026 hay tres cosas que toda PYME española necesita tener claras: el Digital Omnibus de la UE retrasó las obligaciones de alto riesgo (Anexo III) del 2 de agosto de 2026 al 2 de diciembre de 2027, pero el 2 de agosto de 2026 sigue siendo una fecha real para otras piezas del Reglamento, y la decisión sobre dónde viven tus datos de IA —cloud americana o IA privada en Europa— se ha vuelto estratégica por la presión regulatoria y de soberanía. Este artículo separa lo que cambió de lo que no, y aterriza un plan concreto de 60-90 días para que un director de PYME llegue al verano sin sustos y sin gastar de más.
TL;DR
- Qué cambió (mayo 2026): el acuerdo político del Digital Omnibus (7 de mayo de 2026) aplaza las obligaciones de los sistemas de alto riesgo del Anexo III de agosto de 2026 a diciembre de 2027, y las de productos del Anexo I a agosto de 2028 (Consejo de la UE, mayo 2026). Aún requiere adopción formal.
- Qué NO cambió: las prácticas prohibidas (Article 5) están en vigor desde febrero de 2025; la AI literacy del personal (Article 4) está en vigor desde febrero de 2025; y el 2 de agosto de 2026 activa las competencias de supervisión y sanción de la Comisión sobre proveedores de modelos GPAI y la plena aplicación del régimen.
- Lo urgente para una PYME: inventariar los usos de IA, formar al equipo (Article 4) y revisar contratos con proveedores. Eso no se aplazó y es el 80% del trabajo real.
- La decisión estratégica: con el Tech Sovereignty Package europeo (27 de mayo de 2026) y la presión sobre las clouds americanas, muchas PYMEs en sectores sensibles están evaluando IA privada en infraestructura europea frente a SaaS de IA americano.
- Multas máximas: hasta 35 millones de euros o el 7% de la facturación global anual por prácticas prohibidas (la cifra más alta de las dos). El riesgo real para una PYME no es la multa máxima: es perder contratos B2B con clientes que auditan a sus proveedores.
- Plazo: un plan de 60-90 días enfocado en inventario, formación, política interna y decisión de arquitectura es suficiente para la mayoría de PYMEs no-high-risk.
- Por dónde empezar: con un inventario de "qué herramienta de IA usa cada departamento y con qué datos". Esa hoja vale más que cualquier dictamen jurídico de 40 páginas.
Por qué este artículo se reescribe en junio (y no vale el de hace un mes)
A primeros de mayo de 2026, la conversación en los despachos de dirección era de pánico: "el AI Act entra el 2 de agosto y las multas llegan a 35 millones". Un mes después, el escenario es distinto y la mayoría de directores aún no lo sabe. El 7 de mayo de 2026, el Consejo de la UE y el Parlamento Europeo alcanzaron un acuerdo político dentro del paquete de simplificación (Digital Omnibus) que aplaza las obligaciones de los sistemas de alto riesgo basados en uso (Anexo III) hasta el 2 de diciembre de 2027 (Consejo de la UE, 7 de mayo de 2026).
Esto no significa que el AI Act se haya "cancelado". Significa que se ha desacoplado el calendario: lo que era una pared única el 2 de agosto de 2026 ahora son dos relojes distintos. Y para una PYME, saber cuál de los dos le corre es la diferencia entre gastar 8.000 € en lo urgente o 30.000 € en algo que no toca hasta finales de 2027.
El 76% de las PYMEs españolas usa IA semanalmente, pero solo el 8% tiene soluciones formalmente implementadas (Wolters Kluwer y BBVA Research, 2026). Esa brecha —casi todas con exposición, casi ninguna con gobernanza— es exactamente la que el AI Act obliga a cerrar. El aplazamiento da aire, no exime.
Qué cambió y qué no: la tabla que aclara el calendario en junio de 2026
| Pieza del AI Act | Fecha antes del Omnibus | Fecha tras el acuerdo (mayo 2026) | ¿Aplica a una PYME típica? |
|---|---|---|---|
| Prácticas prohibidas (Article 5) | En vigor desde feb 2025 | Sin cambios — en vigor | Sí. Prohibido es prohibido, sin excepción de tamaño |
| AI literacy del personal (Article 4) | En vigor desde feb 2025 | Sin cambios — en vigor | Sí. Esto es lo que más PYMEs incumplen hoy |
| Supervisión/sanción sobre modelos GPAI | 2 ago 2026 | 2 ago 2026 (sin cambios) | Indirecto, vía contratos con OpenAI, Anthropic, Google |
| Alto riesgo — Anexo III (uso): empleo, crédito, seguros… | 2 ago 2026 | Aplazado a 2 dic 2027 | Solo si usas IA en esos ámbitos. La minoría de PYMEs |
| Transparencia / etiquetado (Article 50, watermarking) | 2 ago 2026 | Extendido en el acuerdo | Sí, si generas contenido público con IA |
| Alto riesgo — Anexo I (productos regulados) | 2 ago 2027 | Aplazado a 2 ago 2028 | Solo fabricantes industriales, dispositivos médicos, etc. |
¿Te ha cogido a contrapié el cambio de calendario? Repasa el detalle de las 7 obligaciones y el plan operativo en la guía completa del EU AI Act para PYME española.
La lectura para un director de PYME es directa: el aplazamiento afecta a la parte cara y técnica (conformity assessment, documentación, registro UE de sistemas de alto riesgo), y deja intactas las dos obligaciones que cuestan poco y que casi nadie tiene hechas: formar al equipo y no usar prácticas prohibidas. Es decir, el Omnibus retrasó lo difícil y mantuvo lo barato. Quien interprete el aplazamiento como "ya no hay nada que hacer hasta 2027" está cometiendo el error opuesto al pánico, pero igual de caro.
Conviene una nota de prudencia: el acuerdo del 7 de mayo es político y todavía requiere adopción formal antes de ser ley (Comisión Europea / Consejo de la UE, mayo 2026). Hasta que se publique el texto definitivo, la recomendación profesional es planificar con las fechas nuevas pero documentar como si las viejas siguieran vigentes en la parte barata. No cuesta más y elimina el riesgo de un cambio de última hora.
Las 4 categorías de riesgo, en lenguaje de PYME
El EU AI Act clasifica los sistemas de IA por nivel de riesgo y asigna obligaciones proporcionales a cada nivel. Es derecho directamente aplicable en España, sin transposición. A diferencia del GDPR, que regula el dato, el AI Act regula el sistema y la decisión que toma.
| Categoría | Qué es | Ejemplos en PYME española | Obligación principal |
|---|---|---|---|
| Prohibido | Riesgo inaceptable (Article 5) | Social scoring, manipulación conductual, scraping facial masivo | Prohibición total. En vigor desde feb 2025 |
| Alto riesgo | Anexo III (uso) | Cribado automatizado de CVs, scoring crediticio, fijación de primas de seguro, evaluación educativa | Documentación, supervisión humana, logs. Aplazado a dic 2027 |
| Riesgo limitado | Interactúa con personas o genera contenido | Chatbots de atención al cliente, asistentes IA internos, generación de imágenes/texto | Transparencia (Article 50): avisar de que es IA y etiquetar lo generado |
| Riesgo mínimo | El resto | Antispam, optimización logística, búsqueda interna, autocompletado | Sin obligaciones específicas |
El malentendido más caro es el Anexo III. Una asesoría laboral que usa una herramienta de IA para clasificar candidatos opera en alto riesgo aunque no lo haya formalizado. Un corredor de seguros que automatiza el cálculo de primas, también. La buena noticia de junio de 2026: esa parte se aplazó a diciembre de 2027, lo que da margen real para hacerla bien en lugar de a la carrera. La mala: si tu negocio cae en el Anexo III, ese margen es para preparar, no para olvidarse.
Lo que sí toca antes del 2 de agosto de 2026: checklist de 7 pasos
Pese al aplazamiento del alto riesgo, hay un núcleo que sigue corriendo. Para una PYME que arranca en junio, esta es la secuencia que cubre el 80% del cumplimiento con el menor coste posible.
- Inventario de usos de IA (semana 1-2). Una hoja de cálculo con: qué herramienta usa cada departamento, con qué datos de entrada, qué saca, y quién la paga. Incluir SaaS evidente (ChatGPT, Copilot, Gemini, Claude) y IA "embebida" que nadie llama IA (scoring en el CRM, filtros del correo). Sin este paso, todo lo demás es a ciegas.
- Clasificación de riesgo (semana 3). Mapear cada uso contra el Anexo III. Marcar en rojo lo que cae en empleo, crédito, seguros, educación o biometría. Marcar en naranja chatbots y generadores de contenido (Article 50).
- Formación AI literacy (semana 4-5). Es obligación en vigor desde febrero de 2025. Una sesión de 4-6 horas con material registrado, lista de asistencia firmada y una evaluación corta cumple el estándar mínimo razonable de una PYME. Esto es lo que más empresas tienen sin hacer y lo más fácil de demostrar.
- Política interna de uso de IA (semana 5-6). Documento de 4-8 páginas: herramientas aprobadas, datos prohibidos (DNI, datos de salud, datos financieros sin anonimizar, contraseñas), decisiones que no se delegan a la IA, a quién acudir ante un incidente. Protege también frente al GDPR.
- Revisión contractual con proveedores (semana 6-7). Comprobar que cada proveedor de IA declara compliance con el AI Act, ubicación de datos, retención y subprocesadores. Si un proveedor se niega a firmar adenda, es un riesgo que la dirección necesita conocer antes del verano.
- Etiquetado de contenido generado (semana 7-8). Si la empresa publica newsletters, imágenes o vídeos hechos con IA, incorporar el aviso de "elaborado con asistencia de IA". El watermarking estricto se extendió en el Omnibus, pero el principio de transparencia es buena práctica desde ya.
- Decisión de arquitectura: cloud vs IA privada (semana 8-12). La pieza estratégica. Decidir dónde viven los datos sensibles condiciona contratos, costes y la posición frente a clientes B2B que auditan a sus proveedores. La desarrollamos en la siguiente sección.
A día 90, una PYME estándar debería tener: inventario firmado, registro de formación, política interna activa, contratos revisados, etiquetado en producción y una decisión consciente sobre dónde procesa su IA.
Caso real (asesoría fiscal de ~25 personas, Madrid, abril 2026): usaban ChatGPT Plus individual para borradores de informes a clientes. Una revisión interna detectó que el output salía sin etiquetar y a veces con datos personales de terceros. Tuvieron que parar el uso individual, migrar a una plataforma con trazabilidad por usuario, redactar política, formar a 18 profesionales en AI literacy y añadir disclaimers. Plazo: 7 semanas. Coste: ~11.000 € de proyecto + 380 €/mes. — Caso anonimizado aportado a la redacción.
La decisión que el AI Act está acelerando: IA privada en Europa vs cloud americana
Aquí es donde el AI Act se cruza con una segunda corriente regulatoria. El 27 de mayo de 2026 la Comisión Europea presentó su Tech Sovereignty Package —que incluye la Cloud and AI Development Act (CADA) y la Chips Act 2.0— orientado a impulsar soluciones de cloud e IA "soberanas" europeas (CNBC / Comisión Europea, mayo 2026). En paralelo, la UE estudia restringir el uso de clouds americanas para datos sensibles del sector público en sectores como sanidad, finanzas y justicia, donde las empresas estadounidenses controlan cerca del 70% del mercado (CNBC, 7 de mayo de 2026).
Conviene ser preciso para no caer en el alarmismo: esas restricciones, por ahora, apuntan al sector público, no a la empresa privada. Pero marcan una dirección de viaje. Cuando un cliente B2B grande —una administración, un banco, una aseguradora— empieza a exigir a sus proveedores que los datos no salgan de Europa, esa exigencia baja en cadena hasta la PYME que les presta servicio. La soberanía de datos deja de ser una preferencia ideológica y se convierte en un requisito de licitación.
Para una PYME, esto reformula la pregunta. Ya no es "¿qué herramienta de IA es mejor?", sino "¿dónde quiero que vivan mis datos cuando un cliente me audite en 2027?". Hay dos caminos honestos, y ninguno es universalmente correcto.
Tabla comparativa: cloud de IA americana vs IA privada en Europa
| Criterio | Cloud de IA americana (ChatGPT Enterprise, Copilot, Claude for Work) | IA privada en infraestructura europea | Recomendado para… |
|---|---|---|---|
| Ubicación de datos | Región EU disponible en planes enterprise; matices de transferencia transatlántica | 100% en VPC europea bajo tu control | IA privada para sectores regulados |
| Tiempo de puesta en marcha | Días (alta de cuentas) | 4-6 semanas (despliegue llave en mano) | Cloud si la prioridad es velocidad pura |
| Coste inicial | Bajo: cuota por usuario/mes | Setup desde ~5.000 € + cuota | Cloud para pilotos pequeños |
| Coste a escala (50+ personas) | Crece linealmente por usuario | Coste más predecible, sin penalización por usuario | IA privada a volumen |
| Control y auditabilidad | Logs del proveedor, según plan | Logs completos en tu infraestructura | IA privada para auditorías B2B |
| Dependencia de proveedor | Alta: cambios de política te afectan | Baja: sin lock-in, código y datos tuyos | IA privada para soberanía |
| Multi-modelo | Atado al ecosistema del proveedor | Claude, GPT, Gemini y modelos abiertos en una interfaz | IA privada para no casarte con un modelo |
| Encaje con AI Act / soberanía | Compliant con configuración y adenda | "Compliant by design": datos en Europa, trazabilidad nativa | IA privada para sectores sensibles |
| Ganador para una PYME pequeña no regulada | ✅ Cloud enterprise suele bastar | — | Cloud |
| Ganador para PYME media en sector sensible | — | ✅ IA privada europea | IA privada |
Caso real (despacho de abogados de ~8 personas, Madrid, mayo 2026): 1.200 PDFs de jurisprudencia acumulados en 10 años. Resolvieron el análisis documental con una plataforma multi-modelo desplegada en infraestructura europea, con logs por usuario y prohibición de meter datos identificables. Pasaron de 2-3 horas de búsqueda manual a 15 minutos por caso, sin incidencias en su auditoría anual de protección de datos. — Caso anonimizado aportado a la redacción.
ROI dual: cuánto cuesta cumplir vs cuánto cuesta no decidir
Coste de cumplir (PYME 30-80 personas, año 1)
| Concepto | Rango realista |
|---|---|
| Formación AI literacy (4-6h) | 800 – 2.500 € |
| Inventario y clasificación de sistemas | 1.500 – 4.000 € |
| Política interna + adenda contratos | 1.500 – 5.000 € |
| Plataforma IA con compliance integrado (si aplica) | 5.000 – 30.000 € |
| Auditoría externa ligera | 2.500 – 8.000 € |
| Total orientativo | 7.000 – 25.000 € |
Coste de no cumplir (las sanciones siguen sobre la mesa)
| Infracción | Multa máxima |
|---|---|
| Prácticas prohibidas (Article 5) | 35 M€ o 7% facturación global anual (la mayor) |
| Incumplimiento de obligaciones de alto riesgo | 15 M€ o 3% facturación global anual |
| Información incorrecta a autoridades | 7,5 M€ o 1% facturación global anual |
Para una PYME que factura 5 M€, la multa máxima por incumplimiento de alto riesgo es de 150.000 €, y las autoridades aplican proporcionalidad. Pero el coste real para una PYME no es la sanción: es perder un contrato B2B con un cliente grande que deja de trabajar con proveedores que no demuestran gobernanza de IA. Ese cliente no espera a que te multen; simplemente no te renueva.
Cómo aterrizar esto sin equipo legal ni técnico interno
La mayoría de PYMEs no tiene compliance officer ni equipo de IA. Hay tres caminos razonables, y normalmente se combinan:
- Despacho legal especializado en GDPR/AI Act: redacta políticas, adendas y procedimientos. No despliega infraestructura.
- Consultor IA con conocimiento de compliance europeo: inventaría sistemas, clasifica riesgo, forma al equipo y diseña la gobernanza operativa.
- Proveedor de plataforma IA privada: resuelve la pieza técnica —centralización, trazabilidad por usuario, datos en Europa, control de coste por departamento—, dejando la plataforma "compliant by design". El cliente sigue necesitando política y formación.
Para una PYME pequeña no regulada, despacho legal + formación externa basta. Para una PYME media con uso intensivo o caótico de IA, la combinación más eficiente suele ser plataforma IA privada + consultor que monte la gobernanza. En España hay consultorías especializadas en este segundo perfil que despliegan plataformas IA privadas con datos en Europa y cumplimiento por diseño en plazos de semanas. Según Javier Santos Criado, consultor de IA en Javadex, "el aplazamiento del alto riesgo no cambia lo que una PYME debe hacer este verano: inventariar, formar y decidir dónde viven sus datos. Lo único que cambia es que ahora hay tiempo de hacerlo bien en lugar de a la carrera, y de elegir una arquitectura que aguante la auditoría de un cliente grande en 2027" (declaración a la redacción, junio 2026). Quien quiera una segunda opinión sobre la arquitectura de IA privada de su empresa puede plantearla a través del formulario de consulta a la red de expertos del medio.
Errores comunes en junio de 2026
Error 1: leer el aplazamiento como "ya no hay nada que hacer". El alto riesgo se aplazó; la AI literacy, las prácticas prohibidas y la supervisión GPAI no. El 80% del trabajo de una PYME (inventario, formación, política) sigue vivo. Problema: llegas a 2027 sin gobernanza básica y un cliente B2B te audita antes que la autoridad. Solución: ejecuta el checklist de 7 pasos este trimestre. Es barato y es lo que de verdad corre.
Error 2: confundir AI Act con GDPR. Son complementarios. El GDPR protege el dato; el AI Act, la decisión que toma la IA. Problema: crees que "ya está cubierto con el GDPR" y operas sistemas sin clasificar. Solución: añade la clasificación de riesgo del AI Act como capa nueva, no como sustituto del RAT.
Error 3: ignorar la dimensión de soberanía de datos. El Tech Sovereignty Package marca una dirección que tus clientes grandes adoptarán antes que la ley. Problema: montas tu IA sobre una arquitectura que no aguanta la pregunta "¿dónde viven mis datos?". Solución: decide arquitectura (cloud enterprise vs IA privada europea) en función de a quién vendes y quién te audita.
Error 4: contratar al primer "experto AI Act" que aparece en tu bandeja. El sector se ha llenado de actores que pivotaron de GDPR a AI Act en seis meses. Problema: pagas por dictámenes genéricos que no te preparan para una auditoría real. Solución: pide referencias específicas en AI Act e implementación técnica, no genéricas en compliance.
Preguntas frecuentes
¿El EU AI Act se ha retrasado del todo?
No. Solo se aplazó la parte de alto riesgo. El acuerdo del Digital Omnibus (7 de mayo de 2026) aplaza las obligaciones de los sistemas de alto riesgo del Anexo III al 2 de diciembre de 2027 y las del Anexo I a agosto de 2028. Las prácticas prohibidas (Article 5) y la AI literacy (Article 4) siguen en vigor desde febrero de 2025, y el 2 de agosto de 2026 activa las competencias de supervisión sobre proveedores GPAI y la plena aplicación del régimen.
¿Qué tiene que hacer una PYME antes del 2 de agosto de 2026?
Inventariar sus usos de IA, formar al equipo en AI literacy, redactar una política interna de uso y revisar los contratos con sus proveedores. Es el 80% del cumplimiento, cuesta entre 5.000 € y 15.000 € en una PYME media y no se vio afectado por el aplazamiento del alto riesgo.
¿Qué tiene que hacer una PYME antes del 2 de agosto de 2026 si usa IA en selección de personal o seguros?
Lo anterior, más empezar a preparar la documentación de alto riesgo, aunque su deadline sea ahora diciembre de 2027. Empleo, crédito, seguros, educación y biometría son ámbitos del Anexo III. El aplazamiento da margen para preparar el conformity assessment con calma, no para ignorarlo.
¿Necesito una plataforma de IA privada para cumplir el AI Act?
No es obligatorio, pero es la opción más sólida para sectores sensibles y para empresas auditadas por clientes B2B grandes. Una cuenta enterprise de un proveedor americano bien configurada (región EU, DPA, política interna) puede cumplir. La IA privada en infraestructura europea añade soberanía de datos, trazabilidad nativa y ausencia de lock-in, que pesan cuando un cliente grande te exige que los datos no salgan de Europa.
¿La UE va a prohibir las clouds americanas a las empresas privadas?
No, por ahora. El Tech Sovereignty Package (27 de mayo de 2026) y las restricciones que estudia la UE apuntan a datos sensibles del sector público (sanidad, finanzas, justicia), no a la empresa privada (CNBC, mayo 2026). Pero marcan una dirección: los clientes B2B grandes adoptarán estos criterios de soberanía antes de que sean ley.
¿Cuánto cuesta una multa realista para una PYME?
Muy por debajo del tope máximo. Las autoridades aplican proporcionalidad. En reglamentos europeos comparables, las primeras infracciones documentales en PYME se han movido entre 5.000 € y 50.000 €. El riesgo material mayor para una PYME no es la multa: es la pérdida de contratos B2B con clientes que auditan a sus proveedores.
Si arrancamos hoy, ¿llegamos al 2 de agosto?
Sí, con holgura para la parte que de verdad corre. Un plan de 60-90 días (inventario, clasificación, formación, política, contratos, decisión de arquitectura) deja a una PYME no-high-risk lista para agosto. La parte de alto riesgo, ahora con deadline en diciembre de 2027, se planifica aparte y sin prisa.
Voces externas
El Consejo de la Unión Europea, al anunciar el acuerdo de simplificación, señaló que el objetivo es "que las reglas empiecen a aplicarse una vez la Comisión confirme que las normas técnicas y las herramientas necesarias están disponibles" (Consejo de la UE, 7 de mayo de 2026), justificando así el aplazamiento de las obligaciones de alto riesgo. La Comisión Europea, por su parte, ha vinculado el Tech Sovereignty Package a la voluntad de reforzar la autonomía tecnológica europea en cloud e IA (Comisión Europea, 27 de mayo de 2026).
Según Javier Santos Criado, consultor de IA en Javadex, "el error de junio de 2026 es el opuesto al de mayo: en mayo todo el mundo entró en pánico por agosto; ahora hay quien cree que con el aplazamiento ya no hay nada que hacer. La verdad está en medio: lo barato y urgente sigue corriendo, y la decisión de soberanía de datos es más estratégica que nunca" (declaración a la redacción, junio 2026).
Posts relacionados
- EU AI Act agosto 2026: qué obligaciones reales tiene una PYME española antes del deadline — el detalle de las 7 obligaciones y el plan de 90 días.
- Claude AI para PYMEs en España: GDPR y EU AI Act 2026 — los 5 requisitos GDPR concretos para usar un LLM cumpliendo normativa.
- Soberanía de datos e IA en la PYME europea 2026 — por qué dónde viven tus datos es una decisión de negocio.
- IA on-premise vs cloud para PYME en España 2026 — la comparativa técnica de arquitecturas.
- Mejores plataformas IA privadas para empresa en España 2026 — opciones con compliance integrado.
- Asistente IA privado con tu marca para PYME española: guía 2026 — cómo encaja la marca propia con la soberanía de datos.
En Resumen
- El Digital Omnibus (acuerdo político del 7 de mayo de 2026) aplaza las obligaciones de alto riesgo del Anexo III del AI Act de agosto de 2026 a diciembre de 2027, y las del Anexo I a agosto de 2028 (pendiente de adopción formal).
- El 2 de agosto de 2026 sigue siendo fecha real: activa la supervisión sobre proveedores GPAI y la plena aplicación del régimen. Las prácticas prohibidas (Article 5) y la AI literacy (Article 4) están en vigor desde febrero de 2025.
- Para una PYME, el 80% del trabajo no se aplazó: inventariar usos de IA, formar al equipo, redactar política interna y revisar contratos con proveedores. Cuesta entre 5.000 € y 15.000 € en año 1.
- El Tech Sovereignty Package europeo (27 de mayo de 2026) y la presión sobre las clouds americanas convierten la decisión cloud vs IA privada en Europa en estratégica, sobre todo para sectores sensibles y empresas auditadas por clientes B2B.
- Una PYME pequeña no regulada suele cubrirse con cloud enterprise bien configurada; una PYME media en sector sensible reduce riesgo con IA privada en infraestructura europea, sin lock-in y con datos bajo su control.
- Las multas máximas llegan a 35 M€ o el 7% de la facturación global, pero el riesgo material para una PYME es perder contratos B2B, no la sanción.
- Un plan de 60-90 días —inventario, clasificación, formación, política, contratos y decisión de arquitectura— es suficiente para llegar a agosto sin sustos.
Sigue leyendo
- 02 jun 2026Agentes IA de atención al cliente para PYMEs B2B en España (2026): qué automatizan y cómo empezar
- 02 jun 2026Copiloto interno de IA para PYMEs B2B (2026): que tu equipo encuentre cualquier dato en segundos
- 02 jun 2026GEO para empresas B2B (2026): cómo aparecer cuando tus clientes preguntan a ChatGPT por tu sector