AI Act 2026: que tiene que preparar una PYME antes de agosto
El 2 de agosto de 2026 empieza la aplicacion de la mayoria de reglas del AI Act. Esta guia explica que debe revisar una PYME: transparencia, alto riesgo, alfabetizacion en IA, documentacion y proveedores.
El AI Act europeo deja de ser un tema teorico en 2026. Segun el calendario oficial de la Comision Europea, el 2 de agosto de 2026 empiezan a aplicarse la mayoria de reglas del Reglamento de Inteligencia Artificial y comienza el enforcement a nivel nacional y europeo.
Para una PYME, esto no significa que haya que parar todos los proyectos de IA. Significa que hay que dejar de usar IA de forma informal, sin inventario, sin responsables y sin saber que proveedor procesa que datos.
La buena noticia: la mayoria de usos cotidianos de IA en una PYME no seran de alto riesgo. La mala: si no los tienes identificados, no puedes demostrarlo.
Las fechas que importan
El calendario oficial del AI Act marca una aplicacion progresiva:
| Fecha | Que cambia |
|---|---|
| 2 de febrero de 2025 | Aplican definiciones, alfabetizacion en IA y prohibiciones |
| 2 de agosto de 2025 | Aplican reglas de gobernanza y obligaciones de modelos de proposito general |
| 2 de agosto de 2026 | Aplican la mayoria de reglas, transparencia y alto riesgo de Anexo III |
| 2 de agosto de 2027 | Aplican ciertas reglas de alto riesgo integradas en productos regulados |
Para mayo de 2026, una PYME ya deberia estar preparando el inventario y los controles basicos. Esperar a agosto es llegar tarde.
Primero: saber donde usas IA
La primera tarea no es legal, es operativa. Haz un inventario sencillo de todos los usos de IA:
- ChatGPT, Claude, Gemini u otros asistentes usados por empleados
- Chatbots web, WhatsApp o Instagram
- Herramientas de marketing que generan contenido
- Sistemas de scoring comercial
- Automatizacion de emails
- Analisis de CVs o procesos de seleccion
- Agentes conectados a CRM, ERP o bases de datos
- Herramientas de transcripcion o resumen de llamadas
- Sistemas de vision artificial en almacenes, tiendas o produccion
Cada uso deberia tener propietario, proveedor, finalidad, datos tratados y nivel de riesgo preliminar.
Segundo: clasificar el riesgo
El AI Act usa un enfoque basado en riesgo. No todo tiene las mismas obligaciones.
| Categoria | Ejemplos para una PYME | Que hacer |
|---|---|---|
| Riesgo minimo | Filtro spam, ayuda para redactar textos internos | Buenas practicas y politica interna |
| Transparencia | Chatbot que habla con clientes, contenido generado con IA | Informar claramente del uso de IA |
| Alto riesgo | IA en seleccion laboral, evaluacion de empleados, acceso a servicios esenciales | Revisar obligaciones estrictas |
| Prohibido | Manipulacion, puntuacion social, ciertos usos biometricos | No usar |
Si usas IA en empleo, seleccion, evaluacion de trabajadores, credito, educacion, salud o servicios esenciales, conviene revisarlo con especial cuidado.
Transparencia: decir cuando hay IA
La Comision Europea explica que el AI Act introduce obligaciones de transparencia para que las personas sepan cuando interactuan con una maquina o cuando un contenido ha sido generado o manipulado con IA.
Para una PYME, esto afecta especialmente a:
- Chatbots de atencion al cliente
- Agentes de voz
- Emails automatizados que parezcan escritos manualmente
- Imagenes, videos o audios generados con IA
- Textos informativos publicados con ayuda de IA
La regla practica: si el usuario puede pensar que esta hablando con una persona, aclara que hay IA. Y si el contenido puede inducir a error, etiquetalo.
Alfabetizacion en IA: formar al equipo
El articulo 4 del Reglamento exige que proveedores y deployers tomen medidas para asegurar un nivel suficiente de alfabetizacion en IA de su personal y de las personas que operan sistemas de IA en su nombre.
Traducido para una PYME: no basta con contratar una herramienta. Hay que formar minimamente al equipo que la usa.
Una formacion razonable deberia cubrir:
- Que puede y que no puede hacer la IA
- Riesgo de alucinaciones
- Que datos no se deben introducir
- Como revisar respuestas
- Cuando escalar a una persona
- Como usar prompts de forma segura
- Como actuar ante errores
Esto no tiene que ser una certificacion compleja. Pero debe existir, estar documentado y adaptarse al uso real.
Documentacion: deja rastro de lo importante
El cumplimiento se vuelve mucho mas facil si documentas desde el principio.
Para cada sistema de IA relevante, guarda:
- Finalidad del sistema
- Proveedor y contrato
- Tipo de datos tratados
- Personas o colectivos afectados
- Riesgos identificados
- Medidas de mitigacion
- Responsable interno
- Instrucciones de uso
- Politica de revision humana
- Logs o evidencias disponibles
Si usas herramientas documentales como Polp, puede tener sentido centralizar ahi politicas internas, procedimientos, FAQs, contratos de proveedores y guias de uso para que el equipo consulte siempre la version correcta.
Proveedores: no todos valen igual
Una parte del riesgo viene de terceros. Si contratas una herramienta de IA, revisa:
- Donde procesa datos
- Si ofrece servidores en la UE
- Si firma DPA o contrato de tratamiento de datos
- Si usa tus datos para entrenar modelos
- Que logs guarda y durante cuanto tiempo
- Como permite borrar datos
- Que garantias de seguridad ofrece
- Si explica el uso de modelos de proposito general
Esto conecta directamente con RGPD. El AI Act no sustituye al RGPD: se suma.
Que debe preparar una PYME antes del 2 de agosto de 2026
Checklist practico:
- Inventario de herramientas de IA.
- Clasificacion preliminar de riesgo.
- Politica interna de uso de IA.
- Formacion basica del equipo.
- Avisos de transparencia en chatbots y agentes.
- Revision de proveedores y contratos.
- Registro de decisiones y responsables.
- Procedimiento de revision humana.
- Protocolo para errores, quejas o reclamaciones.
- Plan de mejora despues de agosto.
No necesitas convertirte en una multinacional con un departamento legal enorme. Necesitas saber que usas, para que, con que datos y bajo que controles.
Como podemos ayudarte
En Navel Digital ayudamos a PYMEs a implementar IA con criterio tecnico y normativo: inventario de casos de uso, arquitectura segura, proveedores adecuados, documentacion, trazabilidad y formacion del equipo.
El AI Act no deberia verse como un freno. Bien gestionado, es una oportunidad para usar IA con mas confianza, mas control y menos improvisacion.