Si diriges una PYME en España y tu equipo usa herramientas de inteligencia artificial -- aunque sea para redactar un correo o resumir un documento --, hay una normativa europea que ya te afecta. No es un borrador. No es una propuesta. Es ley.
El EU AI Act (Reglamento UE 2024/1689) entra en pleno vigor para sistemas de alto riesgo el 2 de agosto de 2026. AESIA, la Agencia Española de Supervisión de la Inteligencia Artificial, opera desde A Coruña desde 2023 y es la autoridad nacional para EU AI Act.
El Reglamento europeo de Inteligencia Artificial (el llamado EU AI Act) entró en vigor en agosto de 2024. Y tiene un artículo específico que aplica a todas las empresas, sin importar su tamaño ni su sector.
En este artículo te explicamos qué dice la norma, qué te exige en la práctica, y qué pasos puedes dar esta misma semana para ponerte al día.
¿Qué es el EU AI Act?
El Reglamento (UE) 2024/1689, publicado en el Diario Oficial de la Unión Europea en julio de 2024, es la primera norma integral del mundo que regula el uso de la inteligencia artificial. No es una recomendación, no es una guía de buenas prácticas: es legislación vinculante para todos los Estados miembros.
Su lógica es sencilla: cuanto mayor es el riesgo del sistema de IA, mayores son las obligaciones de quien lo opera. El Reglamento establece cuatro niveles de riesgo:
- Riesgo inaceptable -- Sistemas prohibidos directamente. Incluye la puntuación social (social scoring), la manipulación subliminal y ciertos usos de vigilancia biométrica.
- Riesgo alto -- Sistemas que requieren registro en una base de datos europea, evaluación de conformidad y auditoría. Afecta a áreas como contratación automatizada, calificación crediticia o diagnóstico médico asistido por IA.
- Riesgo limitado -- Sistemas con obligaciones de transparencia. Por ejemplo, los chatbots deben informar al usuario de que está interactuando con una máquina.
- Riesgo mínimo -- Sin obligaciones específicas. La mayoría del software con IA que usa una PYME cae aquí.
Esto significa que la mayoría de empresas catalanas no operan sistemas de alto riesgo. Tu empresa probablemente usa ChatGPT para redactar, Claude para resumir documentos o Copilot para generar código. Eso no es alto riesgo.
Pero hay un artículo del Reglamento que sí te alcanza, operes el sistema que operes.
El artículo 4: la pieza que afecta a todos
El artículo 4 del EU AI Act establece que los proveedores y los usuarios profesionales de sistemas de IA deben garantizar un nivel suficiente de alfabetización en inteligencia artificial entre su personal.
Lee esa frase otra vez. Dice "usuarios profesionales". Dice "nivel suficiente". Y aplica con independencia del nivel de riesgo del sistema.
En otras palabras: si tu equipo usa ChatGPT, Claude, Gemini, Copilot o cualquier herramienta que incorpore IA generativa en su trabajo diario, tu empresa está dentro del alcance del artículo 4.
La norma no pide que tu equipo se convierta en ingeniero de inteligencia artificial. Pide que sepa usar estas herramientas con criterio: que entienda qué puede hacer la IA y qué no, que sepa identificar alucinaciones y sesgos, que conozca los riesgos de compartir datos sensibles con modelos externos, y que exista un marco interno que regule ese uso.
Y este artículo ya es de obligado cumplimiento desde febrero de 2025.
Qué significa esto para tu sector
La teoría suena abstracta hasta que la aterrizas en el día a día de tu negocio. Veamos cómo aplica el artículo 4 en sectores donde la IA ya se está usando de forma generalizada.
Si diriges una asesoría o gestoría, tu equipo maneja datos fiscales, nóminas y documentación contable de terceros. Cada vez que alguien copia esos datos en un chat de IA para que le ayude a redactar un informe o verificar un cálculo, está transfiriendo información sensible a un modelo externo. El artículo 4 te exige que exista un protocolo claro: qué se puede subir, qué no, con qué herramientas y bajo qué condiciones.
Si tienes un despacho de abogados, el secreto profesional convierte la elección de herramienta de IA en un asunto deontológico, no solo tecnológico. Usar una IA pública para analizar un contrato de un cliente puede suponer una brecha del deber de confidencialidad. La formación de tu equipo no es un detalle: es una obligación profesional que ahora tiene, además, respaldo regulatorio europeo.
Si gestionas una clínica dental o sanitaria, la sensibilidad del dato es máxima. Historiales, diagnósticos, radiografías: todo eso está protegido por el RGPD, y el uso de IA para procesarlo añade una capa de complejidad que tu equipo necesita entender. La formación por puesto -- no la misma charla genérica para todos -- es lo que garantiza que cada profesional sepa exactamente qué puede y qué no puede hacer con la IA en su función concreta.
Si eres administrador de fincas, la IA puede acelerar la gestión de actas, la comunicación con propietarios y la revisión de contratos de proveedores. Pero la decisión sobre qué herramienta usar y qué datos compartir con ella no puede improvisarse. El artículo 4 obliga a que esa decisión sea informada y documentada.
¿Tu empresa ya cumple con el artículo 4?
Solicita diagnóstico gratuito →Conoce nuestro método paso a paso →
El calendario que no puedes ignorar
El EU AI Act no se aplica de golpe. Tiene un calendario de implantación progresiva. Estas son las fechas clave que cualquier PYME debería tener marcadas:
- Agosto 2024 Entrada en vigor del Reglamento.
- Febrero 2025 Prohibición de prácticas de IA inaceptables y obligación de alfabetización en IA (artículo 4). Ya en vigor.
- Agosto 2025 Obligaciones para modelos de IA de propósito general (GPAI), incluidos los modelos de riesgo sistémico.
- Agosto 2026 Aplicación general del Reglamento, incluidas las obligaciones para sistemas de alto riesgo y el régimen de sanciones.
- Agosto 2027 Aplicación plena. Todos los plazos transitorios finalizados.
Si estás leyendo esto en mayo de 2026, el artículo 4 lleva más de un año siendo exigible. El régimen sancionador completo entra en vigor en tres meses.
Las multas, y lo que pesa más que las multas
El Reglamento prevé un régimen sancionador escalonado que, en sus tramos más altos, es comparable al del RGPD:
- Hasta 35 millones de euros o el 7% de la facturación global por utilizar sistemas de IA prohibidos.
- Hasta 15 millones de euros o el 3% de la facturación por incumplir las obligaciones de los sistemas de alto riesgo.
- Hasta 7,5 millones de euros o el 1% de la facturación por proporcionar información incorrecta a las autoridades.
Para empresas y startups, las cuantías se aplican de forma proporcional. Pero las multas, siendo importantes, no son el mayor riesgo.
Los riesgos reales van más allá del bolsillo inmediato. El daño reputacional de que un cliente descubra que sus datos fiscales o médicos se han procesado con una IA sin garantías puede ser irreversible. El riesgo laboral de que un empleado cometa un error por falta de formación puede acabar en un conflicto jurídico. Y el riesgo competitivo de quedarse atrás mientras tus competidores ya operan con IA de forma estructurada y documentada es, quizás, el más silencioso de todos.
Los cinco errores que oímos cada semana
Después de trabajar con decenas de empresas, hay cinco frases que se repiten una y otra vez. Todas suenan razonables. Todas son erróneas.
"Mi equipo ya usa ChatGPT, así que cumplimos."
Usar una herramienta no es lo mismo que cumplir una normativa. El artículo 4 no pregunta si tu equipo tiene acceso a la IA. Pregunta si sabe usarla con criterio, si conoce sus limitaciones y si existe un marco interno que regule ese uso. Usar no es cumplir.
"Eso es para grandes empresas."
El artículo 4 aplica a todos los usuarios profesionales de sistemas de IA. No distingue entre una multinacional con 10.000 empleados y una gestoría con 8. Si tu equipo usa IA en su trabajo, estás dentro.
"Ya hicimos un webinar."
Un certificado de asistencia a una charla genérica no responde ante un inspector. La norma exige un nivel de alfabetización adecuado al puesto y al contexto de uso. Eso implica formación específica, documentada y actualizada.
"Esperaré a que haya sanciones."
El Reglamento ya está en vigor. Las obligaciones del artículo 4 son exigibles desde febrero de 2025. El régimen sancionador completo entra en agosto de 2026. Esperar no es una estrategia: es una apuesta que cada mes tiene peores probabilidades.
"Que se encargue mi informático."
La formación en IA que exige el artículo 4 no es técnica. Es funcional. Cada puesto necesita entender cómo la IA afecta a su trabajo específico: qué datos puede compartir, qué resultados debe verificar, qué decisiones no puede delegar en una máquina. Eso no lo resuelve una sola persona del departamento de IT.
Tres pasos que puedes dar esta semana
No necesitas un ejército de consultores para empezar. Estos tres pasos son concretos, realizables en días y te ponen en una posición mucho mejor que el 90% de las empresas de tu sector.
- Haz el inventario de IA de tu empresa. Siéntate con tu equipo y haz una lista de todas las herramientas con IA que se están usando: ChatGPT, Copilot, Claude, Gemini, herramientas de diseño, transcripción, traducción... Todo. Incluye también las que se usan de forma no oficial. El primer paso para cumplir es saber qué tienes.
- Redacta una política interna de una página. No necesitas un documento de 40 páginas. Una sola hoja que incluya: herramientas aprobadas, tipos de datos que nunca deben compartirse con una IA externa, y una persona de contacto para dudas. Esa página ya te diferencia de la inmensa mayoría.
- Evalúa si necesitas formación profesional. Si tu equipo gestiona datos sensibles (fiscales, médicos, legales, de menores), una política interna no es suficiente. Necesitas formación específica por puesto que quede documentada. Eso es lo que el artículo 4 exige en la práctica.
Descarga el whitepaper completo
7 páginas con el análisis detallado, checklist de cumplimiento y calendario oficial del Reglamento.
Descargar PDF gratuito →