Skip links
¿Propuesta?
Jobs
¿IA Compliance?

La Ley de IA de la UE: Una guía esencial para las Pymes Españolas

Publicado por:
Publicado en:
Hablamos sobre: AI Compliance
6 Min lecutra

AI Act de la UE: por qué adaptarse ya no es opcional (y qué se arriesga quien no lo haga)

La Ley de Inteligencia Artificial de la Unión Europea ya está en vigor y despliega obligaciones por fases. No es un manifiesto ético ni una guía aspiracional: es un reglamento con alcance extraterritorial, multas millonarias y responsabilidad compartida entre proveedores y empresas que despliegan IA. Para cualquier pyme que use chatbots, clasificación de CVs, scoring o contenidos generados por IA, la adaptación no es una mejora de compliance; es un requisito para poder operar sin exponerse a sanciones, litigios y pérdida de confianza.

Lo esencial que cambia

El AI Act crea un marco único basado en riesgo que regula el ciclo de vida completo de los sistemas de IA. Las obligaciones no recaen solo en quien desarrolla, sino también en quien despliega y utiliza. Eso significa que el cumplimiento no se terceriza: aunque contrates una plataforma “que cumple”, tu empresa sigue obligada a usarla bajo controles, transparencia y supervisión humana.

Alcance y extraterritorialidad

Si un sistema de IA se ofrece o utiliza en el mercado europeo, debe cumplir el AI Act con independencia de dónde se haya desarrollado o alojado. Esto bloquea el atajo habitual de “consumo herramientas externas” para sortear la regulación. No funciona. La responsabilidad viaja con el caso de uso.

Calendario y umbral de exigencia

  • 2 de febrero de 2025: prohibiciones de usos inaceptables y alfabetización en IA.

  • 2 de agosto de 2025: transparencia reforzada para generativa y modelos de propósito general; arranca la gobernanza práctica.

  • 2 de agosto de 2026: aplicación plena para el resto de obligaciones.

  • Extensiones específicas para sistemas de alto riesgo embebidos en productos regulados.

 

Traducción operativa: si hoy tu empresa no sabe qué IA usa, cómo la usa y bajo qué controles, ya va tarde.

 

Clasificación por riesgo, sin tecnicismos innecesarios

  • Riesgo inaceptable (prohibido): manipulación subliminal dañina, social scoring por autoridades, vigilancia biométrica indiscriminada en espacios públicos, evaluación predictiva penal sin garantías. Debe ser retirado de inmediato.

  • Alto riesgo: empleo y RR. HH. (cribado de CVs, evaluación de desempeño), educación, infraestructuras críticas, salud, banca/seguros, justicia y policía. Exige gestión de riesgos, calidad de datos, documentación técnica, supervisión humana efectiva, ciberseguridad, marcado/registros.

  • Riesgo limitado: interacción con personas y contenido sintético (chatbots, deepfakes). Obliga a transparencia clara para el usuario.

  • Riesgo mínimo: software general (filtro de spam, correctores). Sin obligaciones duras, pero se recomiendan códigos de conducta.

IA generativa y modelos fundacionales: el punto ciego habitual

El hecho de que un proveedor prometa filtros, “guardrails” o watermarking no exime a la empresa usuaria. Quien despliega debe:

  • Etiquetar contenido generado por IA cuando corresponda.

  • Mantener revisión humana con capacidad real de veto en decisiones de impacto.

  • Exigir documentación sobre entrenamiento, limitaciones y riesgos conocidos.

  • Evitar usos que puedan inducir a error, infringir propiedad intelectual o vulnerar derechos.

 

La práctica demuestra que el riesgo no está solo en el modelo, sino en el flujo de trabajo: prompts, datos de entrada, reutilización del resultado y su publicación sin avisos adecuados.

 

Empleados “desplegadores”: donde se ganan o se pierden los casos

El AI Act convierte a muchos empleados en actores regulados de facto: personas de RR. HH. que filtran candidatos con IA, agentes de atención al cliente que usan chatbots, creativos que generan imágenes o voces sintéticas, comerciales que hacen scoring. Si no están formados en transparencia, sesgos y revisión humana, la empresa incumple aunque el proveedor cumpla.

Sanciones y responsabilidad: magnitud real del riesgo

  • Hasta 35 millones de euros o el 7% de la facturación global por prácticas prohibidas.

  • Hasta 15 millones o el 3% por otros incumplimientos (p. ej., transparencia, obligaciones de desplegador).

  • Hasta 7,5 millones o el 1% por información engañosa a autoridades.A esto se suma el cruce con protección de datos y la responsabilidad por producto/software defectuoso en determinados supuestos. Las pymes pueden tener importes reducidos, pero el daño reputacional y contractual no se reduce por decreto.

España: supervisión y oportunidad

España ha habilitado estructura institucional específica para supervisión y experimentación controlada. Para pymes, esto significa dos cosas: habrá vigilancia y habrá vías para probar, documentar y acelerar cumplimiento en entornos controlados. La ventaja ya no es “moverse más rápido y romper cosas”, sino moverse con evidencia.

Cinco casos prácticos típicos con riesgo sancionable

  • Cribado de CVs sin revisión humana:

Un software clasifica candidatos y descarta perfiles sin intervención significativa. Si no hay controles de sesgo, documentación y trazabilidad, es alto riesgo mal gestionado.

  • Chatbot Comercial opaco: 

Atiende clientes sin avisar que es IA y recolecta datos sensibles. Falta de transparencia y riesgo de incumplir principios de minimización y finalidad.

  • Campaña con deepfake no etiquetado:

Pieza audiovisual hiperrealista sin informar de su naturaleza sintética. Transparencia incumplida y potencial engaño.

  • Reconocimiento facial en tienda:

Identificación de “clientes VIP” en tiempo real sin base legal ni garantías. Supuesto próximo a prácticas prohibidas.

  • Generación de informes con datos personales en herramientas externas:

Se suben datasets a modelos generativos sin evaluar transferencias internacionales, licitud ni medidas de salvaguarda. Riesgo regulatorio doble: AI Act y protección de datos.

Errores de gestión que más cuestan

  • Confundir “cumple el proveedor” con “cumplo yo.”

  • Tratar la IA como un “plugin” técnico, no como un sistema socio-técnico con impacto en derechos.

  • Externalizar decisiones críticas a modelos sin intervención humana cualificada.

  • No etiquetar contenido sintético por miedo al “baja la conversión.”

  • Creer que la pyme “no entra en el radar.” En 2025, entra.

Integración con RGPD y LOPDGDD: dos pilares que deben encajar

El AI Act no sustituye al marco de datos; lo superpone. Donde hay datos personales, se aplican bases jurídicas, minimización, seguridad, DPIA/IAIAs, derechos de los interesados y gobernanza del dato. El diseño correcto es legal by design: casos de uso, datasets, proveedores, prompts y publicación del resultado alineados, con evidencias verificables. Sin esa fusión, cualquier programa de IA queda expuesto por su punto más débil.

Conclusión

La IA en Europa entra en fase adulta. El AI Act no frena la innovación; la selecciona: premia a quien demuestra control, transparencia y supervisión humana, y aparta a quien depende de atajos. Para las pymes, adaptarse no es un lujo regulatorio, es la diferencia entre escalar con confianza o jugar a la ruleta con sanciones, contratos y reputación. El coste de cumplir es finito y planificable; el coste de no hacerlo es imprevisible y, cuando llega, llega todo a la vez.

Quizás te interesa...

¿Y tu que opinas?

Powered by Aideal.dev  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.