EU AI Act: las 7 obligaciones reales que tu PYME española tiene antes del 2 de agosto de 2026
¿Te toca cumplir el EU AI Act y no sabes por dónde empezar? Cuéntame tu caso → Quiero mi plataforma IA privada con compliance incluido.
El director de una PYME española no está obligado a entender los 113 artículos del EU AI Act. Está obligado a no comerse 35 millones de euros de multa (European Commission, 2026). Y a no perder el contrato con su mejor cliente B2B porque su sistema de IA no cumple.
He visto este mes los emails de compliance que las grandes corporaciones están enviando a sus proveedores PYME pidiendo evidencia documental. Si tú eres ese proveedor y respondes "ya nos pondremos al día", pierdes el contrato. Así de simple.
Este post es la versión Hormozi del EU AI Act: qué tienes que tener listo, cuándo, y qué pasa si no lo haces. Nada de teoría regulatoria. Las 7 cosas concretas.
TL;DR
- Deadline crítico: 2 de agosto de 2026. Full enforcement del EU AI Act para sistemas de alto riesgo (European Commission, 2026).
- Multas reales: hasta 35M€ o un porcentaje de tu facturación global anual, lo que sea mayor. La severidad varía según el artículo incumplido.
- Tu PYME está afectada aunque no desarrolles IA: si tu equipo usa ChatGPT, Claude o Copilot, eres "deployer" y tienes obligaciones.
- 76% de PYMEs españolas ya usa IA semanalmente, solo 8% tiene una solución implementada con gobernanza (Wolters Kluwer + BBVA Research, 2026). Tú probablemente estás en ese 68% que usa IA en la sombra.
- Article 4 (AI literacy) ya está en vigor desde febrero de 2025: formar a tu equipo es obligatorio, no opcional.
- Article 50 (transparencia generativa): todo contenido generado por IA debe ser identificable como tal. Los deep fakes deben etiquetarse.
- Alcance extra-territorial como GDPR: aplica a cualquier empresa cuyos sistemas IA se usen en la UE, aunque la sede esté fuera.
- Las 7 obligaciones concretas que tienes que tener listas antes del 2 de agosto están en la sección "Checklist" más abajo.
Qué es el EU AI Act y por qué afecta a tu PYME
El EU AI Act (Reglamento UE 2024/1689) es la primera ley integral del mundo que regula los sistemas de inteligencia artificial, y aplica a cualquier empresa que desarrolle, despliegue o use IA dentro de la Unión Europea. La Comisión Europea publicó el reglamento el 12 de julio de 2024, y la fecha clave para la mayoría de PYMEs es el 2 de agosto de 2026 (European Commission, 2026), cuando entra en pleno vigor el grueso de las obligaciones.
La trampa que la mayoría de PYMEs ignora es esta: no necesitas desarrollar IA para que te aplique. Si tu equipo usa ChatGPT para redactar propuestas, Claude para analizar contratos, o un copiloto integrado en tu CRM, tu empresa es legalmente un deployer (operador) de IA. Y los operadores tienen obligaciones propias.
El alcance es extra-territorial, igual que el GDPR. Da igual si tu proveedor de IA está en San Francisco: si el resultado del sistema se usa en la UE, te aplica.
"Caso real (asesoría fiscal de ~25 personas, Madrid, abril 2026): la empresa llevaba un año usando ChatGPT Plus repartido entre 14 cuentas personales del equipo. Cuando un cliente Big4 les pidió la EIPD y el registro de uso de IA para mantener el contrato, no tenían nada. Tuvimos 6 semanas para montar la gobernanza desde cero." — Javier Santos Criado, consultor de IA en Javadex
Calendario real de deadlines
| Fecha | Qué entra en vigor | A quién aplica |
|---|---|---|
| 2 febrero 2025 | Prohibición de sistemas de IA de riesgo inaceptable + Article 4 AI literacy (formación obligatoria) | Todas las empresas que usen IA |
| 2 agosto 2025 | Obligaciones para General Purpose AI (GPAI): proveedores de modelos fundacionales como OpenAI, Anthropic, Google | Proveedores GPAI (no PYMEs cliente, pero te repercute en precios y términos) |
| 2 febrero 2026 | Códigos de conducta voluntarios + guidelines de la Comisión Europea publicados | Marco interpretativo |
| 2 AGOSTO 2026 ⚠️ | Full enforcement: alto riesgo (Annex III), Article 50 (transparencia), conformity assessment, CE marking, EU database registration | Proveedores y deployers de IA de alto riesgo + cualquiera con IA generativa frente a usuarios |
| 2 agosto 2027 | Obligaciones para sistemas de IA embebidos en productos regulados (juguetes, ascensores, dispositivos médicos, vehículos…) | Fabricantes industriales |
| Agosto 2030 | Sistemas legacy en sector público | Administración pública |
Las 4 categorías de riesgo: en cuál cae tu IA
El EU AI Act clasifica todos los sistemas de IA en 4 niveles. Las obligaciones (y las multas) dependen del nivel.
| Nivel | Definición | Ejemplos típicos en PYME | Obligación principal |
|---|---|---|---|
| Inaceptable | Manipulación, scoring social, identificación biométrica masiva | Raro en PYME. Algunos sistemas de RRHH con perfilado emocional. | Prohibido desde feb 2025 |
| Alto riesgo (Annex III) | Biometría, infraestructura crítica, educación, empleo, crédito, seguros, law enforcement, migración, justicia, servicios públicos esenciales | Software de cribado de CVs, scoring crediticio, evaluación automática de pólizas, control de acceso biométrico | 10 requisitos obligatorios + CE marking + registro en base de datos UE |
| Riesgo limitado | IA que interactúa con personas: chatbots, generadores de contenido, deep fakes | Asistente conversacional en tu web, generador de imágenes de marketing, copiloto interno | Article 50: transparencia obligatoria (avisar que es IA) |
| Riesgo mínimo | Filtros antispam, IA en videojuegos, recomendaciones genéricas | Recomendador de producto en e-commerce sin perfilado complejo | Códigos de conducta voluntarios |
Errores típicos que veo:
- "Solo es un chatbot de atención al cliente" → Article 50 te aplica (riesgo limitado, transparencia).
- "Es un CV screener interno, no se lo damos a clientes" → Annex III, alto riesgo. Tienes 10 requisitos.
- "Es Microsoft Copilot, ya lo certifica Microsoft" → Microsoft cumple como proveedor GPAI. Tú cumples como deployer. Son dos obligaciones distintas.
Checklist: las 7 obligaciones concretas que tu PYME debe tener listas
1. Inventario de sistemas de IA en uso (a nivel toda la empresa)
Qué es: un documento (o mejor, una herramienta) que lista todos los sistemas de IA que tu empresa usa o despliega: ChatGPT Plus, Claude Pro, Copilot, asistente IA del CRM, generadores de imágenes, traductores automáticos, todo. Para cada uno: proveedor, finalidad, datos que procesa, categoría de riesgo.
Por qué: sin inventario no puedes ni clasificar ni demostrar compliance. La AESIA en sus 23 investigaciones abiertas pide el inventario como primer documento.
Cuándo: debe estar listo antes del 2 de agosto de 2026. Idealmente ya.
2. Clasificación de riesgo de cada sistema (Annex III check)
Qué es: para cada sistema del inventario, asignar una categoría: inaceptable, alto riesgo, riesgo limitado, riesgo mínimo. Documentado con justificación.
Por qué: las obligaciones (y multas) dependen del nivel. Sin clasificación documentada, asumes el peor escenario en una inspección.
Trampa: si tu sistema cae en Annex III, el resto de obligaciones se disparan (documentación técnica, CE marking, registro UE). Si lo clasificas mal a la baja y te lo recategorizan, la multa se aplica retroactivamente.
3. Formación del equipo (Article 4 — AI literacy)
Qué es: formar a todo empleado que use o tome decisiones con IA en: cómo funciona, sus limitaciones, riesgos, sesgos y obligaciones legales. Documentado (lista de asistentes, contenido, fecha).
Por qué: Article 4 ya está en vigor desde el 2 de febrero de 2025 (European Commission, 2026). No es "para agosto", es ya.
Cuándo: ya tendría que estar hecho. Si no lo has hecho, hazlo en Q3 2026 con documentación retroactiva del esfuerzo y plan de continuidad anual.
¿Necesitas montar esto en tu empresa sin que tu equipo se pase 3 meses interpretando el reglamento? Te lo dejo listo en 4-6 semanas con la plataforma + el programa de formación incluido → Hablemos en 15 minutos.
4. Transparencia generativa (Article 50)
Qué es: cualquier contenido generado por IA frente a humanos debe ser identificable como tal. Los deep fakes (imágenes, vídeo o audio sintéticos de personas reales) deben etiquetarse de forma clara y permanente.
Aplica a tu PYME si:
- Tu web tiene un chatbot → debe avisar que es IA al iniciar la conversación.
- Generas contenido de marketing con IA (imágenes, vídeo) → etiquetado obligatorio.
- Usas voz sintética en atención telefónica → aviso al usuario.
- Generas imágenes/vídeos de personas reales con IA → etiqueta "Contenido generado por IA" visible.
Cuándo: 2 de agosto de 2026. Tienes que tener etiquetado, política interna y banner de chatbot listos.
5. EIPD + FRIA para sistemas de alto riesgo
Qué es:
- EIPD (Evaluación de Impacto en Protección de Datos): documento RGPD, ya conocido.
- FRIA (Fundamental Rights Impact Assessment): nueva obligación EU AI Act para deployers de alto riesgo. Evalúa el impacto en derechos fundamentales (no discriminación, dignidad, privacidad).
Por qué: si tu sistema cae en Annex III y eres deployer, ambas son obligatorias. La FRIA es específicamente nueva del AI Act.
Trampa: una FRIA no es una EIPD reformateada. Pide evaluación de discriminación algorítmica, supervisión humana real y plan de mitigación.
6. Supervisión humana documentada (Human oversight)
Qué es: para cada sistema de alto riesgo, asignar una persona específica responsable de supervisar el output, detectar errores y poder intervenir. Documentado con nombre, rol, formación recibida.
Por qué: el AI Act exige que un humano competente pueda anular o ignorar la decisión del sistema. "El equipo de IT lo mira" no es supervisión humana.
Lo más común que veo mal: empresas que tienen un CV screener con IA y nadie revisa los rechazados. Esto es incumplimiento directo + riesgo de demanda por discriminación.
7. Registro de incidentes y monitoring continuo
Qué es: un registro (log) de incidentes con IA: outputs erróneos, decisiones sesgadas, fallos de funcionamiento, quejas de usuarios. Con plan de acción para cada uno y notificación a autoridades si supera ciertos umbrales.
Por qué: tienes obligación de notificar incidentes graves a la AESIA en 15 días naturales para sistemas de alto riesgo. Si no tienes registro, no puedes notificar. Si no notificas, multa.
Cuándo: tu sistema de logging tiene que estar operativo el 2 de agosto de 2026 y mantenerlo durante todo el ciclo de vida del sistema (mínimo 6 meses de retención de logs en alto riesgo).
Calculo de ROI: coste de cumplir vs coste de NO cumplir
Esto es un ROI invertido: el "retorno" es evitar la multa, evitar perder el contrato B2B, evitar el daño reputacional.
ROI individual (autónomo profesional / consultor)
Si eres autónomo o despacho pequeño: tu exposición principal es perder clientes B2B que te exigen evidencia de compliance.
| Perfil | Coste de NO cumplir (estimado) | Coste de cumplir (DIY) | Coste de cumplir (con consultor) |
|---|---|---|---|
| Consultor freelance que usa IA con datos de cliente | Pérdida de 1 cliente B2B serio = 15-40k€/año | 40-80h de trabajo propio = 3-6k€ en coste oportunidad | 1.500-3.000€ diagnóstico + plan |
ROI empresa (PYME 5-100 personas)
Para una PYME, el cálculo es muy distinto. La multa máxima (35M€ o porcentaje de facturación) es nuclear, pero los riesgos más reales son contrato perdido + AESIA inspecting.
| Tamaño equipo | Riesgo realista 1 año (multa AESIA + cliente perdido) | Coste implantar compliance + plataforma IA gobernada | Payback de "evitar multa" |
|---|---|---|---|
| 5-15 personas | 50.000 - 300.000€ | 5.000 - 8.000€ | <1 mes |
| 15-50 personas | 200.000 - 1.500.000€ | 8.000 - 15.000€ | <1 mes |
| 50-100 personas | 500.000 - 7.000.000€ | 15.000 - 30.000€ | <1 mes |
| 100+ (alto riesgo) | Hasta 35M€ + 7% facturación global | 30.000 - 100.000€+ | inmediato |
"Caso real (fabricante industrial de ~80 personas, Cataluña, marzo 2026): tenían un sistema de control de calidad por visión que se nos clasificó como Annex III (infraestructura productiva crítica). Documentación técnica + FRIA + registro UE + supervisión humana documentada: 7 semanas. Coste evitado en escenario de inspección AEPD post-incidente: estimado en 400.000 - 1.200.000€ entre multa potencial y reparación reputacional con clientes Tier 1." — Javier Santos Criado, consultor de IA en Javadex
Cómo implantar compliance + plataforma IA en tu empresa
Comparar herramientas y leer el reglamento es el 10% del trabajo. El 90% es operacionalizar: que tu equipo use IA sin que cada uno copie datos sensibles en su ChatGPT personal, que tengas logs reales, que la formación del Article 4 no sea un PDF leído una vez, que la supervisión humana exista de verdad.
He implantado este tipo de gobernanza en empresas de asesoría fiscal, ingeniería industrial, fondos de capital riesgo y SaaS B2B con resultados típicos de compliance auditable en 4-6 semanas + reducción del 80% de IA shadow (cada empleado con su ChatGPT personal).
La forma de resolverlo de raíz es la misma que resuelve el problema operativo: una plataforma IA propia de la empresa, con la marca del cliente, con logs centralizados, con permisos por rol, con la documentación interna cargada como base de conocimiento y con datos en Europa (GDPR + ENS). Sin lock-in.
Eso es exactamente lo que es Cortex by Javadex: la plataforma IA privada que despliego en empresas en 1 mes — multi-modelo (Claude, GPT, Gemini, Llama), conectada a tu stack, datos en infraestructura europea o tu propio servidor on-premise, sin lock-in, con compliance EU AI Act + GDPR + ENS de serie. El stack es open source, los conectores son estándares abiertos, el código es del cliente. Desde 5.000€.
Casos donde tiene sentido implantarlo:
- Tu equipo ya usa ChatGPT/Claude personal y no tienes ni un log ni una política → riesgo de AESIA + cliente B2B pidiendo evidencia.
- Tienes documentación interna sensible (proyectos, datos clientes, contratos, normativa) y necesitas que no salga de la empresa.
- Operas en sector regulado (salud, finanzas, legal, infraestructura) y caes en Annex III en uno o más sistemas.
- Te están pidiendo desde un cliente Tier 1 (banca, seguros, administración) evidencia documental de cumplimiento EU AI Act para mantener contrato.
¿Quieres una plataforma IA con compliance de fábrica antes del 2 de agosto? Cuéntame tu caso en 15 minutos y te digo si entras dentro de plazo → Quiero mi plataforma IA privada.
Errores comunes al preparar el cumplimiento del EU AI Act
Error 1: pensar que "no me aplica porque no desarrollo IA"
Problema: si tu equipo usa ChatGPT, Claude, Copilot, Gemini o cualquier IA generativa, eres deployer y tienes obligaciones (Article 4 AI literacy, Article 50 transparencia, supervisión humana si es alto riesgo). Solución: hacer el inventario ya. El 76% de PYMEs españolas usa IA semanalmente pero solo el 8% lo tiene documentado (Wolters Kluwer + BBVA Research, 2026). La mayoría está en infracción técnica sin saberlo.Error 2: usar el copy del proveedor como tu compliance
Problema: OpenAI/Anthropic/Google cumplen como proveedores GPAI. Tú cumples como deployer. Son dos obligaciones distintas. Que ChatGPT esté "AI Act compliant" no te exime de nada como cliente. Solución: pedir el modelo de DPA + AI Act addendum al proveedor, archivarlo, y montar TUS controles encima (logging, supervisión humana, política interna, formación).Error 3: confundir EIPD con FRIA
Problema: la FRIA es nueva del AI Act y específicamente evalúa impacto en derechos fundamentales (discriminación, dignidad). No es una EIPD reformateada. AESIA lo va a pedir como documento separado. Solución: hacer la FRIA con la plantilla oficial cuando AESIA la publique (esperada Q3 2026), no antes con plantilla genérica que luego habrá que rehacer.Error 4: dejar la formación Article 4 para "después de agosto"
Problema: el Article 4 está en vigor desde el 2 de febrero de 2025. No es para agosto de 2026. Si tu equipo no ha recibido formación documentada en IA, ya estás incumpliendo. Solución: hacer la formación en Q2-Q3 2026 con registro de asistentes, fecha, contenido y firma. Documentar retroactivamente el esfuerzo formativo previo (si lo hubo).Error 5: subcontratar compliance sin operacionalizar
Problema: la mayoría de despachos legales venden el "documento de cumplimiento" (200 páginas, 8.000€). Pero compliance sin plataforma técnica que lo respalde es papel mojado: no tienes logs, no tienes permisos por rol, no tienes supervisión humana real. Solución: combinar documentación legal + plataforma técnica desde el primer día. El compliance vive en el sistema, no en un PDF.Preguntas Frecuentes
¿Qué pasa si el 2 de agosto de 2026 no he cumplido?
No pasa "nada" automáticamente el 3 de agosto. Las autoridades (AESIA en España) priorizan inspecciones por denuncia, por incidente o por riesgo sectorial. Pero si una inspección te pilla sin documentación, las multas son las que hay: hasta 35 millones de euros o un porcentaje de la facturación global anual, lo que sea mayor (European Commission, 2026). Para sistemas de alto riesgo sin documentación técnica, hasta 15M€ o un porcentaje. Para información engañosa a la autoridad, hasta 7,5M€.¿El EU AI Act aplica a empresas pequeñas y autónomos?
Sí, aplica a cualquier empresa que use o despliegue IA en la UE, sin umbral mínimo de facturación. El reglamento prevé "medidas proporcionadas para PYMEs y startups" pero no exime a nadie. Article 4 (AI literacy) aplica desde 2 personas hasta 200.000. Las multas para PYMEs son menores en valores absolutos pero suficientes para quebrar una empresa pequeña.¿Cómo sé si mi sistema de IA cae en "alto riesgo"?
Lee el Annex III del reglamento. Si tu IA decide sobre: empleo (CV screening, evaluación de empleados), crédito (scoring), seguros (precios, aceptación de pólizas), educación (admisión, calificación), infraestructura crítica, biometría, law enforcement, migración o servicios públicos esenciales → alto riesgo automático. Si no estás seguro, asume alto riesgo y haz la clasificación documentada por escrito. La duda sin documentar siempre se cuenta contra ti.¿Microsoft Copilot, ChatGPT Enterprise o Google Gemini me cubren el cumplimiento?
No. Esos productos cumplen como proveedores GPAI ante la UE. Tu empresa cumple como deployer. Son dos obligaciones diferentes que coexisten. Microsoft te puede dar un AI Act DPA addendum, pero TÚ sigues obligado a hacer inventario, clasificación, formación Article 4, supervisión humana, FRIA si aplica, y registro de incidentes.¿Qué es la AESIA y por qué importa?
La AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) es la autoridad nacional designada para supervisar el cumplimiento del EU AI Act en España. Tiene sede en A Coruña y ya tiene investigaciones preliminares abiertas. Es la primera autoridad nacional de IA operativa en la UE. Para PYMEs españolas, la AESIA es quien va a inspeccionar, sancionar y conceder/denegar registros, no Bruselas directamente.¿Tengo que registrar mi sistema de IA en alguna base de datos?
Sí, si tu sistema es de alto riesgo (Annex III) o si eres proveedor de un sistema de alto riesgo. La UE mantiene una base de datos pública donde se registran estos sistemas con su información clave. El registro hay que hacerlo antes de poner el sistema en el mercado o en uso. Si solo eres deployer de IA generativa de riesgo limitado (chatbot, copilot interno), no necesitas registro UE, solo cumplir Article 50.¿Y si pienso "yo cumpliré cuando me pillen"?
Tres riesgos reales: (1) Tu cliente B2B Tier 1 (banca, gran corporación, administración) te va a pedir evidencia documental como condición de contrato — está pasando ya en mayo de 2026. (2) Una sola queja de un empleado por uso de IA sin transparencia activa una investigación AESIA. (3) Tu seguro de ciberresponsabilidad civil puede excluir cobertura si no demuestras compliance básico. Las tres son hoy más probables que una multa "de oficio" de 35M€.
¿Cuánto cuesta cumplir todo esto para una PYME de 30 personas?
Rango realista: 8.000-15.000€ de implantación inicial (incluye inventario, clasificación, política interna, formación Article 4, plataforma técnica con logs y permisos) + 250-500€/mes de mantenimiento (monitoring, updates de política, formación continua). Si caes en Annex III en algún sistema, suma 5.000-15.000€ adicionales por la documentación técnica + FRIA + registro UE.Posts Relacionados
- EU AI Act: guía de cumplimiento para empresas españolas (versión completa, marzo 2026)
- Cortex by Javadex: la plataforma de IA privada que monto a empresas en 4-6 semanas
- Seguridad y gobernanza del super-agente IA bajo EU AI Act
- IA on-premise con modelos locales para tu empresa: sin internet, datos seguros en España
Citas
"El EU AI Act es la primera ley integral de regulación de inteligencia artificial del mundo. Su aplicación coordinada con el RGPD construye el marco regulatorio más exigente jamás aplicado a tecnología digital." — European Commission, Artificial Intelligence Act — Application and Enforcement Brief (2026)
"El 76% de las PYMEs españolas declara usar IA semanalmente, pero solo el 8% tiene una solución implementada con gobernanza interna documentada." — Wolters Kluwer + BBVA Research, Informe Estado de la Digitalización en la PYME Española (2026)
"La velocidad a la que el equipo adopta IA generativa supera la velocidad a la que el departamento de compliance puede documentarla. Esa brecha es exactamente donde aparecen las multas. La solución no es prohibir IA, es centralizar su uso en una plataforma corporativa con logs y permisos." — Javier Santos Criado, consultor de IA en Javadex (2026)
En Resumen
- El EU AI Act (Reglamento UE 2024/1689) entra en pleno vigor el 2 de agosto de 2026 para sistemas de alto riesgo y obligaciones de transparencia generativa (European Commission, 2026). Es la primera regulación integral del mundo sobre IA.
- Las multas alcanzan los 35 millones de euros o un porcentaje de la facturación global anual (lo que sea mayor), según la severidad del incumplimiento.
- El Article 4 (AI literacy) está en vigor desde el 2 de febrero de 2025: formar al equipo en IA es obligación legal ya activa, no opcional.
- El Article 50 (transparencia generativa) exige etiquetar contenido generado por IA y los deep fakes, y avisar al usuario cuando interactúa con un chatbot.
- El Annex III lista los dominios de alto riesgo: biometría, infraestructura crítica, educación, empleo, crédito, seguros, law enforcement, migración y justicia.
- El alcance es extra-territorial: aplica a cualquier empresa cuyos sistemas IA se usen en la UE, igual que el GDPR.
- Las 7 obligaciones reales para tu PYME: inventario de sistemas, clasificación de riesgo, formación Article 4, transparencia Article 50, EIPD + FRIA, supervisión humana documentada, y registro de incidentes con monitoring continuo.
