Ley de IA de la UE: Quedan 4 meses para la fecha límite principal: lo que las pymes deben cumplir ahora

7 min. de lectura

El 2 de agosto de 2026 entran en vigor las normas de alto riesgo de la Ley de IA de la UE (EU AI Act). Quien utilice Inteligencia Artificial en la contratación, en la concesión de créditos o en el control de calidad necesitará a partir de esta fecha una documentación técnica, un sistema de gestión de riesgos y una supervisión humana. Las sanciones por incumplimiento: hasta 35 millones de euros o el 7 por ciento de la facturación anual mundial. La mayoría de las empresas medianas alemanas aún no ha tomado conciencia de ello.

Lo que ocurrirá el 2 de agosto de 2026

La Ley de Inteligencia Artificial de la UE (AI Act) es la primera normativa integral a nivel mundial para regular la inteligencia artificial. Entró en vigor en agosto de 2024, pero los requisitos se activarán gradualmente. El 2 de febrero de 2025 entraron en vigor las prohibiciones: los sistemas de IA considerados de riesgo inaceptable están prohibidos desde entonces. Esto afecta, por ejemplo, a la puntuación social o a sistemas manipulativos.

El 2 de agosto de 2025 se hicieron efectivas las obligaciones de transparencia para los modelos de IA de propósito general (como ChatGPT o Claude). Los proveedores de estos modelos deben documentar desde entonces con qué datos se entrenaron. También se aplican ciertas obligaciones de etiquetado.

Ahora llega el paso decisivo: el 2 de agosto de 2026 entran en juego las normas para los sistemas de IA de alto riesgo. Este es el nivel que golpea más duramente a las empresas medianas. Porque aquí no se trata de los proveedores de grandes modelos lingüísticos, sino de las empresas que utilizan la IA en su actividad comercial.

Alemania ha puesto en marcha paralelamente la Ley de Supervisión del Mercado de IA (KI-MIG), que debería regular la estructura de supervisión nacional. Es previsible que la Agencia Federal de Redes sea la autoridad competente. Pero el proceso legislativo aún no está concluido. Para las empresas esto no cambia nada: el AI Act es un reglamento de la UE y aplica directamente, con o sin ley alemana complementaria. Quien espera a Berlín pierde tiempo.

¿A quién afecta y a quién no?

La Ley de IA distingue cuatro niveles de riesgo: inaceptable (prohibido), alto (estrictamente regulado), limitado (obligaciones de transparencia) y mínimo (sin obligaciones). La categoría de alto riesgo es la relevante para el sector de las PYMEs y empresas medianas. Y está definida de manera más amplia de lo que la mayoría espera.

La clasificación no depende de la empresa, sino del propósito de uso de la inteligencia artificial (IA). Una empresa de 50 empleados que utiliza IA para la preselección de candidatos está sujeta a las mismas obligaciones que un grupo empresarial del DAX. El tamaño de la empresa solo juega un papel en la rigurosidad de la documentación, no en la cuestión de si las reglas se aplican.

Los sistemas de IA de alto riesgo incluyen, entre otros: IA en reclutamiento y selección de personal (screening de candidatos, análisis de currículums), IA en concesión de créditos y evaluación crediticia, IA en control de calidad de productos críticos, IA en seguros y evaluaciones de riesgo e IA para el control de infraestructuras críticas.

Concretamente: si un fabricante mediano utiliza IA para el control de calidad, cae bajo alto riesgo. Si una consultora de recursos humanos utiliza una herramienta de IA que preselecciona solicitudes, cae bajo alto riesgo. Si un proveedor de servicios financieros utiliza IA para la verificación de créditos, cae bajo alto riesgo.

Lo que no entra en alto riesgo: generación de texto asistida por IA para marketing, chatbots en servicio al cliente (siempre que no se tomen decisiones automatizadas), IA para análisis de datos internos sin impacto directo en personas. Quien usa ChatGPT para correos electrónicos no debe preocuparse. Quien usa IA para decisiones de personal, sí.

Existe una zona gris que afecta a muchos empresarios medianos: funciones de IA integradas en software existente. Si el sistema CRM prioriza automáticamente los leads según la probabilidad de compra, podría caer bajo riesgo limitado. Si la herramienta de RR.HH. clasifica automáticamente a los candidatos según idoneidad, es de alto riesgo. La distinción no reside en la herramienta, sino en el impacto sobre las personas. Cada sistema que tome decisiones automatizadas sobre personas físicas o las influya significativamente está bajo sospecha.

Según el estudio de la KfW sobre el uso de la IA, ya el 20 por ciento de las PYMEs alemanas utilizan Inteligencia Artificial. Casi 780.000 empresas. En las empresas medianas más grandes con más de 50 empleados, la cuota es del 36 por ciento. La pregunta no es si la Ley de IA afecta al sector empresarial mediano. La pregunta es cuántas de las 780.000 saben que les afecta.

A esto se suma un problema estructural: muchos empresarios medianos perciben la IA como algo que «quizás implementarán algún día». En realidad, ya están utilizando IA, sin saberlo. Microsoft 365 Copilot, Salesforce Einstein, SAP Business AI, HubSpot Predictive Lead Scoring: todas estas herramientas utilizan modelos de IA en segundo plano. El inventario debe comenzar por el software utilizado, no por un documento de estrategia de IA.

Las 5 obligaciones para la IA de alto riesgo

Quien opere o utilice un sistema de Inteligencia Artificial (IA) de alto riesgo deberá cumplir cinco requisitos a partir del 2 de agosto de 2026. Ninguno de ellos es opcional.

1. Sistema de gestión de riesgos: Un sistema documentado que identifique, evalúe y minimice los riesgos de la aplicación de IA. No tiene que ser un documento de 200 páginas, pero debe existir de forma demostrable. ¿Qué riesgos conlleva la IA? ¿Para quién? ¿Qué sucede si toma una decisión errónea?

2. Calidad de los datos: Los datos de entrenamiento y los datos de entrada deben estar documentados y verificarse en busca de sesgos. Si una herramienta de reclutamiento se ha entrenado con datos que perjudican a ciertos grupos poblacionales, esto constituye una infracción. La responsabilidad recae sobre el operador, no sobre el proveedor de la herramienta.

3. Documentación técnica: Una descripción del sistema de IA, su funcionamiento, sus límites y su uso previsto. Incluyendo métricas de rendimiento y debilidades conocidas. Esto es lo que la mayoría de las PYMES deben exigir a sus proveedores de IA.

4. Supervisión humana: Cada IA de alto riesgo debe diseñarse de modo que un humano pueda supervisar, comprender y, en caso de duda, anular las decisiones. Sin rechazo totalmente automatizado de solicitudes. Sin bloqueo automático de líneas de crédito.

5. Transparencia y registro: Los usuarios del sistema de IA deben ser informados de que existe una decisión tomada por IA. El sistema debe llevar registros que permitan el seguimiento. Cada decisión debe ser reconstruible. No en tiempo real, pero posteriormente, cuando llegue una reclamación o una auditoría.

Estas cinco obligaciones suenan abstractas. En la práctica significan: Quien compre hoy una herramienta de reclutamiento con función de IA debe preguntar al proveedor sobre documentación, pruebas de sesgo y lógica de decisión. Quien no lo haga, será responsable en caso de duda. La Ley de IA (AI Act) sitúa conscientemente la responsabilidad sobre el operador, no solo sobre el proveedor. Este es el punto que muchas PYMES pasan por alto.

Lo que las empresas medianas deben hacer ahora concretamente

117 días no son muchos. Pero la buena noticia: Para la mayoría de las empresas medianas, el esfuerzo es manejable si comienzan ahora. La mala noticia: Quien espere hasta julio tendrá un problema.

Paso 1: Inventario (1-2 semanas). ¿Qué sistemas de inteligencia artificial (IA) utiliza la empresa? No solo los obvios como ChatGPT, sino también la IA integrada en software existente. Muchos sistemas ERP, herramientas CRM y plataformas de RRHH han integrado funciones de IA sin que los usuarios lo perciban conscientemente. Quien ya tenga un partner de servicios gestionados, puede delegar este inventario.

Paso 2: Clasificación de riesgos (1 semana). Para cada sistema de IA identificado: ¿Cae bajo alto riesgo? La Comisión Europea ha planeado una base de datos donde se registrarán los sistemas de alto riesgo. En caso de duda: Si la IA toma decisiones sobre personas o las influye, probablemente sea de alto riesgo.

Paso 3: Crear documentación (2-4 semanas). Implementar las cinco obligaciones para sistemas de alto riesgo. Comienza con los proveedores: Solicite documentación técnica. Pregunte por pruebas de sesgo. Exija una explicación de la lógica de decisión. Si el proveedor no puede entregar esto, es una señal de advertencia.

Paso 4: Establecer supervisión humana. Designar una persona responsable para cada sistema de alto riesgo que supervise las decisiones de la IA e intervenga en caso de duda. Esto no tiene que ser un nuevo trabajo a tiempo completo. En una empresa de 100 personas, a menudo basta con que el Delegado de Protección de Datos asuma este rol adicionalmente.

Paso 5: Adaptar procesos. Los candidatos deben ser informados si la IA participa en la preselección. Los clientes deben saber si una IA evalúa su solvencia. Estas obligaciones de información pueden integrarse en procesos existentes, pero requieren una adaptación de la comunicación. Quien ya tenga procesos de información conformes al Reglamento General de Protección de Datos (RGPD), puede basarse en ellos. La Ley de IA (AI Act) amplía la obligación de información, no la reemplaza.

Paso 6: Exigir a los proveedores. La mayoría de las empresas medianas no desarrollan sus propios sistemas de IA. Los compran o alquilan. La Ley de IA (AI Act) otorga a los operadores el derecho de exigir al proveedor la documentación técnica, pruebas de sesgo y declaraciones de conformidad. Quien firme un nuevo contrato de IA debería incluir estos requisitos en las cláusulas contractuales. Quien tenga contratos existentes debería verificar si el proveedor puede cumplir. Si no, hay necesidad de acción antes de agosto.

La implementación de la Directiva NIS2 mostró qué sucede cuando las empresas medianas subestiman la regulación: Histeria poco antes del plazo límite, consultores excesivamente caros y lagunas en la documentación. Con la Ley de IA (AI Act) aún hay tiempo. Pero no mucho más.

Una nota sobre los costes: La Comisión Europea estima el esfuerzo inicial de cumplimiento para pequeñas y medianas empresas (PYME) en 6.000 a 7.000 Euro por sistema de IA de alto riesgo. Suena manejable. En comparación con las posibles sanciones, también lo es. Pero presupone que el inventario muestra qué sistemas están afectados. Sin este primer paso, ni el esfuerzo ni los costes pueden evaluarse realisticamente. La mayoría de las empresas medianas no fracasan por el presupuesto, sino por la falta de visión general sobre su propio panorama de IA. Quien haya completado el inventario descubrirá en muchos casos que solo uno o dos sistemas caen realmente bajo alto riesgo. El esfuerzo es entonces controlable. La incertidumbre surge por la ignorancia, no por la regulación en sí misma. La Ley de IA (AI Act) no castiga el uso de IA. Castiga el uso no controlado de IA en áreas donde las personas están afectadas. Esta es una diferencia importante que el legislador eligió deliberadamente.

«Las PYME se benefician de normas de cumplimiento simplificadas. Las obligaciones siguen aplicándose – solo la documentación puede ser más ligera.»
– Ley de IA de la UE, Considerando 145 (Facilidades para PYME)

Preguntas frecuentes

Fuente imagen titular: Pexels / Cytonn Photography (px:955394)