Symbolbild: EU, Building und Regulation im redaktionellen Magazinkontext
03.04.2026

Ley de IA desde agosto 2026: IA de alto riesgo en pymes

7 min de lectura

El 2 de agosto de 2026 llega la hora de la verdad: a partir de esa fecha, las obligaciones de la Ley de IA de la UE para los sistemas de IA de alto riesgo entrarán plenamente en vigor. Esto afecta a cualquier empresa que utilice IA para decisiones de personal, evaluaciones de solvencia crediticia o control de calidad en la producción. La evaluación de conformidad dura entre tres y seis meses. Quien hasta ahora no haya comenzado a inventariar sus sistemas de IA difícilmente podrá cumplir el plazo. Y también la obligación de formación del artículo 4 ya entró en vigor en febrero de 2025.

Lo más importante

  • Obligaciones para IA de alto riesgo a partir del 2 de agosto de 2026: todos los requisitos para los sistemas de IA de alto riesgo entran plenamente en vigor. Afectados: selección de personal mediante IA, puntuación crediticia, filtros de candidaturas y sistemas biométricos (Ley de IA de la UE, Anexo III).
  • Obligación de competencias en IA ya vigente: desde el 2 de febrero de 2025, las empresas deben garantizar que su personal cuente con una formación adecuada en el uso de sistemas de IA (artículo 4 de la Ley de IA).
  • Sanciones económicas de hasta 35 millones de euros: o bien el 7 % de la facturación anual global en caso de prácticas prohibidas de IA, como la puntuación social (Social Scoring) o el reconocimiento de emociones en el lugar de trabajo (artículo 99 de la Ley de IA).
  • El KI-MIG ha sido aprobado por el Consejo de Ministros federal: la Ley de Medidas e Innovación en IA crea el marco jurídico nacional para la aplicación de la Ley de IA en Alemania (febrero de 2026).
  • La evaluación de conformidad dura de 3 a 6 meses: se deben establecer la evaluación de riesgos, la documentación, los procesos de prueba y el sistema de gestión de la calidad. El inicio debe producirse como muy tarde en marzo de 2026.

Cronología: ¿qué entra en vigor y cuándo?

La Ley de IA de la UE entra en vigor progresivamente. Las primeras obligaciones ya están activas y las fechas límite más importantes llegarán en los próximos meses. Para las empresas, el orden es decisivo, ya que cada etapa se basa en la anterior.

Desde el 2 de febrero de 2025 rige el artículo 4: la obligación de garantizar competencias suficientes en IA para todo el personal que utilice, desarrolle o supervise sistemas de IA. Esto no afecta únicamente a los departamentos de TI, sino también a los equipos de RR.HH. que emplean selección de personal con apoyo de IA o a los departamentos financieros que trabajan con sistemas automatizados de puntuación.

Importante para las empresas que ya tienen en su agenda la DORA, la NIS2 y la MiCA: la Ley de IA se suma a estas regulaciones. En parte, las exigencias se solapan – por ejemplo, en materia de gestión de riesgos – , pero no son idénticas. Un sistema de IA en el sector financiero debe ser simultáneamente conforme a la DORA y a la Ley de IA. Quien ya haya implementado un marco de cumplimiento normativo para la DORA podrá reutilizar algunos elementos para la Ley de IA, especialmente en lo relativo a la documentación de riesgos y a las estructuras de gobernanza.

El 2 de agosto de 2025 entraron en vigor las obligaciones de transparencia para los modelos generales de IA (General Purpose AI). El 2 de agosto de 2026 sigue la etapa más importante: la aplicación plena de las disposiciones para los sistemas de IA de alto riesgo. A partir de esta fecha, las empresas que utilicen dichos sistemas deberán poder presentar una evaluación de conformidad exhaustiva.

Feb 2025
Art. 4: Obligación de competencias en IA para todas las empresas que utilicen IA
Aug 2025
Obligaciones de transparencia para IA general (General Purpose AI: GPT, Claude, Gemini)
Feb 2026
Aprobación por el Consejo de Ministros del KI-MIG: regulación de la vigilancia del mercado nacional
Aug 2026
IA de alto riesgo: evaluación de conformidad, marcado CE, registro en la base de datos de la UE

IA de alto riesgo: ¿qué sistemas están afectados?

La Ley de IA define en su Anexo III ocho ámbitos en los que los sistemas de IA se clasifican como de alto riesgo. Para las pymes, tres de estos ámbitos resultan especialmente relevantes.

No se consideran de alto riesgo, en cambio: filtros de correo basura con IA, traducciones automáticas, chatbots sin capacidad de toma de decisiones, sistemas de recomendación en el comercio electrónico y la mayoría de las automatizaciones de marketing. Para estos sistemas solo rigen las obligaciones generales de transparencia y el requisito de formación del artículo 4. Esto es fundamental tenerlo en cuenta, pues muchos empresarios de pymes temen que cualquier uso de IA quede sometido a las estrictas reglas aplicables a la IA de alto riesgo. No es así.

La zona gris se sitúa en los sistemas de IA que no toman decisiones autónomas, pero sí elaboran propuestas de decisión. Un sistema de IA que rechaza automáticamente solicitudes de crédito es claramente de alto riesgo. Un sistema que solo clasifica previamente dichas solicitudes y las somete a la decisión final de una persona podría no serlo. En estos casos se recomienda una revisión jurídica caso por caso.

Empleo y gestión de personal: sistemas de IA que analizan candidaturas, evalúan candidatos, preparan decisiones de promoción o automatizan evaluaciones de desempeño. Quien utilice un sistema de seguimiento de candidatos (Applicant Tracking System, ATS) con puntuación basada en IA opera, con alta probabilidad, un sistema de alto riesgo. Lo mismo ocurre con las herramientas de análisis de la plantilla (Workforce Analytics) con IA que evalúan la productividad de los empleados.

Solvencia crediticia y puntuación: sistemas de IA que evalúan la solvencia, preparan decisiones crediticias o calculan primas de seguros. Las empresas fintech y los bancos están obviamente afectados, pero también pueden caer bajo esta categoría empresas industriales que utilicen IA para la evaluación de proveedores o la gestión de deudores.

Componentes de seguridad: sistemas de IA que funcionan como componentes de seguridad en máquinas, vehículos o dispositivos médicos. Para las pymes manufactureras que utilicen control de calidad o mantenimiento predictivo con IA, este es un tema relevante, porque la IA puede tener efectos directos sobre la seguridad del producto.

Incluso quien solo utilice ChatGPT, herramientas de traducción automática o software de reclutamiento con IA queda sujeto al Reglamento.
– Según la Cámara de Comercio e Industria de Schleswig-Holstein, Guía sobre la Ley de IA

Qué exige concretamente la evaluación de conformidad

Las empresas que utilicen sistemas de IA de alto riesgo (como denominados Deployer, «desplegadores»), deberán cumplir, a partir de agosto de 2026, varias obligaciones. Su alcance depende de si la empresa utiliza únicamente el sistema o lo ha desarrollado ella misma.

Para los Deployer, rigen estas obligaciones centrales: primero, una gestión de riesgos: los riesgos del sistema de IA deben identificarse, evaluarse y documentarse. Esto incluye riesgos de sesgo (bias), potencial discriminatorio y efectos sobre los derechos de las personas afectadas. Segundo, la documentación técnica: los proveedores (Provider) deben facilitarla; los Deployer deben comprenderla y conservarla. Tercero, supervisión humana: debe garantizarse que las personas puedan supervisar y intervenir en las decisiones tomadas por la IA. Cuarto, transparencia frente a las personas afectadas: quienes estén sujetos a una decisión de IA – por ejemplo, candidatos en procesos de reclutamiento – deben ser informados al respecto.

Los desarrolladores (Provider) de IA de alto riesgo asumen responsabilidades más exigentes: deben llevar a cabo una evaluación completa de conformidad, colocar la marca CE y registrar el sistema en la base de datos de la UE. La evaluación abarca la calidad de los datos, los protocolos de prueba, la robustez y la ciberseguridad. Según expertos del sector, este procedimiento dura entre tres y seis meses.

Artículo 4: la obligación de formación que muchos pasan por alto

Mientras que las obligaciones relativas a la IA de alto riesgo comienzan en agosto de 2026, el artículo 4 ya está en vigor desde febrero de 2025. Este artículo obliga a todos los proveedores y operadores de sistemas de IA a garantizar «competencias suficientes en IA» entre su personal. Esto suena vago, pero tiene consecuencias concretas.

El artículo 4 no prescribe un plan de estudios fijo. Exige, no obstante, que la formación sea adecuada en relación con el contexto de utilización de la IA y con el rol de la persona afectada. Un director de RR.HH. que utilice una herramienta de selección de candidatos con IA necesita una comprensión distinta a la de un administrativo que use ChatGPT para redactar plantillas de correo electrónico.

Actualmente no existe una sanción económica directa por falta de competencias en IA. Sin embargo, el riesgo de responsabilidad es real: si una empresa no ha llevado a cabo ninguna formación y un sistema de IA causa daños debido a un uso inadecuado por parte de un empleado, surge una reclamación civil. La ausencia de formación se convierte así en prueba de falta de diligencia.

Implementación pragmática: las empresas deberían documentar qué sistemas de IA están en uso, quién trabaja con ellos y qué formaciones se han impartido. Un registro interno de IA y un certificado de formación bastan como punto de partida. La Academia Haufe y las Cámaras de Comercio e Industria ya ofrecen formatos de formación certificados específicamente adaptados al artículo 4.

KI-MIG: qué regula la ley alemana de aplicación

En febrero de 2026, el Consejo de Ministros federal aprobó la Ley de Medidas e Innovación en IA (KI-Maßnahmen- und Innovationsgesetz, KI-MIG) como ley nacional de aplicación de la Ley de IA de la UE. Esta ley regula la vigilancia del mercado y designa las autoridades competentes.

Para las pymes, el KI-MIG contiene una importante facilidad: las PYME y las startups podrán beneficiarse de formas simplificadas de documentación técnica. El objetivo es mantener manejables los costes administrativos sin rebajar los estándares de seguridad. La concreción exacta de estas facilidades corresponde a la autoridad nacional de vigilancia del mercado.

Estas facilidades afectan, entre otros aspectos, al alcance de la documentación técnica y a los requisitos de prueba. Las PYME deben cumplir los mismos estándares de seguridad, pero pueden recurrir a procedimientos de acreditación menos gravosos.

La vigilancia del mercado comienza oficialmente el 2 de agosto de 2026. A partir de esa fecha, las autoridades nacionales estarán facultadas para realizar inspecciones y aplicar sanciones. En la práctica, cabe esperar que durante los primeros meses la autoridad actúe principalmente en modo consultivo antes de imponer multas. No obstante, nadie debería confiar en ello.

Sanciones económicas: qué amenaza realmente

La Ley de IA establece un régimen sancionador de tres niveles. El máximo de 35 millones de euros o el 7 % de la facturación anual global se aplica al uso de prácticas prohibidas de IA, como la puntuación social (Social Scoring) o los sistemas de IA manipuladores. Por infracciones de las obligaciones relativas a la IA de alto riesgo se prevén sanciones de hasta 15 millones de euros o el 3 % de la facturación. Por información errónea o engañosa facilitada a las autoridades, hasta 7,5 millones de euros o el 1 %.

35 Mio. €
Prácticas prohibidas de IA
15 Mio. €
Infracciones relativas a IA de alto riesgo
7,5 Mio. €
Información falsa
Fuente: Ley de IA de la UE, artículo 99

La Ley de IA prevé una aplicación proporcional para las PYME. Las multas se ajustan a la facturación y a la gravedad de la infracción. Así, una pyme con una facturación de 20 millones de euros arriesga, en caso de infracciones relativas a IA de alto riesgo, hasta 600.000 euros. No es una cifra existencialmente amenazadora, pero sí un importe doloroso.

También es relevante el esfuerzo de cumplimiento normativo: los expertos del sector estiman los costes de conformidad para la IA de alto riesgo entre el 10 % y el 20 % de las inversiones en IA. En la práctica, esto supone costes adicionales anuales en el rango medio de cinco cifras, sobre todo por la documentación, la evaluación de riesgos y las estructuras de gobernanza.

Cinco pasos hasta agosto de 2026

El tiempo restante es escaso, pero suficiente si las empresas comienzan ahora. Estos cinco pasos sentarán las bases para el cumplimiento de la Ley de IA.

1. Elaborar un inventario de IA. ¿Qué sistemas de IA se utilizan en la empresa? Esto incluye no solo modelos desarrollados internamente, sino también soluciones adquiridas: sistemas ATS con puntuación basada en IA, chatbots en atención al cliente, mantenimiento predictivo en la producción, verificación automatizada de facturas. Muchas empresas subestiman el número de puntos de contacto con la IA.

Un ejemplo: una empresa de construcción de maquinaria con 200 empleados utiliza tres aplicaciones de IA. Primero, un chatbot en atención al cliente basado en ChatGPT. No se trata de un sistema de alto riesgo, pero requiere una formación según el artículo 4 para el equipo de soporte. Segundo, un sistema de mantenimiento predictivo que calcula la probabilidad de fallos en componentes de maquinaria. Esto podría calificarse como componente de seguridad y, por tanto, caer dentro de la categoría de alto riesgo, lo que exigiría un examen detallado. Tercero, una herramienta de gestión de candidatos con IA que clasifica previamente los currículums. Caso claro de alto riesgo: se requiere una evaluación completa de conformidad.

2. Realizar la clasificación de riesgos. Para cada sistema del inventario, verificar: ¿se incluye en alguna de las ocho categorías de alto riesgo del Anexo III? La mayoría de las aplicaciones de IA en las pymes no son de alto riesgo. Pero aquellas que sí lo sean requerirán un esfuerzo considerable de documentación.

3. Recuperar la formación del artículo 4. Si aún no se han realizado formaciones documentadas en IA: hay que hacerlo ahora. Un taller de medio día para los equipos afectados basta como punto de partida. Lo esencial es la documentación: quién fue formado, cuándo y sobre qué sistemas de IA.

4. Aclarar los requisitos para los proveedores. Para los sistemas de alto riesgo adquiridos a proveedores externos: exigir al proveedor la documentación técnica, la declaración de conformidad y el marcado CE. Si el proveedor no puede facilitarlos, es una señal de alerta.

5. Definir responsabilidades. ¿Quién es, en la empresa, el responsable del cumplimiento normativo en IA? En pymes más grandes puede ser un delegado especializado en IA; en empresas más pequeñas, el delegado de protección de datos o el departamento jurídico. Lo decisivo es que una persona asuma la responsabilidad.

Paralelamente: no considerar la Ley de IA como un proyecto aislado de cumplimiento normativo, sino como parte de una gobernanza integral de la IA. Las empresas que ahora establezcan una gobernanza sólida de la IA no solo obtendrán conformidad legal, sino también una mejor gestión de riesgos y mayor confianza por parte de clientes y socios comerciales. El esfuerzo se amortiza cuando el uso de IA crece en la empresa – lo cual ocurre en la mayoría de las pymes.

Conclusión

La Ley de IA de la UE es la primera regulación integral de la IA a nivel mundial. Para las pymes no es motivo de pánico, pero sí una orden clara de actuación. La obligación de formación del artículo 4 ya está vigente. Las obligaciones relativas a la IA de alto riesgo entran en vigor dentro de cinco meses. Quien aún no haya inventariado sus sistemas de IA debe empezar ahora.

La buena noticia: la mayoría de las aplicaciones de IA en las pymes no se encuadran en la categoría de alto riesgo. ChatGPT en marketing, herramientas de traducción o automatizaciones sencillas suelen ser inofensivas. Pero quien utilice IA para decisiones de personal, puntuación o procesos críticos para la seguridad deberá actuar. Cinco meses parecen mucho, pero tres a seis meses para una evaluación de conformidad es un plazo ajustado.

Preguntas frecuentes

¿Rige la Ley de IA también para las pequeñas empresas?

Sí. La Ley de IA se aplica independientemente del tamaño de la empresa a todas las organizaciones que desarrollen, ofrezcan o utilicen sistemas de IA. No obstante, la ley contempla obligaciones de documentación simplificadas y sanciones proporcionales para las PYME.

¿Es ChatGPT un sistema de IA de alto riesgo?

ChatGPT en sí no es un sistema de IA de alto riesgo, sino un modelo de IA general (General Purpose AI). Se convierte en de alto riesgo cuando se utiliza como componente en un caso de uso de alto riesgo, por ejemplo, como base para la selección automatizada de candidatos en procesos de reclutamiento.

¿Cuánto cuesta el cumplimiento de la Ley de IA para las pymes?

Los expertos del sector estiman los costes de cumplimiento para la IA de alto riesgo entre el 10 % y el 20 % de las inversiones en IA. En la práctica, esto significa costes adicionales anuales en el rango medio de cinco cifras, principalmente para documentación, evaluación de riesgos y gobernanza.

¿Qué ocurre si no cumplo la obligación de formación del artículo 4?

Actualmente no existe una multa directa por falta de formación en competencias de IA. Sin embargo, existen riesgos de responsabilidad civil: si la falta de formación provoca daños derivados de un uso incorrecto de la IA, la empresa puede ser declarada responsable por negligencia.

¿Cómo puedo saber si mi sistema de IA es de alto riesgo?

Consulte el Anexo III de la Ley de IA: enumera ocho ámbitos, entre ellos la gestión de personal, la solvencia crediticia, la aplicación de la ley y las infraestructuras críticas. Si su sistema de IA se utiliza en uno de estos ámbitos y afecta decisiones fundamentales, es probable que se trate de un sistema de alto riesgo. Las Cámaras de Comercio e Industria ofrecen asesoramiento inicial gratuito.

¿Qué es el KI-MIG?

La Ley de Medidas e Innovación en IA es la ley nacional alemana de aplicación de la Ley de IA de la UE. Fue aprobada por el Consejo de Ministros federal en febrero de 2026 y regula la vigilancia del mercado, designa las autoridades competentes y especifica las sanciones para el mercado alemán.

Más contenido de la red MBF Media

  • cloudmagazin – Cloud, SaaS e infraestructura TI para directivos
  • Digital Chiefs – Liderazgo, transformación y perspectivas del nivel directivo
  • SecurityToday – Ciberseguridad, cumplimiento normativo y protección de datos

Fuente de imagen principal: Adam B. / Pexels

También disponible en

Una revista de evernine media GmbH
La revista para directivos del Mittelstand DACH