Ir al contenido principal
Hablemos
Inteligencia Artificial

EU AI Act para PYMEs en España: qué hacer antes de agosto de 2026 (checklist)

15 min

Estamos a 60 días del 2 de agosto de 2026. Te explico exactamente qué tiene que hacer tu PYME española antes de esa fecha: checklist semana a semana, qué cambió con el Omnibus de mayo, y por dónde empezar hoy.

📧¿Te gusta este contenido?

Únete a 547+ profesionales que reciben tips de IA cada semana. Sin spam, cancela cuando quieras.

EU AI Act para PYMEs en España: qué hacer antes de agosto de 2026 (checklist)

📅 Actualizado: 2 de junio de 2026 · Próxima revisión: julio 2026 · Quedan ~60 días para el 2 de agosto de 2026.

¿Tu PYME usa ChatGPT, Claude o Copilot y no sabes si llegas a tiempo al EU AI Act? Cuéntame tu caso en 15 minutos → Quiero mi plataforma IA privada con compliance incluido.

Estamos a poco más de 60 días del 2 de agosto de 2026, la fecha en la que entra en plena aplicación el grueso del EU AI Act. Si diriges una PYME española y tu equipo ya usa IA generativa, este post no te explica los 113 artículos del reglamento: te dice exactamente qué tienes que tener hecho antes de esa fecha, en qué orden y por dónde empezar hoy.

Es la versión accionable, no la versión jurídica. Un plan de 60 días con un checklist que puedes ejecutar esta misma semana.

⚠️ Aviso importante: esta es una guía orientativa para directivos, no asesoría legal. El EU AI Act es un reglamento complejo y, además, cambió de forma significativa con el acuerdo del Digital Omnibus de mayo de 2026 (todavía en proceso de adopción formal cuando se publicó este artículo). Antes de tomar decisiones de cumplimiento con consecuencias legales, valida tu caso concreto con un asesor legal especializado y con las guías oficiales de la AESIA.

TL;DR — el plan de 60 días en 7 frases

  • El 2 de agosto de 2026 entran en plena aplicación las obligaciones de transparencia (Article 50), la supervisión y sanción de los proveedores de IA de propósito general (GPAI) y el marco general de vigilancia del mercado (European Commission, 2026).
  • Novedad clave de mayo 2026: el acuerdo del Digital Omnibus aplazó la mayoría de obligaciones de los sistemas de alto riesgo del Annex III del 2 de agosto de 2026 a 2 de diciembre de 2027 (Council of the EU, mayo 2026). Pero transparencia, formación y gobernanza básica siguen aplicando en agosto de 2026.
  • Tu PYME está afectada aunque no desarrolles IA: si tu equipo usa ChatGPT, Claude o Copilot, eres deployer (operador) y tienes obligaciones.
  • Las multas reales llegan hasta 35M€ o el 7% de la facturación global anual para las infracciones más graves; hasta 15M€ o el 3% para los proveedores GPAI (European Commission, 2026).
  • El Article 4 (alfabetización en IA) está en vigor desde febrero de 2025: formar a tu equipo ya es obligatorio.
  • El plan de 60 días son 8 pasos: inventario → clasificación → formación → transparencia → política interna → centralizar el uso → logs y supervisión → revisión legal. Los tienes en el checklist más abajo.
  • El atajo que resuelve 6 de los 8 pasos a la vez: centralizar el uso de IA del equipo en una plataforma privada con tu marca, datos en Europa, logs y permisos por rol — en vez de tener a cada empleado con su ChatGPT personal sin control.

Qué cambia exactamente el 2 de agosto de 2026

El 2 de agosto de 2026 es la fecha en la que el EU AI Act (Reglamento UE 2024/1689) pasa de "ley publicada" a "ley que se aplica y se sanciona" para la mayoría de empresas. Hasta ahora solo estaban activas las prohibiciones de riesgo inaceptable y la obligación de alfabetización en IA. A partir de agosto se activa el grueso operativo.

Lo que entra en plena aplicación el 2 de agosto de 2026 (European Commission, 2026):

  • Article 50 — transparencia: avisar a las personas cuando interactúan con una IA, etiquetar el contenido generado por IA y los deep fakes.
  • Supervisión y sanción de proveedores GPAI (OpenAI, Anthropic, Google…): la Comisión gana poderes de enforcement sobre ellos.
  • El marco completo de vigilancia del mercado: las autoridades nacionales (en España, la AESIA) pueden inspeccionar y sancionar.

La novedad que te ahorra estrés: el Digital Omnibus de mayo de 2026

Aquí está el cambio que muchos directivos todavía no han registrado. El 7 de mayo de 2026, el Consejo de la UE, el Parlamento Europeo y la Comisión alcanzaron un acuerdo provisional del Digital Omnibus que retrasa y simplifica parte del AI Act (Council of the EU, mayo 2026):

  • Las obligaciones de los sistemas de alto riesgo del Annex III (CV screening, scoring crediticio, evaluación de seguros, etc.) se aplazan del 2 de agosto de 2026 a 2 de diciembre de 2027 (unos 16 meses más).
  • El marco simplificado para PYMEs se amplía a empresas de hasta 750 empleados y 150M€ de facturación: documentación técnica simplificada, plantillas estándar, multas reducidas y acceso prioritario a sandboxes regulatorios.
  • El periodo de gracia para el marcado legible por máquina del contenido generado por IA (Article 50.2) se acortó de 6 a 3 meses: nuevo plazo el 2 de diciembre de 2026.

Importante: cuando se publicó este artículo, el Omnibus era un acuerdo provisional pendiente de adopción formal por Parlamento y Consejo. No lo tomes como definitivo sin verificar el texto final con tu asesor legal. Pero la dirección es clara: te dan más aire en alto riesgo, no en transparencia ni en gobernanza básica.

"El Omnibus de mayo es buena noticia para las PYMEs, pero genera un falso alivio peligroso: muchos directivos están leyendo 'lo han retrasado' y desconectando. Lo que se retrasó es el alto riesgo del Annex III. La transparencia, la formación del equipo y tener tu uso de IA bajo control siguen siendo para agosto de 2026. Esos tres son justo los que afectan a casi todas las PYMEs." — Javier Santos Criado, consultor de IA en Javadex

A quién aplica: probablemente a ti

La trampa que la mayoría de PYMEs ignora: no necesitas desarrollar IA para que te aplique. Si tu equipo usa ChatGPT para redactar propuestas, Claude para analizar contratos, Copilot en Microsoft 365 o un asistente IA dentro del CRM, tu empresa es legalmente un deployer (operador) de IA, y los operadores tienen obligaciones propias.

El alcance es extra-territorial, igual que el RGPD: da igual que tu proveedor de IA esté en San Francisco; si el resultado del sistema se usa en la UE, te aplica.

Según el último informe de Wolters Kluwer + BBVA Research (2026), el 76% de las PYMEs españolas usa IA semanalmente, pero solo el 8% tiene una solución implementada con gobernanza documentada. Es decir: dos de cada tres PYMEs usan IA en la sombra, sin inventario, sin política y sin logs. Ese es el perfil que el 2 de agosto pasa de "zona gris" a "infracción técnica".

Los riesgos reales (no el cuento de los 35M€)

La multa máxima de 35M€ existe (European Commission, 2026), pero para una PYME los riesgos que de verdad se materializan en 2026 son otros tres, y son más probables que una sanción de oficio de Bruselas:

  1. Perder un contrato B2B Tier 1. Bancos, aseguradoras, grandes corporaciones y administraciones públicas están enviando ya en 2026 emails de compliance a sus proveedores PYME pidiendo evidencia documental de cumplimiento del AI Act. Si respondes "ya nos pondremos al día", pierdes el contrato.
  2. Datos sensibles fuera de la UE. Cada empleado pegando información de clientes, contratos o proyectos en su ChatGPT personal es un problema de RGPD y de gobernanza de IA a la vez. Una sola fuga o una denuncia interna activa una investigación.
  3. Una queja activa la inspección. Una sola queja de un empleado o cliente por uso de IA sin transparencia puede abrir una investigación de la AESIA. Si no tienes documentación, partes en desventaja.

"Caso real (asesoría fiscal de ~25 personas, Madrid, abril 2026): llevaban un año usando ChatGPT Plus repartido entre 14 cuentas personales. Cuando un cliente Big4 les pidió la evidencia de uso de IA y la formación del equipo para renovar contrato, no tenían absolutamente nada documentado. Montamos la gobernanza desde cero en 6 semanas, justo dentro de plazo." — Javier Santos Criado, consultor de IA en Javadex

Checklist: qué hacer en los próximos 60 días (paso a paso)

Este es el plan accionable. Los pasos están en orden de ejecución: cada uno desbloquea el siguiente. Si solo puedes hacer una cosa esta semana, haz el paso 1.

1. Haz el inventario de IA de toda la empresa (semana 1)

Lista todos los sistemas de IA que tu empresa usa o despliega: ChatGPT Plus, Claude Pro, Copilot, asistente del CRM, generadores de imágenes, traductores automáticos, todo. Para cada uno anota: proveedor, finalidad, qué datos procesa y quién lo usa. Sin inventario no puedes clasificar nada ni demostrar nada. La AESIA lo pide como primer documento.

2. Clasifica el riesgo de cada sistema (semana 1-2)

Para cada sistema, asigna una categoría: inaceptable, alto riesgo, riesgo limitado o riesgo mínimo, con una justificación de una línea. La mayoría del uso típico de PYME (chatbots, copilotos internos, generación de contenido) cae en riesgo limitado → Article 50. Si algún sistema decide sobre empleo, crédito, seguros o educación, marca alto riesgo y revisa el Annex III (recuerda: el Omnibus te da hasta diciembre de 2027 para el grueso de esas obligaciones, pero la clasificación la necesitas ya).

3. Forma a tu equipo en IA (semana 2) — ya es obligatorio

El Article 4 (alfabetización en IA) está en vigor desde el 2 de febrero de 2025 (European Commission, 2026). Forma a todo empleado que use o decida con IA en: cómo funciona, sus límites, riesgos, sesgos y obligaciones legales. Documenta asistentes, contenido y fecha. Esto no es para agosto, es para ya: si no lo has hecho, estás incumpliendo.

4. Activa la transparencia del Article 50 (semana 2-3)

Antes del 2 de agosto necesitas:

  • Chatbot en tu web → aviso al inicio de que es una IA.
  • Contenido de marketing generado con IA (imágenes, vídeo) → etiquetado.
  • Voz sintética en atención telefónica → aviso al usuario.
  • Deep fakes (personas reales sintéticas) → etiqueta visible "Contenido generado por IA".

Recuerda el plazo extendido para el marcado legible por máquina (Article 50.2): hasta el 2 de diciembre de 2026 para sistemas ya en el mercado, según el Omnibus de mayo.

5. Escribe una política interna de uso de IA (semana 3)

Un documento corto y operativo: qué herramientas están aprobadas, qué datos NO se pueden pegar nunca (datos de cliente, datos personales, secretos comerciales), quién supervisa, qué hacer ante un error. Esto es lo que separa "tenemos IA descontrolada" de "tenemos gobernanza".

6. Centraliza el uso de IA del equipo (semana 3-5) — el atajo

Aquí está el movimiento que resuelve varios pasos a la vez. En lugar de tener a cada empleado con su ChatGPT personal (cero visibilidad, datos fuera de control, coste fragmentado), centralizas todo en una plataforma de IA de empresa: misma interfaz para todo el equipo, datos en Europa, logs centralizados, permisos por rol y la documentación interna como base de conocimiento. Esto convierte la transparencia, la supervisión y el registro de incidentes en algo automático en vez de un PDF que nadie mantiene. Lo desarrollo en el siguiente apartado.

7. Pon logs y supervisión humana (semana 4-6)

Necesitas un registro de uso e incidentes (qué se pregunta, outputs erróneos, quejas) y, para cualquier sistema sensible, una persona concreta responsable de supervisar y poder anular la decisión de la IA. "El equipo de IT lo mira" no es supervisión humana. Si centralizaste el uso en el paso 6, los logs ya los tienes.

8. Valida con un asesor legal (semana 6-8)

Antes del 2 de agosto, pasa tu inventario, clasificación y documentación por un asesor legal especializado en AI Act + RGPD, idealmente apoyándote en las 16 guías oficiales que la AESIA publicó para acompañar el cumplimiento (AESIA, 2026). Este post te lleva el 80% del camino; el último 20% jurídico conviene blindarlo con un profesional.

Comparativa rápida: qué aplica el 2-ago-2026 vs qué se aplazó

Obligación¿Aplica el 2-ago-2026?Plazo real tras el Omnibus de mayo
Article 4 — formación en IASí (ya desde feb 2025)En vigor
Article 50 — transparencia (aviso chatbot, etiquetado)2 de agosto de 2026
Article 50.2 — marcado legible por máquinaSí, con gracia2 de diciembre de 2026 (sistemas ya en mercado)
Supervisión y sanción de proveedores GPAI2 de agosto de 2026
Vigilancia del mercado (inspecciones AESIA)2 de agosto de 2026
Alto riesgo Annex III (CV screening, scoring…)Aplazado2 de diciembre de 2027
Alto riesgo Annex I (producto regulado)Aplazado2 de agosto de 2028
Lectura para el directivo: el Omnibus te regala tiempo en lo más pesado (alto riesgo), pero no en lo que afecta a casi todas las PYMEs (transparencia + formación + tener tu uso de IA bajo control). No bajes la guardia por un titular de "lo han retrasado".

Cómo una plataforma IA privada con datos en Europa resuelve buena parte del cumplimiento

Leer el reglamento y comparar herramientas es el 10% del trabajo. El 90% es operacionalizar: que tu equipo use IA sin pegar datos sensibles en ChatGPT personal, que tengas logs reales, que la transparencia y la supervisión existan de verdad y no en un PDF leído una vez.

La forma de resolverlo de raíz es la misma que resuelve el problema operativo de fondo: una plataforma de IA propia de la empresa, con tu marca, multi-modelo, con logs centralizados, permisos por rol, la documentación interna como base de conocimiento y datos en infraestructura europea (RGPD + ENS). Sin lock-in: el código es del cliente.

Eso es exactamente Cortex by Javadex: la plataforma de IA privada que despliego en empresas en 1 mes — Claude, GPT, Gemini y Llama en una sola interfaz, conectada a tu stack, con datos en Europa o en tu propio servidor on-premise, sin lock-in, y con la gobernanza (logs, permisos, formación) pensada para apoyar tu cumplimiento del EU AI Act + RGPD desde el primer día. Desde 5.000€.

Mapeado contra el checklist de arriba, una plataforma así cubre de forma directa los pasos 4 (transparencia), 5 (política operativa), 6 (centralización), 7 (logs y supervisión) — y te deja la formación (paso 3) y la validación legal (paso 8) como complementos. Lo monto yo personalmente, no se subcontrata.

Casos donde tiene sentido implantarlo antes de agosto:

  • Tu equipo ya usa ChatGPT/Claude personal y no tienes ni un log ni una política.
  • Tienes documentación interna sensible (proyectos, datos de clientes, contratos) y necesitas que no salga de la empresa.
  • Un cliente Tier 1 (banca, seguros, administración) te está pidiendo evidencia documental para mantener el contrato.

¿Quieres una plataforma IA con gobernanza de fábrica y datos en Europa antes del 2 de agosto? Cuéntame tu caso en 15 minutos y te digo si entras dentro de plazo → Quiero mi plataforma IA privada.

Errores comunes al preparar el EU AI Act en una PYME

Error 1: leer "lo han retrasado" y desconectar

Problema: el Omnibus de mayo aplazó el alto riesgo, no la transparencia ni la formación. Si tu PYME usa IA generativa normal, tus obligaciones siguen siendo para agosto de 2026. Solución: ejecuta el checklist de 8 pasos igual. El retraso solo te afecta si tienes sistemas de Annex III.

Error 2: pensar que "no me aplica porque no desarrollo IA"

Problema: si tu equipo usa ChatGPT, Claude, Copilot o Gemini, eres deployer y tienes obligaciones (Article 4, Article 50, supervisión humana). Solución: haz el inventario hoy. El 76% de PYMEs españolas usa IA semanalmente y solo el 8% lo tiene documentado (Wolters Kluwer + BBVA Research, 2026).

Error 3: usar el copy del proveedor como tu compliance

Problema: OpenAI, Anthropic y Google cumplen como proveedores GPAI. Tú cumples como deployer. Son dos obligaciones distintas que coexisten. Solución: pide el DPA + addendum AI Act al proveedor, archívalo, y monta TUS controles encima (logs, supervisión, política, formación).

Error 4: comprar un PDF de 200 páginas y creer que ya cumples

Problema: la mayoría de despachos venden el "documento de cumplimiento" sin nada técnico debajo. Compliance sin plataforma que lo respalde es papel mojado: no tienes logs, ni permisos por rol, ni supervisión real. Solución: combina documentación legal + plataforma técnica desde el primer día. El compliance vive en el sistema, no en un PDF.

Error 5: dejar la formación Article 4 para "después de agosto"

Problema: el Article 4 está en vigor desde febrero de 2025. No es para agosto. Solución: forma al equipo en Q2-Q3 2026 con registro de asistentes, fecha y contenido.

Preguntas Frecuentes

¿Qué tengo que hacer antes del 2 de agosto en mi PYME?

Como mínimo, cuatro cosas: (1) inventario de todos los sistemas de IA que usáis, (2) clasificación de riesgo de cada uno, (3) formación documentada del equipo (Article 4, ya obligatorio desde 2025) y (4) activar la transparencia del Article 50 (aviso de chatbot, etiquetado de contenido generado por IA). El resto —política interna, centralización del uso, logs y validación legal— conviene tenerlo, pero esos cuatro son los imprescindibles para agosto.

¿Qué tengo que hacer antes del 2 de agosto de 2026 según el EU AI Act?

Lo mismo que la pregunta anterior, con el matiz de la fecha: el 2 de agosto de 2026 entran en aplicación la transparencia (Article 50), la supervisión de proveedores GPAI y la vigilancia del mercado por parte de la AESIA. Las obligaciones de alto riesgo del Annex III se aplazaron a diciembre de 2027 con el Omnibus de mayo de 2026, pero esto es un acuerdo provisional: confírmalo con tu asesor legal.

¿El Omnibus de mayo de 2026 significa que ya no tengo que cumplir nada en agosto?

No. El Digital Omnibus de mayo de 2026 aplazó las obligaciones de los sistemas de alto riesgo del Annex III (de agosto de 2026 a diciembre de 2027) y amplió las facilidades para PYMEs. Pero la transparencia (Article 50), la formación (Article 4) y la vigilancia del mercado siguen aplicando el 2 de agosto de 2026. Además, el Omnibus era un acuerdo provisional pendiente de adopción formal, así que valida el texto final.

¿El EU AI Act aplica a empresas pequeñas y autónomos?

Sí, aplica a cualquier empresa que use o despliegue IA en la UE, sin umbral mínimo de facturación. El Omnibus de mayo amplió las facilidades para PYMEs y "small mid-caps" (hasta 750 empleados y 150M€), con documentación simplificada y multas reducidas, pero no exime a nadie de las obligaciones básicas.

¿Cuánto cuesta cumplir el EU AI Act para una PYME de 30 personas?

Rango realista orientativo: 8.000-15.000€ de implantación inicial (inventario, clasificación, política, formación Article 4 y plataforma técnica con logs y permisos) + 250-500€/mes de mantenimiento. La diferencia frente a hacerlo en casa no es solo el dinero, es el tiempo: 4-6 semanas externalizado vs 6-8 meses con un equipo sin experiencia previa. Pídelo siempre por escrito a tu proveedor.

¿Una plataforma de IA privada me garantiza el cumplimiento del EU AI Act?

No "te garantiza" el cumplimiento por sí sola —el cumplimiento incluye decisiones legales que dependen de tu caso—, pero resuelve la parte operativa más difícil: centraliza el uso de IA, mantiene los datos en Europa, genera logs automáticos, aplica permisos por rol y permite supervisión humana real. Eso cubre buena parte del checklist técnico; la clasificación legal y la validación final siguen necesitando un asesor.

Posts Relacionados

Citas

"El AI Act será plenamente aplicable el 2 de agosto de 2026, con algunas excepciones que mantienen periodos transitorios para determinados sistemas de alto riesgo." — European Commission, Artificial Intelligence Act — Application and Enforcement Brief (2026)

"El Consejo y el Parlamento acuerdan simplificar y racionalizar las normas: las obligaciones de los sistemas de alto riesgo del Annex III se aplazan al 2 de diciembre de 2027, y el marco simplificado para PYMEs se amplía a empresas de hasta 750 empleados." — Council of the EU, AI Omnibus provisional agreement (mayo 2026)

"El 76% de las PYMEs españolas declara usar IA semanalmente, pero solo el 8% tiene una solución implementada con gobernanza interna documentada." — Wolters Kluwer + BBVA Research, Informe Estado de la Digitalización en la PYME Española (2026)

"El Omnibus te da más aire en alto riesgo, no en transparencia. La forma más rápida de cumplir la parte operativa no es prohibir la IA al equipo, es centralizarla en una plataforma corporativa con logs, permisos y datos en Europa. Lo que no está en el sistema, no se cumple solo." — Javier Santos Criado, consultor de IA en Javadex (2026)

En Resumen

  • El 2 de agosto de 2026 entran en plena aplicación la transparencia (Article 50), la supervisión de proveedores GPAI y la vigilancia del mercado del EU AI Act (European Commission, 2026). Quedan unos 60 días desde la publicación de este artículo.
  • El Digital Omnibus de mayo de 2026 aplazó las obligaciones de alto riesgo del Annex III a diciembre de 2027 y amplió las facilidades para PYMEs, pero es un acuerdo provisional y no afecta a la transparencia ni a la formación, que siguen para agosto de 2026 (Council of the EU, 2026).
  • Tu PYME está afectada aunque no desarrolles IA: usar ChatGPT, Claude o Copilot te convierte en deployer con obligaciones.
  • Las multas llegan hasta 35M€ o el 7% de la facturación global para las infracciones más graves, pero los riesgos reales en 2026 son perder un contrato B2B, una fuga de datos o una inspección por denuncia.
  • El plan de 60 días son 8 pasos: inventario, clasificación, formación, transparencia, política interna, centralización del uso, logs y supervisión, y validación legal.
  • El Article 4 (alfabetización en IA) está en vigor desde febrero de 2025: formar al equipo ya es obligatorio.
  • Una plataforma de IA privada con datos en Europa cubre la parte operativa más difícil del cumplimiento (transparencia, política, centralización, logs, supervisión), dejando la clasificación y validación legal a un asesor.
  • Esta es una guía orientativa, no asesoría legal: valida tu caso concreto con un profesional y con las guías oficiales de la AESIA antes de tomar decisiones de cumplimiento.

¿Quieres todo esto en una plataforma con TU marca?

Cortex by Javadex te monta tu propio ChatGPT corporativo en 30 días: multi-modelo, conectado a tu stack, datos en Europa y con tu logo. Sin SaaS, sin lock-in, sin coste por usuario. Desde 5.000€.

Ver Cortex en detallejavi@javadex.es

Posts Recomendados

Qué es n8n y Cómo Funciona: Tutorial en Español desde Cero [2026]
n8n es la herramienta gratis y open source para automatizar sin programar. Qué es, cómo funciona, instalación Docker y tu primer workflow en 10 minutos.
22/1/202620 min
¿Por Qué Dicen que la IA Programa Mal? Los Datos Dicen lo Contrario
Claude Opus 4.5 supera al 80% de desarrolladores en benchmarks, pero Twitter está lleno de gente diciendo que la IA programa mal. El problema no es la IA. Es cómo la usas.
22/1/202615 min
Inteligencia Artificial 2026: 7 Predicciones con Datos Que Se Están Cumpliendo
Predicciones IA 2026 que ya se cumplen: agentes autónomos, robots a 1/10 del precio, el fin del junior. Análisis con datos reales de un consultor IA.
5/1/202628 min
📬

¿Te ha gustado? Hay más cada semana

Únete a "IA Sin Humo" — la newsletter donde comparto lo que realmente funciona en inteligencia artificial. Sin teoría innecesaria, sin postureo.

📚

1 Tutorial

Paso a paso, práctico

🛠️

3 Herramientas

Probadas y útiles

💡

0 Bullshit

Solo lo que importa

+547 suscriptores • Cada martes • Cancela cuando quieras

Javier Santos - Especialista en IA & Machine Learning

Javier Santos

Consultor de IA para empresas. Comparto contenido sobre inteligencia artificial, automatización y desarrollo cada semana.

Conectar en LinkedInContactar