EU AI Act Stichtag 02.08.2026: Was DACH-Mittelstand bei GPAI-Nutzung jetzt dokum
27.05.2026

El impacto de la GPAI como trampa documental en las pymes

8 Min. de lectura

El 2 de agosto de 2026, el AI Act de la UE entrará en vigor para los modelos generales de IA. Quedan 70 días antes de que las obligaciones de documentación para el uso de IA de propósito general en las empresas entren en vigor – incluyendo las licencias de ChatGPT, Copilot y Claude, que muchos pequeños y medianos empresarios de Alemania ya utilizan a diario. Quien comience ahora podrá avanzar con tranquilidad. Quien espere hasta el verano, se estará construyendo su propia lista de verificación para auditorías.

Lo más importante en resumen

  • Fecha límite del 2 de agosto de 2026: Las obligaciones de GPAI del AI Act de la UE entrarán en vigor – no solo los proveedores, sino también las empresas que integren modelos GPAI en sus propios flujos de trabajo.
  • La documentación obligatoria abarca cuatro bloques: clasificación de riesgos por caso de uso, inventario de categorías de datos, mecanismos de supervisión humana y registros de evaluación de conformidad.
  • Rango de multas: hasta 15 millones de euros o el tres por ciento de la facturación global de la empresa – según cuál monto sea mayor.
  • Una trampa para las pequeñas y medianas empresas: ChatGPT Enterprise, Microsoft Copilot y Claude Pro son modelos GPAI – quienes los utilicen para la comunicación con clientes, las decisiones de personal o los borradores de contratos quedan sujetos a este ámbito de aplicación.
  • Lo que importa ahora: un catálogo documentado de casos de uso con evaluación de riesgos, una jerarquía de escalonamiento para aplicaciones de alto riesgo y un protocolo de auditoría interna que pueda presentarse en caso de necesidad.

Relacionado:Google Gemini en la empresa: ¿qué exige el AI Act?  /  Mandato tecnológico en el consejo de supervisión: NIS2, EU AI Act y la brecha de habilidades

¿Qué es una obligación de GPAI? Los modelos de IA de propósito general (GPAI) son sistemas de IA como ChatGPT, Microsoft Copilot o Claude, que pueden utilizarse para tareas amplias. Con el AI Act de la UE a partir del 2 de agosto de 2026, las empresas que integren dichos modelos en sus flujos de trabajo productivos deben clasificar, documentar y supervisar sus casos de uso, independientemente de si son proveedores o usuarios.

Por qué las obligaciones de GPAI sorprenderán a muchos pequeños y medianos empresarios

En la discusión pública sobre el AI Act de la UE, desde hace meses prevalece la pregunta de qué sucederá con los sistemas de alto riesgo, como la identificación biométrica o el scoring de crédito. A menudo, las obligaciones de GPAI – es decir, las reglas para los modelos generales de IA – han sido etiquetadas como un “tema para proveedores”. Esto solo es parcialmente cierto. Proveedores como OpenAI, Anthropic o Mistral deben proporcionar las cartas de los modelos, los resúmenes de datos de entrenamiento y las evaluaciones de riesgo sistémicas. Pero el verdadero problema operativo surge en la parte de los usuarios.

Tan pronto como una empresa integra un modelo GPAI en un flujo de trabajo productivo – ya sea un complemento de ChatGPT en el CRM, un Copilot en la gestión de contratos o un sistema RAG propio basado en Claude -, la aplicación se convierte en un sistema de IA en el sentido de la normativa. En consecuencia, surgen obligaciones relacionadas con la clasificación de riesgos, la transparencia, la supervisión y la documentación. La mayoría de los pequeños y medianos empresarios de Alemania que hemos entrevistado en las últimas semanas asumen que caerán bajo la categoría de “usuarios” y, por lo tanto, estarán prácticamente libres de cualquier restricción. Este es un malentendido que podría resultar costoso en agosto.

Los cuatro bloques de documentación que ahora deben establecerse

Bloque 1 – Inventario de casos de uso con clasificación de riesgos. Cada aplicación basada en IA dentro de la empresa debe ser registrada: ¿qué tarea se apoya?, ¿qué modelo se utiliza?, ¿qué datos ingresan?, ¿qué área de negocio la emplea?, ¿cuán vinculante es el resultado? De todo ello surge una clasificación en una de las cuatro categorías de riesgo: “mínimo”, “limitado”, “alto” o “prohibido”. Esta clasificación determinará todo lo que sigue.

Bloque 2 – Documentación de las categorías de datos. ¿Qué tipos de datos personales, críticos para el negocio o confidenciales se introducen en el sistema de IA? Este inventario abarca aspectos relacionados con la GDPR, pero va más allá: también deben documentarse categorías de datos no personales, como borradores de contratos, código fuente o planes estratégicos, incluyendo si el modelo puede utilizarlos para su entrenamiento o no.

Bloque 3 – Mecanismos de supervisión humana. Para cada caso de uso debe quedar claro quién revisa el resultado generado por la IA, quién está autorizado a escalar y quién asume la responsabilidad final. En casos de riesgo limitado suele bastar con controles aleatorios; en aplicaciones de alto riesgo -por ejemplo, en decisiones de personal o evaluaciones crediticias- se requiere una regla de doble verificación documentada, con un camino de escalada claramente rastreable.

Bloque 4 – Registros de evaluación de conformidad. Se trata del dossier completo para el caso de auditoría: fichas de los modelos proporcionadas por los proveedores, evaluaciones propias de riesgos, medidas adoptadas y comprobantes de formación. Una hoja de cálculo distribuida no basta: las autoridades supervisoras exigen una estructura organizada que demuestre que la empresa ha tomado en serio sus obligaciones.

15 millones de euros
Rango de multas o el 3 % del volumen de negocios del grupo
Se aplica el valor más elevado. Para muchas pequeñas y medianas empresas, esto significa que el umbral del 3 % solo supera la cifra de 15 millones cuando el volumen de negocios del grupo alcanza los 500 millones de euros. Por debajo de esa cifra, el límite absoluto es la suma máxima -lo cual no tranquiliza, sino que plantea la pregunta de cuántos incumplimientos podría detectar una sola auditoría.

Tres ejemplos de casos de uso del sector medio en la región DACH

Ejemplo A – CRM con complemento ChatGPT para borradores de correos: una empresa de ingeniería mecánica de Baden-Württemberg permite que sus vendedores generen borradores de respuestas a consultas de clientes mediante un complemento empresarial de ChatGPT. Riesgo: mínimo hasta limitado. Obligaciones: documentación del caso de uso, controles aleatorios y aviso a los clientes en caso de que los textos generados por IA se envíen sin revisión previa.

Ejemplo B – Preselección de candidatos con Microsoft Copilot: un proveedor de servicios informáticos de tamaño mediano utiliza Copilot para ordenar las solicitudes de empleo según criterios de idoneidad. Riesgo: alto -decisiones sobre personal. Obligaciones: documentación de pruebas de sesgo, implementación de la regla de doble verificación ante rechazos, transparencia hacia los solicitantes y auditoría de conformidad auditable.

Ejemplo C – Redacción de contratos con Claude Pro: una empresa comercial genera cláusulas contractuales mediante interacciones con Claude Pro. Riesgo: limitado -pero las cláusulas se envían sin una revisión jurídica final. Obligaciones: definir una jerarquía de escalada, realizar auditorías periódicas de muestras del output y señalar claramente en la documentación interna qué partes del contrato cuentan con apoyo de IA.

“El Reglamento de IA de la UE no es el próximo desastre similar al GDPR, pero sí presionará especialmente a aquellas empresas que creían que las licencias de IA garantizaban automáticamente el cumplimiento normativo. La inspección regulatoria llegará y exigirá documentación detallada.”

Lo que debe estar listo concretamente antes del 2 de agosto

Seis pasos operativos que pueden ocupar 70 días en verano, o ejecutarse en segundo plano durante diez semanas:

  1. Inventario de casos de uso en toda la organización: registrar todos los flujos de trabajo asistidos por IA, incluidos los usos no oficiales.
  2. Clasificación de riesgos por caso de uso: internamente o con apoyo externo.
  3. Definir el esquema de categorías de datos: ¿qué tipos de datos pueden introducirse en qué modelos y con qué nivel de protección?
  4. Establecer las obligaciones de supervisión humana: ¿quién verifica qué y con qué latencia?
  5. Documentar la formación de los empleados: la autoridad supervisora comprueba si la plantilla sabe qué herramientas está utilizando.
  6. Crear el expediente de evaluación de conformidad: un archivo central donde se reúnan todas las pruebas documentales.

Por experiencia, una empresa mediana con entre 200 y 500 empleados y de tres a cinco casos de uso de IA productivos necesita entre ocho y doce semanas para completar correctamente estos seis pasos, siempre que el proyecto tenga una titularidad clara. Sin un responsable designado, se convertirá en un proyecto estival que se diluye sin resultados.

Preguntas frecuentes

¿Se aplica la Ley de IA de la UE también a empresas no comunitarias?

Sí: en cuanto un sistema de IA se ofrece o utiliza en el mercado de la UE, se aplica la Ley de IA, independientemente de la sede del proveedor o del usuario. Las empresas de la región DACH con filiales en Suiza o el Reino Unido deben cumplir las obligaciones para sus operaciones en la UE.

¿Qué ocurre si se incumple la fecha límite del 2 de agosto?

Las obligaciones entran en vigor automáticamente. En caso de infracción, se arriesgan multas de hasta 15 millones de euros o el tres por ciento de la facturación mundial del grupo, aplicándose la cifra más alta. Las autoridades supervisoras de los Estados miembros de la UE ya están estableciendo sus programas de muestreo.

¿Basta con una declaración de cumplimiento del proveedor de IA?

No. Las obligaciones se reparten: los proveedores deben aportar fichas técnicas del modelo, resúmenes de los datos de entrenamiento y evaluaciones de riesgos sistémicos. Los usuarios deben documentar, clasificar y supervisar sus propios casos de uso. Una declaración de cumplimiento de OpenAI o Microsoft solo cubre la parte del proveedor.

¿Proporciona la BSI plantillas concretas?

La Oficina Federal de Seguridad Informática (BSI) está preparando una guía de aplicación para la IA de propósito general (GPAI), que según el estado actual debería publicarse a mediados de julio. Incluirá plantillas para los cuatro bloques de documentación. Quien no quiera esperar puede recurrir al material existente de ENISA y a las recomendaciones de las autoridades nacionales de protección de datos.

Más contenido de la red MBF Media

Fuente de la imagen de cabecera: Pexels / RDNE Stock project (px:7414013)

También disponible en

Una revista de evernine media GmbH
La revista para directivos del Mittelstand DACH