AI Act 2026: guia practica para las PYME europeas

Que es el AI Act y por que afecta a tu PYME

#

El Reglamento de la UE sobre Inteligencia Artificial (AI Act, Reg. UE 2024/1689) es la primera ley del mundo que regula la inteligencia artificial. No se refiere solo a las Big Tech: se aplica a cualquiera que desarrolle o utilice sistemas de IA en la Union Europea, desde la startup hasta el gran hospital.

Si tu empresa usa ChatGPT, un asistente de IA, un sistema de clasificacion automatica o un chatbot para los clientes, el AI Act te afecta.

Por que no puedes ignorarlo

#

• Las sanciones alcanzan hasta 35 millones de euros (o el 7 % de la facturacion global)
• La obligacion de AI literacy ya esta en vigor desde febrero de 2025
• Las obligaciones completas para los sistemas de alto riesgo entran en vigor en agosto de 2026
• Tus clientes y socios empezaran a pedir evidencia de cumplimiento

Calendario: que cambia y cuando

#

El AI Act se aplica gradualmente. Estas son las fechas clave para tu PYME:

Ya en vigor (febrero 2025)

#

Prohibicion de practicas de IA inaceptables:

• Manipulacion subliminal que causa danos
• Explotacion de vulnerabilidades (edad, discapacidad)
• Puntuacion social por parte de entidades publicas
• Reconocimiento facial en tiempo real (con excepciones de seguridad)

Obligacion de AI literacy (art. 4): Todas las organizaciones deben garantizar que el personal que utiliza o supervisa sistemas de IA tenga un “nivel suficiente de alfabetizacion en materia de IA”. Esto se aplica a todas las empresas, independientemente de su tamano.

En la practica: si tus empleados usan ChatGPT, Copilot o cualquier otra herramienta de IA, debes demostrar que han recibido formacion adecuada.

Agosto 2025: modelos de proposito general

#

Los proveedores de modelos de IA de proposito general (GPAI) — como GPT-4, LLaMA, Mistral — deben:

• Documentar el proceso de entrenamiento
• Respetar las normas de derechos de autor
• Publicar un resumen de los datos de entrenamiento

Esto impacta indirectamente a las PYME: los modelos que usas deben ser conformes. Usar modelos open-source documentados (como los que ejecuta ORCA) simplifica la verificacion.

Agosto 2026: obligaciones completas para alto riesgo

#

Este es el plazo critico. Los sistemas de IA clasificados como de alto riesgo deben cumplir requisitos estrictos.

Como funciona la clasificacion de riesgos

#

El AI Act clasifica los sistemas de IA en cuatro niveles. La categoria depende del uso, no de la herramienta.

Riesgo inaceptable (prohibido)

#

Practicas completamente prohibidas:

• Manipulacion comportamental subliminal
• Puntuacion social gubernamental
• Policia predictiva basada unicamente en perfilado

Alto riesgo

#

Sistemas de IA que impactan los derechos fundamentales de las personas:

Obligaciones para los sistemas de alto riesgo:

• Sistema de gestion de riesgos
• Gobernanza de los datos de entrenamiento
• Documentacion tecnica completa
• Registro automatico de eventos (logging)
• Transparencia e informacion a los usuarios
• Supervision humana
• Precision, robustez y ciberseguridad
• Registro en la base de datos de la UE

Riesgo limitado

#

Sistemas con obligaciones de transparencia:

• Chatbot: el usuario debe saber que interactua con una IA
• Deepfake: deben estar etiquetados
• Contenidos generados por IA: deben ser identificables

Riesgo minimo

#

La mayoria de los sistemas de IA. Sin obligaciones especificas:

• IA para borradores de correos
• Traduccion automatica
• Correccion ortografica
• Brainstorming y generacion de ideas

Que debe hacer tu PYME ahora

#

1. Mapea las herramientas de IA en uso

#

Haz un inventario de todas las herramientas de IA usadas en la empresa — incluidas las no autorizadas (shadow AI). Para cada herramienta, documenta:

• Quien la usa y para que
• Que datos se procesan
• Si las decisiones impactan a personas fisicas

2. Clasifica los usos por nivel de riesgo

#

La misma herramienta puede caer en categorias diferentes segun el uso:

3. Inicia la formacion en AI literacy

#

La obligacion ya esta en vigor. La formacion debe cubrir:

• Que es la IA y como funciona (conceptos basicos)
• Riesgos y limitaciones de las herramientas de IA
• Politica empresarial sobre el uso de la IA
• Obligaciones del RGPD y del AI Act relevantes para el puesto

4. Redacta una politica empresarial sobre IA

#

El documento debe definir:

• Que herramientas de IA estan autorizadas
• Que datos se pueden procesar con la IA
• Quien supervisa el uso de la IA
• Como reportar problemas o incidentes
• Procedimientos para los usos de alto riesgo

5. Evalua la infraestructura de IA

#

Si usas ChatGPT u otros servicios cloud estadounidenses para procesar datos sensibles, tienes un doble problema: RGPD (transferencia fuera de la UE) y AI Act (falta de control). Una solucion de IA privada resuelve ambos.

Como la IA privada simplifica el cumplimiento

#

La IA privada — on-premise o en cloud europeo — no es solo una cuestion de privacidad. Es la herramienta que hace el cumplimiento del AI Act manejable para una PYME.

RGPD + AI Act: dos problemas, una solucion

#

Las soluciones HTX para el cumplimiento

#

ORCA — el chatbot empresarial privado. Como ChatGPT, pero los datos se quedan en Europa. Conforme al RGPD y al AI Act by design. Para usos de riesgo minimo y limitado.

KOI — clasificacion IA para la sanidad. Soporte a la decision con supervision humana integrada, pista de auditoria completa. Disenado para los usos de alto riesgo en el ambito clinico. Actualmente Research Use Only (RUO), dispositivo medico previsto para 2027.

MANTA — consulta bases de datos en lenguaje natural. Consultas SQL validadas y saneadas, sin acceso no autorizado. Para business intelligence conforme.

Todos funcionan sobre PRISMA, la infraestructura de IA privada de HTX: on-premise o cloud europeo, cifrado de extremo a extremo, cero fuga de datos.

Los sandboxes regulatorios: una oportunidad para las PYME

#

El AI Act preve sandboxes regulatorios (art. 57): entornos controlados donde las PYME pueden probar sistemas de IA innovadores con la supervision de las autoridades, sin arriesgar sanciones durante la experimentacion.

Cada Estado miembro de la UE debe establecer al menos un sandbox antes de agosto de 2026. Las PYME tienen acceso prioritario.

En Italia, el Garante de Privacidad ya ha iniciado consultas para definir los sandboxes. Para las PYME que quieren innovar con la IA sin riesgos, es una oportunidad que hay que seguir.

Sanciones: que arriesga quien no cumple

#

Las sanciones del AI Act son proporcionadas a la gravedad y al tamano de la empresa:

Para las PYME y las startups, siempre se aplica el importe mas bajo entre la cifra fija y el porcentaje de la facturacion. Pero aun asi, las cifras son significativas para una PYME europea.

La buena noticia: las autoridades han declarado que el enfoque inicial estara orientado al acompanamiento y la guia, no a la sancion inmediata. Pero esto no significa que puedas esperar.

Checklist AI Act para PYME

#

• Inventario de IA completado: todas las herramientas de IA mapeadas
• Clasificacion de riesgos: cada uso clasificado (minimo/limitado/alto)
• Formacion AI literacy: personal formado (obligacion desde feb. 2025)
• Politica empresarial de IA: documento redactado y comunicado
• Evaluacion RGPD: transferencias fuera de la UE identificadas y gestionadas
• Infraestructura: solucion de IA privada evaluada para usos sensibles
• Sandbox: oportunidad de sandbox regulatorio monitoreada
• Calendario: plazos de agosto de 2026 planificados

Quieres saber mas?

#

Si tu PYME usa herramientas de IA y quieres entender como adaptarte al AI Act sin frenar la innovacion, escribenos. Te ayudamos a mapear los riesgos, elegir la infraestructura adecuada y formar a tu equipo.

Descubre las soluciones HTX →

Este articulo ha sido escrito por el equipo de HTX — Human Technology eXcellence. Disenamos sistemas de inteligencia artificial privada para sanidad e industria, desde nuestro datacenter en Trieste. La informacion de este articulo tiene caracter divulgativo y no constituye asesoramiento legal.

Preguntas frecuentes

#